本发明专利技术公开了一种实现一厂多地统一身份认证的系统,包括一个主平台和一个以上的辅平台;主平台用于证书的签发、审计,实现系统的认证登录,辅平台用于将已审核通过主平台审计的证书进行签发,实现系统的认证登录。本发明专利技术针对一厂多地的使用场景,设计了主、辅平台的不同实施方案,提出了一种可以实现快速高效统一身份认证服务与稳定可靠的系统级与应用级的身份认证服务的可行性方法,有效地降低整个项目的的实施成本。目的的实施成本。目的的实施成本。
【技术实现步骤摘要】
一种实现一厂多地统一身份认证的系统
[0001]本专利技术属于计算机数字加密证书、身份鉴别、统一安全认证、数据传输
,涉及一种实现一厂多地统一身份认证的系统。
技术介绍
[0002]PKI/CA系统指的是基于公钥基础设施的身份认证中心。PKI技术解决了网络通信安全的种种障碍,CA技术从运营、管理、规范、人员、权限等多个方面来解决网络信息问题。从总体架构上看,PKI/CA主要是由最终用户、认证中心和注册机构来组成。PKI/CA技术是以数字证书为核心在网络上传输的信息进行加密和解密、数字签名和签名验证的操作,从而保障:
①
信息除发送方和接收方外不被其他人窃取;
②
信息在传输过程中不被篡改;
③
发送方能够通过数字证书来确认接受方的身份;
④
发送方对于自己的信息不能抵赖。PKI/CA解决方案已经普遍应用于全球范围内的电子商务、国家安全领域。
[0003]为了满足国家密码管理局新标准要求,从2015年起,我国国内各大军工集团相继发出了针对各自集团内部PKI/CA系统升级的要求。国家密码管理局指出“已建设的和将要建设的以PKI为基础的系统,都要支持SM2算法。在建和拟建CA认证系统和密钥管理系统应采用SM2算法,新研制的含有公钥密码算法的产品需要支持SM2以及RSA两种算法证书”。RAS算法是基于国际通用操作系统的加密算法,SM2算法是我国自主设计的公钥密码算法。
[0004]所以针对一厂多地的场景,设计一种新的满足国家密码局新标准SM2算法、方便快捷的、高效的的PKI/CA的统一身份认证的架构方法就迫在眉睫。
技术实现思路
[0005]专利技术目的:提供一种实现一厂多地统一身份认证的系统。本专利技术针对一厂多地的使用场景,设计了主、辅平台的不同实施方案,提出了一种可以实现快速高效统一身份认证服务与稳定可靠的系统级与应用级的身份认证服务的可行性方法,有效地降低整个项目的的实施成本。
[0006]技术方案:一种实现一厂多地统一身份认证的系统,包括一个主平台和一个以上的辅平台;主平台用于证书的签发、审计,实现系统的认证登录,辅平台用于将已审核通过主平台审计的证书进行签发,实现系统的认证登录。
[0007]前述的实现一厂多地统一身份认证的系统中,所述的主平台包括主PKI/CA基础设施平台、主应用安全支撑中心;主PKI/CA基础设施平台,用于证书的签发,及对辅平台提供的证书进行审计;主应用安全支撑中心,用于实现系统的认证登录;所述的辅平台包括辅PKI/CA基础设施平台和主应用安全支撑中心;用于对已通过主平台审计的证书进行签发;主应用安全支撑中心,用于实现系统的认证登录。
[0008]前述的实现一厂多地统一身份认证的系统中,所述的主PKI/CA基础设施平台由数据库、CA证书管理中心、加密机、KM密钥管理中心、主RA用户注册管理中心、主LDAP系统、从LDAP系统Ⅰ、主OCSP证书在线状态查询系统、CDS
‑
M证书综合管理系统、SA证书安全综合审计
系统组成;CA证书管理中心用于通过SM2与RSA双算法对已加密的数字证书签名;加密机,用于生成非对称密钥对,并对非对称密钥对进行加密;KM密钥管理中心:用于存储加密后的非对称密钥对;主RA用户注册管理中心,负责证书申请者的信息录入、审核以及证书发放,同时对发放的证书完成相应的管理功能;主LDAP系统(轻量级目录访问协议),用于发布目录系统服务实现快捷查询;从LDAP系统Ⅰ,用于实现与主LDAP系统的相互备份,相互推送;主OCSP证书在线状态查询系统,提供实时的证书状态查询;CDS
‑
M证书综合管理系统,为CA账户以及密钥提供在线自助管理服务;SA证书安全综合审计系统,用于对CA证书管理中心、KM密钥管理中心、主RA用户注册管理中心进行安全审计。
[0009]前述的实现一厂多地统一身份认证的系统中,所述的在线自助管理服务为:通过网络在线方式提供证书办理申请、审核、更新、撤销、USBkey解锁、重签发及统计查询业务的受理和管理功能,为用户提供个人证书的下载、吊销和查询功能,提供证书登录及操作行为的记录。
[0010]前述的实现一厂多地统一身份认证的系统中,非对称密钥对包括1024/2048/3072/4096位RAS密钥对和256位SM2密钥对。
[0011]前述的实现一厂多地统一身份认证的系统中,所述的主应用安全支撑中心,由安全认证网关、终端安全登录服务器组成;终端安全登录系统,用于实现在服务器端集中管理、日志收集分析、统一策略下发、三员分立的功能;安全认证网关,用于保障应用系统资源安全,防范非法访问应用系统资源,来满足应用层的增强身份认证和加密通道建立的需求;同时支持RSA以及SM2算法;支持自负载模式,实现两台网管负载部署模式。
[0012]前述的实现一厂多地统一身份认证的系统中,所述的主平台还包括主业务操作区;包括主业务操作区由一个以上的业务终端组成,每个业务终端配有key,用于提供私钥和算法安全存贮。key包括指纹key和USBKey,均支持国产SM2算法;
[0013]前述的实现一厂多地统一身份认证的系统中,所述的辅平台由辅PKI/CA基础设施平台与辅应用安全支持中心两部分组成;辅PKI/CA基础设施平台是由辅RA用户注册管理中心、从LDAP系统Ⅱ、辅OCSP证书在线状态查询系统组成。
[0014]前述的实现一厂多地统一身份认证的系统中,所述的辅应用安全支持中心由辅安全认证网关与辅终端安全登录系统组成。
[0015]有益效果:原本针对一厂多地的身份认证使用场景,每个园区均要使用同等配置实施方案,存在相同设备在不同园区内重复使用的情况,会造成建设成本难以降低。
[0016]本专利技术针对一厂多地的使用场景,设计了主平台与辅平台的不同的实施方案,提出了一种可以实现快速高效统一身份认证服务与(包含证书签发、更新、废除等基于证书)稳定可靠的系统级与应用级的身份认证服务的可行性方法,有效地降低整个项目的的实施成本。在本项专利技术中,辅平台比主平台减少了三台服务器、一台加密机与六个子功能模块。辅平台的建设总成本仅有主平台建设成本的50%,有效降低的部署时间与运维成本,实现了资源的有效利用。
[0017]在极大程度降低成本的同时,为不影响身份认证的核心业务的稳定性,本专利技术在主平台与辅平台分别设计了LDAP服务,可以实现本地化的快速认证,并且设计了备用LDAP,保障核心业务不会由于成本的大幅减少而不稳定。
[0018]为了实现厂内信息系统身份认证(强身份认证)的基础平台,身份认证系统分别为
本园区终端、用户以及资源签发数字身份证书。考虑到一厂多地这种特殊的物理环境,本专利技术设计在主平台部署一套完整的PKI/CA系统,在其他几个辅助平台以辅助证书注册审核中心接入PKI/CA数字证书基础平台的方式保障其功能高效可用。
[0019]针对强身份认证,主要要实现
①
证书签发及相关本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种实现一厂多地统一身份认证的系统,其特征在于,包括一个主平台和一个以上的辅平台;主平台用于证书的签发、审计,实现系统的认证登录,辅平台用于将已审核通过主平台审计的证书进行签发,实现系统的认证登录。2.根据权利要求1所述的实现一厂多地统一身份认证的系统,其特征在于,所述的主平台包括主PKI/CA基础设施平台、主应用安全支撑中心;主PKI/CA基础设施平台,用于证书的签发,及对辅平台提供的证书进行审计;主应用安全支撑中心,用于实现系统的认证登录;所述的辅平台包括辅PKI/CA基础设施平台和主应用安全支撑中心;用于对已通过主平台审计的证书进行签发;主应用安全支撑中心,用于实现系统的认证登录。3.根据权利要求2所述的实现一厂多地统一身份认证的系统,其特征在于,所述的主PKI/CA基础设施平台由数据库、CA证书管理中心、加密机、KM密钥管理中心、主RA用户注册管理中心、主LDAP系统、从LDAP系统Ⅰ、主OCSP证书在线状态查询系统、CDS
‑
M证书综合管理系统、SA证书安全综合审计系统组成;CA证书管理中心用于通过SM2与RSA双算法对已加密的数字证书签名;加密机,用于生成非对称密钥对,并对非对称密钥对进行加密;KM密钥管理中心:用于存储加密后的非对称密钥对;主RA用户注册管理中心,负责证书申请者的信息录入、审核以及证书发放,同时对发放的证书完成相应的管理功能;主LDAP系统,用于发布目录系统服务实现快捷查询;从LDAP系统Ⅰ,用于实现与主LDAP系统的相互备份,相互推送;主OCSP证书在线状态查询系统,提供实时的证书状态查询;CDS
‑
M证书综合管理系统,为CA账户以及密钥提供在线自助管理服务;SA证书安全综合审计系统,用于对C...
【专利技术属性】
技术研发人员:董航,
申请(专利权)人:中国直升机设计研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。