數(shù)字身份系統(tǒng)管理

前言：本站為你精心整理了數(shù)字身份系統(tǒng)管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

基于PK!的UniTruslt.DIDMS''''""2.0

UniTrustDIDMSTM全稱為數(shù)字身份管理系統(tǒng)(DigitalIDManagementSystem).是上海市電子商務(wù)安全證書管理中心有限公司在實(shí)際運(yùn)作過程中根據(jù)用戶需求開發(fā)的一套企業(yè)級(jí)的PKI解決方案套件。

UniTrustDIDMSTM是一臺(tái)軟硬一體機(jī)設(shè)備系統(tǒng)包含兩大組件:DIDMSTMCA和DIDMSTMPMI&SSO。其中DIDMSTMCA通過提供身份認(rèn)證等服務(wù)使用戶能以最少的投資建立起一個(gè)可控、方便的企業(yè)信息化安全管理系統(tǒng).它如同一個(gè)微型化的公網(wǎng)CA系統(tǒng)，幾乎能夠?qū)崿F(xiàn)CA所提供的所有功能，包括系統(tǒng)初始化、系統(tǒng)管理、用戶信息管理、證書申請(qǐng)信息管理、證書管理、日志管理、證書查詢、CRL服務(wù)、在線證書狀態(tài)查詢、訪問控制、用戶證書介質(zhì)制作等等。此外，它能夠存儲(chǔ)長(zhǎng)達(dá)7年的證書量推薦的證書簽發(fā)量不超過1萬張.能夠同時(shí)支持SHECA的UniTrustSafeEngine和證書管理器接口以進(jìn)行應(yīng)用開發(fā);而DIDMSTMPMI&SSO基于前者開發(fā)不僅提高了系統(tǒng)的安全性.而且實(shí)現(xiàn)了對(duì)信息資源訪問的集中控制。此外基于角色的權(quán)限管理模型可提供企業(yè)極其方便的權(quán)限控制集中的身份認(rèn)證方式則使用戶只要登錄一次，就可以訪l’ed所有的授權(quán)服務(wù)。DIDMSTMPMI&SSO包括DIDMS-SSOClient客戶端軟件和DIDMSTMPMI服務(wù)器。

DIDNtmCA組件

DIDMSTmCA功能模塊說明:

系統(tǒng)初始化

執(zhí)行系統(tǒng)初始化功能.包括刪除所有數(shù)據(jù).生成缺省的系統(tǒng)管理員、系統(tǒng)操作員;生成或指定根證書;更改系統(tǒng)IP地址等。

系統(tǒng)管理

系統(tǒng)管理功能要求必須超過半數(shù)系統(tǒng)管理員的PIN卡驗(yàn)證通過后才能訪問本模塊中主要提供了系統(tǒng)管理員管理、操作員管理、根證書服務(wù)、系統(tǒng)服務(wù)管理、系統(tǒng)日志管理、License管理、數(shù)據(jù)備份、系統(tǒng)恢復(fù)等十二項(xiàng)功能。其中日志管理記錄有每次的操作其主要作用有二:一是用于事后故障清查的系統(tǒng)維護(hù)方面二是事故處理.為系統(tǒng)安全審計(jì)提供現(xiàn)場(chǎng)記錄數(shù)據(jù).是安全審計(jì)與追蹤的基礎(chǔ)。

用戶信息和證書管理

用戶信息管理部分主要提供對(duì)用戶信息的增加、修改和刪除操作.系統(tǒng)對(duì)于操作的用戶劃分為單位、單位部門、單位個(gè)人以及服務(wù)器四種類型。證書管理部分則包括了對(duì)證書的申請(qǐng)、簽發(fā)、審核、作廢、暫停、恢復(fù)等操作功能.并且提供對(duì)證書的介質(zhì)初始化、用戶證書信息的統(tǒng)計(jì)以及用戶歷史信息查詢等操作。

其中證書簽發(fā)支持離線或在線簽發(fā)兩種方式前者的密鑰對(duì)由DIDMSTM自行生成后者密鑰對(duì)則在客戶端由瀏覽器或其他PKI軟件生成;對(duì)用戶歷史信息的查詢采用了模糊查詢方式，用戶可以輸入一定的條目如Email或姓名等就能獲得相應(yīng)的證書列表。

用戶自服務(wù)

本模塊可以提供系統(tǒng)用戶本身對(duì)其證書的相應(yīng)操作。包括:用戶信息的增添、修改;證書的申請(qǐng)、申請(qǐng)的修改和刪除;證書下載、根證書下載證書更新;證書廢除;在線證書狀態(tài)查詢證書吊銷名單(CRL)查詢等。其中證書更新中，當(dāng)用戶證書即將過期時(shí)系統(tǒng)會(huì)自動(dòng)提醒客戶進(jìn)行證書更新(email提醒)此外系統(tǒng)會(huì)定期最新的CRL。

DIDMSPMI&SSO組件

基于用戶角色的權(quán)限管理(PMI)

企業(yè)在管理自己的信息系統(tǒng)中常常需要為每個(gè)用戶劃定其使用的職能范圍。多系統(tǒng)、多用戶、多個(gè)角色群體..，這些約束條件如何合理的分配、設(shè)定并有機(jī)的結(jié)合起來，成為企業(yè)能否有效、安全的進(jìn)行信息化建設(shè)的重要因素。采取利用角色對(duì)系統(tǒng)功能進(jìn)行組織分類的方式可使系統(tǒng)管理員對(duì)系統(tǒng)權(quán)限的分配和管理都以角色為基礎(chǔ)，能夠極大的減輕其管理負(fù)擔(dān)。

DIDMSEMI&SSO特性

DIDMSPMI&SSO采取了基于角色的權(quán)限管理模型使得企業(yè)對(duì)權(quán)限的管理更加合理、方便，并且實(shí)現(xiàn)了對(duì)信息資源訪問的集中控制。通過該系統(tǒng)，用戶只需要進(jìn)行一次登錄就可以訪問所有的授權(quán)服務(wù)。此外系統(tǒng)還采用了集中的身份認(rèn)證方式。如果用戶通過了對(duì)DIDMSPMI&SSO的登錄，則系統(tǒng)就能夠?yàn)橛脩籼峁┳詣?dòng)登錄到應(yīng)用系統(tǒng)的功能。由于整個(gè)設(shè)計(jì)采用的是基于PKI的加密和驗(yàn)證技術(shù)系統(tǒng)因此具備極高的安全性。

圖中是DIDMSPMI&SSO的邏輯結(jié)構(gòu)，比如:某個(gè)組織中有n個(gè)WEBServer或n個(gè)WEB應(yīng)用服務(wù)，下面以一個(gè)用戶通過瀏覽器訪問他的授權(quán)業(yè)務(wù)為例說明系統(tǒng)是如何工作的。

用戶首先用自己的證書登錄客戶端的程序當(dāng)通過瀏覽器訪問一個(gè)URL時(shí)瀏覽器把請(qǐng)求發(fā)給客戶端的程序程序把用戶的簽名信息加密發(fā)送給DIDMSPMI&SSO服務(wù)器，服務(wù)器首先驗(yàn)證該用戶的簽名信息，證明用戶的身份獲取他的角色然后查找權(quán)限分配庫，如果所請(qǐng)求的資源(URL)已經(jīng)分配給用戶所屬的角色則表示該用戶有訪問該資源的權(quán)限服務(wù)器通過分析該資源的來源向提供該資源的WEBServer或WEB應(yīng)用服務(wù)請(qǐng)求資源獲取資源后DIDMSPMI&SSO服務(wù)器把結(jié)果通過客戶端的程序返回給瀏覽器用戶就可以看到自己所請(qǐng)求的資源了。

所有的權(quán)限控制都在DIDMSPMI&SSO服務(wù)器上實(shí)現(xiàn)實(shí)現(xiàn)了統(tǒng)一的集中的訪問控制同時(shí)，在DIDMSSSOClient的幫助下.系統(tǒng)還實(shí)現(xiàn)了用戶的單點(diǎn)登錄。

DIDMSPMI&SSO功能說明:

資源定義和管理

主要執(zhí)行資源(URL)目錄信息管理的工作，包括資源(URL)信息的增加、修改、刪除。

角色定義和管理

主要執(zhí)行系統(tǒng)中的角色信息管理的工作包括角色信息的增加、修改、刪除。

訪問權(quán)限分配

主要執(zhí)行對(duì)角色分配該角色所能訪問的資源(URL)的工作，包括給資源(URL)設(shè)定能訪問該資源的角色和移除能訪問該資源(URL)的角色等幾種操作方式。

用戶角色管理

主要執(zhí)行為用戶指派角色和取消用戶角色的工作

單點(diǎn)登錄

提供客戶端的單點(diǎn)登錄程序?qū)崿F(xiàn)用戶僅使用證書就可以對(duì)系統(tǒng)內(nèi)所有服務(wù)的進(jìn)行單點(diǎn)登錄

完善的審計(jì)和日志

提供對(duì)用戶訪問的歷史紀(jì)錄的查詢備份刪除等維護(hù)功能

系統(tǒng)管理

提供對(duì)DIDMSPMI&SSO系統(tǒng)的管理和維護(hù)功能。包括對(duì)PMI&SSO服務(wù)器的配置、啟動(dòng)、關(guān)閉等。