为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.设计思想
为实现构建针对人员帐户管理层面和使用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行使用系统级的访问控制和用户生命周期维护管理功能。
用户证书保存在USBKEY中,保证证书和私钥的安全,并满足移动办公的安全需求。
1.2.平台介绍
如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
a)集中用户管理系统:完成各系统的用户信息整合,实现用户生
命周期的集中统一管理,并建立和各使用系统的同步机制,简
化用户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:集成证书注册服务(RA)和电子密钥
(USB-Key)管理功能,实现用户证书申请、审批、核发、更
新、吊销等生命周期管理功能,支持第三方电子认证服务。
c)集中认证管理系统:实现多业务系统的统一认证,支持数字证
书、动态口令、静态口令等多种认证方式;为企业提供单点登
系统。
控制技术,实现支持多使用系统的集中、灵活的访问控制和授
权管理功能,提高管理效率。
e)集中审计管理系统:提供全方位的用户管理、证书管理、认证
操作等审计管理。
1.3.功能总体架构
总体架构图如下所示:
说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。具体包含以下主要功能模块:
◆身份认证中心
◆存储企业用户目录,完成对用户身份、角色等信息的统一管理;
◆访问策略的定制和管理;
◆用户访问的实时监控、安全审计;
◆身份认证服务
◆身份认证前置为使用系统提供安全认证服务接口,中转认证和访
问请求;
◆身份认证服务完成对用户身份的认证和角色的转换;
◆访问控制服务
密签名;
◆CA中心及数字证书网上受理系统
◆用户身份认证凭证(USB智能密钥)的制作。
1.4.平台总体部署
集中部署方式:所有模块部署在同一台服务器上,为企业提供统一信任管理服务。
2.1.技术原理
务,共享安全优势。
其原理如下:
a)每个信息资源配置一个访问代理,并为不同的代理分配不同的
数字证书,用来保证和系统服务之间的安全通信。
c)访问一个具体的信息资源时,系统服务用访问代理对应的数字
证书,把用户的身份信息机密后以数字信封的形式传递给相应
的信息资源服务器。
d)信息资源服务器在接受到数字信封后,通过访问代理,进行解
密验证,得到用户身份。根据用户身份,进行内部权限的认证。
2.2.统一身份认证
2.2.1.用户认证
统一身份管理及访问控制系统用户数据独立于各使用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识。如下图所示: