专用内部网络安全与信任体系建设

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

专用内部网络安全与信任体系建设13

为达到专用内部网络环境范围内统一认证的目标,保证证书的惟一性和权威性,只能由一个主管部门负责的CA机构签发身份证书,供所有网络和单机使用。

(2)以集成创新为主,设计并实现面向专用内网环境的信息安全技术架构和网络信任基础平台。

现有技术中,CPK/CA的特征是主管方的单层CA机构,密钥集中式生成,证书静态分发和静态管理,证书运行不需要支持部件;而PKI/CA是第三方的多层结构,密钥分散式生成,证书静态分发和动态管理。证书运行需要庞大的支持系统。需要基于集成创新,结合专用内网特点和需求,综合分析现有技术,考虑到PKI体系的工程成熟性和标准化,拟采用PKI体系进行设计和实施,但又考虑到CPK的结构更适合内部网络,所以必须对PKI体系进行改造和剪裁。一言以蔽之,就是实现“PKI的体系、CPK的结构”。

(3)技术与管理相结合

CA的有效运行包括安全技术和安全管理两个层面,系统的安全性和可靠性只有通过两个层面的有机结合才能有效保障。

3.2总体思路

CA系统网络结构按照物理安全分层结构可划分为四个区:公共区、服务区、管理区和核心安全区。其中密钥管理系统、签发系统和主目录服务器处于核心安全区,注册审核系统处于管理区。从目录服务器等对外服务处于服务区。在院级网络、各个所内小型网络和所级网络都应该部署从目录服务器,用于提供证书查询及CRL查询等服务。CA系统的网络总体结构如图3所示。

图3CA系统总体结构

专用内部网络安全与信任体系建设

作者:姜建国, 刘渊, 王开云

作者单位:中国工程物理研究院信息安全技术中心

本文链接:/Conference_6296151.aspx

相关文档
最新文档