中易通身份认证系统

                    网络的 “开放性”导致个人信息泄露风险加剧

■互联网的匿名性给网络带来有害信息提供滋生蔓延的空间，衍生网络谣言、网络暴力、网络诈骗等问题；

■现有的网络身份认证方式以“关联对比”即“姓名+公民身份证号”方式，无法防止个人身份被冒用和盗用风险，且容易导致个人信息泄露；

■物理空间的公民身份号码作为线上公民数字身份的区分职能，无法通过线上办理需身份实名认证的业务；

■需合法合规的数字身份认证来解决面临的身份认证安全问题。

                                                                  身份认证系统简介

      根据与二代居民身份证唯一对应的网上身份凭证，通过密码计算生成网络可信身份，并结合安全应用属性计算生成应用标识密钥，构成“人—二代身份证—网证—密码身份”的完整信任链。基于法定身份生成的网络可信身份，具有法律效应和权威性，向上追溯“实人、实证（二代证）”，向下认证到“实钥”，从而实现网络可信身份认证，在电子商务、电子政务、金融等行业的应用中，达到保障应用全程身份可信、行为可追溯以及数据安全的目的。同时监管部门可采取“事前控制”、“事后追溯”的方式实现统一有效监管。                

                                          “四位位一体” 的完整信任链，符合国家《电子签名法》

■可靠身份认证

■行为可追溯

■数据安全加密

■安全策略管理

■多行业应用

                                                              身份系统主要功能界面

                                                             身份认证服务应用方案架构

■公安信息系统平台

公安人口信息管理系统：公安部管理全国公民人口信息的信息系统。

CTID平台：在中央网信办、国家发改委和科技部的支持指导下，公安部领导下组织建设，平台为各行业提供统一、权威、多级可信的网络身份认证服务。CTID平台对二代居民身份证所承载的身份信息进行脱敏、去标识化处理， 统一生成不可逆、不含明文信息，且与法定证件一一映射的数据文件。

■身份认证平台

身份认证平台是根据标识密钥算法体系，根据与二代居民身份证唯一对应的网上身份凭证，通过密码计算生成网络可信身份，并结合安全应用属性计算生成应用标识密钥，构成“人—二代身份证—网证—密码身份”的完整信任链，符合《电子签名法》的要求。

■应用系统

应用系统是指对实名认证有需求的业务系统，系统包括应用系统服务器和提供签名验签服务能力，应用系统包括交通、司法、金融、政务、企业等领域的业务系统。

■智能终端

内置国产安全芯片，集成国密算法，具备安全存储能力，以安全芯片为信任锚，通过标识密码算法实现身份认证，通过上层应用实现对身份认证服务依赖的业务功能。

                                                                   身份认证系统应用方案部署

                                                                        身份认证系统优势

■创新性的设计

标识加密密钥和签名密钥分别由中心生成和用户端合成，支持加密和强签名

支持“跨域多应用多标识” ，不同的网络应用可自主生成和管理“应用标识密钥(AIDK)”

■高效的认证机制

密钥的合成、运算均在可信执行环境内进行

标识算法简化中心管理，提升处理能力和效率，以可信数字标识取代数字证书，验证公钥在用户端计算产生，不依赖中心

■有效的法律依据

基于公安身份认证，将二代证作为网络可信身份认证中的信任根，具有坚实的法律基础和权威性

监管单位通过“事前控制”、“事后追溯”通过实人、实证、网络凭证监管到人

■部署灵活经济适用

基于我国自主设计的二代证系统，通过可信站点和数据加密、数据映射等技术实现安全性和个人信息保护，基础设施完备，投资少、见效快、部署灵活，经济适用性强

                                                                中易通密钥管理系统

采用经国家密码管理局认证通过的密码算法和密码设备，遵循国家密码管理局发布的安全技术标准：

GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及相关安全技术规范》

GM/T 0038-2014《证书认证密钥管理系统检测规范》

GM/T 0005-2012《随机数检测规范》

GM/T 0014《数字证书认证系统密码协议规范》

GM/T 0015-2012《基于SM2密码算法的数字证书格式规范》

GM/T 0028-2014《密码模块安全技术要求》

GM/T 0027-2014《智能密码钥匙技术规范》

GM/T 0009-2012 《 SM2密码算法使用规范》等

                                                                               密管系统软硬件组成框图

                                                                        硬件框图

                                                                           软件框图

                                                                                           系统技术架构

系统技术及功能特点：

支持国密及X.509 V3证书标准

支持国密和国际通用密码算法

证书、密钥安全管理

支持双证书、双密钥、双算法（RSA、SM2）机制

支持证书在线、离线下载方式

提供单/双证申请模式

支持人员角色权限管理

支持安全审计管理

基于B/S结构开发，具备并行处理能力

前台交互友好，后台服务可靠

系统模块化设计，具有开放性，通过集成接口，方便对接业务系统

                                                                       密管系统主要功能界面

                                                                        密钥管理系统应用方案架构

■通讯平台

负责为系统提供语音通信、即时消息、用户接入，推送服务等功能。

■密管平台（系统）

负责加密电话系统内密钥生命周期管理，包括密钥的生成、存储、分发、备份、恢复等。

■CA平台

CA平台负责电话加密系统内数字证书的生命周期管理，实现安全通讯各端身份认证。

■移动客户端

移动终端内置安全芯片/TF密码卡，支持国密算法实现加解密功能，密钥安全存储，保证用户通话安全。

                                                                   密钥管理系统应用方案部署

密钥管理系统优势

■高安全性

高强度的密码技术

采用密钥预生成技术

密钥存储逻辑隔离保护密钥管理采用特定接口技术

身份鉴别及登录控制

访问控制和权限管控机制

日志审计管理机制

系统核心数据硬备份

■高可靠性

系统采用成熟规范化设计，通过内存检测机制，保证业务服务无内存冲突、泄露、保证系统稳定运行

由守护进程监控系统运行情况，保证异常时可自动启动

采用多进程、多线程模块设计，拥有强大并行处理能力

■专业定制化

采用先进成熟的技术和设备，在满足当前业务的同时，兼顾未来业务发展，根据业务做出适配

系统采用主流模块化设计，方便系统模块组装，便于日后系统的维护和扩展

兼容多种系统，根据用户需求，开发定制化的安全业务系统

■合规性

采用国密局批准的密码算法，且支持国际通用算法

遵循国家密码管理局制定的相关技术规范设计

采用经国家密码局审批的硬件密码设备

遵循国际和国内技术规范，符合行业相关的规范技术要求