专用内部网络安全与信任体系建设

专用内部网络安全与信任体系建设１３

为达到专用内部网络环境范围内统一认证的目标，保证证书的惟一性和权威性，只能由一个主管部门负责的ＣＡ机构签发身份证书，供所有网络和单机使用。

（２）以集成创新为主，设计并实现面向专用内网环境的信息安全技术架构和网络信任基础平台。

现有技术中，ＣＰＫ／ＣＡ的特征是主管方的单层ＣＡ机构，密钥集中式生成，证书静态分发和静态管理，证书运行不需要支持部件；而ＰＫＩ／ＣＡ是第三方的多层结构，密钥分散式生成，证书静态分发和动态管理。证书运行需要庞大的支持系统。需要基于集成创新，结合专用内网特点和需求，综合分析现有技术，考虑到ＰＫＩ体系的工程成熟性和标准化，拟采用ＰＫＩ体系进行设计和实施，但又考虑到ＣＰＫ的结构更适合内部网络，所以必须对ＰＫＩ体系进行改造和剪裁。一言以蔽之，就是实现“ＰＫＩ的体系、ＣＰＫ的结构”。

（３）技术与管理相结合

ＣＡ的有效运行包括安全技术和安全管理两个层面，系统的安全性和可靠性只有通过两个层面的有机结合才能有效保障。

３．２总体思路

ＣＡ系统网络结构按照物理安全分层结构可划分为四个区：公共区、服务区、管理区和核心安全区。其中密钥管理系统、签发系统和主目录服务器处于核心安全区，注册审核系统处于管理区。从目录服务器等对外服务处于服务区。在院级网络、各个所内小型网络和所级网络都应该部署从目录服务器，用于提供证书查询及ＣＲＬ查询等服务。ＣＡ系统的网络总体结构如图３所示。

图３ＣＡ系统总体结构

专用内部网络安全与信任体系建设

作者：姜建国， 刘渊， 王开云

作者单位：中国工程物理研究院信息安全技术中心

本文链接：/Conference_6296151.aspx