身份认证与授权管理系统技术建议书

身份认证与统一用户、授权管理系统身份认证与统一用户、授权管理系统 技术建议书技术建议书 吉大正元信息技术股份有限公司 2020 年 6 月 8 日 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 2 页 共 32 页 目录目录 1 1总体设计总体设计.3 1.1系统设计目标.3 1.2系统框架设计.4 1.3系统平台部署.4 1.4系统特性.6 1.5产品设计列表.7 2 2子模块功能说明子模块功能说明.9 2.1证书签发系统（CA）.9 2.1.1结构设计.10 2.1.2功能设计.10 2.1.3流程设计.19 2.1.4性能设计.21 2.2用户属性和权限系统（UMS）.22 2.2.1系统简介.23 2.2.2结构设计.24 2.2.3功能设计.25 2.2.4身份管理集成.32 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 3 页 共 32 页 1 1总体设计总体设计 1.11.1 系统设计目标系统设计目标 用用户户（使使用用数数字字证证书书 AP 终终端端/ / 域域环环境境 VPN 网网络络接接入入认认证证 域域环环境境认认证证 业业务务支支撑撑 应应用用系系统统证证书书登登录录 系系统统1 系系统统2 系系统统n 网网络络 设设备备 WORD文文档档 表表单单数数据据 加加密密和和数数字字签签名名 ） 用户只使用一张数字证书，实现对整个系统的安全的单点登录，管理各个 应用系统、网络设备、主机等。这就是所谓的“一卡通” 。 “一卡通”过程如下： 用户登录统一管理终端，通过 IC 卡、智能卡或者 USBkey 等方式输入自己的数 字证书，系统对用户的身份、属性、权限等进行认证和识别，识别通过后，用 户就能够按照界定的权限，管理整个系统上的各个应用系统、网络设备、主机 等等。 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 4 页 共 32 页 1.21.2 系统框架设计系统框架设计 统统一一用用户户属属性性和和权权限限管管理理系系统统 实实体体数数字字标标识识的的提提供供 应应用用系系统统 登登录录认认证证 网网络络设设备备 接接入入认认证证 操操作作系系统统 登登录录认认证证 统统一一标标准准体体系系 CA身身份份认认证证基基础础平平台台 主主机机/设设备备/网网元元 支支持持802.1x网网络络设设备备的的接接入入 基基础础PKI平平台台应应用用安安全全支支撑撑平平台台应应用用，主主机机设设备备 实实体体/数数字字标标识识 实实体体数数字字身身份份 的的管管理理和和授授权权 证证书书注注册册 身身份份验验证证 单单点点登登录录 应应用用系系统统1 1 应应用用系系统统2 2 应应用用系系统统3 3 应应用用系系统统n n 设计框架说明： 基于用户对应用安全的需求，我们构建了 CA 身份认证基础平台和统一用 户属性和权限管理系统，整合用户原有的各个应用系统、主机、网络设备，组 成一个统一、完善的应用安全认证体系。其中的 CA 身份认证基础平台负责对 体系中的各个应用系统、主机、网络设备和管理端进行数字身份的签发和管理； 统一用户属性和权限管理系统负责验证管理身份、属性和权限。 1.31.3 系统系统平台平台部署部署 设计内容主要分为：CA 认证系统、UMS 用户属性和权限管理系统。下面的 方案也是从这两个部分分别给予介绍的。 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 5 页 共 32 页 歌歌华华IP VPN 应应用用服服务务器器 磁磁带带库库磁磁盘盘阵阵列列2 磁磁盘盘阵阵列列1 SAN交交换换机机 存存储储服服务务器器存存储储服服务务器器存存储储服服务务器器备备份份服服务务器器数数据据库库服服务务器器 核核 心心 交交 换换 机机 三三 层层 交交 换换 机机 接接入入交交换换机机 防防火火墙墙 核核 心心 交交 换换 机机 防防火火墙墙 存存储储系系统统 存存储储 阵阵列列 应应用用服服务务器器系系统统 郊郊区区监监测测前前端端 局局办办公公用用户户 核核心心交交换换层层 千兆以太网交换机 广广 播播 信信 号号 广广播播信信号号服服务务器器 前前 端端 采采 集集 系系 统统 CA(含含LDAP)UMS 统统一一管管理理终终端端 身身份份认认证证与与授授权权管管理理系系统统 总体结构图总体结构图 部署说明部署说明 1. 认证系统（完成对实体身份的签发和管理） CA Server：由一台配置了 CA、LDAP 的服务器 IBM xSeries 3250 组成。 2. 用户属性和权限管理系统（完成对实体权限的签发和管理） UMS Server：由一台配置了 UMS（内置 RATK）的服务器 IBM xSeries 3250 组成。 3. 统一管理终端：（通过“一卡通”登录到整个身份认证与授权管理系统， 进行数字证书的管理和用户属性和权限的统一管理操作） 由网内台式维护管理终端或便携式维护管理终端担当。 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 6 页 共 32 页 1.41.4 系统特性系统特性 系统透明性系统透明性 在身份认证与统一用户、授权管理系统的整体设计中，使用的所有的产品 均实现了高度的产品化，对用户完全透明。 系统兼容性系统兼容性 系统采用开放性设计，可以和多种产品和标准相互兼容，具体如下所示： 操作系统支持：Windows、IBM AIX、HP UNIX、SUN Solaris、 、AS400、Linux 等 数据库支持：SQL Server、Oracle、IBM DB2、Sybase 等 目录服务器支持：SUN One LDAP、ITEC LDAP、Open LDAP、Active Directory、GALAXY（吉大正元银河目录服务器） 支持密码算法：RSA、SSF33、SDBI、DES、CAST、RC2、Triple- DES、自定义算法等等 证书存储介质：硬盘、IC 卡、USBKEY、JAVA CARD 等 系统易操作性系统易操作性 系统采用 B/S 服务模式，安装部署工作只需要在服务端进行，部署工作方 便灵活。客户端无需安装任何客户端软件，完全基于浏览器即可完成所有的管 理操作，管理终端与服务器之间采用 SSL 安全连接，并且采用管理员证书进行 身份得确认。整体界面采用中文输出，证书业务操作简单直观。 系统易维护性系统易维护性 系统从硬件环境以及软件环境均提供了直观简便的配置管理工具，可以随 时监控设备以及软件系统的状态，同时对用户的信息进行日志和审计。 系统可部署性系统可部署性 支持多种方式证书载体，如多个厂商的 USBKey、IC 卡等，同时支持 PKCS7、PKCS11 接口； 通过应用安全支撑平台的方式对应用提供支撑，提供完善、高效的安全认 证系统提供接口标准和规范，满足应用程序的需求，同时满足 C/S 和 B/S 两 种应用模式； 可扩充性好，可在不影响原有系统的前提下，方便地实现新业务新功能； 选用的系统设计界面友好，管理流程简洁； 通过系统的统一管理、分级部署，可以保证在专网网络设备或线路出现故 障的情况下，不影响各节点局域网内的业务系统使用。 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 7 页 共 32 页 系统易用性系统易用性 (1)支持多种业务应用，包括文件传输、文件存储、B/S 应用、C/S 应用, 系统对用户接口采用标准的 HTTP，HTPS 和 LDAP 协议，可满足北京广播电视局 各种应用系统的接入。 (2) 采用图形化的中文管理界面，输入和输出信息支持国标汉字。操作简单， 流程严谨；界面操作有相应的功能说明。对于重要操作附加警告提示功能，防 止因误操作导致数据丢失或损坏。 (3) 提供完善的安全认证系统接口标准，满足电子商务、电子政务、办公系 统和所有应用程序开发者的需要，使相关的业务系统或程序可以方便地使用发 放的证书。程序开发者可以根据接口标准，自行开发业务系统安全模块。 系统可靠性系统可靠性 系统中的各个模块在可靠性上支持以下的机制： 支持双机热备 CA、UMS、目录服务、认证网关系统等相关系统可以支持双机热备方式实现 可靠性保障。在进行双机热备设定时不需要对应用系统进行任何修改。 负载均衡 CA、UMS、目录服务、认证网关系统等相关系统在设计时就考虑了支持负载 均衡的部署方式，因此在进行负载均衡部署时软件系统并不需要作相应修改。 1.51.5 产品设计列表产品设计列表 自有软硬件产品自有软硬件产品 产品选择依据产品选择依据 吉大正元的相关产品在经过近六年的发展和大规模的市场应用后已经在信 息安全市场上处于绝对领先的地位，其特点总结如下： 体系结构标准部署灵活：吉大正元产品完全是基于 J2EE 结构开发的，在系 统部署时不需要单独部署应用服务软件并且系统部署灵活方面，根据不同的需 功能项功能项产品名称产品名称数量数量备注备注 CASRQ05 CA 一套 含 LDAP UMSJIT UMS3.0 一套 包含 RA 和认证支撑系 统 服务器 IBM xSeries 3250(4365) 两套 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 8 页 共 32 页 求可以组合成包括 CA、CA+RA、CA+KMC、CA+OCSP、CA+KMC+RA、IAS、IAS+STS、ACS+STS 等几种部 署方式，并且这些组合方式在一定程度上可以灵活的转换，其转换方式只需通 过配置而不必做程序的修改。 管理方便：所有的管理界面都是基于 B/S 方式，用户无需在客户端单独安 装客户端程序。系统的安装和初始化简单方便，无需专业人士操作安装。系统 配置灵活，可以方便的对系统当前的系统配置作修改和调整。 兼容性强：支持主流的操作系统、数据库、目录服务器和加密设备，其移 植性强已经在某客户组织的在 SUN 实验室测试得到证明。在证书标准方面， SRQ05 所颁发的数字证书已经在许多应用和设备（SSL 设备、VPN 设备等）中得 到使用，这些足以说明 SRQ05 在证书兼容性上的优势。 安全性高：系统内部有着严格的访问控制和权限管理，系统与系统之间是 采用的安全传输协议来保证数据通信安全的。另外在数据层面所有的敏感数据 都通过加密机制来保证，特敏感的信息例如 CA 私钥都是在密码设备中产生和使 用的。对于那些敏感的业务操作我们系统采用的 M OF N 机制来保证。交易和管 理会话 Session 都有严格的周期管理可以抵抗攻击。 性能高效：吉大正元的产品在设计的时候就考虑到性能问题，其中采用了 很多提高性能的办法，比如数据库连接池、线程池、加密机使用方面等技术。 此外，系统在横向上可以支持负载均衡设备来提高自身的服务性能。 产品占有率高：现在国内使用吉大证书 CA 产品的项目达到 100 多个，其市 场占有率达到 70%以上。 2 2子模块功能说明子模块功能说明 为了说明我们提供产品的相关细节，下面的章节我们给出 CA 身份认证系统 和 UMS 用户属性和权限管理系统的详细介绍。 以下为几个产品的通用特点概括如下： 产品都是基于 J2EE 开发，都是基于 B/S 的管理界面。 产品各模块相互独立并且彼此之间有严格的身份认证、访问控制和通 信加密保护处理并且有防攻击处理。 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 9 页 共 32 页 产品都是以数据为中心，并且敏感数据（加密用的密钥等）都是以加 密方式来处理的，并且有数据备份和恢复的功能。 所有的密钥处理（加密、解密、产生）都是在密码设备中完成的。 管理员的权限都是相互制约的，不同的职责对应不同的人员来操作和 维护。 管理交易以及业务交易的会话 Session 都是有相应的周期管理以防止 相关的攻击。 系统有严格的监控机制，并能被监控平台所统一监控。 应用安全支撑系统可以轻松的将安全服务提供给应用系统并不对应用 系统做代码的改动。 2.12.1 证书签发系统（证书签发系统（CACA） CA 是整个 PKI 体系的核心部件，肩负着证书和 CRL 签发与相关管理职责， 并提供安全策略制定和与其他 CA 相互交叉的功能。下面我们给出 CA 系统的详 细介绍。 .1结构设计结构设计 CA Server 数据库 LDAP 管理员（浏览器） 系统管理，业务管 理，审计管理 以 CA Server 为中心，由管理员使用浏览器通过 Web 方式对 CA Server 进 行管理。LDAP 是支持所有符合 LDAPv3 标准的目录服务器以及 CA Server 的后 台数据库。 CA 的业务主要是完成对证书的签发和相关管理功能，另外为了提高自身 系统的可管理性也提供了相关的管理功能，这些功能主要分为证书管理、模版 管理、权限管理、审计管理、CRL 管理和其他管理。 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 10 页 共 32 页 .2功能设计功能设计 证书服务功能证书服务功能 证书格式和种类：证书格式和种类： 全面支持 X.509 V3 证书，并且支持所有的 X.509 V3 标准定义的扩展。提 供证书定制模板功能，允许管理员自定义证书类型、结构、需要的扩展域，另 外系统支持汉字证书。 支持 X.509 V2 证书撤销列表（CRL） 。并采用 CRL 分布点技术提高应用查 询性能。 CA 可以根据不同的用户需求签发不同应用的证书，证书的各种不同应用是 证书策略的一部分，体现在 X.509 V3 的扩展域上面，应用软件通过解释这些 证书扩展域来实现各种应用，从而实现证书的管理策略。 CA 系统支持双中心即 CA 中心和密钥管理中心，双证书即签名证书和加密 证书，并且在我们的系统中，签名证书和加密证书是可以独立签发、管理、废 止并能实现有单证书到双证书的转变功能。 在系统中可以签发个人证书、WEB 证书、管理员证书、VPN 证书、服务器 证书、代码签名证书、windows 域控制器证书、windows 域用户证书还可以扩 展支持 WAP 证书、STK 证书等。 证书存储介质：证书存储介质： CA 认证系统所签发的证书支持以下存放介质： 硬盘、软盘 IC 卡 智能卡片方式 JAVA CARD USBKEY 证书管理功能证书管理功能 证书服务功能主要包括证书的申请、签发、下载、发布、申请并下载、更 新、更新并下载、冻结、解冻、授权码更新、证书查询、证书实体查询等操作。 证书申请 系统提供基于 WEB 的申请方式，简单易用。 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 11 页 共 32 页 证书签发 对于通过审核的证书申请，CA 可以为其签发证书。并将签发成功的证书发 布到对应的 LDAP 上。其中签发时所使用的系统密钥是被硬件加密设备进行保护 的，同时签发的算法实现也是在设备中完成的。 证书下载 系统提供基于 WEB 的下载方式，支持多种加密算法和密钥长度，支持文件、 智能卡、USB-KEY 等多种存储介质。 证书发布 对于签发好的证书，系统进行自动发布，发布方式可以为文件方式或者目 录服务方式。 证书申请并下载 这样的功能比较适合管理员为用户集中制证的情况。 证书更新 用户可以根据需要对正在使用中的证书进行有效期的更改，更新成功后， 用户可以获得相应的新证书下载凭证。 证书更新并下载 将证书更新和下载更新后的证书两项操作一步完成的功能。 证书查询 用户可以通过查询条件查询出符合条件的证书信息，支持精确查询和模糊 查询，系统可以对某种类型的证书进行单独查询。 证书下载凭证更新 对于一些申请成功但是没有下载的证书，为了保障其业务的安全性，CA 可 以为用户重新生成下载凭证，用户使用新的下载凭证进行证书下载。 证书注销 用户可以对一些不再使用或是使用过程中出现问题的证书进行注销操作， 注销后的证书不可恢复。 证书冻结 用户可以对短期内不会使用的证书进行冻结操作，在冻结期间内证书被限 制不可使用。 证书解冻 证书解冻操作是相对于证书冻结操作的，此操作将冻结的证书解冻，使得 证书可以重新使用。 证书实体查询 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 12 页 共 32 页 系统支持证书实体查询功能，用户可以通过查询条件可以查询出符合条件 的证书，并可将证书保存到本地。 CRL 服务功能服务功能 CA 在 CRL 管理上主要涉及到 CRL 产生、CRL 发布、CRL 查询几项功能，为了 支持高速的 CRL 查询，系统在发布 CRL 时采用分布点技术进行发部和查询。 CRLCRL 产生产生 CA 建设完成后，在证书的使用过程中由于种种原因，数字证书会出现失效 的情况，CA 通过生成证书注销列表的方式实现数字证书的注销。该身份认证系 统支持如下两种数字证书注销列表的生成方式： 1) 自动方式：系统提供制定证书注销列表生成频率、有效期等策略的功能， 用户可以方便的实现证书注销列表生成方式的灵活制定； 2) 手动方式：系统提供数字证书注销列表的手动生成功能，该功能主要针 对用户需要对某些数字证书实现注销，立刻需要生成数字证书注销列表 的管理需求； CRLCRL 发布发布 CA 可以根据发布策略定期签发标准格式的证书注销列表，发布方式可以为 文件方式或者目录服务方式，发布周期可以由管理员灵活定制。CA 使用 LDAP 进行 CRL 发布。 证书注销列表的发布采用分布点策略，系统 CRL 的签发支持分布点技术， 使得可以快速定位到某一分布点，查找或下载该分布点 CRL。 CRLCRL 更新更新 系统提供了对 CRL 有效期的定义，有效期最短可达小时量级。管理员可以 根据实际要求对有效期进行灵活的调整，实现证书注销列表的及时更新。针对 特殊情况，系统提供证书注销列表的手动更新，满足及时注销数字证书的管理 需求。 CRLCRL 在线查询在线查询 CA 通过目录服务器系统发布 CRL，因此用户可以通过在线方式实现对 CRL 的查询。 系统的设计采用 CRL 分布点技术，当用户选择下载 CRL 进行查询时，下载 的信息并不是 CACRL 的全部，只是其中的一个子集，这样就大大地减少了信息 量，提高了查询的速度，降低了网络的负担。 系统的 CRL 分布点技术支持 IIS、Netscape、Apache 等主流 Web Server 在 线获取 CRL 的功能。 系统同时支持 CRL 全集的发布，应用系统在下载一次后即可以验证所有的 数字是否有效，减少了针对每个证书需要下载 CRL 的开销，有效的提高了系统 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 13 页 共 32 页 的业务处理速度。 管理服务功能管理服务功能 系统的初始化系统的初始化 产生 CA 根证书的申请，并与根 CA 系统进行交互将根证书加载到系统中， 并与密钥管理中心建立可信的传输机制。 数据库管理数据库管理 设定所使用数据库的类型和相关服务地址与端口，并能设定数据库访问的 策略。 目录服务器管理目录服务器管理 设定所使用目录服务系统的类型和相关服务地址与端口，并在需要时对目 录数据进行回复，其回复的数据来源与数据库。 系统运行纠错管理系统运行纠错管理 系统支持系统运行纠错模式，在这种情况下系统可以很好的定位可能出现 的问题，以方便运行管理人员对系统进行快速排错。这个功能是行业内其他 CA 所不俱备的。 加密设备使用管理加密设备使用管理 可以对加密设备进行相关密钥对的选择、密钥长度的设定、加密设备物理 地址的指定等相关操作。 审计管理员管理审计管理员管理 审计管理员是在系统初始化的过程中产生的，不受限与其他任何的管理员， 在一定条件下可以通过审计管理员管理对审计员的相关情况进行调整。 交叉认证管理交叉认证管理 可以为其他机构的 CA 证书签发交叉认证证书，并能同时提交自己的 CA 证 书的申请信息，以完成彼此交叉互签以达到交叉认证的效果。 归档业务日志管理归档业务日志管理 本系统通过归档业务日志管理方便的可以对系统中的日志信息实施归档，提 供定期归档和自定义归档两种方式，用户可以根据实际情况进行配置。 权限服务功能权限服务功能 CA 作为认证体系的核心，系统的安全管理成为了建设 CA 需要重点考虑的问 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 14 页 共 32 页 题。本系统的设计严格采用了分权管理的思想，通过以超级管理员管理系统管 理员、再由系统管理员向下授权的方式，容易实现对管理员的控制和管理及事 件追踪 系统中管理员可分为五类，分别是系统管理员、超级管理员、审计管理员、 业务管理员和业务操作员。 其中审计业务和其他业务要实现严格的分权管理，审计业务的管理员和其 他业务管理员分别由不同的人员担任，两个管理员的产生过程相互独立。 系统管理员 系统管理员负责对整个系统核心服务器的管理操作，享有如下权限： 安装系统 初始化系统 启动服务 停止服务 更改系统配置 更新超级管理员/审计管理员证书 超级管理员 超级管理员由系统管理员在系统初始化时任命，可以根据系统的需要任命 下级管理员，该管理员的权限包括： 创建业务管理员 设置业务管理员权限 注销业务管理员 审计管理员 审计管理员由系统管理员在系统初始化时任命，通过对系统日志的查看完 成对系统的审计，该管理员的权限包括： 查询审计日志 归档审计日志 业务管理员 业务管理员负责 CA 的业务管理，权限包括： 创建业务操作员 设置业务操作员权限 注销业务操作员 业务操作员 业务操作员根据自己的权限，进行 CA 的业务操作，权限包括： 申请用户证书 更新用户证书 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 15 页 共 32 页 冻结/解冻用户证书 注销用户证书 在 CA 本身设计上，对管理员采用基于数字证书的身份验证机制，管理员的 管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理，管理员 间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。 每个管理员的权限信息都包含两部分内容，一部分是管理角色权限，指定 管理员可以进行哪些操作，在 CA 中，系统包含的管理角色有：证书管理角色、 模板管理角色、权限管理角色和审计管理角色。一个管理员可以被授予一个或 多个管理角色，以分权的形式对整个系统进行有效管理。另一部分是管理范围 权限，指定管理员可以对哪些证书进行管理。 授权管理员权限 只有未被授权的管理员证书才可以进行“授权管理员权限”操作。授权包 含管理角色权限和管理范围权限两方面的授权。当一个管理员证书进行“授权 管理员权限”操作成功后，就会成为系统的正式管理员，他的权限可以通过 “修改管理员权限”操作进行修改。 修改管理员权限 只有被成功授权的管理员才能进行“修改管理员权限”操作。修改管理员 权限时，可以修改管理员的管理角色权限，也可以修改管理员的管理范围权限。 查询管理员权限 进行“查询管理员权限”操作查到的管理员包括已经成功授权的管理员和 未被授权的管理员。 模板服务功能模板服务功能 为了满足各种业务系统对于数字证书格式的特殊要求，系统抽取数字证书 格式的共性和特性的地方，提供数字证书模板自定义的功能，实现证书扩展域 名称、扩展域值的自定义，达到数字证书格式的“所见即所得”的效果。 证书模板功能的提供，极大的增强了签发不同类型证书的灵活性。系统内 置有十几种标准证书模板及标准证书扩展域，能够满足大多数的证书签发需求。 系统同时支持自定义证书模板和自定义扩展域，用户可以灵活定制各种证书模 板，满足业务系统的需求。 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 16 页 共 32 页 证书模板管理证书模板管理 证书模板用于定义证书的类别，每一个证书模板定义这一类证书的共同特 点。包括证书的有效期限制、密钥类型和密钥长度、是否需要发布及发布的方 式以及证书中该包含的扩展域及其扩展域的值等信息。 系统围绕证书模板，立足于用户的角度，提供如下的功能： 浏览模板、添加模板、修改模板、删除模板、注销模板 自定义扩展域管理自定义扩展域管理 用户可以根据自己的实际需要自定义证书扩展域，并应用于证书模板之中。 如在数字证书的扩展域中增加用户身份证号码等个性化的需求。 该功能的业务系统界面如下所示： 审计服务功能审计服务功能 根据整个系统分权设计管理的思想，只有具有审计管理角色的管理员才能 进行审计管理操作，审计管理包括查询业务日志和统计证书。 系统支持查询业务日志功能，提供丰富的查询条件与简单易用的查询界面， 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 17 页 共 32 页 支持多条件复合查询，查询结果支持按业务操作时间排序。具体包括系统运行 日志、系统管理日志、帐户日志、证书日志和证书撤销列表日志，对于事件来 源和产生者还应提供详细记录，提供多种灵活的报表统计形式。 CA 的审计管理中有统计报表功能，可以根据操作日志等信息为用户生成满 足用户需要的各类统计报表。如整个 CA 发证量的统计或 RA 发证量的统计等。 证书统计功能证书统计功能 审计终端提供系统在某段时期内总共签发或注销证书的数量的统计服务。 管理员只要输入下列条件： 统计的起始日期、统计的截止日期、待统计的证书类型、签发/注销 系统就会提供文字和图表的统计结果，并可以将结果打印输出或以文件形 式保存。 RARA 统计功能统计功能 CA 提供 CA 下属的各级 RA 申请和注销证书的数量的统计服务。管理员只要 输入下列条件： RA 的编号、申请和/或注销、起始日期、截止日期、待统计的证书类型 系统就会提供文字和图表的统计结果，并可以将结果打印输出或以文件形 式保存。 .3流程设计流程设计 CA 系统中提供很的业务功能因此也就对应很多的业务流程，为了能说明主 要的流程我们只对 CA 初始化，管理员产生、证书申请和下载几个流程作详细的 描述而其他的流程我们提供系统的操作手册，里面有详细的介绍。 1.1. CACA 初始化初始化 初始化。 a) 产生相关的管理员和操作员 b) 有管理员授权操作员来产生密钥对 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 18 页 共 32 页 c) 配置密钥的配置信息 配置相关第三方系统信息（数据库地址的） 启动控制台 选择 5 系统初始化功能 系统将开始初始化 初始化成功后系统会产生系统管理员一个，下面的操作有这个管理员来完 成权限的分级和下发 2.2. 管理员产生管理员产生 系统初始化完成后系统会产生系统管理员一个 在终端系统中安装此管理员证书 使用系统管理员证书登录系统 选择证书申请功能并使用系统内证书模版 完成证书申请后使用权限管理功能完成对不同管理员的权限设定 使用新产生的管理员证书即可完成对应职责范围内的业务操作。 3.3. 证书申请和下载证书申请和下载 业务管理员登录证书管理界面 选择证书申请界面并选择对应的证书模版 填写对应的证书申请信息并提交 系统完成申请信息的处理 处理成功后返回证书下载凭证（参考号和授权码） 业务管理员将证书下载凭证返回给用户 用户自己登录证书下载界面提交自己的证书下载凭证 系统完成对证书下载凭证的验证 并验证通过的用户信息将完成对应的证书签发 用户将自己的证书加载到自己制定的证书存储设备中 系统根据证书发布策略将证书发布到指定的位置上。 .4性能设计性能设计 系统在根密钥长度上支持 1024、2048、4096 位，为了保证安全认证系统 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 19 页 共 32 页 的安全性和系统运行的效率，建议根密钥长度为 2048 位，采用硬件密码设备 来保证密钥的安全，采用断电的方式离线运行。 性能参考性能参考 在 SUN V60 (2*3G CPU/2GB RAM/Windows2003)的平台下 CA 系统可以达到的 性能如下所示： 运行时间运行时间 ( (秒秒) ) 并发用户数并发用户数成功次数成功次数失败次数失败次数 签发效率签发效率( (张张/ / 秒秒) ) 成功率成功率 CPUCPU 使用使用 率率 6005016993028.181100%97% 600 10016763027.525100%97% 60020024228039.653100%97% 60050039637064.661100%97% 600100037985061.266100%97% 根据上面实际的测试数据我们可以推算出，在此硬件平台下，CA 系统的系 统签发能力描述如下： 证书签发效率100 张/秒 证书签发量20 万/日 证书签发成功率 100% 证书签发量100 万 本次投标，CA 系统的硬件设备的档次远高于以上测试数据所使用的设备， 性能数据远远超过招标书的要求。 容量计算容量计算 证书量取决于存储空间，每张证书数据库容量 4K，我们按照 10 万张证书计 算，10 万张证书占用 400M 数据库存储空间，操作系统占用的存储空间 3GB，以 及其他软件占用空间 2GB。签发系统的数据库服务器在 10 万证书量时系统所占 用的数据容量为：400M+3GB+2GB6GB。考虑到系统需要保证 200%的数据冗余， 磁盘空间大约是需要 12G。 我们在签发系统的选用硬件平台配置的磁盘存储容量远远可以满足实际的 系统需求，保证签发证书的容量在系统许可证的允许下，达到 100 万张。 目录服务系统目录服务系统 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 20 页 共 32 页 目录服务系统的整体性能描述如下： 支持负载均衡技术，系统具备可伸缩配置及动态平滑扩展能力； 可以根据业务量大小动态增减服务单元调整系统业务能力； 可以有效的抵御各种常见攻击行为； 支持多并发处理； 可以根据某一查询设置特殊的索引以进行优化； 提供对系统性能优化的办法及参数； 支持百万级以上的条目数据； 查询 精确查询（100 万条目）：单线程响应速度不高于 1ms，50 线程响应速度 不高于 20ms 模糊查询（100 万条目）：单线程响应速度不高于 130ms，50 线程响应速 度不高于 300ms 吞吐量：100 万条目：= 2500 次/秒 （50 线程精确查询） 2.22.2 用户属性和权限系统（用户属性和权限系统（UMSUMS） UMS 系统提供用户管理、资源管理、角色管理、权限管理、系统管理、属性 证书签发等相关业务功能，集成 RAToolKit 签发证书这些功能在整个身份认证 与授权管理系统中的作用如下图所示： 用用户户 查查询询 签签 发发 证证 书书 属属 性性 查查 询询 属属性性传传递递 属属性性 发发布布 IAS/STS UMS PKI/CA Toolkits Application Agent RATK PMSGalaxy 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 21 页 共 32 页 .1系统简介系统简介 用户属性和权限管理系统 UMS（Unified User Management System）采用 集中管理模式，可对用户的数字身份、群体划分、属性内容等身份数据进行动 态建模，兼顾身份管理的统一性与灵活性，既满足用户、组织机构等身份数据 的全局统一管理模式，又能够满足局部定义的需要。UMS 是应用系统整合的必 要基础，能够为上层的应用提供统一的、分布式的、自动化、大用户量、基于 策略的身份管理服务，并可与身份认证系统、权限管理系统、安全审计管等系 统集成，为用户提供跨域单点登录服务，可极大简化应用系统中用户管理、身 份认证等系统的开发与维护，提高系统的安全性，减少管理成本和降低复杂性， 能够解决用户信息的不一致性，改善用户体验。能够与 PKI/PMI 系统集成为用 户颁发身份证书和属性证书，并将身份信息存贮在身份库中，供其它系统使用。 RAToolKit 是数字证书注册审批系统，是 CA 的证书发放、管理等业务的延 伸。它负责所有证书申请者的信息录入、审核等工作，同时对发放的证书进行 管理。 .2结构设计结构设计 属性证书 服务 用用户户管管理理 服服务务 DB LDAP 管理 界面 其他系统 同同 步步 器器接口组件 系统由存储服务器，管理服务器，和管理终端三层结构，结合同步器和接 口组件两个部件构成。 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 22 页 共 32 页 存储服务采用目录服务器和数据库，存放用户信息和用户组织结构树。管 理端采用 WEB 的信息，通过浏览器管理服务系统，同时提供接口和同步组件与 其他系统交互，和属性证书服务链接，为用户属性信息生成属性证书。 UMS OA系统 内网系统 LDAP 统一用户管理 统一账号、统一属性管理方案 用户 身份认证网关 Agent Portal Agent 管理员 DS 属性发布 用户登录 U/P 获取 模 拟 登 录 .3功能功能设计设计 用户属性和权限管理系统采取“分散到集中”的设计思路，即把原来分散 于各个业务系统中的用户管理系统统一采用一个系统来管理，各个业务系统不 在设置用户管理系统，各个业务系统中的人员信息以用户属性和权限管理系统 为依据，通过用户属性和权限管理系统提供的接口实现业务系统和用户属性和 属性传递 用户登录 内部流程 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 23 页 共 32 页 权限管理系统之间信息的同步。 基于用户属性和权限管理系统实现对人员的管理，抓住了信息化的根本要 素：人，通过对人员各种公共属性、私有属性的管理，可以方便、快速、清晰 的实现集中的人员管理。 用户属性和权限管理系统提供符合“属地管理”的人员管理模式的部署方 式，通过灵活、完善的授权机制，对人员信息进行统一管理，各个节点的管理 员只能维护本节点的人员数据，实现与人员管理模式相吻合的统一用户管理。 证书注册功能证书注册功能 UMS 中集成的 RAToolKit 拥有 RA 证书注册的相关功能： 证书管理证书管理 证书申请 证书冻结 证书解冻 证书更新 证书注销 证书下载凭证（授权码）更新 对一些申请成功但是没有下载的证书，RATK 可以为用户重新生成下载凭 证（授权码） ，用户使用新的下载凭证进行证书下载。 证书制证 证书申请通过审核之后，用户可以通过下载凭证安全的下载证书。系统提 供基于 WEB 的下载方式，支持多种加密算法和密钥长度，支持文件、智能卡、 USB-KEY 等多种存储介质。 证书查询 用户信息维护 系统提供按照用户自定义的格式产生用户信息，并可以对用户信息进行添加、 删除、修改等维护方式。 企业信息维护 系统提供按照用户自定义的格式产生企业信息，并可以对企业信息进行添加、 删除、修改等维护方式。 证书审核证书审核 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 24 页 共 32 页 证书申请审核 证书冻结审核 证书解冻审核 证书更新审核 证书注销审核 证书下载凭证（授权码）更新审核 权限管理权限管理 在 RATK 系统中，角色可以根据客户的需要自己订制。通过基于角色的用 户管理，可以实现更加灵活的权限管理。 角色的创建是通过分配一组指定的权限点完成的，权限点是完成系统功能 的一组操作。只有对权限点具有一定操作权限的用户，才能进行 RA 的各种证 书业务操作。 对于 RA 中的每个证书业务员都指定了相应的业务类型（模板类型） 。 系统管理系统管理 模板管理 RATK 定时与 CA 模板保持同步，下载 CA 中模板信息，也可以通过手动方 式进行与 CA 的模板同步操作。 对 RATK 中的模板统一配置审核策略，即 RATK 中的所有用户根据模板的 不同采用不同的审核策略，并且不同的业务采取不同的审核策略。 更新 CRL 信息 RATK 定时与 CA 发布的 CRL 信息保持同步，也可以通过手动方式进行与 CA 的 CRL 信息同步操作。 获取的 CRL 信息，可以在 RA 端提供给最终用户。 主题规则管理 系统支持定义一些主题规则，通过用户信息或企业信息中的某些特定项来 自动产生用户所申请的证书的证书主题，免去用户掌握证书主题规则的专业性， 降低用户使用系统的难度。 审计管理审计管理 只有审计管理员才能进行审计管理操作，审计管理包括查询业务日志和归 档日志。 查询业务日志查询业务日志 认证与统一用户、授权管理系统建设 技术方案 吉大正元信息技术股份有限公司 第 25 页 共 32 页 系统支持查询业务日志功能，提供丰富的查询条件与简单易用的查询界面， 支持多条件复合查询，查询结果支持按业务操作时间排序。 归档业务日志归档业务日志 系统支持对于记录的业务日志进行归档的功能，可以按时间段对日志进行 手动或自动的归档操作。归档后的日志在“查询业务日志”功能中无法再被查 询到。 证书统计证书统计 只有审计管理员才能进行证书统计操作。 系统支持证书统计功能，提供丰富的统计条件与简单易用的统计界面，包 括证书签发量统计、证书月签发量统计和证书过期统计多种统计功能。 批量申请和制证批量申请和制证 系统支持批量进行证书申请和制证的功能，以包含用户证书信息的 XML 格 式的文件作为批量申请文件，进行批量证书申请，批量证书申请成功后可以对 其进行批