统一信任管理平台.docx - 北京邮电大学技术转移处.docxVIP

统一信任管理平台 一、主要内容 平台总体介绍 统一信任管理平台是一个综合的业务系统管理服务平台，以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 图一 统一信任管理平台系统架构 平台具体功能 统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下： 集中用户管理系统：完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统管理的安全风险。 集中证书管理系统：集成证书注册服务（RA）和电子密钥管理功能，实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能，支持第三方电子认证服务。 集中认证管理系统：实现多业务系统的统一认证，支持数字证书、动态口令、静态口令等多种认证方式；为企业提供单点登录(SSO)服务，用户只需要登录一次就可以访问所有相互信任的应用系统。 集中授权管理系统：根据企业安全策略，采用基于角色的访问控制技术，实现支持多应用系统的集中、灵活的访问控制和授权管理功能，提高管理效率。 集中审计管理系统：提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息，支持应用系统、用户登录、管理操作等审计管理。 图二 统一信任管理平台总体逻辑结构图 统一信任管理平台以PKI基础服务、加解密服务、SAML协议等国际成熟技术为基础，架构统一信任管理平台的管理系统，通过WEB过滤器、安全代理服务器等技术简单、快捷实现各应用系统集成，通过集中用户管理、集中证书管理满足企业对身份管理的需求；通过集中认证管理系统实现企业对员工身份鉴别及单点登录的需求；通过集中授权管理实现企业访问控制管理；通过数字签名和集中审计管理系统实现责任的追踪和界定，并为司法诉讼提供证据等，在保证系统安全性的前提下，更好的实现业务系统整合和内容整合。 平台主要特点 高度集成，易于扩展 平台集成了证书注册服务（RA）和电子密钥管理，使平台不仅支持证书认证方式，更实现了在统一的平台上对证书的管理。系统管理人员可以在一个平台上进行认证系统的配置和证书生命周期的管理；也可以对平台使用用户终端（USBKey）进行远程维护，从而提高信息管理部门的服务能力。 安全可靠，开放兼容 在使用数字证书安全认证方式下，可支持多信任体系并存；统一信任管理平台可兼容用户已有的信任体系。在用户信息化建设过程中，有效的节约了整体的投资成本。支持多种认证方式，包括静态用户名/口令、数字证书、Windows域、Passcode（一次性口令） 等； 支持CAS，.NET Passport，IBM LTPA等多种实现方式。 部署简单，实施快捷 即插即用无需进行系统修改；客户端无需安装插件；遗留应用系统无需修改；SAML的实现，为产品的集成、 扩展奠定良好的基础； 在支持SAML的典型应用可以实现无缝集成； 基于WEB过滤和安全代理技术实现的单点登录，无需改变用户使用习惯。 功能齐备，方式灵活 支持多种访问控制方式和细粒度访问授权；实现账号的统一管理，账号生命周期管理和账号同步；支持负载均衡部署方式，充分满足高并发认证需求；支持灵活的账号绑定方式。 权威认证，符合法规 系统设计开发充分考虑《信息安全等级保护管理办法》、《企业内部控制基本规范》、《中华人民共和国电子签名法》等相关法律法规要求，满足企业业务审计的合规性要求；系统支持权威第三方电子认证服务机构的数字证书，确保业务操作关键环节具有法律效力。 二、国内外技术状况分析 （一）信任管理模型和信任管理系统 信任管理，从管理的机制方面，信任模型总的可以分为两大类：基于政策的信任模型和基于声望的信任模型。基于声望的信任管理起源于电子商务领域 ， 其中最 具代表性的是eBay和 Amazon的信任模型，基于声望的信任模型根据用户自己直接的交互经验、其他用户的意见、推荐或者是两者合成得到的结果来形成对另一个节点的信任评价。 基于政策的信任模型主要解决的问题是授权 ( authorization) 和访问控制(access control)，其目标是根据一组证书( credentials )和一组政策(policies) 来决定一个陌生的用户是否应该被信任。在基于政策的信任管理中，信任的建立过程是通过获得一定数量的证书并通过采用一些政策来进行访问控制的。尽管证书这个术语在基于政策的信任模型中常常出现， 但是直到现在还没有一个准确的定义，它往往用来指代一个关于实体的签署声明。例如当我们想要登录某个网上论坛时，一个合法的用户名和密码就是可以进入该论坛的证书。根据系统的政策，上述的信息是被论坛管理员所信任的，因此该