基于pKI的数字身份管理系统的论文.docVIP

　　基于pKI的数字身份管理系统的论文 　　基于pk!的unitruslt. didms2.0 unitrust didmstm全称为数字身份管理系统(digitalid management system).是上海市电子商务安全证书管理中心有限公司在实际运作过程中根据用户需求开发的一套企业级的pki解决方案套件。 unitrust didmstm是一台软硬一体机设备系统包含两大组件:didmstmca和didmstmpmisso。其中didmstmca通过提供身份认证等服务使用户能以最少的投资建立起一个可控、方便的企业信息化安全管理系统.它如同一个微型化的公网ca系统，几乎能够实现ca所提供的所有功能，包括系统初始化、系统管理、用户信息管理、证书申请信息管理、证书管理、日志管理、证书查询、crl服务、在线证书状态查询、访问控制、用户证书介质制作等等。此外，它能够存储长达7年的证书量推荐的证书签发量不超过1万张.能够同时支持sheca的unitrust safeengine和证书管理器接口以进行应用开发;而didmstmpmisso基于前者开发不仅提高了系统的安全性.而且实现了对信息资源访问的集中控制。此外基于角色的权限管理模型可提供企业极其方便的权限控制集中的身份认证方式则使用户只要登录一次，就可以访l’ed所有的授权服务。didmstm pmisso包括didms-sso client客户端软件和didmstm pmi服务器。. 　　　　　　　 　　didntm ca组件 didmstm ca功能模块说明: 系统初始化 执行系统初始化功能.包括删除所有数据.生成缺省的系统管理员、系统操作员;生成或指定根证书;更改系统ip地址等。 系统管理 系统管理功能要求必须超过半数系统管理员的pin卡验证通过后才能访问本模块中主要提供了系统管理员管理、操作员管理、根证书服务、系统服务管理、系统日志管理、license管理、数据备份、系统恢复等十二项功能。其中日志管理记录有每次的操作其主要作用有二:一是用于事后故障清查的系统维护方面二是事故处理.为系统安全审计提供现场记录数据.是安全审计与追踪的基础。 用户信息和证书管理 　　用户信息管理部分主要提供对用户信息的增加、修改和删除操作.系统对于操作的用户划分为单位、单位部门、单位个人以及服务器四种类型。证书管理部分则包括了对证书的申请、签发、审核、作废、暂停、恢复等操作功能.并且提供对证书的介质初始化、用户证书信息的统计以及用户历史信息查询等操作。 其中证书签发支持离线或在线签发两种方式前者的密钥对由didmstm自行生成后者密钥对则在客户端由浏览器或其他pki软件生成;对用户历史信息的查询采用了模糊查询方式，用户可以输入一定的条目如email或姓名等就能获得相应的证书列表。 用户自服务 本模块可以提供系统用户本身对其证书的相应操作。包括:用户信息的增添、修改;证书的申请、申请的修改和删除;证书下载、根证书下载证书更新;证书废除;在线证书状态查询证书吊销名单(crl)查询等。其中证书更新中，当用户证书即将过期时系统会自动提醒客户进行证书更新(email提醒)此外系统会定期发布最新的crl。 　　didms pmisso组件 基于用户角色的权限管理(pmi) 企业在管理自己的信息系统中常常需要为每个用户划定其使用的职能范围。多系统、多用户、多个角色群体..，这些约束条件如何合理的分配、设定并有机的结合起来，成为企业能否有效、安全的进行信息化建设的重要因素。采取利用角色对系统功能进行组织分类的方式可使系统管理员对系统权限的分配和管理都以角色为基础，能够极大的减轻其管理负担。 didms emisso特性 didms pmisso采取了基于角色的权限管理模型使得企业对权限的管理更加合理、方便，并且实现了对信息资源访问的集中控制。通过该系统，用户只需要进行一次登录就可以访问所有的授权服务。此外系统还采用了集中的身份认证方式。如果用户通过了对didms pmisso的登录，则系统就能够为用户提供自动登录到应用系统的功能。由于整个设计采用的是基于pki 的加密和验证技术系统因此具备极高的安全性。 　　　　　　　　 　　图中是didms pmisso的逻辑结构，比如:某个组织中有n个s pmisso服务器，服务器首先验证该用户的签名信息，证明用户的身份获取他的角色然后查找权限分配库，如果所请求的资源(url)已经分配给用户所属的角色则表示该用户有访问该资源的权限服务器通过分析该资源的来源向提供该资源的s pmisso服务器把结果通过客户端的代理程序返回给浏览器用户就可以看到自己所请求的资源了。 所有的权限控制都在didms pmisso服务器上实现实现了统一的集中的访问