基于pKI的數(shù)字身份管理系統(tǒng)

基于pKI的數(shù)字身份管理系統(tǒng)

基于PK!的UniTruslt.DIDMS'""2.0UniTrustDIDMSTM全稱為數(shù)字身份管理系統(tǒng)(DigitalIDManagementSystem).是上海市電子商務(wù)安全證書(shū)管理中心有限公司在實(shí)際運(yùn)作過(guò)程中根據(jù)用戶需求開(kāi)發(fā)的一套企業(yè)級(jí)的PKI解決方案套件。UniTrustDIDMSTM是一臺(tái)軟硬一體機(jī)設(shè)備系統(tǒng)包含兩大組件:DIDMSTMCA和DIDMSTMPMI&SSO。其中DIDMSTMCA通過(guò)提供身份認(rèn)證等服務(wù)使用戶能以最少的投資建立起一個(gè)可控、方便的企業(yè)信息化安全管理系統(tǒng).它如同一個(gè)微型化的公網(wǎng)CA系統(tǒng)，幾乎能夠?qū)崿F(xiàn)CA所提供的所有功能，包括系統(tǒng)初始化、系統(tǒng)管理、用戶信息管理、證書(shū)申請(qǐng)信息管理、證書(shū)管理、日志管理、證書(shū)查詢、CRL服務(wù)、在線證書(shū)狀態(tài)查詢、訪問(wèn)控制、用戶證書(shū)介質(zhì)制作等等。此外，它能夠存儲(chǔ)長(zhǎng)達(dá)7年的證書(shū)量推薦的證書(shū)簽發(fā)量不超過(guò)1萬(wàn)張.能夠同時(shí)支持SHECA的UniTrustSafeEngine和證書(shū)管理器接口以進(jìn)行應(yīng)用開(kāi)發(fā);而DIDMSTMPMI&SSO基于前者開(kāi)發(fā)不僅提高了系統(tǒng)的安全性.而且實(shí)現(xiàn)了對(duì)信息資源訪問(wèn)的集中控制。此外基于角色的權(quán)限管理模型可提供企業(yè)極其方便的權(quán)限控制集中的身份認(rèn)證方式則使用戶只要登錄一次，就可以訪l’ed所有的授權(quán)服務(wù)。DIDMSTMPMI&SSO包括DIDMS-SSOClient客戶端軟件和DIDMSTMPMI服務(wù)器。DIDNtmCA組件DIDMSTmCA功能模塊說(shuō)明:系統(tǒng)初始化執(zhí)行系統(tǒng)初始化功能.包括刪除所有數(shù)據(jù).生成缺省的系統(tǒng)管理員、系統(tǒng)操作員;生成或指定根證書(shū);更改系統(tǒng)IP地址等。系統(tǒng)管理系統(tǒng)管理功能要求必須超過(guò)半數(shù)系統(tǒng)管理員的PIN卡驗(yàn)證通過(guò)后才能訪問(wèn)本模塊中主要提供了系統(tǒng)管理員管理、操作員管理、根證書(shū)服務(wù)、系統(tǒng)服務(wù)管理、系統(tǒng)日志管理、License管理、數(shù)據(jù)備份、系統(tǒng)恢復(fù)等十二項(xiàng)功能。其中日志管理記錄有每次的操作其主要作用有二:一是用于事后故障清查的系統(tǒng)維護(hù)方面二是事故處理.為系統(tǒng)安全審計(jì)提供現(xiàn)場(chǎng)記錄數(shù)據(jù).是安全審計(jì)與追蹤的基礎(chǔ)。用戶信息和證書(shū)管理用戶信息管理部分主要提供對(duì)用戶信息的增加、修改和刪除操作.系統(tǒng)對(duì)于操作的用戶劃分為單位、單位部門(mén)、單位個(gè)人以及服務(wù)器四種類型。證書(shū)管理部分則包括了對(duì)證書(shū)的申請(qǐng)、簽發(fā)、審核、作廢、暫停、恢復(fù)等操作功能.并且提供對(duì)證書(shū)的介質(zhì)初始化、用戶證書(shū)信息的統(tǒng)計(jì)以及用戶歷史信息查詢等操作。其中證書(shū)簽發(fā)支持離線或在線簽發(fā)兩種方式前者的密鑰對(duì)由DIDMSTM自行生成后者密鑰對(duì)則在客戶端由瀏覽器或其他PKI軟件生成;對(duì)用戶歷史信息的查詢采用了模糊查詢方式，用戶可以輸入一定的條目如Email或姓名等就能獲得相應(yīng)的證書(shū)列表。用戶自服務(wù)本模塊可以提供系統(tǒng)用戶本身對(duì)其證書(shū)的相應(yīng)操作。包括:用戶信息的增添、修改;證書(shū)的申請(qǐng)、申請(qǐng)的修改和刪除;證書(shū)下載、根證書(shū)下載證書(shū)更新;證書(shū)廢除;在線證書(shū)狀態(tài)查詢證書(shū)吊銷名單(CRL)查詢等。其中證書(shū)更新中，當(dāng)用戶證書(shū)即將過(guò)期時(shí)系統(tǒng)會(huì)自動(dòng)提醒客戶進(jìn)行證書(shū)更新(email提醒)此外系統(tǒng)會(huì)定期發(fā)布最新的CRL。DIDMSPMI&SSO組件基于用戶角色的權(quán)限管理(PMI)企業(yè)在管理自己的信息系統(tǒng)中常常需要為每個(gè)用戶劃定其使用的職能范圍。多系統(tǒng)、多用戶、多個(gè)角色群體..，這些約束條件如何合理的分配、設(shè)定并有機(jī)的結(jié)合起來(lái)，成為企業(yè)能否有效、安全的進(jìn)行信息化建設(shè)的重要因素。采取利用角色對(duì)系統(tǒng)功能進(jìn)行組織分類的方式可使系統(tǒng)管理員對(duì)系統(tǒng)權(quán)限的分配和管理都以角色為基礎(chǔ)，能夠極大的減輕其管理負(fù)擔(dān)。DIDMSEMI&SSO特性DIDMSPMI&SSO采取了基于角色的權(quán)限管理模型使得企業(yè)對(duì)權(quán)限的管理更加合理、方便，并且實(shí)現(xiàn)了對(duì)信息資源訪問(wèn)的集中控制。通過(guò)該系統(tǒng)，用戶只需要進(jìn)行一次登錄就可以訪問(wèn)所有的授權(quán)服務(wù)。此外系統(tǒng)還采用了集中的身份認(rèn)證方式。如果用戶通過(guò)了對(duì)DIDMSPMI&SSO的登錄，則系統(tǒng)就能夠?yàn)橛脩籼峁┳詣?dòng)登錄到應(yīng)用系統(tǒng)的功能。由于整個(gè)設(shè)計(jì)采用的是基于PKI的加密和驗(yàn)證技術(shù)系統(tǒng)因此具備極高的安全性。用戶首先用自己的證書(shū)登錄客戶端的代理程序當(dāng)通過(guò)瀏覽器訪問(wèn)一個(gè)URL時(shí)瀏覽器把請(qǐng)求發(fā)給客戶端的代理程序代理程序把用戶的簽名信息加密發(fā)送給DIDMSPMI&SSO服務(wù)器，服務(wù)器首先驗(yàn)證該用戶的簽名信息，證明用戶的身份獲取他的角色然后查找權(quán)限分配庫(kù)，如果所請(qǐng)求的資源(URL)已經(jīng)分配給用戶所屬的角色則表示該用戶有訪問(wèn)該資源的權(quán)限服務(wù)器通過(guò)分析該資源的來(lái)源向提供該資源的WEBServer或WEB應(yīng)用服務(wù)請(qǐng)求資源獲取資源后DIDMSPMI&SSO服務(wù)器把結(jié)果通過(guò)客戶端的代理程序返回給瀏覽器用戶就可以看到自己所請(qǐng)求的資源了。所有的權(quán)限控制都在DIDMSPMI&SSO服務(wù)器上實(shí)現(xiàn)實(shí)現(xiàn)了統(tǒng)一的集中的訪問(wèn)控制同時(shí)，在DIDMSSSOClient的幫助下.系統(tǒng)還實(shí)現(xiàn)了用戶的單點(diǎn)登錄。DIDMSPMI&SSO功能說(shuō)明:資源定義和管理主要執(zhí)行資源(URL)目錄信息管理的工作，包括資源(URL)信息的增加、修改、刪除。角色定義和管理主要執(zhí)行系統(tǒng)中的角色信息管理的工作包括角色信息的增加、修改、刪除。訪問(wèn)權(quán)限分配主要執(zhí)行對(duì)角色分配該角色所能訪問(wèn)的資源(URL)的工作，包括給資源(URL)設(shè)定能訪問(wèn)該資源的角色和移除能訪問(wèn)該資源(URL)的角色等幾種操作方式。用戶角色管理主要執(zhí)行為用戶指派角色和取消用戶角色的工作單點(diǎn)登錄提供客戶端的單點(diǎn)登錄代理程