東進統一認證平臺（DJUIAP）解決方案

1.   DJUIAP概述

DJUIAP（東進統一認證平臺）是東進技術基于公鑰密碼基礎設施（PKI）技術，嚴格遵循國家密碼管理局制定的《證書認證系統密碼及其相關安全技術規范》等標準，完全自主研發的商用密碼統一身份認證系統，主要為用戶提供多系統之間的統一身份認證、數據加解密、數據安全傳輸、業務系統安全集成等系統安全服務。

DJUIAP的最大特點是它作為整個企業的基礎安全服務構件，為企業的各個應用系統提供數據安全服務集成、統一身份認證服務，同時，提供方便易用的運維管理工具，為企業的合規性檢查提供有效的支撐。

2.   系統特點

2.1. 部署靈活、簡單易用、提供可視化的數據管理

系統的設計采用B/S模式，各模塊以及子系統采用分布式架構，只需在服務端部署即可，客戶端無需做任何的修改，管理終端與服務器之間采用高強度SSL安全連接，采用數字證書對用戶的身份實現管理。

為降低管理人員的工作量，系統提供完善的可視化數據平臺，從多個維度對數據進行分析和統計。

同時可結合用戶的實際需要，靈活的進行系統模塊的組合部署，如采用：RA+CA+KMC、RA+CA等多種組合。

2.2. 支持國密算法，采用專用密碼硬件

系統采用完全符合國家商用密碼管理局標準以及規范要求的專用服務器密碼機、簽名驗簽服務器，可進行靈活的擴展以滿足不同客戶的性能要求。

 2.3. 系統平臺的高安全性

• 通信安全

  平臺內部各子系統采用高強度的SSL標準安全通信協議，同時配合數字證書進行身份驗證

• 數據安全

  數據庫、配置文件中的敏感數據采用加密方式保存；提供完備的數據備份及恢復的手段。

• 管理人員安全

  采用基于數字證書的身份驗證機制，管理員使用證書進行登錄管理、管理員的管理權限與其證書進行綁定。

2.4. 兼容主流系統環境，開發接口豐富

系統支持主流操作系統運行環境以及主流硬件平臺，支持Windows，Linux，AIX，Solaris，HP_UX，并提供Java、C、.net、C#、Object C等應用接口，方便用戶的應用集成。

3.   系統架構

3.1. DJUIAP系統架構

DJUIAP系統采用全分布式架構，各個子系統和模塊之間相對獨立，可分布式部署，整個系統的邏輯結構如下：

整個系統架構分為以下層次：

• 操作系統以及數據庫層

  為系統運行所需要的基本環境。

• 密碼硬件接口封裝層

  將底層硬件接口進行封裝，如底層的服務器密碼機等硬件設備。

• 系統運行框架

  為整個系統運行框架，具體包括消息隊列、并發控制等。

• 證書以及密鑰管理層

  主要包括用戶注冊申請證書服務、證書生命周期管理、密鑰生命周期管理等。

• 身份認證服務層

  主要提供基于業務的身份認證服務、第三方證書的管理以及證書狀態的查詢等。

• 安全集成組件服務層

  主要為應用系統的安全集成提供組件以及為用戶終端的安全集成提供組件。

• 審計以及運維管理子系統

  為整個系統提供審計基礎服務以及為運維管理提供管理、監控服務。

  
  

3.2. 典型部署

整個系統網絡拓撲圖如下：

在上述圖中可以看出，DJUIAP部署于用戶系統的核心區域，通過邊界隔離設備對核心區域外的用戶提供認證服務，DJUIAP主要密碼硬件（服務器密碼機、簽名驗簽服務器）、CA系統、KMC系統、RA系統，主要為客戶解決用戶的認證，包括用戶身份、終端身份的認證，并提供完善的運維審計管理工具。

3.3. DJUIAP系統組成

• 核心硬件部件

  結合客戶的實際需要，我們將根據用戶的對性能、容量的需求，靈活的配置各種專用密碼硬件，為整個DJUIAP系統提供強有力的算力支撐，主要的硬件主要包括：

• 服務器密碼機

  服務器密碼機為符合國家商用密碼管理規定、通過國家商用密碼管理局的檢測的加解密運算以及密鑰安全存儲的專用密碼設備，在DJUIAP系統中，主要為整個系統提供密鑰的產生、核心密鑰的安全存儲功能，為整個系統的高效、快速的密鑰產生提供強有力的算力支撐以及安全保障。

• 簽名驗簽服務器

  簽名驗簽服務器為符合國家商用密碼管理規定、通過國家商用密碼管理局的檢測的簽名運算、驗簽運算專用密碼設備，在DJUIAP系統中，主要為整個系統提供證書的產生、核心密鑰的安全存儲功能，為整個系統的高效、快速的證書驗證提供強有力的算力支撐以及安全保障。

• 核心軟件部件

1. 密碼硬件接口封裝層

2. 該模塊主要為整個DJUIAP系統所應用的密碼硬件進行接口統一封裝，實現整個系統其他模塊的硬件無關性，主要包括：服務器密碼機的接口封裝、簽名驗簽服務器的接口封裝等。

3. 證書以及密鑰管理層

4. 該模塊主要包括有：密鑰管理中心（KMC）和證書管理系統兩大子系統，密鑰管理系統是整個系統的核心，對系統中的所有密鑰的整個生命周期進行嚴格的管控，具體功能包括有密鑰的生成、密鑰的分發、密鑰的存儲、密鑰的備份以及恢復等，證書管理系統主要對證書的整個生命周期進行管理，具體功能主要包括證書模板設置、證書的簽發、證書的更新、證書的過期監控等。

5. 安全集成組件服務層

6. 安全集成組件服務層是整個系統對外的服務展示層，包括為應用系統提供完善的安全集成開發組件以及為終端/用戶提供完善的完全開發組件，力求用戶開發簡單、以及個性化的定制。

7. 審計以及運維管理子系統

8. 本系統主要對整個個系統的運行狀況、用戶的操作進行全面的管理和監控，并提供可視化的數據界面，讓運維管理人員可以輕松方便的對整個系統進行監控和維護，同時，提供詳細的日志記錄，供系統審計人員對系統運行的合規性進行審計。

4.   系統功能

4.1. 證書管理

• 證書簽發

• 證書延期

• 證書更新

• 證書凍結和解凍

• 證書廢除

• 證書恢復

• 證書下載

• 證書審核

• 證書到期提醒功能

• CA體系配置

• 認證證書模板配置

• 加密證書模板配置

• 用戶模板信息配置

• 目錄服務（LDAP）配置

4.2. 證書發布

• 證書發布

• CRL發布

• 目錄系統同步

• OCSP在線實時證書查詢功能

4.3. 認證服務

• 身份認證

• 設備認證

• 移動終端認證

4.4. 密鑰管理及服務

• 密鑰生成

• 密鑰分發

• 密鑰備份與恢復

• 密鑰更新

• 密鑰歸檔

• 密鑰查詢

• 密鑰銷毀

• 密鑰預生成

4.5. 用戶管理

• 用戶注冊

• 批量用戶注冊

• 注銷用戶

• 更新用戶

• 用戶歸檔

• 審核用戶管理操作

4.6. 系統監控

• 系統軟件運行狀態監控

• 系統各部件周期性自檢

• 系統硬件狀態監控

4.7. 備份和恢復

• 數據庫系統的備份和恢復，包括備份策略配置、備份計劃的設置等。

• 密鑰系統的備份和恢復，采用多分量分散備份機制。

4.8. 日志管理

• 日志的生成

• 日志的查詢及審計

• 日志的歸檔

5.   技術規格

• GB/T 19713-2005  信息技術 安全技術 公鑰基礎設施 在線證書狀態協議

• GM/T 0006     密碼應用標識規范

• GM/T 0009       SM2密碼算法使用規范

• PKCS #1       RSA密碼算法使用規范

• GM/T 0010       SM2密碼算法加密簽名消息語法規范

• PKCS #7       RSA密碼算法消息語法規范

• GM/T 0014     數字證書認證系統密碼協議規范

• GM/T 0015     基于SM2密碼算法的數字證書格式規范

• GM/T 0018       密碼設備應用接口規范

• GM/T 0020       證書應用綜合服務接口規范

  
  

 6.   技術規格