身份認證系統

在信息的生命週期中，會受到各個方面的安全威脅，這些威脅會利用應用環境的脆弱性對應用環境產生不利的影響，例如：假冒、竊聽、破壞信息的完整性、抵賴等。而企業級CA系統就是根據用户實際需求開發的一套內網數字身份認證解決方案套件。 ^[1] 

我公司根據通用的PKI（公鑰密碼基礎設施）技術，研發了具有國內先進水平的企業級CA系統。通過企業級CA的部署和數字證書的發放，實現了身份認證、數據的機密性、數據的完整性、不可抵賴性等相關功能。該產品廣泛應用於金融、證券、税務、電信、郵政、政府辦公、電子商務、電子政務等領域，在安全應用領域形成了一整套的完整網絡安全解決方案。SURE企業級CA認證系統已經在多個企業進行應用，有較高的安全性和穩定性，能夠完全滿足企業單位的安全認證需求。

1.嚴格的標準化設計 ^[2] 

在；

系統設計符合相關國際通用標準，證書格式採用X509 V3標準，證書註銷列表採用X509 V2標準。系統內部使用的密碼設備接口為PKCS#11接口和MS CSP接口，支持多種型號的硬件密碼設備。

2.靈活的模塊化設計

以結構化、模塊化為設計原則，組成系統的不同模塊之間相對獨立，可以根據不同用户的需求實現靈活搭配，具有良好的可擴展性。

3.完善的安全措施

採取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密，使得通信數據以密文的方式在網絡上進行傳輸，同時採取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護，系統用户使用數字證書進行身份認證，確保系統自身安全。

系統內採用的安全硬件產品均通過國家密碼局的安全鑑定，證書和密鑰存儲在USBKEY中，安全可靠。

4.有效的防護機制

在設計上包括安全防護機制、安全檢測機制和安全恢復機制。對於重要的系統數據和物理設備進行安全備份和安全管理，確保系統運行可靠。

5.簡單的部署使用

管理系統採用B/S結構，管理員通過瀏覽器對系統進行操作，無需安裝客户端軟件，操作簡單方便。

6與第三方CA相比其優勢

（1）可實現對內部信息系統在應用層面的安全要求，實現內部數字證書的發放及管理。

（2）一次投資即可實現長期使用，無證書年檢等費用支出。

（3）所發放的數字證書可應用於企業內部的多個系統中，實現真正的"一證多應用"。

（4）系統部署可配置，可選擇使用軟加密庫作為企業級CA系統的根密鑰存儲設備，從而降低成本。

企業級CA系統是對生存週期內的數字證書進行全過程管理的安全系統。 ^[3] 

1.簽發服務器（CA）

簽發服務器對生存週期內的數字證書進行全過程管理的控制模塊，負責系統的初始化、用户資料管理、用户證書管理、CA配置管理、CA策略信息管理等。

2.註冊服務器（RA）

註冊服務器作為身份認證系統的註冊模塊，負責用户信息的錄入、用户信息的審核、證書申請、證書註銷、證書更新等。

3.密鑰管理服務器（KM）

密鑰管理服務器主要是實現對密鑰信息的管理，包括密鑰管理服務器的初始化、密鑰監控服務。

4.管理終端

證書管理終端主要是對系統進行管理，包括系統的初始化、用户申請的審核上傳等。

身份認證系統網絡部署

1.硬件環境

（1） Windows 主機平台

（2） USBKEY智能密碼鑰匙

2.軟件環境

（1） 操作系統： Windows2000/XP及兼容系統

（2） 應用軟件： SURE身份認證系統

（3） 數據庫： Microsoft SQL server2000

3.性能指標

（1） RSA密鑰長度 1024 bit

（2） Hash算法 SHA1

（3）對稱算法 SM1

（4） 業務處理能力 能夠管理100000個數字證書

（5） 證書申請 0.201 秒/筆

（6） 簽發證書 0.48秒/筆