I從目錄服務(wù)系統(tǒng)(從LDAP服務(wù)器)���,在其信息外網(wǎng)區(qū)域建設(shè)外網(wǎng)PKI從目錄服務(wù)系統(tǒng)(從LDAP服務(wù)器)。省公司RA系統(tǒng)是公司CA系統(tǒng)向相關(guān)省公司提供證書服務(wù)的窗口����,為省公司信息內(nèi)外網(wǎng)用戶提供證書申請�����、下載��、注銷��、更新等各項業(yè)務(wù)的服務(wù);省公司統(tǒng)一數(shù)字證書系統(tǒng)與總部數(shù)字證書系統(tǒng)采用統(tǒng)一標(biāo)準(zhǔn)進行建設(shè)��,沿用總部系統(tǒng)的部署模式����,并與公司及總部數(shù)字證書系統(tǒng)實現(xiàn)互聯(lián)互通。
[0026]根據(jù)目前國家電網(wǎng)公司信息內(nèi)外網(wǎng)隔離的現(xiàn)狀����,國家電網(wǎng)公司統(tǒng)一數(shù)字證書系統(tǒng)規(guī)劃在公司總部及省公司信息內(nèi)外網(wǎng)分別建設(shè)獨立的數(shù)字證書目錄服務(wù)系統(tǒng)��。公司總部PKI主目錄服務(wù)系統(tǒng)、PKI從目錄服務(wù)系統(tǒng)采用實時復(fù)制的模式,保證數(shù)據(jù)的一致性��?����?偛啃畔⑼饩W(wǎng)LDAP從目錄服務(wù)系統(tǒng)經(jīng)信息網(wǎng)絡(luò)強隔離裝置與總部信息內(nèi)網(wǎng)PKI從目錄服務(wù)系統(tǒng)進行同步�����。省公司內(nèi)網(wǎng)PKI目錄服務(wù)系統(tǒng)與總部內(nèi)網(wǎng)PKI從目錄服務(wù)系統(tǒng)實現(xiàn)縱向貫通��,進行數(shù)據(jù)同步�。省公司外網(wǎng)PKI目錄服務(wù)系統(tǒng)同樣經(jīng)信息網(wǎng)絡(luò)強隔離裝置與其內(nèi)網(wǎng)PKI目錄服務(wù)系統(tǒng)進行同步���。
[0027]以上的架構(gòu)設(shè)計��,既考慮到了國家電網(wǎng)公司集約化管理引發(fā)的集中管理的需求�,又充分的考慮到了各省公司自主權(quán)的需求���,具有充分的擴展性�����,可以滿足國家電網(wǎng)公司未來業(yè)務(wù)發(fā)展對于身份認證體系的需求��。
[0028]國家電網(wǎng)公司根CA為離線CA,作為所有已建省公司和國家電網(wǎng)運行CA的根,建立在公司總部�。
[0029 ]根CA為整套數(shù)字證書認證系統(tǒng)的核心�����,整個數(shù)字證書認證系統(tǒng)僅有一個根CA���。
[0030]根CA系統(tǒng)部署在公司信息內(nèi)網(wǎng)�。
[0031]根CA系統(tǒng)使用了加密卡管理根密鑰��,根密鑰與根證書是國家電網(wǎng)公司的信任源。
[0032]根CA系統(tǒng)初始化完成后�����,可以離線或者關(guān)機,只有在需要管理下級CA時才需要開機或者在線�����。
[0033]國家電網(wǎng)公司運行CA系統(tǒng)如圖3所示:
運行CA負責(zé)接收RA的請求并簽發(fā)證書。
[0034]運行CA使用了外置加密機管理密鑰����。
[0035]總部CA系統(tǒng)將接收省公司RA系統(tǒng)的證書或者CRL(證書作廢表)請求����,為省公司用戶簽發(fā)數(shù)字證書或者CRL。
[0036]總部RA系統(tǒng)如圖4所示:
總部RA系統(tǒng)負責(zé)接收公司總部及各直屬單位用戶申請證書的請求��,并將用戶信息與證書申請遞交至運行CA��。
[0037]總部RA系統(tǒng)使用外置加密機管理密鑰�。
[0038]RA-CA鏈路加密設(shè)備只部署在總部,用于省公司RA系統(tǒng)同總部CA系統(tǒng)的通信鏈路建立���,省公司安裝客戶端程序即可。
[0039]此外為了保證LDAP數(shù)據(jù)同步能夠順利通過網(wǎng)閘�����,在CA服務(wù)區(qū)還額外添加了一臺數(shù)據(jù)庫����,用于LDAP的數(shù)據(jù)同步。
[0040]總部LDAP目錄服務(wù)系統(tǒng)如圖5所示:
負責(zé)發(fā)布總部運行CA簽發(fā)的所有數(shù)字證書以及CRL���,并將信息同步到總部內(nèi)網(wǎng)從LDAP�����。
[0041]接受主LDAP的數(shù)據(jù)信息��,并將信息同步到各個省公司的內(nèi)網(wǎng)從LDAP以及總部外網(wǎng)的從LDAP�,滿足認證要求。
[0042]總部外網(wǎng)從LDAP目錄服務(wù)系統(tǒng)����,滿足認證要求。
[0043]省公司需要在內(nèi)網(wǎng)建設(shè)RA系統(tǒng)以及內(nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng)(含0CSP系統(tǒng))��,在外網(wǎng)建設(shè)外網(wǎng)LDAP目錄服務(wù)系統(tǒng)(含0CSP系統(tǒng))�����。如圖6所示��,
省公司內(nèi)網(wǎng)RA系統(tǒng):
省公司RA系統(tǒng)負責(zé)接收省公司人員或者設(shè)備申請證書的請求�����,并將用戶信息與證書申請遞交至國家電網(wǎng)公司總部運行CA系統(tǒng)��。
[0044]省公司RA系統(tǒng)使用外置加密機管理密鑰。
[0045]省公司RA系統(tǒng)連接總部CA系統(tǒng)時需要通過部署在總部的RA-CA鏈路加密設(shè)備�����,因此需要在省公司RA服務(wù)器上安裝RA-CA鏈路加密設(shè)備的客戶端�,通過該客戶端完成與總部設(shè)備的鏈接,保證通信的安全性與可靠性�。
[0046]LDAP目錄服務(wù)系統(tǒng):
負責(zé)從總部內(nèi)網(wǎng)LDAP將屬于該省公司的數(shù)字證書信息以及CRL同步到省公司內(nèi)網(wǎng)的LDAP,滿足內(nèi)網(wǎng)認證的需求��。
[0047]省公司外網(wǎng)的LDAP目錄服務(wù)系統(tǒng)��,將內(nèi)網(wǎng)LDAP上的信息同步到外網(wǎng)LDAP目錄服務(wù)系統(tǒng)��,滿足外網(wǎng)認證的需求�����。
[0048]最后應(yīng)說明的是:以上所述僅為本發(fā)明的優(yōu)選實施例而已�����,并不用于限制本發(fā)明����,盡管參照前述實施例對本發(fā)明進行了詳細的說明,對于本領(lǐng)域的技術(shù)人員來說�����,其依然可以對前述各實施例所記載的技術(shù)方案進行修改�����,或者對其中部分技術(shù)特征進行等同替換�。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改����、等同替換、改進等��,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)����。
【主權(quán)項】
1.一種用于電網(wǎng)系統(tǒng)的數(shù)字證書認證平臺,其特征在于����,包括總部根CA系統(tǒng)、總部運行CA系統(tǒng)���、總部RA系統(tǒng)����、總部LDAP目錄服務(wù)系統(tǒng)、分部內(nèi)網(wǎng)RA系統(tǒng)和分部內(nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng)�; 所述總部根CA系統(tǒng):僅有一個總部根CA系統(tǒng),是數(shù)字證書認證平臺的核心�,為數(shù)字證書認證平臺提供信任源,負責(zé)數(shù)字證書認證平臺整體安全策略的制定和根密鑰的保存�; 所述總部運行CA系統(tǒng):接收分部內(nèi)網(wǎng)RA系統(tǒng)的證書或證書作廢表請求,證書作廢表簡稱CRL�����,為分部用戶簽發(fā)數(shù)字證書或者CRL; 所述總部RA系統(tǒng):負責(zé)接收用戶申請證書的請求��,并將用戶信息與證書申請遞交總部運行CA系統(tǒng)���; 所述總部LDAP目錄服務(wù)系統(tǒng):負責(zé)發(fā)布總部運行CA系統(tǒng)簽發(fā)的數(shù)字證書以及CRL; 所述分部內(nèi)網(wǎng)RA系統(tǒng):負責(zé)接收分部人員或者設(shè)備申請證書的請求�,并將用戶信息與證書申請遞交至總部運行CA系統(tǒng)�����; 所述分部內(nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng):負責(zé)從總部LDAP目錄服務(wù)系統(tǒng)將屬于該分部的數(shù)字證書信息以及CRL同步到省分部內(nèi)網(wǎng)LDAP服務(wù)器�,用于分部內(nèi)網(wǎng)認證。2.根據(jù)權(quán)利要求1所述的用于電網(wǎng)系統(tǒng)的數(shù)字證書認證平臺�,其特征在于,所述總部根CA系統(tǒng)使用加密卡管理根密鑰�,總部根CA系統(tǒng)在初始化完成后,即為離線或關(guān)機狀態(tài)�,總部根CA系統(tǒng)在需要管理總部運行CA系統(tǒng)時,才為開機或在線狀態(tài)�����。3.根據(jù)權(quán)利要求1或2所述的用于電網(wǎng)系統(tǒng)的數(shù)字證書認證平臺����,其特征在于,所述總部運行CA系統(tǒng)和總部RA系統(tǒng)均使用外置加密機管理密鑰�����。4.根據(jù)權(quán)利要求3所述的用于電網(wǎng)系統(tǒng)的數(shù)字證書認證平臺�,其特征在于,所述總部RA系統(tǒng)內(nèi)設(shè)置LDAP數(shù)據(jù)同步服務(wù)器�����,所述LDAP數(shù)據(jù)同步服務(wù)器用于總部與分部的LDAP數(shù)據(jù)同步���。5.根據(jù)權(quán)利要求1或2所述的用于電網(wǎng)系統(tǒng)的數(shù)字證書認證平臺����,其特征在于,所述總部LDAP目錄服務(wù)系統(tǒng)���,包括總部內(nèi)網(wǎng)LDAP目錄服務(wù)器組和總部外圍LDAP目錄服務(wù)器�����,所述總部內(nèi)網(wǎng)LDAP目錄服務(wù)器組包括���,總部主LDAP目錄服務(wù)器和總部從LDAP目錄服務(wù)器,所述總部主LDAP目錄服務(wù)器內(nèi)的數(shù)據(jù)實時復(fù)制到總部從LDAP目錄服務(wù)器�,所述總部外圍LDAP目錄服務(wù)器經(jīng)信息網(wǎng)絡(luò)強隔離裝置與總部從LDAP目錄服務(wù)器進行數(shù)據(jù)同步。6.根據(jù)權(quán)利要求5所述的用于電網(wǎng)系統(tǒng)的數(shù)字證書認證平臺����,其特征在于,分部內(nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng)包括����,分部內(nèi)網(wǎng)LDAP目錄服務(wù)器和分部外網(wǎng)LDAP目錄服務(wù)器,所述分部內(nèi)網(wǎng)LDAP目錄服務(wù)器與上述總部從LDAP目錄服務(wù)器進行數(shù)據(jù)同步���,所述分部外網(wǎng)LDAP目錄服務(wù)器經(jīng)信息網(wǎng)絡(luò)強隔離裝置與分部內(nèi)網(wǎng)LDAP目錄服務(wù)器���。7.根據(jù)權(quán)利要求6所述的用于電網(wǎng)系統(tǒng)的數(shù)字證書認證平臺,其特征在于����,所述分部內(nèi)網(wǎng)LDAP目錄服務(wù)器與總部從LDAP目錄服務(wù)器之間的通信線路需要經(jīng)過加密設(shè)備加密。
【專利摘要】本發(fā)明公開了一種用于電網(wǎng)系統(tǒng)的數(shù)字證書認證平臺��,包括�,所述總部根CA系統(tǒng):僅有一個總部根CA系統(tǒng),是數(shù)字證書認證平臺的核心����,為數(shù)字證書認證平臺提供信任源;總部運行CA系統(tǒng):為分部用戶簽發(fā)數(shù)字證書或者CRL��;總部RA系統(tǒng):將用戶信息與證書申請遞交總部運行CA系統(tǒng)�;總部LDAP目錄服務(wù)系統(tǒng):負責(zé)發(fā)布總部運行CA系統(tǒng)簽發(fā)的數(shù)字證書以及CRL;分部內(nèi)網(wǎng)RA系統(tǒng):負責(zé)接收分部人員或者設(shè)備申請證書的請求��,并將用戶信息與證書申請遞交至總部運行CA系統(tǒng)�����;分部內(nèi)網(wǎng)LDAP目錄服務(wù)系統(tǒng):負責(zé)從總部LDAP目錄服務(wù)系統(tǒng)將屬于該分部的數(shù)字證書信息以及CRL同步到省分部內(nèi)網(wǎng)LDAP服務(wù)器,用于分部內(nèi)網(wǎng)認證����。實現(xiàn)保證數(shù)據(jù)安全的優(yōu)點。
【IPC分類】H04L29/06
【公開號】CN105450639
【申請?zhí)枴緾N201510764130
【發(fā)明人】李志茹, 張馴, 智勇, 龔波, 馬之力, 崔阿軍, 康曉華, 袁暉
【申請人】國家電網(wǎng)公司, 國網(wǎng)甘肅省電力公司, 國網(wǎng)甘肅省電力公司電力科學(xué)研究院
【公開日】2016年3月30日
【申請日】2015年11月11日