资源预览内容
第1页 / 共52页
第2页 / 共52页
第3页 / 共52页
第4页 / 共52页
第5页 / 共52页
第6页 / 共52页
第7页 / 共52页
第8页 / 共52页
第9页 / 共52页
第10页 / 共52页
亲,该文档总共52页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
烟草行业CA建设Infosec7/25/2024Copyright 1998-2009 Infosec 谴防绚迟达包剥诅昏检腾拂切慢瘩差锨迟狱摊吹段诛耗煞可尚柠昂慰篇霉CA安体系认证建设CA安体系认证建设目录建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接7/25/2024Copyright 1998-2009 Infosec 伪敦优跃卑讼零甄供掘螺方原勤钙洽亡屉枢梅建课孝慕健程哇蝎最髓薪崔CA安体系认证建设CA安体系认证建设目录建设目标与总体要求建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接7/25/2024Copyright 1998-2009 Infosec 轻斡篆持全拍衡敏苫淮棘韩蹿嘘揍粒揍袁狐疾匝臆成鸭快笛磅剿垒聊浇求CA安体系认证建设CA安体系认证建设烟草行业CA安全认证体系建设l烟草行业CA安全认证体系建设项目主要内容:1、CA安全认证体系建设2、实现CA与应用系统之间的挂接7/25/2024Copyright 1998-2009 Infosec 市坑厦赊知混很班涡莱趋皑克腾霹掩拯肿本摹锻器扔冯乳蕊耘荤木盗盛耽CA安体系认证建设CA安体系认证建设CA安全认证体系服务范畴鉴定 Identification认证 Authentication完整性 Integrity 机密性 Confidentiality 不可否认性 Non-repudiation 7/25/2024Copyright 1998-2009 Infosec 横壹适伤捌艾京民忽卒健淘舜充栋桨接树术当蛋研景咳鸭宠澳烁捉撬绝火CA安体系认证建设CA安体系认证建设术语解释数字证书数字证书 数字证书,也被称为数字身份证,其用来识别数字证书持有者的真实身份。因数字证书提供的是网络上的身份证明,也可称数字证书是“网络身份证”。 数字证书认证中心(数字证书认证中心(CA) CA是数字证书签发的权威机构,它是CA认证中心的核心组成部分。CA负责数字证书的签发、保管、分发、以及必要时的证书撤销。数字证书认证中心主要包括:CA系统、RA系统等 。数字证书注册机构(数字证书注册机构(RA) RA是负责数字证书注册的机构,是面向最终用户和发证操作员的业务平台。RA中心负责处理用户的证书申请,对证书申请进行审核,并且通过用户信息系统进行授权,参与用户证书申请、发行和作废的过程。RA不能签发和发行证书,但是可以作为用户和CA间的中间人。当需要新的证书的时候,用户就给RA发送请求,然后由RA再把这个请求发送给CA,由CA来完成数字证书的签发和发行。RARA安全终端安全终端RA安全终端,是一台专门用于访问RA系统的PC机。密钥管理中心(密钥管理中心(KMCKMC)负责为CA系统提供密钥的保存、备份、更新、恢复等密钥服务。 数字证书应用支撑系统数字证书应用支撑系统数字证书应用支撑系统,为单点登录或应用系统提供以数字证书为基础的身份认证、数据私密性、数据完整性、操作不可否认性等安全服务功能。 7/25/2024Copyright 1998-2009 Infosec 柴巷勒访享杀烦芬堰域匙迭讶樟监写引滦吭坠淬执托碴掸茹比瓮添住瑞搏CA安体系认证建设CA安体系认证建设建设目标烟草行业CA认证中心的建设目标:一是建设能够为烟草行业信息系统提供高强度的安全身份认证机制,为统一权限管理、单点登录等管理系统提供应用安全支撑平台。二是建立健全保证CA认证中心基础设施正常运行的标准和制度。7/25/2024Copyright 1998-2009 Infosec 叭疾袜祷授文腮咐蒋付勃端过现掐晒沈缚隔彼岳鄙誓谊寝侍娠蝉厚骤又袜CA安体系认证建设CA安体系认证建设总体要求烟草行业CA认证中心建设的总体要求:健全管理机制通过烟草行业CA认证中心的建设,将在烟草行业信息网络内,建立和健全人员身份信息的集中管理机制,通过有效的技术手段对信息化用户的活动状态、行为等方面进行集中监管,从而进一步规范用户的业务系统登录和业务操作行为。 完善管理制度积极推进制度的建设和完善,为规范烟草行业网络信任体系的运行提供制度保障 。统一技术标准 烟草行业CA认证中心的建设采用PKI体系框架和X.509标准协议。 7/25/2024Copyright 1998-2009 Infosec 盅玩王堤寸间插像储遵讲软薪猜栈坡让庐涩贬某襟爬延勃沈琼介喻丈殃棚CA安体系认证建设CA安体系认证建设基本原则烟草行业CA认证中心建设的基本原则:统一技术方案依照本方案的规定,国家局负责烟草行业根CA中心、国家局运营CA中心(二级CA)的建设,其中国家局运营CA中心包括数字证书发放管理系统、数字证书应用支撑系统2个部分;各省级单位负责本单位省级运营CA中心(二级CA)的建设,省级运营CA中心包括本省数字证书发放管理系统、数字证书应用支撑系统2个部分;各省级单位必须根据本技术方案和国家相关技术标准的要求,结合本单位的实际情况配置硬件设备和软件系统,进而形成本单位的运营CA中心实施方案。 结合应用分级实施各单位必须按国家局的要求,使用CA认证技术实现身份认证。各单位应在本技术方案的指导下,从本单位的实际需求出发,来决定省级单位CA中心的建设规模和建设方案 。7/25/2024Copyright 1998-2009 Infosec 氟粹恨羹纸凯宴煌卵碱摄坞扁哄汾焰恃俗弓黄赃踊链债商挚勉竿肪收劳忻CA安体系认证建设CA安体系认证建设管理原则l遵循“行政管理怎么管,数字证书就怎么发”的基本思想; l管理原则统一规范集中监管单位自治7/25/2024Copyright 1998-2009 Infosec 螺驴便估滚渣形绢潍充裳蝴嫉况洛浊乙嘘哇厨杠持隙抒竹屑卡贴肯邦祭已CA安体系认证建设CA安体系认证建设目录建设目标与总体要求烟草行业烟草行业CA安全认证中心总体框架安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接7/25/2024Copyright 1998-2009 Infosec 韵椿首抄鞍芒菱法凄众糟查畜婪裙若沃始茨蹦线旱倾尼槛狠扛谴晾瞄凤盆CA安体系认证建设CA安体系认证建设烟草行业烟草行业CA认证中心总体结构认证中心总体结构烟草行业烟草行业CA认证中心认证中心2级结构根CA(烟草行业根烟草行业根CA中心)中心)二级CA(国家局运营国家局运营CA中心、各省级运营中心、各省级运营CA中心中心)3个部分 烟草行业根烟草行业根CA中心中心国家局运营国家局运营CA中心中心各省级运营各省级运营CA中心中心7/25/2024Copyright 1998-2009 Infosec 刨柜斌植勺压令藩句葬作难兹议雍幅敌庶罗墒吱半览乌的捞燥巫冲迂背宦CA安体系认证建设CA安体系认证建设烟草行业烟草行业CA认证中心基础架构认证中心基础架构7/25/2024Copyright 1998-2009 Infosec 眶带兜射参亡咒摧矢梢义苯酮渔违黎休姥革馒歪廊答让榷躁畦棉翼乏锦闸CA安体系认证建设CA安体系认证建设烟草行业根烟草行业根CA中心中心 烟草行业CA认证中心的信任源;其功能主要包括:为二级CA(国家局运营CA中心和各省级运营CA中心)提供互信保障;同时,为各二级CA签发“二级CA证书”;由于烟草行业根CA中心不面向终端用户,所以其可以采用离线的方式进行封闭式运行。 7/25/2024Copyright 1998-2009 Infosec 颤淳钾溜香媳节肤醚从弟筏惰势善丘团浆图菠些醉志椒冉祈掀邮惜对裕放CA安体系认证建设CA安体系认证建设二级二级CA二级二级CA(国家局运营(国家局运营CA中心中心和各省级运营省级运营CA中心)中心)作为烟草行业根CA的子CA系统,其服务对象将主要面向各终端用户和各业务系统;二级CA的主要功能1、面向其所辖范围内的终端用户,提供数字证书的发放管理服务;2、面向各业务系统,保证各业务系统能够接受数字证书用户的身份认证和系统登录。7/25/2024Copyright 1998-2009 Infosec 殆六酣冻漏亭衫拆寥狭殃擦孽竭敌搓再亭优籽的结署兴熬聪桂瓶莹谅臀产CA安体系认证建设CA安体系认证建设二级二级CA组成:组成:国家局运营CA中心和各省级运营CA中心组成;国家局运营国家局运营CA中心中心“数字证书发放管理系统”“数字证书应用支撑系统”省级运营省级运营CA中心(工业公司运营中心(工业公司运营CA中心、商业公司运营中心、商业公司运营CA中心)中心)“数字证书发放管理系统”“数字证书应用支撑系统”7/25/2024Copyright 1998-2009 Infosec 做丹扦芝炼匪聊宿臭薯口纽比鹅遮修寂蹄涕尹晶雹色酉狸吼迅泼哩鞍盈达CA安体系认证建设CA安体系认证建设国家局运营国家局运营CA中心中心国家局运营国家局运营CA中心中心功能主要包括:1、为国家局机关内用户发放和管理数字证书;2、为部分省级单位的用户、有条件地发放和管理数字证书;3、为国家局各业务系统提供身份认证、数据安全保障等服务;4、对各省级运营CA中心进行垂直监管。7/25/2024Copyright 1998-2009 Infosec 烙丹墅湛扁戮蒲励胚堪近薛辛卉吴炒值仟逐惺样协细婿失傻矽盟泰咐司爬CA安体系认证建设CA安体系认证建设省级运营省级运营CA中心中心各省级运营各省级运营CA中心(工业公司运营中心(工业公司运营CA中心、中心、商业公司运营商业公司运营CA中心)中心)作为烟草行业CA认证中心中的另一个重要组成部分,在接受国家局运营CA中心的垂直监管的同时,其主要功能:1、为本省单位所辖范围内的用户发放和管理数字证书;2、为本省单位各业务系统提供身份认证、数据安全保障等服务; 7/25/2024Copyright 1998-2009 Infosec 雀玖越轴邀角垛褐琶走搀立彤荔晌我课旁铀桌代眷权弧休暇金哄欣汝冤甭CA安体系认证建设CA安体系认证建设烟草行业烟草行业CA认证中心基础架构认证中心基础架构7/25/2024Copyright 1998-2009 Infosec 鸽班跺栓扣乾妮擂哑猖耸吩胳驼训粒寓穷槽雪帚浙寒赴怔昭宝疏忍旅撰拱CA安体系认证建设CA安体系认证建设烟草行业烟草行业CA认证中心总体架构认证中心总体架构3大功能系统数字证书发放管理系统数字证书发放管理系统数字证书应用支撑系统数字证书应用支撑系统数字证书综合监管系统数字证书综合监管系统7/25/2024Copyright 1998-2009 Infosec 分赶弊嵌汽褒奈花亲婶圾纂金岗短答麻赔凿戳俱乍贬公纺锨寐痈颇洞军勃CA安体系认证建设CA安体系认证建设数字证书发放管理系统数字证书发放管理系统数字证书发放管理系统数字证书发放管理系统是为烟草行业用户提供数字证书的签发、发布、撤销等一系列管理服务;主要实现“签发和管理数字证书” 。其服务对象为:数字证书的持有者和数字证书应用支撑系统。用户的数字证书包含如下个人身份信息描述:姓名职务部门单位7/25/2024Copyright 1998-2009 Infosec 冶逆重厄禄闹左羞仟陵蒜精踊丛砌酌署格堆蹲个殖丫狠葡裙呕腊衅堰纶荚CA安体系认证建设CA安体系认证建设数字证书发放管理系统数字证书发放管理系统(国家局运营(国家局运营CA中心)中心)国家局运营国家局运营CA中心的数字证书发放管理系中心的数字证书发放管理系统自身的数字证书由统自身的数字证书由“烟草行业根烟草行业根CA中心中心” 签发;签发; 主要负责签发国家局机关内用户的数字证主要负责签发国家局机关内用户的数字证书,即:个人数字证书;书,即:个人数字证书;同时为部分省级单位的用户、有条件地发同时为部分省级单位的用户、有条件地发放和管理数字证书。放和管理数字证书。7/25/2024Copyright 1998-2009 Infosec 滑援铁猫震崎桶回巴拽煎涯坤遍氏蹿惹凿楷在耙尖剔垒锤绳啥怪涸提凿浪CA安体系认证建设CA安体系认证建设数字证书发放管理系统数字证书发放管理系统(省级运营CA中心)各省级运营CA中心的数字证书发放管理系数字证书发放管理系统统自身的数字证书由“烟草行业根CA中心” 签发;负责签发其所辖范围内用户的数字证书,即:个人数字证书 。 7/25/2024Copyright 1998-2009 Infosec 旺独赫扶坡查蜡书绕嗜勋帜独琉婪袒打骤茅空叉粱锻冬愈残昌芹祖辐戳木CA安体系认证建设CA安体系认证建设数字证书发放管理系统数字证书发放管理系统-国家局系统与省级系统的关系国家局系统与省级系统的关系国家局数字证书发放管理系统与省级数字国家局数字证书发放管理系统与省级数字证书发放管理系统之间属于同一信任源,证书发放管理系统之间属于同一信任源,相互间存在相互信任的关系。相互间存在相互信任的关系。省级数字证书发放管理系统所颁发的每一省级数字证书发放管理系统所颁发的每一张用户数字证书都须在国家局数字证书发张用户数字证书都须在国家局数字证书发放管理系统中放管理系统中登记备案登记备案。7/25/2024Copyright 1998-2009 Infosec 申视孵灰癌精梳贯犊炙洞腑豪武运龄弓擅熊正视命任纸葡坞骏凳蒲厚抵日CA安体系认证建设CA安体系认证建设CA系统组成CA ServerOCSP ServerCA AdminKMC AdminKMC ServerTSA ServerRA ServerAA ServerLDAP ServerRA Admin7/25/2024Copyright 1998-2009 Infosec 奢佑柴矣奎宪透碾客度溯讲撞芯晶要憎近热光啥狼貉叹巴眠莱隐尖膨舱犊CA安体系认证建设CA安体系认证建设数字证书应用支撑系统数字证书应用支撑系统数字证书应用支撑系统数字证书应用支撑系统实现“数字证书持有者在业务应用系统中有效、安全地使用数字证书”,其实现功能:为业务系统提供基于数字证书的强身份认证;为业务系统提供数据私密性和完整性保证;为业务系统提供操作不可否认性机制其服务对象为:数字证书持有者和业务应用系统。7/25/2024Copyright 1998-2009 Infosec 脆天杂氟柑咸棍酝梦减浅啼崩树幽扫波蛔婿捞灰六狼纹围恐构枉坐呜庸仇CA安体系认证建设CA安体系认证建设数字证书应用支撑系统数字证书应用支撑系统数字证书应用支撑系统数字证书应用支撑系统NSAE应用安全代理网关:支持B/S结构应用的双向数字证书认证;为业务系统提供基于传输通道的数据加密服务;为业务系统提供基于数字证书的身份认证机制NetSign数字签名服务器为C/S结构应用提供基于数字证书的身份认证机制为业务系统提供操作不可否认性机制为业务系统提供基于内容的加解密服务7/25/2024Copyright 1998-2009 Infosec 袖堪壤手仇圈舞驾乒奠专鸯侥软俄牵霖粹柏仙宽们殊兜诗佰春焰迂逊婉拦CA安体系认证建设CA安体系认证建设目录建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业烟草行业CA认证中心的建设内容认证中心的建设内容数字证书DN规范应用对接7/25/2024Copyright 1998-2009 Infosec 鹤劝邵三裸辣热盾概丹悬员湍猩驮逃赖定楚痞茫灯亦堤链袄堂禄噬拦谐棍CA安体系认证建设CA安体系认证建设烟草行业烟草行业CA认证中心的建设内容认证中心的建设内容烟草行业根烟草行业根CA中心建设中心建设国家局运营国家局运营CA中心建设中心建设各省级运营各省级运营CA中心建设中心建设7/25/2024Copyright 1998-2009 Infosec 膀闻骇哦楔脐醒姬沽籽琶肖误擂平辜系傀早访孰能嗅庐戳八羔枯卞善属恃CA安体系认证建设CA安体系认证建设烟草行业根烟草行业根CA中心中心建设建设7/25/2024Copyright 1998-2009 Infosec 压字淳断钝渔也抚篮哦浑唱宴瞻措涕叠兄恬表堆蛔修向恼峙救工扼厦尽久CA安体系认证建设CA安体系认证建设烟草行业烟草行业根根CA 中心中心 行业根CA中心的作用是:负责签发和管理二级CA的数字证书。根CA中心由国家局建设,作为烟草行业CA认证中心的信任源信任源;行业根CA中心由其自身组成;7/25/2024Copyright 1998-2009 Infosec 垣锐哭局瑰查眯急吱手锌冷舞款侈帘跌梳缠抿非弟舅呸琴阑巾咆唆驰涸米CA安体系认证建设CA安体系认证建设烟草行业烟草行业CA认证中心的建设内容认证中心的建设内容烟草行业根烟草行业根CA中心建设中心建设国家局运营国家局运营CA中心建设中心建设省级运营省级运营CA中心建设中心建设7/25/2024Copyright 1998-2009 Infosec 惑芍掩矗汝咳冯骄告雇拱欣咖庄疡溶哉疚妖宣门酥连丽抨佬迹将布逢塞风CA安体系认证建设CA安体系认证建设省级运营省级运营CA中心中心建设省级数字证书发放管理系统省级数字证书发放管理系统省级数字证书应用支撑系统省级数字证书应用支撑系统7/25/2024Copyright 1998-2009 Infosec 舵内榴梅栈醉霉怨狮圈联紧狗劣校揭给酷入箩急脾蓖入亏丛江鸡磊砍六瘤CA安体系认证建设CA安体系认证建设省级运营省级运营CA中心中心建设基本要求遵循国家相关建设的法律法规的要求;按照国家局颁发的CA认证中心的建设方案要求进行建设;省级运营CA认证中心的建设必须结合本单位的业务应用的需求和发展情况,确定建设规模和建设方案。7/25/2024Copyright 1998-2009 Infosec 仗收业神萨喂啪诣溶遏噪阀壤骸篮好瓦仓笑瞻还涨郡弄诬庆嫌桩回找哲晾CA安体系认证建设CA安体系认证建设省级运营省级运营CA中心中心建设建设内容建设内容数字证书发放管理系统数字证书发放管理系统(包括:(包括:CA子系统、子系统、KMC子系统、子系统、RA子系统)子系统)数字证书应用支撑系统数字证书应用支撑系统。职能描述:职能描述:支持为本单位所辖范围内的所有行业内用户和行业外用户提供数字证书的发放和管理服务;支持为省级单位自己的核心业务系统(如:财务系统等)提供基于数字证书的身份认证。 7/25/2024Copyright 1998-2009 Infosec 伺鸟够照烃容议俗斜龟怂谴树欢雌篙胸妄泥彝耍畴樟恍勇烷窟啥芯肪揍两CA安体系认证建设CA安体系认证建设省级运营省级运营CA中心中心数字证书发放管理系统架构数字证书发放管理系统架构7/25/2024Copyright 1998-2009 Infosec 嘻押便箔奸脆娟嚎呻借适函中反糜名庆胞蘑虏假纶泣遥瘪顺窟煽提加硼申CA安体系认证建设CA安体系认证建设地市级数字证书发放管理地市级数字证书发放管理遵循用户属地管理原则行政管理怎么管,数字证书就怎么发RA系统架构采取单一物理架构,多层逻辑管理架构证书注册数据来源统一逻辑上实现多层管理架构7/25/2024Copyright 1998-2009 Infosec 画痴尉汹疆搂宗驱莎钝一器垛侯眺侍诌缴泳哄抱痈刚渐忱悦耍政瓢咖饼郧CA安体系认证建设CA安体系认证建设省级数字证书应用支撑系统省级数字证书应用支撑系统数字证书应用支撑系统应用安全代理网关实现基于数字证书的客户端与服务器身份认证、数据传输通道加密、数据完整性保证等功能数字签名系统实现业务数据的完整性、操作不可否认性保证;7/25/2024Copyright 1998-2009 Infosec 摸纯及晨邮顷览藤敬兔凹哮屠义猿甩锻蔚垄网鹤梅廉嵌玛田涸砍副驱宦棱CA安体系认证建设CA安体系认证建设系统部署示意图系统部署示意图7/25/2024Copyright 1998-2009 Infosec 我声葡读渺瓷性觅诬划灭匈持坠羚婶逢明妮竖擅舅聋苦她惯彻个蹋隐捏枣CA安体系认证建设CA安体系认证建设地市级数字证书应用支撑系统地市级数字证书应用支撑系统地市级单位分布式应用架构需要分布式数字证书应用支撑架构支持数字证书应用支撑系统应用安全代理网关实现基于数字证书的客户端与服务器身份认证、数据传输通道加密、数据完整性保证等功能数字签名系统实现业务数据的完整性、操作不可否认性保证;7/25/2024Copyright 1998-2009 Infosec 兜梗仓倡挚默昧东房鞘狞绪侵废芜络鳞坏堂全袁髓惟烂溢斜煌赋揽料控浇CA安体系认证建设CA安体系认证建设地市级数字证书应用支撑系统部署示意图地市级数字证书应用支撑系统部署示意图7/25/2024Copyright 1998-2009 Infosec 诣梭铲款掏排害段额散液蔓咯信垣途掀誉涝荐君骂震月耳皆志霖笺名耽再CA安体系认证建设CA安体系认证建设目录建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书数字证书DN规范规范应用对接7/25/2024Copyright 1998-2009 Infosec 偷求侗弛匿黍熊闭短耕尾就纸蒜擦侠瞅充攻俘渝狈勺相索相销性椰振媚疟CA安体系认证建设CA安体系认证建设数字证书DN规范 烟草行业根CA中心数字证书DN为:CN=中国烟草根CAO=TobaccoC=CN7/25/2024Copyright 1998-2009 Infosec 湛嚣沤辑悍偿东涯毗爱奴怒庇噎蠢孟否伎巷的冗涝谊跨徽较酒深限印卤傍CA安体系认证建设CA安体系认证建设数字证书DN规范二级CA运营CA中心数字证书DN为示例XX省局CA的DN为:CNOCXX省局CATobaccoCN示例XX中烟CA的DN为:CNOCXX中烟CATobaccoCN7/25/2024Copyright 1998-2009 Infosec 呜医行轻臆鹏烃汉丢颜褒店刮女窄陨赏谢渊针州慑益搓扣崖剿澡篓晨质湾CA安体系认证建设CA安体系认证建设数字证书DN规范个人数字证书DN格式为 CNOUOUOUOC姓名处名称司/局名称国家局TobaccoCN科名称处名称省级单位名称部名称烟厂名称科名称市公司名称7/25/2024Copyright 1998-2009 Infosec 泰苟服鲸顶悄狡晕捐慰恢吵皮酗佰延遇伴聂桥洪芳矣昆敦殖巳廉挨拾堆骋CA安体系认证建设CA安体系认证建设目录建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接应用对接7/25/2024Copyright 1998-2009 Infosec 甫檬凯姿访惭倦舰乳是瘦淹买翁溉圭诉踌颤胜韧翱诀未剔排疫易羹盅狙虹CA安体系认证建设CA安体系认证建设应用对接应用开发商工作应用开发商工作实现改变应用基于用户名/口令的认证方式,增加基于数字证书的身份认证方式实现数据在传输和存储过程的加密,提供数据的私密性保护实现业务过程中的数字签名,提供数据的完整性保护和操作的不可否认性机制遵循烟草行业数字证书应用接口规范7/25/2024Copyright 1998-2009 Infosec 到秀桃州窜喜纫从粗卧语樱闲铅爱施腹阀处帽条坏裔粥由离武医离源蒸甥CA安体系认证建设CA安体系认证建设应用对接应用改造应用改造建立数字证书与应用系统帐号的对应关系单点登录系统中只需与系统帐号绑定非单点登录系统需分别与各业务系统帐号绑定身份认证单点登录系统配置为证书认证方式B/S应用由应用服务器从应用安全网关转发的HTTP报文中约定位置获取证书信息,从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号C/S应用由客户端对应用服务器发出挑战随机数进行数字签名,服务端签名验证通过后获取签名证书的信息,从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号7/25/2024Copyright 1998-2009 Infosec 帚琢饯沥池引凄冬器吨腕轿眶示痘轨壕喊素今茁贪音玩呻盛抬龚拘痔粳屿CA安体系认证建设CA安体系认证建设应用对接应用改造应用改造数据加密基于通道: 将HTTP协议改为HTTPS协议,通过应用安全网关实现基于SSL加密通道的数据加密方式基于内容:应用直接调用签名服务器提供的加密/解密接口对数据进行加密或解密操作数字签名调用签名服务器提供的签名/验签名接口对数据进行签名和签名验证操作7/25/2024Copyright 1998-2009 Infosec 渐谭俐利蔷锹栋刃跌寺榷巢潮铣润抿闽蓄缎杰踞燎皿源油际烈番钟抖付姐CA安体系认证建设CA安体系认证建设省级系统配置列表产品名称平台建议配置硬件数量相关说明NetCert CA ServerPC服务器 1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1负责签发、废除证书等操作,PKI体系的核心系统NetCert RA ServerPC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1实现证书管理功能,实现证书管理逻辑,提供Web管理界面NetCert KMC ServerPC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1负责加密证书的密钥管理NetCert AA ServerPC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口0综合监管平台的证书备案系统,运行在RA服务器中TrustyLink Audit Server PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1综合监管平台的数字证书使用审计系统NSAE网络设备NSAE21002安全应用代理服务器,客户端和服务器端建立一个安全通道NetSign Server网络设备NetSign-E2签名服务器,配合客户端签名控件实现客户端/服务器端的签名验证功能NetCert TSA Server PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1时间戳服务器系统,与OCSP系统共享NetCert OCSP Server PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口0证书在线状态查询服务器系统加密机SJY05-B3存放CA及RA系统密钥ITEC-iDS PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口2从LDAP服务器USBKey证书载体7/25/2024Copyright 1998-2009 Infosec 雁夜诫捷去佐相顺鹤籍皮历外臆僵喇戒脐稗要掂哑欧交邀周猿峨击呸遭夹CA安体系认证建设CA安体系认证建设地市级系统配置列表产品名称平台建议配置硬件数量相关说明Audit Server PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1综合监管平台的数字证书使用审计系统NSAE网络设备NSAE21002安全应用代理服务器,客户端和服务器端建立一个安全通道NetSign Server网络设备NetSign-E2签名服务器,配合客户端签名控件实现客户端/服务器端的签名验证功能NetCert TSA Server PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1时间戳服务器系统,可选项。USBKey证书载体7/25/2024Copyright 1998-2009 Infosec 瑞千傣汾檀绑发牢矩厦店巩崎末创飞纠镶筛而温糟泛裙氓焕曾匡人美廓醚CA安体系认证建设CA安体系认证建设谢谢 谢!谢!问题与讨论7/25/2024Copyright 1998-2009 Infosec 弊尿瑰勋莉情乙战斗迁责攀争吵物泥移授捂伴赴预节蜘某侗那遣抱约奢矩CA安体系认证建设CA安体系认证建设
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号