附件天然气与石油.DOCVIP

身份管理与认证系统在企业的实施与应用 蔡宏宇1 ，李 楠2 （1.大庆石化公司信息管理部，黑龙江 大庆 163714；2.大庆石化公司信息技术中心，黑龙江 大庆 163714） 摘要：身份管理与认证系统能够提升信息系统安全管控能力，确保网上信息安全利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术 图1 身份管理与认证功能结构 1.1 构建PKI体系 公共密钥体系PKI（Public Key Infrastructure）是数字证书认证管理的基础，PKI对用户进行身份验证所需数字证书的制作、签发、发布、撤销等主要功能，PKI的功能模型见图2。 图2 公共密钥体系（PKI）功能模型 图2中PKI的主要由6部分组成。 （1）认证中心 (CA:Certificate Authority)——实现了PKI 的核心功能，如证书签发、证书生命周期管理等； （2）注册中心(RA:Register Authority)——RA负责接受并审批客户申请，并将正式请求发送给CA中心； （3）密钥管理中心（KMC:Key Management Center）——在集中生成用户密钥对时安全管理用户私钥； （4）密码模块（Cypto Module）——提供安全高效的加解密、签名等密码操作； （5）证书有效性检查模块——向统一认证子系统以及应用数字证书的信息系统提供准实时的证书有效性查询服务； （6）统一身份存储子系统——公共密钥体系使用统一身份存储子系统存储用户证书信息以及证书撤销列表。 按照集中式数字认证中心（CA）和注册中心（RA）、分布式证书有效性查询（OCSP）和分散式数字证书发放代理点的模式建设PKI体系。通过数字证书信任体系，签发和吊销数字证书，从而提供强认证支撑服务；通过RA，建立数字证书发放代理点，对信息系统用户进行身份信息的确认与核实，为其制作发放USBKEY数字证书，并提供持续的证书管理与支持服务，见图3。 图3 PKI体系功能结构 1.2 集中管理用户身份 基于视图实现信息系统用户身份信息的集中管理，提供统一的用户身份生命周期管理、完整的管理审批工作流、委派管理和用户自助服务。 （1）对用户的帐号申请、帐号创建、帐号推送、访问控制和帐号注销过程进行全程管理。 （2）建立可定制的电子审批流程和基于角色的分层管理方式。灵活的电子化审批流程设置，可实现为各业务信息系统根据自身实际需要创建审批流程的功能；采用基于角色的分层管理方式，既能符合行政管理模式，也能满足各业务信息系统管理模式的需求。 1.3 集成存储用户身份 建立以目录服务为核心的用户身份存储系统，统一存储用户身份信息，鉴别信息，承载集中身份管理子系统的统一用户身份视图。 1.4 用户身份统一认证 统一认证，通过与应用系统中的认证执行模块的集成，验证用户提交的身份及鉴别信息，实现基于数字证书的安全认证。传统静态口令认证方式即使是在信息系统中固化了口令的长度、复杂度、更新频率等安全策略，亦无法完全规避静态口令的安全隐患。通过双因子方式实现对用户的认证，极大的降低了企业信息系统的安全风险。 1.5 用户身份统一授权和访问控制 统一授权和访问控制，为用户提供统一的授权管理服务，提供安全可信的授权管理服务，提供真实可信的权限信息验证服务，负责对信息系统的访问控制。 1.6 用户身份安全审计 安全审计，提供对所有需要管理的认证、授权等系统集中审计功能。审计覆盖到统一用户管理、身份认证、授权与访问控制的每个环节；记录了应用系统重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统功能的执行等；将审计信息进行集中展示，实时报警。2 系统用户身份集成接口 建立一套完整的安全体系，实现统一的安全认证，满足多种身份认证的需求，需要与现有设施和系统之间建立安全稳定的数据接口。主要接口有3个。 （1）从人力资源ERP(Enterprise Resource Planning)系统（HR）和其他信息系统中获取用户身份信息，实现用户管理集成接口； （2）提供PMI与统一权限服务系统衔接的安全授权接口，提供与访问控制系统相连的可信权限判别接口； （3）为实现集中用户存储系统与向CA系统提供签发用户数字证书所需要的用户的基本信息，以及接收CA系统递交的用户已经签发证书的状态信息，需要建立与PKI系统的集成接口。 通过合理的设计，实现异构系统间的集成和单点登录。通过标准化的信息系统集成接口，实现用户帐号在各异构系统内的集中统一管理。实现多个专业应用系统用户身份的集成中管理。 3 结束语 身份管理与认证系统已完成包括炼油与化工ERP系统、炼油与化工运行系统(MES)、人力资源ERP系统（HR）、HSE信息系统、档案管理系统等13个系统集成，通过身份管理及认证系统集成应用实现了用户经