证书制作管理及认证系统

系统说明

证书制作管理及认证系统是以PKI体系及标准X.509证书为基础实现用户证书的制作、管理及远程认证。

 系统组成

证书制作管理及认证系统主要由两部分组成,包括:证书制作认证管理中心及客户端认证系统。

证书制作认证管理中心由证书证密钥库、证书制作模块、证书管理模块、远程认证模块组成。证书证密钥库由证书库及密钥库组成,用于存储用户证书及对应的密钥信息;证书制作模块实现对用户非对称密钥的生成、密钥的恢复、密钥销毁、证书打包及设备注证功能;证书管理模块实现对用户证书的恢复、吊销、发布;远程认证模块实现基于信息网络的用户身份认证,认证基础为用户证书,认证内容包括:用户证书链、吊销列表及证书签名信息。证书管理中心系统结构如下图所示:

image.png

客户端认证系统由证书载体设备(Key、IC卡等)、设备访问接口库、远程身份认证接口库组成。

 系统拓朴

image.png

 系统功能

 密钥制作

系统实现基于RSA1024的非对称密钥生成,生成的密钥存储于系统密钥库中,备用户证书生成及设备注证使用。

 证书生成

系统实现基于密钥库的证书生成过程,生成的证书将存储与系统证书库中。同时,证书管理员可以将用户证书通过LDAP进行全网发布。发布证书将自动同步到从LDAP中。

 设备注证

系统提供基于本地方式的设备注证,用户身份证书及密钥对将同时写入用户终端设备中。

 证书发布

系统提供基于LDAP标准协议实现主从LDAP的证书发布,主LDAP数据来源于系统证书库供系统管理员使用,从LDAP自动实现与主LDAP的同步,通过主从模式保障用户证书双备份防止数据损坏。

 证书吊销

系统通过生成CRL吊销列表实现对用户证书的吊销管理,CRL吊销列表将发布到LDAP中供用户下载。

 密钥/证书恢复

系统通过基于本地方式的密钥及证书的恢复功能,实现对原有用户密钥及证书重新注入。

 远程认证

系统提供基于SOCSP标准协议的远程身份认证,该协议支持基于HTTP及普通SOCK认证。

 系统特点

 安全性

系统基于PKI技术,运用证书认证技术,可以避免单一口令认证的脆弱性,可安全有效地实现客户端和服务端的相互身份认证。

 灵活性

整个系统采用模块化的设计思想,与用户网络环境无关,可运用于任何TCP/IP网络中,无需对用户网络进行改造,方便用户使用。

 标准化

支持目前国际标准协议和规范,保证系统的可靠性、兼容性和可扩充性,便于同其他系统接轨和系统的升级。其中包括X.509V3数字证书、HTTP协议等相关技术规范和标准。

 系列化

客户端提供系列化的认证设备,支持软件模块、USB-KEY模块、智能IC卡等多种认证设备,为用户提供广阔的选择空间。

 应用模式

系统提供基于SOCSP接口方式的远程认证,通过该模式为应用系统提供身份认证及访问控制的接口,为应用系统提供安全服务。同时,通过与单点登录系统结合实现各类应用系统兼容,从而实现应用系统零修改。

客户端认证软件与认证服务器进行身份认证,并协商工作密钥,用于对数据的加密。应用系统客户端使用客户端的安全接口,实现数据加密和签名等功能。然后将数据发送给应用服务器,应用服务器使用安全系统服务端接口,对数据进行解密、验证和访问控制。然后,并将处理的结果加密后发回给客户端。

 

 系统配置




湖北信安通科技有限责任公司门户

地 址:武汉市洪山区珞瑜路312号722研究所联调楼4楼

邮政编码:430079

电 话:027-87528108 87528208 87528252

传 真:027-87528286

手机:

邮 箱:897065374@qq.com

投诉邮箱:897065374@qq.com

姓名Name
标题Title
邮 箱Emali
联系电话Tel
内容Content
checkout

关注
官方微信