北京時代億信EETrust統一身份認證平臺是基於PKI(Public Key Infrastructure)理論體系, 利用CA、數字簽名和數字證書認證機制,綜合應用USB接口智能卡、安全通道、***等技術,爲門戶、OA等多業務系統用戶提供統一身份認證和安全服務的綜合平臺。
1.1 統一身份認證平臺主要功能
門戶系統(Portal)—— 各業務系統信息資源的綜合展示。
統一授權——平臺爲用戶統一頒發數字證書和私鑰並存儲在USB-KEY中,作爲用戶訪問平臺及各應用系統的憑據,並對用戶訪問應用系統的權限進行授權。
身份認證——用戶在訪問平臺及各應用系統時,都使用相同的憑據(即包含用戶證書和私鑰的USB-KEY及其硬件保護口令PIN),並利用數字簽名技術在平臺進行身份認證,證明其身份的真實性。
單點登錄(SSO)——用戶在通過平臺認證後,可直接訪問已授權的各應用系統,實現不同應用系統的身份認證共享,從而達到多應用系統的單點登錄。
數據共享——認證平臺存儲了用戶的基本信息和證書信息,所有應用系統均可以充分利用這些信息,減少用戶信息的重複錄入。
移動辦公——平臺提供基於Secure***®的移動安全辦公方式,允許用戶在通過認證後,通過Internet安全地訪問內部網的應用系統。
安全通道——平臺提供兩種安全通道:一種是應用層安全通道,一種是網絡層安全通道。它們爲內網應用之間或外網應用之間提供安全的傳輸通道,保證其中傳輸的數據的安全性。
安全辦公郵件——對內部辦公的郵件實現簽名、加密傳輸和加密存儲,目前支持的後臺郵件系統包括:Sun iPlanet、Lotus Notes、Qmail、SendMail以及所有支持IMAP協議的郵件服務器。
個人數據的安全管理——對個人計算機中密級較高的信息,依據USB-KEY中存儲的個人證書,提供加密存儲和讀取。
1.2 統一認證平臺主要優勢
Ø 業務系統的實施工作量少
業務系統只需安裝配置訪問前置,並按規範提供映射驗證接口和訪問驗證接口即可。訪問前置支持Windows、Linux、Unix等多種平臺,充分滿足各種平臺上業務系統的需求。
Ø 充分兼顧系統安全與效率
在身份認證和單點登錄這樣的高風險階段,採用多種技術保證安全性,而在正常訪問業務系統數據時,可以綜合考慮安全與效率,可採用關鍵信息加密的方式,SSL加密通道可配置。
Ø 系統具有高可靠性和可用性
平臺支持軟件方式的負載均衡,充分滿足併發認證的需求;同時,平臺與業務系統之間採取鬆散耦合的方式,靈活滿足業務系統的調整和升級。
Ø 支持分認證中心結構,實現本地認證
用戶在進行身份認證時,不需要到認證平臺進行認證,而是在本地建立一個功能同認證平臺的分認證中心,負責本地用戶的身份認證,保證認證速度和效率。本地認證中心需要建立用戶的數字證書數據庫和用戶信息數據庫,數據的存儲需採用加密存儲,防止用戶信息泄露。
Ø 和***系統進行統一登錄
與***的認證相結合,用戶通過***進行認證後,可直接進入辦公門戶系統,不需要二次認證。
Ø 支持一次性口令認證
支持用戶忘記攜帶USB-KEY,可以向管理員申請一次性使用的口令進行身份認證。解決沒有USB-KEY就不能辦公的弊端。
1.3 統一身份認證平臺功能結構
統一身份認證平臺有效整合現有業務系統,解決多個業務系統的用戶統一認證問題,實現單點登錄(SSO)、訪問控制、並採用相關的安全機制,增強用戶身份認證過程的安全性。
平臺由以下系統模塊構成:
Ø 平臺門戶系統
Ø 平臺管理系統
Ø 認證服務器
Ø 認證數據庫
Ø 訪問控制服務器
Ø 業務系統認證前置程序
圖 統一身份認證平臺功能結構
。
1.1 業務系統的接入與認證
統一認證平臺要實現單點登錄(SSO),必須能夠將各個業務系統接入到平臺中,並解決不同業務系統之間用戶交叉和用戶帳戶不同的問題。
1.2 信息資源接入UAP邏輯關係圖
UAP整合各種信息資源,通過標準XML語言,方便的將信息資源進行接入和使用。
圖:資源接入邏輯圖 業務系統分爲B/S結構和C/S結構兩類,與平臺的連接都通過安全通道來保證數據傳輸的安全。 對B/S結構應用系統的支持如下表:
操作系統平臺 Web及應用服務器類別 Windows平臺 支持ASP.Net/ J2EE(JSP/Servlet)/Notes Unix平臺(Aix/HP-UX/Solaris/Linux) 支持J2EE(JSP/Servlet)/Notes對C/S結構應用系統主要提供開發接口包: n Windows平臺的非web方式提供COM組件; n Unix平臺的非web方式提供動態庫。 1.1.1 業務系統訪問權限的控制
平臺用戶是一個大的用戶集合,通過平臺認證的用戶並不一定能訪問所有接入平臺的業務系統。平臺用戶對業務系統的訪問權限通過用戶分組和訪問控制策略進行控制。例如: 按照用戶所屬單位或部門劃分組,該組可訪問相應單位部門的業務系統; 按照用戶角色劃分組,例如:財務人員分組可以訪問財務相關的業務系統; 同時,平臺用戶與業務系統映射表中設置用戶訪問權限標識,可針對單個用戶訪問某個業務的權限進行停用/啓用。