[发明专利]用于电网系统的数字证书认证平台

说明书

技术领域

本发明涉及数据安全领域，具体地，涉及一种用于电网系统的数字证书认证平台。

背景技术

随着国家电网公司具有信息化、自动化、互动化特征的统一坚强智能电网的建设，网络接入更加复杂，信息集成度更高，用户交互程度更好，业务系统中存储了大量人、财、物等关键信息。为了保证业务应用的信息安全，需要强化身份认证系统等安全基础设施建设，在安全接入、安全传输、安全应用等方面深化研究和应用。

发明内容

本发明的目的在于，针对上述问题，提出一种用于电网系统的数字证书认证平台，以实现保证数据安全的优点。

为实现上述目的，本发明采用的技术方案是：

一种用于电网系统的数字证书认证平台，包括总部根CA系统、总部运行CA系统、总部RA系统、总部LDAP目录服务系统、分部内网RA系统和分部内网LDAP目录服务系统；

所述总部根CA系统：仅有一个总部根CA系统，是数字证书认证平台的核心，为数字证书认证平台提供信任源，负责数字证书认证平台整体安全策略的制定和根密钥的保存；

所述总部运行CA系统：接收分部内网RA系统的证书或证书作废表请求，证书作废表简称CRL，为分部用户签发数字证书或者CRL；

所述总部RA系统：负责接收用户申请证书的请求，并将用户信息与证书申请递交总部运行CA系统；

所述总部LDAP目录服务系统：负责发布总部运行CA系统签发的数字证书以及CRL；

所述分部内网RA系统：负责接收分部人员或者设备申请证书的请求，并将用户信息与证书申请递交至总部运行CA系统；

所述分部内网LDAP目录服务系统：负责从总部LDAP目录服务系统将属于该分部的数字证书信息以及CRL同步到省分部内网LDAP服务器，用于分部内网认证。

优选的，所述总部根CA系统使用加密卡管理根密钥，总部根CA系统在初始化完成后，即为离线或关机状态，总部根CA系统在需要管理总部运行CA系统时，才为开机或在线状态。

优选的，所述总部运行CA系统和总部RA系统均使用外置加密机管理密钥。

优选的，所述总部RA系统内设置LDAP数据同步服务器，所述LDAP数据同步服务器用于总部与分部的LDAP数据同步。

优选的，所述总部LDAP目录服务系统，包括总部内网LDAP目录服务器组和总部外围LDAP目录服务器，所述总部内网LDAP目录服务器组包括，总部主LDAP目录服务器和总部从LDAP目录服务器，所述总部主LDAP目录服务器内的数据实时复制到总部从LDAP目录服务器，所述总部外围LDAP目录服务器经信息网络强隔离装置与总部从LDAP目录服务器进行数据同步。

优选的，分部内网LDAP目录服务系统包括，分部内网LDAP目录服务器和分部外网LDAP目录服务器，所述分部内网LDAP目录服务器与上述总部从LDAP目录服务器进行数据同步，所述分部外网LDAP目录服务器经信息网络强隔离装置与分部内网LDAP目录服务器。

优选的，所述分部内网LDAP目录服务器与总部从LDAP目录服务器之间的通信线路需要经过加密设备加密。

本发明的技术方案具有以下有益效果：

本发明的技术方案，通过统一数字证书认证，有总部根CA系统负责数字证书认证平台整体安全策略的制定和根密钥的保存，从而保证了数据管理中密钥的安全，从而达到了保证数据安全的目的。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为本发明实施例所述的用于电网系统的数字证书认证平台的原理框图；

图2为本发明实施例所述的数字证书系统总体架构原理框图；

图3为本发明实施例所述的国家电网公司运行CA系统的原理框图；

图4为本发明实施例所述的国家电网公司总部RA系统的原理框图；

图5为本发明实施例所述的国家电网公司总部LDAP目录服务系统的原理框图；

图6为本发明实施例所述的省公司数字证书系统的原理框图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

如图1所示，一种用于电网系统的数字证书认证平台，包括总部根CA系统、总部运行CA系统、总部RA系统、总部LDAP目录服务系统、分部内网RA系统和分部内网LDAP目录服务系统；