身份认证、统一用户与授权管理系统设计.docx
《身份认证、统一用户与授权管理系统设计.docx》由会员分享,可在线阅读,更多相关《身份认证、统一用户与授权管理系统设计.docx(32页珍藏版)》请在三一办公上搜索。
1、身份认证与统一用户、授权管理系统技术建议书吉大正元信息技术股份有限公司2022年12月22日目录1总体设计31.1系统设计目标31.2系统框架设计41.3系统平台部署41.4系统特性61.5产品设计列表72子模块功能说明92.1证书签发系统(CA)92.1.1结构设计102.1.2功能设计102.1.3流程设计192.1.4性能设计212.2用户属性和权限系统(UMS)222.2.1系统简介232.2.2结构设计242.2.3功能设计252.2.4身份管理集成321 总体设计1.1 系统设计目标用户只使用一张数字证书,实现对整个系统的安全的单点登录,管理各个应用系统、网络设备、主机等。这就是所
2、谓的“一卡通”。“一卡通”过程如下:用户登录统一管理终端,通过IC卡、智能卡或者USBkey等方式输入自己的数字证书,系统对用户的身份、属性、权限等进行认证和识别,识别通过后,用户就能够按照界定的权限,管理整个系统上的各个应用系统、网络设备、主机等等。1.2 系统框架设计设计框架说明:基于用户对应用安全的需求,我们构建了CA身份认证基础平台和统一用户属性和权限管理系统,整合用户原有的各个应用系统、主机、网络设备,组成一个统一、完善的应用安全认证体系。其中的CA身份认证基础平台负责对体系中的各个应用系统、主机、网络设备和管理端进行数字身份的签发和管理;统一用户属性和权限管理系统负责验证管理身份、
3、属性和权限。1.3 系统平台部署设计内容主要分为:CA认证系统、UMS用户属性和权限管理系统。下面的方案也是从这两个部分分别给予介绍的。总体结构图 部署说明1. 认证系统(完成对实体身份的签发和管理)CA Server:由一台配置了CA、LDAP的服务器IBM xSeries 3250组成。2. 用户属性和权限管理系统(完成对实体权限的签发和管理)UMS Server:由一台配置了UMS(内置RATK)的服务器IBM xSeries 3250组成。3. 统一管理终端:(通过“一卡通”登录到整个身份认证与授权管理系统,进行数字证书的管理和用户属性和权限的统一管理操作)由网内台式维护管理终端或便携
4、式维护管理终端担当。1.4 系统特性 系统透明性在身份认证与统一用户、授权管理系统的整体设计中,使用的所有的产品均实现了高度的产品化,对用户完全透明。 系统兼容性系统采用开放性设计,可以和多种产品和标准相互兼容,具体如下所示:操作系统支持:Windows、IBM AIX、HP UNIX、SUN Solaris、AS400、Linux等数据库支持:SQL Server、Oracle、IBM DB2、Sybase等目录服务器支持:SUN One LDAP、ITEC LDAP、Open LDAP、Active Directory、GALAXY(吉大正元银河目录服务器)支持密码算法:RSA、SSF33
5、、SDBI、DES、CAST、RC2、Triple-DES、自定义算法等等证书存储介质:硬盘、IC卡、USBKEY、JAVA CARD等 系统易操作性系统采用B/S服务模式,安装部署工作只需要在服务端进行,部署工作方便灵活。客户端无需安装任何客户端软件,完全基于浏览器即可完成所有的管理操作,管理终端与服务器之间采用SSL安全连接,并且采用管理员证书进行身份得确认。整体界面采用中文输出,证书业务操作简单直观。 系统易维护性系统从硬件环境以及软件环境均提供了直观简便的配置管理工具,可以随时监控设备以及软件系统的状态,同时对用户的信息进行日志和审计。 系统可部署性支持多种方式证书载体,如多个厂商的U
6、SBKey、IC 卡等,同时支持PKCS7、PKCS11 接口;通过应用安全支撑平台的方式对应用提供支撑,提供完善、高效的安全认证系统提供接口标准和规范,满足应用程序的需求,同时满足C/S 和B/S 两种应用模式;可扩充性好,可在不影响原有系统的前提下,方便地实现新业务新功能;选用的系统设计界面友好,管理流程简洁;通过系统的统一管理、分级部署,可以保证在专网网络设备或线路出现故障的情况下,不影响各节点局域网内的业务系统使用。 系统易用性 (1)支持多种业务应用,包括文件传输、文件存储、B/S应用、C/S应用,系统对用户接口采用标准的HTTP,HTPS和LDAP协议,可满足北京广播电视局各种应用
7、系统的接入。(2)采用图形化的中文管理界面,输入和输出信息支持国标汉字。操作简单,流程严谨;界面操作有相应的功能说明。对于重要操作附加警告提示功能,防止因误操作导致数据丢失或损坏。(3)提供完善的安全认证系统接口标准,满足电子商务、电子政务、办公系统和所有应用程序开发者的需要,使相关的业务系统或程序可以方便地使用发放的证书。程序开发者可以根据接口标准,自行开发业务系统安全模块。 系统可靠性系统中的各个模块在可靠性上支持以下的机制:l 支持双机热备CA、UMS、目录服务、认证网关系统等相关系统可以支持双机热备方式实现可靠性保障。在进行双机热备设定时不需要对应用系统进行任何修改。l 负载均衡CA、
8、UMS、目录服务、认证网关系统等相关系统在设计时就考虑了支持负载均衡的部署方式,因此在进行负载均衡部署时软件系统并不需要作相应修改。1.5 产品设计列表自有软硬件产品功能项产品名称数量备注CASRQ05 CA一套含LDAPUMSJIT UMS3.0一套包含RA和认证支撑系统服务器IBM xSeries 3250(4365)两套产品选择依据吉大正元的相关产品在经过近六年的发展和大规模的市场应用后已经在信息安全市场上处于绝对领先的地位,其特点总结如下:体系结构标准部署灵活:吉大正元产品完全是基于J2EE结构开发的,在系统部署时不需要单独部署应用服务软件并且系统部署灵活方面,根据不同的需求可以组合成
9、包括CA、CA+RA、CA+KMC、CA+OCSP、CA+KMC+RA、IAS、IAS+STS、ACS+STS等几种部署方式,并且这些组合方式在一定程度上可以灵活的转换,其转换方式只需通过配置而不必做程序的修改。管理方便:所有的管理界面都是基于B/S方式,用户无需在客户端单独安装客户端程序。系统的安装和初始化简单方便,无需专业人士操作安装。系统配置灵活,可以方便的对系统当前的系统配置作修改和调整。兼容性强:支持主流的操作系统、数据库、目录服务器和加密设备,其移植性强已经在某客户组织的在SUN实验室测试得到证明。在证书标准方面,SRQ05所颁发的数字证书已经在许多应用和设备(SSL设备、VPN设
10、备等)中得到使用,这些足以说明SRQ05在证书兼容性上的优势。安全性高:系统内部有着严格的访问控制和权限管理,系统与系统之间是采用的安全传输协议来保证数据通信安全的。另外在数据层面所有的敏感数据都通过加密机制来保证,特敏感的信息例如CA私钥都是在密码设备中产生和使用的。对于那些敏感的业务操作我们系统采用的M OF N机制来保证。交易和管理会话Session都有严格的周期管理可以抵抗攻击。性能高效:吉大正元的产品在设计的时候就考虑到性能问题,其中采用了很多提高性能的办法,比如数据库连接池、线程池、加密机使用方面等技术。此外,系统在横向上可以支持负载均衡设备来提高自身的服务性能。产品占有率高:现在
11、国内使用吉大证书CA产品的项目达到100多个,其市场占有率达到70%以上。2 子模块功能说明为了说明我们提供产品的相关细节,下面的章节我们给出CA身份认证系统和UMS用户属性和权限管理系统的详细介绍。以下为几个产品的通用特点概括如下:l 产品都是基于J2EE开发,都是基于B/S的管理界面。l 产品各模块相互独立并且彼此之间有严格的身份认证、访问控制和通信加密保护处理并且有防攻击处理。l 产品都是以数据为中心,并且敏感数据(加密用的密钥等)都是以加密方式来处理的,并且有数据备份和恢复的功能。l 所有的密钥处理(加密、解密、产生)都是在密码设备中完成的。l 管理员的权限都是相互制约的,不同的职责对
12、应不同的人员来操作和维护。l 管理交易以及业务交易的会话Session都是有相应的周期管理以防止相关的攻击。l 系统有严格的监控机制,并能被监控平台所统一监控。l 应用安全支撑系统可以轻松的将安全服务提供给应用系统并不对应用系统做代码的改动。2.1 证书签发系统(CA) CA 是整个PKI体系的核心部件,肩负着证书和CRL签发与相关管理职责,并提供安全策略制定和与其他CA相互交叉的功能。下面我们给出CA系统的详细介绍。2.1.1 结构设计以CA Server为中心,由管理员使用浏览器通过Web方式对CA Server进行管理。LDAP是支持所有符合LDAPv3标准的目录服务器以及CA Serv
13、er的后台数据库。CA的业务主要是完成对证书的签发和相关管理功能,另外为了提高自身系统的可管理性也提供了相关的管理功能,这些功能主要分为证书管理、模版管理、权限管理、审计管理、CRL管理和其他管理。2.1.2 功能设计 证书服务功能u 证书格式和种类:全面支持X.509 V3证书,并且支持所有的X.509 V3标准定义的扩展。提供证书定制模板功能,允许管理员自定义证书类型、结构、需要的扩展域,另外系统支持汉字证书。支持X.509 V2证书撤销列表(CRL)。并采用CRL分布点技术提高应用查询性能。CA可以根据不同的用户需求签发不同应用的证书,证书的各种不同应用是证书策略的一部分,体现在X.50
14、9 V3 的扩展域上面,应用软件通过解释这些证书扩展域来实现各种应用,从而实现证书的管理策略。CA系统支持双中心即CA中心和密钥管理中心,双证书即签名证书和加密证书,并且在我们的系统中,签名证书和加密证书是可以独立签发、管理、废止并能实现有单证书到双证书的转变功能。在系统中可以签发个人证书、WEB证书、管理员证书、VPN证书、服务器证书、代码签名证书、windows域控制器证书、windows域用户证书还可以扩展支持WAP证书、STK证书等。u 证书存储介质:CA认证系统所签发的证书支持以下存放介质:l 硬盘、软盘l IC 卡l 智能卡片方式l JAVA CARDl USBKEYu 证书管理功
15、能证书服务功能主要包括证书的申请、签发、下载、发布、申请并下载、更新、更新并下载、冻结、解冻、授权码更新、证书查询、证书实体查询等操作。 证书申请系统提供基于WEB的申请方式,简单易用。 证书签发对于通过审核的证书申请,CA可以为其签发证书。并将签发成功的证书发布到对应的LDAP上。其中签发时所使用的系统密钥是被硬件加密设备进行保护的,同时签发的算法实现也是在设备中完成的。 证书下载系统提供基于WEB的下载方式,支持多种加密算法和密钥长度,支持文件、智能卡、USB-KEY等多种存储介质。 证书发布对于签发好的证书,系统进行自动发布,发布方式可以为文件方式或者目录服务方式。 证书申请并下载这样的
16、功能比较适合管理员为用户集中制证的情况。 证书更新用户可以根据需要对正在使用中的证书进行有效期的更改,更新成功后,用户可以获得相应的新证书下载凭证。 证书更新并下载将证书更新和下载更新后的证书两项操作一步完成的功能。 证书查询用户可以通过查询条件查询出符合条件的证书信息,支持精确查询和模糊查询,系统可以对某种类型的证书进行单独查询。 证书下载凭证更新对于一些申请成功但是没有下载的证书,为了保障其业务的安全性,CA可以为用户重新生成下载凭证,用户使用新的下载凭证进行证书下载。 证书注销用户可以对一些不再使用或是使用过程中出现问题的证书进行注销操作,注销后的证书不可恢复。 证书冻结用户可以对短期内
17、不会使用的证书进行冻结操作,在冻结期间内证书被限制不可使用。 证书解冻证书解冻操作是相对于证书冻结操作的,此操作将冻结的证书解冻,使得证书可以重新使用。 证书实体查询系统支持证书实体查询功能,用户可以通过查询条件可以查询出符合条件的证书,并可将证书保存到本地。 CRL服务功能CA在CRL管理上主要涉及到CRL产生、CRL发布、CRL查询几项功能,为了支持高速的CRL查询,系统在发布CRL时采用分布点技术进行发部和查询。l CRL产生CA建设完成后,在证书的使用过程中由于种种原因,数字证书会出现失效的情况,CA通过生成证书注销列表的方式实现数字证书的注销。该身份认证系统支持如下两种数字证书注销列
18、表的生成方式:1) 自动方式:系统提供制定证书注销列表生成频率、有效期等策略的功能,用户可以方便的实现证书注销列表生成方式的灵活制定;2) 手动方式:系统提供数字证书注销列表的手动生成功能,该功能主要针对用户需要对某些数字证书实现注销,立刻需要生成数字证书注销列表的管理需求;l CRL发布CA可以根据发布策略定期签发标准格式的证书注销列表,发布方式可以为文件方式或者目录服务方式,发布周期可以由管理员灵活定制。CA使用LDAP进行CRL发布。证书注销列表的发布采用分布点策略,系统 CRL的签发支持分布点技术,使得可以快速定位到某一分布点,查找或下载该分布点CRL。l CRL更新系统提供了对CRL
19、有效期的定义,有效期最短可达小时量级。管理员可以根据实际要求对有效期进行灵活的调整,实现证书注销列表的及时更新。针对特殊情况,系统提供证书注销列表的手动更新,满足及时注销数字证书的管理需求。l CRL在线查询CA通过目录服务器系统发布CRL,因此用户可以通过在线方式实现对CRL的查询。系统的设计采用CRL分布点技术,当用户选择下载CRL进行查询时,下载的信息并不是CACRL的全部,只是其中的一个子集,这样就大大地减少了信息量,提高了查询的速度,降低了网络的负担。系统的CRL分布点技术支持IIS、Netscape、Apache等主流Web Server在线获取CRL的功能。系统同时支持CRL全集
20、的发布,应用系统在下载一次后即可以验证所有的数字是否有效,减少了针对每个证书需要下载CRL的开销,有效的提高了系统的业务处理速度。 管理服务功能系统的初始化产生CA根证书的申请,并与根CA系统进行交互将根证书加载到系统中,并与密钥管理中心建立可信的传输机制。数据库管理设定所使用数据库的类型和相关服务地址与端口,并能设定数据库访问的策略。目录服务器管理设定所使用目录服务系统的类型和相关服务地址与端口,并在需要时对目录数据进行回复,其回复的数据来源与数据库。系统运行纠错管理系统支持系统运行纠错模式,在这种情况下系统可以很好的定位可能出现的问题,以方便运行管理人员对系统进行快速排错。这个功能是行业内
21、其他CA所不俱备的。加密设备使用管理可以对加密设备进行相关密钥对的选择、密钥长度的设定、加密设备物理地址的指定等相关操作。审计管理员管理审计管理员是在系统初始化的过程中产生的,不受限与其他任何的管理员,在一定条件下可以通过审计管理员管理对审计员的相关情况进行调整。交叉认证管理可以为其他机构的CA证书签发交叉认证证书,并能同时提交自己的CA证书的申请信息,以完成彼此交叉互签以达到交叉认证的效果。归档业务日志管理本系统通过归档业务日志管理方便的可以对系统中的日志信息实施归档,提供定期归档和自定义归档两种方式,用户可以根据实际情况进行配置。 权限服务功能CA作为认证体系的核心,系统的安全管理成为了建
22、设CA需要重点考虑的问题。本系统的设计严格采用了分权管理的思想,通过以超级管理员管理系统管理员、再由系统管理员向下授权的方式,容易实现对管理员的控制和管理及事件追踪系统中管理员可分为五类,分别是系统管理员、超级管理员、审计管理员、业务管理员和业务操作员。其中审计业务和其他业务要实现严格的分权管理,审计业务的管理员和其他业务管理员分别由不同的人员担任,两个管理员的产生过程相互独立。l 系统管理员系统管理员负责对整个系统核心服务器的管理操作,享有如下权限:安装系统初始化系统启动服务停止服务更改系统配置更新超级管理员/审计管理员证书l 超级管理员超级管理员由系统管理员在系统初始化时任命,可以根据系统
23、的需要任命下级管理员,该管理员的权限包括:创建业务管理员设置业务管理员权限注销业务管理员l 审计管理员审计管理员由系统管理员在系统初始化时任命,通过对系统日志的查看完成对系统的审计,该管理员的权限包括:查询审计日志归档审计日志l 业务管理员业务管理员负责CA的业务管理,权限包括:创建业务操作员设置业务操作员权限注销业务操作员l 业务操作员业务操作员根据自己的权限,进行CA的业务操作,权限包括:申请用户证书更新用户证书冻结/解冻用户证书注销用户证书在CA本身设计上,对管理员采用基于数字证书的身份验证机制,管理员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理,管理员间权限分离,某一
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 身份 认证 统一 用户 授权 管理 系统 设计
链接地址:https://www.31ppt.com/p-1865755.html