基于pKI的数字身份管理系统

基于pk!的unitruslt. didms'""2.0

unitrust didmstm全称为数字身份管理系统(digitalid management system).是上海市电子商务安全证书管理中心有限公司在实际运作过程中根据用户需求开发的一套企业级的pki解决方案套件。

unitrust didmstm是一台软硬一体机设备系统包含两大组件:didmstmca和didmstmpmi&sso。其中didmstmca通过提供身份认证等服务使用户能以最少的投资建立起一个可控、方便的企业信息化安全管理系统.它如同一个微型化的公网ca系统，几乎能够实现ca所提供的所有功能，包括系统初始化、系统管理、用户信息管理、证书申请信息管理、证书管理、日志管理、证书查询、crl服务、在线证书状态查询、访问控制、用户证书介质制作等等。此外，它能够存储长达7年的证书量推荐的证书签发量不超过1万张.能够同时支持sheca的unitrust safeengine和证书管理器接口以进行应用开发;而didmstmpmi&sso基于前者开发不仅提高了系统的安全性.而且实现了对信息资源访问的集中控制。此外基于角色的权限管理模型可提供企业极其方便的权限控制集中的身份认证方式则使用户只要登录一次，就可以访l’ed所有的授权服务。didmstm pmi&sso包括didms-sso client客户端软件和didmstm pmi服务器。wwW.11665.coM

　

didntm ca组件

didmstm ca功能模块说明:

系统初始化

执行系统初始化功能.包括删除所有数据.生成缺省的系统管理员、系统操作员;生成或指定根证书;更改系统ip地址等。

系统管理

系统管理功能要求必须超过半数系统管理员的pin卡验证通过后才能访问本模块中主要提供了系统管理员管理、操作员管理、根证书服务、系统服务管理、系统日志管理、license管理、数据备份、系统恢复等十二项功能。其中日志管理记录有每次的操作其主要作用有二:一是用于事后故障清查的系统维护方面二是事故处理.为系统安全审计提供现场记录数据.是安全审计与追踪的基础。

用户信息和证书管理

用户信息管理部分主要提供对用户信息的增加、修改和删除操作.系统对于操作的用户划分为单位、单位部门、单位个人以及服务器四种类型。证书管理部分则包括了对证书的申请、签发、审核、作废、暂停、恢复等操作功能.并且提供对证书的介质初始化、用户证书信息的统计以及用户历史信息查询等操作。

其中证书签发支持离线或在线签发两种方式前者的密钥对由didmstm自行生成后者密钥对则在客户端由浏览器或其他pki软件生成;对用户历史信息的查询采用了模糊查询方式，用户可以输入一定的条目如email或姓名等就能获得相应的证书列表。

用户自服务

本模块可以提供系统用户本身对其证书的相应操作。包括:用户信息的增添、修改;证书的申请、申请的修改和删除;证书下载、根证书下载证书更新;证书废除;在线证书状态查询证书吊销名单(crl)查询等。其中证书更新中，当用户证书即将过期时系统会自动提醒客户进行证书更新(email提醒)此外系统会定期发布最新的crl。

didms pmi&sso组件

基于用户角色的权限管理(pmi)

企业在管理自己的信息系统中常常需要为每个用户划定其使用的职能范围。多系统、多用户、多个角色群体..，这些约束条件如何合理的分配、设定并有机的结合起来，成为企业能否有效、安全的进行信息化建设的重要因素。采取利用角色对系统功能进行组织分类的方式可使系统管理员对系统权限的分配和管理都以角色为基础，能够极大的减轻其管理负担。

didms emi&sso特性

didms pmi&sso采取了基于角色的权限管理模型使得企业对权限的管理更加合理、方便，并且实现了对信息资源访问的集中控制。通过该系统，用户只需要进行一次登录就可以访问所有的授权服务。此外系统还采用了集中的身份认证方式。如果用户通过了对didms pmi&sso的登录，则系统就能够为用户提供自动登录到应用系统的功能。由于整个设计采用的是基于pki 的加密和验证技术系统因此具备极高的安全性。

图中是didms pmi&sso的逻辑结构，比如:某个组织中有n个web server或n个web应用服务，下面以一个用户通过浏览器访问他的授权业务为例说明系统是如何工作的。

用户首先用自己的证书登录客户端的代理程序当通过浏览器访问一个url时浏览器把请求发给客户端的代理程序代理程序把用户的签名信息加密发送给didms pmi&sso服务器，服务器首先验证该用户的签名信息，证明用户的身份获取他的角色然后查找权限分配库，如果所请求的资源(url)已经分配给用户所属的角色则表示该用户有访问该资源的权限服务器通过分析该资源的来源向提供该资源的web server或web应用服务请求资源获取资源后didms pmi&sso服务器把结果通过客户端的代理程序返回给浏览器用户就可以看到自己所请求的资源了。

所有的权限控制都在didms pmi&sso服务器上实现实现了统一的集中的访问控制同时，在didms ssoclient的帮助下.系统还实现了用户的单点登录。

didms pmi&sso功能说明:

资源定义和管理

主要执行资源(url)目录信息管理的工作，包括资源(url)信息的增加、修改、删除。

角色定义和管理

主要执行系统中的角色信息管理的工作包括角色信息的增加、修改、删除。

访问权限分配

主要执行对角色分配该角色所能访问的资源(url)的工作，包括给资源(url)设定能访问该资源的角色和移除能访问该资源(url)的角色等几种操作方式。

用户角色管理

主要执行为用户指派角色和取消用户角色的工作

单点登录

提供客户端的单点登录代理程序实现用户仅使用证书就可以对系统内所有服务的进行单点登录

完善的审计和日志

提供对用户访问的历史纪录的查询备份删除等维护功能

系统管理

提供对didms pmi&sso系统的管理和维护功能。包括对pmi&sso服务器的配置、启动、关闭等。