【身(shen)份(fen)(fen)認證(zheng)系統(tong)】身(shen)份(fen)(fen)認證(zheng)系統(tong)的必要性(xing) 身(shen)份(fen)(fen)認證(zheng)系統(tong)結(jie)構設計
身份認證系統的必要性
1、嚴格的標準化設計
系統設(she)計符合(he)相關國(guo)際通用(yong)標準,證書格式采用(yong)X509 V3標準,證書注銷列表采用X509 V2標(biao)準(zhun)。系統內(nei)部使用(yong)的密碼設備接(jie)口為PKCS#11接(jie)口和(he)MS CSP接口,支持多(duo)種型號(hao)的(de)硬件密碼設備。
2、靈活的模塊化設計
以結構化、模(mo)塊化為(wei)設計原則,組成系統的不同模(mo)塊之(zhi)間(jian)相對獨立(li),可以根據不同用戶的需求實現(xian)靈活搭配,具有良(liang)好的可擴(kuo)展性。
3、完善的安全措施
采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密,使得通信數據以密文的方式在網絡上進行傳輸,同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護,系統用戶使用數字證書進行身份認證,確保系統(tong)自身安全。
系統內采用的(de)安全硬件產品均(jun)通過國家密碼(ma)局(ju)的(de)安全鑒定,證書和密鑰存儲在USBKEY中,安全可靠。
4、有效的防護機制
在設計(ji)上包括安全(quan)(quan)防護機制、安全(quan)(quan)檢測機制和(he)(he)安全(quan)(quan)恢復機制。對于重要的(de)系統數(shu)據和(he)(he)物理設備進行安全(quan)(quan)備份和(he)(he)安全(quan)(quan)管理,確保系統運行可靠。
5、簡單的部署使用
管理系統(tong)采(cai)用B/S結構,管理員通過瀏覽(lan)器對(dui)系統(tong)進(jin)行操(cao)作,無需安裝客戶端軟件,操(cao)作簡單方便(bian)。
6、與第三方CA相比其優勢
1)可實現(xian)(xian)對內(nei)部信(xin)息系(xi)統在(zai)應用層面的安全(quan)要(yao)求,實現(xian)(xian)內(nei)部數字證(zheng)書的發放及管理。
2)一次投資(zi)即(ji)可實現長期使(shi)用(yong),無證書年檢等(deng)費(fei)用(yong)支出。
3)所發放的(de)數字證書可(ke)應用于企業(ye)內部(bu)的(de)多個系統中,實(shi)現真正的(de)"一(yi)證多應用"。
4)系統部署(shu)可配置,可選擇使用軟加(jia)密(mi)庫作為企(qi)業級CA系統的根密(mi)鑰(yao)存儲設備(bei),從而降低成本。
身份認證系統結構設計
企業級CA系(xi)統是對生存(cun)周期內的數字證書進行全(quan)過(guo)程(cheng)管(guan)理的安全(quan)系(xi)統。
1、簽發服務器(CA)
簽發服(fu)務(wu)器對生存周(zhou)期(qi)內的(de)(de)數字證(zheng)書進行全過程(cheng)管(guan)理的(de)(de)控(kong)制模塊,負責系統的(de)(de)初(chu)始化、用(yong)戶資料(liao)管(guan)理、用(yong)戶證(zheng)書管(guan)理、CA配(pei)置管(guan)理(li)、CA策略信息管理等(deng)。
2、注冊服務器(RA)
注冊服務器作為身份認證系統的(de)(de)注冊模(mo)塊,負(fu)責用戶(hu)信息(xi)的(de)(de)錄入(ru)、用戶(hu)信息(xi)的(de)(de)審核、證書申請、證書注銷、證書更新(xin)等。
3、密鑰管理服務器(KM)
密(mi)鑰管(guan)理(li)(li)服務器主要是實現(xian)對密(mi)鑰信息的管(guan)理(li)(li),包(bao)括密(mi)鑰管(guan)理(li)(li)服務器的初始(shi)化(hua)、密(mi)鑰監控服務。
4、管理終端
證書管理終端主要是對系統進行管理,包括系統的初始化、用戶申請的審核上傳等。