CN1356648A - 数字身份管理系统 - Google Patents
数字身份管理系统 Download PDFInfo
- Publication number
- CN1356648A CN1356648A CN 02110543 CN02110543A CN1356648A CN 1356648 A CN1356648 A CN 1356648A CN 02110543 CN02110543 CN 02110543 CN 02110543 A CN02110543 A CN 02110543A CN 1356648 A CN1356648 A CN 1356648A
- Authority
- CN
- China
- Prior art keywords
- certificate
- module
- sub
- user
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种数字身份管理系统,适用于局域网CA认证与管理,其分别与普通用户、证书用户、系统操作员、系统管理员和系统初始化员以网络联结;该数字身份管理系统含有一台主机和网卡以及数据盘,特点是,该台数字身份管理系统还含有与该主机成可装卸联结的加密卡、并在该主机内设置面向对象的系统模块;该系统模块包括为用户提供使用接口的应用层、中间层和将用户的操作最终写入到数据盘的存储层,该中间层联结该应用层和存储层。本发明依据其应用目的,紧缩结构,精简系统要素,从而明显降低成本,约为已有技术的1/20~1/30,而且维护、使用都更为方便。
Description
技术领域
本发明涉及一种网络安全管理系统,具体地说,是一种以一单机为主体的数字身份管理系统。
背景技术
网上交易的安全性是当今发展电子商务的关键。在网上电子商务的交易中,交易的双方如何确定对方的身份,建立相互的信任,如何保证交易的数据在网上完整安全地传输成为网上作业的前提,数字证书的产生就是为了解决这些电子商务中急待解决的关键问题,从而保证了信息在传输过程中的完整性、真实性、不可抵赖性、保密性。
数字证书是由权威性的、公正的第三方认证机构来颁发和管理,这个权威性的证书管理机构就是认证中心,简称CA(Certification Authority)。
通常的CA系统主要由CA管理审计子系统、证书签发子系统、证书废除子系统、证书查询子系统、证书CRL(证书废除列表)发布子系统、OCSP(在线证书状态查询)子系统、RA(受理中心)子系统、RAT(受理点子系统)等组成,其如图1~图4所示,大致分成三大部分:
一、认证中心(CA)
CA的主要职责是主要负责证书签发与管理以及密钥生成与管理,保证系统安全不间断地提供证书签发、证书发布和查询、CRL生成和发布,提供用户信息和证书的备份和归档,保证系统数据的完整性,并承担因操作运营错误所产生的一切后果,包括泄密和为没有通过审核的用户发放证书等。认证管理中心的网络结构通常如图1所示。
另外一个CA中心即认证中心必须配备一个密钥管理中心;密钥管理中心逻辑上可分成两个部分:第一部分为密钥的产生和安全保存;第二部分为密钥制作、密钥托管、密钥恢复。为了保证密钥的绝对安全,密钥管理中心绝大时间内不与CA的其它的网络构成连接。密钥管理中心的网络图如图2所示。
二、RA(Register Authority,受理中心)
RA是CA的分支机构,为CA中心对证书申请者提交的申请资料及申请资格进行审核,以决定是否同意为该申请者签发证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,它应由能够承担这些责任的机构来承担。受理中心的网络结构一般如图3所示。
三、RAT(Register Authority Terminal,受理点)
受理点设在用户资料所在地,是面向最终用户的审核机构,其主要功能是对用户提交的资料进行录入和审核,以决定是否同意为该申请者发放证书,并提供证书制作。受理点的身份由RA审核,受理点的操作员证书由RA的上级CA中心签发,并由RA管理。受理点作为RA的下级机构,它不直接与CA中心进行数据交换,受理点的证书签发请求由RA转发给CA中心。受理点配备证书信息录入员及证书信息审核员各一名。受理点网络结构图如图4所示。
如上所述,现有的通用的CA系统,结构庞大,价格昂贵(约200万~300万人民币),而且存在使用上的局限性:
1、上述的通过一个第三方的CA机构进行认证,这种认证针对在INTERNET(因特网)上进行电子商务活动是十分必要的,但证书的申请、审核需要到专门的受理点,这对于在局域网内进行的身份认证则显得过于复杂;
2、目前企业内部的计算机并不是全部连在INTERNET上,所以,当要进行CRL(证书废除列表,也就是证书黑名单)查询时,远程连接到CA中心进行查询时速度很慢;
3、一般证书的状态是由CA中心进行管理的,这使得小型用户频繁更改证书状态,如暂停证书、废除证书的需求解决起来很烦琐;
4、特别是对政府内网、企业内网等小型局域网或专用网内的数字身份验证,更显得不相适应。
发明内容
本发明主要是解决在局域网内身份证认的技术问题,和降低CA系统的价格,因此,本发明的目的是提供一台能够提供数字证书的相关服务的主机,其能实施证书的签发,证书的废除,证书的查询,证书的验证,证书的下载,且作为一个完整的系统,同时具备管理功能,如操作员管理,系统管理员管理等等。
本发明的技术方案是:一种数字身份管理系统,其分别与普通用户、证书用户、系统操作员、系统管理员和系统初始化员以网络联结;该数字身份管理系统含有一主机、位于该主机内的数据盘和与该主机成可装卸的网卡,特点是,还有与该主机成可装卸联结的加密卡、并在该主机内设置面向对象的系统模块;该系统模块包括为用户提供使用接口的应用层、中间层和将用户的操作最终写入到数据盘的存储层,该中间层联结该应用层和存储层;
进一步,所说的联结用户接口的应用层包括系统初始化分模块、系统管理分模块、证书管理分模块、用户管理分模块、用户自服务分模块和系统服务分模块;
所说的中间层包括证书编码分模块、再现证书状态查询/证书废除列表编码分模块、签发证书/黑名单/再现证书状态查询分模块、用户信息管理分模块和证书信息管理;
所说的存储层包括对应于证书编码分模和再现证书状态查询/证书废除列表编码分模块的编码存储区、对应于签发证书/黑名单/再显证书状态查询分模块的加解密存储区和对应于用户信息管理分模块与证书信息管理分模块的数据库;
较为具体地,所说的主机内的数据盘,其容量至少是10G字节,而所说的加密卡是为国家密码委员会指定的加密卡。
本发明的优点是:1、本发明的数字身份管理系统,其主体结构是一主机,因此,成本开销低,约为通用的CA系统的1/20~1/30;2、适用于与局域网用户构成整体系统,使用方便。
附图说明
图1是通用的CA系统中的认证管理中心网络结构示意图。
图2是通用的CA系统中的密钥管理中心网络结构示意图。
图3是通用的CA系统中的受理中心网络结构示意图。
图4是通用的CA系统中的受理点网结结构示意图。
图5是本发明数字身份管理系统的立体结构示意图。
图6是本发明的数字身份管理系统的应用示意图。
图7是本发明的系统模块结构示意图。
图8是本发明的系统功能模块结构示意图。
图9是本发明中的普通用户申请证书流程图。
具体实施方式
下面根据图5~图9给出本发明一个实施例,并予以详细描述,以便使能更好地说明本发明的结构特征和功能特点,但不是用来限制本发明的权利要求保护范围。
请参阅图5和图6所示,本实施例中,数字身份管理系统10包括主机100、位于主机内的数据盘101、和与主机成可装卸联结的网卡102、加密卡103,在本实施例中主机100是一台PI11型计算机,其数据盘101,即硬盘的容量为10G以上,网卡102为通用型网卡,而加密卡103则采用中国信息产业部数据通信科学技术研究所制造的SJY104-B型加密卡。上述的数字身份管理系统10采用LINUX操作系统,普通用户11使用数字身份管理系统10首先要通过客户端访问数字身份管理系统10,访问的方法与浏览一般的网页是一样的。客户端的要求是:连接有读卡器,系统环境为Windows系统,具备IE浏览器,安装证书SHECA证书管理器2.10版的PC机。
如图6所示,普通用户11、证书用户12、系统操作员13、系统管理员14和系统初始化员15,它们分别使用浏览器与数字身份管理系统10以网络联结,它们执行不同的功能,其中:
系统初始化员15:执行系统初始化功能,包括删除所有数据,缺省系统管理员14、系统操作员13的生成。根证书的生成或指定。IP地址的更改。在系统初始化时必须提供1张系统初始化卡。
系统管理员14:执行系统管理功能,包括系统管理员14管理、操作员13管理、根证书管理、系统服务管理、系统日志管理、License管理、系统密钥管理(V2)。进入系统管理模式,必须提供大于1/2系统管理员数目的系统管理员到场才能进行。
系统操作员13:主要执行证书管理的工作,包括用户信息的增加、修改、删除。证书申请信息的修改和删除。以及证书的管理,如作废、签发、暂停、恢复等等。以及统计报表的制作打印等等。用户历史纪录查询。
证书用户12:用户证书自管理的工作,如用户信息的录入,修改,用户证书申请请求,用户证书的下载,用户证书的废除。用户历史纪录查询。
普通用户11:可以查询、下载他人证书、CRL。
请参阅图7和图8,如图7所示,本实施例中,
系统分为应用层1041,中间层1042,存储层1043。
系统应用层1041主要包括为用户使用该系统提供而提供的接口模块,这一层主要开发工具主要是JSP。因为所有对用户的界面都是以网页的形式提供的。
中间层1042包括为应用层1041与存储层1043提供的中间服务的模块。主要是一些Javabean,通过对中间层模块的调用,系统可以将用户的对一些功能的调用与最终的存储层关联起来。
存储层1043主要包括编码分模块10431,加解密分模块10432,数据库10433等最底层模块。为了描述方便,以下表表示如下:
上述的数字身份管理系统程度设计采用B/S的结构,即系统功能都可以通过浏览器操作来实现。
DIDMSTM WebSafeSuit提供了与DIDMSTM配合使用的WEB安全套件。DIDMSTM WebSafeSuit为WEB应用提供全方位的身份认证服务。包括UniTrust登录、UniTrust退出、对表单进行签名、对表单进行验证、对数据进行加密、解密、对信息进行时间标记和时间验证、在线密钥服务以及身份信息控制。
DIDMSTM同时支持UniTrustTM的SafeEngine和证书管理器,进行应用开发。
如图8所示,本实施例中,数据库10433分别与四个功能模块:系统初始化功能模块、系统管理功能模块、用户服务功能模块、用户信息和证书管理主页面功能模块成双向信息流联结。
请参阅图9所示,普通用户申请证书流程是:
步骤111,启动系统,普通用户登陆该系统,接着依次执行,
步骤112,进入用户服务功能模块,增加用户和证书申请,
步骤113,审核员进入“用户信息和证书管理”功能模块,审核证书申请和签发证书,
步骤114,用户进入“用户服务”下载证书。
更具体地,本实施例中,从功能角度,系统可以分为:初始化模块、系统管理模块、用户信息管理、用户自管理模块、证书管理模块、密钥管理模块(V2)、密码信封打印模块(V2可选)。
每个模块又可以细分为以下功能:
| 模块名称 | 子模块 | 优先级(1最高) | |
| 1.初始化模块 | 1.验证初始化卡 | 2 | |
| 2.删除所有的信息 | 2 | ||
| 3.设置IP地址 | 2 | ||
| 4.根证书导入 | 2 | ||
| 5.根密钥生成、自签发 | 1 | ||
| 6.缺省系统管理员,操作员 | 1 | ||
| 2.系统管理 | 1.系统管理模式认证 | 2 | |
| 2.系统信息管理 | 2 | ||
| 3.操作员管理 | 2 | ||
| 4.根证书管理 | 2 | ||
| 5.系统服务管理 | 2 | ||
| 6.系统日志管理 | 2 | ||
| 7.License管理 | 2 | ||
| 8.系统密钥管理(V2) | 2 | ||
| 9.系统备份 | 2 | ||
| 10.系统恢复 | |||
| 3.证书管理 | 1.操作员认证 | 2 | |
| 2.用户信息录入 | 1 |
| 3.用户信息修改 | 2 | ||
| 4.用户信息删除 | 2 | ||
| 5.证书申请信息添加 | 1 | ||
| 6.证书申请信息修改 | 2 | ||
| 7.证书申请信息删除 | 2 | ||
| 8.证书申请审核 | 1 | ||
| 9.证书状态管理 | 2 | ||
| 10.证书统计信息 | 3 | ||
| 11.查询用户历史信息 | 3 | ||
| 4.用户信息自管理 | 1.用户认证 | 口令 | 2 |
| 2.用户信息增加 | 2 | ||
| 3.用户信息修改 | 2 | ||
| 4.用户证书申请信息增加 | 2 | ||
| 5.用户证书申请信息修改 | 2 | ||
| 6.用户证书申请信息删除 | 2 | ||
| 7.用户证书申请下载 | 1 | ||
| 8.查询个人历史信息 | 3 | ||
| 9.用户证书废除(证书验证) | 2 | ||
| 10.用户证书自更新(证书验证) | 2 | ||
| 11.用户签名验证纪录查询(V2.0) | 4 | ||
| 5.其它 | 1.他人证书查询 | ||
| 2.CRL查询 |
| 3.下载根证书 | 1 | ||
| 4.下载证书链(V2) | |||
| 6. 服务 | 1.证书验证服务(OCSP) | 纪录所有认证纪录 | 3 |
| 2.在线密钥服务(V2.0) | 4 | ||
| 3.CRL签发 | 3 | ||
| 4.密钥生成模块 | 3 | ||
| 5.过期提醒(V2.0) | 4 | ||
| 7. 密码信封打印 | 4 |
表中优先级定义:
1=原型
2=功能
3=产品
4=V2.0
如前所述,只有用户服务模块是面对直接证书用户,而系统初始化,系统管理,用户信息和证书管理则需要相应的操作卡。
Claims (6)
1、一种数字身份管理系统,其分别与普通用户(11)、证书用户(12)、系统操作员(13)、系统管理员(14)和系统初始化员(15)以网络联结;;该数字身份管理系统含有一主机(100)、位于主机内的数据盘(101)、与该主机(100)成可装卸联结的网卡(102),其特征在于,还有与该主机(100)成可装卸联结的加密卡(103)、并在该主机(100)内设置面向对象的系统模块(104);该系统模块(104)包括为用户提供使用接口的应用层(1041)、中间层(1042)和将用户的操作最终写入到数据盘(101)的存储层(1043),该中间层(1042)联结该应用层(1041)和存储层(1043)。
2、根据权利要求1所述的数字身份管理系统,其特征在于,所说的联结用户接口的应用层(1041)包括系统初始化分模块(10411)、系统管理分模块(10412)、证书管理分模块(10413)、用户管理分模块(10414)、用户自服务分模块(10415)和系统服务分模块(10416)。
3、根据权利要求1所述的数字身份管理系统,其特征在于,所说的中间层(1042)包括证书编码分模块(10421)、再现证书状态查询/证书废除列表编码分模块(10422)、签发证书/黑名单/再现证书状态查询分模块(10423)、用户信息管理分模块(10424)和证书信息管理(10425)。
4、根据权利要求1或3所述的数字身份管理系统,其特征在于,所说的存储层(1043)包括对应于证书编码分模(10421)和再现证书状态查询/证书废除列表编码分模块(10422)的编码存储区(10431)、对应于签发证书/黑名单/再显证书状态查询分模块(10423)的加解密存储区(10432)和对应于用户信息管理分模块(10424)与证书信息管理分模块(10425)的数据库(10433)。
5、根据权利要求1所述的数字身份管理系统,其特征在于,所说的主机(100)内的数据盘(101),其容量至少是10G字节。
6、根据权利要求1所述的数字身份管理系统,其特征在于,所说的加密卡(103)是为SJY104-B型加密卡。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02110543 CN1356648A (zh) | 2002-01-11 | 2002-01-11 | 数字身份管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02110543 CN1356648A (zh) | 2002-01-11 | 2002-01-11 | 数字身份管理系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1356648A true CN1356648A (zh) | 2002-07-03 |
Family
ID=4741144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02110543 Pending CN1356648A (zh) | 2002-01-11 | 2002-01-11 | 数字身份管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1356648A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286847B (zh) * | 2007-04-10 | 2011-06-15 | 赛门铁克公司 | 通过单一界面管理数字身份的方法和设备 |
| CN103116819A (zh) * | 2012-11-12 | 2013-05-22 | 成都锦瑞投资有限公司 | 基于cfca认证标准的物业实名制认证key管理平台及其应用 |
| CN103281307A (zh) * | 2013-05-06 | 2013-09-04 | 四川长虹电器股份有限公司 | 一种基于有限优先级的动态调度分组算法的在线证书状态查询方法 |
-
2002
- 2002-01-11 CN CN 02110543 patent/CN1356648A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286847B (zh) * | 2007-04-10 | 2011-06-15 | 赛门铁克公司 | 通过单一界面管理数字身份的方法和设备 |
| CN103116819A (zh) * | 2012-11-12 | 2013-05-22 | 成都锦瑞投资有限公司 | 基于cfca认证标准的物业实名制认证key管理平台及其应用 |
| CN103116819B (zh) * | 2012-11-12 | 2016-12-21 | 成都锦瑞投资有限公司 | 基于cfca认证标准的物业实名制认证key管理平台及其应用 |
| CN103281307A (zh) * | 2013-05-06 | 2013-09-04 | 四川长虹电器股份有限公司 | 一种基于有限优先级的动态调度分组算法的在线证书状态查询方法 |
| CN103281307B (zh) * | 2013-05-06 | 2017-02-22 | 四川长虹电器股份有限公司 | 一种基于有限优先级的动态调度分组算法的在线证书状态查询方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10474795B2 (en) | Enhancement to volume license keys | |
| US6301658B1 (en) | Method and system for authenticating digital certificates issued by an authentication hierarchy | |
| CN113779605B (zh) | 一种基于联盟链的工业互联网Handle标识体系解析认证方法 | |
| Park et al. | Binding identities and attributes using digitally signed certificates | |
| Winter | 8 Appendix: Symmetric Key-Distribution | |
| US20070143836A1 (en) | Apparatus system and method to provide authentication services to legacy applications | |
| CN1631001A (zh) | 利用批量设备的身份凭证创建安全网络的系统和方法 | |
| CN1868189A (zh) | 在运行时包签名中使用受信的、基于硬件的身份认证以使移动通信和高价值交易执行安全的方法 | |
| CN1274105C (zh) | 基于数字证书实现的动态口令认证方法 | |
| CN1787513A (zh) | 安全远程访问系统和方法 | |
| CN101488857B (zh) | 认证服务虚拟化 | |
| EP1162780B1 (en) | System and method for cross directory authentication in a public key infrastructure | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN101022339A (zh) | 一种结合数字证书和印章的电子签章认证方法 | |
| CN106533693B (zh) | 轨道车辆监控检修系统的接入方法和装置 | |
| CN1922816A (zh) | 单向认证 | |
| CN1588853A (zh) | 一种基于网络的统一认证方法及系统 | |
| CN111651745B (zh) | 基于密码设备的应用授权签名方法 | |
| US20120089495A1 (en) | Secure and mediated access for e-services | |
| Hsu et al. | Intranet security framework based on short-lived certificates | |
| US20020035686A1 (en) | Systems and methods for secured electronic transactions | |
| CN1194498C (zh) | 基于数字标签的内容安全监控系统及方法 | |
| CN1356648A (zh) | 数字身份管理系统 | |
| CN1829150A (zh) | 一种基于cpk的网关认证装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| AD01 | Patent right deemed abandoned | ||
| C20 | Patent right or utility model deemed to be abandoned or is abandoned |