基于pKI的数字身份管理系统.doc_第1页
基于pKI的数字身份管理系统.doc_第2页
基于pKI的数字身份管理系统.doc_第3页
基于pKI的数字身份管理系统.doc_第4页
基于pKI的数字身份管理系统.doc_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

基于pKI的数字身份管理系统基于PK!的UniTruslt. DIDMS2.0 UniTrust DIDMSTM全称为数字身份管理系统(DigitalID Management System).是上海市电子商务安全证书管理中心有限公司在实际运作过程中根据用户需求开发的一套企业级的PKI解决方案套件。 UniTrust DIDMSTM是一台软硬一体机设备系统包含两大组件:DIDMSTMCA和DIDMSTMPMI&SSO。其中DIDMSTMCA通过提供身份认证等服务使用户能以最少的投资建立起一个可控、方便的企业信息化安全管理系统.它如同一个微型化的公网CA系统,几乎能够实现CA所提供的所有功能,包括系统初始化、系统管理、用户信息管理、证书申请信息管理、证书管理、日志管理、证书查询、CRL服务、在线证书状态查询、访问控制、用户证书介质制作等等。此外,它能够存储长达7年的证书量推荐的证书签发量不超过1万张.能够同时支持SHECA的UniTrust SafeEngine和证书管理器接口以进行应用开发;而DIDMSTMPMI&SSO基于前者开发不仅提高了系统的安全性.而且实现了对信息资源访问的集中控制。此外基于角色的权限管理模型可提供企业极其方便的权限控制集中的身份认证方式则使用户只要登录一次,就可以访led所有的授权服务。DIDMSTM PMI&SSO包括DIDMS-SSO Client客户端软件和DIDMSTM PMI服务器。DIDNtm CA组件 DIDMSTm CA功能模块说明: 系统初始化 执行系统初始化功能.包括删除所有数据.生成缺省的系统管理员、系统操作员;生成或指定根证书;更改系统IP地址等。 系统管理 系统管理功能要求必须超过半数系统管理员的PIN卡验证通过后才能访问本模块中主要提供了系统管理员管理、操作员管理、根证书服务、系统服务管理、系统日志管理、License管理、数据备份、系统恢复等十二项功能。其中日志管理记录有每次的操作其主要作用有二:一是用于事后故障清查的系统维护方面二是事故处理.为系统安全审计提供现场记录数据.是安全审计与追踪的基础。 用户信息和证书管理用户信息管理部分主要提供对用户信息的增加、修改和删除操作.系统对于操作的用户划分为单位、单位部门、单位个人以及服务器四种类型。证书管理部分则包括了对证书的申请、签发、审核、作废、暂停、恢复等操作功能.并且提供对证书的介质初始化、用户证书信息的统计以及用户历史信息查询等操作。其中证书签发支持离线或在线签发两种方式前者的密钥对由DIDMSTM自行生成后者密钥对则在客户端由浏览器或其他PKI软件生成;对用户历史信息的查询采用了模糊查询方式,用户可以输入一定的条目如Email或姓名等就能获得相应的证书列表。 用户自服务 本模块可以提供系统用户本身对其证书的相应操作。包括:用户信息的增添、修改;证书的申请、申请的修改和删除;证书下载、根证书下载证书更新;证书废除;在线证书状态查询证书吊销名单(CRL)查询等。其中证书更新中,当用户证书即将过期时系统会自动提醒客户进行证书更新(email提醒)此外系统会定期发布最新的CRL。DIDMS PMI&SSO组件 基于用户角色的权限管理(PMI) 企业在管理自己的信息系统中常常需要为每个用户划定其使用的职能范围。多系统、多用户、多个角色群体.,这些约束条件如何合理的分配、设定并有机的结合起来,成为企业能否有效、安全的进行信息化建设的重要因素。采取利用角色对系统功能进行组织分类的方式可使系统管理员对系统权限的分配和管理都以角色为基础,能够极大的减轻其管理负担。 DIDMS EMI&SSO特性 DIDMS PMI&SSO采取了基于角色的权限管理模型使得企业对权限的管理更加合理、方便,并且实现了对信息资源访问的集中控制。通过该系统,用户只需要进行一次登录就可以访问所有的授权服务。此外系统还采用了集中的身份认证方式。如果用户通过了对DIDMS PMI&SSO的登录,则系统就能够为用户提供自动登录到应用系统的功能。由于整个设计采用的是基于PKI 的加密和验证技术系统因此具备极高的安全性。 图中是DIDMS PMI&SSO的逻辑结构,比如:某个组织中有n个WEB Server或n个WEB应用服务,下面以一个用户通过浏览器访问他的授权业务为例说明系统是如何工作的。 用户首先用自己的证书登录客户端的代理程序当通过浏览器访问一个URL时浏览器把请求发给客户端的代理程序代理程序把用户的签名信息加密发送给DIDMS PMI&SSO服务器,服务器首先验证该用户的签名信息,证明用户的身份获取他的角色然后查找权限分配库,如果所请求的资源(URL)已经分配给用户所属的角色则表示该用户有访问该资源的权限服务器通过分析该资源的来源向提供该资源的WEB Server或WEB应用服务请求资源获取资源后DIDMS PMI&SSO服务器把结果通过客户端的代理程序返回给浏览器用户就可以看到自己所请求的资源了。 所有的权限控制都在DIDMS PMI&SSO服务器上实现实现了统一的集中的访问控制同时,在DIDMS SSOClient的帮助下.系统还实现了用户的单点登录。DIDMS PMI&SSO功能说明: 资源定义和管理 主要执行资源(URL)目录信息管理的工作,包括资源(URL)信息的增加、修改、删除。 角色定义和管理 主要执行系统中的角色信息管理的工作包括角色信息的增加、修改、删除。访问权限分配主要执行对角色分配该角色所能访问的资源(URL)的工作,包括给资源(URL)设定能访问该资源的角色和移除能访问该资源(URL)的角色等几种操作方式。用户角色管理主要执行为用户指派角色和取消用户角色的工作单点登录 提供客户端的单点登录

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论