【身(shen)份認證系(xi)(xi)統(tong)】身(shen)份認證系(xi)(xi)統(tong)的必(bi)要性 身(shen)份認證系(xi)(xi)統(tong)結構(gou)設計

身份認證系統的必要性

1、嚴格的標準化設計

系統設計符(fu)合相關國際(ji)通用標(biao)準，證書格式采用X509 V3標準，證書注銷列表(biao)采用X509 V2標準。系統內部使(shi)用的密碼設備接口為PKCS#11接口和MS CSP接口，支持多種型號(hao)的硬件密碼(ma)設備。

該圖片由注冊用戶"溫暖·生活家"提供，版權聲明反饋

2、靈活的模塊化設計

以(yi)(yi)結構化(hua)、模塊化(hua)為設計原則，組成(cheng)系統的(de)不同模塊之間相(xiang)對獨立，可以(yi)(yi)根據不同用戶(hu)的(de)需(xu)求實(shi)現靈(ling)活搭配(pei)，具有良好的(de)可擴(kuo)展性(xing)。

3、完善的安全措施

采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密，使得通信數據以密文的方式在網絡上進行傳輸，同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護，系統用戶使用數字證書進行身份認證，確保系統自身安全。

系統內采用的安(an)(an)全硬件(jian)產品均通過國家密碼局(ju)的安(an)(an)全鑒定(ding)，證書和密鑰存儲在USBKEY中(zhong)，安全(quan)可靠。

4、有效的防護機制

在設計上包括(kuo)安(an)全(quan)(quan)(quan)(quan)防護(hu)機制、安(an)全(quan)(quan)(quan)(quan)檢測機制和(he)安(an)全(quan)(quan)(quan)(quan)恢復機制。對于重要的(de)系(xi)統數據和(he)物理設備進行(xing)安(an)全(quan)(quan)(quan)(quan)備份和(he)安(an)全(quan)(quan)(quan)(quan)管理，確保系(xi)統運行(xing)可(ke)靠。

5、簡單的部署使用

管理系統采用B/S結構，管理員通(tong)過瀏覽器對系統進行操作，無需安裝客戶端軟件(jian)，操作簡單方便。

6、與第三方CA相比其優勢

1）可(ke)實(shi)現(xian)對內部信息系(xi)統在(zai)應用層(ceng)面的安全要求，實(shi)現(xian)內部數字(zi)證(zheng)書的發放及管(guan)理。

2）一(yi)次投資(zi)即可實現長期使用(yong)，無證書年檢等費(fei)用(yong)支出。

3）所發放的(de)數字(zi)證(zheng)書(shu)可應用于企業內(nei)部的(de)多個系統中，實現真正的(de)"一(yi)證(zheng)多應用(yong)"。

4）系統部署可配(pei)置(zhi)，可選擇(ze)使用軟(ruan)加密庫作(zuo)為企業(ye)級CA系(xi)統(tong)的根(gen)密鑰(yao)存(cun)儲設備(bei)，從而降低(di)成本。

身份認證系統結構設計

企業級(ji)CA系(xi)統(tong)是對生存(cun)周期內(nei)的數(shu)字證書進行全過程管理的安全系(xi)統(tong)。

1、簽發服務器（CA）

簽發服務器(qi)對生存周期(qi)內(nei)的數字(zi)證(zheng)書進(jin)行全過程管(guan)理的控制模塊(kuai)，負責系統的初(chu)始化(hua)、用戶資料管(guan)理、用戶證(zheng)書管(guan)理、CA配(pei)置管理、CA策略信息管理等。

2、注冊服務器（RA）

注冊服務器作為身份認證系統的注冊模(mo)塊，負責用戶(hu)信(xin)息(xi)的錄入、用戶(hu)信(xin)息(xi)的審核(he)、證書申請、證書注銷(xiao)、證書更新(xin)等。

3、密鑰管理服務器（KM）

密(mi)鑰(yao)管理(li)服(fu)務(wu)器主要是實現對密(mi)鑰(yao)信息的(de)管理(li)，包括密(mi)鑰(yao)管理(li)服(fu)務(wu)器的(de)初始化、密(mi)鑰(yao)監(jian)控服(fu)務(wu)。

4、管理終端

證書管理終端主要是對系統進行管理，包括系統的初始化、用戶申請的審核上傳等。