【身份認(rèn)證系統(tǒng)】身份認(rèn)證系統(tǒng)的必要性 身份認(rèn)證系統(tǒng)結(jié)構(gòu)設(shè)計(jì)
身份認(rèn)證系統(tǒng)的必要性
1、嚴(yán)格的標(biāo)準(zhǔn)化設(shè)計(jì)
系統(tǒng)設(shè)計(jì)符合相關(guān)國(guó)際通用標(biāo)準(zhǔn),證書格式采用X509 V3標(biāo)準(zhǔn),證書注銷列表采用X509 V2標(biāo)準(zhǔn)。系統(tǒng)內(nèi)部使用的密碼設(shè)備接口為PKCS#11接口和MS CSP接口,支持多種型號(hào)的硬件密碼設(shè)備。
2、靈活的模塊化設(shè)計(jì)
以結(jié)構(gòu)化、模塊化為設(shè)計(jì)原則,組成系統(tǒng)的不同模塊之間相對(duì)獨(dú)立,可以根據(jù)不同用戶的需求實(shí)現(xiàn)靈活搭配,具有良好的可擴(kuò)展性。
3、完善的安全措施
采取通信加密、安全通信協(xié)議等安全措施進(jìn)行安全防護(hù)。利用硬件加密設(shè)備對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行加密,使得通信數(shù)據(jù)以密文的方式在網(wǎng)絡(luò)上進(jìn)行傳輸,同時(shí)采取硬件密碼設(shè)備、密鑰管理安全協(xié)議、密鑰存儲(chǔ)訪問控制、密鑰管理安全審計(jì)等多種措施對(duì)密鑰安全進(jìn)行安全防護(hù),系統(tǒng)用戶使用數(shù)字證書進(jìn)行身份認(rèn)證,確保系統(tǒng)自身安全。
系統(tǒng)內(nèi)采用的安全硬件產(chǎn)品均通過國(guó)家密碼局的安全鑒定,證書和密鑰存儲(chǔ)在USBKEY中,安全可靠。
4、有效的防護(hù)機(jī)制
在設(shè)計(jì)上包括安全防護(hù)機(jī)制、安全檢測(cè)機(jī)制和安全恢復(fù)機(jī)制。對(duì)于重要的系統(tǒng)數(shù)據(jù)和物理設(shè)備進(jìn)行安全備份和安全管理,確保系統(tǒng)運(yùn)行可靠。
5、簡(jiǎn)單的部署使用
管理系統(tǒng)采用B/S結(jié)構(gòu),管理員通過瀏覽器對(duì)系統(tǒng)進(jìn)行操作,無(wú)需安裝客戶端軟件,操作簡(jiǎn)單方便。
6、與第三方CA相比其優(yōu)勢(shì)
1)可實(shí)現(xiàn)對(duì)內(nèi)部信息系統(tǒng)在應(yīng)用層面的安全要求,實(shí)現(xiàn)內(nèi)部數(shù)字證書的發(fā)放及管理。
2)一次投資即可實(shí)現(xiàn)長(zhǎng)期使用,無(wú)證書年檢等費(fèi)用支出。
3)所發(fā)放的數(shù)字證書可應(yīng)用于企業(yè)內(nèi)部的多個(gè)系統(tǒng)中,實(shí)現(xiàn)真正的"一證多應(yīng)用"。
4)系統(tǒng)部署可配置,可選擇使用軟加密庫(kù)作為企業(yè)級(jí)CA系統(tǒng)的根密鑰存儲(chǔ)設(shè)備,從而降低成本。
身份認(rèn)證系統(tǒng)結(jié)構(gòu)設(shè)計(jì)
企業(yè)級(jí)CA系統(tǒng)是對(duì)生存周期內(nèi)的數(shù)字證書進(jìn)行全過程管理的安全系統(tǒng)。
1、簽發(fā)服務(wù)器(CA)
簽發(fā)服務(wù)器對(duì)生存周期內(nèi)的數(shù)字證書進(jìn)行全過程管理的控制模塊,負(fù)責(zé)系統(tǒng)的初始化、用戶資料管理、用戶證書管理、CA配置管理、CA策略信息管理等。
2、注冊(cè)服務(wù)器(RA)
注冊(cè)服務(wù)器作為身份認(rèn)證系統(tǒng)的注冊(cè)模塊,負(fù)責(zé)用戶信息的錄入、用戶信息的審核、證書申請(qǐng)、證書注銷、證書更新等。
3、密鑰管理服務(wù)器(KM)
密鑰管理服務(wù)器主要是實(shí)現(xiàn)對(duì)密鑰信息的管理,包括密鑰管理服務(wù)器的初始化、密鑰監(jiān)控服務(wù)。
4、管理終端
證書管理終端主要是對(duì)系統(tǒng)進(jìn)行管理,包括系統(tǒng)的初始化、用戶申請(qǐng)的審核上傳等。