I云平台数字认证.docxVIP

信息化项目可行性研究报告项目名称：项目申报单位：编制单位：年 月 日编 制：校 核审 核：批 准：总论主要依据必要性分析效益分析建设现状描述当前业务系统现状（针对续建类项目）或当前业务现状（针对新建类项目）；项目需求分析从业务功能需求和非功能需求两方面作充分描述；业务功能需求非功能需求包括性能与可靠性、信息安全、系统灾备要求等。基于CA数字认证的“云平台”建设方案云平台简介CloudStack形成的基础设施云，可以快速的让数据中心人员轻松地建立在其现有的基础设施提供云服务的需求，弹性云计算服务。 CloudStack用户可以充分利用云计算提供更高的效率，无限的规模和更快地部署新服务和系统的最终用户。该平台把硬件，服务器资源进行整合统一利用目前比较先进的云计算手段，将所有的资源池化，淡化硬件和设备需求的概念，使资源可以随意，随时申请，调配，使用，不需要考虑资源的所在地资源的服务能力。云平台安全问题没有有效的身份认证机制。一般都采用用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在：口令易被猜测；口令在公网中传输，容易被截获；一旦口令泄密，所有安全机制即失效；后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管理非常困难。存在数据安全隐患，主要体现在安全访问与访问控制上。在B/S架构的应用系统中，其在网络上所发放的数据包均是按照TCP/IP协议进行传输的，而且这种协议为明文方式发送；而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。操作者抵赖自己的操作行为。传统地，不可抵赖性是通过手工签名完成的，在网络上，不可抵赖性是由数字签名机制实现的。经CA加密后的信息，具有法律效应，在出现法律责任时，可通过法律的手段追究当事人责任。数字认证的优势数字证书是网络上（或称为数字化的）实体身份证，可以用于出示给对方来表明自己的真实身份。围绕着数字证书中所包含的公钥和保存在“数字证书载体”中的私钥，利用这两者之间可以互相加密解密的功能，来实现身份认证、保密性及完整性等一系列安全服务技术。身份认证性在系统的使用中首先需要确认使用者的身份，因为只有确认了使用者的身份才能开放相应的权限和提供针对个人的服务，并能够有效的防止非法用户的侵入。使用者身份是通过“健康卡数字证书”进行用户身份验证，由认证网关验证其数字证书的有效性来确认用户身份。不可抵赖性不可抵赖性是指指令发出者不能在事后抵赖曾经发出该指令。这对于规范业务，避免法律纠纷起着很大的作用。不可抵赖性是由数字签名得以实现的。数据完整性云平台的信息通过公网上传输，虽然通过加密能够保证交易数据不被窃取，但还不能有效防止黑客的恶意篡改行。为了保证交易的数据的完整性，有必要对一些关键资料进行完整性处理，防止数据被篡改。记录可追溯性“云平台”的使用必须有一套完善的交易审计系统，这样才能做到每一笔交易的发生都有记录且可追溯、可统计分析，并追求其法律责任。“云平台”的数字认证“云平台”的使用者大体可以分为两方：数据中心人员、用户，以往的登陆方式主要是靠注册名、注册密码的方式登陆，该方式的最大安全隐患就是注册名及密码的信息泄露，所导致的发布信息被更改及相关数据的丢失等。“云平台”的使用者通过各自所持有的“数字证书”作为登陆“云平台”的依据，实现认证、权限控制、加密传输、抗抵赖。大大提高了平台上的信息的安全性及便利性以及彼此身份的真实性与合法性。系统架构如图所示，“云平台”系统的数字认证通过高性能硬件服务器形式，发挥系统的更高稳定性和更高可用性，为用户提供更大便捷、更高效率。辽宁CA通过为“大连供电公司”提供数字证书运营发行管理控制、电子印章的制作与颁发以及对证书应用的支撑。技术标准《基于SM2密码算法的数字证书格式规范》出于安全性与系统可控性的考虑，辽宁CA采用了我们国家“国密办”自主研发的“SM2算法”，从而提高了数字证书的安全性与保密性。相关部件说明安全认证网关产品概述安全认证网关是基于 PKI 技术开发的硬件产品，主要满足用户对基于证书的高强度身份认证、信息完整防抵赖等安全需求。面向多个应用系统，提供集中、统一的安全认证服务。在最小化改造应用系统前提下，能够对多个应用系统实现单点登录、签名验签功能。在此基础上，网关还实现对应用系统进行应用级访问控制，对用户访问应用系统过程作完整审计。签名验签服务器签名验签服务器是基于PKI技术，针对业务数据进行签名验签的服务平台，它可以有效的保障业务数据的完整性和不可抵赖性，应用系统首先使用客户端控件对数据做客户端证书签名，然后由签名验签服务器对客户端证书、客户端签名进行验证，验证通过后，对数据做服务端签名并返回。时间戳服务器产品概述可信时间戳服务系统(TSP)是CA系统的一部分。 CA 系统是CA公司独立运营的