信息系统认证与授权管理方案设计.docVIP

 中国石油信息系统认证与授权管理 方案设计 中国石油制订信息安全政策与标准项目组 2011年10月5日 目录 前 言 6 1 概述 7 1.1 项目背景 7 1.2 项目目的 8 2 现状概述 9 2.1 身份管理 9 2.1.1 现状分析与改进推荐 9 2.1.2 解决方案 15 2.2 认证管理 15 2.2.1 现状概述 15 2.2.2 解决方案 17 2.3 访问管理 17 2.3.1 现状概述 17 2.3.2 解决方案 18 3 总体架构 19 3.1 认证与授权在信息技术总体架构中所处的位置 19 3.2 认证与授权管理设计原则 19 3.3 认证与授权管理的概念模型 21 3.3.1 中国石油认证与授权管理需求概述 21 3.3.2 认证与授权管理概念模型 22 3.4 总体架构 26 4 目录服务与身份管理 27 4.1 概述 27 4.2 集成设计 28 4.2.1 概述 28 4.2.2 集成的内容 29 4.2.3 集成的模式 32 4.2.4 数据流设计 33 4.3 数据设计 35 4.3.1 概述 35 4.3.2 组织和组织单元对象 37 4.3.3 人员对象 38 4.3.4 其它对象 39 4.3.5 附：Schema设计介绍 39 4.4 逻辑设计 41 4.4.1 概述 41 4.4.2 后缀选择 42 4.4.3 目录分支结构 43 4.4.4 条目RDN选择 46 4.5 物理设计 47 4.5.1 概述 47 4.5.2 数据划分 48 4.5.3 目录数据库的物理分布 49 4.6 复制设计 50 4.6.1 概述 50 4.6.2 复制的内容 51 4.6.3 复制的模式 51 4.6.4 复制的频度 53 4.7 安全设计 54 4.7.1 概述 54 4.7.2 密码政策 55 4.7.3 访问控制 56 4.7.4 加密 57 4.7.5 审计跟踪 57 5 认证管理 57 5.1 概述 57 5.2 PKI设计 58 5.2.1 概述 58 5.2.2 密钥的生成及存储 59 5.2.3 证书的生成 60 5.2.4 证书的合法性验证 61 5.2.5 交叉认证 62 5.2.6 证书政策 62 5.2.7 PKI实施策略 63 5.3 多认证体系 65 6 访问管理 66 6.1 概述 66 6.2 对桌面资源的访问管理 67 6.3 对Web资源的访问管理 67 6.3.1 访问者描述 69 6.3.2 资源描述 69 6.3.3 规则描述 70 6.4 对C/S应用的访问管理 71 7 产品技术分析 71 7.1 认证与授权管理产品分类 71 7.1.1 目录服务 72 7.1.2 身份管理 72 7.1.3 认证管理 73 7.1.4 访问管理 74 7.2 认证与授权产品市场分析 74 7.2.1 目录服务 74 7.2.2 身份管理 76 7.2.3 认证管理 77 7.2.4 访问管理 78 7.3 认证和授权管理产品供应商简要分析 80 7.3.1 IBM 80 7.3.2 Microsoft 81 7.3.3 Sun 81 7.3.4 Novell 82 7.3.5 CA 83 7.3.6 PKI供应商 83 8 路标规划 84 8.1 实施风险分析 84 8.1.1 风险分析 84 8.1.2 风险评估 87 8.2 分阶段路标规划 88 8.2.1 阶段定义 88 8.2.2 实施路标 91 8.3 第一阶段实施计划 91 8.3.1 第一阶段实现的功能 91 8.3.2 第一阶段技术架构 92 8.3.3 项目计划 92 8.3.4 所需资源 97 8.3.5 投资估算 97 9 附：认证与授权技术概述 98 9.1 目录服务技术概述 98 9.1.1 目录服务及发展简介 98 9.1.2 LDAP的工作过程 98 9.1.3 LDAP模型 99 9.2 认证管理技术概述 103 9.2.1 认证方式 103 9.2.2 PKI技术简介 107 9.2.3 国内PKI标准化现状 113 9.3 访问管理技术概述 114 9.3.1 基于角色、基于政策的访问管理 114 9.3.2 X.509 PMI简介 114 9.3.3 SAML简介 114 前 言 中国石油天然气股份有限公司（以下简称“中国石油”）认证和授权系统设计由三部分组成： 1、现状报告 分析中国石油认证与授权的现状及存在的问题，为下一步方案设计提供参考。 2、需求分析报告 对中国石油认证与授权管理建设进行分析和展望，并提供可行的建设思路。 3、方案设计 提出中国石油认证与授权管理的总体技术架构，进行认证和授权产品的市场分析，并给出相应的路标规划和实施计划。 本报告