《身份认证、统一用户与授权管理系统设计143493.docx》由会员分享,可在线阅读,更多相关《身份认证、统一用户与授权管理系统设计143493.docx(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Evaluation Warning: The document was created with Spire.Doc for .NET.身份认证与与统一用户户、授权管管理系统技术建议书书吉大正元信信息技术股股份有限公公司2022年11月23日目录1总体设设计31.1系系统设计目目标31.2系系统框架设设计41.3系系统平台部部署41.4系系统特性61.5产产品设计列列表72子模块块功能说明明92.1证证书签发系系统(CAA)92.1.11结构设计计102.1.22功能设计计102.1.33流程设计计192.1.44性能设计计212.2用用户属性和和权限系统统(UMSS)222.2.11系统简
2、介介232.2.22结构设计计242.2.33功能设计计252.2.44身份管理理集成321 总体设计1.1 系统设计目目标用户只使用用一张数字字证书,实实现对整个个系统的安安全的单点点登录,管管理各个应应用系统、网网络设备、主主机等。这这就是所谓谓的“一卡通”。“一卡通”过程如下下:用户登登录统一管管理终端,通通过IC卡卡、智能卡或者者USBkkey等方方式输入自自己的数字字证书,系系统对用户户的身份、属属性、权限等进行行认证和识别别,识别通过过后,用户户就能够按按照界定的的权限,管理整个个系统上的的各个应用用系统、网网络设备、主主机等等。1.2 系统框架设设计设计框架说说明:基于用户对对应
3、用安全全的需求,我们构建了CA身份认证基础平台和统一用户属性和权限管理系统,整合用户原有的各个应用系统、主机、网络设备,组成一个统一、完善的应用安全认证体系。其中的CA身份认证基础平台负责对体系中的各个应用系统、主机、网络设备和管理端进行数字身份的签发和管理;统一用户属性和权限管理系统负责验证管理身份、属性和权限。1.3 系统平台部部署设计内容主主要分为:CA认证系系统、UMMS用户属属性和权限限管理系统统。下面的方方案也是从从这两个部分分别别给予介绍绍的。总体结构图图 部署说明1. 认证系统(完完成对实体体身份的签签发和管理理)CA Seerverr:由一台台配置了CCA、LDDAP的服服务
4、器IBBM xSSeriees 32250组成成。2. 用户属性和和权限管理理系统(完完成对实体体权限的签签发和管理理)UMS SServeer:由一一台配置了了UMS(内内置RATTK)的服服务器IBBM xSSeriees 32250组成成。3. 统一管理终终端:(通过“一卡通”登录到整整个身份认认证与授权权管理系统统,进行数字字证书的管管理和用户户属性和权权限的统一一管理操作作)由网内台式式维护管理理终端或便便携式维护护管理终端端担当。1.4 系统特性 系统透明性性在身份认证证与统一用用户、授权权管理系统统的整体设设计中,使使用的所有有的产品均均实现了高高度的产品品化,对用用户完全透透明
5、。 系统兼容性性系统采用开开放性设计计,可以和和多种产品品和标准相相互兼容,具具体如下所所示:操作系统支支持:Wiindowws、IBBM AIIX、HPP UNIIX、SUUN Soolariis、AAS4000、Linnux等数据库支持持:SQLL Serrver、OOraclle、IBBM DBB2、Syybasee等目录服务器器支持:SSUN OOne LLDAP、ITEC LDAP、Open LDAP、Active Directory、GALAXY(吉大正元银河目录服务器)支持密码算算法:RSSA、SSSF33、SSDBI、DDES、CCAST、RRC2、TTriplle-DEES、
6、自定定义算法等等等证书存储介介质:硬盘盘、IC卡卡、USBBKEYY、JAVVA CAARD等 系统易操作作性系统采用BB/S服务务模式,安安装部署工工作只需要要在服务端端进行,部部署工作方方便灵活。客客户端无需需安装任何何客户端软软件,完全全基于浏览览器即可完完成所有的的管理操作作,管理终终端与服务务器之间采采用SSLL安全连接接,并且采采用管理员员证书进行行身份得确确认。整体体界面采用用中文输出出,证书业业务操作简简单直观。 系统易维护护性系统从硬件件环境以及及软件环境境均提供了了直观简便便的配置管管理工具,可可以随时监监控设备以以及软件系系统的状态态,同时对对用户的信信息进行日日志和审计
7、计。 系统可部署署性支持多种方方式证书载载体,如多多个厂商的的USBKKey、IC 卡等等,同时支支持PKCCS7、PKCSS11 接接口;通过应用安安全支撑平平台的方式式对应用提提供支撑,提提供完善、高高效的安全全认证系统统提供接口口标准和规规范,满足足应用程序序的需求,同同时满足CC/S 和和B/S 两种应用用模式;可扩充性好好,可在不不影响原有有系统的前前提下,方方便地实现现新业务新新功能;选用的系统统设计界面面友好,管管理流程简简洁;通过系统的的统一管理理、分级部部署,可以以保证在专专网网络设设备或线路路出现故障障的情况下下,不影响响各节点局局域网内的的业务系统统使用。 系统易用性性
8、(1)支支持多种业业务应用,包包括文件传传输、文件件存储、BB/S应用用、C/SS应用,系系统对用户户接口采用用标准的HHTTP,HHTPS和和LDAPP协议,可可满足北京京广播电视视局各种应应用系统的的接入。(2)采采用图形化化的中文管管理界面,输输入和输出出信息支持持国标汉字字。操作简简单,流程程严谨;界界面操作有有相应的功功能说明。对对于重要操操作附加警警告提示功功能,防止止因误操作作导致数据据丢失或损损坏。(3)提提供完善的的安全认证证系统接口口标准,满满足电子商商务、电子子政务、办办公系统和和所有应用用程序开发发者的需要要,使相关关的业务系系统或程序序可以方便便地使用发发放的证书书。
9、程序开开发者可以以根据接口口标准,自自行开发业业务系统安安全模块。 系统可靠性性系统中的各各个模块在在可靠性上上支持以下下的机制:l 支持双机热热备CA、UMMS、目录录服务、认认证网关系系统等相关关系统可以以支持双机热热备方式实实现可靠性性保障。在在进行双机机热备设定定时不需要要对应用系系统进行任任何修改。l 负载均衡CA、UMMS、目录录服务、认认证网关系系统等相关关系统在设设计时就考考虑了支持持负载均衡衡的部署方方式,因此此在进行负负载均衡部部署时软件件系统并不不需要作相相应修改。1.5 产品设计列列表自有软硬件件产品功能项产品名称数量备注CASRQ055 CA一套含LDAPPUMSJI
10、T UUMS3.0一套包含RA和和认证支撑撑系统服务器IBM xxSeriies 33250(43655)两套产品选择依依据吉大正元的的相关产品品在经过近近六年的发发展和大规规模的市场场应用后已已经在信息息安全市场场上处于绝绝对领先的的地位,其其特点总结结如下:体系结构标标准部署灵灵活:吉大大正元产品品完全是基基于J2EEE结构开开发的,在在系统部署署时不需要要单独部署署应用服务务软件并且且系统部署署灵活方面面,根据不不同的需求求可以组合合成包括CCA、CAA+RA、CCA+KMMC、CAA+OCSSP、CAA+KMCC+RA、IIAS、IIAS+SSTS、AACS+SSTS等几几种部署方方式
11、,并且且这些组合合方式在一一定程度上上可以灵活活的转换,其其转换方式式只需通过过配置而不不必做程序序的修改。管理方便:所有的管管理界面都都是基于BB/S方式式,用户无无需在客户户端单独安安装客户端端程序。系系统的安装装和初始化化简单方便便,无需专业业人士操作作安装。系系统配置灵灵活,可以方便便的对系统统当前的系系统配置作作修改和调调整。兼容性强:支持主流流的操作系系统、数据据库、目录录服务器和和加密设备备,其移植植性强已经经在某客户户组织的在在SUN实实验室测试试得到证明明。在证书书标准方面面,SRQQ05所颁颁发的数字字证书已经经在许多应应用和设备备(SSLL设备、VVPN设备备等)中得得到
12、使用,这这些足以说说明SRQQ05在证证书兼容性性上的优势势。安全性高:系统内部部有着严格格的访问控控制和权限限管理,系系统与系统统之间是采采用的安全全传输协议议来保证数数据通信安安全的。另另外在数据据层面所有有的敏感数数据都通过过加密机制制来保证,特特敏感的信信息例如CA私私钥都是在在密码设备备中产生和和使用的。对对于那些敏敏感的业务务操作我们们系统采用用的M OOF N机机制来保证证。交易和和管理会话话Sesssion都都有严格的的周期管理理可以抵抗抗攻击。性能高效:吉大正元元的产品在在设计的时时候就考虑虑到性能问问题,其中中采用了很很多提高性性能的办法法,比如数据据库连接池池、线程池池、
13、加密机机使用方面面等技术。此外,系统在横向上可以支持负载均衡设备来提高自身的服务性能。产品占有率率高:现在在国内使用用吉大证书书CA产品品的项目达达到1000多个,其其市场占有有率达到770%以上上。2 子模块功能能说明为了说明我我们提供产产品的相关关细节,下下面的章节节我们给出出CA身份份认证系统统和UMSS用户属性性和权限管管理系统的的详细介绍绍。以下为几个个产品的通通用特点概概括如下:l 产品都是基基于J2EEE开发,都都是基于BB/S的管管理界面。l 产品各模块块相互独立立并且彼此此之间有严严格的身份份认证、访访问控制和和通信加密密保护处理理并且有防防攻击处理理。l 产品都是以以数据为
14、中中心,并且且敏感数据据(加密用用的密钥等等)都是以以加密方式式来处理的的,并且有有数据备份份和恢复的的功能。l 所有的密钥钥处理(加加密、解密密、产生)都都是在密码码设备中完完成的。l 管理员的权权限都是相相互制约的的,不同的的职责对应应不同的人人员来操作作和维护。l 管理交易以以及业务交交易的会话话Sesssion都都是有相应应的周期管管理以防止止相关的攻攻击。l 系统有严格格的监控机机制,并能能被监控平平台所统一一监控。l 应用安全支支撑系统可可以轻松的的将安全服服务提供给给应用系统统并不对应应用系统做做代码的改改动。2.1 证书签发系系统(CAA) CA 是整整个PKII体系的核核心部
15、件,肩肩负着证书书和CRLL签发与相相关管理职职责,并提提供安全策策略制定和和与其他CCA相互交交叉的功能能。下面我我们给出CCA系统的的详细介绍绍。2.1.1 结构设计以CA SServeer为中心心,由管理理员使用浏浏览器通过过Web方方式对CAA Servver进行行管理。LLDAP是是支持所有有符合LDDAPv33标准的目目录服务器器以及CAA Serrver的的后台数据据库。CA的业务务主要是完完成对证书书的签发和和相关管理理功能,另另外为了提提高自身系系统的可管管理性也提提供了相关关的管理功功能,这些些功能主要要分为证书书管理、模模版管理、权权限管理、审审计管理、CCRL管理理和其
16、他管管理。2.1.2 功能设计 证书服务功功能u 证书格式和和种类:全面支持XX.5099 V3证证书,并且且支持所有有的X.5509 VV3标准定定义的扩展展。提供证证书定制模模板功能,允允许管理员员自定义证证书类型、结结构、需要要的扩展域域,另外系系统支持汉汉字证书。支持X.5509 VV2证书撤撤销列表(CRL)。并采用CRL分布点技术提高应用查询性能。CA可以根根据不同的的用户需求求签发不同同应用的证证书,证书书的各种不不同应用是是证书策略略的一部分分,体现在在X.5009 V33 的扩展展域上面,应应用软件通通过解释这这些证书扩扩展域来实实现各种应应用,从而而实现证书书的管理策策略。
17、CA系统支支持双中心心即CA中中心和密钥钥管理中心心,双证书书即签名证证书和加密密证书,并并且在我们们的系统中中,签名证证书和加密密证书是可可以独立签签发、管理理、废止并并能实现有有单证书到到双证书的的转变功能能。在系统中可可以签发个个人证书、WWEB证书书、管理员员证书、VVPN证书书、服务器器证书、代代码签名证证书、wiindowws域控制制器证书、wwindoows域用用户证书还还可以扩展展支持WAAP证书、SSTK证书书等。u 证书存储介介质:CA认证系系统所签发发的证书支支持以下存存放介质:l 硬盘、软盘盘l IC 卡l 智能卡片方方式l JAVA CARDDl USBKEEYu 证
18、书管理功功能证书服务功功能主要包包括证书的的申请、签签发、下载载、发布、申申请并下载载、更新、更更新并下载载、冻结、解解冻、授权权码更新、证证书查询、证证书实体查查询等操作作。 证书申请系统提供基基于WEBB的申请方方式,简单单易用。 证书签发对于通过审审核的证书书申请,CCA可以为为其签发证证书。并将将签发成功功的证书发发布到对应应的LDAAP上。其其中签发时时所使用的的系统密钥钥是被硬件件加密设备备进行保护护的,同时时签发的算算法实现也也是在设备备中完成的的。 证书下载系统提供基基于WEBB的下载方方式,支持持多种加密密算法和密密钥长度,支支持文件、智智能卡、UUSB-KKEY等多多种存储
19、介介质。 证书发布对于签发好好的证书,系系统进行自自动发布,发发布方式可可以为文件件方式或者者目录服务务方式。 证书申请并并下载这样的功能能比较适合合管理员为为用户集中中制证的情情况。 证书更新用户可以根根据需要对对正在使用用中的证书书进行有效效期的更改改,更新成成功后,用用户可以获获得相应的的新证书下下载凭证。 证书更新并并下载将证书更新新和下载更更新后的证证书两项操操作一步完完成的功能能。 证书查询用户可以通通过查询条条件查询出出符合条件件的证书信信息,支持持精确查询询和模糊查查询,系统统可以对某某种类型的的证书进行行单独查询询。 证书下载凭凭证更新对于一些申申请成功但但是没有下下载的证书
20、书,为了保保障其业务务的安全性性,CA可以为为用户重新新生成下载载凭证,用用户使用新新的下载凭凭证进行证证书下载。 证书注销用户可以对对一些不再再使用或是是使用过程程中出现问问题的证书书进行注销销操作,注注销后的证证书不可恢恢复。 证书冻结用户可以对对短期内不不会使用的的证书进行行冻结操作作,在冻结结期间内证证书被限制制不可使用用。 证书解冻证书解冻操操作是相对对于证书冻冻结操作的的,此操作作将冻结的的证书解冻冻,使得证证书可以重重新使用。 证书实体查查询系统支持证证书实体查查询功能,用用户可以通通过查询条条件可以查查询出符合合条件的证证书,并可可将证书保保存到本地地。 CRL服务务功能CA在
21、CRRL管理上上主要涉及及到CRLL产生、CCRL发布布、CRLL查询几项项功能,为为了支持高高速的CRRL查询,系系统在发布布CRL时时采用分布布点技术进进行发部和和查询。l CRL产生生CA建设完完成后,在在证书的使使用过程中中由于种种种原因,数数字证书会会出现失效效的情况,CA通过生成证书注销列表的方式实现数字证书的注销。该身份认证系统支持如下两种数字证书注销列表的生成方式:1) 自动方式:系统提供供制定证书书注销列表表生成频率率、有效期期等策略的的功能,用用户可以方方便的实现现证书注销销列表生成成方式的灵灵活制定;2) 手动方式:系统提供供数字证书书注销列表表的手动生生成功能,该该功能
22、主要要针对用户户需要对某某些数字证证书实现注注销,立刻刻需要生成成数字证书书注销列表表的管理需需求;l CRL发布布CA可以根根据发布策策略定期签签发标准格格式的证书书注销列表表,发布方方式可以为为文件方式式或者目录录服务方式式,发布周周期可以由由管理员灵灵活定制。CA使用LDAP进行CRL发布。证书注销列列表的发布布采用分布布点策略,系系统 CRRL的签发发支持分布布点技术,使使得可以快快速定位到到某一分布布点,查找找或下载该该分布点CCRL。l CRL更新新系统提供了了对CRLL有效期的的定义,有有效期最短短可达小时时量级。管管理员可以以根据实际际要求对有有效期进行行灵活的调调整,实现现证
23、书注销销列表的及及时更新。针针对特殊情情况,系统统提供证书书注销列表表的手动更更新,满足足及时注销销数字证书书的管理需需求。l CRL在线线查询CA通过目目录服务器器系统发布布CRL,因因此用户可可以通过在在线方式实实现对CRRL的查询询。系统的设计计采用CRRL分布点点技术,当当用户选择择下载CRRL进行查查询时,下下载的信息息并不是CCACRLL的全部,只只是其中的的一个子集集,这样就就大大地减减少了信息息量,提高高了查询的的速度,降降低了网络络的负担。系统的CRRL分布点点技术支持持IIS、NNetsccape、AApachhe等主流流Web Servver在线线获取CRRL的功能能。系
24、统同时支支持CRLL全集的发发布,应用用系统在下下载一次后后即可以验验证所有的的数字是否否有效,减减少了针对对每个证书书需要下载载CRL的的开销,有有效的提高高了系统的的业务处理理速度。 管理服务功功能系统的初始始化产生CA根根证书的申申请,并与与根CA系系统进行交交互将根证证书加载到到系统中,并并与密钥管管理中心建建立可信的的传输机制制。数据库管理理设定所使用用数据库的的类型和相相关服务地地址与端口口,并能设设定数据库库访问的策策略。目录服务器器管理设定所使用用目录服务务系统的类类型和相关关服务地址址与端口,并并在需要时时对目录数数据进行回回复,其回回复的数据据来源与数数据库。系统运行纠纠错
25、管理系统支持系系统运行纠纠错模式,在在这种情况况下系统可可以很好的的定位可能能出现的问问题,以方方便运行管管理人员对对系统进行行快速排错错。这个功功能是行业业内其他CCA所不俱俱备的。加密设备使使用管理可以对加密密设备进行行相关密钥钥对的选择择、密钥长长度的设定定、加密设设备物理地地址的指定定等相关操操作。审计管理员员管理审计管理员员是在系统统初始化的的过程中产产生的,不不受限与其其他任何的的管理员,在一定条件下可以通过审计管理员管理对审计员的相关情况进行调整。交叉认证管管理可以为其他他机构的CCA证书签签发交叉认认证证书,并并能同时提提交自己的的CA证书书的申请信信息,以完完成彼此交交叉互签
26、以以达到交叉叉认证的效效果。归档业务日日志管理本系统通过过归档业务务日志管理理方便的可可以对系统统中的日志志信息实施施归档,提提供定期归归档和自定定义归档两两种方式,用用户可以根根据实际情情况进行配配置。 权限服务功功能CA作为认认证体系的的核心,系系统的安全全管理成为为了建设CCA需要重重点考虑的的问题。本本系统的设设计严格采采用了分权权管理的思思想,通过过以超级管管理员管理理系统管理理员、再由由系统管理理员向下授授权的方式式,容易实实现对管理理员的控制制和管理及及事件追踪踪系统中管理理员可分为为五类,分分别是系统统管理员、超超级管理员员、审计管管理员、业业务管理员员和业务操操作员。其中审计
27、业业务和其他他业务要实实现严格的的分权管理理,审计业业务的管理理员和其他他业务管理理员分别由由不同的人人员担任,两两个管理员员的产生过过程相互独独立。l 系统管理员员系统管理员员负责对整整个系统核核心服务器器的管理操操作,享有有如下权限限:安装系统初始化系统统启动服务停止服务更改系统配配置更新超级管管理员/审计管理理员证书l 超级管理员员超级管理员员由系统管管理员在系系统初始化化时任命,可可以根据系系统的需要要任命下级级管理员,该该管理员的的权限包括括:创建业务管管理员设置业务管管理员权限限注销业务管管理员l 审计管理员员审计管理员员由系统管管理员在系系统初始化化时任命,通通过对系统统日志的查
28、查看完成对对系统的审审计,该管管理员的权权限包括:查询审计日日志归档审计日日志l 业务管理员员业务管理员员负责CAA的业务管管理,权限限包括:创建业务操操作员设置业务操操作员权限限注销业务操操作员l 业务操作员员业务操作员员根据自己己的权限,进进行CA的业务务操作,权权限包括:申请用户证证书更新用户证证书冻结/解冻冻用户证书书注销用户证证书在CA本身身设计上,对对管理员采采用基于数数字证书的的身份验证证机制,管管理员的管管理权限与与其证书进进行绑定。系系统采用分分布式的基基于角色的的权限管理理,管理员员间权限分分离,某一一管理员只只管理某一一部分功能能并受其他他管理员监监督。每个管理员员的权限
29、信信息都包含含两部分内内容,一部部分是管理理角色权限限,指定管管理员可以以进行哪些些操作,在在CA中,系系统包含的的管理角色色有:证书书管理角色色、模板管管理角色、权权限管理角角色和审计计管理角色色。一个管管理员可以以被授予一一个或多个个管理角色色,以分权权的形式对对整个系统统进行有效效管理。另另一部分是是管理范围围权限,指指定管理员员可以对哪哪些证书进进行管理。l 授权管理员员权限只有未被授授权的管理理员证书才才可以进行行“授权管理理员权限”操作。授授权包含管管理角色权权限和管理理范围权限限两方面的的授权。当当一个管理理员证书进进行“授权管理理员权限”操作成功功后,就会会成为系统统的正式管管
30、理员,他他的权限可可以通过“修改管理理员权限”操作进行行修改。l 修改管理员员权限只有被成功功授权的管管理员才能能进行“修改管理理员权限”操作。修修改管理员员权限时,可可以修改管管理员的管管理角色权权限,也可可以修改管管理员的管管理范围权权限。l 查询管理员员权限进行“查询询管理员权权限”操作查到到的管理员员包括已经经成功授权权的管理员员和未被授授权的管理理员。 模板服务功功能为了满足各各种业务系系统对于数数字证书格格式的特殊殊要求,系系统抽取数数字证书格格式的共性性和特性的的地方,提提供数字证证书模板自自定义的功功能,实现现证书扩展展域名称、扩扩展域值的的自定义,达达到数字证证书格式的的“所
31、见即所所得”的效果。证书模板功功能的提供供,极大的的增强了签签发不同类类型证书的的灵活性。系系统内置有有十几种标标准证书模模板及标准准证书扩展展域,能够够满足大多多数的证书书签发需求求。系统同同时支持自自定义证书书模板和自自定义扩展展域,用户户可以灵活活定制各种种证书模板板,满足业业务系统的的需求。 l 证书模板管管理证书模板用用于定义证证书的类别别,每一个个证书模板板定义这一一类证书的的共同特点点。包括证证书的有效效期限制、密密钥类型和和密钥长度度、是否需需要发布及及发布的方方式以及证证书中该包包含的扩展展域及其扩扩展域的值值等信息。系统围绕证证书模板,立立足于用户户的角度,提提供如下的的功
32、能:浏览模板、添加模板板、修改模板板、删除模板板、注销模板板l 自定义扩展展域管理用户可以根根据自己的的实际需要要自定义证证书扩展域域,并应用用于证书模模板之中。如如在数字证证书的扩展展域中增加加用户身份份证号码等等个性化的的需求。该功能的业业务系统界界面如下所所示: 审计服务功功能根据整个系系统分权设设计管理的的思想,只只有具有审审计管理角角色的管理理员才能进进行审计管管理操作,审审计管理包包括查询业业务日志和和统计证书书。系统支持查查询业务日日志功能,提提供丰富的的查询条件件与简单易易用的查询询界面,支支持多条件件复合查询询,查询结结果支持按按业务操作作时间排序序。具体包包括系统运运行日志
33、、系系统管理日日志、帐户户日志、证证书日志和和证书撤销销列表日志志,对于事件件来源和产产生者还应应提供详细细记录,提提供多种灵灵活的报表表统计形式式。CA的审计计管理中有有统计报表表功能,可可以根据操操作日志等等信息为用用户生成满满足用户需需要的各类类统计报表表。如整个个CA 发证证量的统计计或RA 发证量的的统计等。l 证书统计功功能审计终端提提供系统在在某段时期期内总共签签发或注销销证书的数数量的统计计服务。管管理员只要要输入下列列条件:统计的起始始日期、统计的截截止日期、待统计的的证书类型型、签发/注注销系统就会提提供文字和和图表的统统计结果,并并可以将结结果打印输输出或以文文件形式保保
34、存。l RA统计功功能CA提供CCA下属的的各级RAA申请和注注销证书的的数量的统统计服务。管管理员只要要输入下列列条件:RA的编号号、申请和/或注销、起始日期期、截止日期期、待统计的的证书类型型系统就会提提供文字和和图表的统统计结果,并并可以将结结果打印输输出或以文文件形式保保存。2.1.3 流程设计CA系统中中提供很的的业务功能能因此也就就对应很多多的业务流流程,为了了能说明主主要的流程程我们只对对CA初始始化,管理理员产生、证证书申请和和下载几个个流程作详详细的描述述而其他的的流程我们们提供系统统的操作手手册,里面面有详细的的介绍。1. CA初始化化初始化。a) 产生相关的的管理员和和操
35、作员b) 有管理员授授权操作员员来产生密密钥对c) 配置密钥的的配置信息息配置相关第第三方系统统信息(数数据库地址址的)启动控制台台选择5 系系统初始化化功能系统将开始始初始化初始化成功功后系统会会产生系统统管理员一一个,下面面的操作有有这个管理理员来完成成权限的分分级和下发发2. 管理员产生生系统初始化化完成后系系统会产生生系统管理理员一个在终端系统统中安装此此管理员证证书使用系统管管理员证书书登录系统统选择证书申申请功能并并使用系统统内证书模模版完成证书申申请后使用用权限管理理功能完成成对不同管管理员的权权限设定使用新产生生的管理员员证书即可可完成对应应职责范围围内的业务务操作。3. 证书
36、申请和和下载业务管理员员登录证书书管理界面面选择证书申申请界面并并选择对应的的证书模版版填写对应的的证书申请请信息并提提交系统完成申申请信息的的处理处理成功后后返回证书书下载凭证证(参考号号和授权码码)业务管理员员将证书下下载凭证返返回给用户户用户自己登登录证书下下载界面提提交自己的的证书下载载凭证系统完成对对证书下载载凭证的验验证并验证通过过的用户信信息将完成成对应的证证书签发用户将自己己的证书加加载到自己己制定的证证书存储设设备中系统根据证证书发布策策略将证书书发布到指指定的位置置上。2.1.4 性能设计系统在根密密钥长度上上支持10024、22048、44096位位,为了保保证安全认认证
37、系统的的安全性和和系统运行行的效率,建建议根密钥钥长度为22048位位,采用硬硬件密码设设备来保证证密钥的安安全,采用用断电的方方式离线运运行。 性能参考在SUN V60 (2*33G CPPU/2GGB RAAM/Wiindowws20003)的平平台下CAA系统可以以达到的性性能如下所所示:运行时间(秒)并发用户数数成功次数失败次数签发效率(张/秒)成功率CPU使用用率60050169933028.1881100%97%600 1000167633027.5225100%97%600200242288039.6553100%97%600500396377064.6661100%97%600
38、1000379855061.2666100%97%根据上面实实际的测试试数据我们们可以推算算出,在此此硬件平台台下,CAA系统的系系统签发能能力描述如如下:证书签发效效率1000张/秒秒证书签发量量20万万/日证书签发成成功率1000%证书签发量量1000万本次投标,CCA系统的的硬件设备备的档次远远高于以上上测试数据据所使用的的设备,性性能数据远远远超过招招标书的要要求。 容量计算证书量取决决于存储空空间,每张张证书数据据库容量44K,我们们按照100万张证书书计算,110万张证证书占用4400M数数据库存储储空间,操操作系统占占用的存储储空间3GGB,以及及其他软件件占用空间间2GB。签签
39、发系统的的数据库服服务器在110万证书书量时系统统所占用的的数据容量量为:4000M+33GB+22GB66GB。考考虑到系统统需要保证证200%的数据冗冗余,磁盘盘空间大约约是需要112G。我们在签发发系统的选选用硬件平平台配置的的磁盘存储储容量远远远可以满足足实际的系系统需求,保保证签发证证书的容量量在系统许许可证的允允许下,达达到1000万张。 目录服务系系统目录服务系系统的整体体性能描述述如下: 支持负载均均衡技术,系系统具备可可伸缩配置置及动态平平滑扩展能能力; 可以根据业业务量大小小动态增减减服务单元元调整系统统业务能力力; 可以有效的的抵御各种种常见攻击击行为; 支持多并发发处理
40、; 可以根据某某一查询设设置特殊的的索引以进进行优化; 提供对系统统性能优化化的办法及及参数; 支持百万级级以上的条条目数据; 查询精确查询(1100万条条目):单单线程响应应速度不高高于1mss,50线线程响应速速度不高于于20mss模糊查询(1100万条条目):单单线程响应应速度不高高于1300ms,550线程响响应速度不不高于3000ms吞吐量:1100万条条目:= 25000次/秒秒 (500线程精确确查询)2.2 用户属性和和权限系统统(UMS)UMS系统统提供用户户管理、资资源管理、角角色管理、权权限管理、系系统管理、属属性证书签签发等相关关业务功能能,集成RATooolKitt签
41、发证书书这些功能在整个个身份认证证与授权管管理系统中中的作用如如下图所示示:2.2.1 系统简介用户属性和和权限管理理系统UMS(Uniifiedd Useer Maanageementt Sysstem)采采用集中管管理模式,可可对用户的的数字身份份、群体划划分、属性性内容等身身份数据进进行动态建建模,兼顾顾身份管理理的统一性性与灵活性性,既满足足用户、组组织机构等等身份数据据的全局统统一管理模模式,又能能够满足局局部定义的的需要。UUMS是应应用系统整整合的必要要基础,能能够为上层层的应用提提供统一的的、分布式式的、自动动化、大用用户量、基基于策略的的身份管理理服务,并并可与身份份认证系统
42、统、权限管管理系统、安安全审计管管等系统集集成,为用用户提供跨跨域单点登登录服务,可可极大简化化应用系统统中用户管理理、身份认认证等系统统的开发与与维护,提提高系统的的安全性,减少管理成本和降低复杂性,能够解决用户信息的不一致性,改善用户体验。能够与PKI/PMI系统集成为用户颁发身份证书和属性证书,并将身份信息存贮在身份库中,供其它系统使用。RATooolKitt是数字证证书注册审审批系统,是是CA的证证书发放、管管理等业务务的延伸。它它负责所有有证书申请请者的信息息录入、审审核等工作作,同时对对发放的证证书进行管管理。2.2.2 结构设计系统由存储储服务器,管管理服务器器,和管理理终端三层
43、层结构,结结合同步器器和接口组组件两个部部件构成。存储服务采采用目录服服务器和数数据库,存存放用户信信息和用户户组织结构构树。管理理端采用WWEB的信信息,通过过浏览器管管理服务系系统,同时时提供接口口和同步组组件与其他他系统交互互,和属性性证书服务务链接,为为用户属性性信息生成成属性证书书。2.2.3 功能设计用户属性和和权限管理理系统采取取“分散到集集中”的设计思思路,即把把原来分散散于各个业业务系统中中的用户管管理系统统统一采用一一个系统来来管理,各各个业务系系统不在设设置用户管管理系统,各各个业务系系统中的人人员信息以以用户属性性和权限管管理系统为为依据,通通过用户属属性和权限限管理系
44、统统提供的接接口实现业业务系统和和用户属性性和权限管管理系统之之间信息的的同步。基于用户属属性和权限限管理系统统实现对人人员的管理理,抓住了了信息化的的根本要素素:人,通通过对人员员各种公共共属性、私私有属性的的管理,可可以方便、快快速、清晰晰的实现集集中的人员员管理。用户属性和和权限管理理系统提供供符合“属地管理理”的人员管管理模式的的部署方式式,通过灵灵活、完善善的授权机机制,对人人员信息进进行统一管管理,各个个节点的管管理员只能能维护本节节点的人员员数据,实实现与人员员管理模式式相吻合的的统一用户户管理。2.2.3.1 证书注册功功能UMS中集集成的RAAToollKit拥拥有RA证证书
45、注册的的相关功能能: 证书管理u 证书申请u 证书冻结u 证书解冻u 证书更新u 证书注销u 证书下载凭凭证(授权权码)更新新对一些申请请成功但是是没有下载载的证书,RATK可以为用户重新生成下载凭证(授权码),用户使用新的下载凭证进行证书下载。u 证书制证证书申请通通过审核之之后,用户户可以通过过下载凭证证安全的下下载证书。系系统提供基基于WEBB的下载方方式,支持持多种加密密算法和密密钥长度,支支持文件、智智能卡、UUSB-KKEY等多多种存储介介质。u 证书查询u 用户信息维维护系统提供按按照用户自自定义的格格式产生用用户信息,并并可以对用用户信息进进行添加、删删除、修改改等维护方方式。
46、u 企业信息维维护系统提供按按照用户自自定义的格格式产生企企业信息,并并可以对企企业信息进进行添加、删删除、修改改等维护方方式。 证书审核u 证书申请审审核u 证书冻结审审核u 证书解冻审审核u 证书更新审审核u 证书注销审审核u 证书下载凭凭证(授权权码)更新新审核 权限管理在RATKK系统中,角角色可以根根据客户的的需要自己己订制。通通过基于角角色的用户户管理,可可以实现更更加灵活的的权限管理理。角色的创建建是通过分分配一组指指定的权限限点完成的的,权限点点是完成系系统功能的的一组操作作。只有对对权限点具具有一定操操作权限的的用户,才才能进行RRA的各种种证书业务务操作。对于RA中中的每个证证书业务员员都指定了了相应的业业务类型(模模板类型)。 系统管理u 模板管理RATK定定时与CAA模板保持持同步,下下载CA中中模板信息息,也可以以通过手动动方式进行行与CA的的模板同步步操作。对RATKK中的模板板统一配置置审核策略略,即RAATK中的所所有用户根根据模板的的不同采用用不同的审审核策略,并并且不同的的业务采取取不同的审审核策略。u 更新CRLL信息RATK定定时与CAA发布的CCRL信息息保持同步步,也可以以通过手动动方式进行行与CA的CRRL信息同同步操作。获取的CRRL