【身份認證系統】身份認證系統的必要性 身份認證系統結構設計
身份認證系統的必要性
1、嚴格的標準化設計
系統設計符合相關國際通用標準,證書格式采用X509 V3標準,證書注銷列表采用X509 V2標準。系統內部使用的密碼設備接口為PKCS#11接口和MS CSP接口,支持多種型號的硬件密碼設備。
2、靈活的模塊化設計
以結構化、模塊化為設計原則,組成系統的不同模塊之間相對獨立,可以根據不同用戶的需求實現靈活搭配,具有良好的可擴展性。
3、完善的安全措施
采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密,使得通信數據以密文的方式在網絡上進行傳輸,同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護,系統用戶使用數字證書進行身份認證,確保系統自身安全。
系統內采用的安全硬件產品均通過國家密碼局的安全鑒定,證書和密鑰存儲在USBKEY中,安全可靠。
4、有效的防護機制
在設計上包括安全防護機制、安全檢測機制和安全恢復機制。對于重要的系統數據和物理設備進行安全備份和安全管理,確保系統運行可靠。
5、簡單的部署使用
管理系統采用B/S結構,管理員通過瀏覽器對系統進行操作,無需安裝客戶端軟件,操作簡單方便。
6、與第三方CA相比其優勢
1)可實現對內部信息系統在應用層面的安全要求,實現內部數字證書的發放及管理。
2)一次投資即可實現長期使用,無證書年檢等費用支出。
3)所發放的數字證書可應用于企業內部的多個系統中,實現真正的"一證多應用"。
4)系統部署可配置,可選擇使用軟加密庫作為企業級CA系統的根密鑰存儲設備,從而降低成本。
身份認證系統結構設計
企業級CA系統是對生存周期內的數字證書進行全過程管理的安全系統。
1、簽發服務器(CA)
簽發服務器對生存周期內的數字證書進行全過程管理的控制模塊,負責系統的初始化、用戶資料管理、用戶證書管理、CA配置管理、CA策略信息管理等。
2、注冊服務器(RA)
注冊服務器作為身份認證系統的注冊模塊,負責用戶信息的錄入、用戶信息的審核、證書申請、證書注銷、證書更新等。
3、密鑰管理服務器(KM)
密鑰管理服務器主要是實現對密鑰信息的管理,包括密鑰管理服務器的初始化、密鑰監控服務。
4、管理終端
證書管理終端主要是對系統進行管理,包括系統的初始化、用戶申請的審核上傳等。
