重要電力營銷數據簽字備存機制研討
前言:本站為你精心整理了重要電力營銷數據簽字備存機制研討范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
1數字證書的概念和功能
(1)Ekey中應該存放著用戶的公鑰證書及證書對應的私鑰。
(2)客戶端登陸服務器時(向認證服務器發出認證請求),認證服務器響應請求,向客戶端發回一個隨機數。
(3)客戶端收到隨機數以后,用Ekey中的私鑰對隨機數進行簽名,并從Ekey中取出證書,然后將證書和簽名值一起傳回認證服務器。
(4)認證服務器利用接收到的證書對接收到的簽名值進行驗證,如果驗證成功,說明該證書確為客戶端所擁有。
(5)調用證書狀態在線查詢服務,如果證書狀態正常,則認為證書持有者身份合法,從而達到認證的目的。
營銷業務數據備存首先需要備存服務器驗證業務人員的身份,然后驗證業務人員的權限,通過身份和權限驗證后,營銷數據被該用戶的私鑰簽字后進行備存。基于數字證書的營銷業務數據備存應用體系模型將網絡隔離為2個區域:業務區域、應用服務區域。資源訪問控制分散到每個應用服務器的安全程序中。通過認證、權限控制后,業務區域的信息方可加密、簽字傳輸至應用服務區域中的備存服務器上。具有寶貴數據資源的備存服務器全部保護在安全的網絡內部。
2.1模型中需要部署的部件
(1)在客戶機中部署IP層安全驅動程序,負責將本機Ekey認證、密鑰的溝通、數據的加密等。
(2)部署身份認證服務器,該服務器負責通過驗證客戶端Ekey私鑰對隨機數的簽字從而驗證客戶端用戶身份,查詢證書實時狀態,獲取用戶屬性證書,分配客戶端與資源訪問控制服務器之間的會話密鑰。
(3)部署資源訪問控制服務器,負責用戶身份認證、資源控制。
(4)部署本地數字證書在線狀態查詢服務器,負責查詢本地數字證書的實時狀態。
(5)部署屬性證書、資源權限管理服務器。
(6)部署應用服務器中的IP層安全驅動程序。
(7)部署備存服務器。
2.2營銷業務數據備存應用體系安全控制機制
(1)客戶端通過安全程序到身份認證系統中進行身份認證請求。
(2)身份認證系統通過上下文交互的隨機碼簽字驗證客戶端證書的真實性。
(3)查詢該證書的實時狀態。
(4)查詢該證書綁定的屬性證書信息,傳遞給安全客戶端。
(5)認證通過后給客戶端與資源訪問控制服務器分配一個隨機的會話密鑰。
(6)通過會話密鑰加密所有IP包發送到服務器。
(7)解密后根據其屬性證書及訪問權限策略判斷其是否具備訪問目標資源的權力,有則將數據加密轉發至應用服務器。
(8)應用服務器中的應用程序依據屬性證書及業務權限控制策略控制其應用層的業務過程。
3營銷業務數據簽字備存操作流程
(1)客戶端向備存服務發送備存請求,并將客戶端證書傳給備存服務器。
(2)備存服務器向認證服務器發送認證請求,并將客戶端證書與備存服務器證書一并發送給認證服務器。
(3)認證服務器通過認證后向備存服務器發送,當前時間戳和分配的備存唯一編號。
(4)備存服務器向客戶端發送,當前時間戳與備存唯一編號以及隨機生成的會話密鑰。
(5)客戶端將備存正文信息、正文信息簡要說明、時間戳以及備存唯一編號共同組織為全信息,并用客戶端私鑰對全信息進行簽字。然后用會話密鑰對全信息進行加密,將加密后的全信息密文,以及客戶端的簽字一并發送給備存服務器。
(6)備存服務器用其私鑰對全信息進行簽字,然后保存全信息(備存信息+時間戳+備存信息唯一編號+備存信息簡要說明)+客戶端私鑰對全信息的簽字+備存服務器私鑰對全信息的簽字。并將備存信息唯一編號+備存信息簡要說明備份存放以便檢索。
4營銷業務數據訪問操作流程
(1)客戶端向備存服務發送訪問請求,并將客戶端證書傳給備存服務器。
(2)備存服務器向認證服務器發送認證請求,并將客戶端證書與備存服務器證書一并發送給認證服務器。
(3)認證服務器通過認證后向備存服務器發送客戶訪問權限。
(4)備存服務器向客戶端發送,可訪問的備存唯一編號、備存信息簡要說明檢索信息以及隨機生成的會話密鑰。
(5)客戶端向備存服務器發送擬訪問的備存唯一編號。
(6)備存服務器向客戶端發送,用會話密鑰加密后的全信息密文(備存正文信息、正文信息簡要說明、時間戳以及備存唯一編號)以及客戶端私鑰對全信息進行簽字。
作者:趙健麗王娟單位:國網西安供電公司
