旧网站入口 EN 搜索
Menu
>
>
统一认证平台(DJUIAP)

来源:本站  日期:2018-06-27  点击


东进统一认证平台(DJUIAP)解决方案


1.   DJUIAP概述

DJUIAP(东进统一认证平台)是东进技术基于公钥密码基础设施(PKI)技术,严格遵循国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》等标准,完全自主研发的商用密码统一身份认证系统,主要为用户提供多系统之间的统一身份认证、数据加解密、数据安全传输、业务系统安全集成等系统安全服务。

DJUIAP的最大特点是它作为整个企业的基础安全服务构件,为企业的各个应用系统提供数据安全服务集成、统一身份认证服务,同时,提供方便易用的运维管理工具,为企业的合规性检查提供有效的支撑。


2.   系统特点


2.1. 部署灵活、简单易用、提供可视化的数据管理

系统的设计采用B/S模式,各模块以及子系统采用分布式架构,只需在服务端部署即可,客户端无需做任何的修改,管理终端与服务器之间采用高强度SSL安全连接,采用数字证书对用户的身份实现管理。

为降低管理人员的工作量,系统提供完善的可视化数据平台,从多个维度对数据进行分析和统计。

同时可结合用户的实际需要,灵活的进行系统模块的组合部署,如采用:RA+CA+KMC、RA+CA等多种组合。

2.2. 支持国密算法,采用专用密码硬件

系统采用完全符合国家商用密码管理局标准以及规范要求的专用服务器密码机、签名验签服务器,可进行灵活的扩展以满足不同客户的性能要求。

 2.3. 系统平台的高安全性

  • 通信安全

    平台内部各子系统采用高强度的SSL标准安全通信协议,同时配合数字证书进行身份验证

  • 数据安全

    数据库、配置文件中的敏感数据采用加密方式保存;提供完备的数据备份及恢复的手段。

  • 管理人员安全

    采用基于数字证书的身份验证机制,管理员使用证书进行登录管理、管理员的管理权限与其证书进行绑定。

2.4. 兼容主流系统环境,开发接口丰富

系统支持主流操作系统运行环境以及主流硬件平台,支持Windows,Linux,AIX,Solaris,HP_UX,并提供Java、C、.net、C#、Object C等应用接口,方便用户的应用集成。

 

3.   系统架构


3.1. DJUIAP系统架构

DJUIAP系统采用全分布式架构,各个子系统和模块之间相对独立,可分布式部署,整个系统的逻辑结构如下:

DJUIAP系统架构.jpg

整个系统架构分为以下层次:

  • 操作系统以及数据库层

    为系统运行所需要的基本环境。

  • 密码硬件接口封装层

    将底层硬件接口进行封装,如底层的服务器密码机等硬件设备。

  • 系统运行框架

    为整个系统运行框架,具体包括消息队列、并发控制等。

  • 证书以及密钥管理层

    主要包括用户注册申请证书服务、证书生命周期管理、密钥生命周期管理等。

  • 身份认证服务层

    主要提供基于业务的身份认证服务、第三方证书的管理以及证书状态的查询等。

  • 安全集成组件服务层

    主要为应用系统的安全集成提供组件以及为用户终端的安全集成提供组件。

  • 审计以及运维管理子系统

    为整个系统提供审计基础服务以及为运维管理提供管理、监控服务。


3.2. 典型部署

整个系统网络拓扑图如下:

 

统一安全认证平台-典型部署.png

 

在上述图中可以看出,DJUIAP部署于用户系统的核心区域,通过边界隔离设备对核心区域外的用户提供认证服务,DJUIAP主要密码硬件(服务器密码机、签名验签服务器)、CA系统、KMC系统、RA系统,主要为客户解决用户的认证,包括用户身份、终端身份的认证,并提供完善的运维审计管理工具。


3.3. DJUIAP系统组成

  • 核心硬件部件

    结合客户的实际需要,我们将根据用户的对性能、容量的需求,灵活的配置各种专用密码硬件,为整个DJUIAP系统提供强有力的算力支撑,主要的硬件主要包括:

  • 服务器密码机

    服务器密码机为符合国家商用密码管理规定、通过国家商用密码管理局的检测的加解密运算以及密钥安全存储的专用密码设备,在DJUIAP系统中,主要为整个系统提供密钥的产生、核心密钥的安全存储功能,为整个系统的高效、快速的密钥产生提供强有力的算力支撑以及安全保障。

  • 签名验签服务器

    签名验签服务器为符合国家商用密码管理规定、通过国家商用密码管理局的检测的签名运算、验签运算专用密码设备,在DJUIAP系统中,主要为整个系统提供证书的产生、核心密钥的安全存储功能,为整个系统的高效、快速的证书验证提供强有力的算力支撑以及安全保障。

  • 核心软件部件

  1. 密码硬件接口封装层

  2. 该模块主要为整个DJUIAP系统所应用的密码硬件进行接口统一封装,实现整个系统其他模块的硬件无关性,主要包括:服务器密码机的接口封装、签名验签服务器的接口封装等。

  3. 证书以及密钥管理层

  4. 该模块主要包括有:密钥管理中心(KMC)和证书管理系统两大子系统,密钥管理系统是整个系统的核心,对系统中的所有密钥的整个生命周期进行严格的管控,具体功能包括有密钥的生成、密钥的分发、密钥的存储、密钥的备份以及恢复等,证书管理系统主要对证书的整个生命周期进行管理,具体功能主要包括证书模板设置、证书的签发、证书的更新、证书的过期监控等。

  5. 安全集成组件服务层

  6. 安全集成组件服务层是整个系统对外的服务展示层,包括为应用系统提供完善的安全集成开发组件以及为终端/用户提供完善的完全开发组件,力求用户开发简单、以及个性化的定制。

  7. 审计以及运维管理子系统

  8. 本系统主要对整个个系统的运行状况、用户的操作进行全面的管理和监控,并提供可视化的数据界面,让运维管理人员可以轻松方便的对整个系统进行监控和维护,同时,提供详细的日志记录,供系统审计人员对系统运行的合规性进行审计。


4.   系统功能


4.1. 证书管理

  • 证书签发

  • 证书延期

  • 证书更新

  • 证书冻结和解冻

  • 证书废除

  • 证书恢复

  • 证书下载

  • 证书审核

  • 证书到期提醒功能

  • CA体系配置

  • 认证证书模板配置

  • 加密证书模板配置

  • 用户模板信息配置

  • 目录服务(LDAP)配置


4.2. 证书发布

  • 证书发布

  • CRL发布

  • 目录系统同步

  • OCSP在线实时证书查询功能


4.3. 认证服务

  • 身份认证

  • 设备认证

  • 移动终端认证


4.4. 密钥管理及服务

  • 密钥生成

  • 密钥分发

  • 密钥备份与恢复

  • 密钥更新

  • 密钥归档

  • 密钥查询

  • 密钥销毁

  • 密钥预生成


4.5. 用户管理

  • 用户注册

  • 批量用户注册

  • 注销用户

  • 更新用户

  • 用户归档

  • 审核用户管理操作


4.6. 系统监控

  • 系统软件运行状态监控

  • 系统各部件周期性自检

  • 系统硬件状态监控


4.7. 备份和恢复

  • 数据库系统的备份和恢复,包括备份策略配置、备份计划的设置等。

  • 密钥系统的备份和恢复,采用多分量分散备份机制。


4.8. 日志管理

  • 日志的生成

  • 日志的查询及审计

  • 日志的归档


5.   技术规格

  • GB/T 19713-2005  信息技术 安全技术 公钥基础设施 在线证书状态协议

  • GM/T 0006     密码应用标识规范

  • GM/T 0009       SM2密码算法使用规范

  • PKCS #1       RSA密码算法使用规范

  • GM/T 0010       SM2密码算法加密签名消息语法规范

  • PKCS #7       RSA密码算法消息语法规范

  • GM/T 0014     数字证书认证系统密码协议规范

  • GM/T 0015     基于SM2密码算法的数字证书格式规范

  • GM/T 0018       密码设备应用接口规范

  • GM/T 0020       证书应用综合服务接口规范


 6.   技术规格

指标项

参数值

并发连接数

同时支持3000个并发连接

证书容量

最大支持100000个证书

双证书签发时间

双证书签发时间<1秒

OCSP响应时间

OCSP响应时间<0.1秒

数字证书格式

ITUT X.503-V3规范

证书存储介质

支持软证书、USB KEY证书、IC卡存储,支持RSA PKCS#11标准

操作系统

支持Windows Server 2003以上版本

支持RedHat Linux等主流Linux操作系统

支持AIX、Unix

数据库支持

支持Microsoft SQL SERVER、DB2、Oracle、Mysql、Informix。

硬件环境

支持HP、AIX等Unix小型机

支持X86架构的硬件服务器

安全集成组件规范

n    支持Windows、Linux、MAC OS等PC操作系统

n  支持Andriod、IOS等手机操作系统

n  支持IE、Firefox、Chrome等内核浏览器

n  提供Java、C、.net、C#、Object C等应用接口

 


相关产品 / Related Products
  • 签名验签服务器 SCA-2000
    东进签名验签服务器(SCA-2000)是一款支持多种算法的商用密码应用设备,该设备主要应用在采用PKI安全体系的电子商务、电子政务系统和企业信息化中,为各类系统提供数据签名和验签...
    了解更多
  • 服务器密码机 SCM-3000
    东进服务器密码机SCM-3000是一款支持国密算法、符合《GM/T 0030-2014服务器密码机技术规范》等相关国家规范和技术要求的专用数据密码机,具有采用国密标准的密码算法芯片...
    了解更多
  • 统一安全认证平台DJUIAP
    DJUIAP(东进统一认证平台)是东进技术基于公钥密码基础设施(PKI)技术,严格遵循国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》等标准...
    了解更多