建筑物智能化CA业务集成方案

/建筑物智能化CA业务集成方案

方案建设目标关于智能化集成系统据结合权威CA业务，从技术上保障用户的身份认证、权限访问限制管理、数据的保密性和不行抵赖性要求；在业务上满意业务流程的好用性、平安性和高效性的要求；从政策层面上保障各信息系统对于数字证书的权威性要求和法律举证要求。从根本上解决互联网工作人员、设备等身份的可信认证、敏感数据的私密性和完整性爱护，以及对各种操作行为进行有效的责任追溯和认定。平台架构该方案主要是针对智能化、拥有大量重要机密信息的行业设计的，设计中将数据的运用权和全部权分别，防止内部人员、离职人员造成泄密。采纳软硬件一体的设计，同时集合防泄密内核、进程限制、透亮加解密等核心技术保障数据的平安和稳定。是一款集文档集中管理，文档防泄密限制于一体的平安解决方案。1.1架构图以CA业务集成平台作为平安服务的核心调度中心，硬件上采纳“4路工控机+存储”设计，软件上采纳16路不间断服务设计；服务接口采纳符合国密规范的统一接口方式，同时供应了验签取证服务模块，以保障平台的稳定性、规范性及合法性。将须要传输重要信息的终端设备结合CA业务集成平台，对数据在传输终端进行数字签名、时间戳签名、传输加密操作，保证数据的机密性、完整性和可用性，杜绝管理人员对数据的修改，保障了数据来源牢靠。对须要展示在服务端的数据进行签名验签服务，只有通过验签的数据、文件才能在服务端上显示。对能登入后台的管理人员运用数字证书登入，基于PKI平安设施体系结合数字证书平安登入，能保障身份的唯一性且具有法律效益。证书登录认证过程中，应完成以下平安认证工作：证书爱护口令校验；每次登录认证是基于随机数的签名和验证，防止重放攻击；验证用户证书的信任链；验证用户证书有效期；基于最新的黑名单文件，验证用户证书是否被吊销；验证证书信息是否在信息系统具有对应的用户账户及操作权限。平安服务2.1身份认证保障传统的用户名+口令存在巨大平安隐患，无法有效识别身份问题，对系统管理员供应身份认证服务，基于PKI平安设施体系结合数字证书平安登入，能保障身份的唯一性且具有法律效益。证书登录认证过程中，应完成以下平安认证工作：证书爱护口令校验；每次登录认证是基于随机数的签名和验证，防止重放攻击；验证用户证书的信任链；验证用户证书有效期；基于最新的黑名单文件，验证用户证书是否被吊销；验证证书信息是否在信息系统具有对应的用户账户及操作权限。2.2关键数据的平安保障传统互联网数据传输无法保障重要数据的完整性、可用性及保密性，平台供应加解密服务，基于PKI平安设施下采纳高密算法加解密可有效保证终端重要数据的来源可信、传输可信，对敏感数据的私密性和完整性爱护，以及对各种操作行为进行有效的责任追溯和认定。2.3时间戳服务对终端设备或传统业务系统无法保障签名数据的时间有效性。平台供应时间戳服务，可为业务系统供应可信时间签名服务，通过权威精准时间源，确保关键操作和信息的时效性，确保操作和信息存在时间有据可查，不行抵赖。技术指标符合GB/T20520-2006《信息平安技术公钥基础设施时间戳规范》，供应可信时间源，符合国家授时中心的时间精度标准，并且经国家授时中心的权威鉴定测试，具有公安部颁发的《计算机信息平安系统专用产品销售许可证》。2.4电子签章服务关于智能化建筑系统须要管理人员签名确认，平台将供应对应的数字证书应用产品和数字签名可视化（即电子印章）软件，从最大的程度上优化信息系统的流程，既保证业务数据平安又兼顾软件业务流程的顺畅和运行效率。在工作人员运用的业务系统中加载CA中心供应的数字证书应用控件和接口技术，系统软件通过调用控件接口，运用数字证书进行数字签名、电子盖章和打印等，通过加载CA中心供应的控件接口技术。工作人员可以调用数字证书对文件进行数字签名和电子盖章以及打印等操作。2.5签名验签平安保障为了规避了业务厂商因没有依据标准规范流程进行集成改造，而给公司带来法律取证合法性风险，平台为电子签名应用供应签名验签服务，为有效的实施电子签名供应法律有效性保障。服务接口采纳符合国密规范的统一接口方式，同时供应了验签取证服务模块，以保障平台的稳定性、规范性及合法性。设备投入产品名称描述身份认证设备供应身份认证服务、支持国密最新SM2算法。功能描述：设备基于PKI体系架构设计和建设；采纳证书验证，支持CRL查询；支持符合X.509标准的证书，系统运用的证书经国家密码管理局批准的从事数字证书的制作、颁发和管理的第三方电子认证服务机构制作颁发和授权；认证服务支持RSA和SM2算法进行身份有效性验证；支持针对不同应用独立供应用户红名单服务；签名验签设备该设施是电子签名的核心服务，为电子签名应用供应签名验签服务，为有效的实施电子签名供应法律有效性保障。该产品严格依据国密规范GM/T0029-2014标准实现。功能描述：设备基于PKI体系架构设计和建设；数字签名功能：运用SM2、SM3算法；支持符合X.509标准的证书，系统运用的证书经国家密码管理局批准的从事数字证书的制作、颁发和管理的第三方电子认证服务机构制作颁发和授权；访问限制功能：具备完善的身份鉴别机制；日志管理功能：包括日志记录、查看、审计和导出；系统自检功能：包括自身自检和密码设备自检；能够配置时间源设备，自动同步时间；设备通过国家密码管理局评测,具有其颁发的《商用密码产品型号证书》，批准型号SRJ1504证书编号SXH2015161。电子印章设备供应在线电子印章应用、电子印章管理和自动印章服务、支持SM2算法和国密最新规范GM/T0031-2014、支持国际通用的PDF文档规范和中国OFD规范。功能描述：设备基于PKI体系架构设计和建设；供应印章全生命周期管理；包括印章制作、印章颁发、印章吊销；有完善的权限限制机制，系统管理和应用管理分开；避开超级权限用户；印章数据只能由制章人制作，运用合法制章人的签名私钥对印章数据进行签名；签章只能由印章数据中指定的经授权的签章人签章；签章人在电子签章时，在线验证身份和电子印章有效性验证；支持符合X.509标准的证书，系统运用的证书经国家密码管理局批准的从事数字证书的制作、颁发和管理的第三方电子认证服务机构制作颁发和授权；电子印章系统通过国家密码管理局评测鉴定，具有其颁发的《商用密码产品型号证书》，批准型号SFT1403，证书编号SXH2014112；电子印章设备具有公安部颁发的《计算机信息平安系统专用产品销售许可证》，证书编号XKC71766；加解密设备供应数据加解密服务,为数据的传输、存储和共享供应高强度可信加密服务。功能描述：设备基于PKI体系架构设计和建设；服务基于国密SM1和SM4对称算法的数据加密和解密：支持CBC模式的数据加密和解密计算；数据摘要的产生和验证：支持SM3杂凑算法；物理随机数的产生：采纳由国家密码管理局审批的物理噪声源产生器芯片生成的随机数；支持符合X.509标准的证书，系统运用的证书经国家密码管理局批准的从事数字证书的制作、颁发和管理的第三方电子认证服务机构制作颁发和授权；授时设备基于国家基准时间的设备，符合授时中心的时间精度标准，并且供应时间戳签名。功能描述：设备基于PKI体系架构设计和建设；支持CDMA、GPS、北斗三种时间源；在一路不通的状况下，可相互切换，保证时间精确性；签发时间戳：对客户端发起的时间戳恳求进行响应，签发有效；日志审计：对系统中的全部功能模块进行日志记录，并供应日志的查询审计功能；验证时间戳：验证包含时间戳信息的有效性；内置设备数字证书，用于支持签发和验证时间戳；供应的可信时间源，符合国家授时中心的时间精度标准，并且经国家授时中心的权威鉴定测试，时间误差小于7毫秒，证书编号：NTSCZLJC-MCG-1401。CA业务集成平台（含设备）CA集成平台是基于总线技术，供应统一的CA认证服务。可以极大的简化业务平台集成CA业务的困难度，上线CA集成平台后业务系统无需干脆调度CA客户端或集成CA插件，无需对接CA相关的后台设施如：认证设施、签名验签设施、加解密设施、电子签章设施和时间戳设施等，只需对接CA集成平台的总线WebService服务即可快速完成。由于全业务基于总线的服务，集成平台依据电子签名法要求对签名信息进行标准化存储和管理，可以快速的提取须要的签名信息提交法律取证运用，便利用户验收和确认CA电子认证项目的实施的成果以及可以服务于日常的签名取证工作。方案优势基于PKI平安基础设施，采纳高性能密码运算的平安平台，并获得国家密码局、公安销售许可证等资质，实现医院正真意义上无纸化办公；