重要电力营销数据签字备存机制研讨
前言:本站为你精心整理了重要电力营销数据签字备存机制研讨范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。
1数字证书的概念和功能
(1)Ekey中应该存放着用户的公钥证书及证书对应的私钥。
(2)客户端登陆服务器时(向认证服务器发出认证请求),认证服务器响应请求,向客户端发回一个随机数。
(3)客户端收到随机数以后,用Ekey中的私钥对随机数进行签名,并从Ekey中取出证书,然后将证书和签名值一起传回认证服务器。
(4)认证服务器利用接收到的证书对接收到的签名值进行验证,如果验证成功,说明该证书确为客户端所拥有。
(5)调用证书状态在线查询服务,如果证书状态正常,则认为证书持有者身份合法,从而达到认证的目的。
营销业务数据备存首先需要备存服务器验证业务人员的身份,然后验证业务人员的权限,通过身份和权限验证后,营销数据被该用户的私钥签字后进行备存。基于数字证书的营销业务数据备存应用体系模型将网络隔离为2个区域:业务区域、应用服务区域。资源访问控制分散到每个应用服务器的安全程序中。通过认证、权限控制后,业务区域的信息方可加密、签字传输至应用服务区域中的备存服务器上。具有宝贵数据资源的备存服务器全部保护在安全的网络内部。
2.1模型中需要部署的部件
(1)在客户机中部署IP层安全驱动程序,负责将本机Ekey认证、密钥的沟通、数据的加密等。
(2)部署身份认证服务器,该服务器负责通过验证客户端Ekey私钥对随机数的签字从而验证客户端用户身份,查询证书实时状态,获取用户属性证书,分配客户端与资源访问控制服务器之间的会话密钥。
(3)部署资源访问控制服务器,负责用户身份认证、资源控制。
(4)部署本地数字证书在线状态查询服务器,负责查询本地数字证书的实时状态。
(5)部署属性证书、资源权限管理服务器。
(6)部署应用服务器中的IP层安全驱动程序。
(7)部署备存服务器。
2.2营销业务数据备存应用体系安全控制机制
(1)客户端通过安全程序到身份认证系统中进行身份认证请求。
(2)身份认证系统通过上下文交互的随机码签字验证客户端证书的真实性。
(3)查询该证书的实时状态。
(4)查询该证书绑定的属性证书信息,传递给安全客户端。
(5)认证通过后给客户端与资源访问控制服务器分配一个随机的会话密钥。
(6)通过会话密钥加密所有IP包发送到服务器。
(7)解密后根据其属性证书及访问权限策略判断其是否具备访问目标资源的权力,有则将数据加密转发至应用服务器。
(8)应用服务器中的应用程序依据属性证书及业务权限控制策略控制其应用层的业务过程。
3营销业务数据签字备存操作流程
(1)客户端向备存服务发送备存请求,并将客户端证书传给备存服务器。
(2)备存服务器向认证服务器发送认证请求,并将客户端证书与备存服务器证书一并发送给认证服务器。
(3)认证服务器通过认证后向备存服务器发送,当前时间戳和分配的备存唯一编号。
(4)备存服务器向客户端发送,当前时间戳与备存唯一编号以及随机生成的会话密钥。
(5)客户端将备存正文信息、正文信息简要说明、时间戳以及备存唯一编号共同组织为全信息,并用客户端私钥对全信息进行签字。然后用会话密钥对全信息进行加密,将加密后的全信息密文,以及客户端的签字一并发送给备存服务器。
(6)备存服务器用其私钥对全信息进行签字,然后保存全信息(备存信息+时间戳+备存信息唯一编号+备存信息简要说明)+客户端私钥对全信息的签字+备存服务器私钥对全信息的签字。并将备存信息唯一编号+备存信息简要说明备份存放以便检索。
4营销业务数据访问操作流程
(1)客户端向备存服务发送访问请求,并将客户端证书传给备存服务器。
(2)备存服务器向认证服务器发送认证请求,并将客户端证书与备存服务器证书一并发送给认证服务器。
(3)认证服务器通过认证后向备存服务器发送客户访问权限。
(4)备存服务器向客户端发送,可访问的备存唯一编号、备存信息简要说明检索信息以及随机生成的会话密钥。
(5)客户端向备存服务器发送拟访问的备存唯一编号。
(6)备存服务器向客户端发送,用会话密钥加密后的全信息密文(备存正文信息、正文信息简要说明、时间戳以及备存唯一编号)以及客户端私钥对全信息进行签字。
作者:赵健丽王娟单位:国网西安供电公司
