基于PKI的数字身份管理系统.doc

基于PKI的数字身份管理系统引 言互联网已经成为人们生活中重要的沟通方式，商业交易也已经从传统方式转变为与虚拟网络方式相结合，而在通过网络进行的交易中，最重要的是交易过程的安全性，这些安全性需求包括数据的机密性、真实性、完整性、不可抵赖性。为了满足这些安全需求，国际国内科学界和产业界经过多年的研究，初步形成了一套完整的互联网安全解决方案，即目前逐步被采用的PKI技术（Public Key Infrastructure，公钥基础设施）。 众所周知，Internet是一个开放的网络环境，但开放也带来了诸多的安全问题，而PKI正是经过实践检验基本可行的安全解决方案。PKI体系结构把对称密码学和非对称密码学的科学计算理论结合在一起，解决信息网络空间中各种主体（组织、个人、设备等）身份的唯一性、真实性和合法性，它既不是电子商务和电子政务的附属物，也不是单纯的密码算法或密码产品。广义上讲，所有提供公钥加密和数字签名服务的系统，都可以叫做PKI系统，PKI的主要目的是通过自动的密钥和证书管理，为用户建立起一个安全的网络运行环境，使用户在多种应用环境下可以方便地使用数据加密和数字签名技术，从而保证网上数据的机密性、完整性和有效性。PKI体系结构采用数字证书来管理公钥，通过第三方可信机构CA（Certificate Authority）把用户的公钥和用户其它标识信息（如名称、email、身份证号码等）捆绑在一起，从而达到在Internet上验证用户身份的目的。一个有效的PKI系统必须是安全的和透明的，因为PKI的价值就是使用户能够方便地使用加密、数字签名等安全服务，因此PKI体系必须有一套完善的、标准化的，而且能够被国际社会最终认可的标准和协议，使得符合该标准开发的各种各样的应用能够以安全、一致、可信的方式在PKI中交互，从而确保安全网络环境的完整性和易用性。PKI产生于二十世纪八十年代，它是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。不难看出，建立以PKI为基础的安全解决方案，无论是对在Intranet上开展的无纸办公等内部业务，还是对电子支付、网上证券交易、网上购物、网上教育、网上娱乐等网络应用，都是一种安全可靠的选择。基于PKI的UniTrust DIDMS 2.0UniTrust DIDMS全称为数字身份管理系统（Digital ID Management System），是上海市电子商务安全证书管理中心有限公司在实际运作过程中，根据用户需求开发的一套企业级的PKI解决方案套件。UniTrust DIDMS是一台软硬一体机设备，系统包含两大组件：DIDMS CA和 DIDMSPMI&SSO。其中DIDMS CA通过提供身份认证等服务，使用户能以最少的投资建立起一个可控、方便的企业信息化安全管理系统，它如同一个微型化的公网CA系统，几乎能够实现CA所提供的所有功能，包括系统初始化、系统管理、用户信息管理、证书申请信息管理、证书管理、日志管理、证书查询、CRL服务、在线证书状态查询、访问控制、用户证书介质制作等等。此外，它能够存储长达7年的证书量，推荐的证书签发量不超过1万张，能够同时支持SHECA的UniTrust SafeEngine和证书管理器接口，以进行应用开发；而DIDMSPMI&SSO基于前者开发，不仅提高了系统的安全性，而且实现了对信息资源访问的集中控制，此外基于角色的权限管理模型，可提供企业极其方便的权限控制，集中的身份认证方式，则使用户只要登录一次，就可以访问所有的授权服务，DIDMS PMI&SSO 包括DIDMS-SSO Client客户端软件和DIDMS PMI服务器。n DIDMS CA组件DIDMS CA架构图应用系统SafeEngine证书管理器DIDMS系统初始化/系统管理/用户信息和证书管理/用户自服务证书编码OCSP/CRL等编码签发证书/黑名单/OCSP等用户信息证书信息管理编码加解密数据库DIDMS CA功能模块说明：系统初始化执行系统初始化功能，包括删除所有数据，生成缺省的系统管理员、系统操作员；生成或指定根证书；更改系统IP地址等。系统管理系统管理功能要求必须超过半数系统管理员的PIN卡验证通过后才能访问，本模块中主要提供了系统管理员管理、操作员管理、根证书服务、系统服务管理、系统日志管理、License管理、数据备份、系统恢复等十二项功能。其中日志管理记录有每次的操作，其主要作用有二：一是用于事后故障清查的系统维护方面；二是事故处理，为系统安全审计提供现场记录数据，是安全审计与追踪的基础。用户信息和证书管理用户信息管理部分主要提供对用户信息的增加、修改和删除操作，系统对于操作的用户划分为单位、单位部门、单位个人以及服务器四种类型。证书管理部分则包括了对证书的申请、签发、审核、作废、暂停、恢复等操作功能，并且提供对证书的介质初始化、用户证书信息的统计以及用户历史信息查询等操作。其中证书签发支持离线或在线签发两种方式，前者的密钥对由DIDMS自行生成，后者密钥对则在客户端由浏览器或其他PKI软件生成；对用户历史信息的查询采用了模糊查询方式，用户可以输入一定的条目如Email或姓名等就能获得相应的证书列表。用户自服务本模块可以提供系统用户本身对其证书的相应操作。包括：用户信息的增添、修改；证书的申请、申请的修改和删除；证书下载、根证书下载；证书更新；证书废除；在线证书状态查询；证书吊销名单（CRL）查询等。其中证书更新中，当用户证书即将过期时，系统会自动提醒客户进行证书更新(email提醒)，此外系统会定期发布最新的CRL。n DIDMS PMI&SSO组件基于用户角色的权限管理(PMI)企业在管理自己的信息系统中，常常需要为每个用户划定其使用的职能范围。多系统、多用户、多个角色群体 ，这些约束条件如何合理的分配、设定并有机的结合起来，成为企业能否有效、安全的进行信息化建设的重要因素。采取利用角色对系统功能进行组织分类的方式，可使系统管理员对系统权限的分配和管理都以角色为基础，能够极大的减轻其管理负担。DIDMS PMI&SSO特性DIDMS PMI&SSO采取了基于角色的权限管理模型，使得企业对权限的管理更加合理、方便，并且实现了对信息资源访问的集中控制。通过该系统，用户只需要进行一次登录，就可以访问所有的授权服务。此外，系统还采用了集中的身份认证方式。如果用户通过了对DIDMS PMI&SSO的登录，则系统就能够为用户提供自动登录到应用系统的功能。由于整个设计采用的是基于PKI的加密和验证技术，系统因此具备极高的安全性。DIDMS PMI&SSO功能模块架构图DIDMS CA签名、验证加解密权限管理数据库DIDMS PMI&SSOWEB应用系统系统逻辑结构WEB Server 1/WEB APP 1DIDMS PMI&SSO服务器WEB Server2/WEB APP2DIDMS PMI&SSOClient代理程序WEB Server n/WEB APP n用户浏览器图解：图中是DIDMS PMI&SSO的逻辑结构，比如：某个组织中有n个WEB Server或n个WEB 应用服务，下面以一个用户通过浏览器访问他的授权业务为例，说明系统是如何工作的。用户首先用自己的证书登录客户端的代理程序，当通过浏览器访问一个URL时，浏览器把请求发给客户端的代理程序，代理程序把用户的签名信息加密发送给DIDMS PMI&SSO服务器，服务器首先验证该用户的签名信息，证明用户的身份获取他的角色，然后查找权限分配库，如果所请求的资源（URL）已经分配给用户所属的角色，则表示该用户有访问该资源的权限，服务器通过分析该资源的来源，向提供该资源的WEB Server或WEB应用服务请求资源，获取资源后DIDMS PMI&SSO 服务器把结果通过客户端的代理程序返回给 浏览器，用户就可以看到自己所请求的资源了。所有的权限控制都在DIDMS PMI&SSO服务器上实现，实现了统一的集中的访问控制，同时，在DIDMS SSO Client的帮助下，系统还实现了用户的单点登录。DIDMS PMI&SSO功能说明:资源定义和管理主要执行资源(URL)目录信息管理的工作，包括资源(URL)信息的增加、修改、删除。角色定义和管理主要执行系统中的角色信息管理的工作，包括角色信息的增加、修改、删除。访问权限分配主要执行对角色分配该角色所能访问的资源（URL）的工作，包括给资源（URL）设定能访问该资源的角色和移除能访问该资源(URL)的角色等几种操作方式。用户角色管理 主要执行为用户指派角色和取消用户角色的工作单点登录提供客户端的单点登录代理程序，实现用户仅使用证书就可以对系统内所有服务的进行单点登录完善的审计和日志提供对用户访问的历史纪录的查询，备份，删除等维护功能系统管理提供对DIDMS PMI&SSO系统的管理和维护功能。包括对PMI&SSO 服务器的配置、启动、关闭等。DIDMS 2.0系统特点 DIDMS软硬一体化DIDMS为软硬一体机，能够充分发挥硬件特性，便于管理和维护，并减少人为干预。 兼容的应用软件和操作系统DIDMS可与以下软件协同工作1） 客户端应用程序：Netscape Navigator，Netscape Communication，Microsoft Internet Exploer，UniTrust SafeEngine, UniTrust 证书管理器2) 各种WEB服务器：MicroSoft IIS WebServer ,Netscape Enterprise , Apache , Java WebServer， Domino等3）遵从X.509 和 PKCS的所有 PKI 应用程序。 充分满足或支持以下国际标准：X509v1 、X509v2、X509v3 、CRL、OCSP、TimeStamp、PKCS1、PKCS8、PKCS7、PKCS10、ASN1、MIME、SSL、SMIME、LDAP 采用国家密码委认可的加密算法RSA、SDBI 、SHA1、MD5、MD2 单点登录同一用户访问不同的资源，只需登录一次，方便了用户的操作，提高了用户的工作效率 统一的权限管理使用了DIDMS PMI&SSO之后，用户只需要使用自己的证书就可以访问到获得授权的组织内部的所有WEB服务器和WEB应用基于角色的灵活的用户权限分配方式 能够存储长达7年的证书量，可签发11万张证书 系统采用一级管理模式代替 CA-RA结构 简洁美观的 WEB操作界面，简单易用 支持各种介质，如软盘、IC卡、USB Key以及服务器等 应用动态口令技术确保密钥的在线安全使用DIDMS应用实例简介 - 浙江移动通信电子充值系统浙江移动通信有限责任公司，是中国移动（香港）有限公司的全资内地营运子公司，在全省拥有11个市分公司和62个县（市）分公司。目前公司移动电话客户总数已突破800万户，网络规模和客户总数连续7年位居全国第二位。随着神州行充值卡以及全球通缴费用户的增多及使用的普及，制卡成本高、刮刮卡容易假冒、不同地区售卡佣金差异带来的市场混乱，物理卡存放与运输的不方便等问题随之而来。为解决以上问题，浙江移动决定建立现金充值缴费/电子充值券分销系统。为确保该电子充值系统的安全性，浙江移动通信采用了SHECA的基于PKI体系产品