河南工商局身份认证系统建设项目培训PPT.pptVIP

数字证书怎么应用 数字证书应用模式－－传统方式 证书解析 密码运算 认证协议 …… 你是谁:身份认证 你能做什么:访问控制 你做了什么:审计 应用系统改造负担过重 大量的API接口函数 开发商：需要熟悉开发接口、设计认证协议，开发工作量大； 业务本身：耦合性大，升级换代复杂，性能低下，存在安全漏洞； 管理者：无法实现集中、方便的管理、方案的扩展性差； 用户：无法享受单点登录服务、使用复杂； 证书应用模式——当前用法 平台化：解决一类问题 标准化：遵循标准，方便扩展 动态化：动态扩展、满足扩展 统一化：统一的安全服务 独立化：松散藕合，升级方便 组件化：搭建积木 集成化：认证、授权、审计、管理 简单化：开发、管理简单 证书应用模式—安全支撑平台架构 证书应用逻辑示意图 一、RA系统制作、发放证书 二、用户持有效证书访问应用系统 三、安全认证网关提供认证服务 四、建立LRA实现证书的分布管理 CA体系 身份认证网关 CRL验证 用户 RA体系 证书应用效果 * 用户 协同办公系统/其他系统 数据库 窃听 非法登录 证书基于USB KEY存储 赖不掉 进不来 拿不走 看不懂 总 结 身份认证网关 目录 基础知识培训 建设方案介绍 建设PKI/CA认证系统，实现为工商局用户签发数字证书。 建设应用安全支撑平台，实现工商信息系统的安全集成 项目建设目标 PKI/CA体系建设：CA系统、RA系统、KM系统 目录服务系统建设： 目录服务系统 应用安全支撑平台建设：身份认证网关 应用集成：门户系统，统一平台 项目建设内容 项目建设体系架构 项目建设网络架构 项目建设应用整合 基于数字证书的统一身份认证 多种认证方式并存的过渡方案设计 PKI系统与VPN系统整合设计 项目建设总结 一个证书： 一个平台： 一套标准： 涉及到的产品 序号 产品名称 功能 数量 型号 1 证书签发系统 证书签发、撤销，策略管理 1 吉大正元SRQ05 CAServer签发管理服务器 2 注册审核系统 为用户提供注册、申请、下载证书服务 1 吉大正元SRQ05 RAServer注册管理服务器 3 密钥管理系统 用户加密密钥集中管理 1 SRQ05 KMCServer密钥管理中心服务器 4 目录服务系统 数字证书、CRL发布 1 吉大正元JIT Galaxy 5 安全认证网关 完成用户身份认证 2 G3000-I 6 USB Key 数字证书、私钥安全存储 若干 SZD 34 问题？ 谢谢 河南省工商局 身份认证系统项目 吉大正元信息技术股份有限公司 * 目录 基础知识培训 建设方案介绍 数字证书是什么 业务场景 OA 邮件 财务 项目直报 招标 档案 员工自助 因特网 项目管理 Username : 李魁 Password: likui Username : likui Password: 12345 Username : jsepc/lik Password: abcdefg Username : jsepc/李主任 Password: jsepclzl Username : 魁李 Password: bbcbbc Username : 李魁 Password: 12345 Username : 李魁 Password: abcdef Username : jsepc/lik Password: aaaaaaa Username : jsepc/李主任 Password: jsepc111 Username : jsepc/李总 Password: jsepclizong 如何为用户减少需要记忆的密码？ 如何保证密码不被非法盗取？ 如何让用户安全的访问企业系统? －－都是密码惹的祸！ ? 基本概念 基于数字证书来代替“用户名＋口令”，实现用户身份认证的安全； 什么是数字证书？ 数字证书＝身份证 CA系统＝公安局 公安局 飞机 CA系统 应用系统 Name: Brian Liu Serial number: 484865 Issued by: ABC corp CA Issue date: 1997 01 02 Expiration date: 1999 01 02 Public key: 38ighwejb Digital Signature: hwefdsaf 基本概念 一个 数字证书 是 . . . 一个包含用户身份信息的文件 CA的名称 （颁发机构） Bob的名称 （对象） Bob的公钥 数字签名 由可信的第三方进行签名Certification Authority 使用CA的私钥