CN115766007A - 一种实现一厂多地统一身份认证的系统 - Google Patents
一种实现一厂多地统一身份认证的系统 Download PDFInfo
- Publication number
- CN115766007A CN115766007A CN202211439950.5A CN202211439950A CN115766007A CN 115766007 A CN115766007 A CN 115766007A CN 202211439950 A CN202211439950 A CN 202211439950A CN 115766007 A CN115766007 A CN 115766007A
- Authority
- CN
- China
- Prior art keywords
- certificate
- platform
- main
- auxiliary
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种实现一厂多地统一身份认证的系统,包括一个主平台和一个以上的辅平台;主平台用于证书的签发、审计,实现系统的认证登录,辅平台用于将已审核通过主平台审计的证书进行签发,实现系统的认证登录。本发明针对一厂多地的使用场景,设计了主、辅平台的不同实施方案,提出了一种可以实现快速高效统一身份认证服务与稳定可靠的系统级与应用级的身份认证服务的可行性方法,有效地降低整个项目的的实施成本。
Description
技术领域
本发明属于计算机数字加密证书、身份鉴别、统一安全认证、数据传输技术领域,涉及一种实现一厂多地统一身份认证的系统。
背景技术
PKI/CA系统指的是基于公钥基础设施的身份认证中心。PKI技术解决了网络通信安全的种种障碍,CA技术从运营、管理、规范、人员、权限等多个方面来解决网络信息问题。从总体架构上看,PKI/CA主要是由最终用户、认证中心和注册机构来组成。PKI/CA技术是以数字证书为核心在网络上传输的信息进行加密和解密、数字签名和签名验证的操作,从而保障:①信息除发送方和接收方外不被其他人窃取;②信息在传输过程中不被篡改;③发送方能够通过数字证书来确认接受方的身份;④发送方对于自己的信息不能抵赖。PKI/CA解决方案已经普遍应用于全球范围内的电子商务、国家安全领域。
为了满足国家密码管理局新标准要求,从2015年起,我国国内各大军工集团相继发出了针对各自集团内部PKI/CA系统升级的要求。国家密码管理局指出“已建设的和将要建设的以PKI为基础的系统,都要支持SM2算法。在建和拟建CA认证系统和密钥管理系统应采用SM2算法,新研制的含有公钥密码算法的产品需要支持SM2以及RSA两种算法证书”。RAS算法是基于国际通用操作系统的加密算法,SM2算法是我国自主设计的公钥密码算法。
所以针对一厂多地的场景,设计一种新的满足国家密码局新标准SM2算法、方便快捷的、高效的的PKI/CA的统一身份认证的架构方法就迫在眉睫。
发明内容
发明目的:提供一种实现一厂多地统一身份认证的系统。本发明针对一厂多地的使用场景,设计了主、辅平台的不同实施方案,提出了一种可以实现快速高效统一身份认证服务与稳定可靠的系统级与应用级的身份认证服务的可行性方法,有效地降低整个项目的的实施成本。
技术方案:一种实现一厂多地统一身份认证的系统,包括一个主平台和一个以上的辅平台;主平台用于证书的签发、审计,实现系统的认证登录,辅平台用于将已审核通过主平台审计的证书进行签发,实现系统的认证登录。
前述的实现一厂多地统一身份认证的系统中,所述的主平台包括主PKI/CA基础设施平台、主应用安全支撑中心;主PKI/CA基础设施平台,用于证书的签发,及对辅平台提供的证书进行审计;主应用安全支撑中心,用于实现系统的认证登录;所述的辅平台包括辅PKI/CA基础设施平台和主应用安全支撑中心;用于对已通过主平台审计的证书进行签发;主应用安全支撑中心,用于实现系统的认证登录。
前述的实现一厂多地统一身份认证的系统中,所述的主PKI/CA基础设施平台由数据库、CA证书管理中心、加密机、KM密钥管理中心、主RA用户注册管理中心、主LDAP系统、从LDAP系统Ⅰ、主OCSP证书在线状态查询系统、CDS-M证书综合管理系统、SA证书安全综合审计系统组成;CA证书管理中心用于通过SM2与RSA双算法对已加密的数字证书签名;加密机,用于生成非对称密钥对,并对非对称密钥对进行加密;KM密钥管理中心:用于存储加密后的非对称密钥对;主RA用户注册管理中心,负责证书申请者的信息录入、审核以及证书发放,同时对发放的证书完成相应的管理功能;主LDAP系统(轻量级目录访问协议),用于发布目录系统服务实现快捷查询;从LDAP系统Ⅰ,用于实现与主LDAP系统的相互备份,相互推送;主OCSP证书在线状态查询系统,提供实时的证书状态查询;CDS-M证书综合管理系统,为CA账户以及密钥提供在线自助管理服务;SA证书安全综合审计系统,用于对CA证书管理中心、KM密钥管理中心、主RA用户注册管理中心进行安全审计。
前述的实现一厂多地统一身份认证的系统中,所述的在线自助管理服务为:通过网络在线方式提供证书办理申请、审核、更新、撤销、USBkey解锁、重签发及统计查询业务的受理和管理功能,为用户提供个人证书的下载、吊销和查询功能,提供证书登录及操作行为的记录。
前述的实现一厂多地统一身份认证的系统中,非对称密钥对包括1024/2048/3072/4096位RAS密钥对和256位SM2密钥对。
前述的实现一厂多地统一身份认证的系统中,所述的主应用安全支撑中心,由安全认证网关、终端安全登录服务器组成;终端安全登录系统,用于实现在服务器端集中管理、日志收集分析、统一策略下发、三员分立的功能;安全认证网关,用于保障应用系统资源安全,防范非法访问应用系统资源,来满足应用层的增强身份认证和加密通道建立的需求;同时支持RSA以及SM2算法;支持自负载模式,实现两台网管负载部署模式。
前述的实现一厂多地统一身份认证的系统中,所述的主平台还包括主业务操作区;包括主业务操作区由一个以上的业务终端组成,每个业务终端配有key,用于提供私钥和算法安全存贮。key包括指纹key和USBKey,均支持国产SM2算法;
前述的实现一厂多地统一身份认证的系统中,所述的辅平台由辅PKI/CA基础设施平台与辅应用安全支持中心两部分组成;辅PKI/CA基础设施平台是由辅RA用户注册管理中心、从LDAP系统Ⅱ、辅OCSP证书在线状态查询系统组成。
前述的实现一厂多地统一身份认证的系统中,所述的辅应用安全支持中心由辅安全认证网关与辅终端安全登录系统组成。
有益效果:原本针对一厂多地的身份认证使用场景,每个园区均要使用同等配置实施方案,存在相同设备在不同园区内重复使用的情况,会造成建设成本难以降低。
本发明针对一厂多地的使用场景,设计了主平台与辅平台的不同的实施方案,提出了一种可以实现快速高效统一身份认证服务与(包含证书签发、更新、废除等基于证书)稳定可靠的系统级与应用级的身份认证服务的可行性方法,有效地降低整个项目的的实施成本。在本项发明中,辅平台比主平台减少了三台服务器、一台加密机与六个子功能模块。辅平台的建设总成本仅有主平台建设成本的50%,有效降低的部署时间与运维成本,实现了资源的有效利用。
在极大程度降低成本的同时,为不影响身份认证的核心业务的稳定性,本发明在主平台与辅平台分别设计了LDAP服务,可以实现本地化的快速认证,并且设计了备用LDAP,保障核心业务不会由于成本的大幅减少而不稳定。
为了实现厂内信息系统身份认证(强身份认证)的基础平台,身份认证系统分别为本园区终端、用户以及资源签发数字身份证书。考虑到一厂多地这种特殊的物理环境,本发明设计在主平台部署一套完整的PKI/CA系统,在其他几个辅助平台以辅助证书注册审核中心接入PKI/CA数字证书基础平台的方式保障其功能高效可用。
针对强身份认证,主要要实现①证书签发及相关功能②系统级身份认证③应用级身份认证。针对以上三个需求,一主多辅的架构在不同地区计划部署不同的设备,实现高效可用。
①证书签发相关功能:在主平台部署完整的PKI/CA基础设施平台,对证书的申请、审批、签发、加密、变更、废除等全流程进行处理,并对证书的所有操作行为进行相应的审计。
在辅平台,证书签发相关功能只部署RA用户注册管理中心,目的是为了数字证书的申请、审批与签发实现本地化操作,其他相关设施远程传输数据,在保障低成本的前提下,实现资源的高效利用。
②系统级身份认证:在主平台部署终端安全登录服务器,对系统级身份鉴别功能提供硬件支撑;在辅平台部署另一台终端安全登录服务器,对系统级身份鉴别功能提供硬件支撑;
在两地分别部署终端安全登录服务器,目的是提高系统级身份鉴别效率,并提供备份。
③应用级身份认证:在主平台部署安全认证网关(主、备)、LDAP(主、备)以及OCSP证书状态在线查询系统;在辅助平台部署安全认证网关(主、备)、LDAP(备)以及OCSP证书状态在线查询系统;
在两地部署三台LDAP,一主两备,以及在两地分别部署一台OCSP是为了提高本地应用级身份鉴别效率,并且提供备份。
附图说明
图1为本发明整体拓扑结构;
图2为在主平台签发加密证书执行逻辑流程图;
图3为在辅平台签发加密证书执行逻辑流程图;
图4为在主平台进行系统级身份认证逻辑流程图;
图5为在辅平台进行系统级身份认证逻辑流程图;
图6为在主平台进行的应用级身份鉴别执行逻辑;
图7为在辅平台进行的应用级身份鉴别执行逻辑。
具体实施方式
实施例1。一种实现一厂多地统一身份认证的系统,参加图1-图7,主要设计方案是设计一个主平台和多个辅平台,简称一主多辅。该架构适用于平行层级的企业架构。
1、主平台规划
1.1、主平台总体规划:
主平台包括主PKI/CA基础设施平台与主应用安全支撑中心组成
其中主PKI/CA基础设施平台是由数据库、CA证书管理中心、KM密钥管理中心、主RA用户注册管理中心、主LDAP系统、从LDAP系统Ⅰ、加密机、主OCSP证书在线状态查询系统、CDS-M证书综合管理系统、SA证书安全综合审计系统组成。
主应用安全支撑中心是由主安全认证网关、主终端安全登录服务器组成。
1.2、主平台的各个组件及主要作用:
CA证书管理中心的主要作用是:针对数字证书的相关操作,且需要实现SM2与RSA双算法,以符合国家密码管理局、工业和信息化部等国家有关标准规范要求。证书内容需要符合ITU.X509V标准,实现双证书(加密证书和签名证书)和双中心(证书管理中心和密钥管理中心)结构。其核心功能签发证书以及对已加密的数字证书签名。
KM密钥管理中心的主要作用是:通过加密机生成非对称密钥对,非对称密钥对通过加密机内的主密钥系统进行加密,加密后的非对称密钥对将存储在KM密钥管理中心内。核心功能是密钥管理系统有密钥生成、密钥管理、密钥库管理、认证管理、安全审计、密钥恢复和密码服务等模块组成,密钥管理系统提供了对生命周期的加密证书密钥对进行全过程管理的功能,包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。
主RA用户注册管理中心主要负责证书申请者的信息录入、审核以及证书发放等工作,同时,对发放的证书完成相应了的管理功能。其核心功能是:负责实现证书申请、审核、制证等证书业务服务。RA系统是CA系统的窗口,它负责证书申请者的信息录入、审核以及证书方法等工作(安全审计)。同时,对发放的证书完成相应的管理功能(安全管理)。
LDAP系统全称轻量级目录访问协议,其中,目录服务是一种为了高速浏览和搜索数据的特殊数据库,服务是按照树状形式存储信息的,目录包含基于属性的描述性信息,并且支持高级的过滤功能。LDAP可以说是活动目录在Linux系统上的一个开源实现。目录服务页具有主从服务器同步的功能。所以需将LDAP服务部署为主LDAP服务和从LDAP服务Ⅰ。其核心功能是:发布目录系统服务实现快捷查询,一主一从,可以实现相互备份,相互推送。
加密机的功能:针对RAS算法和SM2算法的公钥进行加密、解密。核心功能:密钥生成与管理,可生成1024/2048/3072/4096位RAS密钥对和256位SM2密钥对。
主OCSP证书状态在线查询系统的核心功能是:在线证书状态查询服务,提供实时的证书状态查询,在线证书证书状态协议用于对身份证书状态信息的查询(基于各应用系统的黑名单)。
CDS证书综合管理系统:可以实现自主执行远端数字证书操作,提高证书信息变更时效及准确性,可提供数字证书在线延期、数字证书在线信息变更等功能。在线更新系统对外直接面向最终用户(USBKey使用者),可以通过在线系统发送证书的签发、重发、废除、更新的请求。对内则通过管理中心的服务及查询、操作注册审核中心的数据库判断最终用户的请求是否合法,并执行合法请求。其核心功能是:为CA账户以及密钥提供在线自助管理服务。实现证书生命周期以及密钥生命周期动态更新与同步。通过网络在线方式提供证书办理申请、审核、更新、撤销、USBkey解锁、重签发及统计查询等业务受理和管理功能,为用户提供个人证书的下载、吊销和查询功能,提供证书登录及操作行为的记录。
SA证书安全综合审计系统:能够按照国家保密局的要求执行三员审计管理,能够对CA、RA、KM等子模块进行安全审计。可以完整保留身份认证系统访问数据,可以进行日志审计、应用审计、用户审计、证书审计等统计操作。可以查询对指定用户在指定时间内的访问记录,首先列出所有用户,可根据地区、部门等节点检索其下面的所有用户,在可选操作中对某个用户统计他在一段时间里的访问记录。核心功能:面向数字证书的行为审计,由证书详细统计、证书详细查询、访问信息统计、访问信息查询的能够四个部分组成,证书统计查询,证书详细统计和证书详细查询,访问统计查询,包括访问信息统计和访问信息查询。
终端安全登录系统的核心功能是:实现在服务器端集中管理、日志收集分析、统一策略下发、三员分立等功能。
安全认证网关设备的功能的核心功能是:保障应用系统资源安全,防范非法访问应用系统资源,来满足应用层的增强身份认证和加密通道建立的需求。同时支持RSA以及SM2算法。支持自负载模式,可以实现两台网管负载部署模式。
指纹key:在业务终端使用,提供私钥和算法安全存贮功能,用户私钥不可复制,对外不可读、且具备多密钥功能,私钥导不出key,USB Key的设备驱动程序使用微软硬件设备认证签名。必须支持国产SM2算法。
2、辅平台规划
2.1、辅平台总体规划
辅平台主要是由辅PKI/CA基础设施平台与辅应用安全支持中心两部分组成。
辅PKI/CA基础设施平台是由辅RA用户注册管理中心、从LDAP系统Ⅱ、辅OCSP证书在线状态查询系统组成。
辅平台的应用安全支撑中心是由辅安全认证网关与辅终端安全登录系统组成。
实施例2.若厂区物理地址为两个不在一个园区的地址,需要部署一个主平台园区和一个辅平台园区;若园区物理位置数量大于两个,则除了一个主平台园区外的其他所有园区都定义为辅助平台园区。
1、主平台园区实施方案:
基础设施方面:四台服务器、一台加密机、两台安全认证网管、一台终端安全登录服务器。
2、四台服务器的部署方式:
①服务器一安装部署CA证书管理中心、KM密钥管理中心和主LDAP服务;
②服务器二安装部署RA用户注册管理中心、OCSP证书状态在线查询系统、CDS证书综合管理系统。
③服务器三安装部署数据库服务;
④服务器四安装部署SA证书安全综合审计系统、从LDAP服务。
3、辅助平台园区实施方案:
基础设施方面:一台服务器、一台终端安全登录服务器、两台安全认证网关。
服务器安装部署RA用户注册管理中心、OCSP证书状态在线查询系统、从LDAP服务。
4、具体实施方案:
4.1、系统环境准备
4.1.1系统配置
本项目所有服务器均安装Redhat Linux 6.9系统,安装过程中,在选择安装组件时,选择为自定义安装(开发工具装全)。需配置环境变量:
vi/etc/profile
export JAVA_HOME=/usr/java/jdk1.8
export CLASSPATH=:$JAVA_HOME/lib/tools.jar
export PATH=$JAVA_HOME/bin:$PATH
export LANG=zh_CN
4.1.2数据库配置
在Oracle 11g数据库上新建数据库实例,名称为:cadb。新建实例过程需注意以下问题:
1、Oracle 11g数据库安装过程中需要选用中文字符集及中文环境变量,字符集需采用ZHS16GBK,中文环境设置为zh_CN。
2、Oracle 11g数据库安装完成后,在各服务器上需要为各系统(CA、KM、RA)创建表空间及相应的用户。数据库表空间及用户创建规则定义如下:
| 序号 | 表空间 | 大小/增幅 | 用户 |
| 1 | KM | 1000MB/10MB | kmuser |
| 2 | KMHIS | 1000MB/10MB | kmhisuser |
| 3 | CA | 1000MB/10MB | causer |
| 4 | CAHIS | 1000MB/10MB | cahisuser |
| 5 | RA | 1000MB/10MB | rauser |
| 6 | CISMP | 1000MB/10MB | cismp |
| 7 | CDS | 1000MB/10MB | cds |
4.1.3服务器时间校准
1、自行设定校准时间“date–s yyyy-mm-dd hh:mm:ss”
2、或与时间源服务器进行时间同步“ntpdate 192.168.*.*”(域控服务器地址)
3、将系统时间写入BIOS“clock–w”
4、所有服务器均参考该时间校准设置
4.2加密机配置
1、使用前先毁钥(初始化设备)
2、配置加密机每次重启后需输入管理员密码后才能进入设置菜单
3、设置加密机自身IP地址,设置允许访问ip地址范围。
4、生成RSA非对称密钥对,RSA模长度2048,指数65537,密钥索引0-9。
5、生成SM2非对称密钥对,SM2模长度256,指数65537,密钥索引0-9。
6、用备份卡备份密钥对。
7、启动密钥服务。
4.3CA证书管理中心系统配置
1、上传CA压缩包都服务器上,使用oracle数据库,通过创建CA自身的用户和表空间,对数据库进行访问,配置与加密机进行连接。
2、软件上传:利用sshd工具上传CA软件包到目录/usr/local/
3、依次解开包顺序如下:
软件包——>补丁包——>行业补丁包
4、CA的安装路径:/usr/local/SZT0901-KOALCA
软件部署:解压完后的软件包里启动koalca.sh脚本
5、启动后会看到服务端口8880
6、打开浏览器输入http://CA服务设置IP:8880进入部署页面管理根证书CN项定义:SCAAdminRoot
管理员证书CN项定义:
| 序号 | 证书类型 | CN项名称 |
| 1 | 超级管理员 | Casuperadmin1 |
| 2 | 超级管理员 | Casuperadmin2 |
| 3 | 超级管理员 | Casuperadmin3 |
| 4 | 审计管理员 | Caauditadmin1 |
| 5 | 审计管理员 | Caauditadmin2 |
| 6 | 审计管理员 | Caauditadmin3 |
| 7 | 业务管理员 | caopadmin |
| 8 | 业务操作员 | caoperator |
| 9 | 审计员 | caauditor |
4.4KM密钥管理中心实施
1、上传KM软件压缩包都服务器上,安装KM使用oracle数据库,通过创建KM自身的用户和表空间,对数据库进行访问,配置与加密机进行连接。
2、软件上传:利用sshd工具上传KM软件包到目录/usr/local/
3、依次解开包顺序如下:
软件包——>补丁包——>行业补丁包
4、KM的安装路径:/usr/local/SYT0901-KOALKM
软件部署:解压完后的软件包里启动service.sh脚本
5、启动后会看到服务端口11080
6、打开浏览器输入http://KM服务设置IP:11080进入部署页面
管理根证书CN项定义:KMAdminRoot
管理员证书CN项定义
4.5RA用户注册管理中心实施
1、上传RA软件压缩包都服务器上,安装RA使用oracle数据库,通过创建RA自身的用户和表空间,对数据库进行访问,配置与加密机进行连接。
2、软件上传:利用sshd工具上传RA软件包到目录/usr/local/
3、依次解开包顺序如下:
软件包——>补丁包——>行业补丁包
4、RA的安装路径:/usr/local/SZT0901-KOALRA
软件部署:解压完后的软件包里启动service.sh脚本
5、启动后会看到服务端口8080
6、打开浏览器输入http://RA服务设置IP:8080进入部署页面
管理员证书CN项定义
4.6LDAP相关配置
1、软件上传:利用sshd工具上传ldap软件到目录:/usr/local
2、加载光盘,mount/dev/cdrom/mnt/cdrom
3、复制文件,cp/mnt/cdrom/<安装文件名><目标目录>
4、安装文件加执行权限,chmod+x<安装文件>
5、执行安装文件,./<安装文件>。
6、在域控上解析成LDAP的IP地址。
4.7自启动相关配置
自启动脚本写完后一定要重起系统进行验证看自启动是否正常。
编辑/etc/rc.local
export JAVA_HOME=/usr/java/jdk1.8
export PATH=$JAVA_HOME/bin:$PATH
su-oracle-c'lsnrctl start'
su-oracle-c'dbstart'
sleep 5
cd/usr/local/SYT0901-KOALKM
sh/usr/local/SYT0901-KOALKM/service.sh
sleep 5
cd/usr/local/SZT0901-KOALCA
sh/usr/local/SZT0901-KOALCA/koalca.sh start
sleep 10
sh/usr/local/SZT0901-KOALCA/koalca.sh crl
sleep 5
cd/usr/local/SZT0901-KOALRA
sh/usr/local/SZT0901-KOALRA/service.sh start
sleep 5
cd/usr/local/ITEC-Ids3/ldap
sh./startslapd.sh
sleep 5
cd/usr/local/ITEC-Ids3/admin/bin
sh./startadmin
4.8数据备份配置
针对CA数据进行备份
在停止CA服务的前提下,执行tar zcvf ca.bak2011mmddhhmm.tar.gz/usr/local/SZT0901-KOALCA,将tar后的备份包转移至安全存储设备。
在停止KM服务的前提下,执行tar zcvf km.bak2011mmddhhmm.tar.gz/usr/local/SZT0901-KOALKM,将tar后的备份包转移至安全存储设备。
在停止RA服务的前提下,执行tar zcvf ra.bak2011mmddhhmm.tar.gz/usr/local/SZT0901-KOALRA,将tar后的备份包转移至安全存储设备。
4.9终端安全登录系统配置
终端安全登录(身份鉴别系统)为安全保密产品,属于硬件服务器,内置了linux操作系统。为了保障用户登录操作系统的高效性和稳定性,本次部署服务端将在主平台和辅平台各部署一台,实现本地验证达到用户登录操作系统的稳定性。该终端安全登录系统为网络版,从而通过服务端实现对本园区终端PC保护的全程监管,可以通过系统管理员集中管理这些网盾的基本功能,使内网的电脑既有一个有效的安全保障,又使管理人员全面掌握所内终端信息安全的总体情况。
4.10安全认证网关配置
安全认证网关系列属于硬件服务器,内置了linux操作系统。安全认证网关系列包括四台万兆安全认证网关。根据计划,将四台安全认证网关分别部署在主平台和辅平台,进行双机热备部署,与portal系统并联。安全认证网关使用正向代理模式。
4.11客户端配置
业务客户端每台需要安装三个软件,分别是:①格尔身份鉴别系统V6.0②安全认证客户端③证书助手
①客户端的格尔身份鉴别系统V6.0是通过与本地终端安全登录服务器连接(主平台地区的客户端连接主平台后台的终端安全登录服务器、辅平台地区的客户端连接辅平台后台的终端安全登录服务器)实现操作系统级身份鉴别的功能
②客户端的安全认证客户端是通过与本地安全认证网关连接实现应用级身份鉴别的功能
③客户端证书助手是通过与证书综合管理系统连接实现证书远程的签发、更新、废除等操作。
4.12防火墙访问策略配置
1、客户端需要配置的防火墙策略
2、PKI/CA系统需要配置的防火墙策略
4.13证书主题信息相关配置
4.14签名证书所需配置
4.15加密证书所需配置
4.16测试方案
根据上述设计与实施,针对各个模块与各个园区之间的协同配合进行测试:
5.各个模块与功能的执行逻辑:
1、在主平台签发加密证书执行逻辑
①在综合证书管理平台(主平台)输入用户的相关信息
②已输入的用户信息进入RA系统(主平台)进行审核
③审核成功后将用户信息传输进CA系统(主平台)
④CA系统将执行签发请求发送给KM(主平台)
⑤KM系统登记签发信息后将用户信息传输至加密机(主平台)
⑥加密机通过主密钥签发加密证书,并把加密证书传输至CA系统(主平台)
⑦CA系统对加密证书进行数字签名,并把已签名的数字证书传输至RA(主平台)
⑧RA签发证书(主平台)
2、在辅平台签发加密证书执行逻辑
①在综合证书管理平台(主平台)输入用户的相关信息
②已输入的用户信息进入RA系统(辅平台)进行审核
③审核成功后将用户信息传输至CA系统(主平台)
④CA系统将执行签发请求发送给KM(主平台)
⑤KM系统登记签发信息后用用户信息传输至加密机(主平台)
⑥加密机通过主密钥签发加密证书,并把加密证书传输至CA系统(主平台)
⑦CA系统对加密证书进行数字签名,并把已签名的数字证书传输至RA(辅平台)
⑧RA签发证书(辅平台)
3、在主平台的系统级身份鉴别执行逻辑
第一步、客户端进入操作系统先进行身份认证(计算机本地);
第二步、成功后将绑定指纹key的账户密码发送给域控服务器进行认证(主平台);
第三步、并且同时把key内证书信息发送给终端安全服务器进行认证(主平台);
第四步、两者均验证成功后,将验证成功信息返回计算机本地,即可进入操作系统。
4、在辅平台的系统级身份鉴别执行逻辑
第一步、客户端进入操作系统先进行身份认证(计算机本地);
第二步、成功后将绑定指纹key的账户密码发送给域控服务器进行认证(辅平台);
第三步、并且同时把key内证书信息发送给终端安全服务器进行认证(辅平台);
第四步、两者均验证成功后,将验证成功信息返回计算机本地,即可进入操作系统。
5、在主平台的应用级身份鉴别执行逻辑
第一步、客户端本地的安全认证客户端将证书信息传送至安全认证网关(主平台)进行认证;
第二步、安全认证网关先与LDAP(主平台)联动进行身份合法性认证;
第三步、安全认证网关再与OCSP证书状态在线查询系统(主平台)确认该账户是否可以访问该应用系统;
第四步、两者均验证成功后,即可使用证书信息登录该应用系统。
6、在辅平台的应用级身份鉴别执行逻辑
第一步、客户端本地的安全认证客户端将证书信息传送至安全认证网关进行认证(辅平台);
第二步、安全认证网关限与LDAP(辅平台)联动进行身份合法性认证;
第三步、安全认证网关再与OCSP证书状态在线查询系统(辅平台)确认该账户是否可以访问该应用系统;
第四步、两者均验证成功后,即可使用证书信息登录该应用系统。
Claims (9)
1.一种实现一厂多地统一身份认证的系统,其特征在于,包括一个主平台和一个以上的辅平台;主平台用于证书的签发、审计,实现系统的认证登录,辅平台用于将已审核通过主平台审计的证书进行签发,实现系统的认证登录。
2.根据权利要求1所述的实现一厂多地统一身份认证的系统,其特征在于,所述的主平台包括主PKI/CA基础设施平台、主应用安全支撑中心;主PKI/CA基础设施平台,用于证书的签发,及对辅平台提供的证书进行审计;主应用安全支撑中心,用于实现系统的认证登录;所述的辅平台包括辅PKI/CA基础设施平台和主应用安全支撑中心;用于对已通过主平台审计的证书进行签发;主应用安全支撑中心,用于实现系统的认证登录。
3.根据权利要求2所述的实现一厂多地统一身份认证的系统,其特征在于,所述的主PKI/CA基础设施平台由数据库、CA证书管理中心、加密机、KM密钥管理中心、主RA用户注册管理中心、主LDAP系统、从LDAP系统Ⅰ、主OCSP证书在线状态查询系统、CDS-M证书综合管理系统、SA证书安全综合审计系统组成;CA证书管理中心用于通过SM2与RSA双算法对已加密的数字证书签名;加密机,用于生成非对称密钥对,并对非对称密钥对进行加密;KM密钥管理中心:用于存储加密后的非对称密钥对;主RA用户注册管理中心,负责证书申请者的信息录入、审核以及证书发放,同时对发放的证书完成相应的管理功能;主LDAP系统,用于发布目录系统服务实现快捷查询;从LDAP系统Ⅰ,用于实现与主LDAP系统的相互备份,相互推送;主OCSP证书在线状态查询系统,提供实时的证书状态查询;CDS-M证书综合管理系统,为CA账户以及密钥提供在线自助管理服务;SA证书安全综合审计系统,用于对CA证书管理中心、KM密钥管理中心、主RA用户注册管理中心进行安全审计。
4.根据权利要求3所述的实现一厂多地统一身份认证的系统,其特征在于,所述的在线自助管理服务为:通过网络在线方式提供证书办理申请、审核、更新、撤销、USBkey解锁、重签发及统计查询业务的受理和管理功能,为用户提供个人证书的下载、吊销和查询功能,提供证书登录及操作行为的记录。
5.根据权利要求3所述的实现一厂多地统一身份认证的系统,其特征在于,非对称密钥对包括1024/2048/3072/4096位RAS密钥对和256位SM2密钥对。
6.根据权利要求2所述的实现一厂多地统一身份认证的系统,其特征在于,所述的主应用安全支撑中心,由安全认证网关、终端安全登录服务器组成;终端安全登录系统,用于实现在服务器端集中管理、日志收集分析、统一策略下发、三员分立的功能;安全认证网关,用于保障应用系统资源安全,防范非法访问应用系统资源,来满足应用层的增强身份认证和加密通道建立的需求;同时支持RSA以及SM2算法;支持自负载模式,实现两台网管负载部署模式。
7.根据权利要求2所述的实现一厂多地统一身份认证的系统,其特征在于,所述的主平台还包括主业务操作区;包括主业务操作区由一个以上的业务终端组成,每个业务终端配有key,用于提供私钥和算法安全存贮。
8.根据权利要求3所述的实现一厂多地统一身份认证的系统,其特征在于,所述的辅平台由辅PKI/CA基础设施平台与辅应用安全支持中心两部分组成;辅PKI/CA基础设施平台是由辅RA用户注册管理中心、从LDAP系统Ⅱ、辅OCSP证书在线状态查询系统组成。
9.根据权利要求8所述的实现一厂多地统一身份认证的系统,其特征在于,所述的辅应用安全支持中心由辅安全认证网关与辅终端安全登录系统组成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211439950.5A CN115766007A (zh) | 2022-11-17 | 2022-11-17 | 一种实现一厂多地统一身份认证的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211439950.5A CN115766007A (zh) | 2022-11-17 | 2022-11-17 | 一种实现一厂多地统一身份认证的系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115766007A true CN115766007A (zh) | 2023-03-07 |
Family
ID=85372593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211439950.5A Pending CN115766007A (zh) | 2022-11-17 | 2022-11-17 | 一种实现一厂多地统一身份认证的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115766007A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118487761A (zh) * | 2024-07-16 | 2024-08-13 | 蔚来汽车科技(安徽)有限公司 | 公钥基础设施管理方法、存储介质及智能设备 |
-
2022
- 2022-11-17 CN CN202211439950.5A patent/CN115766007A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118487761A (zh) * | 2024-07-16 | 2024-08-13 | 蔚来汽车科技(安徽)有限公司 | 公钥基础设施管理方法、存储介质及智能设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10693916B2 (en) | Restrictions on use of a key | |
| US10003458B2 (en) | User key management for the secure shell (SSH) | |
| US7366900B2 (en) | Platform-neutral system and method for providing secure remote operations over an insecure computer network | |
| EP0960500B1 (en) | Method for providing secure remote command execution | |
| GB2386802A (en) | Auditing of secure communication sessions over a communication network | |
| CN115473648B (zh) | 一种证书签发系统及相关设备 | |
| CN115766007A (zh) | 一种实现一厂多地统一身份认证的系统 | |
| CN111769949A (zh) | 双向认证的管理/执行方法/系统、介质、管理/代理端 | |
| CN112291244A (zh) | 一种工业生产数据实时处理平台系统多租用户方法 | |
| US11252138B2 (en) | Redundant device locking key management system | |
| CN115118454B (zh) | 一种基于移动应用的级联认证系统及认证方法 | |
| CN107612917B (zh) | 云计算环境下对日志存储使用3des加密算法加密的方法 | |
| CN114900372B (zh) | 基于零信任安全哨兵体系的资源防护系统 | |
| Schroeder | The sdsc encryption/authentication (sea) system | |
| IES20070726A2 (en) | Automated authenticated certificate renewal system | |
| Bialaski et al. | Solaris and LDAP naming services: deploying LDAP in the Enterprise | |
| St. John et al. | Overcoming Active Directory Woes with Plain Text Caches and Replacing Passwords | |
| CN116796305A (zh) | 一种数据中心访问方法、装置、设备及介质 | |
| Jeloka et al. | Oracle Database Advanced Security Administrator's Guide 10g Release 2 (10.2) B14268-03 | |
| Jeloka et al. | Oracle Database Advanced Security Administrator's Guide 11g Release 1 (11.1) B28530-04 | |
| Jeloka et al. | Oracle Database Advanced Security Administrator's Guide 11g Release 2 (11.2) E10746-06 | |
| Jeloka et al. | Oracle Database Advanced Security Administrator’s Guide 11g Release 1 (11.1) B28530-03 | |
| Jeloka et al. | Oracle Database Advanced Security Administrator's Guide 11g Release 2 (11.2) E10746-02 | |
| Jeloka et al. | Oracle Database Advanced Security Administrator’s Guide 10g Release 2 (10.2) B14268-02 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |