资源预览内容
第1页 / 共41页
第2页 / 共41页
第3页 / 共41页
第4页 / 共41页
第5页 / 共41页
第6页 / 共41页
第7页 / 共41页
第8页 / 共41页
第9页 / 共41页
第10页 / 共41页
亲,该文档总共41页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
智慧海事一期统一身份认证系统技术方案智慧海事一期统一身份认证系统技术方案目 录目 录I1.总体设计21.1设计原则21.2设计目标31.3设计实现31.4系统部署42.方案产品介绍62.1统一认证管理系统62.1.1系统详细架构设计62.1.2身份认证服务设计72.1.3授权管理服务设计102.1.4单点登录服务设计132.1.5身份信息共享与同步设计152.1.6后台管理设计182.1.7安全审计设计202.1.8业务系统接入设计222.2数字证书认证系统222.2.1产品介绍222.2.2系统框架232.2.3软件功能清单242.2.4技术标准253.数字证书运行服务方案273.1运行服务体系273.2证书服务方案273.2.1证书服务方案概述273.2.2服务交付方案283.2.3服务支持方案353.3CA基础设施运维方案363.3.1运维方案概述363.3.2CA系统运行管理363.3.3CA系统访问管理373.3.4业务可持续性管理373.3.5CA审计38131. 总体设计1.1 设计原则一、标准化原则系统的整体设计要求基于国家密码管理局商用密码管理条例、公安部计算机系统安全等级要求和中华人民共和国计算机信息系统安全保护条例的有关规定。数字证书认证系统的安全基础设施的设计和实现将遵循相关的国际、国内技术和行业标准。二、安全性原则系统所采用的产品技术和部署方式必须具有足够的安全性,针对可能的安全威胁和风险,并制定相应的对策。关键数据具有可靠的备份与恢复措施。三、可用性原则系统具有足够的容量和良好的性能,能够支撑百万级或千万级用户数量,并能够在海量用户和大并发访问压力的条件下,保持功能和性能的可用性。四、健壮性原则系统的基础平台成熟、稳定、可靠,能够提供不间断的服务,相关产品均具有很强的健壮性、良好的容错处理能力和抗干扰能力。五、模块化原则系统的设计和实现采用模块化结构,各个模块具有相对独立的功能和开放的接口。可以根据系统的需要进行功能模块的增加或减少,而不必改变原来的程序构架;针对不同的应用定制实施模块。六、可扩展原则随着业务的发展,对未来系统的功能和性能将会提出更高的要求。系统在设计和实现上,应具有良好的可扩展性。可以通过对硬件平台、软件模块的扩展和升级,实现系统功能和性能的平滑地扩展和升级。七、方便开发原则系统提供丰富的二次开发工具和接口,便于应用系统调用,能够方便的与现有和将来的应用系统进行集成。八、兼容性原则系统具备良好的兼容性,能够与多种硬件系统、基础软件系统,以及其它第三方软硬件系统相互兼容。1.2 设计目标根据招标文件的具体技术要求,基于现有信息系统现状、数字证书应用现状以及未来在信息安全方面的技术性要求,本方案提出以下建设目标。(1) 在海事局内部部署统一认证管理系统,具体目标是:提供数据统一、维护统一、用户统一的安全可靠的认证与授权服务;实现全局相关业务系统全面统一的用户管理、可靠的身份认证与安全审计、有效的分级授权、安全的单点登录、便捷的信息共享(2) 在海事局内部部署数字证书认证系统(CA认证中心),具备10万级数字证书的发放能力,满足海事局内部用户以及应用系统的对数字证书的使用需求。(3) 广东海事局内部其它业务系统(包括:船舶远程电子签证、船舶动态2.0系统)与统一身份认证系统的进行技术集成,实现统一的身份认证与单点登录功能。1.3 设计实现本方案由统一认证管理系统和数字证书认证系统两部分组成,其统一认证管理系统实现统一的用户管理、身份认证、单点登录、授权管理、安全审计等功能;数字证书认证系统实现海事局全国用户的数字证书发放和数字证书管理。统一认证管理系统与数字证书认证系统集成,实现新增用户信息同步,证书管理员只需要登录数字证书认证系统,查出用户信息,直接制作证书。二级云中心(直属局)统一认证管理系统定时将用户、机构、授权等信息同步给一级云中心统一认证管理系统。本期工程将率先在广东海事局搭建起船舶远程电子签证、船舶动态2.0系统的单点登录功能。1.4 系统部署一级云中心:一台身份认证服务器,一台加密机,两台统一认证服务器(基于ORACLE一体机实现负载),两台统一认证数据库服务器(基于ORACLE数据库一体机实现负载)。五个二级云中心(直属局):一台统一认证数据库服务器,两台统一认证服务器(双机冷备),二级云中心统一认证服务器能访问一级云中心统一认证服务器。2. 方案产品介绍2.1 统一认证管理系统2.1.1 系统详细架构设计国家海事局统一认证管理系统详细架构设计如下图所示:在国家海事局部署一级统一身份认证系统,可管理全部的系统用户,用户可通过统一身份认证系统进行身份认证、业务系统单点登录;二级单位根据具体情况可部署二级统一身份认证系统,系统用户信息管理与一级统一身份认证系统同步,当网络出现故障时,二级单位用户可登录各自单位的二级统一身份认证系统,不影响正常的业务处理。国家海事局统一认证管理系统的主要服务功能模块包括:身份认证模块、单点登录模块、信息同步模块、后台管理模块、数据服务模块及安全管理模块,其中后台用户管理包括用户、角色、应用等相关信息管理,另外,安全管理模块为维护好系统服务功能的安全性,提供系统自身所有操作的安全审计功能,以及各个应用系统用户信息的监控功能。2.1.2 身份认证服务设计身份认证服务为海事局各应用系统内各类用户提供身份信息注册、凭证发布、用户资料管理及销毁、登录认证功能。2.1.2.1 总体设计认证管理的结构如上图所示,主要包括以下几个部分:CA认证中心:海事局CA认证中心为数字证书用户提供身份认证服务,签发数字证书,实现证书与现实中的实体(个人、单位或服务器)的绑定。CA认证中心除了为最终用户办法数字证书外,还需要为统一认证服务器和业务系统的服务器签发服务器身份证书,用于客户与服务器之间的双向认证。统一认证服务器:统一认证系统服务器的数据库中集中存放所有业务系统的用户信息和权限信息,所有业务系统和统一认证系统都需要部署服务器证书、安全组件和认证接口,用于业务系统与客户端,或业务系统之间的身份认证。证书用户:证书用户按照经过严格的身份信息鉴证,从CA认证中心领取数字证书,然后通过访问各级统一认证系统,进行单点登录,就可以很方便地访问自己权限范围内的应用系统。用户数字证书的身份信息要与统一认证系统中注册的用户信息保持一致(关键信息为:姓名、证件类型和证件号码),只有信息一致的前提下,才可实现可靠的身份认证。口令用户:口令用户不需要经过CA中心身份认证和签发数字证书,直接由单位管理员根据用户信息注册即可。用户本人可在获得初始密码后修改登陆密码和注册信息。2.1.2.2 身份认证方式统一认证系统可以对不同的系统进行分级认证,也可以对系统内的不同用户分级认证。系统应同时支持口令方式和数字证书两种方式的身份认证机制。另外,系统应具有扩展接口,可快速实现动态口令认证、指纹认证和和人像等其它身份凭证认证模式。身份认证技术支持PKI、LDAP、NDS、NIS、AD等标准认证技术。对于安全性较低的系统,可以采用最低认证等级:用户名/口令方式;对于安全性较高的系统,最低认证等级则需要设置为数字证书方式。系统的认证等级和用户的认证方式都可以在统一认证系统后台进行动态配置。用户使用数字证书可以登录安全性较低的系统,但是用户名/口令认证方式不允许进入等级为数字证书的业务系统。2.1.2.3 基于数字证书的身份认证数字证书用户登录业务系统的身份认证流程如下图所示:流程说明:(1) 提供证书:在登录门户页面(或统一认证首页)中嵌入证书控件和组件,服务器端产生随即数并进行数字签名,客户端实现即插即用的登录认证模式,只要插入UsbKey自动列举Key内的数字证书;(2) 握手认证:用户输入证书密码、点击登录提交按钮后,页面调用证书控件的运行脚本,校验证书密码后对服务器端产生的随即数和数字签名进行验证;客户端对随即数进行数字签名,提交认证信息给服务器验证;认证信息主要包括:随即数、客户证书、客户的签名等信息。服务器后台程序验证客户端的证书有效性和数字签名的有效性。(3) 获取访问信息:统一认证服务器从认证信息中提取客户端数字证书,并从证书中解析出证书的唯一标识,在后台数据库中进行比对,进行访问控制;(4) 返回登录票据:服务器认证通过后,形成标准格式的登录票据,返回客户端。(5) 选择业务系统:系统根据登录票据,显示可登录的系统,用户选择系统。(6) 传递票据:客户端浏览器将登录票据传递到对应的系统地址上。(7) 票据验证:业务系统根据接收到的登录票据,通过部署的安全组件进行验证。(8) 进入系统:验证通过,允许进入,根据用户权限信息,授予对应的操作权限。否则,拒绝登录。系统采用数字证书,安全组件、密码运算、数字签名、数字信封等技术来保障用户身份的真实性,可以有效避免身份冒充、身份抵赖、重放、中间人攻击的风险,从而在一定程度上保证认证的安全性。数据加密可采用标准SSL协议,在WEB服务器上配置SSL服务器证书,即可实现数据在网络传输过程中的加密。2.1.2.4 基于口令方式的身份认证用户身份唯一性设计:系统采用集中数据库管理模式,用户名作为用户信息表中的主键,在系统中不允许重复。另外,系统中应根据用户类型和注册的基本信息生成一个具有用户特征码,用于识别一个人或单位在系统中的身份唯一性。特征码的编码规范示例:个人用户的特征码=证件类型编码证件号码真实姓名+登录名单位用户的特征码=组织机构代码对应单位名称+登录名用户名方式的身份认证业务流程与证书方式类似,与证书方式的主要区别在于以下几点:(1)客户端不进行数字签名;(2)提交给服务器的认证信息不包括客户端数字签名,而是加密后的登录口令;(3)服务器端接收到认证信息后,不再验证签名,而是将加密的口令与数据库中的加密口令进行对比核对;(4)安全登录票据中的登录方式不同;(5)其他流程没有区别。2.1.3 授权管理服务设计2.1.3.1 授权管理的系统框架为确保信息资源访问的可控性,防止信息资源被非授权访问,需要在用户身份真实可信的前提下,提供可信的授权管理服务,实现对各类用户的有效管理和访问控制,保护各种信息资源不被非法或越权访问,防止信息泄漏。统一认证管理系统应提供信息资源管理、用户角色定义和划分、权限分配和管理、权限认证等功能。权限管理主要是由管理员进行资源分类配置、用户角色定义及授权等操作;权限认证主要是根据用户身份对其进行权限判断,以决定该用户是否具有访问相应资源的权限。由于统一认证管理系统要解决各个应用系统内部的细粒度资源权限控制,需要与应用系统紧密结合,因此统一认证管理系统应在统一身份认证系统粗粒度访问控制的基础之上,由各个应用系统结合本地资源授权方式,进行定制集成开发。由于采取分布式的RBAC授权管理模型,首先应对用户进行严格的身份认证,保证用户身份的真实性,在此基础之上再由综合各个应用系统内部资源权限分配的统一授权管理系统对用户进行严格的权限认证,实现各个应用系统内部资源细粒度的授权访问控制。用户访问控制总体框架如下图所示:在此框架下,整个授权控制的工作流程如下:(1) 统一认证管理系统的初始化,添加并配置系统管理
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号