基于pki技术的ca公钥安全认证平台建设.docxVIP

基于pki技术的ca公钥安全认证平台建设 0 多点登录平台认证问题尚待解决 经过多年的计算机科学建设，云南省中烟已建立了多个相对成熟的企业应用系统。同时，由于公司内信息系统越来越多，这些系统建设时期不同，开发商来源不一，因业务需要，想要得到一组数据往往要反复多次并且进入不同的业务系统，而每一个业务系统都需要用户输入对应的系统用户名+口令或者进行相关的认证后才能登录，增加了日常工作业务操作的复杂性。为了提炼公司业务操作流程，增加人员的工作响应效率，公司在OA门户系统中搭建了一套涵盖部分应用系统的单点登录平台，为解决单点登录进入多个系统带来了便捷，但未从根本上解决统一账号密码的管理问题、安全身份认证问题以及对应用系统的管理问题，还存在以下问题尚待解决： 1）单点登录平台的登录认证采用“用户名/密码”方式，安全级别较低，出现用户名/密码被盗用的情况会让其他业务系统直接暴露在恶意攻击者面前，将给公司造成极大损失。 2）单点登录平台与公司数十个应用系统对接时采用密码代填的方式，但各系统的用户信息和账号管理仍由各系统自己管理，无法实现统一管理。 3）通过员工登录各应用系统的日志记录，可以很好的分析员工办公和各应用系统的使用情况，目前公司内各应用系统采用独立部署、运行的方式，日志记录也是各自存储于本地，不利于统计和管理。 1 相关技术介绍 1.1 基于pki体系的数字证书认证 PKI是“Publicu2004Keyu2004Infrastructure”的缩写，意思是“公钥基础设施”。总之，PKI技术就是围绕公钥理论和技术整合建立一个基础设施，用以输出信息安全服务。该系统根据统一的定性定量安全认证标准和规范提供身份认证。一个PKI体系一般可拆解为数字证书认证中心CA子系统、用于支撑数据审核的注册中心RA子系统以及密钥管理中心KMC子系统等一些关键组成模块。 CA证书系统的主要功能职责是围绕用户或者设备的数字证书管理，保障CA公钥证书的使用时有效而且合法；实现数字认证CA证书公开发布，聚焦CA证书的生命周期，渗透关键操作节点记录，布局全流程的审计复盘。 1.2 提供强身份认证的方式 对企业和组织内部的用户采用各种身份认证方式，包括数字证书、动态口令、LDAP认证、Radius认证等，提供强身份认证的方式，并拉通各应用系统的身份认证服务。提供一个统一的身份认证源，建立集中的身份管理平台。一次登录认证后，即可实现权限生态体系内各个系统的访问无缝链接，无须再次输入原有系统的账号和口令。 2 auth2.0安全认证 PKI、统一身份认证系统和权限认证系统，包括以下部分：CA数字证书系统、移动安全认证子系统、统一身份认证与授权子系统、基于CAS协议或OAuth2.0协议的身份认证子模块、系统各种日志安全审计子模块。采用成熟的认证技术，确保商业系统的安全性和可靠性。建立统一用户管理、授权管理和身份认证，采用静态“用户名+密码”、扫描二维码登录、指纹USBu2004Key认证等方式，进行分级的用户权限赋能与整合身份认证体系，撬动业务系统的安全性和用户使用的方便性，以烟草公司大部分应用的集中认证为抓手，聚合各种信息系统内用户体系，打通用户在体系内系统认证闭环。 2.1 整合和集成原则 本次系统建设的目标为：基于同一维度的技术矩阵、标准与环境，充分利用现有的CA体系与统一身份认证系统等对云南中烟的应用系统进行全面整合，并用科学规范的方法论，以这些系统的用户和资源为组合拳，进行整合和集成。最终实现从系统登录、身份认证、用户管理、访问入口、系统授权、访问审计等方面，结合差异化的用户信息，实现结构化的统一集中和共享，促进各类系统之间用户资源共享统一，为进一步拉通与其他业务数据，资源串联管理，应用软件落地奠定坚实基础。 2.2 搭建等基础平台 基于CA系统、统一认证系统、移动安全认证系统等基础模板实现统一身份认证服务、统一用户身份管理服务、统一用户权限授权服务、统一用户登录门户服务等，逐步完善平台功能。 2.3 指纹usbkey身份认证 在公司内多应用系统环境下，基于统一认证系统实现统一用户登录认证功能。在通过CAS或OAuth2.0深度集成后，应用系统的登录认证功能将由统一认证系统完成。用户登录认证过程中使用指纹USBkey内数字证书进行认证用户身份，或通过移动端App扫码登录、手机短信快捷登录、静态口令等认证方式。由统一身份认证系统管理用户基本信息，提高应用系统的数据安全性。在此场景下，统一认证系统提供统一的接口标准用于集成，简化后期系统接入与运维工作。 2.4 用户数字证书与统一认证内用户信息的一一对应关于 在用户登录认证时，采用存储有个人数字证书的USBKey登录到统一认证系统门户。用户数字证书与统一认证内用户信息一一对应绑定。在登录统一认证门户系统的同时，