身份认证与统一用户、授权管理系统技术建议书.docx

身份认证与统一用户、授权管理系统技术建议书 目录 1 总体设计 3 1.1 系统设计目标 3 1.2 系统框架设计 4 1.3 系统平台部署 4 1.4 系统特性 6 1.5 产品设计列表 7 2 子模块功能说明 9 2.1 证书签发系统（CA） 9 2.1.1 结构设计 10 2.1.2 功能设计 10 2.1.3 流程设计 19 2.1.4 性能设计 21 2.2 用户属性和权限系统（UMS） 22 2.2.1 系统简介 23 2.2.2 结构设计 24 2.2.3 功能设计 25 2.2.4 身份管理集成 32 总体设计 系统设计目标 用户只使用一张数字证书，实现对整个系统的安全的单点登录，管理各个应用系统、网络设备、主机等。这就是所谓的“一卡通”。“一卡通”过程如下：用户登录统一管理终端，通过IC卡、智能卡或者USBkey等方式输入自己的数字证书，系统对用户的身份、属性、权限等进行认证和识别，识别通过后，用户就能够按照界定的权限，管理整个系统上的各个应用系统、网络设备、主机等等。 系统框架设计 设计框架说明： 基于用户对应用安全的需求，我们构建了CA身份认证基础平台和统一用户属性和权限管理系统，整合用户原有的各个应用系统、主机、网络设备，组成一个统一、完善的应用安全认证体系。其中的CA身份认证基础平台负责对体系中的各个应用系统、主机、网络设备和管理端进行数字身份的签发和管理；统一用户属性和权限管理系统负责验证管理身份、属性和权限。 系统平台部署 设计内容主要分为：CA认证系统、UMS用户属性和权限管理系统。下面的方案也是从这两个部分分别给予介绍的。 总体结构图 部署说明 认证系统（完成对实体身份的签发和管理） CA Server：由一台配置了CA、LDAP的服务器IBM xSeries 3250组成。 用户属性和权限管理系统（完成对实体权限的签发和管理） UMS Server：由一台配置了UMS（内置RATK）的服务器IBM xSeries 3250组成。 统一管理终端：（通过“一卡通”登录到整个身份认证与授权管理系统，进行数字证书的管理和用户属性和权限的统一管理操作） 由网内台式维护管理终端或便携式维护管理终端担当。 系统特性 系统透明性 在身份认证与统一用户、授权管理系统的整体设计中，使用的所有的产品均实现了高度的产品化，对用户完全透明。 系统兼容性 系统采用开放性设计，可以和多种产品和标准相互兼容，具体如下所示： 操作系统支持：Windows、IBM AIX、HP UNIX、SUN Solaris、、AS400、Linux等 数据库支持：SQL Server、Oracle、IBM DB2、Sybase等 目录服务器支持：SUN One LDAP、ITEC LDAP、Open LDAP、Active Directory、GALAXY（吉大正元银河目录服务器） 支持密码算法：RSA、SSF33、SDBI、DES、CAST、RC2、Triple-DES、自定义算法等等 证书存储介质：硬盘、IC卡、USB－KEY、JAVA CARD等 系统易操作性 系统采用B/S服务模式，安装部署工作只需要在服务端进行，部署工作方便灵活。客户端无需安装任何客户端软件，完全基于浏览器即可完成所有的管理操作，管理终端与服务器之间采用SSL安全连接，并且采用管理员证书进行身份得确认。整体界面采用中文输出，证书业务操作简单直观。 系统易维护性 系统从硬件环境以及软件环境均提供了直观简便的配置管理工具，可以随时监控设备以及软件系统的状态，同时对用户的信息进行日志和审计。 系统可部署性 支持多种方式证书载体，如多个厂商的USBKey、IC 卡等，同时支持PKCS7、PKCS11 接口； 通过应用安全支撑平台的方式对应用提供支撑，提供完善、高效的安全认证系统提供接口标准和规范，满足应用程序的需求，同时满足C/S 和B/S 两种应用模式； 可扩充性好，可在不影响原有系统的前提下，方便地实现新业务新功能； 选用的系统设计界面友好，管理流程简洁； 通过系统的统一管理、分级部署，可以保证在专网网络设备或线路出现故障的情况下，不影响各节点局域网内的业务系统使用。 系统易用性 (1)支持多种业务应用，包括文件传输、文件存储、B/S应用、C/S应用,系统对用户接口采用标准的HTTP，HTPS和LDAP协议，可满足北京广播电视局各种应用系统的接入。 (2) 采用图形化的中文管理界面，输入和输出信息支持国标汉字。操作简单，流程严谨；界面操作有相应的功能说明。对于重要操作附加警告提示功能，防止因误操作导致数据丢失或损坏。 (3) 提供完善的安全认证系统接口标准，满足电子商务、电子政务、办公系统和所有应用程序开发者的需要，使相关的业务系统或程序可以方便地使用发放的证