认证领域国产数据库的应用实践.pdfVIP

Insert Picture Here 认证领域国产数据库的应用实践 认证系统的部署建议 当前CA认证系统的部署体系及认证方式 当前国家电子政务外网的证书认证 方式仅采用去LDAP或者网关中验 证CRL ，没有验证证书。 当前国家电子政务外网的部署未对 日志数据进行有效的统计分析。 当前CA认证系统的认证方式建议 建议后期认证校验时候增加证书校验，包含： 1、验证证书的有效期。当证书有效期将结束时，如果想继续使用就需要更新，证书更新时 将产生新的公私密钥对，密钥定期更新对于证书的安全性是有好处的。 2、增加有关证书使用策略限制的验证。即确认证书的当前使用有没有超出证书中规定的策 略限制。 建议后期增加对日志文件和操作文件的统计分析，包含： 1、应用操作日志归档。将部署在中心和各地的应用操作日志进行归档，有效的对用户行为 进行综合分析、预警监测、处置管理、线索跟踪、取证核查。 2、审计日志归档。将部署在中心和各地的审计日志进行归档，并进行数据分析，有效对恶 意访问的操作进行了解与防范。 利用目录集群技术实现对认证数据的管理 同时验证证书和CRL ，会对LDAP目 录服务造成更大的压力，建议采用目 录集群集群方式进行部署。 集群前端为虚拟C=CN ，后端为实体 节点O=XX ，C=CN。后端实体节点 作为子树挂在集群上面。后端实体节 点将访问返回的数据在集群前端进行 数据整合并返回给发起访问的应用程 序。 集群性能可达10万次/秒的并发访问 ，支持十亿级条目存储。 利用大数据技术实现对操作数据的管理 行业数据 行业 采集各行业使用CA认证系统的业务数据。 日志 数据 数据 地方数据 审计 采集各省级或地市级认证机构使用CA认证系 统的业务数据。 数据 日志数据 采集各行业或各地区相关机构申请或实 际使用认证中心系统功能的log数据  统一认证标准