[基于PKI的数字身份管理系统.docVIP

基于PKI的数字身份管理系统 引 言 互联网已经成为人们生活中重要的沟通方式，商业交易也已经从传统方式转变为与虚拟网络方式相结合，而在通过网络进行的交易中，最重要的是交易过程的安全性，这些安全性需求包括数据的机密性、真实性、完整性、不可抵赖性。为了满足这些安全需求，国际国内科学界和产业界经过多年的研究，初步形成了一套完整的互联网安全解决方案，即目前逐步被采用的PKI技术（Public Key Infrastructure，公钥基础设施）。 众所周知，Internet是一个开放的网络环境，但开放也带来了诸多的安全问题，而PKI正是经过实践检验基本可行的安全解决方案。PKI体系结构把对称密码学和非对称密码学的科学计算理论结合在一起，解决信息网络空间中各种主体（组织、个人、设备等）身份的唯一性、真实性和合法性，它既不是电子商务和电子政务的附属物，也不是单纯的密码算法或密码产品。广义上讲，所有提供公钥加密和数字签名服务的系统，都可以叫做PKI系统，PKI的主要目的是通过自动的密钥和证书管理，为用户建立起一个安全的网络运行环境，使用户在多种应用环境下可以方便地使用数据加密和数字签名技术，从而保证网上数据的机密性、完整性和有效性。 PKI体系结构采用数字证书来管理公钥，通过第三方可信机构CA（Certificate Authority）把用户的公钥和用户其它标识信息（如名称、email、身份证号码等）捆绑在一起，从而达到在Internet上验证用户身份的目的。一个有效的PKI系统必须是安全的和透明的，因为PKI的价值就是使用户能够方便地使用加密、数字签名等安全服务，因此PKI体系必须有一套完善的、标准化的，而且能够被国际社会最终认可的标准和协议，使得符合该标准开发的各种各样的应用能够以安全、一致、可信的方式在PKI中交互，从而确保安全网络环境的完整性和易用性。 PKI产生于二十世纪八十年代，它是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。不难看出，建立以PKI为基础的安全解决方案，无论是对在Intranet上开展的无纸办公等内部业务，还是对电子支付、网上证券交易、网上购物、网上教育、网上娱乐等网络应用，都是一种安全可靠的选择。UniTrust? DIDMS? 2.0 UniTrust? DIDMS?全称为数字身份管理系统（Digital ID Management System），是UniTrust? DIDMS?是一台软硬一体机设备，系统包含两大组件：DIDMS? CA和 DIDMS?PMISSO。其中DIDMS? CA通过提供身份认证等服务，使用户能以最少的投资建立起一个可控、方便的企业信息化安全管理系统，它如同一个微型化的公网CA系统，几乎能够实现CA所提供的所有功能，包括系统初始化、系统管理、用户信息管理、证书申请信息管理、证书管理、日志管理、证书查询、CRL服务、在线证书状态查询、访问控制、用户证书介质制作等等。此外，它能够存储长达7年的证书量，推荐的证书签发量不超过1万张，能够同时支持SHECA的UniTrust SafeEngine和证书管理器接口，以进行应用开发；而DIDMS?PMISSO基于前者开发，不仅提高了系统的安全性，而且实现了对信息资源访问的集中控制，此外基于角色的权限管理模型，可提供企业极其方便的权限控制，集中的身份认证方式，则使用户只要登录一次，就可以访问所有的授权服务，DIDMS? PMISSO 包括DIDMS-SSO Client客户端软件和DIDMS? PMI服务器。 DIDMS? CA组件 DIDMS? CA架构图 应用系统 SafeEngine 证书管理器 DIDMS? 系统初始化/系统管理/用户信息和证书管理/用户自服务 证书编码 OCSP/CRL等编码 签发证书/黑名单/OCSP等 用户信息 证书信息管理 编码 加解密 数据库 DIDMS? CA功能模块说明： 系统初始化 执行系统初始化功能，包括删除所有数据，生成缺省的系统管理员、系统操作员；生成或指定根证书；更改系统IP地址等。 系统管理 系统管理功能要求必须超过半数系统管理员的PIN卡验证通过后才能访问，本模块中主要提供了系统管理员管理、操作员管理、根证书服务、系统服务管理、系统日志管理、License管理、数据备份、系统恢复等十二项功能。其中日志管理记录有每次的操作，其主要作用有二：一