【身(shen)份(fen)(fen)認證(zheng)系統(tong)】身(shen)份(fen)(fen)認證(zheng)系統(tong)的必要性(xing) 身(shen)份(fen)(fen)認證(zheng)系統(tong)結(jie)構設計

身份認證系統的必要性

1、嚴格的標準化設計

系統設(she)計符合(he)相關國(guo)際通用(yong)標準，證書格式采用(yong)X509 V3標準，證書注銷列表采用X509 V2標(biao)準(zhun)。系統內(nei)部使用(yong)的密碼設備接(jie)口為PKCS#11接(jie)口和(he)MS CSP接口，支持多(duo)種型號(hao)的(de)硬件密碼設備。

該圖片由注冊用戶"溫暖·生活家"提供，版權聲明反饋

2、靈活的模塊化設計

以結構化、模(mo)塊化為(wei)設計原則，組成系統的不同模(mo)塊之(zhi)間(jian)相對獨立(li)，可以根據不同用戶的需求實現(xian)靈活搭配，具有良(liang)好的可擴(kuo)展性。

3、完善的安全措施

采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密，使得通信數據以密文的方式在網絡上進行傳輸，同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護，系統用戶使用數字證書進行身份認證，確保系統(tong)自身安全。

系統內采用的(de)安全硬件產品均(jun)通過國家密碼(ma)局(ju)的(de)安全鑒定，證書和密鑰存儲在USBKEY中，安全可靠。

4、有效的防護機制

在設計(ji)上包括安全(quan)(quan)防護機制、安全(quan)(quan)檢測機制和(he)(he)安全(quan)(quan)恢復機制。對于重要的(de)系統數(shu)據和(he)(he)物理設備進行安全(quan)(quan)備份和(he)(he)安全(quan)(quan)管理，確保系統運行可靠。

5、簡單的部署使用

管理系統(tong)采(cai)用B/S結構，管理員通過瀏覽(lan)器對(dui)系統(tong)進(jin)行操(cao)作，無需安裝客戶端軟件，操(cao)作簡單方便(bian)。

6、與第三方CA相比其優勢

1）可實現(xian)(xian)對內(nei)部信(xin)息系(xi)統在(zai)應用層面的安全(quan)要(yao)求，實現(xian)(xian)內(nei)部數字證(zheng)書的發放及管理。

2）一次投資(zi)即(ji)可實現長期使(shi)用(yong)，無證書年檢等(deng)費(fei)用(yong)支出。

3）所發放的(de)數字證書可(ke)應用于企業(ye)內部(bu)的(de)多個系統中，實(shi)現真正的(de)"一(yi)證多應用"。

4）系統部署(shu)可配置，可選擇使用軟加(jia)密(mi)庫作為企(qi)業級CA系統的根密(mi)鑰(yao)存儲設備(bei)，從而降低成本。

身份認證系統結構設計

企業級CA系(xi)統是對生存(cun)周期內的數字證書進行全(quan)過(guo)程(cheng)管(guan)理的安全(quan)系(xi)統。

1、簽發服務器（CA）

簽發服(fu)務(wu)器對生存周(zhou)期(qi)內的(de)(de)數字證(zheng)書進行全過程(cheng)管(guan)理的(de)(de)控(kong)制模塊，負責系統的(de)(de)初(chu)始化、用(yong)戶資料(liao)管(guan)理、用(yong)戶證(zheng)書管(guan)理、CA配(pei)置管(guan)理(li)、CA策略信息管理等(deng)。

2、注冊服務器（RA）

注冊服務器作為身份認證系統的(de)(de)注冊模(mo)塊，負(fu)責用戶(hu)信息(xi)的(de)(de)錄入(ru)、用戶(hu)信息(xi)的(de)(de)審核、證書申請、證書注銷、證書更新(xin)等。

3、密鑰管理服務器（KM）

密(mi)鑰管(guan)理(li)(li)服務器主要是實現(xian)對密(mi)鑰信息的管(guan)理(li)(li)，包(bao)括密(mi)鑰管(guan)理(li)(li)服務器的初始(shi)化(hua)、密(mi)鑰監控服務。

4、管理終端

證書管理終端主要是對系統進行管理，包括系統的初始化、用戶申請的審核上傳等。