《身份认证、统一用户与授权管理系统设计.docx》由会员分享,可在线阅读,更多相关《身份认证、统一用户与授权管理系统设计.docx(32页珍藏版)》请在三一办公上搜索。
1、身份认证与统一用户、授权管理系统技术建议书吉大正元信息技术股份有限公司2022年12月22日目录1总体设计31.1系统设计目标31.2系统框架设计41.3系统平台部署41.4系统特性61.5产品设计列表72子模块功能说明92.1证书签发系统(CA)92.1.1结构设计102.1.2功能设计102.1.3流程设计192.1.4性能设计212.2用户属性和权限系统(UMS)222.2.1系统简介232.2.2结构设计242.2.3功能设计252.2.4身份管理集成321 总体设计1.1 系统设计目标用户只使用一张数字证书,实现对整个系统的安全的单点登录,管理各个应用系统、网络设备、主机等。这就是所
2、谓的“一卡通”。“一卡通”过程如下:用户登录统一管理终端,通过IC卡、智能卡或者USBkey等方式输入自己的数字证书,系统对用户的身份、属性、权限等进行认证和识别,识别通过后,用户就能够按照界定的权限,管理整个系统上的各个应用系统、网络设备、主机等等。1.2 系统框架设计设计框架说明:基于用户对应用安全的需求,我们构建了CA身份认证基础平台和统一用户属性和权限管理系统,整合用户原有的各个应用系统、主机、网络设备,组成一个统一、完善的应用安全认证体系。其中的CA身份认证基础平台负责对体系中的各个应用系统、主机、网络设备和管理端进行数字身份的签发和管理;统一用户属性和权限管理系统负责验证管理身份、
3、属性和权限。1.3 系统平台部署设计内容主要分为:CA认证系统、UMS用户属性和权限管理系统。下面的方案也是从这两个部分分别给予介绍的。总体结构图 部署说明1. 认证系统(完成对实体身份的签发和管理)CA Server:由一台配置了CA、LDAP的服务器IBM xSeries 3250组成。2. 用户属性和权限管理系统(完成对实体权限的签发和管理)UMS Server:由一台配置了UMS(内置RATK)的服务器IBM xSeries 3250组成。3. 统一管理终端:(通过“一卡通”登录到整个身份认证与授权管理系统,进行数字证书的管理和用户属性和权限的统一管理操作)由网内台式维护管理终端或便携
4、式维护管理终端担当。1.4 系统特性 系统透明性在身份认证与统一用户、授权管理系统的整体设计中,使用的所有的产品均实现了高度的产品化,对用户完全透明。 系统兼容性系统采用开放性设计,可以和多种产品和标准相互兼容,具体如下所示:操作系统支持:Windows、IBM AIX、HP UNIX、SUN Solaris、AS400、Linux等数据库支持:SQL Server、Oracle、IBM DB2、Sybase等目录服务器支持:SUN One LDAP、ITEC LDAP、Open LDAP、Active Directory、GALAXY(吉大正元银河目录服务器)支持密码算法:RSA、SSF33
5、、SDBI、DES、CAST、RC2、Triple-DES、自定义算法等等证书存储介质:硬盘、IC卡、USBKEY、JAVA CARD等 系统易操作性系统采用B/S服务模式,安装部署工作只需要在服务端进行,部署工作方便灵活。客户端无需安装任何客户端软件,完全基于浏览器即可完成所有的管理操作,管理终端与服务器之间采用SSL安全连接,并且采用管理员证书进行身份得确认。整体界面采用中文输出,证书业务操作简单直观。 系统易维护性系统从硬件环境以及软件环境均提供了直观简便的配置管理工具,可以随时监控设备以及软件系统的状态,同时对用户的信息进行日志和审计。 系统可部署性支持多种方式证书载体,如多个厂商的U
6、SBKey、IC 卡等,同时支持PKCS7、PKCS11 接口;通过应用安全支撑平台的方式对应用提供支撑,提供完善、高效的安全认证系统提供接口标准和规范,满足应用程序的需求,同时满足C/S 和B/S 两种应用模式;可扩充性好,可在不影响原有系统的前提下,方便地实现新业务新功能;选用的系统设计界面友好,管理流程简洁;通过系统的统一管理、分级部署,可以保证在专网网络设备或线路出现故障的情况下,不影响各节点局域网内的业务系统使用。 系统易用性 (1)支持多种业务应用,包括文件传输、文件存储、B/S应用、C/S应用,系统对用户接口采用标准的HTTP,HTPS和LDAP协议,可满足北京广播电视局各种应用
7、系统的接入。(2)采用图形化的中文管理界面,输入和输出信息支持国标汉字。操作简单,流程严谨;界面操作有相应的功能说明。对于重要操作附加警告提示功能,防止因误操作导致数据丢失或损坏。(3)提供完善的安全认证系统接口标准,满足电子商务、电子政务、办公系统和所有应用程序开发者的需要,使相关的业务系统或程序可以方便地使用发放的证书。程序开发者可以根据接口标准,自行开发业务系统安全模块。 系统可靠性系统中的各个模块在可靠性上支持以下的机制:l 支持双机热备CA、UMS、目录服务、认证网关系统等相关系统可以支持双机热备方式实现可靠性保障。在进行双机热备设定时不需要对应用系统进行任何修改。l 负载均衡CA、
8、UMS、目录服务、认证网关系统等相关系统在设计时就考虑了支持负载均衡的部署方式,因此在进行负载均衡部署时软件系统并不需要作相应修改。1.5 产品设计列表自有软硬件产品功能项产品名称数量备注CASRQ05 CA一套含LDAPUMSJIT UMS3.0一套包含RA和认证支撑系统服务器IBM xSeries 3250(4365)两套产品选择依据吉大正元的相关产品在经过近六年的发展和大规模的市场应用后已经在信息安全市场上处于绝对领先的地位,其特点总结如下:体系结构标准部署灵活:吉大正元产品完全是基于J2EE结构开发的,在系统部署时不需要单独部署应用服务软件并且系统部署灵活方面,根据不同的需求可以组合成
9、包括CA、CA+RA、CA+KMC、CA+OCSP、CA+KMC+RA、IAS、IAS+STS、ACS+STS等几种部署方式,并且这些组合方式在一定程度上可以灵活的转换,其转换方式只需通过配置而不必做程序的修改。管理方便:所有的管理界面都是基于B/S方式,用户无需在客户端单独安装客户端程序。系统的安装和初始化简单方便,无需专业人士操作安装。系统配置灵活,可以方便的对系统当前的系统配置作修改和调整。兼容性强:支持主流的操作系统、数据库、目录服务器和加密设备,其移植性强已经在某客户组织的在SUN实验室测试得到证明。在证书标准方面,SRQ05所颁发的数字证书已经在许多应用和设备(SSL设备、VPN设
10、备等)中得到使用,这些足以说明SRQ05在证书兼容性上的优势。安全性高:系统内部有着严格的访问控制和权限管理,系统与系统之间是采用的安全传输协议来保证数据通信安全的。另外在数据层面所有的敏感数据都通过加密机制来保证,特敏感的信息例如CA私钥都是在密码设备中产生和使用的。对于那些敏感的业务操作我们系统采用的M OF N机制来保证。交易和管理会话Session都有严格的周期管理可以抵抗攻击。性能高效:吉大正元的产品在设计的时候就考虑到性能问题,其中采用了很多提高性能的办法,比如数据库连接池、线程池、加密机使用方面等技术。此外,系统在横向上可以支持负载均衡设备来提高自身的服务性能。产品占有率高:现在
11、国内使用吉大证书CA产品的项目达到100多个,其市场占有率达到70%以上。2 子模块功能说明为了说明我们提供产品的相关细节,下面的章节我们给出CA身份认证系统和UMS用户属性和权限管理系统的详细介绍。以下为几个产品的通用特点概括如下:l 产品都是基于J2EE开发,都是基于B/S的管理界面。l 产品各模块相互独立并且彼此之间有严格的身份认证、访问控制和通信加密保护处理并且有防攻击处理。l 产品都是以数据为中心,并且敏感数据(加密用的密钥等)都是以加密方式来处理的,并且有数据备份和恢复的功能。l 所有的密钥处理(加密、解密、产生)都是在密码设备中完成的。l 管理员的权限都是相互制约的,不同的职责对
12、应不同的人员来操作和维护。l 管理交易以及业务交易的会话Session都是有相应的周期管理以防止相关的攻击。l 系统有严格的监控机制,并能被监控平台所统一监控。l 应用安全支撑系统可以轻松的将安全服务提供给应用系统并不对应用系统做代码的改动。2.1 证书签发系统(CA) CA 是整个PKI体系的核心部件,肩负着证书和CRL签发与相关管理职责,并提供安全策略制定和与其他CA相互交叉的功能。下面我们给出CA系统的详细介绍。2.1.1 结构设计以CA Server为中心,由管理员使用浏览器通过Web方式对CA Server进行管理。LDAP是支持所有符合LDAPv3标准的目录服务器以及CA Serv
13、er的后台数据库。CA的业务主要是完成对证书的签发和相关管理功能,另外为了提高自身系统的可管理性也提供了相关的管理功能,这些功能主要分为证书管理、模版管理、权限管理、审计管理、CRL管理和其他管理。2.1.2 功能设计 证书服务功能u 证书格式和种类:全面支持X.509 V3证书,并且支持所有的X.509 V3标准定义的扩展。提供证书定制模板功能,允许管理员自定义证书类型、结构、需要的扩展域,另外系统支持汉字证书。支持X.509 V2证书撤销列表(CRL)。并采用CRL分布点技术提高应用查询性能。CA可以根据不同的用户需求签发不同应用的证书,证书的各种不同应用是证书策略的一部分,体现在X.50
14、9 V3 的扩展域上面,应用软件通过解释这些证书扩展域来实现各种应用,从而实现证书的管理策略。CA系统支持双中心即CA中心和密钥管理中心,双证书即签名证书和加密证书,并且在我们的系统中,签名证书和加密证书是可以独立签发、管理、废止并能实现有单证书到双证书的转变功能。在系统中可以签发个人证书、WEB证书、管理员证书、VPN证书、服务器证书、代码签名证书、windows域控制器证书、windows域用户证书还可以扩展支持WAP证书、STK证书等。u 证书存储介质:CA认证系统所签发的证书支持以下存放介质:l 硬盘、软盘l IC 卡l 智能卡片方式l JAVA CARDl USBKEYu 证书管理功
15、能证书服务功能主要包括证书的申请、签发、下载、发布、申请并下载、更新、更新并下载、冻结、解冻、授权码更新、证书查询、证书实体查询等操作。 证书申请系统提供基于WEB的申请方式,简单易用。 证书签发对于通过审核的证书申请,CA可以为其签发证书。并将签发成功的证书发布到对应的LDAP上。其中签发时所使用的系统密钥是被硬件加密设备进行保护的,同时签发的算法实现也是在设备中完成的。 证书下载系统提供基于WEB的下载方式,支持多种加密算法和密钥长度,支持文件、智能卡、USB-KEY等多种存储介质。 证书发布对于签发好的证书,系统进行自动发布,发布方式可以为文件方式或者目录服务方式。 证书申请并下载这样的
16、功能比较适合管理员为用户集中制证的情况。 证书更新用户可以根据需要对正在使用中的证书进行有效期的更改,更新成功后,用户可以获得相应的新证书下载凭证。 证书更新并下载将证书更新和下载更新后的证书两项操作一步完成的功能。 证书查询用户可以通过查询条件查询出符合条件的证书信息,支持精确查询和模糊查询,系统可以对某种类型的证书进行单独查询。 证书下载凭证更新对于一些申请成功但是没有下载的证书,为了保障其业务的安全性,CA可以为用户重新生成下载凭证,用户使用新的下载凭证进行证书下载。 证书注销用户可以对一些不再使用或是使用过程中出现问题的证书进行注销操作,注销后的证书不可恢复。 证书冻结用户可以对短期内
17、不会使用的证书进行冻结操作,在冻结期间内证书被限制不可使用。 证书解冻证书解冻操作是相对于证书冻结操作的,此操作将冻结的证书解冻,使得证书可以重新使用。 证书实体查询系统支持证书实体查询功能,用户可以通过查询条件可以查询出符合条件的证书,并可将证书保存到本地。 CRL服务功能CA在CRL管理上主要涉及到CRL产生、CRL发布、CRL查询几项功能,为了支持高速的CRL查询,系统在发布CRL时采用分布点技术进行发部和查询。l CRL产生CA建设完成后,在证书的使用过程中由于种种原因,数字证书会出现失效的情况,CA通过生成证书注销列表的方式实现数字证书的注销。该身份认证系统支持如下两种数字证书注销列
18、表的生成方式:1) 自动方式:系统提供制定证书注销列表生成频率、有效期等策略的功能,用户可以方便的实现证书注销列表生成方式的灵活制定;2) 手动方式:系统提供数字证书注销列表的手动生成功能,该功能主要针对用户需要对某些数字证书实现注销,立刻需要生成数字证书注销列表的管理需求;l CRL发布CA可以根据发布策略定期签发标准格式的证书注销列表,发布方式可以为文件方式或者目录服务方式,发布周期可以由管理员灵活定制。CA使用LDAP进行CRL发布。证书注销列表的发布采用分布点策略,系统 CRL的签发支持分布点技术,使得可以快速定位到某一分布点,查找或下载该分布点CRL。l CRL更新系统提供了对CRL
19、有效期的定义,有效期最短可达小时量级。管理员可以根据实际要求对有效期进行灵活的调整,实现证书注销列表的及时更新。针对特殊情况,系统提供证书注销列表的手动更新,满足及时注销数字证书的管理需求。l CRL在线查询CA通过目录服务器系统发布CRL,因此用户可以通过在线方式实现对CRL的查询。系统的设计采用CRL分布点技术,当用户选择下载CRL进行查询时,下载的信息并不是CACRL的全部,只是其中的一个子集,这样就大大地减少了信息量,提高了查询的速度,降低了网络的负担。系统的CRL分布点技术支持IIS、Netscape、Apache等主流Web Server在线获取CRL的功能。系统同时支持CRL全集
20、的发布,应用系统在下载一次后即可以验证所有的数字是否有效,减少了针对每个证书需要下载CRL的开销,有效的提高了系统的业务处理速度。 管理服务功能系统的初始化产生CA根证书的申请,并与根CA系统进行交互将根证书加载到系统中,并与密钥管理中心建立可信的传输机制。数据库管理设定所使用数据库的类型和相关服务地址与端口,并能设定数据库访问的策略。目录服务器管理设定所使用目录服务系统的类型和相关服务地址与端口,并在需要时对目录数据进行回复,其回复的数据来源与数据库。系统运行纠错管理系统支持系统运行纠错模式,在这种情况下系统可以很好的定位可能出现的问题,以方便运行管理人员对系统进行快速排错。这个功能是行业内
21、其他CA所不俱备的。加密设备使用管理可以对加密设备进行相关密钥对的选择、密钥长度的设定、加密设备物理地址的指定等相关操作。审计管理员管理审计管理员是在系统初始化的过程中产生的,不受限与其他任何的管理员,在一定条件下可以通过审计管理员管理对审计员的相关情况进行调整。交叉认证管理可以为其他机构的CA证书签发交叉认证证书,并能同时提交自己的CA证书的申请信息,以完成彼此交叉互签以达到交叉认证的效果。归档业务日志管理本系统通过归档业务日志管理方便的可以对系统中的日志信息实施归档,提供定期归档和自定义归档两种方式,用户可以根据实际情况进行配置。 权限服务功能CA作为认证体系的核心,系统的安全管理成为了建
22、设CA需要重点考虑的问题。本系统的设计严格采用了分权管理的思想,通过以超级管理员管理系统管理员、再由系统管理员向下授权的方式,容易实现对管理员的控制和管理及事件追踪系统中管理员可分为五类,分别是系统管理员、超级管理员、审计管理员、业务管理员和业务操作员。其中审计业务和其他业务要实现严格的分权管理,审计业务的管理员和其他业务管理员分别由不同的人员担任,两个管理员的产生过程相互独立。l 系统管理员系统管理员负责对整个系统核心服务器的管理操作,享有如下权限:安装系统初始化系统启动服务停止服务更改系统配置更新超级管理员/审计管理员证书l 超级管理员超级管理员由系统管理员在系统初始化时任命,可以根据系统
23、的需要任命下级管理员,该管理员的权限包括:创建业务管理员设置业务管理员权限注销业务管理员l 审计管理员审计管理员由系统管理员在系统初始化时任命,通过对系统日志的查看完成对系统的审计,该管理员的权限包括:查询审计日志归档审计日志l 业务管理员业务管理员负责CA的业务管理,权限包括:创建业务操作员设置业务操作员权限注销业务操作员l 业务操作员业务操作员根据自己的权限,进行CA的业务操作,权限包括:申请用户证书更新用户证书冻结/解冻用户证书注销用户证书在CA本身设计上,对管理员采用基于数字证书的身份验证机制,管理员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理,管理员间权限分离,某一
24、管理员只管理某一部分功能并受其他管理员监督。每个管理员的权限信息都包含两部分内容,一部分是管理角色权限,指定管理员可以进行哪些操作,在CA中,系统包含的管理角色有:证书管理角色、模板管理角色、权限管理角色和审计管理角色。一个管理员可以被授予一个或多个管理角色,以分权的形式对整个系统进行有效管理。另一部分是管理范围权限,指定管理员可以对哪些证书进行管理。l 授权管理员权限只有未被授权的管理员证书才可以进行“授权管理员权限”操作。授权包含管理角色权限和管理范围权限两方面的授权。当一个管理员证书进行“授权管理员权限”操作成功后,就会成为系统的正式管理员,他的权限可以通过“修改管理员权限”操作进行修改
25、。l 修改管理员权限只有被成功授权的管理员才能进行“修改管理员权限”操作。修改管理员权限时,可以修改管理员的管理角色权限,也可以修改管理员的管理范围权限。l 查询管理员权限进行“查询管理员权限”操作查到的管理员包括已经成功授权的管理员和未被授权的管理员。 模板服务功能为了满足各种业务系统对于数字证书格式的特殊要求,系统抽取数字证书格式的共性和特性的地方,提供数字证书模板自定义的功能,实现证书扩展域名称、扩展域值的自定义,达到数字证书格式的“所见即所得”的效果。证书模板功能的提供,极大的增强了签发不同类型证书的灵活性。系统内置有十几种标准证书模板及标准证书扩展域,能够满足大多数的证书签发需求。系
26、统同时支持自定义证书模板和自定义扩展域,用户可以灵活定制各种证书模板,满足业务系统的需求。 l 证书模板管理证书模板用于定义证书的类别,每一个证书模板定义这一类证书的共同特点。包括证书的有效期限制、密钥类型和密钥长度、是否需要发布及发布的方式以及证书中该包含的扩展域及其扩展域的值等信息。系统围绕证书模板,立足于用户的角度,提供如下的功能:浏览模板、添加模板、修改模板、删除模板、注销模板l 自定义扩展域管理用户可以根据自己的实际需要自定义证书扩展域,并应用于证书模板之中。如在数字证书的扩展域中增加用户身份证号码等个性化的需求。该功能的业务系统界面如下所示: 审计服务功能根据整个系统分权设计管理的
27、思想,只有具有审计管理角色的管理员才能进行审计管理操作,审计管理包括查询业务日志和统计证书。系统支持查询业务日志功能,提供丰富的查询条件与简单易用的查询界面,支持多条件复合查询,查询结果支持按业务操作时间排序。具体包括系统运行日志、系统管理日志、帐户日志、证书日志和证书撤销列表日志,对于事件来源和产生者还应提供详细记录,提供多种灵活的报表统计形式。CA的审计管理中有统计报表功能,可以根据操作日志等信息为用户生成满足用户需要的各类统计报表。如整个CA 发证量的统计或RA 发证量的统计等。l 证书统计功能审计终端提供系统在某段时期内总共签发或注销证书的数量的统计服务。管理员只要输入下列条件:统计的
28、起始日期、统计的截止日期、待统计的证书类型、签发/注销系统就会提供文字和图表的统计结果,并可以将结果打印输出或以文件形式保存。l RA统计功能CA提供CA下属的各级RA申请和注销证书的数量的统计服务。管理员只要输入下列条件:RA的编号、申请和/或注销、起始日期、截止日期、待统计的证书类型系统就会提供文字和图表的统计结果,并可以将结果打印输出或以文件形式保存。2.1.3 流程设计CA系统中提供很的业务功能因此也就对应很多的业务流程,为了能说明主要的流程我们只对CA初始化,管理员产生、证书申请和下载几个流程作详细的描述而其他的流程我们提供系统的操作手册,里面有详细的介绍。1. CA初始化初始化。a
29、) 产生相关的管理员和操作员b) 有管理员授权操作员来产生密钥对c) 配置密钥的配置信息配置相关第三方系统信息(数据库地址的)启动控制台选择5 系统初始化功能系统将开始初始化初始化成功后系统会产生系统管理员一个,下面的操作有这个管理员来完成权限的分级和下发2. 管理员产生系统初始化完成后系统会产生系统管理员一个在终端系统中安装此管理员证书使用系统管理员证书登录系统选择证书申请功能并使用系统内证书模版完成证书申请后使用权限管理功能完成对不同管理员的权限设定使用新产生的管理员证书即可完成对应职责范围内的业务操作。3. 证书申请和下载业务管理员登录证书管理界面选择证书申请界面并选择对应的证书模版填写
30、对应的证书申请信息并提交系统完成申请信息的处理处理成功后返回证书下载凭证(参考号和授权码)业务管理员将证书下载凭证返回给用户用户自己登录证书下载界面提交自己的证书下载凭证系统完成对证书下载凭证的验证并验证通过的用户信息将完成对应的证书签发用户将自己的证书加载到自己制定的证书存储设备中系统根据证书发布策略将证书发布到指定的位置上。2.1.4 性能设计系统在根密钥长度上支持1024、2048、4096位,为了保证安全认证系统的安全性和系统运行的效率,建议根密钥长度为2048位,采用硬件密码设备来保证密钥的安全,采用断电的方式离线运行。 性能参考在SUN V60 (2*3G CPU/2GB RAM/
31、Windows2003)的平台下CA系统可以达到的性能如下所示:运行时间(秒)并发用户数成功次数失败次数签发效率(张/秒)成功率CPU使用率6005016993028.181100%97%600 10016763027.525100%97%60020024228039.653100%97%60050039637064.661100%97%600100037985061.266100%97%根据上面实际的测试数据我们可以推算出,在此硬件平台下,CA系统的系统签发能力描述如下:证书签发效率100张/秒证书签发量20万/日证书签发成功率100%证书签发量100万本次投标,CA系统的硬件设备的档次远高
32、于以上测试数据所使用的设备,性能数据远远超过招标书的要求。 容量计算证书量取决于存储空间,每张证书数据库容量4K,我们按照10万张证书计算,10万张证书占用400M数据库存储空间,操作系统占用的存储空间3GB,以及其他软件占用空间2GB。签发系统的数据库服务器在10万证书量时系统所占用的数据容量为:400M+3GB+2GB6GB。考虑到系统需要保证200%的数据冗余,磁盘空间大约是需要12G。我们在签发系统的选用硬件平台配置的磁盘存储容量远远可以满足实际的系统需求,保证签发证书的容量在系统许可证的允许下,达到100万张。 目录服务系统目录服务系统的整体性能描述如下: 支持负载均衡技术,系统具备
33、可伸缩配置及动态平滑扩展能力; 可以根据业务量大小动态增减服务单元调整系统业务能力; 可以有效的抵御各种常见攻击行为; 支持多并发处理; 可以根据某一查询设置特殊的索引以进行优化; 提供对系统性能优化的办法及参数; 支持百万级以上的条目数据; 查询精确查询(100万条目):单线程响应速度不高于1ms,50线程响应速度不高于20ms模糊查询(100万条目):单线程响应速度不高于130ms,50线程响应速度不高于300ms吞吐量:100万条目:= 2500次/秒 (50线程精确查询)2.2 用户属性和权限系统(UMS)UMS系统提供用户管理、资源管理、角色管理、权限管理、系统管理、属性证书签发等相
34、关业务功能,集成RAToolKit签发证书这些功能在整个身份认证与授权管理系统中的作用如下图所示:2.2.1 系统简介用户属性和权限管理系统UMS(Unified User Management System)采用集中管理模式,可对用户的数字身份、群体划分、属性内容等身份数据进行动态建模,兼顾身份管理的统一性与灵活性,既满足用户、组织机构等身份数据的全局统一管理模式,又能够满足局部定义的需要。UMS是应用系统整合的必要基础,能够为上层的应用提供统一的、分布式的、自动化、大用户量、基于策略的身份管理服务,并可与身份认证系统、权限管理系统、安全审计管等系统集成,为用户提供跨域单点登录服务,可极大简
35、化应用系统中用户管理、身份认证等系统的开发与维护,提高系统的安全性,减少管理成本和降低复杂性,能够解决用户信息的不一致性,改善用户体验。能够与PKI/PMI系统集成为用户颁发身份证书和属性证书,并将身份信息存贮在身份库中,供其它系统使用。RAToolKit是数字证书注册审批系统,是CA的证书发放、管理等业务的延伸。它负责所有证书申请者的信息录入、审核等工作,同时对发放的证书进行管理。2.2.2 结构设计系统由存储服务器,管理服务器,和管理终端三层结构,结合同步器和接口组件两个部件构成。存储服务采用目录服务器和数据库,存放用户信息和用户组织结构树。管理端采用WEB的信息,通过浏览器管理服务系统,
36、同时提供接口和同步组件与其他系统交互,和属性证书服务链接,为用户属性信息生成属性证书。2.2.3 功能设计用户属性和权限管理系统采取“分散到集中”的设计思路,即把原来分散于各个业务系统中的用户管理系统统一采用一个系统来管理,各个业务系统不在设置用户管理系统,各个业务系统中的人员信息以用户属性和权限管理系统为依据,通过用户属性和权限管理系统提供的接口实现业务系统和用户属性和权限管理系统之间信息的同步。基于用户属性和权限管理系统实现对人员的管理,抓住了信息化的根本要素:人,通过对人员各种公共属性、私有属性的管理,可以方便、快速、清晰的实现集中的人员管理。用户属性和权限管理系统提供符合“属地管理”的
37、人员管理模式的部署方式,通过灵活、完善的授权机制,对人员信息进行统一管理,各个节点的管理员只能维护本节点的人员数据,实现与人员管理模式相吻合的统一用户管理。2.2.3.1 证书注册功能UMS中集成的RAToolKit拥有RA证书注册的相关功能: 证书管理u 证书申请u 证书冻结u 证书解冻u 证书更新u 证书注销u 证书下载凭证(授权码)更新对一些申请成功但是没有下载的证书,RATK可以为用户重新生成下载凭证(授权码),用户使用新的下载凭证进行证书下载。u 证书制证证书申请通过审核之后,用户可以通过下载凭证安全的下载证书。系统提供基于WEB的下载方式,支持多种加密算法和密钥长度,支持文件、智能
38、卡、USB-KEY等多种存储介质。u 证书查询u 用户信息维护系统提供按照用户自定义的格式产生用户信息,并可以对用户信息进行添加、删除、修改等维护方式。u 企业信息维护系统提供按照用户自定义的格式产生企业信息,并可以对企业信息进行添加、删除、修改等维护方式。 证书审核u 证书申请审核u 证书冻结审核u 证书解冻审核u 证书更新审核u 证书注销审核u 证书下载凭证(授权码)更新审核 权限管理在RATK系统中,角色可以根据客户的需要自己订制。通过基于角色的用户管理,可以实现更加灵活的权限管理。角色的创建是通过分配一组指定的权限点完成的,权限点是完成系统功能的一组操作。只有对权限点具有一定操作权限的
39、用户,才能进行RA的各种证书业务操作。对于RA中的每个证书业务员都指定了相应的业务类型(模板类型)。 系统管理u 模板管理RATK定时与CA模板保持同步,下载CA中模板信息,也可以通过手动方式进行与CA的模板同步操作。对RATK中的模板统一配置审核策略,即RATK中的所有用户根据模板的不同采用不同的审核策略,并且不同的业务采取不同的审核策略。u 更新CRL信息RATK定时与CA发布的CRL信息保持同步,也可以通过手动方式进行与CA的CRL信息同步操作。获取的CRL信息,可以在RA端提供给最终用户。u 主题规则管理系统支持定义一些主题规则,通过用户信息或企业信息中的某些特定项来自动产生用户所申请
40、的证书的证书主题,免去用户掌握证书主题规则的专业性,降低用户使用系统的难度。 审计管理只有审计管理员才能进行审计管理操作,审计管理包括查询业务日志和归档日志。 查询业务日志系统支持查询业务日志功能,提供丰富的查询条件与简单易用的查询界面,支持多条件复合查询,查询结果支持按业务操作时间排序。归档业务日志系统支持对于记录的业务日志进行归档的功能,可以按时间段对日志进行手动或自动的归档操作。归档后的日志在“查询业务日志”功能中无法再被查询到。 证书统计只有审计管理员才能进行证书统计操作。系统支持证书统计功能,提供丰富的统计条件与简单易用的统计界面,包括证书签发量统计、证书月签发量统计和证书过期统计多
41、种统计功能。 批量申请和制证系统支持批量进行证书申请和制证的功能,以包含用户证书信息的XML格式的文件作为批量申请文件,进行批量证书申请,批量证书申请成功后可以对其进行批量制证的操作。2.2.3.2 用户属性和权限管理功能: 管理员管理系统设置多级多种管理员,包括超级管理员,用户管理员,代理管理员。不同的管理员按照所属管辖单位或部门不同指定管理不同范围内的用户,代理管理员可以代理管理不超出委托者的管理范围的用户。用户的管理功能可以API形式提供,可以保证用户管理功能可以方便的嵌入到应用系统中。 用户身份管理用户属性和权限管理系统提供针对用户在各个业务系统的账号管理,以应用系统为索引,提供对各个
42、业务系统中用户账号的管理,通过对账号的增加、修改、删除、冻结、启用等功能的提供,实现用户在相应业务系统中用户相应权限的变化。 用户属性管理用户自然属性管理(如:姓名、年龄、性别等)。主要包括配置、添加、删除、修改、查询、获取、查找等功能,并且用户可根据实际需要,灵活的实现用户信息项的增加、删除。用户社会属性信息管理(如:单位,部门,职务,职称,级别,岗位等)。用户社会属性信息主要指用户的社会属性或行政属性,用户社会属性一般会影响到用户可以使用的业务系统功能,即社会属性通常会参与到业务系统的访问控制过程中。主要管理功能包括配置、添加、删除、修改、查询、获取、查找等功能,并且用户可根据实际需要,灵
43、活的实现用户社会属性项的增加、删除。当用户属性发生改变时,可以方便的实现应用系统和统一用户管理中心之间用户信息的同步。 用户导入导出用户属性和权限管理系统提供相应的接口组件,通过简单的配置和编程,可以实现从目前已有的用户管理信息库批量的导入用户的自然属性、社会属性、用户的账号等信息,实现用户管理树的自动创建,通过该接口,可以实现用户信息、账号的批量导入、导出、修改。 群体管理用户被划分为个体用户和群体用户两类;个体用户即指单个的人员,群体用户是指将访问应用系统的用户按照一定的规则或条件来划分的组用户;规则群体用户的划分是通过人员的属性信息来划分的;松散群体是通过明确指定用户所属群体的方式构建的
44、;混合群体由规则群体和松散群体共同组成,即一个混合群体既可以包括通过属性划分得到的用户,也可以包括明确指定的用户。吉大正元用户属性和权限管理系统通过灵活的基于策略的群体管理方式,可以为有效的减轻用户管理的复杂度,为统一用户、授权管理系统和应用系统提供灵活、高效的授权管理能力。 系统审计自身审计功能。UMS自身具备完备的审计功能,审计信息分级管理,包括管理员日志、系统日志、操作日志、调试日志等,能够充分满足用户对审计信息的需求。连接安全审计服务器完成集中审计功能。UMS除了自身具备完备的审计信息外,通过配置还支持向应用安全支撑平台的集中审计服务提交各类用户管理日志信息,以便事后监督或审计,以实现
45、集中审计功能。 系统交互UMS产品提供多种接口组件完成增加、删除、查询、获取修改等管理用户、群体、属性等信息功能。实现JAVA类和组件、C/C+ API和COM组件,支持种平台应用系统调用。应用系统通过接口组件可以方便的管理和查询使用用户基本信息,用户属性信息,用户应用属性等各种信息。提供Java、C+等API;支持IIS、Apache、Weblogic、Websphere、Tomcat等多种web平台;提供属性证书下载、验证、解析等API;支持标准的PKI系统; 用户同步服务用户属性和权限管理系统提供适配器,通过部署适配器,各应用系统可以方便的增加、删除、修改用户管理中心的用户信息,在统一用
46、户管理中心的用户数据发生变化时各应用系统可以通过适配器获取用户信息。2.2.3.3 应用安全解决方案用户访问应用系统时,由部署在应用中的Filter插件截获用户请求,至单点登录系统做身份验证,在通过验证后,用户即可登录应用系统,之后的每次请求不必经过单点登录系统转发。客户端和服务器端的协议可以选择是否加密。如果某些系统密级较高,需要安全传输功能,B/S类型的应用系统推荐采用在原服务器上配置单向SSL(SSL配置是所有WEB服务器、应用服务器都支持的标准)。优点如下: 兼容B/S和C/S应用,可实现两种模式应用同时存在时的单点登录。 旁路方式部署,不影响业务系统性能。 可解决跨域的单点登录。应用安全解决方案示意图如下:u 功能设计对证书的验证系统可以对证书进行完整的验证,主要包括: 对证书是否被篡改做出校验; 对证书是否被信任作相应的校验; 对证书的有效期进行验证; 对证书是否撤消进行验证,系统通过配置可以自动的定时下载CA系统发布的证书注销列表实现对证书是否被注销的校验; 对证书状态进
