用于電網(wǎng)系統(tǒng)的數(shù)字證書(shū)認(rèn)證平臺(tái)的制作方法
【專(zhuān)利說(shuō)明】用于電網(wǎng)系統(tǒng)的數(shù)字證書(shū)認(rèn)證平臺(tái)
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域�����,具體地�����,涉及一種用于電網(wǎng)系統(tǒng)的數(shù)字證書(shū)認(rèn)證平臺(tái)�����。
【背景技術(shù)】
[0003]隨著國(guó)家電網(wǎng)公司具有信息化����、自動(dòng)化、互動(dòng)化特征的統(tǒng)一堅(jiān)強(qiáng)智能電網(wǎng)的建設(shè)���,網(wǎng)絡(luò)接入更加復(fù)雜���,信息集成度更高���,用戶(hù)交互程度更好,業(yè)務(wù)系統(tǒng)中存儲(chǔ)了大量人��、財(cái)���、物等關(guān)鍵信息�����。為了保證業(yè)務(wù)應(yīng)用的信息安全���,需要強(qiáng)化身份認(rèn)證系統(tǒng)等安全基礎(chǔ)設(shè)施建設(shè),在安全接入�、安全傳輸��、安全應(yīng)用等方面深化研究和應(yīng)用�。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于,針對(duì)上述問(wèn)題��,提出一種用于電網(wǎng)系統(tǒng)的數(shù)字證書(shū)認(rèn)證平臺(tái)�����,以實(shí)現(xiàn)保證數(shù)據(jù)安全的優(yōu)點(diǎn)。
[0005]為實(shí)現(xiàn)上述目的�,本發(fā)明采用的技術(shù)方案是:
一種用于電網(wǎng)系統(tǒng)的數(shù)字證書(shū)認(rèn)證平臺(tái),包括總部根CA系統(tǒng)����、總部運(yùn)行CA系統(tǒng)、總部RA系統(tǒng)����、總部LDAP目錄服務(wù)系統(tǒng)、分部?jī)?nèi)網(wǎng)RA系統(tǒng)和分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng)���;
所述總部根CA系統(tǒng):僅有一個(gè)總部根CA系統(tǒng)�����,是數(shù)字證書(shū)認(rèn)證平臺(tái)的核心�,為數(shù)字證書(shū)認(rèn)證平臺(tái)提供信任源��,負(fù)責(zé)數(shù)字證書(shū)認(rèn)證平臺(tái)整體安全策略的制定和根密鑰的保存��;
所述總部運(yùn)行CA系統(tǒng):接收分部?jī)?nèi)網(wǎng)RA系統(tǒng)的證書(shū)或證書(shū)作廢表請(qǐng)求,證書(shū)作廢表簡(jiǎn)稱(chēng)CRL�����,為分部用戶(hù)簽發(fā)數(shù)字證書(shū)或者CRL;
所述總部RA系統(tǒng):負(fù)責(zé)接收用戶(hù)申請(qǐng)證書(shū)的請(qǐng)求�����,并將用戶(hù)信息與證書(shū)申請(qǐng)遞交總部運(yùn)行CA系統(tǒng)�����;
所述總部LDAP目錄服務(wù)系統(tǒng):負(fù)責(zé)發(fā)布總部運(yùn)行CA系統(tǒng)簽發(fā)的數(shù)字證書(shū)以及CRL;所述分部?jī)?nèi)網(wǎng)RA系統(tǒng):負(fù)責(zé)接收分部人員或者設(shè)備申請(qǐng)證書(shū)的請(qǐng)求��,并將用戶(hù)信息與證書(shū)申請(qǐng)遞交至總部運(yùn)行CA系統(tǒng)��;
所述分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng):負(fù)責(zé)從總部LDAP目錄服務(wù)系統(tǒng)將屬于該分部的數(shù)字證書(shū)信息以及CRL同步到省分部?jī)?nèi)網(wǎng)LDAP服務(wù)器���,用于分部?jī)?nèi)網(wǎng)認(rèn)證���。
[0006]優(yōu)選的,所述總部根CA系統(tǒng)使用加密卡管理根密鑰�,總部根CA系統(tǒng)在初始化完成后���,即為離線或關(guān)機(jī)狀態(tài)��,總部根CA系統(tǒng)在需要管理總部運(yùn)行CA系統(tǒng)時(shí)��,才為開(kāi)機(jī)或在線狀
??τ ο
[0007]優(yōu)選的�,所述總部運(yùn)行CA系統(tǒng)和總部RA系統(tǒng)均使用外置加密機(jī)管理密鑰。
[0008]優(yōu)選的����,所述總部RA系統(tǒng)內(nèi)設(shè)置LDAP數(shù)據(jù)同步服務(wù)器,所述LDAP數(shù)據(jù)同步服務(wù)器用于總部與分部的LDAP數(shù)據(jù)同步���。
[0009]優(yōu)選的�,所述總部LDAP目錄服務(wù)系統(tǒng)�,包括總部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器組和總部外圍LDAP目錄服務(wù)器,所述總部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器組包括���,總部主LDAP目錄服務(wù)器和總部從LDAP目錄服務(wù)器���,所述總部主LDAP目錄服務(wù)器內(nèi)的數(shù)據(jù)實(shí)時(shí)復(fù)制到總部從LDAP目錄服務(wù)器,所述總部外圍LDAP目錄服務(wù)器經(jīng)信息網(wǎng)絡(luò)強(qiáng)隔離裝置與總部從LDAP目錄服務(wù)器進(jìn)行數(shù)據(jù)同步���。
[0010]優(yōu)選的�,分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng)包括,分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器和分部外網(wǎng)LDAP目錄服務(wù)器�,所述分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器與上述總部從LDAP目錄服務(wù)器進(jìn)行數(shù)據(jù)同步,所述分部外網(wǎng)LDAP目錄服務(wù)器經(jīng)信息網(wǎng)絡(luò)強(qiáng)隔離裝置與分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器�����。
[0011 ] 優(yōu)選的�����,所述分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器與總部從LDAP目錄服務(wù)器之間的通信線路需要經(jīng)過(guò)加密設(shè)備加密�。
[0012]本發(fā)明的技術(shù)方案具有以下有益效果:
本發(fā)明的技術(shù)方案,通過(guò)統(tǒng)一數(shù)字證書(shū)認(rèn)證��,有總部根CA系統(tǒng)負(fù)責(zé)數(shù)字證書(shū)認(rèn)證平臺(tái)整體安全策略的制定和根密鑰的保存�,從而保證了數(shù)據(jù)管理中密鑰的安全,從而達(dá)到了保證數(shù)據(jù)安全的目的�。
[0013]下面通過(guò)附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述�。
【附圖說(shuō)明】
[0014]圖1為本發(fā)明實(shí)施例所述的用于電網(wǎng)系統(tǒng)的數(shù)字證書(shū)認(rèn)證平臺(tái)的原理框圖;
圖2為本發(fā)明實(shí)施例所述的數(shù)字證書(shū)系統(tǒng)總體架構(gòu)原理框圖���;
圖3為本發(fā)明實(shí)施例所述的國(guó)家電網(wǎng)公司運(yùn)行CA系統(tǒng)的原理框圖���;
圖4為本發(fā)明實(shí)施例所述的國(guó)家電網(wǎng)公司總部RA系統(tǒng)的原理框圖�;
圖5為本發(fā)明實(shí)施例所述的國(guó)家電網(wǎng)公司總部LDAP目錄服務(wù)系統(tǒng)的原理框圖��;
圖6為本發(fā)明實(shí)施例所述的省公司數(shù)字證書(shū)系統(tǒng)的原理框圖��。
【具體實(shí)施方式】
[0015]以下結(jié)合附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行說(shuō)明���,應(yīng)當(dāng)理解,此處所描述的優(yōu)選實(shí)施例僅用于說(shuō)明和解釋本發(fā)明�����,并不用于限定本發(fā)明���。
[0016]如圖1所示�,一種用于電網(wǎng)系統(tǒng)的數(shù)字證書(shū)認(rèn)證平臺(tái)�,包括總部根CA系統(tǒng)、總部運(yùn)行CA系統(tǒng)���、總部RA系統(tǒng)�、總部LDAP目錄服務(wù)系統(tǒng)�����、分部?jī)?nèi)網(wǎng)RA系統(tǒng)和分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng);
總部根CA系統(tǒng):僅有一個(gè)總部根CA系統(tǒng)���,是數(shù)字證書(shū)認(rèn)證平臺(tái)的核心�,為數(shù)字證書(shū)認(rèn)證平臺(tái)提供信任源��,負(fù)責(zé)數(shù)字證書(shū)認(rèn)證平臺(tái)整體安全策略的制定和根密鑰的保存�����;
總部運(yùn)行CA系統(tǒng):接收分部?jī)?nèi)網(wǎng)RA系統(tǒng)的證書(shū)或證書(shū)作廢表請(qǐng)求�,證書(shū)作廢表簡(jiǎn)稱(chēng)CRL,為分部用戶(hù)簽發(fā)數(shù)字證書(shū)或者CRL;
總部RA系統(tǒng):負(fù)責(zé)接收用戶(hù)申請(qǐng)證書(shū)的請(qǐng)求�����,并將用戶(hù)信息與證書(shū)申請(qǐng)遞交總部運(yùn)行CA系統(tǒng)��;
總部LDAP目錄服務(wù)系統(tǒng):負(fù)責(zé)發(fā)布總部運(yùn)行CA系統(tǒng)簽發(fā)的數(shù)字證書(shū)以及CRL;
分部?jī)?nèi)網(wǎng)RA系統(tǒng):負(fù)責(zé)接收分部人員或者設(shè)備申請(qǐng)證書(shū)的請(qǐng)求��,并將用戶(hù)信息與證書(shū)申請(qǐng)遞交至總部運(yùn)行CA系統(tǒng)�����;
分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng):負(fù)責(zé)從總部LDAP目錄服務(wù)系統(tǒng)將屬于該分部的數(shù)字證書(shū)信息以及CRL同步到省分部?jī)?nèi)網(wǎng)LDAP服務(wù)器�����,用于分部?jī)?nèi)網(wǎng)認(rèn)證。
[0017]其中�,總部根CA系統(tǒng)使用加密卡管理根密鑰,總部根CA系統(tǒng)在初始化完成后�,即為離線或關(guān)機(jī)狀態(tài)����,總部根CA系統(tǒng)在需要管理總部運(yùn)行CA系統(tǒng)時(shí),才為開(kāi)機(jī)或在線狀態(tài)��。
[0018]總部運(yùn)行CA系統(tǒng)和總部RA系統(tǒng)均使用外置加密機(jī)管理密鑰�。
[0019]總部RA系統(tǒng)內(nèi)設(shè)置LDAP數(shù)據(jù)同步服務(wù)器,LDAP數(shù)據(jù)同步服務(wù)器用于總部與分部的LDAP數(shù)據(jù)同步����。
[0020]總部LDAP目錄服務(wù)系統(tǒng),包括總部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器組和總部外圍LDAP目錄服務(wù)器�����,總部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器組包括��,總部主LDAP目錄服務(wù)器和總部從LDAP目錄服務(wù)器��,總部主LDAP目錄服務(wù)器內(nèi)的數(shù)據(jù)實(shí)時(shí)復(fù)制到總部從LDAP目錄服務(wù)器,總部外圍LDAP目錄服務(wù)器經(jīng)信息網(wǎng)絡(luò)強(qiáng)隔離裝置與總部從LDAP目錄服務(wù)器進(jìn)行數(shù)據(jù)同步���。
[0021 ] 分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng)包括��,分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器和分部外網(wǎng)LDAP目錄服務(wù)器��,分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器與上述總部從LDAP目錄服務(wù)器進(jìn)行數(shù)據(jù)同步����,分部外網(wǎng)LDAP目錄服務(wù)器經(jīng)信息網(wǎng)絡(luò)強(qiáng)隔離裝置與分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器���。
[0022]分部?jī)?nèi)網(wǎng)LDAP目錄服務(wù)器與總部從LDAP目錄服務(wù)器之間的通信線路需要經(jīng)過(guò)加密設(shè)備加密���。
[0023]下文以國(guó)家電網(wǎng)為例進(jìn)行詳細(xì)說(shuō)明:
國(guó)家電網(wǎng)公司統(tǒng)一數(shù)字證書(shū)系統(tǒng)建設(shè)根據(jù)國(guó)家電網(wǎng)公司信息內(nèi)外網(wǎng)隔離的現(xiàn)狀,在各單位信息內(nèi)外網(wǎng)建設(shè)統(tǒng)一數(shù)字證書(shū)系統(tǒng)�����,為信息內(nèi)外網(wǎng)用戶(hù)�、終端、基礎(chǔ)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用提供全面的數(shù)字證書(shū)服務(wù)���。國(guó)家電網(wǎng)公司統(tǒng)一數(shù)字證書(shū)系統(tǒng)建設(shè)采用“公司根CA系統(tǒng)���、公司運(yùn)行CA系統(tǒng)����、總部RA系統(tǒng)/省RA系統(tǒng)”的部署模式進(jìn)行建設(shè)��。統(tǒng)一數(shù)字證書(shū)系統(tǒng)總體架構(gòu)設(shè)計(jì)如圖2所示:
在國(guó)家電網(wǎng)公司總部信息內(nèi)網(wǎng)區(qū)域建設(shè)公司根CA系統(tǒng)���、公司運(yùn)行CA系統(tǒng)、總部RA系統(tǒng)����、KM密鑰管理系統(tǒng)、內(nèi)網(wǎng)主目錄服務(wù)系統(tǒng)(主LDAP服務(wù)器)���、內(nèi)網(wǎng)從目錄服務(wù)系統(tǒng)(從LDAP服務(wù)器)���。為滿(mǎn)足國(guó)家電網(wǎng)公司信息外網(wǎng)數(shù)字證書(shū)需求,在總部信息外網(wǎng)區(qū)域建設(shè)外網(wǎng)從目錄服務(wù)系統(tǒng)(從LDAP系統(tǒng))��,實(shí)現(xiàn)與信息外網(wǎng)應(yīng)用的安全結(jié)合���。
[0024]公司根CA系統(tǒng)僅有一個(gè)���,并且離線運(yùn)行���,作為所有已建CA省公司和國(guó)家電網(wǎng)公司運(yùn)行CA系統(tǒng)的根,為整個(gè)國(guó)家電網(wǎng)公司身份認(rèn)證體系提供信任源����,負(fù)責(zé)整個(gè)身份認(rèn)證體系整體安全策略的制定和根密鑰的保存;公司運(yùn)行CA系統(tǒng),負(fù)責(zé)管理整個(gè)體系內(nèi)部的證書(shū)生命周期�,屬于整個(gè)體系的核心,為總部RA系統(tǒng)以及省公司RA系統(tǒng)提供數(shù)字證書(shū)全生命周期管理服務(wù)����,并為公司信息內(nèi)、外網(wǎng)業(yè)務(wù)系統(tǒng)提供全面的證書(shū)服務(wù);總部RA系統(tǒng)是公司CA系統(tǒng)向國(guó)家電網(wǎng)公司總部提供證書(shū)服務(wù)的窗口�����,為公司總部信息內(nèi)外網(wǎng)用戶(hù)提供證書(shū)申請(qǐng)���、下載�����、注銷(xiāo)或更新等各項(xiàng)業(yè)務(wù)的服務(wù)�。
[0025]省公司在本級(jí)信息內(nèi)網(wǎng)區(qū)域中建設(shè)省公司RA系統(tǒng)和內(nèi)網(wǎng)PK