H3C PKI配置
操作手册安全分册 PKI 目录
目录
第1章 PKI配置.......................................................................................................................1-1
1.1 PKI简介..............................................................................................................................1-1
1.1.1 概述.........................................................................................................................1-1
1.1.2 相关术语..................................................................................................................1-1
1.1.3 体系结构..................................................................................................................1-2
1.1.4 主要应用..................................................................................................................1-3
1.1.5 PKI的工作过程.........................................................................................................1-3
1.2 PKI配置任务简介................................................................................................................1-4
1.3 配置实体DN.......................................................................................................................1-4
1.4 配置PKI域..........................................................................................................................1-6
1.5 PKI证书申请.......................................................................................................................1-8
1.5.1 自动申请证书...........................................................................................................1-8
1.5.2 手工申请证书...........................................................................................................1-8
1.6 手工获取证书.....................................................................................................................1-9
1.7 配置PKI证书验证..............................................................................................................1-10
1.8 销毁本地RSA密钥对........................................................................................................1-12
1.9 删除证书...........................................................................................................................1-12
1.10 配置证书属性的访问控制策略........................................................................................1-12
1.11 PKI显示和维护...............................................................................................................1-13
1.12 PKI典型配置举例...........................................................................................................1-14
1.1
2.1 PKI实体向CA申请证书(方式一)......................................................................1-14
1.1
2.2 PKI实体向CA申请证书(方式二)......................................................................1-18
1.1
2.3 使用PKI证书体系的RSA证书签名方法进行IKE协商认证.....................................1-21
1.1
2.4 证书属性的访问控制策略应用举例......................................................................1-24
1.13 常见配置错误举例..........................................................................................................1-26
1.13.1 获取CA证书失败..................................................................................................1-26
1.13.2 本地证书申请失败...............................................................................................1-27
1.13.3 CRL获取失败.......................................................................................................1-27
本文中标有“请以实际情况为准”的特性描述,表示各型号对于此特性的支持情况
可能不同,本节将对此进行说明。
说明:
z H3C MSR系列路由器对相关命令参数支持情况、缺省值及取值范围的差异内容请参见本模块的命令手册。
z H3C MSR系列各型号路由器均为集中式设备。
z设备对接口的实际支持情况请参见“H3C MSR 20/30/50系列路由器接口模块及接口卡手册”。
第1章 PKI配置
1.1 PKI简介
1.1.1 概述
PKI(Public Key Infrastructure,公钥基础设施)是通过使用公开密钥技术和数字证
书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。
PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用
户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相
关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保
证了通信数据的机密性、完整性和不可否认性。
1.1.2 相关术语
1. 数字证书
数字证书是一个经证书授权中心数字签名的、包含公开密钥及相关的用户身份信息
的文件。最简单的数字证书包含一个公开密钥、名称及证书授权中心的数字签名。
一般情况下数字证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称
和该证书的序列号等信息,证书的格式遵循ITU-T X.509国际标准。本手册中涉及
两类证书:本地(local)证书和CA(Certificate Authority)证书。本地证书为CA
签发给实体的数字证书;CA证书也称为根证书,为CA“自签”的数字证书。
2. 证书废除列表(CRL,Certificate Revocation List)
由于用户姓名的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证
书撤消,即撤消公开密钥及相关的用户身份信息的绑定关系。在PKI中,所使用的
这种方法为证书废除列表。任何一个证书被废除以后,CA就要发布CRL来声明该
证书是无效的,并列出所有被废除的证书的序列号。CRL提供了一种检验证书有效
性的方式。
当一个CRL的撤消信息过多时会导致CRL的发布规模变得非常庞大,且随着CRL
大小的增加,网络资源的使用性能也会随之下降。为了避免这种情况,允许一个CA
的撤消信息通过多个CRL发布出来。CRL片断也称为CRL发布点。
3. CA策略
CA在受理证书请求、颁发证书、吊销证书和发布CRL时所采用的一套标准被称为
CA策略。通常,CA以一种叫做证书惯例声明(CPS,Certification Practice
Statement)的文档发布其策略,CA策略可以通过带外(如电话、磁盘、电子邮件
等)或其他方式获取。由于不同的CA使用不同的方法验证公开密钥与实体之间的
绑定,所以在选择信任的CA进行证书申请之前,必须理解CA策略,从而指导对
实体进行相应的配置。
1.1.3 体系结构
一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成,如
下图1-1。
图1-1PKI体系结构图
1. 终端实体
终端实体是PKI产品或服务的最终使用者,可以是个人、组织、设备(如路由器、
交换机)或计算机中运行的进程。
2. 证书机构(CA,Certificate Authority)
CA是PKI的信任基础,是一个用于签发并管理数字证书的可信实体。其作用包括:
发放证书、规定证书的有效期和通过发布CRL确保必要时可以废除证书。
3. 注册机构(RA,Registration Authority)
RA是CA的延伸,可作为CA的一部分,也可以独立。RA功能包括个人身份审核、
CRL管理、密钥对产生和密钥对备份等。PKI国际标准推荐由一个独立的RA来完
成注册管理的任务,这样可以增强应用系统的安全性。
4. PKI存储库
PKI存储库包括LDAP(Lightweight Directory Access Protocol,轻量级目录访问协
议)服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行
存储和管理,并提供一定的查询功能。
LDAP提供了一种访问PKI存储库的方式,通过该协议来访问并管理PKI信息。LDAP
服务器负责将RA服务器传输过来的用户信息以及数字证书进行存储,并提供目录
浏览服务。用户通过访问LDAP服务器获取自己和其他用户的数字证书。
1.1.4 主要应用
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,
PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
1. 虚拟专用网络(VPN,Virtual Private Network)
VPN是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议
(如IPSec)和建立在PKI上的加密与数字签名技术来获得机密性保护。
2. 安全电子邮件
电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术
来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet
Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签
名邮件的协议。该协议的实现需要依赖于PKI技术。
3. Web安全
为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL(Secure
Sockets Layer,安全套接字层)连接,以此实现对应用层透明的安全通信。利用
PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和
浏览器端通信时双方可以通过数字证书确认对方的身份。
1.1.5 PKI的工作过程
针对一个使用PKI的网络,配置PKI的目的就是为指定的实体向CA申请一个本地
证书,并由设备对证书的有效性进行验证。下面是PKI的工作过程:
(1) 实体向CA提出证书申请;
(2) RA审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA;
(3) CA验证数字签名,同意实体的申请,颁发证书;
(4) RA接收CA返回的证书,发送到LDAP服务器以提供目录浏览服务,并通知
实体证书发行成功;
(5) 实体获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信;
(6) 实体希望撤消自己的证书时,向CA提交申请。CA批准实体撤消证书,并更
新CRL,发布到LDAP服务器。
1.2 PKI配置任务简介
表1-1PKI配置任务简介
配置任务说明详细配置配置实体DN 必选 1.3
配置PKI域必选 1.4
自动申请证书 1.5.1
PKI证书申请
手工申请证书二者必选其一
1.5.2
手工获取证书可选 1.6
配置PKI证书验证可选 1.7
销毁本地RSA密钥对可选 1.8
删除证书可选 1.9
配置证书属性的访问控制策略可选 1.10
1.3 配置实体DN
一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相
关联。实体DN(Distinguished Name,可识别名称)的参数是实体的身份信息,
CA根据实体提供的身份信息来唯一标识证书申请者。
实体DN的参数包括:
z实体通用名
z实体所属国家代码,用标准的2字符代码表示。例如,“CN”是中国的合法国家代码,“US”是美国的合法国家代码
z实体FQDN(Fully Qualified Domain Name,合格域名),是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一
个主机名,https://www.wendangku.net/doc/e115854177.html,是一个域名,则https://www.wendangku.net/doc/e115854177.html,就是一个FQDN。
z实体IP地址
z实体所在地理区域名称
z实体所属组织名称
z实体所属部门名称
z实体所属州省
说明:
实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败。
表1-2配置实体DN
操作命令说明
进入系统视图system-view -
创建一个实体,并进入该实体视图pki entity entity-name
必选
缺省情况下,无实体存在
配置实体通用名common-name name 可选
缺省情况下,未配置实体的通用名
配置实体所属国家代码country
country-code-str
可选
缺省情况下,未配置实体所属国家代码
配置实体FQDN fqdn name-str 可选
缺省情况下,未配置实体FQDN
配置实体IP地址ip ip-address 可选
缺省情况下,未配置实体IP地址
配置实体所在地理区域名称locality locality-name
可选
缺省情况下,未配置实体所在地理区域
配置实体所属组织名称organization org-name 可选
缺省情况下,未配置实体所属组织
配置实体所属部门名称organization-unit
org-unit-name
可选
缺省情况下,未配置实体所属部门
配置实体所属州省state state-name 可选
缺省情况下,未配置实体所属州省
说明:
z目前设备上最多可以创建两个实体。
z Windows 2000 CA服务器对证书申请的数据长度有一定的限制。实体DN配置项超过一定数据长度时,申请证书没有回应。
1.4 配置PKI域
实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程。
这些信息的集合就是一个实体的PKI域。
PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,
比如IKE、SSL等。一个设备上配置的PKI域对CA和其它设备是不可见的,每一
个PKI域有单独的域参数配置信息。
PKI域中包括以下参数:
z信任的CA名称
在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此
必须指定一个信任的CA名称。
z实体名称
向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份。
z证书申请的注册机构
证书申请的受理一般由一个独立的注册机构(即RA)来承担,它接收用户的注册申
请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不
给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA
来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将
其作为CA的一项功能而已。PKI推荐独立使用RA作为注册审理机构。
z注册服务器的URL
证书申请之前必须指定注册服务器的URL,随后实体可通过简单证书注册协议
(SCEP,Simple Certification Enrollment Protocol)向该服务器提出证书申请,
SCEP是专门用于与认证机构进行通信的协议。
z证书申请状态查询的周期和次数
实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。
在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书。
客户端可以配置证书申请状态的查询周期和次数。
z LDAP服务器IP地址
在PKI系统中,用户的证书和CRL信息的存储是一个非常核心的问题。一般采用LDAP服务器来存储证书和CRL,这时就需要指定LDAP服务器的位置。
z验证根证书时使用的指纹
当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书。
表1-3配置PKI域
配置任务命令说明
进入系统视图system-view -
创建一个PKI域,并进入PKI
域视图
pki domain domain-name必选
配置信任的CA名称ca identifier name 必选
缺省情况下,未配置信任的CA名称
指定实体名称certificate request entity
entity-name
必选
缺省情况下,未指定实体名称
指定的实体名称必须已创建
配置证书申请的注册受理机构certificate request from
{ ca | ra }
必选
缺省情况下,未指定证书申请
的注册受理机构
配置注册服务器URL certificate request url
url-string
必选
缺省情况下,未指定注册服务
器URL
配置证书申请状态查询的周期和次数certificate request polling
{ count count | interval
minutes }
可选
缺省情况下,证书申请状态查
询周期为20分钟,每一个周
期内查询50次
配置LDAP服务器ldap-server ip ip-address
[ port port-number ]
[ version version-number ]
可选
缺省情况下,未指定LDAP服
务器
配置验证根证书时使用的指纹root-certificate
fingerprint { md5 | sha1 }
string
可选
缺省情况下,未指定验证根证
书时使用的指纹
说明:
z目前一个设备只支持同时创建两个PKI域。
z CA的名称只是在获取CA证书时使用,申请本地证书时不会用到。
z目前,注册服务器URL的配置不支持域名解析。
1.5 PKI证书申请
证书申请就是实体向CA自我介绍的过程。实体向CA提供身份信息,以及相应的
公开密钥,这些信息将成为颁发给该实体证书的主要组成部分。实体向CA提出证
书申请,有离线和在线两种方式。离线申请方式下,CA允许申请方通过带外方式(如
电话、磁盘、电子邮件等)向CA提供申请信息。
在线证书申请有手工发起和自动发起两种方式。
1.5.1 自动申请证书
配置证书申请方式为自动方式后,在没有本地证书时实体自动通过SCEP协议进行
申请,而且在证书即将过期时自动申请新的证书。
表1-4自动申请证书
操作命令说明进入系统视图system-view -
进入PKI域视图pki domain domain-name-
配置证书申请为自动方式certificate request mode auto
[ key-length key-length | password
{ cipher | simple } password ] *
必选
缺省情况下,证书申请
为手工方式
1.5.2 手工申请证书
配置证书申请方式为手工方式后,需要手工完成获取CA证书、生成密钥对、申请
本地证书的工作。
获取CA证书的目的是用来验证本地证书的真实性和合法性。
密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥
和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证
书。
有关RSA密钥对的具体配置请参见“安全分册”中的“SSH2.0配置”。
表1-5手工申请证书
操作命令说明进入系统视图system-view -
进入PKI域视图pki domain domain-name-
配置证书申请为手工方式certificate request mode manual 可选
缺省情况下,证书申请为手工方式
退回系统视图quit -
手工获取CA证书请参见1.6 必选
生成本地RSA密钥对public-key local create rsa 必选
缺省情况下,本地没有RSA密钥对
手工申请本地证书pki request-certificate domain
domain-name [ password ] [ pkcs10
[ filename filename ] ]
必选
说明:
z若本地证书已存在,为保证密钥对与现存证书的一致性,不应执行创建密钥对命令,必须在删除本地证书后再执行public-key local create rsa命令生成新的密
钥对。
z创建的新密钥对将覆盖旧密钥对。若本地已有RSA密钥对,执行public-key local create rsa命令时,系统会提示是否替换原有密钥对。
z如果本地证书已存在,则不允许再执行证书申请操作,以避免因相关配置的修改使得证书与注册信息不匹配。若想重新申请,请先使用pki delete-certificate命
令删除存储于本地的CA证书与本地证书,然后再执行pki request-certificate
domain命令。
z当无法通过SCEP协议向CA在线申请证书时,可以使用可选参数pkcs10打印出本地的证书申请信息。用户保存证书申请信息,并将其通过带外方式发送给
CA进行证书申请。
z证书申请之前必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。
z pki request-certificate domain配置不能被保存在配置文件中。
1.6 手工获取证书
用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种
方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁
盘、电子邮件等)取得证书,然后将其导入至本地。
获取证书的目的有两个:
z将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数。
z为证书的验证做好准备。
获取本地证书之前必须完成LDAP服务器的配置。
表1-6手工获取证书
操作
命令说明
进入系统视图system-view -
在线方式pki retrieval-certificate { ca | local } domain domain-name
手工获取证书
离线方式
导入证书pki import-certificate { ca | local }
domain domain-name {der | p12 |
pem}[filename filename ]
二者必选其一
注意:
z如果本地已有CA证书存在,则不允许执行手工获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。若想重新获取,请先使用pki
delete-certificate命令删除CA证书与本地证书后,再执行此命令。
z pki retrieval-certificate配置不能被保存在配置文件中。
1.7 配置PKI证书验证
在使用每一个证书之前,必须对证书进行验证。证书验证包括对签发时间、签发者
信息以及证书的有效性几方面进行验证。证书验证的核心是检查CA在证书上的签
名,并确定证书仍在有效期内,而且未被废除,因此在进行证书验证操作之前必须
首先获取CA证书。
配置证书验证时可以设置是否必须进行CRL检查。如果配置为使能CRL检查,则
检验证书的有效性,必须通过CRL判断。
表1-7配置使能CRL检查的证书验证
操作命令说明
进入系统视图system-view -
进入PKI域视图pki domain domain-name-
配置CRL发布点的URL crl url url-string 可选
缺省情况下,未指定CRL发布点的URL
操作命令说明
配置CRL的更新周期crl update-period hours 可选
缺省情况下,根据CRL文件中的下次更新域进行更新
使能CRL检查crl check enable 可选
缺省情况下,CRL检查处于开启状态
退回系统视图quit -
获取CA证书请参见1.6 必选
获取CRL并下载至本地pki retrieval-crl domain
domain-name
必选
检验证书的有效性
pki validate-certificate { ca |
local } domain domain-name
必选表1-8配置不使能CRL检查的PKI证书验证
操作命令说明进入系统视图system-view -
进入PKI域视图pki domain domain-name-
禁止CRL检查crl check disable 必选
缺省情况下,CRL检查处于开启状态
退回系统视图quit -
获取CA证书请参见1.6 必选
检验证书的有效性pki validate-certificate { ca |
local } domain domain-name
必选
说明:
z CRL的更新周期是指本地从CRL存储服务器下载CRL的时间间隔。手工配置的CRL更新周期将优先于CRL文件中指定的更新时间。
z pki retrieval-crl domain命令不能被保存在配置文件中。
z目前,CRL发布点URL的配置不支持域名解析。
1.8 销毁本地RSA密钥对
由CA颁发的证书都会设置有效期,证书生命周期的长短由签发证书的CA中心来
确定。当用户的私钥被泄漏或证书的有效期快到时,用户应该删除旧的密钥对,产
生新的密钥对,重新申请新的证书。通过此配置用户可以销毁本地RSA密钥对。
表1-9销毁本地RSA密钥对
操作命令说明
进入系统视图system-view -
销毁本地RSA密钥对public-key local destroy rsa 必选
说明:
命令public-key local destroy rsa的详细介绍可参考“安全分册/SSH2.0命令”。
1.9 删除证书
证书过期或希望重新申请证书,可以通过此配置删除一个已经存在的本地证书或CA
证书。
表1-10配置删除证书
操作命令说明进入系统视图system-view -
配置删除证书pki delete-certificate { ca | local }
domain domain-name
必选
1.10 配置证书属性的访问控制策略
通过配置证书属性的访问控制策略,可以对用户的访问权限进行进一步的控制,保
证了与之通信的服务器的安全性。
表1-11配置证书属性的访问控制策略
操作命令说明
进入系统视图system-view -
创建证书属性组,并进入证书属性组视图pki certificate
attribute-group group-name
必选
缺省情况下,不存在证书属性组
操作
命令说明
配置证书颁发者名、证书主题名及备用主题名的属性规则attribute id
{ alt-subject-name { fqdn |
ip } | { issuer-name |
subject-name } { dn | fqdn |
ip } } { ctn | equ | nctn | nequ}
attribute-value
可选
缺省情况下,对证书颁发者名、证
书主题名及备用主题名没有限制
退回系统视图quit -
创建证书属性访问控制策略,并进入证书属性访问控制策略视图pki certificate
access-control-policy
policy-name
必选
缺省情况下,不存在证书属性访问
控制策略
配置证书属性控制规则rule [id ] { deny | permit }
group-name
必选
缺省情况下,不存在证书属性控制
规则
注意:
配置证书属性控制规则时,group-name必须是已存在的证书属性组的名称。
1.11 PKI显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后PKI的运行情
况,通过查看显示信息验证配置的效果。
表1-12PKI显示和维护
操作命令
显示证书内容或证书申请状态display pki certificate { { ca | local } domain domain-name | request-status }
显示CRL内容display pki crl domain domain-name
显示证书属性组的信息display pki certificate attribute-group { group-name | all }
显示证书属性访问控制策略的信息display pki certificate access-control-policy { policy-name | all }
1.12 PKI典型配置举例
注意:
z当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI domain 时,需要使用certificate request from ra命令指定实体从RA注册申请证书。
z当采用RSA Keon软件时,不需要安装SCEP插件。此时,配置PKI domain时,需要使用certificate request from ca命令指定实体从CA注册申请证书。
1.1
2.1 PKI实体向CA申请证书(方式一)
说明:
本配置举例中,CA服务器上采用RSA Keon软件。
1. 组网需求
在作为PKI实体的设备Router上进行相关配置,实现以下需求:
z设备向CA服务器申请本地证书
z获取CRL为证书验证做准备
2. 组网图
图1-2PKI实体向CA申请证书组网图
3. 配置步骤
z CA服务器端的配置
(1) 创建CA服务器myca
在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。
其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA
的DN属性,包括CN、OU、O和C。
(2) 配置扩展属性
基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction
Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自
动颁发证书功能;添加可以自动颁发证书的地址范围。
(3) 配置CRL发布
CA服务器的基本配置完成之后,需要进行CRL的相关配置。
本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为
http://4.4.4.133:447/myca.crl。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用
设备来申请证书和获取CRL。
z设备Router上的配置
(1) 配置实体命名空间
# 配置实体名称为aaa,通用名为router。
[Router] pki entity aaa
[Router-pki-entity-aaa] common-name router
[Router-pki-entity-aaa] quit
(2) 配置PKI域参数
# 创建并进入PKI域torsa。
[Router] pki domain torsa
# 配置可信任的CA名称为myca。
[Router-pki-domain-torsa] ca identifier myca
# 配置注册服务器URL,格式为http://host:port/Issuing Jurisdiction ID。其中的
Issuing Jurisdiction ID为CA服务器上生成的16进制字符串。
[Router-pki-domain-torsa] certificate request url http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337
# 配置证书申请的注册受理机构为CA。
[Router-pki-domain-torsa] certificate request from ca
# 指定实体名称为aaa。
[Router-pki-domain-torsa] certificate request entity aaa
# 配置CRL发布点位置。
[Router-pki-domain-torsa] crl url http://4.4.4.133:447/myca.crl
[Router-pki-domain-torsa] quit
(3) 用RSA算法生成本地密钥对
[Router] public-key local create rsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It may take a few minutes.
Press CTRL+C to abort.
Input the bits in the modulus [default = 1024]:
Generating keys...
........++++++ ....................................++++++
.......++++++++
......................++++++++
.
(4) 证书申请
# 获取CA证书并下载至本地。
[Router] pki retrieval-certificate ca domain torsa
Retrieving CA/RA certificates. Please wait a while......
The trusted CA's finger print is:
MD5 fingerprint:EDE9 0394 A273 B61A F1B3 0072 A0B1 F9AB
SHA1 fingerprint: 77F9 A077 2FB8 088C 550B A33C 2410 D354 23B2 73A8 Is the finger print correct?(Y/N):y
Saving CA/RA certificates chain, please wait a moment......
CA certificates retrieval success.
# 获取CRL并下载至本地。
[Router] pki retrieval-crl domain torsa
Connecting to server for retrieving CRL. Please wait a while.....
CRL retrieval success!
# 手工申请本地证书。
[Router] pki request-certificate domain torsa challenge-word
Enrolling the local certificate,please wait a while......
Certificate request Successfully!
Saving the local certificate to device......
Done!
4. 验证配置结果
# 通过以下显示命令可以查看获取的本地证书信息。
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
9A96A48F 9A509FD7 05FFF4DF 104AD094
Signature Algorithm: sha1WithRSAEncryption
Issuer:
C=cn
O=org
OU=test
CN=myca
Validity
Not Before: Jan 8 09:26:53 2007 GMT
Not After : Jan 8 09:26:53 2008 GMT
Subject:
CN=router
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00D67D50 41046F6A 43610335 CA6C4B11
F8F89138 E4E905BD 43953BA2 623A54C0
EA3CB6E0 B04649CE C9CDDD38 34015970
981E96D9 FF4F7B73 A5155649 E583AC61
D3A5C849 CBDE350D 2A1926B7 0AE5EF5E
D1D8B08A DBF16205 7C2A4011 05F11094
73EB0549 A65D9E74 0F2953F2 D4F0042F
19103439 3D4F9359 88FB59F3 8D4B2F6C
2B
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 CRL Distribution Points:
URI:http://4.4.4.133:447/myca.crl
Signature Algorithm: sha1WithRSAEncryption
836213A4 F2F74C1A 50F4100D B764D6CE
B30C0133 C4363F2F 73454D51 E9F95962
EDE9E590 E7458FA6 765A0D3F C4047BC2
9C391FF0 7383C4DF 9A0CCFA9 231428AF
987B029C C857AD96 E4C92441 9382E798
8FCC1E4A 3E598D81 96476875 E2F86C33
75B51661 B6556C5E 8F546E97 5197734B
C8C29AC7 E427C8E4 B9AAF5AA 80A75B3C
关于获取的CA证书及CRL文件的详细信息可以通过相应的显示命令来查看,此处略。具体内容请参考命令display pki certificate ca domain和display pki crl domain。
1.1
2.2 PKI实体向CA申请证书(方式二)
说明:
本配置举例中,采用Windows 2003 server做CA服务器。
1. 组网需求
配置PKI实体Router向CA服务器申请本地证书。
2. 组网图
图1-3PKI实体向CA申请证书组网图
3. 配置步骤
z CA服务器端的配置
(1) 安装证书服务器组件
打开[控制面板]/[添加/删除程序],选择[添加/删除Windows组件]中的“证书服务”
进行安装。
(2) 安装SCEP插件
由于Windows 2003 server作为CA服务器时,缺省情况下不支持SCEP,所以需
要安装SCEP插件,才能使设备具备证书自动注册、获取等功能。插件安装完毕后,
弹出提示框,提示框中的URL地址即为设备上配置的注册服务器地址。
(3) 修改证书服务的属性
完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在
[颁发的证书]中将存在两个CA颁发给RA的证书。选择[CA server 属性]中的“策略
模块”的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书
(F)。”
(4) 修改IIS服务的属性
打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],将[默认网站属性]中
“主目录”的本地路径修改为证书服务保存的路径。另外,为了避免与已有的服务
冲突,建议修改默认网站的TCP端口号为未使用的端口号。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用
设备来申请证书。
z设备Router上的配置
(1) 配置实体命名空间
# 配置实体名称为aaa,通用名为router。
[Router] pki entity aaa
[Router-pki-entity-aaa] common-name router
[Router-pki-entity-aaa] quit
(2) 配置PKI域参数
# 创建并进入PKI域torsa。
[Router] pki domain torsa
# 配置可信任的CA名称为myca。
[Router-pki-domain-torsa] ca identifier myca
# 配置注册服务器URL,格式为http://host:port/ certsrv/mscep/mscep.dll。其中,
host:port为CA服务器的主机地址和端口号。
[Router-pki-domain-torsa] certificate request url http://4.4.4.1:8080/certsrv/mscep/mscep.dll
# 配置证书申请的注册受理机构为RA。
[Router-pki-domain-torsa] certificate request from ra
# 指定实体名称为aaa。
[Router-pki-domain-torsa] certificate request entity aaa
(3) 用RSA算法生成本地密钥对
[Router] public-key local create rsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It may take a few minutes.
Press CTRL+C to abort.
Input the bits in the modulus [default = 1024]:
Generating keys...
........++++++
....................................++++++
.......++++++++
......................++++++++
.
(4) 证书申请
# 获取CA证书并下载至本地。
[Router] pki retrieval-certificate ca domain torsa
Retrieving CA/RA certificates. Please wait a while......
污水处理厂在线监测系统配置要求
X污水处理厂在线监测系统 配置内容及技术要求 一、建设内容:包括污水处理厂以下子系统 1、进、水口的COD在线监测系统各一套; 2、进、水口的氨氮在线监测系统各一套;(根据当地环保局要求可选); 3、进、水口明渠超声波流量计子系统各一套。 4、数据采集传输系统各一套; 5、进、出水口监测设备用不间断供电(UPS)各一台; 6、进、出水口仪表间安装1.5P空调各一台;(用户自备) 7、进、出水口仪表间各一间;(土建) 8、进、出水口巴歇尔槽制作各一项;(土建) 9、配套管线材料二套。 二、符合相关规范及标准 GB11914-89 《水质化学需氧量测定重铬酸盐法》 HJ/T 15-2007 《环境保护产品技术要求超声波明渠污水流量计》HJ/T 377-2007 《环境保护产品技术要求化学需氧量(CODcr)水 质在线自动监测仪》 HJ/T 353-2007 《水污染源在线监测系统安装技术规范(试行)》HJ/T 354-2007 《水污染源在线监测系统验收技术规范(试行)》HJ/T 355-2007 《水污染源在线监测系统运行与考核技术规范(试 行)》 HJ/T 356-2007 《水污染源在线监测系统数据有效性判别技术规范
(试行)》 HJ/T 212 《污染源在线监控(监测)系统数据传输标准》ZBY120-83 《工业自动化仪表工作条件温度、湿度和大气压力》GB50168-92 《电气装置安装工程电缆线路施工及验收规范》GB50093-2002 《自动化仪表工程施工及验收规范》 三、采用设备技术要求及技术参数 1、仪器类型: ⑴进、出水口COD监测子系统要求采用重铬酸钾消解法,即重铬酸钾、硫酸银、浓硫酸等在消解池中消解氧化水中的有机物和还原性物质,比色法测定剩余的氧化剂,计算出COD值,在满足该方法基础上采用了能克服传统工艺的种种弊端的先进工艺和技术。 ⑵进、出水口流量监测要求可直接安装在室外明渠测量流量,采用超声波回波测距原理,并方便用户和环保主管部门的核对检查。 ⑶数据采集传输子系统要求符合HJ/T 212-2005标准,满足山西省环保厅关于环保监测数据传输技术要求的规定,并具有可扩展多中心传输的功能,模拟量信号采集通道不少于8个。 ⑷不间断电源功率应达3000VA,停电时可延时20分钟,二套。 ⑸进水口仪表间不小于8.4平米,巴歇尔槽符合出水流量要求。 2、主要设备技术参数
配置管理系统
配置管理系统(北大软件 010 - 61137666) 配置管理系统,采用基于构件等先进思想和技术,支持软件全生命周期的资源管理需求,确保软件工作产品的完整性、可追溯性。 配置管理系统支持对软件的配置标识、变更控制、状态纪实、配置审核、产品发布管理等功能,实现核心知识产权的积累和开发成果的复用。 1.1.1 组成结构(北大软件 010 - 61137666) 配置管理系统支持建立和维护三库:开发库、受控库、产品库。 根据企业安全管理策略设定分级控制方式,支持建立多级库,并建立相关控制关系;每级可设置若干个库;配置库可集中部署或分布式部署,即多库可以部署在一台服务器上,也可以部署在单独的多个服务器上。 1. 典型的三库管理,支持独立设置产品库、受控库、开发库,如下图所示。 图表1三库结构 2. 典型的四库管理,支持独立设置部门开发库、部门受控库、所级受控库、所级产品库等,如下图所示。
图表2四级库结构配置管理各库功能描述如下:
以“三库”结构为例,系统覆盖配置管理计划、配置标识、基线建立、入库、产品交付、配置变更、配置审核等环节,其演进及控制关系如下图。 图表3 配置管理工作流程 1.1.2主要特点(北大软件010 - 61137666) 3.独立灵活的多级库配置 支持国军标要求的独立设置产品库、受控库、开发库的要求,满足对配置资源的分级控制要求,支持软件开发库、受控库和产品库三库的独立管理,实现对受控库和产品库的入库、出库、变更控制和版本管理。
系统具有三库无限级联合与分布部署特性,可根据企业管理策略建立多控制级别的配置库,设定每级配置库的数量和上下级库间的控制关系,并支持开发库、受控库和产品库的统一管理。 4.产品生存全过程管理 支持软件配置管理全研发过程的活动和产品控制,即支持“用户严格按照配置管理计划实施配置管理—基于配置库的实际状况客观报告配置状态”的全过程的活动。 5.灵活的流程定制 可根据用户实际情况定制流程及表单。 6.支持线上线下审批方式 支持配置控制表单的网上在线审批(网上流转审批)和网下脱机审批两种工作模式,两种模式可以在同一项目中由配置管理人员根据实际情况灵活选用。 7.文档管理功能 实现软件文档的全生命周期管理,包括创建、审签、归档、发布、打印、作废等,能够按照项目策划的软件文档清单和归档计划实施自动检查,并产生定期报表。 8.丰富的统计查询功能,支持过程的测量和监控 支持相关人员对配置管理状态的查询和追溯。能够为领导层的管理和决策提供准确一致的决策支持信息,包括配置项和基线提交偏差情况、基线状态、一致性关系、产品出入库状况、变更状况、问题追踪、配置记实、配置审核的等重要信息; 9.配置库资源的安全控制 1)系统采用三员管理机制,分权管理系统的用户管理、权限分配、系统操 作日志管理。 2)系统基于角色的授权机制,支持权限最小化的策略; 3)系统可采用多种数据备份机制,提高系统的数据的抗毁性。 10.支持并行开发 系统采用文件共享锁机制实现多人对相同配置资源的并行开发控制。在系统共享文件修改控制机制的基础上,采用三种配置资源锁以实现对并行开发的
OSPF快速重路由配置举例
组网需求 如图1-31所示,Router S 、Router A和Router D属于同一OSPF区域,通过OSPF协议实现网络互连。要求当Router S和Router D之间的链路出现故障时,业务可以快速切换到链路B上。 2. 组网图 图1-31 OSPF快速重路由配置举例(路由应用) 配置步骤 (1)配置各路由器接口的IP地址和OSPF协议 请按照上面组网图配置各接口的IP地址和子网掩码,具体配置过程略。 配置各路由器之间采用OSPF协议进行互连,确保Router S、Router A和Router D之间能够在网络层互通,并且各路由器之间能够借助OSPF协议实现动态路由更新。 具体配置过程略。 (2)配置OSPF快速重路由 OSPF支持快速重路由配置有两种配置方法,一种是自动计算,另一种是通过策略指定,两种方法任选一种。 方法一:使能Router S和Router D的OSPF协议的自动计算快速重路由能力 # 配置Router S。
[RouterS-ospf-1] fast-reroute auto [RouterS-ospf-1] quit # 配置Router D。
软件配置管理计划
软件配置管理计划示例 计划名国势通多媒体网络传输加速系统软件配置管理计划 项目名国势通多媒体网络传输加速系统软件 项目委托单位代表签名年月日 项目承办单位北京麦秸创想科技有限责任公司 代表签名年月日 1 引言 1.1 目的 本计划的目的在于对所开发的国势通多媒体网络传输加速系统软件规定各种必要的配置管理条款,以保证所交付的国势通多媒体网络传输加速系统软件能够满足项目委托书中规定的各种原则需求,能够满足本项目总体组制定的且经领导小组批准的软件系统需求规格说明书中规定的各项具体需求。 软件开发单位在开发本项目所属的各子系统(其中包括为本项目研制或选用的各种支持软件)时,都应该执行本计划中的有关规定,但可以根据各自的情况对本计划作适当的剪裁,以满足特定的配置管理需求。剪裁后的计划必须经总体组批准。 1.2 定义 本计划中用到的一些术语的定义按GB/T 11457 和GB/T 12504。 1.3 参考资料
◆GB/T 11457 软件工程术语 ◆GB 8566 计算机软件开发规范 ◆GB 8567 计算机软件产品开发文件编制指南 ◆GB/T 12504 计算机软件质量保证计划规范 ◆GB/T 12505 计算机软件配置管理计划规范 ◆国势通多媒体网络传输加速系统软件质量保证计划 2 管理 2.1 机构 在本软件系统整个开发期间,必须成立软件配置管理小组负责配置管理工作。软件配置管理小组属项目总体组领导,由总体组代表、软件工程小组代表、项目的专职配置管理人员、项目的专职质量保证人员以及各个子系统软件配置管理人员等方面的人员组成,由总体组代表任组长。各子系统的软件配置管理人员在业务上受软件配置管理小组领导,在行政上受子系统负责人领导。软件配置管理小组和软件配置管理人员必须检查和督促本计划的实施。各子系统的软件配置管理人员有权直接向软件配置管理小组报告子项目的软件配置管理情况。各子系统的软件配置管理人员应该根据对子项目的具体要求,制订必要的规程和规定,以确保完全遵守本计划规定的所有要求。 2.2 任务
静脉药物配置中心布局设计SICOLAB
静脉药物配置中心布局设计SICOLAB 静脉药物配置中心(pharmacy intravenous admixtureservice,PIVAS)是指:医疗机构药学部门根据医师用药医嘱,经药师审核其合理性,由经过专业培训的药士或者护士按照无菌操作要求,在洁净环境的层流工作台上对静脉用药进行集中调配,使之成为可供临床直接静脉注射的药液。它是目前医院药品管理的一项新举措,是药学服务向临床转变的切入点。某院是一所三级甲等医院,是以肿瘤和肝病为重点的大专科、大综合医院。建有床位1 000张,为确保临床静脉用药安全,有效减少环境污染,降低护士的职业风险,同时也减轻临床护士的工作压力,于2008年设立了静脉药物配置中心,并于2009年7月在7个肿瘤病区启动使用。通过药师、医生、护士的共同努力与协调下,工作进展顺利,于2010年5月在全院19个病区全面推广。到目前为止,日配置量为1 300~1 600袋,最高达2 000袋/d,合格率100%,无1例药物相互作用、配伍禁忌、调配不当、热原反应情况发生。深受医院各级医务人员及患者的欢迎。 1静脉药物配置中心的建立 1.1某院PIVAS位于医院医技楼六楼,便于药品运输和成品配送,便于配制管理和环境控制,水电等基础条件符合规定。其面积309m2,设计合理,流程顺畅。主要功能区域包括排药、贮药、充配、信息、核发、更衣、洗洁等;配有6台生物安全柜和先进的空气净化系统。无菌工作间有严密的隔离措施及消毒设备,进入工作间,必须经过两道隔离门,并安装了空调设备。工程完工后由具有检测资质的单位对净化系统进行静态检测,沉降菌、微粒、噪音、照度、换气次数、温湿度等各项指标达标后,方才投入使用。保证了洁净室的洁净度,从而确保临床用药安全。 1.2某院PIVAS的管理模式采用以药为主,由药剂科负责日常工作管理,护理部负责护理人员的配备,现有药师5名,护师13名,工友2名,为医院19个病区进行服务,每天提供约1 500袋静脉液体。药学人员主要负责审方、排药、加药、核对、药品管理等;护理人员职责为复核、冲配、帮助排药;工勤人员需及时运送药品与打扫卫生等。 1.3信息系统是实现静脉药物配制的基础,分管院长多次召集药剂科、护理部、医务处、信息科的相关人员协调工作、统一认识确定电脑程序。电脑信息系统包括处方传输、标签打印、药费支付、药品管理、咨询服务、药历生成;标签内容应包括患者基本信息、药品处方信息、配制核对信息等,是药师审核用药与记录配制过程的重要凭证。信息管理系统应设置管理权限,完善数据统计的功能,自动生成批次,实行配置全程化管理。另外还将在系统中嵌入配伍监控系统,对用药实施合理用药监控。 2静脉药物配置中心工作流程设计 2.1医生按照《处方管理办法》有关规定开具静脉用药处方,由专人将处方输入医院的信息系统中。处方可分为两类:长期处方与临时处方。病区负责按规定时间将患者次日需要静脉输液的长期处方传送至PIVAS,临时处方按照医院的相关规定和要求传入PIVAS。 2.2 PIVAS的药师接收到处方后,逐一核对患者处方信息,审核确认其正确性、合理性与完整性。对于处方存在错误的,及时与医生沟通,请其调整并签名。对于处方存在错误而医生拒绝不同意修改的,拒绝调配,并报请相关部门协调解决。 2.3经药师审核通过的处方打印成处方标签,标签上需有患者姓名、病区、床号、日期、处方组成、自动生成的编号等内容,且要有各个工序签名或盖章的空间,标签需能贴到输液瓶(袋)上。 2.4药师接到审方合格的标签,应仔细核查标签内容是否准确、完整,如有错误或不全应告知审方药师校对纠正。药师根据审核后的标签上所列药物的顺序,按照其性质、不同的用药时间,分批次将药品放置于不同颜色的容器中,并在标签上签名或盖章,按照病区、药
静脉用药配制中心各岗位职责
静脉用药配制中心各岗位职责 一、静配中心负责人岗位职责 1.负责管理静脉用药集中调配整体工作,确保工作正常开展。 2.对中心的各类工作人员进行规章制度、岗位职责、工作流程、调配工作的培训指导、考核和监督管理。 3.严格执行查对和交接班制度,检查调配过程中各个环节质量,严格把关,杜绝差错发生。 4.负责静脉用药调配中心的人员安排及考勤工作。 5.负责检查一次性物品的消毒、处理情况,进行物品表面培养、空气培养及调配间的各项监测。 6.负责静配中心与各病区的总体协调工作,发现问题及时沟通解决。 7.负责调配中心科研工作的开展。 二、药师参与临床静脉用药岗位职责 静脉用药调配中心药师应参与临床用药,主要职责任务:审核静脉用药医嘱适宜性与正确性;参与临床静脉输液的应用,协助医师正确遴选药品,指导帮助护士正确使用药品;负责与指导本中心静脉用药调配与使用有关的技术事宜。参与临床用药工作,主要有以下工作: 1.药师参与临床静脉用药岗位 应由高等学校药学专业本科毕业以上学历,并取得中级以上药学专业技术职称和有实际工作经验的人员担任,在静脉用药调配中心(室)主任领导下,负责根据科室学科发展规划,围绕科室中心工作,开展临床药学服务。 2.参与临床静脉用药岗位药师应组成专业组,分管临床各专业,选定一人担任岗位主管,负责本专业组的管理,参加质量领导小组。 3.参与临床静脉用药岗位药师除审核用药医嘱外,应规定一定时间参与临床静脉药物治疗实践,实施药学监护,参与查房、会诊、疑难危重病例讨论,参加危重患者的救治讨论,对药物治疗提出建议,提高静脉药物治疗水平。 4.实施临床治疗药物监测,设计个体化给药方案。 5.协助临床医师进行新药上市后临床观察,收集、整理、分析、反馈药物安全信息,开展药物严重不良反应监测。
基于MicroBlaze的FPGA重配置系统设计
第7卷第23期2007年12月1671—1819(2007)23—6190—03科学技术与工程 ScienceTechnologyandEngineering V01.7No.23Dec.2007 ⑥2007Sci.Tech.Engng. 基于MicroBlaze的FPGA重配置系统设计 李炜 Jl’ (电子科技大学自动化工程学院,成都610054) 摘要介绍了XilinxFPGA的配置模式和配置原理,提出一种基于MicroBlaze软核处理器的FPGA重配置系统设计方案。该方案灵活简便,具有很高的应用价值。 关键词XilinxFPGAMicroBlaze微处理器重配置 中图法分类号TN919.3;文献标识码A 基于SRAM工艺的FPGA集成度高,逻辑功能强,可无限次重复擦写,被广泛应用于现代数字系统的设计中。基于SRAM工艺的FPGA在掉电后数据会丢失,当系统重新上电时,需要对其重新配置。在系统重构或更换系统工作模式时,往往也需要对FPGA进行在线重配置,以获得更加灵活的设计和更加强大的功能。在这些过程中,如何根据系统的需求,快速高效地将配置数据写入FPGA,对FPGA进行在线重配置,是整个系统重构的关键。 在FPGA的重配置系统设计中,通过外部控制器对FPGA进行在线重配置的方案是上佳选择。在这种方案中,可以由外部控制器模拟FPGA的配置时序,并采用串行化,或者并行化的方式发送FPGA所需要的配置时钟和数据。同时,在配置过程中控制器可以监控配置进程,很好地保证在线重配置的实时陛和高效性。现基于MicroBlaze软核处理器,提出了一种灵活简便的FPGA在线重配置系统设计方案。 1XilinxFPGA配置方式及配置流程实现FPGA的数据配置方式比较多,以Xilinx公司的Virtex-4系列FPGA为例,主要有从串模式、主串模式、8位从并模式、32位从并模式、主并模式及JTAG模式这六种配置方式。这些模式是通过 2007年7月313收到 第一作者简介:李炜(1983一),男,成都电子科技大学自动化 工程学院研究生,研究方向:基于FPGA的嵌入式系统开发。E—mail:kevinway@163.corn。FPGA模式选择引脚M2、M1、M0上设定的电平组合来决定的。 Virtex-4的配置流程主要由四个阶段组成。当系统复位或上电后,配置即开始,FPGA首先清除内部配置存储器,然后采样模式选择引脚M2、M1、M0以确定配置模式,之后下载配置数据并进行校验,最后由一个Start—up过程激活FPGA,进入用户状态。在配置过程中,通过置低Virtex-4的PROG—B引脚可以重启配置过程。在FPGA清除内部配置存储器完毕后,INIT—B引脚会由低电平变高,如果通过外部向INIT_B引脚置低电平,则可以暂停FPGA的配置过程,直到INIrll一B变为高电平。在配置数据下载完毕且FPGA经过Start—up过程启动成功后,其DONE引脚将会由低电平变高。 2从串配置模式及时序 在Virex-4的配置模式中,从串配置模式是最为简便和最容易控制的,本设计就采用从串模式对Virtex-4进行重配置。在从串模式下需要使用到Virtex-4FPGA的几个相应配置管脚,其管脚功能和方向如表1所示。 在从串配置模式下,当MicroBlaze微处理器通过GPIO口输出将PROG_B引脚置为低电平后,Vir.tex-4FPGA将开始复位片内的配置逻辑,这一复位过程持续时间大约为330ns。在PROG_B输入低电平的同时,FPGA将置低INIT_B和DONE信号,表明其正处于配置过程中。片内配置逻辑复位完毕后,
静脉药物配置中心设计要求SICOLAB
静脉药物配置中心设计要求S I C O L A B Document serial number【KKGB-LBS98YT-BS8CB-BSUT-BST108】
静脉药物配置中心设计要求S I C O L A B 静脉药物配置中心(pharmacyintravenousadmixtureservices,PIVAS),是在符合GMP标准,依据药物特性设计的操作环境下,由受过培训的药学技术人员,严格按照标准操作程序,进行包括全静脉营养液、细胞毒药物和抗生素等静脉用药物的配置,为I床药物治疗与合理用药服务。 静脉药铀配置中心场地的选择和环境的要求 (一)规划选址及工艺布局 在建立静脉药物配置中心前需要对医院是实际情况进行调查,完成调研后充分考虑各项因素,经过专业的计算,就可以初步计算所需要建立的PIVAS的规模。PIVAS的建立是严格按照人流、物流和信息信息传递三个方面来设计。其中位置选择需尽量靠近病区病房,以便于管理和用药及时、方便。规划面积一般以200m2使用面积为规划起点,每增加100张床位,相应增加5m2使用面积。工艺布局要顺应配置流程,减少迂回,避免人流物流的混杂,主要区域划分为排药间、准备间、更衣室、配置间、成品间、药品周转库、办公区等,其中配置间又可根据需要分为细胞毒药物、抗生素类药物配置间、静脉营养药物配置间及其他普通药物配置间等九五医院PIVAS总面积约为200m2,处于住院病房的第一层,是由以前的中心药房改造而成,按要求设有办公区、排药准备区、成品区、抗生素及细胞毒性药物配置间、普通及肠外营养药物配置间等。 (二)环境要求 周转库做为PIVAS的药品存放基地,在保证药品质量和有效供方面应起着重要的作用。《药品管理法》及《药品经营质量管理规范》对药品存放做出规定:按照安全、方便、节约、高效的原则,正确选择仓位,合理使用仓容,“五距”适当,堆码规范、合理、整齐、牢固,无倒置现象。根据药品的性能及要求,将药品分别存放于常温库,阴凉库,冷库。对有特殊温湿度储存条件要求的药品,应设定相应的库房温湿度条件,保证药品的储存质量。 静脉药物配置中心的人员组成与分配 PIVAS由药学人员、护理人员、工人组成,隶属药剂科管理。一般1000张床位需配备药师(士)8-10名,护师12—15名,送药护工4-6名。(1)药学人员:主要从事工作有医嘱接收、审方、定批次、摆药、校对、成品检查、包装、药品管理、药学服务。(2)护理人员:其主要工作是在药师的指导下进行摆药、核对、配置、拆包、加药、工作间及用具的清洁消毒等。(3)工人:执行清洁、包装、运送等非技术工作。 尊脉药翱配置中心的工作流程与制度 工作流程:某院PIVAS的工作流程是病区医生开出医嘱由护士录入电脑,静脉给药的长期医嘱自动传输到静脉药物配置中心,而医嘱必须以成组的形式录入,以便于药师进行审方。药师对审方通过的输液,再安排批次,之后即可打印出输液卡。药师将输液卡粘贴在输液袋上,并根据输液卡进行排药,每一袋输液放一个配药篮,再由另一药师核对无误后通过传递窗进入配置间,由护士、药师(士)按药品和病区进行分类摆放。护士冲配输液后由传递窗传出,药师按病区清点核对输液数量,分别入筐,由工友送往各病区,病区护士核对数量后签收。
污水处理厂在线监测系统配置要求
污水处理厂在线监测系 统配置要求 Company number:【0089WT-8898YT-W8CCB-BUUT-202108】
X污水处理厂在线监测系统 配置内容及技术要求 一、建设内容:包括污水处理厂以下子系统 1、进、水口的COD在线监测系统各一套; 2、进、水口的氨氮在线监测系统各一套;(根据当地环保局要求可选); 3、进、水口明渠超声波流量计子系统各一套。 4、数据采集传输系统各一套; 5、进、出水口监测设备用不间断供电(UPS)各一台; 6、进、出水口仪表间安装空调各一台;(用户自备) 7、进、出水口仪表间各一间;(土建) 8、进、出水口巴歇尔槽制作各一项;(土建) 9、配套管线材料二套。 二、符合相关规范及标准 GB11914-89 《水质化学需氧量测定重铬酸盐法》 HJ/T 15-2007 《环境保护产品技术要求超声波明渠污水流量计》 HJ/T 377-2007 《环境保护产品技术要求化学需氧量(CODcr)水质在 线自动监测仪》 HJ/T 353-2007 《水污染源在线监测系统安装技术规范(试行)》 HJ/T 354-2007 《水污染源在线监测系统验收技术规范(试行)》 HJ/T 355-2007 《水污染源在线监测系统运行与考核技术规范(试 行)》
HJ/T 356-2007 《水污染源在线监测系统数据有效性判别技术规范(试 行)》 HJ/T 212 《污染源在线监控(监测)系统数据传输标准》 ZBY120-83 《工业自动化仪表工作条件温度、湿度和大气压力》GB50168-92 《电气装置安装工程电缆线路施工及验收规范》 GB50093-2002《自动化仪表工程施工及验收规范》 三、采用设备技术要求及技术参数 1、仪器类型: ⑴进、出水口COD监测子系统要求采用重铬酸钾消解法,即重铬酸钾、硫酸银、浓硫酸等在消解池中消解氧化水中的有机物和还原性物质,比色法测定剩余的氧化剂,计算出COD值,在满足该方法基础上采用了能克服传统工艺的种种弊端的先进工艺和技术。 ⑵进、出水口流量监测要求可直接安装在室外明渠测量流量,采用超声波回波测距原理,并方便用户和环保主管部门的核对检查。 ⑶数据采集传输子系统要求符合HJ/T 212-2005标准,满足山西省环保厅关于环保监测数据传输技术要求的规定,并具有可扩展多中心传输的功能,模拟量信号采集通道不少于8个。 ⑷不间断电源功率应达3000VA,停电时可延时20分钟,二套。 ⑸进水口仪表间不小于平米,巴歇尔槽符合出水流量要求。 2、主要设备技术参数 ⑴ DL2001A COD cr在线监测子系统
静脉药物配置中心的人员管理
静脉药物配置中心的人员管理 第一节人员配备 一、人员组成 静脉药物配置中心由药剂人员、护理人员、工勤人员组成。 1.药剂人员 根据《药品管理法》和《医疗机构药事管理暂行规定》“非药学技术人员不得直接从事药荆技术工作”的规定,配置中心工作中对医师医嘱或处方用药合理性的药学审核、药品管理等应由具有扎实的药学基础知识和临床用药知识的药师以上人员负责。药师负责监督、管理静脉药物配置中心,并运用其专业知识检查处方药物的配伍禁忌、相互作用及稳定性等。 从事工作内容:医嘱接收、审方、定批次、排药、校对、成品核查、包装、药品管理、药学服务。 2.护理人员 长期以来,我国医疗机构的各种临床静脉用药混合配置工作都是由护士在病区操作完成的,放护士具有熟练的药物配置技术,在静脉药物配置中心建立初期,护理人员经药学培训合格后,掌握无菌制药基本常识且熟悉医院各类药物的基本理化特性和药理作用,能严格遵守无菌操作技术,以负责加药配置操作。 从事工作内容:可在药师的指导下进行排药、核对、配置、拆包、加药、工作间及用具的清洁消毒等。 3.工勤人员 执行清洁、包装、运送等非技术工作。 二、管理模式 由于静脉药物配置中心在国内是新生事物,各家医院根据各自情况配置人员进行管理,一般由药剂科领导,护理部也同时参与管理。 1.委托型——药剂科单独管理 由药剂科全权统筹安排人员和管理。特点是:工作和谐统一,整体感、全局观
强。学科发展有前瞻性规划,但往往忽略护理人员业务的提高问题。此种模式较适用于小型静脉药物配置中心。 2.药护分管型——药剂科和护理部共同管理 药剂科、护理部分别安排各自的人员和工作。特点是:易与临床护理组沟通协调。但由于药剂科、护理部沿袭的工作方式、方法不同,看问题的角度不一致,工作中就难免产生较大的分歧,这就要求领导有较高的协调能力。 3.药剂科为主,护理部协助型 由药剂科负责日常工作管理,护理部负责护理人员的人事管理与分配。此种模式介于前两种管理模式之间,是向全方位管理模式转换前的过渡形式。 上海第二医科大学下属六家医院,它们分别为瑞金医院、仁济医院、新华医院、第九人民医院、上海儿童医学中心和宝钢医院。 ①宝钢医院、上海儿童医学中心的护理人员业务由护理部负责,其余由药剂科统筹协调和管理。 ②仁济医院护理人员编制、管理属于护理部,奖金由药剂科负责。 ③瑞金医院的护理人员编制、奖金和业务由护理部负责,配置中心的日常工作管理和协调由药剂科负责。 第二节岗位职责 一、静脉药物配置中心负责人岗位职责 1.工作职责 在科主任领导下,负责静脉药物配置中心的业务和行政管理工作。组织制定标准操作规程、管理制度等并组织实施,对静脉药物的配置质量负责。 2.具体职能 (1)根据配置中心的工作任务、要求和特点,进行科学分工,合理安排好配置中心药师、护士、工勤人员的日常工作,督促工作人员执行各项规章制度和操作规程。 (2)及时传达和贯彻院部及科主任布置的各项工作,并及时汇报配置中心内部执行情况。
VNX初始化配置工具VIA介绍和配置指南
VNX初始化配置工具VIA介绍和配置指南 VIA工具是VNX Installation Assist的简写,顾名思义就是VNX的安装配置工具,用来完成对VNX Block或者Unified存储系统进行初始化配置或者升级安装。 VIA是一个运行在笔记本上的Jave编写的图形化工具,主要用途有: ●VNX系统安装完毕后,配置Control station,Data Movers和存储系统 ●支持从Block系统升级Unified存储系统的安装 ●激活License enabler,如CIFS,NFS,Replicator,File Level Retention和SnapSure 等 对于Unified存储系统的配置安装一定要使用VIA工具,如果是单独的Block系统安装配置,可以不使用VIA工具。 对于一套完整的Unified存储系统,在完成连线和加电后,一般使用VIA,可以完成如下的配置工作。 ●设置网络参数(CS和SP有不同的网络参数设置) ●修改缺省的密码等 ●设置Data Mover ●配置远程支持,也就是ESRS,这个在中国客户这里一般很少使用 ●激活各种license ●系统的健康检查 下面是一个利用VIA进行存储系统配置的step by step例子,供大家学习使用。 1.在笔记本桌面启动VIA, 连接VIA和Control station,并配置CS网络和笔记本在同 一子网内。VIA自动搜索没有配置的VNX系统。如下图所示:
2.搜索到没有配置的VNX系统,开始配置File部分,如下图所示,配置Control station 的网络部分。 3.正确配置完毕CS后,系统给出成功提示,如下图所示:
重配置学习心得
动态部分可重配置——学习心得2008-03-0323:48 在xup v2p板子上进行动态部分可重配置开发已经有一段时间了,但是进展甚缓。而仔细回想, 发现我们大多数时间浪费了在工具的版本问题上。 ISE软件功能非常强大,然而其自身各种版本之间的兼容性却让人不敢恭维,尤其是在不常用的一 些功能上(例如动态部分可重配置)。 网上以及xilinx提供的参考设计xapp290都是基于ise的较低版本来实现的,我们最初设计却选择了ISE9.1,在实现动态部分可重配置时遇到了许多问题。 首先的问题是有关动态部分可重配置的资料太少了,想要找点参考来实现都是很困难。 其次,经过在网路上的仔细搜索,找到一些参考设计,然而直接想要按照参考设计来实现是不行的, 最大的问题在于总线宏(busmacro)不兼容。 第三,于是使用fpga editor来打开参考例子中的.nmc文件,却被告知数据被损坏,无法打开。 第四,然后想到使用fpga editor来实现自己的总线宏,于是按照总线宏(busmacro)的有关约束和定义,在fpga editor中使用TBUF来实现了一个自己设计的4bits总线宏。 第五,想要和参考例子相比较,看自己的设计是否有误。使用xdl-ncd2xdl将nmc文件转换为xdl文件,参考xdl的语法将其改为相应的设计,但是再次转化为nmc文件,通过fpga editor打开却发现有些连接被改得不像正确的。所以,我对ISE9.1版本xdl语法是否有所更新心存疑问。 第六,先不管总线宏是否设计正确,先做一个设计实现一下。按照module based的设计流程开发,按照其说明,全局资源时钟是可以不用在初始预算中进行位置约束的,但是在最后实现阶段,无论如何也过不了DRC检查。报告称全局时钟及全局逻辑1没有完全被布线。很是疑惑,global_logic1设计中似乎 并没有使用。 总之,由于软件的版本问题,我们在此耗费了很多时间。 希望对这方面有所研究的高手,给予指点。谢谢! 时间越来越紧,然而项目的进展却缓慢异常,局部动态可重配置的困难主要还停留在工具的问题上。 可以说,XILINX近年来对局部动态可重配置(Partial Dynamic Reconfiguration)是越来越重视了。这主要体现在其局部动态可重配置的开发流程以及开发工具的更新速度上。ISE6.3版本的局部动态可重配置开发流程是以XAPP290为参考设计,实现Module based和Increment based的两种开发流程,这两种开发流程对设计者来说是苛刻的,有很多限制条件,如面积约束的限制、总线宏(Bus Macro)的实现及约束、脚本文件的编译等等。8.1版本以后,XILINX提出了新的局部动态可重配置开发流程EAPR (Early Access Partial Reconfiguration),相应的推出了对应的辅助开发工具PlanAhead以及可重配置patch。 软件的更新本是无可厚非的,然而对于我们项目来说却不是什么好事。我们使用的是校园网,基本
静脉药物配置中心静脉用药混合调配操作规程
静脉药物配置中心静脉用药混合调配操作规程 一、调配操作前准备: 1、每日配液操作前需参照配液记账与停止医嘱操作规程进行记账、查找大输液医嘱和重复医嘱。每日早晨配液前打开药房门口信箱,查看是否有新医嘱,如有,按照静脉用药集中配置前准备标准操作规程执行。 2、在调配操作前30分钟,按操作规程启动洁净间和层流工作台净化系统,并确认其处于正常工作状态,操作间室温控制于18℃~26℃、湿度40%~65%、室内外压差符合规定,操作人员记录并签名; 3、接班工作人员应当先阅读交接班记录,对有关问题应当及时处理; 4、按更衣操作规程,进入洁净区操作间,首先用
蘸有75%乙醇的无纺布从上到下、从内到外擦拭层流洁净台内部的各个部位。 二、将摆好药品容器的药车推至层流洁净操作台附近相应的位置。 三、调配前的校对:调配药学技术人员应当按输液标签核对药品名称、规格、数量、有效期等的准确性和药品完好性,确认无误后,进入加药混合调配操作程序。 四调配操作程序: 1、选用适宜的一次性注射器,拆除外包装,旋转针头连接注射器,确保针尖斜面与注射器刻度处于同一方向,将注射器垂直放置于层流洁净台的内侧。 2、用75%乙醇消毒输液袋(瓶)的加药处,放置于层流洁净台的中央区域。 3、除去西林瓶盖,用75%乙醇消毒安瓿瓶颈或西
林瓶胶塞,并在层流洁净台侧壁打开安瓿,应当避免朝向高效过滤器方向打开,以防药液喷溅到高效过滤器上。 4、抽取药液时,注射器针尖斜面应当朝上,紧靠安瓿瓶颈口抽取药液,然后注入输液袋(瓶)中,轻轻摇匀。 5、溶解粉针剂,用注射器抽取适量静脉注射用溶媒,注入于粉针剂的西林瓶内,必要时可轻轻摇动(或置震荡器上)助溶,全部溶解混匀后,用同一注射器抽出药液,注入输液袋(瓶)内,轻轻摇匀。 6、调配结束后,再次核对输液标签与所用药品名称、规格、用量,准确无误后,调配操作人员在输液标签上签名或者盖签章,标注调配时间,并将调配好的成品输液和空西林瓶、安瓿与备份输液标签及其他相关信息一并放入筐内,以供检查者核对。
智能变电站二次系统配置工具
Q/GDW XXXXX—XXXX 目次 目次....................................................................................................................................................... I 前言...................................................................................................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 缩略语 (1) 5 总则 (2) 6 配置工具技术要求 (2) 7 一致性测试 (4) 附录 A 配置工具测试用例(规范性附录) (6) A.1 系统配置工具测试用例 (6) A.2 IED配置工具测试用例 (8) A.3 装置测试用例 (9) 附录 B 测试用例步骤(资料性附录) (10) B.1 SCD文件导入测试 (10) I
前言 本标准规范了智能变电站二次系统配置工具的功能,同时给出了配置工具一致性测试方法及测试用例,便于智能变电站设计、配置、调试、运行和维护。本标准的制定主要是依据DL/T 860《变电站通信网络和系统》、Q/GDW 1396《IEC 61850工程继电保护应用模型》等标准的有关规定,以及国内智能变电站二次设备设计、配置、调试、运行和维护的工程经验与相关要求。 本标准由国家电力调度控制中心提出并解释。 本标准由国家电网公司科技部归口。 本标准主要起草单位:。 本标准主要起草人:。 本标准首次发布。 本标准在执行过程中的意见或建议反馈至国家电网公司科技部。
静脉用药配置中心制度
静脉用药配置中心制度 Document number:PBGCG-0857-BTDO-0089-PTT1998
药师参与临床静脉用药管理制度 1.明确药师参与临床静脉用药岗位职责,建立健全临床药学工作制度,充分发挥药学服务在医院临床工作中的作用,促进临床合理用药、增进人民健康。 2.参与临床静脉用药岗位药师在静脉用药调配中心室主任领导下,负责根据科室学科发展规划,围绕科室中心工作开展临床药学服务。 3.参与临床静脉用药岗位药师应组成专业组,分管临床各专业,负责深入临床,参与临床药物治疗、查房会诊、疑难、危重病例讨论,参加危重患者的救治讨论,对药物治疗提出建议。 4.根据患者病情需要,建议医师为病人做治疗药物监测,设计个体化给药方案。 5.协助临床医师进行新药上市后临床观察、收集、整理、分析、反馈药物安全信息,开展严重药品不良反应监测。 6.直接向临床医师、护士、患者以及其他有关人员提供与静脉用药有关的信息与咨询服务,宣传合理用药知识,指导患者安全用药。 7.参与临床静脉用药岗位药师负责与病区的协调工作,深入临床了解药物应用情况,对药物临床应用提出改进意见,听取病区和患者意见,改善静脉用药调配工作,并及时反馈。 8.开展处方点评,药物评价和药物利用研究。 人员培训及考核制度
人力资源是静脉用药调配中心室最重要的资源.人员知识水平、道德修养、实际工作能力直接影响工作质量。为进一步提升服务质量,提高工作人员素质,规范对工作人员岗前培训,在岗考核及继续教育,特制定本制度。 1.静脉用药调配中心室全体人员在上岗前均应进行专业技术、岗位操作、卫生知识的学习培训和考核.经过培训并通过考核合格后,方可上岗。 2.静脉用药调配中心(室)全体人员均应学习《药品管理法》,《药品生产质量管理规范》和《处方管理办法》等法律法规。 3.培训应根据技术职务和工作岗位区别进行,各岗位工作人员要通过各自岗位的操作培训。 4.考核后.考卷装人个人技术档案.考核成绩填人人员技术档案表。 5.组织参加专题学术会,不断提高工作人员的业务水平。 6.工作人员每年至少进行一次年度考核,考核内容包括:专业理论基础、PⅣAS知识、管理制度、操作技术、工作质量、工作成绩等。考核应根据技术职务和工作岗位区别进行。 7.每年根据考核成绩的优劣对工作人员进行适当调整。考核不合格者,一般人员调离所在工作岗位,管理人员调离管理岗位。 安全与环保工作制度 1.静脉用药调配中心室的全体工作人员均应增强安全与环保意识,积极消除安全隐患,保障安全生产。 2.全体工作人员均应注意人员防护,做到: (1)在静脉用药调配中心室的任何时间内都应按规定穿戴与静脉用药调配相关的专用工作服装,且应按规定定期清洗。 (2)用于洁净区的服装和普通工作服应分开存放在有标志的指定柜中。 (3)私人衣服和物品放在普通更衣柜中,不准带人缓冲区和洁净区。 (4)在静脉用药调配中心室内严禁吸烟,不准带人食品或在室内饮食。
RRC连接重配置
5.3.5 RRC 连接重配置 5.3.5.1 概述 该过程 旨在修改RRC连接,例如,建立/修改/释放RB,进行切换,准备/修改/释放测量。作为该过程的部分,NAS 专用信息可以从E-UTRAN 传输给UE。 5.3.5.2 初始化 E-UTRAN对处在RRC_CONNECTED状态下的UE发起RRC连接重配置过程,如下: - 仅当AS安全已经被激活时,才包含mobilityControlInfo,并建立SRB2以及至少一个DRB,且不会挂起; - 仅当AS安全已经被激活时,才包含RB的建立(与SRB1不同,在RRC连接建立时就建立过了); 5.3.5.3 UE接收不包含mobilityControlInfo的RRCConnectionReconfiguration 如果RRCConnectionReconfiguration消息不包含mobilityControlInformation,且UE遵守消息中的配置,UE应: 1> 如果在RRC 连接重建立成功完成之后,如果这是第一条RRCConnectionReconfiguration消息,那么: 2> 如果存在,为SRB2和所有DRB重建PDCP; 2> 如果存在,为SRB2和所有DRB重建PDCP; 2> 如果RRCConnectionReconfiguration消息中包含fullConfig: 3> 根据5.3.5.8,执行无线配置流程; 2> 如果RRCConnectionReconfiguration消息包含radioResourceConfiguration: 3> 执行5.3.10节中描述的无线资源配置过程; 2> 如果存在,恢复挂起的SRB2和所有DRB; 注1:PDCP重建成功后,处理RB,如重传没有确认的PDCP SDU(以及关联的状态报告)如TS 36.323 [8]中有描述。 1> 否则: 2> 如果RRCConnectionReconfiguration消息包括radioResourceConfigDedicated: 3> 执行5.3.10节所述的无线资源配置过程; 注2:如果RRCConnectionReconfiguration消息包含除SRB1外的RB建立,UE可立即使用这些RB,无需等待SecurityModeComplete消息的确认。 1> 如果RRCConnectionReconfiguration消息包含dedicatedInfoNASList: 2> 按其顺序将dedicatedInfoNASList每个元素发送给上层; 1> 如果RRCConnectionReconfiguration消息包含measConfig: 2> 根据5.5.2节描述进行测量配置过程; 1>如果RRCConnectionReconfiguration消息包含reportProximityConfig: 2> 根据接收到的reportProximityConfig执行邻近指示; 1> 使用新的配置,将RRCConnectionReconfigurationComplete消息提交给底层传输,此过程结束。