[发明专利]一种双网隔离环境下的数字证书系统

说明书

技术领域

本发明涉及信息安全技术领域，特别涉及一种双网隔离环境下的数字证书系统。

背景技术

随着国家电网公司具有信息化、自动化、互动化等特征的统一智能电网的建设，相应的信息化管理和控制也相对从前发生了变革。在智能电网下的信息管理系统中，网络的接入更加复杂，信息集成度更高，用户交互程度更强；既需要面对电网业务系统中存储了大量关键信息，又必须满足跨系统、跨区域资源共享的需求；在这种情况下，如何保障用户、终端、基础网络、业务应用各组成部分的信息安全成为了一项重要的课题。

目前阶段，数字证书系统作为一种建立在密码技术基础上的信息安全技术和安全体系架构，也是目前唯一能够同时解决身份认证、访问控制、信息保密和抗抵赖的安全技术。而在智能电网的信息系统或类似的信息系统当中，需要利用数字证书进行身份认证并执行访问的用户可能隶属于不同级别的组织机构，例如用户可能属于电网总公司，也可能属于各个省级公司，各公司可能拥有独立的数字证书系统，彼此不统一；并且此类信息系统中，内网与外网相互隔离，内网的认证和外网的认证也是分开进行的。全网的认证无法统一导致了信息的共享性差。

这一类信息系统结构的特殊性导致现阶段的数字证书系统无法满足信息系统的使用需求，目前阶段还没有一种数字证书系统能够统一该类型信息系统中各级别组织结构以及内外网的身份认证过程。

发明内容

有鉴于此，本发明的目的在于提供一种双网隔离环境下的数字证书系统。，实现信息系统内外网及各级别之间的数字证书服务的统一。

为实现上述目的，本发明有如下技术方案：

一种双网隔离环境下的数字证书系统，所述系统包括至少一个证书服务模块、一个证书管理模块和一个目录模块，具体为：

证书服务模块，用于接收内网和/或外网的第一方的证书服务申请，对第一方进行信息认证，当信息认证通过则发出服务执行请求；并用于将返回的服务操作结果反馈给所述第一方；

证书管理模块，用于保存和管理数字证书，接收所述服务执行请求，按照所请求的服务内容对数字证书执行操作，得到服务操作结果，将需返回的服务操作结果返回证书服务模块。

目录模块，用于保存数字证书目录，并利用所述数字证书目录对内网和/或外网的第一方进行身份认证。

所述证书服务模块包括：

高级证书服务模块，用于接收高级平台第一方的证书服务申请，对高级平台第一方进行信息认证，当信息认证通过则发出服务执行请求；并用于将返回的服务操作结果反馈给所述高级平台第一方；

低级证书服务模块，用于接收低级平台第一方的证书服务申请，对低级平台第一方进行信息认证，当信息认证通过则发出服务执行请求；并用于将返回的服务操作结果反馈给所述低级平台第一方。

所述证书服务模块包括：

信息认证单元，用于对提出证书服务申请的第一方进行信息认证；

请求执行单元，用于在第一方通过信息认证的情况下，通过第一方提出的证书服务申请判断所申请证书服务的种类，然后生成针对该种类服务的服务执行请求；

操作反馈单元，用于接收证书管理模块返回的服务操作结果，并将该服务操作结果反馈至所述第一方。

所述信息认证单元包括：

一次认证子单元，用于认证第一方信息；

二次认证子单元，用于鉴别一次认证子单元的认证结果。

所述证书管理模块包括：

根管理单元，用于保存和管理数字证书；

运行管理单元，用于接收所述服务执行请求，按照所请求的服务内容对数字证书执行操作，得到服务操作结果，将需返回的服务操作结果返回证书服务模块。

所述目录模块具体包括：

主目录单元，用于保存数字证书目录，在签发新的数字证书时更新数字证书目录并向从目录模块同步；

从目录单元，用于保存数字证书目录，并从主目录单元中同步更新数字证书目录，利用数字证书目录对内网和/或外网的第一方进行数字证书认证。

所述从从目录单元包括：

内网从目录子单元，用于内网第一方的保存数字证书目录，并从主目录单元中同步更新内网第一方的数字证书目录，利用内网第一方的数字证书目录对内网的第一方进行数字证书认证；

外网从目录子单元，用于保存外网第一方的数字证书目录，并从主目录单元中同步更新外网第一方的数字证书目录，利用外网第一方的数字证书目录对外网的第一方进行数字证书认证。

所述系统还包括：