身份认证系统技术方案

  文件类别:策划方案 方案报告 ISO认证

  文件格式:文件格式

  文件大小:226K

  下载次数:141

  所需积分:3点

  解压密码:qg68.cn

  下载地址:[下载地址]

清华大学卓越生产运营总监高级研修班

综合能力考核表详细内容

身份认证系统技术方案
******身份认证系统 技术方案 目 录 1. 概述 3 1.1 前言 3 1.2 身份认证系统用户认证需求描述 3 1.3 身份认证系统认证解决之道 5 1.3.1 身份认证系统的模式 5 1.3.2 建立身份认证系统 6 1.3.3 证书在身份认证系统上的安全应用 6 2. 详细设计方案 8 2.1 身份认证系统 8 2.2 产品设计原则 8 2.2.1认证系统的设计原则 8 2.2.2 网络环境设计原则 9 2.3 功能模块架构 10 2.4 身份认证系统功能简介 12 2.5 身份认证系统安全性分析 13 2.5.1本系统安全性保护的必要性 14 2.5.2安全性要求 14 2.5.3安全性设计原则 15 2.5.4安全性设计方案 15 2.6 身份认证系统应用开发接口 17 2.6.1身份认证系统接口函数 17 2.6.2 API与身份认证系统结合开发应用系统 17 2.7 身份认证系统使用案例 18 3. 系统配置 21 3.1 设备配置 21 1. 概述 1.1 前言 随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此 网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而 导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起 安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方 和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性 );发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自 己的发送行为(不可抵赖性)。 本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及 CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。 1.2 身份认证系统用户认证需求描述 在***********业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对 *********系统发展的促进作用,************将综合开发一套身份认证系统对目前的用 户身份进行管理,为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户进行身份 认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需 求加以说明。 整个系统的逻辑结构如图1所示: [pic] 图1:系统逻辑结构示意图 如图1示,整个系统涉及了应用服务器、证书服务器以及相应的客户端。系统运作流 程简述如下: o 客户端访问应用服务器,应用服务器向认证服务器发出认证请求; o 认证服务器完成对用户身份的认证并将与该用户相对应的认证信息返回相应的应 用服务器; o 用户在通过认证之后获得在应用服务器获得相应的授权,从而可以对应用系统进 行相应的访问。 所提交的认证系统在满足上述流程之外需要提供应用开发接口,满足与应用服务器 之间的交互。这是将认证系统集成到整个身份认证系统的基础条件,使得后续的开发工 作能够利用认证信息做进一步的数据处理。考虑到平台的兼容性,应用系统开发方可以 开发一个统一的接口程序与认证系统进行交互。另外还有如下几点要求需注意: o 认证服务器的用户信息需要依据数据库服务器中的用户信息为基础; o 对于客户端的身份认证最好采用硬件方式; o 客户端通过广域网连接到认证服务器,要求认证服务器是能够面向广域网用户的 ; o 客户端数量可以按250用户计算; o 提供认证系统的安全模式说明,详细介绍如何确保系统的安全; o 系统对认证系统的操作系统平台无特殊要求。 1.3 身份认证系统认证解决之道 根据身份认证系统的设计原则,系统安全需要解决如下几个方面的问题: o 数据的保密性。包括数据静态存储的保密性和数据传输过程中的保密性; o 有效的身份认证和权限控制。系统中的各个授权人员具有其特定级别的权限,可 以进行该权限的操作,无法越权操作;操作者事后无法否认其进行的操作;未 授权人员无法进入系统。 我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身份认证系 统的安全,上海CA中心的数字身份认证系统可以为用户提供解决办法。身份认证系统主 要负责证书管理,保证系统安全不间断地提供证书的申请和作废,提供用户信息和证书 的备份和归档,保证系统数据的完整性。 如何解决身份认证系统的安全性是我们关心的最大问题,结合身份认证系统,我们 设计如下的应用模式: 1.3.1 身份认证系统的模式 首先我们来看一下身份认证系统的模式: o 中心向操作员发放数字证书; o 用户使用数字证书登陆,经身份验证后,进入身份认证系统,填写或修改表单并 提交; o 系统对表单进行处理,然后提交、登记身份认证系统。 1.3.2 建立身份认证系统 身份认证系统以及与其发生业务的部门通过网络和数字证书建立安全可靠的身份认 证系统。 身份认证系统以及客户和部门申请数字证书,其申请数字证书的方式详见以下章节 的多种可选方案。 身份认证系统以及客户和部门申请到了标识其身份的数字证书文件和对应的私钥文 件。在此将证书信息文件称为UserCert.der,私钥信息文件称为UserKey.key。证书的存 储介质是带有算法的USBKEY。 在我们的身份认证系统提供支持多种平台的证书应用接口API(Application Programming Interface),WINDOWS平台以DLL的形式提供,各种UNIX平台以“.a”库的形式提供。利用 该API,应用系统可以很方便的将数字证书应用嵌入到业务系统之中。 上海CA中心同时在客户端提供ActiveX控件和JavaApplet开发接口应用服务器端同时 提供动态连接库,COM组件和JavaBean开发接口。 1.3.3 证书在身份认证系统上的安全应用 以下假设向身份认证系统发订单,利用数字证书的一次数据流程。身份认证系统的 服务器和操作员计算机各自申请一张标识其身份的数字证书,即具有其对应的证书文件 ,私钥文件。这样,通过自己计算机上的IE浏览器可以安全的访问身份认证系统。 根据以上数据传输过程,可以完全保证数据传输的保密性、完整性、身份认证和不 可抵赖性。同理诸多运行在身份认证系统上的信息流都可以通过加密技术、数字签名技 术以身份认证形式、安全电子邮件形式或文档形式进行安全。 2. 详细设计方案 2.1 身份认证系统 身份认证系统是在实际运作过程中,根据用户需求开发的一套内网数字身份认证解决 方案套件。该系统可以作为公务网身份认证系统的配套产品适用于接入公务网的各委、 办、局、区县的内网应用系统中。该系统将主要针对内网的应用系统,同时结合公务网 身份认证系统的特点和需求,向办公内网提供本地证书库、本地证书管理、本地证书目 录、本地证书管理、CRL查询等服务。 该套系统的API提供了与身份认证系统配合使用的WEB安全套件,为WEB应用提供全方 位的身份认证服务。包括UniTrust登录、UniTrust退出、对表单进行签名、对表单进行 验证、对数据进行加密、解密、对信息进行时间标记和时间验证、以及身份信息控制。 可以满足5 分钟内500个并发用户的验证要求。 2.2 产品设计原则 2.2.1认证系统的设计原则 身份认证系统在设计时,从系统建设的近期和长远目标来综合考虑在设计中遵循了规 范性、安全可靠性、实用性、扩展性、经济性、易用性和业务独立性等原则。并在以上 原则中着重考虑了: 安全性 安全性是认证系统最为关注的问题,也是认证系统设计及建设中的关键,它包括Bro wser与Server间信息传递的安全控制,访问系统的安全控制,系统数据的可追溯性。认 证系统有完整的安全策略控制体系以实现安全控制。其关键技术包括网页签名技术,身 份认证及信息加密技术,可保证系统间信息传递的安全,访问系统的安全控制。 规范性 标准和规范是认证系统设计中的重要内容,这里所说的规范性,是指认证系统设计及建 立过程的规范性。目前有关认证系统的实际应用有着多种相关的规范,如X.509,PKCS1 0,PKCS7,PKCS12等。不同的用户及系统在使用认证系统及证书时往往都按照相关的规 范调用。同时良好的规范也保证了身份认证系统协调工作时的方便性和准确性。 可扩展性 认证系统方案设计中,每个层次的设计采用模块化设计,可根据用户的不同需要发展 进行灵活扩展。如,在数字证书中加入自定义扩展项,从而使政府用户可在证书中加入 相应的工作证号等信息。 特别是证书系统采用了B/S中的多层设计思想,使得系统可实现对于不同用户的定制 服务,可以方便地实行对应用的控制与更新。 易管理性 系统的易管理性是证书认证系统的一个重要特点,系统对应提供多套管理系统,可对 系统各个层次进行管理。并可对一些经常性的统计工作提供基于Web的管理。 2.2.2 网络环境设计原则 我们在作产品系统实施方案时充分考虑了网络的高性能、可靠性,可扩充性,以便支 持以后网络分阶段升级的需要,保护原有投资。为此,遵循了以下原则: 先进性和实用性 尽可能采用国际上先进的技术和设备,使产品系统具有良好的性能,不仅能满足当前 认证系统的需要,还要满足未来3至5年的需要。对一些目前不重要的部分,则以经济实 用为主,但要为以后的扩充打下基础。 高可靠性 采用成熟的先进技术,关键部件和线路有足够备份,有必要的冗余容错能力,如出了 故障,要能及时指出故障点及故障原因。 较强的扩充性能 产品提供了很多于应用相连结的标准函数借口,能与将来的先进技术相结合,保护现 有投资,保证系统能随时加入新的功能模块,保证有关软件能顺利升级和扩充。 良好的安全保密措施 由于此产品是一套独立的身份认证系统,为了确保系统的安全保密措施和系统的大范 围适用性,我们提供了软硬件一体机,通过访问控制、及为用户设置权限等措施,防止 非法侵入。 2.3 功能模块架构 身份认证系统特性 身份认证系统支持平台 身份认证系统充分发挥硬件的特性,便于管理和维护。减少人为干预。 兼容的应用软件和操作系统 身份认证系统可与以下软件协同工作 客户端应用程序: Netscape Navigator Netscape Communication Microsoft Internet Exploer UniTrust SafeEngine, UniTrust 证书管理器 各种WEB服务器: MicroSoft IIS WebServer Netscape Enterprise Apache Java WebServer Domino 统一的管理界面 身份认证系统的操作管理都基于WEB页面,有效降低维护的成本。 支持各种介质 身份认证系统支持用户证书存放在软盘、IC卡、USB棒以及服务器。 严格的权限控制 身份认证系统分为系统管理员、系统操作员、系统用户和匿名用户四个级别用户。系 统管理员对系统的运行负责,但不能接触任何用户数据,同时必须超过半数的系统管理 员到场时才能进入系统管理模式。操作员仅能对用户进行操作,不能影响系统的运行。 用户仅能对自己的数据进行操作,不能修改他人数据。匿名用户提供公用的服务,如下 载他人证书、根证书、下载黑名单等。所有的认证方式均采用数字认证方式进行,确保 系统安全。 私钥保护 身份认证系统对私钥进行严格的保护,对所有存放在身份认证系统上的私钥,采用多 重加密方式,同时身份认证系统采用硬件机,无人可以直接获得身份认证系统上的数据 。 日志 身份认证系统提供详尽的日志功能。包括系统日志和用户日志。系统日志主要提供所 有系统管理员、系统操作员、用户对系统信息、或证书信息的操作。系统管理员可以通 过日志查询获得系统的状态。 历史信息查询 身份认证系统提供国内首创(专利号)的技术,用户历史信息查询。历史信息包括用 户的证书申请历史和证书使用信息。证书申请信息包括用户申请证书的记录申请时间、 批准或驳回、更新时间、作废时间、上一张证书、下一张证书等。用户证书使用信息查 询包括证书被验证记录,提供验证者信息和时间。供用户本人查证自己证书使用纪录, 是否有他人试图使用自己的证书。下一版本中,将提供用户告警机制,用户可以设定自 己的检查条件,系统核查满足条件后,就发送告警信息给用户。以尽快解决安全隐患。 政策编辑 身份认证系统提供自行编辑证书政策的功能,可以让运行商自行修改证书策略。 数据备份 身份认证系统提供根证书的导入导出功能,也支持所有的数据备份和恢复功能。为数 据安全提供保障。 产品升级 对不断提高的技术和新的需求,身份认证系统努力提升产品性能和功能。身份认证系 统只需要系统管理员将系统进入维护模式,运行与该系统配套提供的软件升级包,就可 以对产品进行升级。 2.4 身份认证系统功能简介 系统初始化 执行系统初始化功能,包括删除所有数据,缺省系统管理员、系统操作员的生成。根 证书的生成或指定。系统IP地址更改。 系统管理 执行系统管理功能,包括系统管理员管理、操作员管理、根证书管理、系统服务管...
身份认证系统技术方案
 

[下载声明]
1.本站的所有资料均为资料作者提供和网友推荐收集整理而来,仅供学习和研究交流使用。如有侵犯到您版权的,请来电指出,本站将立即改正。电话:010-82593357。
2、访问管理资源网的用户必须明白,本站对提供下载的学习资料等不拥有任何权利,版权归该下载资源的合法拥有者所有。
3、本站保证站内提供的所有可下载资源都是按“原样”提供,本站未做过任何改动;但本网站不保证本站提供的下载资源的准确性、安全性和完整性;同时本网站也不承担用户因使用这些下载资源对自己和他人造成任何形式的损失或伤害。
4、未经本网站的明确许可,任何人不得大量链接本站下载资源;不得复制或仿造本网站。本网站对其自行开发的或和他人共同开发的所有内容、技术手段和服务拥有全部知识产权,任何人不得侵害或破坏,也不得擅自使用。

 我要上传资料,请点我!
人才招聘 免责声明 常见问题 广告服务 联系方式 隐私保护 积分规则 关于我们 登陆帮助 友情链接
COPYRIGT @ 2001-2018 HTTP://WWW.QG68.CN INC. ALL RIGHTS RESERVED. 管理资源网 版权所有