用于电网系统的数字证书认证平台的制作方法
【专利说明】用于电网系统的数字证书认证平台
[0001]
技术领域
[0002]本发明涉及数据安全领域,具体地,涉及一种用于电网系统的数字证书认证平台。
【背景技术】
[0003]随着国家电网公司具有信息化、自动化、互动化特征的统一坚强智能电网的建设,网络接入更加复杂,信息集成度更高,用户交互程度更好,业务系统中存储了大量人、财、物等关键信息。为了保证业务应用的信息安全,需要强化身份认证系统等安全基础设施建设,在安全接入、安全传输、安全应用等方面深化研究和应用。
【发明内容】
[0004]本发明的目的在于,针对上述问题,提出一种用于电网系统的数字证书认证平台,以实现保证数据安全的优点。
[0005]为实现上述目的,本发明采用的技术方案是:
一种用于电网系统的数字证书认证平台,包括总部根CA系统、总部运行CA系统、总部RA系统、总部LDAP目录服务系统、分部内网RA系统和分部内网LDAP目录服务系统;
所述总部根CA系统:仅有一个总部根CA系统,是数字证书认证平台的核心,为数字证书认证平台提供信任源,负责数字证书认证平台整体安全策略的制定和根密钥的保存;
所述总部运行CA系统:接收分部内网RA系统的证书或证书作废表请求,证书作废表简称CRL,为分部用户签发数字证书或者CRL;
所述总部RA系统:负责接收用户申请证书的请求,并将用户信息与证书申请递交总部运行CA系统;
所述总部LDAP目录服务系统:负责发布总部运行CA系统签发的数字证书以及CRL;所述分部内网RA系统:负责接收分部人员或者设备申请证书的请求,并将用户信息与证书申请递交至总部运行CA系统;
所述分部内网LDAP目录服务系统:负责从总部LDAP目录服务系统将属于该分部的数字证书信息以及CRL同步到省分部内网LDAP服务器,用于分部内网认证。
[0006]优选的,所述总部根CA系统使用加密卡管理根密钥,总部根CA系统在初始化完成后,即为离线或关机状态,总部根CA系统在需要管理总部运行CA系统时,才为开机或在线状
??τ ο
[0007]优选的,所述总部运行CA系统和总部RA系统均使用外置加密机管理密钥。
[0008]优选的,所述总部RA系统内设置LDAP数据同步服务器,所述LDAP数据同步服务器用于总部与分部的LDAP数据同步。
[0009]优选的,所述总部LDAP目录服务系统,包括总部内网LDAP目录服务器组和总部外围LDAP目录服务器,所述总部内网LDAP目录服务器组包括,总部主LDAP目录服务器和总部从LDAP目录服务器,所述总部主LDAP目录服务器内的数据实时复制到总部从LDAP目录服务器,所述总部外围LDAP目录服务器经信息网络强隔离装置与总部从LDAP目录服务器进行数据同步。
[0010]优选的,分部内网LDAP目录服务系统包括,分部内网LDAP目录服务器和分部外网LDAP目录服务器,所述分部内网LDAP目录服务器与上述总部从LDAP目录服务器进行数据同步,所述分部外网LDAP目录服务器经信息网络强隔离装置与分部内网LDAP目录服务器。
[0011 ] 优选的,所述分部内网LDAP目录服务器与总部从LDAP目录服务器之间的通信线路需要经过加密设备加密。
[0012]本发明的技术方案具有以下有益效果:
本发明的技术方案,通过统一数字证书认证,有总部根CA系统负责数字证书认证平台整体安全策略的制定和根密钥的保存,从而保证了数据管理中密钥的安全,从而达到了保证数据安全的目的。
[0013]下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
【附图说明】
[0014]图1为本发明实施例所述的用于电网系统的数字证书认证平台的原理框图;
图2为本发明实施例所述的数字证书系统总体架构原理框图;
图3为本发明实施例所述的国家电网公司运行CA系统的原理框图;
图4为本发明实施例所述的国家电网公司总部RA系统的原理框图;
图5为本发明实施例所述的国家电网公司总部LDAP目录服务系统的原理框图;
图6为本发明实施例所述的省公司数字证书系统的原理框图。
【具体实施方式】
[0015]以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0016]如图1所示,一种用于电网系统的数字证书认证平台,包括总部根CA系统、总部运行CA系统、总部RA系统、总部LDAP目录服务系统、分部内网RA系统和分部内网LDAP目录服务系统;
总部根CA系统:仅有一个总部根CA系统,是数字证书认证平台的核心,为数字证书认证平台提供信任源,负责数字证书认证平台整体安全策略的制定和根密钥的保存;
总部运行CA系统:接收分部内网RA系统的证书或证书作废表请求,证书作废表简称CRL,为分部用户签发数字证书或者CRL;
总部RA系统:负责接收用户申请证书的请求,并将用户信息与证书申请递交总部运行CA系统;
总部LDAP目录服务系统:负责发布总部运行CA系统签发的数字证书以及CRL;
分部内网RA系统:负责接收分部人员或者设备申请证书的请求,并将用户信息与证书申请递交至总部运行CA系统;
分部内网LDAP目录服务系统:负责从总部LDAP目录服务系统将属于该分部的数字证书信息以及CRL同步到省分部内网LDAP服务器,用于分部内网认证。
[0017]其中,总部根CA系统使用加密卡管理根密钥,总部根CA系统在初始化完成后,即为离线或关机状态,总部根CA系统在需要管理总部运行CA系统时,才为开机或在线状态。
[0018]总部运行CA系统和总部RA系统均使用外置加密机管理密钥。
[0019]总部RA系统内设置LDAP数据同步服务器,LDAP数据同步服务器用于总部与分部的LDAP数据同步。
[0020]总部LDAP目录服务系统,包括总部内网LDAP目录服务器组和总部外围LDAP目录服务器,总部内网LDAP目录服务器组包括,总部主LDAP目录服务器和总部从LDAP目录服务器,总部主LDAP目录服务器内的数据实时复制到总部从LDAP目录服务器,总部外围LDAP目录服务器经信息网络强隔离装置与总部从LDAP目录服务器进行数据同步。
[0021 ] 分部内网LDAP目录服务系统包括,分部内网LDAP目录服务器和分部外网LDAP目录服务器,分部内网LDAP目录服务器与上述总部从LDAP目录服务器进行数据同步,分部外网LDAP目录服务器经信息网络强隔离装置与分部内网LDAP目录服务器。
[0022]分部内网LDAP目录服务器与总部从LDAP目录服务器之间的通信线路需要经过加密设备加密。
[0023]下文以国家电网为例进行详细说明:
国家电网公司统一数字证书系统建设根据国家电网公司信息内外网隔离的现状,在各单位信息内外网建设统一数字证书系统,为信息内外网用户、终端、基础网络及业务应用提供全面的数字证书服务。国家电网公司统一数字证书系统建设采用“公司根CA系统、公司运行CA系统、总部RA系统/省RA系统”的部署模式进行建设。统一数字证书系统总体架构设计如图2所示:
在国家电网公司总部信息内网区域建设公司根CA系统、公司运行CA系统、总部RA系统、KM密钥管理系统、内网主目录服务系统(主LDAP服务器)、内网从目录服务系统(从LDAP服务器)。为满足国家电网公司信息外网数字证书需求,在总部信息外网区域建设外网从目录服务系统(从LDAP系统),实现与信息外网应用的安全结合。
[0024]公司根CA系统仅有一个,并且离线运行,作为所有已建CA省公司和国家电网公司运行CA系统的根,为整个国家电网公司身份认证体系提供信任源,负责整个身份认证体系整体安全策略的制定和根密钥的保存;公司运行CA系统,负责管理整个体系内部的证书生命周期,属于整个体系的核心,为总部RA系统以及省公司RA系统提供数字证书全生命周期管理服务,并为公司信息内、外网业务系统提供全面的证书服务;总部RA系统是公司CA系统向国家电网公司总部提供证书服务的窗口,为公司总部信息内外网用户提供证书申请、下载、注销或更新等各项业务的服务。
[0025]省公司在本级信息内网区域中建设省公司RA系统和内网PK