I从目录服务系统(从LDAP服务器),在其信息外网区域建设外网PKI从目录服务系统(从LDAP服务器)。省公司RA系统是公司CA系统向相关省公司提供证书服务的窗口,为省公司信息内外网用户提供证书申请、下载、注销、更新等各项业务的服务;省公司统一数字证书系统与总部数字证书系统采用统一标准进行建设,沿用总部系统的部署模式,并与公司及总部数字证书系统实现互联互通。
[0026]根据目前国家电网公司信息内外网隔离的现状,国家电网公司统一数字证书系统规划在公司总部及省公司信息内外网分别建设独立的数字证书目录服务系统。公司总部PKI主目录服务系统、PKI从目录服务系统采用实时复制的模式,保证数据的一致性。总部信息外网LDAP从目录服务系统经信息网络强隔离装置与总部信息内网PKI从目录服务系统进行同步。省公司内网PKI目录服务系统与总部内网PKI从目录服务系统实现纵向贯通,进行数据同步。省公司外网PKI目录服务系统同样经信息网络强隔离装置与其内网PKI目录服务系统进行同步。
[0027]以上的架构设计,既考虑到了国家电网公司集约化管理引发的集中管理的需求,又充分的考虑到了各省公司自主权的需求,具有充分的扩展性,可以满足国家电网公司未来业务发展对于身份认证体系的需求。
[0028]国家电网公司根CA为离线CA,作为所有已建省公司和国家电网运行CA的根,建立在公司总部。
[0029 ]根CA为整套数字证书认证系统的核心,整个数字证书认证系统仅有一个根CA。
[0030]根CA系统部署在公司信息内网。
[0031]根CA系统使用了加密卡管理根密钥,根密钥与根证书是国家电网公司的信任源。
[0032]根CA系统初始化完成后,可以离线或者关机,只有在需要管理下级CA时才需要开机或者在线。
[0033]国家电网公司运行CA系统如图3所示:
运行CA负责接收RA的请求并签发证书。
[0034]运行CA使用了外置加密机管理密钥。
[0035]总部CA系统将接收省公司RA系统的证书或者CRL(证书作废表)请求,为省公司用户签发数字证书或者CRL。
[0036]总部RA系统如图4所示:
总部RA系统负责接收公司总部及各直属单位用户申请证书的请求,并将用户信息与证书申请递交至运行CA。
[0037]总部RA系统使用外置加密机管理密钥。
[0038]RA-CA链路加密设备只部署在总部,用于省公司RA系统同总部CA系统的通信链路建立,省公司安装客户端程序即可。
[0039]此外为了保证LDAP数据同步能够顺利通过网闸,在CA服务区还额外添加了一台数据库,用于LDAP的数据同步。
[0040]总部LDAP目录服务系统如图5所示:
负责发布总部运行CA签发的所有数字证书以及CRL,并将信息同步到总部内网从LDAP。
[0041]接受主LDAP的数据信息,并将信息同步到各个省公司的内网从LDAP以及总部外网的从LDAP,满足认证要求。
[0042]总部外网从LDAP目录服务系统,满足认证要求。
[0043]省公司需要在内网建设RA系统以及内网LDAP目录服务系统(含0CSP系统),在外网建设外网LDAP目录服务系统(含0CSP系统)。如图6所示,
省公司内网RA系统:
省公司RA系统负责接收省公司人员或者设备申请证书的请求,并将用户信息与证书申请递交至国家电网公司总部运行CA系统。
[0044]省公司RA系统使用外置加密机管理密钥。
[0045]省公司RA系统连接总部CA系统时需要通过部署在总部的RA-CA链路加密设备,因此需要在省公司RA服务器上安装RA-CA链路加密设备的客户端,通过该客户端完成与总部设备的链接,保证通信的安全性与可靠性。
[0046]LDAP目录服务系统:
负责从总部内网LDAP将属于该省公司的数字证书信息以及CRL同步到省公司内网的LDAP,满足内网认证的需求。
[0047]省公司外网的LDAP目录服务系统,将内网LDAP上的信息同步到外网LDAP目录服务系统,满足外网认证的需求。
[0048]最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种用于电网系统的数字证书认证平台,其特征在于,包括总部根CA系统、总部运行CA系统、总部RA系统、总部LDAP目录服务系统、分部内网RA系统和分部内网LDAP目录服务系统; 所述总部根CA系统:仅有一个总部根CA系统,是数字证书认证平台的核心,为数字证书认证平台提供信任源,负责数字证书认证平台整体安全策略的制定和根密钥的保存; 所述总部运行CA系统:接收分部内网RA系统的证书或证书作废表请求,证书作废表简称CRL,为分部用户签发数字证书或者CRL; 所述总部RA系统:负责接收用户申请证书的请求,并将用户信息与证书申请递交总部运行CA系统; 所述总部LDAP目录服务系统:负责发布总部运行CA系统签发的数字证书以及CRL; 所述分部内网RA系统:负责接收分部人员或者设备申请证书的请求,并将用户信息与证书申请递交至总部运行CA系统; 所述分部内网LDAP目录服务系统:负责从总部LDAP目录服务系统将属于该分部的数字证书信息以及CRL同步到省分部内网LDAP服务器,用于分部内网认证。2.根据权利要求1所述的用于电网系统的数字证书认证平台,其特征在于,所述总部根CA系统使用加密卡管理根密钥,总部根CA系统在初始化完成后,即为离线或关机状态,总部根CA系统在需要管理总部运行CA系统时,才为开机或在线状态。3.根据权利要求1或2所述的用于电网系统的数字证书认证平台,其特征在于,所述总部运行CA系统和总部RA系统均使用外置加密机管理密钥。4.根据权利要求3所述的用于电网系统的数字证书认证平台,其特征在于,所述总部RA系统内设置LDAP数据同步服务器,所述LDAP数据同步服务器用于总部与分部的LDAP数据同步。5.根据权利要求1或2所述的用于电网系统的数字证书认证平台,其特征在于,所述总部LDAP目录服务系统,包括总部内网LDAP目录服务器组和总部外围LDAP目录服务器,所述总部内网LDAP目录服务器组包括,总部主LDAP目录服务器和总部从LDAP目录服务器,所述总部主LDAP目录服务器内的数据实时复制到总部从LDAP目录服务器,所述总部外围LDAP目录服务器经信息网络强隔离装置与总部从LDAP目录服务器进行数据同步。6.根据权利要求5所述的用于电网系统的数字证书认证平台,其特征在于,分部内网LDAP目录服务系统包括,分部内网LDAP目录服务器和分部外网LDAP目录服务器,所述分部内网LDAP目录服务器与上述总部从LDAP目录服务器进行数据同步,所述分部外网LDAP目录服务器经信息网络强隔离装置与分部内网LDAP目录服务器。7.根据权利要求6所述的用于电网系统的数字证书认证平台,其特征在于,所述分部内网LDAP目录服务器与总部从LDAP目录服务器之间的通信线路需要经过加密设备加密。
【专利摘要】本发明公开了一种用于电网系统的数字证书认证平台,包括,所述总部根CA系统:仅有一个总部根CA系统,是数字证书认证平台的核心,为数字证书认证平台提供信任源;总部运行CA系统:为分部用户签发数字证书或者CRL;总部RA系统:将用户信息与证书申请递交总部运行CA系统;总部LDAP目录服务系统:负责发布总部运行CA系统签发的数字证书以及CRL;分部内网RA系统:负责接收分部人员或者设备申请证书的请求,并将用户信息与证书申请递交至总部运行CA系统;分部内网LDAP目录服务系统:负责从总部LDAP目录服务系统将属于该分部的数字证书信息以及CRL同步到省分部内网LDAP服务器,用于分部内网认证。实现保证数据安全的优点。
【IPC分类】H04L29/06
【公开号】CN105450639
【申请号】CN201510764130
【发明人】李志茹, 张驯, 智勇, 龚波, 马之力, 崔阿军, 康晓华, 袁晖
【申请人】国家电网公司, 国网甘肃省电力公司, 国网甘肃省电力公司电力科学研究院
【公开日】2016年3月30日
【申请日】2015年11月11日