資源描述:
《統(tǒng)一身份認(rèn)證平臺》由會員上傳分享�,免費在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1��、專業(yè)技術(shù)資料分享統(tǒng)一身份認(rèn)證平臺設(shè)計方案1)系統(tǒng)總體設(shè)計為了加強對業(yè)務(wù)系統(tǒng)和辦公室系統(tǒng)的安全控管���,提高信息化安全管理水平�,我們設(shè)計了基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺��。1.1.設(shè)計思想為實現(xiàn)構(gòu)建針對人員帳戶管理層面和應(yīng)用層面的�����、全面完善的安全管控需要,我們將按照如下設(shè)計思想為設(shè)計并實施統(tǒng)一身份認(rèn)證服務(wù)平臺解決方案:內(nèi)部建設(shè)基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺�����,通過集中證書管理�、集中賬戶管理、集中授權(quán)管理���、集中認(rèn)證管理和集中審計管理等應(yīng)用模塊實現(xiàn)所提出的員工帳戶統(tǒng)一��、系統(tǒng)資源整合��、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心
2����、目標(biāo)�����。提供現(xiàn)有統(tǒng)一門戶系統(tǒng)���,通過集成單點登錄模塊和調(diào)用統(tǒng)一身份認(rèn)證平臺服務(wù)��,實現(xiàn)針對不同的用戶登錄�����,可以展示不同的內(nèi)容����??梢愿鶕?jù)用戶的關(guān)注點不同來為用戶提供定制桌面的功能。建立統(tǒng)一身份認(rèn)證服務(wù)平臺�����,通過使用唯一身份標(biāo)識的數(shù)字證書即可登錄所有應(yīng)用系統(tǒng)����,具有良好的擴展性和可集成性����。?WORD資料下載可編輯專業(yè)技術(shù)資料分享提供基于LDAP目錄服務(wù)的統(tǒng)一賬戶管理平臺�,通過LDAP中主、從賬戶的映射關(guān)系��,進行應(yīng)用系統(tǒng)級的訪問控制和用戶生命周期維護管理功能���。?用戶證書保存在USB?KEY中�,保證證書和私鑰的安全�,并滿足移動辦公的安全需求。1.1.平臺介紹以
3���、PKI/CA技術(shù)為核心���,結(jié)合國內(nèi)外先進的產(chǎn)品架構(gòu)設(shè)計,實現(xiàn)集中的用戶管理����、證書管理、認(rèn)證管理�����、授權(quán)管理和審計等功能����,為多業(yè)務(wù)系統(tǒng)提供用戶身份、系統(tǒng)資源���、權(quán)限策略���、審計日志等統(tǒng)一、安全��、有效的配置和服務(wù)��。如圖所示�,統(tǒng)一信任管理平臺各組件之間是松耦合關(guān)系,相互支撐又相互獨立����,具體功能如下:?a)集中用戶管理系統(tǒng):完成各系統(tǒng)的用戶信息整合,實現(xiàn)用戶生命周期的集中統(tǒng)一管理��,并建立與各應(yīng)用系統(tǒng)的同步機制���,簡化用戶及其賬號的管理復(fù)雜度�,降低系統(tǒng)管理的安全風(fēng)險。?WORD資料下載可編輯專業(yè)技術(shù)資料分享a)集中證書管理系統(tǒng):集成證書注冊服務(wù)(RA)和電子密鑰(
4���、USB-Key)管理功能�,實現(xiàn)用戶證書申請����、審批、核發(fā)�、更新、吊銷等生命周期管理功能�����,支持第三方電子認(rèn)證服務(wù)���。?b)集中認(rèn)證管理系統(tǒng):實現(xiàn)多業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證����,支持?jǐn)?shù)字證書��、動態(tài)口令��、靜態(tài)口令等多種認(rèn)證方式;為企業(yè)提供單點登錄服務(wù)���,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)�����。?c)集中授權(quán)管理系統(tǒng):根據(jù)企業(yè)安全策略,采用基于角色的訪問控制技術(shù)�����,實現(xiàn)支持多應(yīng)用系統(tǒng)的集中����、靈活的訪問控制和授權(quán)管理功能,提高管理效率��。?d)集中審計管理系統(tǒng):提供全方位的用戶管理����、證書管理、認(rèn)證管理和授權(quán)管理的審計信息�,支持應(yīng)用系統(tǒng)、用戶登錄����、管理操作等審計管
5��、理���。1.1.功能總體架構(gòu)總體架構(gòu)圖如下所示:WORD資料下載可編輯專業(yè)技術(shù)資料分享說明:CA安全基礎(chǔ)設(shè)施可以采用自建方式,也可以選擇第三方CA���。具體包含以下主要功能模塊:u身份認(rèn)證中心u存儲企業(yè)用戶目錄���,完成對用戶身份、角色等信息的統(tǒng)一管理��;u授權(quán)和訪問管理系統(tǒng)����;u用戶的授權(quán)、角色分配�����;u訪問策略的定制和管理���;u用戶授權(quán)信息的自動同步���;u用戶訪問的實時監(jiān)控�����、安全審計�;u身份認(rèn)證服務(wù)uWORD資料下載可編輯專業(yè)技術(shù)資料分享身份認(rèn)證前置為應(yīng)用系統(tǒng)提供安全認(rèn)證服務(wù)接口��,中轉(zhuǎn)認(rèn)證和訪問請求���;u身份認(rèn)證服務(wù)完成對用戶身份的認(rèn)證和角色的轉(zhuǎn)換;u訪問控制服務(wù)
6�、u應(yīng)用系統(tǒng)插件從應(yīng)用系統(tǒng)獲取單點登錄所需的用戶信息;u用戶單點登錄過程中�����,生成訪問業(yè)務(wù)系統(tǒng)的請求���,對敏感信息加密簽名�����;uCA中心及數(shù)字證書網(wǎng)上受理系統(tǒng)u用戶身份認(rèn)證和單點登錄過程中所需證書的簽發(fā)��;u用戶身份認(rèn)證憑證(USB智能密鑰)的制作�����。1.1.平臺總體部署集中部署方式:所有模塊部署在同一臺服務(wù)器上�,為企業(yè)提供統(tǒng)一信任管理服務(wù)。?部署方式主要是采用專有定制硬件服務(wù)設(shè)備�����,將集中帳戶管理���、集中授權(quán)管理��、集中認(rèn)證管理和集中審計管理等功能服務(wù)模塊統(tǒng)一部署和安裝在該硬件設(shè)備當(dāng)中��,通過連接外部服務(wù)區(qū)域當(dāng)中的從LDAP目錄服務(wù)(現(xiàn)有AD目錄服務(wù))來完成對用
7��、戶帳戶的操作和管理�。1)技術(shù)實現(xiàn)方案2.1.技術(shù)原理WORD資料下載可編輯專業(yè)技術(shù)資料分享基于數(shù)字證書的單點登錄技術(shù)��,使各信息資源和本防護系統(tǒng)站成為一個有機的整體�����。通過在各信息資源端安裝訪問控制代理中間件�����,和防護系統(tǒng)的認(rèn)證服務(wù)器通信����,利用系統(tǒng)提供的安全保障和信息服務(wù),共享安全優(yōu)勢���。其原理如下:a)每個信息資源配置一個訪問代理��,并為不同的代理分配不同的數(shù)字證書,用來保證和系統(tǒng)服務(wù)之間的安全通信��。b)用戶登錄中心后�����,根據(jù)用戶提供的數(shù)字證書確認(rèn)用戶的身份�����。c)訪問一個具體的信息資源時,系統(tǒng)服務(wù)用訪問代理對應(yīng)的數(shù)字證書,把用戶的身份信息機密后以數(shù)字信封
8�、的形式傳遞給相應(yīng)的信息資源服務(wù)器。d)信息資源服務(wù)器在接受到數(shù)字信封后��,通過訪問代理��,進行解密驗證����,得到用戶身份。根據(jù)用戶身份�����,進行內(nèi)部權(quán)限的認(rèn)證�。2
