【身(shen)份認(ren)證系(xi)統】身(shen)份認(ren)證系(xi)統的必要性 身(shen)份認(ren)證系(xi)統結(jie)構設計
身份認證系統的必要性
1、嚴格的標準化設計
系統設計符(fu)合(he)相(xiang)關國際通用(yong)標準,證書格式采用(yong)X509 V3標準(zhun),證書注銷列表采用X509 V2標準。系(xi)統內(nei)部使(shi)用的密碼設備接口(kou)為PKCS#11接口和(he)MS CSP接口,支持多種型號的硬件密碼設備。
2、靈活的模塊化設計
以(yi)結構化(hua)、模塊化(hua)為設計原則,組成系(xi)統的(de)(de)不同模塊之間相對獨(du)立(li),可以(yi)根據(ju)不同用戶(hu)的(de)(de)需求實現靈活搭配(pei),具有良好(hao)的(de)(de)可擴展性。
3、完善的安全措施
采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密,使得通信數據以密文的方式在網絡上進行傳輸,同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護,系統用戶使用數字證書進行身份認證,確保系統自身安全。
系統內采用的安全硬件產品均通過國家密(mi)碼局的安全鑒定,證書(shu)和(he)密(mi)鑰(yao)存(cun)儲在USBKEY中(zhong),安全(quan)可靠(kao)。
4、有效的防護機制
在設計上包括安全(quan)(quan)防(fang)護(hu)機制(zhi)、安全(quan)(quan)檢測(ce)機制(zhi)和安全(quan)(quan)恢(hui)復機制(zhi)。對于重要的(de)系(xi)統數據和物理設備進行安全(quan)(quan)備份和安全(quan)(quan)管理,確保系(xi)統運行可靠。
5、簡單的部署使用
管理系(xi)統(tong)采(cai)用(yong)B/S結構(gou),管理員通過瀏覽器(qi)對系統進行操(cao)(cao)作,無需安(an)裝客(ke)戶端軟件(jian),操(cao)(cao)作簡單方便。
6、與第三方CA相比其優勢
1)可實現對(dui)內部信息系統(tong)在應用層面的安全要求,實現內部數字(zi)證書的發放及管理(li)。
2)一次(ci)投(tou)資即可實現長期使用,無證書年檢等費用支出。
3)所發放的數字證書可應用(yong)于企(qi)業內部的多個系統中(zhong),實現(xian)真正的"一證多應用"。
4)系統(tong)部署(shu)可配置,可選(xuan)擇使用(yong)軟加密庫作(zuo)為企業級(ji)CA系統(tong)的根密鑰存儲設備,從而(er)降低成本。
身份認證系統結構設計
企業級CA系統是(shi)對生存周期內的數字證書進行全(quan)過程管(guan)理的安全(quan)系統。
1、簽發服務器(CA)
簽發服務器(qi)對生存周(zhou)期內的數字證書進行全過程(cheng)管理的控制模塊,負責系統的初始化(hua)、用戶(hu)資料管理、用戶(hu)證書管理、CA配置(zhi)管理、CA策(ce)略信息管理等。
2、注冊服務器(RA)
注冊服務器作為身份認證系(xi)統的注(zhu)冊模塊(kuai),負責用(yong)戶信(xin)息的錄入、用(yong)戶信(xin)息的審核、證(zheng)書(shu)申請、證(zheng)書(shu)注(zhu)銷、證(zheng)書(shu)更新等。
3、密鑰管理服務器(KM)
密(mi)鑰(yao)管理(li)(li)服(fu)(fu)務器主要是實現對密(mi)鑰(yao)信息的(de)管理(li)(li),包(bao)括密(mi)鑰(yao)管理(li)(li)服(fu)(fu)務器的(de)初(chu)始(shi)化、密(mi)鑰(yao)監控(kong)服(fu)(fu)務。
4、管理終端
證書管理終端主要是對系統進行管理,包括系統的初始化、用戶申請的審核上傳等。