技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，特別涉及一種雙網(wǎng)隔離環(huán)境下的數(shù)字證書系統(tǒng)。

背景技術(shù)

隨著國家電網(wǎng)公司具有信息化、自動化、互動化等特征的統(tǒng)一智能電網(wǎng)的建設(shè)，相應(yīng)的信息化管理和控制也相對從前發(fā)生了變革。在智能電網(wǎng)下的信息管理系統(tǒng)中，網(wǎng)絡(luò)的接入更加復(fù)雜，信息集成度更高，用戶交互程度更強(qiáng)；既需要面對電網(wǎng)業(yè)務(wù)系統(tǒng)中存儲了大量關(guān)鍵信息，又必須滿足跨系統(tǒng)、跨區(qū)域資源共享的需求；在這種情況下，如何保障用戶、終端、基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用各組成部分的信息安全成為了一項重要的課題。

目前階段，數(shù)字證書系統(tǒng)作為一種建立在密碼技術(shù)基礎(chǔ)上的信息安全技術(shù)和安全體系架構(gòu)，也是目前唯一能夠同時解決身份認(rèn)證、訪問控制、信息保密和抗抵賴的安全技術(shù)。而在智能電網(wǎng)的信息系統(tǒng)或類似的信息系統(tǒng)當(dāng)中，需要利用數(shù)字證書進(jìn)行身份認(rèn)證并執(zhí)行訪問的用戶可能隸屬于不同級別的組織機(jī)構(gòu)，例如用戶可能屬于電網(wǎng)總公司，也可能屬于各個省級公司，各公司可能擁有獨(dú)立的數(shù)字證書系統(tǒng)，彼此不統(tǒng)一；并且此類信息系統(tǒng)中，內(nèi)網(wǎng)與外網(wǎng)相互隔離，內(nèi)網(wǎng)的認(rèn)證和外網(wǎng)的認(rèn)證也是分開進(jìn)行的。全網(wǎng)的認(rèn)證無法統(tǒng)一導(dǎo)致了信息的共享性差。

這一類信息系統(tǒng)結(jié)構(gòu)的特殊性導(dǎo)致現(xiàn)階段的數(shù)字證書系統(tǒng)無法滿足信息系統(tǒng)的使用需求，目前階段還沒有一種數(shù)字證書系統(tǒng)能夠統(tǒng)一該類型信息系統(tǒng)中各級別組織結(jié)構(gòu)以及內(nèi)外網(wǎng)的身份認(rèn)證過程。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種雙網(wǎng)隔離環(huán)境下的數(shù)字證書系統(tǒng)。，實現(xiàn)信息系統(tǒng)內(nèi)外網(wǎng)及各級別之間的數(shù)字證書服務(wù)的統(tǒng)一。

為實現(xiàn)上述目的，本發(fā)明有如下技術(shù)方案：

一種雙網(wǎng)隔離環(huán)境下的數(shù)字證書系統(tǒng)，所述系統(tǒng)包括至少一個證書服務(wù)模塊、一個證書管理模塊和一個目錄模塊，具體為：

證書服務(wù)模塊，用于接收內(nèi)網(wǎng)和/或外網(wǎng)的第一方的證書服務(wù)申請，對第一方進(jìn)行信息認(rèn)證，當(dāng)信息認(rèn)證通過則發(fā)出服務(wù)執(zhí)行請求；并用于將返回的服務(wù)操作結(jié)果反饋給所述第一方；

證書管理模塊，用于保存和管理數(shù)字證書，接收所述服務(wù)執(zhí)行請求，按照所請求的服務(wù)內(nèi)容對數(shù)字證書執(zhí)行操作，得到服務(wù)操作結(jié)果，將需返回的服務(wù)操作結(jié)果返回證書服務(wù)模塊。

目錄模塊，用于保存數(shù)字證書目錄，并利用所述數(shù)字證書目錄對內(nèi)網(wǎng)和/或外網(wǎng)的第一方進(jìn)行身份認(rèn)證。

所述證書服務(wù)模塊包括：

高級證書服務(wù)模塊，用于接收高級平臺第一方的證書服務(wù)申請，對高級平臺第一方進(jìn)行信息認(rèn)證，當(dāng)信息認(rèn)證通過則發(fā)出服務(wù)執(zhí)行請求；并用于將返回的服務(wù)操作結(jié)果反饋給所述高級平臺第一方；

低級證書服務(wù)模塊，用于接收低級平臺第一方的證書服務(wù)申請，對低級平臺第一方進(jìn)行信息認(rèn)證，當(dāng)信息認(rèn)證通過則發(fā)出服務(wù)執(zhí)行請求；并用于將返回的服務(wù)操作結(jié)果反饋給所述低級平臺第一方。

所述證書服務(wù)模塊包括：

信息認(rèn)證單元，用于對提出證書服務(wù)申請的第一方進(jìn)行信息認(rèn)證；

請求執(zhí)行單元，用于在第一方通過信息認(rèn)證的情況下，通過第一方提出的證書服務(wù)申請判斷所申請證書服務(wù)的種類，然后生成針對該種類服務(wù)的服務(wù)執(zhí)行請求；

操作反饋單元，用于接收證書管理模塊返回的服務(wù)操作結(jié)果，并將該服務(wù)操作結(jié)果反饋至所述第一方。

所述信息認(rèn)證單元包括：

一次認(rèn)證子單元，用于認(rèn)證第一方信息；

二次認(rèn)證子單元，用于鑒別一次認(rèn)證子單元的認(rèn)證結(jié)果。

所述證書管理模塊包括：

根管理單元，用于保存和管理數(shù)字證書；

運(yùn)行管理單元，用于接收所述服務(wù)執(zhí)行請求，按照所請求的服務(wù)內(nèi)容對數(shù)字證書執(zhí)行操作，得到服務(wù)操作結(jié)果，將需返回的服務(wù)操作結(jié)果返回證書服務(wù)模塊。

所述目錄模塊具體包括：

主目錄單元，用于保存數(shù)字證書目錄，在簽發(fā)新的數(shù)字證書時更新數(shù)字證書目錄并向從目錄模塊同步；

從目錄單元，用于保存數(shù)字證書目錄，并從主目錄單元中同步更新數(shù)字證書目錄，利用數(shù)字證書目錄對內(nèi)網(wǎng)和/或外網(wǎng)的第一方進(jìn)行數(shù)字證書認(rèn)證。

所述從從目錄單元包括：

內(nèi)網(wǎng)從目錄子單元，用于內(nèi)網(wǎng)第一方的保存數(shù)字證書目錄，并從主目錄單元中同步更新內(nèi)網(wǎng)第一方的數(shù)字證書目錄，利用內(nèi)網(wǎng)第一方的數(shù)字證書目錄對內(nèi)網(wǎng)的第一方進(jìn)行數(shù)字證書認(rèn)證；

外網(wǎng)從目錄子單元，用于保存外網(wǎng)第一方的數(shù)字證書目錄，并從主目錄單元中同步更新外網(wǎng)第一方的數(shù)字證書目錄，利用外網(wǎng)第一方的數(shù)字證書目錄對外網(wǎng)的第一方進(jìn)行數(shù)字證書認(rèn)證。

所述系統(tǒng)還包括：