PKI/CA 身份认证系统具备哪些功能

展开文章目录

文章目录

PKI/CA 身份认证平台通过发放和维护数字证书来建立一套信任网络，在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI 从技术上解决了网络通信安全的种种障碍，CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。

数据中心 PKI/CA 身份认证平台功能如下：

1. CA 系统

1、证书管理：包括证书申请、证书下载、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书归档；

2、模板管理：包括通用证书模板、签名证书模板、加密证书模板、设备证书模板、SSL 服务器证书模块等，当国家/国际标准表扩展域无法满足模板要求时，可以使用自定义扩展域 OID + 编码方式 + VALUE 自定义模板；

3、审计管理；包括业务审计、日志审计等功能，并且支持日志防篡改；

4、支持总 CRL、分 CRL、增量 CRL、支持 CRL 重叠期，可以根据模板指定 CRL 发布点；

5、系统支持 SM2 算法及 RSA 算法。

1、证书管理；包括证书申请、证书下载、证书查询、证书更新、证书冻结、证书解冻、证书注销、批量申请证书、批量证书审核、批量下载证书；支持批量发送自动过期证书通知，管理员可以定时自动获取系统内将过期证书通知；

2、用户管理；包括用户组管理、添加用户、修改用户、删除用户、冻结用户、解冻用户、注销用户；

3、机构管理；包括机构信息管理、添加机构、修改机构、删除机构、导出机构、导入机构；

4、权限管理；包括业务录入员、审核员、制证员、人事录入员、审核员、审计管理员；

5、审计管理；包括业务审计、日志审计等功能，并且支持日志防篡改；

6、用户自主服务；包括自主下载证书、自主更新证书、下载根证书、下载 CRL；支持灵活控制的自主服务模式和可扩展的用户身份验证模式；

7、支持直接下载用户申请成功的证书，并制作到用户证书载体中，证书载体包括：软盘、USB Key 和 IC 卡等。

KMC 系统主要负责对用户加密密钥的产生、存储、分发、查询、注销、归档及恢复整个生命流程实施管理；密钥管理中心的功能从整体上来分，主要分为密钥管理、管理中心结构管理、授权管理、密钥恢复、审计管理功能。

1、支持证书身份认证

身份认证网关支持 PKI/CA 数字证书认证，包括：用户数字证书完整性验证、CRL 更新、OCSP 证书校验、支持多级 CA 颁发的证书、支持单双向认证选择、支持旁路认证及主路认证多种方式；

2、支持 b/s 和 c/s 应用，支持数据加密及数据完整性保护

提供对敏感数据进行加密，实现敏感数据保密，不被窃取；对重要业务流程或敏感数据进行数字签名，签名结果作为依据，实现网络行为不被否认；

3、支持访问控制

4、支持应用维护功能可以配置系统用户，控制通过验证的用户是否可以访问应用系统；

5、支持单点登录

支持多个应用系统之间的单点登录，即一次登录，多次使用。用户通过网关认证后，系统认证平台通过 Cookie 机制维护该用户的会话信息，用户登录应用系统时，无需再次认证。极大的简化了用户登录应用系统的步骤，使应用更加流畅；

6、安全审计及监控

对访问网关的用户行为进行详细记录，并且对记录的审查作权限控制，有效地实现了责任认定和系统使用情况分析。对专网整个认证中心建设中各种 PKI/CA 设备、系统、服务进行有效的集中监控与管理，解决 PKI 体系庞大带来的难维护、难管理等问题；对证书的发放以及应用访问的审计。