文档介绍：该【统一认证平台解决方案 】是由【1781111****】上传分享，文档一共【18】页，该文档可以免费在线阅读，需要了解更多关于【统一认证平台解决方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..概述PKI)技术,严格遵循XXX制定的《证书认证系统密码及其相关安全技术规范》标准,完全自主研发的商用密码统一身份认证系统,主要为用户提供多系统之间的统一身份认证、数据加解密、数据安全传输、业务系统安全集成等系统安全服务。统一认证平台的最大特点是它作为整个系统平台的基础安全服务构件,为政府部门、企业单位的各个应用系统提供数据安全服务集成、统一身份认证服务,同时,提供方便易用的运维管理工具,为客户合规性检查提供有效的支撑。,对系统各层级功能进行初步划分,区分每个功能的边界,结果如下表所示:,利用SSL安全SSL数字证书身份认证通道对客户的网络身份进行真实性验证,解决网上应用:..主要用于为服务器端应用提供服务器端PKCS#1和PKCS#7格式数据签名运算以及数字信封的私钥加、解密运算。数字签名运算服务为系统开发需要数字签名、数字信封技术提供便捷的运算接口。主要用于在服务器端接收数据后,对数据署名、署名证书的有效性进行合法性验证。支持PKCS#1、PKCS#7格式的数字签名。签名验证服务应用于验证网上用户身份、检验交易凭据和防止抵赖等方面。涉及到多种表格的组合统计根据业务的需求发起对账并生成对账单各对账单位对无异议的对账单结果确认对存在争议的原始数据进行处理,录入异议、修改数据并天生点窜记录CA认证PCS私钥运算SVS署名验证统计分析对账功能对账单天生:..、简朴易用、提供可视化的数据管理系统的设计采用B/S模式,各模块和子系统采用漫衍式架构,只需在服务端部署即可,客户端无需做任何的点窜,管理终端与服务器之间采用高强度SSL安全连接,采用数字证书对用户的身份实现管理。为降低管理人员的工作量,系统提供完善的可视化数据平台,从多个维度对数据进行分析和统计。同时可结合用户的实际需要,灵活的进行系统模块的组合部署,如采用:RA+CA+KMC、RA+CA等多种组合。,采用专用密码硬件系统采用完全符合国度商用暗码管理局标准和规范要求的专用服务器暗码机、署名验签服务器,可进行灵活的扩展以满意不同客户的性能要求。,同时配合数字证书进行身份验证:..数据库、配置文件中的敏感数据采用加密方式保存;提供完备的数据备份及恢复的手段。管理人员安全采用基于数字证书的身份验证机制,管理员使用证书进行登录管理、管理员的管理权限与其证书进行绑定。兼容主流系统情况,开发接口丰富系统支持主流操作系统运行情况和主流硬件平台,支持Windows,Linux,AIX,Solaris,HP_UX,并提供Java、C。C#、ObjectC等应用接口,方便用户的应用集成。,各个子系统和模块之间相对独立,可漫衍式部署,全部系统的逻辑结构以下:整个系统架构分为以下层次:操作系统以及数据库层为系统运行所需求的根本情况。密码硬件接口封装层将底层硬件接口进行封装,如底层的服务器密码机等硬件设备。:..为全部系统运行框架,具体包孕消息队列、并发控制等。证书和密钥管理层主要包括用户注册申请证书服务、证书生命周期管理、密钥生命周期管理等。身份认证服务层主要提供基于业务的身份认证服务、第三方证书的管理以及证书状态的查询等。安全集成组件服务层主要为应用系统的安全集成提供组件以及为用户终端的安全集成提供组件。?审计以及运维管理子系统为整个系统提供审计基础服务以及为运维管理提供管理、监控服务。典型部署全部系统网络拓扑图以下:统一信息数据共享平台税务内网社保、医保内网边界隔离边界隔离统一信息平台CA解决方案:..边界隔离设备对核心区域外的用户提供认证服务,主要密码硬件(服务器密码机、签名验签服务器)、系统、KMC系统、RA系统,主要为客户解决用户的认证,包括用户身份、设备身份的认证,并提供完善的运维审计管理工具。系统组成核心硬件部件联合客户的实际需求,我们将根据用户的对性能、容量的需求,灵活的配置各类专用暗码硬件,为全部系统提供强有力的算力支撑,主要的硬件主要包孕:服务器暗码机服务器暗码机为符合国度商用暗码管理规定、通过XXX的检测的加解密运算和密钥安全存储的专用暗码设备,在系统中,主要为全部系统提供密钥的产生、中心密钥的安全存储功用,为全部系统的高效、快速的密钥产生提供强有力的算力支撑和安全保障。签名验签服务器签名验签服务器为符合国家商用密码管理规定、通过XXX的检测的签名运算、验签运算专用密码设备,在系统中,主要为整个系统提供证书的产生、核心密钥的安全存储功能,:..及安全保障。中心软件部件暗码硬件接口封装层该模块主要为全部系统所应用的暗码硬件进行接口统一封装,,主要包括:服务器密码机的接口封装、签名验签服务器的接口封装等。:密钥管理中心(KMC)和证书管理系统两大子系统,密钥管理系统是整个系统的核心,对系统中的所有密钥的整个生命周期进行严格的管控,具体功能包括有密钥的生成、密钥的分发、密钥的存储、密钥的备份以及恢复等,证书管理系统主要对证书的整个生命周期进行管理,具体功能主要包括证书模板设置、证书的签发、证书的更新、证书的过期监控等。,包孕为应用系统提供完善的安全集成开发组件和为终端/用户提供完善的完全开发组件,力求用户开发简朴、和个性化的定制。:..的管理和监控,并提供可视化的数据界面,让运维管理人员可以轻松方便的对全部系统进行监控和维护,同时,提供详细的日志记录,供系统审计人员对系统运行的合规性进行审计。:通过可信第三方认证机构签发数字证书,利用SSL安全通道对客户的网络身份进行真实性验证,解决网上应用系统的用户身份认证问题。PCS私钥运算:主要用于为服务器端应用提供服务器端PKCS#1和PKCS#7格式数据署名运算和数字信封的私钥加、解密运算。数字署名运算服务为系统开发需求数字署名、数字信封技术提供便捷的运算接口。署名验证:主要用于在服务器端接收数据后,对数据署名、署名证书的有效性进行合法性验证。支持PKCS#1、PKCS#7格式的数字署名。署名验证服务应用于验证网上用户身份、检验交易凭据和防止抵赖等方面。对账功能:涉及到多种表格的组合统计。:..助申请。证书签发:对于通过审核的证书申请,CA系统可以为其签发证书。证书下载:用户可以通过下载凭据安全的下载证书。对一些申请成功但是没有下载的证书,RA系统可以重新天生下载凭据(授权码),使用新的下载凭据即可进行证书下载。证书发布:对于签发好的证书,系统进行自动发布。证书更新:系统提供证书更新功用。证书查询:用户可以通过查询条件查询出符合条件的证书信息。证书注销:用户可以对一些不再使用或是使用过程中出现问题的证书进行注销操作,注销名的证书不可恢复。:..作,在冻结期间内证书被限制不可使用。证书解冻:提供证书解冻功用,使得证书可以重新使用。证书实体查询:用户可以通过查询条件可以查询出符合条件的证书。CRL服务功能:提供CRL产生、CRL发布、CRL查询功能。用户信息维护:系统提供按照自定义的格式产生用户信息,并可以对用户信息进行添加、删除、修改等维护方式。分权管理:提供系统管理、业务操作和安全审计三权分离功能。主题划定规矩管理:支持主题划定规矩定义,提升用户使用服务体验。:..域同称、扩展域值的自定义,满意不同发证需求。日志审计:审计管理包括查询业务日志和统计证书功能,并生成相应统计报表。批量申请和制证:支持批量证书申请和制证的功能,简化管理员操作。认证服务身份认证:利用SSL安全通道对客户的网络身份进行真实性验证设备认证:USBKEY智能暗码钥匙(一代),证书储存介质。:..密钥分发密钥备份与恢复密钥更新密钥归档密钥查询密钥销毁密钥预生成用户管理用户注册批量用户注册注销用户更新用户:..,包括备份策略配置、备份计划的设置等。密钥系统的备份和恢复,采用多分量分散备份机制。:..日志的归档数字署名支持对数据、文件制作数字签名,签名结构符合PKCS#7标准;支持验证符合PKCS#7标准的签名结果。数字署名服务器支持对数据制造数字署名,署名结构符合PKCS#1标准;支持通过证书导入、证书配置方式验证符合PKCS#1标准的署名结果。身份验证:使用证书进行数字署名,接收者可验证署名,而其他任何人都不能伪造署名。事后验证:使用证书进行完整数字署名,署名结果中包含署名时的全部证书状态信息,接收者可在天生名的任意工夫验证,而其他任何人都不能伪造。数据完整性:对重要数据、文件制造数字署名,如果验证署名失败,申明数据的完整性遭到破损。行为抗抵赖:对操作行为(数据形式)制作数字签名,签名者事名不能否认自己的签名。、文件制作数字信封,信封结构符合PKCS#7标准;支持解密符合PKCS#7标准的信封结果。:..障数据的私密性。证书验证支持对签名、加密证书进行全面验证;根据配置不同CA签发的根证书,验证证书的信任域;根据系统工夫,验证证书的有效期;根据CRL或OCSP验证证书状态。证书状态验证方式包括,标准OCSP协议验证证书,连接LDAP服务器更新CRL验证,连接WEB服务器更新CRL验证。、数字信封,结构严格遵循PKCS#7标准,可供其他CA机构验证。支持配置多信任CA签发的根证书,可验证不同CA机构签发的符合PKCS#7标准的签名、信封结果。:..当备机发现工作机停止工作,切换到备机提供服务,当主机恢复一般后,备机自动切回到主机。技术规格GB/T19713-2005信息技术安全技术公钥基础设施在线证书状态协议GM/T0006密码应用标识规范GM/T0009SM2密码算法使用规范PKCS#1RSA密码算法使用规范GM/T0010SM2暗码算法加密署名消息语法规范PKCS#7RSA暗码算法消息语法规范GM/T0014数字证书认证系统密码协议规范GM/T0015基于SM2密码算法的数字证书格式规范:..GM/T0020证书应用综合服务接口规范技术规格指标项并发连接数证书容量双证书签发工夫OCSP响应时间数字证书格式证书存储介质操作系统数据库支持硬件情况安全集成组件规范参数值同时支持3000个并发连接最大支持100000个证书双证书签发时间<1秒:..<-V3规范支持软证书、USBKEY证书、IC卡存储,支持RSAPKCS#11标准支持WindowsServer2003以上版本支持RedHatLinux等主流Linux操作系统支持AIX、Unix支持XXXSQLSERVER、DB2、XXX、Mysql、Informix。支持HP、AIX等Unix小型机支持X86架构的硬件服务器n支持Windows、Linux、MACOS等PC操作系统d、IOS等手机操作系统n支持IE、Firefox、Chrome等内核浏览器