关键词：PKI；信息安全；系统部署；网络规划

1引言

大数据技术在各个领域的持续深入使用，给人们在海量数据中进行数据挖掘、形成科学决策、创造数据的附加价值带来便利，但同日寸对于数据访问的安全性，尤其是对一些敏感数据的访问和使用是否合法合规，也越来越被人们所重视。人们已经意识到，需要通过某种方式，验证需要访问数据用户身份的真实性，确定其是否具备对数据访问和操作的权限，并通过对身份的追踪实现对数据访问和操作行为的审计，以及对传递过程中的信息进行加密解密。证书签发和管理系统以及与之完成对接并配套使用的零信任系统．安全管理中心等可以很好地实现对用户身份的标识、认证、鉴权、审计，以及信息的保密性、完整性、抗否认性等功能。其中，证书签发和管理系统是所有功能实现的基础和前提，所以证书签发和管理系统的功能性、健壮性、安全性又是整个认证加密鉴权审计体系的重中之重。本文介绍了基于PKI技术构建证书签发和管理系统，并采用了一种通过适当的安全防护措施完善其自身安全性的实践方式。

2证书签发和管理系统的构成

一套完整的PKI体系证书签发和管理系统一般可拆解为数字证书认证中心CA子系统（以下简称CA）、用于支撑数据审核的注册中心RA子系统（以下简称RA）、密钥管理中心KMC子系统（以下简称KMC）、对外服务子系统4个关键组成模块。其中，对外服务子系统包含基于目录访问服务（LDAP）的证书及吊销列表（CRL）发布机构（以下简称LDAP）和证书在线管理机构（以下简称PKOM）等部分。具体如图1所示。

鉴于各功能模块的开销，考虑到证书签发和管理系统的整体性能，KMC，CA，RA以及PKOM可以分别单独部署在1台高性能服务器上，LDAP可以和数据库软件安装在同一台高性能服务器上，供几个功能模块连接使用。