【身(shen)份(fen)(fen)認(ren)證系統】身(shen)份(fen)(fen)認(ren)證系統的必要性(xing) 身(shen)份(fen)(fen)認(ren)證系統結構設計

身份認證系統的必要性

1、嚴格的標準化設計

系統設(she)計符合相關國際通用(yong)標準，證書(shu)格式采用(yong)X509 V3標準，證書注銷(xiao)列表采用(yong)X509 V2標準。系統內部使用的密碼(ma)設備接口為PKCS#11接口和MS CSP接口，支(zhi)持(chi)多種型(xing)號的硬(ying)件密碼(ma)設備。

該圖片由注冊用戶"溫暖·生活家"提供，版權聲明反饋

2、靈活的模塊化設計

以結構化、模(mo)塊化為(wei)設計原則，組(zu)成系統的(de)(de)不(bu)同模(mo)塊之間相對(dui)獨立，可以根據不(bu)同用戶的(de)(de)需求實現靈活搭配，具有良好的(de)(de)可擴展性。

3、完善的安全措施

采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密，使得通信數據以密文的方式在網絡上進行傳輸，同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護，系統用戶使用數字證書進行身份認證，確(que)保系統自身安全。

系統(tong)內采用(yong)的安(an)全硬件(jian)產品均通過國(guo)家密碼局的安(an)全鑒定，證書和密鑰存儲(chu)在USBKEY中，安(an)全可(ke)靠。

4、有效的防護機制

在設計(ji)上包括安全防護機(ji)制、安全檢測(ce)機(ji)制和安全恢(hui)復機(ji)制。對于重要的系統(tong)數據(ju)和物理設備進行(xing)安全備份和安全管理，確保系統(tong)運行(xing)可靠。

5、簡單的部署使用

管理系統采用B/S結構，管理員通(tong)過瀏(liu)覽(lan)器(qi)對系(xi)統進行操(cao)作，無需(xu)安裝客戶端(duan)軟件(jian)，操(cao)作簡單方便。

6、與第三方CA相比其優勢

1）可(ke)實現對內部信息系統在應(ying)用層(ceng)面的安(an)全(quan)要求(qiu)，實現內部數字(zi)證(zheng)書的發放及管(guan)理。

2）一(yi)次投資即可實現長(chang)期使用(yong)，無證(zheng)書年檢等費用(yong)支出(chu)。

3）所(suo)發(fa)放(fang)的數(shu)字證書可應用于企業內部的多個(ge)系(xi)統中，實現(xian)真正的"一(yi)證(zheng)多應用"。

4）系統(tong)部署可(ke)配置，可(ke)選擇使(shi)用軟(ruan)加密庫作為企業級CA系統(tong)的根密鑰存(cun)儲設備，從而(er)降低成本(ben)。

身份認證系統結構設計

企業級CA系(xi)(xi)統(tong)是對生存周(zhou)期內的(de)數字證書進行全過程(cheng)管理的(de)安全系(xi)(xi)統(tong)。

1、簽發服務器（CA）

簽發服務器(qi)對生存(cun)周期內的數字證書(shu)進行全過程管理(li)的控制模塊(kuai)，負責系統的初始化、用(yong)戶資料管理(li)、用(yong)戶證書(shu)管理(li)、CA配置(zhi)管(guan)理、CA策略信息(xi)管理等。

2、注冊服務器（RA）

注冊服務器作為身份認證系統的注(zhu)冊模塊，負責(ze)用戶信(xin)息的錄(lu)入、用戶信(xin)息的審(shen)核(he)、證(zheng)(zheng)書(shu)申請、證(zheng)(zheng)書(shu)注(zhu)銷、證(zheng)(zheng)書(shu)更(geng)新等。

3、密鑰管理服務器（KM）

密(mi)鑰管(guan)理服(fu)務(wu)器主要是實現對密(mi)鑰信息的管(guan)理，包括密(mi)鑰管(guan)理服(fu)務(wu)器的初始化、密(mi)鑰監控(kong)服(fu)務(wu)。

4、管理終端

證書管理終端主要是對系統進行管理，包括系統的初始化、用戶申請的審核上傳等。