【身份認證系統(tong)】身份認證系統(tong)的必要性 身份認證系統(tong)結構設(she)計

身份認證系統的必要性

1、嚴格的標準化設計

系統設(she)計符合相關國際通用標(biao)準，證書(shu)格式采用X509 V3標(biao)準，證書注銷列表采(cai)用(yong)X509 V2標準。系統內(nei)部(bu)使用的密(mi)碼設備接(jie)口為PKCS#11接口和MS CSP接口，支持(chi)多種型號的硬(ying)件密(mi)碼設備。

該圖片由注冊用戶"溫暖·生活家"提供，版權聲明反饋

2、靈活的模塊化設計

以(yi)結構化、模(mo)(mo)塊(kuai)化為設計原則，組成系統的不同模(mo)(mo)塊(kuai)之間(jian)相對獨(du)立，可以(yi)根據(ju)不同用(yong)戶的需求實現靈活搭配，具有良好的可擴展性。

3、完善的安全措施

采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密，使得通信數據以密文的方式在網絡上進行傳輸，同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護，系統用戶使用數字證書進行身份認證，確保(bao)系統自身(shen)安(an)全。

系統(tong)內采用的安全(quan)硬(ying)件產品(pin)均通過國家密(mi)碼局的安全(quan)鑒定，證書和密(mi)鑰存(cun)儲(chu)在USBKEY中，安全可靠。

4、有效的防護機制

在設計上包括安(an)(an)全(quan)防護機制、安(an)(an)全(quan)檢測機制和安(an)(an)全(quan)恢復機制。對于重(zhong)要的系統數據和物理(li)設備(bei)進(jin)行安(an)(an)全(quan)備(bei)份(fen)和安(an)(an)全(quan)管理(li)，確保系統運行可(ke)靠。

5、簡單的部署使用

管(guan)理系統采用B/S結構，管理員通過(guo)瀏覽器對系統進行(xing)操作(zuo)，無(wu)需安裝客戶端軟(ruan)件，操作(zuo)簡(jian)單方便。

6、與第三方CA相比其優勢

1）可實現對內(nei)部信息系統(tong)在(zai)應用(yong)層面(mian)的安全要求，實現內(nei)部數字證書的發(fa)放及管理(li)。

2）一次投(tou)資即可實現長期使用，無證書年檢等費用支出。

3）所(suo)發(fa)放的數字證書可(ke)應用于企業內部的多(duo)個系統中(zhong)，實(shi)現真(zhen)正的"一證多(duo)應(ying)用(yong)"。

4）系統部署(shu)可配置，可選擇使用軟加密庫作為企(qi)業級CA系統(tong)的根密鑰存儲(chu)設備，從而降低成(cheng)本。

身份認證系統結構設計

企業級CA系統(tong)是對生存周(zhou)期內(nei)的(de)數字證(zheng)書進行(xing)全過程(cheng)管(guan)理的(de)安全系統(tong)。

1、簽發服務器（CA）

簽(qian)發服務器對生存(cun)周期內的(de)(de)(de)數字(zi)證(zheng)書進行全過(guo)程管理(li)(li)的(de)(de)(de)控制模塊，負責系統的(de)(de)(de)初始化、用(yong)戶資料管理(li)(li)、用(yong)戶證(zheng)書管理(li)(li)、CA配置管理(li)、CA策略信息管理(li)等(deng)。

2、注冊服務器（RA）

注冊服務器作為身份認證系統的注(zhu)冊模塊(kuai)，負(fu)責(ze)用(yong)戶信息的錄入、用(yong)戶信息的審核、證書申請、證書注(zhu)銷(xiao)、證書更新等。

3、密鑰管理服務器（KM）

密鑰(yao)管(guan)理(li)服務器主要是實現(xian)對密鑰(yao)信息的管(guan)理(li)，包括密鑰(yao)管(guan)理(li)服務器的初始化、密鑰(yao)監控服務。

4、管理終端

證書管理終端主要是對系統進行管理，包括系統的初始化、用戶申請的審核上傳等。