[发明专利]数字身份管理系统

说明书

技术领域

本发明涉及一种网络安全管理系统，具体地说，是一种以一单机为主体的数字身份管理系统。

背景技术

网上交易的安全性是当今发展电子商务的关键。在网上电子商务的交易中，交易的双方如何确定对方的身份，建立相互的信任，如何保证交易的数据在网上完整安全地传输成为网上作业的前提，数字证书的产生就是为了解决这些电子商务中急待解决的关键问题，从而保证了信息在传输过程中的完整性、真实性、不可抵赖性、保密性。

数字证书是由权威性的、公正的第三方认证机构来颁发和管理，这个权威性的证书管理机构就是认证中心，简称CA(Certification Authority)。

通常的CA系统主要由CA管理审计子系统、证书签发子系统、证书废除子系统、证书查询子系统、证书CRL(证书废除列表)发布子系统、OCSP(在线证书状态查询)子系统、RA(受理中心)子系统、RAT(受理点子系统)等组成，其如图1～图4所示，大致分成三大部分：

一、认证中心(CA)

CA的主要职责是主要负责证书签发与管理以及密钥生成与管理，保证系统安全不间断地提供证书签发、证书发布和查询、CRL生成和发布，提供用户信息和证书的备份和归档，保证系统数据的完整性，并承担因操作运营错误所产生的一切后果，包括泄密和为没有通过审核的用户发放证书等。认证管理中心的网络结构通常如图1所示。

另外一个CA中心即认证中心必须配备一个密钥管理中心；密钥管理中心逻辑上可分成两个部分：第一部分为密钥的产生和安全保存；第二部分为密钥制作、密钥托管、密钥恢复。为了保证密钥的绝对安全，密钥管理中心绝大时间内不与CA的其它的网络构成连接。密钥管理中心的网络图如图2所示。

二、RA(Register Authority，受理中心)

RA是CA的分支机构，为CA中心对证书申请者提交的申请资料及申请资格进行审核，以决定是否同意为该申请者签发证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果，它应由能够承担这些责任的机构来承担。受理中心的网络结构一般如图3所示。

三、RAT(Register Authority Terminal，受理点)

受理点设在用户资料所在地，是面向最终用户的审核机构，其主要功能是对用户提交的资料进行录入和审核，以决定是否同意为该申请者发放证书，并提供证书制作。受理点的身份由RA审核，受理点的操作员证书由RA的上级CA中心签发，并由RA管理。受理点作为RA的下级机构，它不直接与CA中心进行数据交换，受理点的证书签发请求由RA转发给CA中心。受理点配备证书信息录入员及证书信息审核员各一名。受理点网络结构图如图4所示。    

如上所述，现有的通用的CA系统，结构庞大，价格昂贵(约200万～300万人民币)，而且存在使用上的局限性：    

1、上述的通过一个第三方的CA机构进行认证，这种认证针对在INTERNET(因特网)上进行电子商务活动是十分必要的，但证书的申请、审核需要到专门的受理点，这对于在局域网内进行的身份认证则显得过于复杂；

2、目前企业内部的计算机并不是全部连在INTERNET上，所以，当要进行CRL(证书废除列表，也就是证书黑名单)查询时，远程连接到CA中心进行查询时速度很慢；

3、一般证书的状态是由CA中心进行管理的，这使得小型用户频繁更改证书状态，如暂停证书、废除证书的需求解决起来很烦琐；

4、特别是对政府内网、企业内网等小型局域网或专用网内的数字身份验证，更显得不相适应。

发明内容

本发明主要是解决在局域网内身份证认的技术问题，和降低CA系统的价格，因此，本发明的目的是提供一台能够提供数字证书的相关服务的主机，其能实施证书的签发，证书的废除，证书的查询，证书的验证，证书的下载，且作为一个完整的系统，同时具备管理功能，如操作员管理，系统管理员管理等等。

本发明的技术方案是：一种数字身份管理系统，其分别与普通用户、证书用户、系统操作员、系统管理员和系统初始化员以网络联结；该数字身份管理系统含有一主机、位于该主机内的数据盘和与该主机成可装卸的网卡，特点是，还有与该主机成可装卸联结的加密卡、并在该主机内设置面向对象的系统模块；该系统模块包括为用户提供使用接口的应用层、中间层和将用户的操作最终写入到数据盘的存储层，该中间层联结该应用层和存储层；