统一认证平台解决方案.docx

1、统一认证平台解决方案统一认证平台解决方案1.概述统一认证平台的技术基于公钥密码基础设施（PKI）技术，严格遵循国家密码管理局制定的证书认证系统密码及其相关安全技术规范标准，完全自主研发的商用密码统一身份认证系统，主要为用户提供多系统之间的统一身份认证、数据加解密、数据安全传输、业务系统安全集成等系统安全服务。统一认证平台的最大特点是它作为整个系统平台的基础安全服务构件，为政府部门、企业单位的各个应用系统提供数据安全服务集成、统一身份认证服务，同时，提供方便易用的运维管理工具，为客户合规性检查提供有效的支撑。2. 系统功能模块说明2.1功能划分根据需求，对系统各层级功能进行初步划分，区分每个功能

2、的边界，结果如下表所示：2.2功能模块模块功能功能描述CA认证SSL数字证书身份认证通过可信第三方认证机构签发数字证书，利用SSL安全通道对客户的网络身份进行真实性验证，解决网上应用系统的用户身份认证问题。PCS私钥运算主要用于为服务器端应用提供服务器端PKCS#1和PKCS#7格式数据签名运算以及数字信封的私钥加、解密运算。数字签名运算服务为系统开发需要数字签名、数字信封技术提供便捷的运算接口。SVS签名验证主要用于在服务器端接收数据后，对数据签名、签名证书的有效性进行合法性验证。支持PKCS#1、PKCS#7格式的数字签名。签名验证服务应用于验证网上用户身份、检验交易凭证和防止抵赖等方面。

3、对账功能统计分析涉及到多种表格的组合统计对账单生成根据业务的需求发起对账并生成对账单对账确认各对账单位对无异议的对账单结果确认异议处理对存在争议的原始数据进行处理，录入异议、修改数据并生成修改记录3. 系统特点3.1. 部署灵活、简单易用、提供可视化的数据管理系统的设计采用B/S模式，各模块以及子系统采用分布式架构，只需在服务端部署即可，客户端无需做任何的修改，管理终端与服务器之间采用高强度SSL安全连接，采用数字证书对用户的身份实现管理。为降低管理人员的工作量，系统提供完善的可视化数据平台，从多个维度对数据进行分析和统计。同时可结合用户的实际需要，灵活的进行系统模块的组合部署，如采用：RA+

4、CA+KMC、RA+CA等多种组合。3.2. 支持国密算法，采用专用密码硬件系统采用完全符合国家商用密码管理局标准以及规范要求的专用服务器密码机、签名验签服务器，可进行灵活的扩展以满足不同客户的性能要求。3.3. 系统平台的高安全性通信安全平台内部各子系统采用高强度的SSL标准安全通信协议，同时配合数字证书进行身份验证数据安全数据库、配置文件中的敏感数据采用加密方式保存；提供完备的数据备份及恢复的手段。管理人员安全采用基于数字证书的身份验证机制，管理员使用证书进行登录管理、管理员的管理权限与其证书进行绑定。3.4. 兼容主流系统环境，开发接口丰富系统支持主流操作系统运行环境以及主流硬件平台，支

5、持Windows，Linux，AIX，Solaris，HP_UX，并提供Java、C、.net、C#、Object C等应用接口，方便用户的应用集成。4. 系统架构4.1.系统架构系统采用全分布式架构，各个子系统和模块之间相对独立，可分布式部署，整个系统的逻辑结构如下：整个系统架构分为以下层次：操作系统以及数据库层为系统运行所需要的基本环境。密码硬件接口封装层将底层硬件接口进行封装，如底层的服务器密码机等硬件设备。系统运行框架为整个系统运行框架，具体包括消息队列、并发控制等。证书以及密钥管理层主要包括用户注册申请证书服务、证书生命周期管理、密钥生命周期管理等。身份认证服务层主要提供基于业务的身

6、份认证服务、第三方证书的管理以及证书状态的查询等。安全集成组件服务层主要为应用系统的安全集成提供组件以及为用户终端的安全集成提供组件。审计以及运维管理子系统为整个系统提供审计基础服务以及为运维管理提供管理、监控服务。4.2. 典型部署整个系统网络拓扑图如下：在上述图中可以看出，部署于用户系统的核心区域，通过边界隔离设备对核心区域外的用户提供认证服务，主要密码硬件（服务器密码机、签名验签服务器）、CA系统、KMC系统、RA系统，主要为客户解决用户的认证，包括用户身份、设备身份的认证，并提供完善的运维审计管理工具。4.3.系统组成核心硬件部件结合客户的实际需要，我们将根据用户的对性能、容量的需求，

7、灵活的配置各种专用密码硬件，为整个系统提供强有力的算力支撑，主要的硬件主要包括：服务器密码机服务器密码机为符合国家商用密码管理规定、通过国家商用密码管理局的检测的加解密运算以及密钥安全存储的专用密码设备，在系统中，主要为整个系统提供密钥的产生、核心密钥的安全存储功能，为整个系统的高效、快速的密钥产生提供强有力的算力支撑以及安全保障。签名验签服务器签名验签服务器为符合国家商用密码管理规定、通过国家商用密码管理局的检测的签名运算、验签运算专用密码设备，在系统中，主要为整个系统提供证书的产生、核心密钥的安全存储功能，为整个系统的高效、快速的证书验证提供强有力的算力支撑以及安全保障。核心软件部件1.密

8、码硬件接口封装层该模块主要为整个系统所应用的密码硬件进行接口统一封装，实现整个系统其他模块的硬件无关性，主要包括：服务器密码机的接口封装、签名验签服务器的接口封装等。2.证书以及密钥管理层该模块主要包括有：密钥管理中心（KMC）和证书管理系统两大子系统，密钥管理系统是整个系统的核心，对系统中的所有密钥的整个生命周期进行严格的管控，具体功能包括有密钥的生成、密钥的分发、密钥的存储、密钥的备份以及恢复等，证书管理系统主要对证书的整个生命周期进行管理，具体功能主要包括证书模板设置、证书的签发、证书的更新、证书的过期监控等。3.安全集成组件服务层安全集成组件服务层是整个系统对外的服务展示层，包括为应用

9、系统提供完善的安全集成开发组件以及为终端/用户提供完善的完全开发组件，力求用户开发简单、以及个性化的定制。4.审计以及运维管理子系统本系统主要对整个系统的运行状况、用户的操作进行全面的管理和监控，并提供可视化的数据界面，让运维管理人员可以轻松方便的对整个系统进行监控和维护，同时，提供详细的日志记录，供系统审计人员对系统运行的合规性进行审计。5. 系统功能5.1. 系统架构说明数字证书身份认证：通过可信第三方认证机构签发数字证书，利用SSL安全通道对客户的网络身份进行真实性验证，解决网上应用系统的用户身份认证问题。 PCS私钥运算：主要用于为服务器端应用提供服务器端PKCS#1和PKCS#7格式

10、数据签名运算以及数字信封的私钥加、解密运算。数字签名运算服务为系统开发需要数字签名、数字信封技术提供便捷的运算接口。 SVS签名验证：主要用于在服务器端接收数据后，对数据签名、签名证书的有效性进行合法性验证。支持PKCS#1、PKCS#7格式的数字签名。签名验证服务应用于验证网上用户身份、检验交易凭证和防止抵赖等方面。 对账功能：涉及到多种表格的组合统计。5.2. 系统功能证书申请：提供证书的申请功能，包括管理申请和用户自助申请。 证书签发：对于通过审核的证书申请，CA系统可以为其签发证书。 证书下载：用户可以通过下载凭证安全的下载证书。 对一些申请成功但是没有下载的证书，RA系统可以重新生成

11、下载凭证（授权码），使用新的下载凭证即可进行证书下载。 证书发布：对于签发好的证书，系统进行自动发布。 证书更新：系统提供证书更新功能。 证书查询：用户可以通过查询条件查询出符合条件的证书信息。 证书注销：用户可以对一些不再使用或是使用过程中出现问题的证书进行注销操作，注销名的证书不可恢复。 证书冻结：用户可以对短期内不会使用的证书进行冻结操作，在冻结期间内证书被限制不可使用。 证书解冻：提供证书解冻功能，使得证书可以重新使用。 证书实体查询：用户可以通过查询条件可以查询出符合条件的证书。 CRL服务功能：提供CRL产生、CRL发布、CRL查询功能。 用户信息维护：系统提供按照自定义的格式产生

12、用户信息，并可以对用户信息进行添加、删除、修改等维护方式。 分权管理：提供系统管理、业务操作和安全审计三权分离功能。 主题规则管理：支持主题规则定义，提升用户使用服务体验。 模板定制：提供数字证书模板自定义功能，实现证书扩展域同称、扩展域值的自定义，满足不同发证需求。 日志审计：审计管理包括查询业务日志和统计证书功能，并生成相应统计报表。 批量申请和制证：支持批量证书申请和制证的功能，简化管理员操作。5.2. 认证服务身份认证：利用SSL安全通道对客户的网络身份进行真实性验证设备认证：USBKEY智能密码钥匙（一代），证书储存介质。5.4. 密钥管理及服务密钥生成密钥分发密钥备份与恢复密钥更新

13、密钥归档密钥查询密钥销毁密钥预生成5.5. 用户管理用户注册批量用户注册注销用户更新用户用户归档审核用户管理操作5.6. 系统监控系统软件运行状态监控系统各部件周期性自检系统硬件状态监控5.7. 备份和恢复数据库系统的备份和恢复，包括备份策略配置、备份计划的设置等。密钥系统的备份和恢复，采用多分量分散备份机制。5.8. 日志管理日志的生成日志的查询及审计日志的归档5.9. 数字签名 支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验证符合PKCS#7标准的签名结果。 数字签名服务器支持对数据制作数字签名，签名结构符合PKCS#1标准；支持通过证书导入、证书配置方式验证符合PKC

14、S#1标准的签名结果。 身份验证：使用证书进行数字签名，接收者可验证签名，而其他任何人都不能伪造签名。 事后验证：使用证书进行完整数字签名，签名结果中包含签名时的全部证书状态信息，接收者可在生成名的任意时间验证，而其他任何人都不能伪造。 数据完整性：对重要数据、文件制作数字签名，如果验证签名失败，说明数据的完整性遭到破坏。 行为抗抵赖：对操作行为（数据形式）制作数字签名，签名者事名不能否认自己的签名。 5.10.数字信封 数字签名服务器支持对数据、文件制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果。 对重要数据、文件制作数字信封，通过双层加密技术来保障数据的

15、私密性。 5.11.证书验证 支持对签名、加密证书进行全面验证； 根据配置不同CA签发的根证书，验证证书的信任域； 根据系统时间，验证证书的有效期； 根据CRL或OCSP验证证书状态。证书状态验证方式包括，标准OCSP协议验证证书，连接LDAP服务器更新CRL验证，连接WEB服务器更新CRL验证。 5.12.交叉验证 数字签名、数字信封，结构严格遵循PKCS#7标准，可供其他CA机构验证。 支持配置多信任CA签发的根证书，可验证不同CA机构签发的符合PKCS#7标准的签名、信封结果。 5.13.双机热备 数字签名服务器内置双机热备系统； 当备机发现工作机停止工作，切换到备机提供服务，当主机恢复

16、正常后，备机自动切回到主机。6. 技术规格GB/T 19713-2005 信息技术 安全技术 公钥基础设施 在线证书状态协议GM/T 0006 密码应用标识规范GM/T 0009 SM2密码算法使用规范PKCS #1 RSA密码算法使用规范GM/T 0010 SM2密码算法加密签名消息语法规范PKCS #7 RSA密码算法消息语法规范GM/T 0014 数字证书认证系统密码协议规范GM/T 0015 基于SM2密码算法的数字证书格式规范GM/T 0018 密码设备应用接口规范GM/T 0020 证书应用综合服务接口规范7. 技术规格指标项参数值并发连接数同时支持3000个并发连接证书容量最大支

17、持100000个证书双证书签发时间双证书签发时间1秒OCSP响应时间OCSP响应时间0.1秒数字证书格式ITUT X.503-V3规范证书存储介质支持软证书、USB KEY证书、IC卡存储，支持RSA PKCS#11标准操作系统支持Windows Server 2003以上版本支持RedHat Linux等主流Linux操作系统支持AIX、Unix数据库支持支持Microsoft SQL SERVER、DB2、Oracle、Mysql、Informix。硬件环境支持HP、AIX等Unix小型机支持X86架构的硬件服务器安全集成组件规范n 支持Windows、Linux、MAC OS等PC操作系统n 支持Andriod、IOS等手机操作系统n 支持IE、Firefox、Chrome等内核浏览器n 提供Java、C、.net、C#、Object C等应用接口