园区网身份认证平台的构建.docVIP

园区网身份认证平台的构建 　　身份认证就是对实体的身份进行鉴别并确认。身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段，它是应用系统安全的第一道关口，是所有安全的基础。身份认证技术随着网络系统和信息安全技术的发展而同步发展着。 　　1系统需求分析 　　基于以上原因，PKI/CA统一身份认证系统的建设以满足业务应用安全需求为出发点，实现如下的安全功能服务: 　　1.1安全认证 　　PKI/CA身份认证系统的建设将为园区网业务系统提供统一的安全认证服务。当用户访问业务系统时，首先需要进行基于数字证书的统一身份认证。只有通过身份认证后，用户才能根据自身权限，实现对业务系统的访问。 　　1.2访问控制 　　PKI/CA身份认证系统的建设将为园区网业务系统提供统一的访问控制服务。访问控制的目的是允许拥有权限的用户对应用的合法访问，拒绝没有访问权限的用户对应用的非法访问。 　　1.3单点登录 　　PKI/CA身份认证系统的建设将能实现园区网各业务应用系统的单点登录功能。通过安全认证中间件与数字证书的配合，用户在日常业务操作过程中，仅需登录任何一个安全业务应用，即可无需再次进行身份认证操作而直接访问其他安全业务应用。 　　2建设思路与设计 　　集团公司规划中的统一身份认证架构由目录服务、身份管理、统一认证与统一授权四个部分组成。 　　针对信息系统目前认证现状，规划建设两个平台，一是PKI基础设施平台，二是应用安全支撑平台。将参照集团公司统一身份认证体系的总体规划，对PKI基础设施平台以及应用安全支撑平台进行规划。将采用以下两个基础设施平台满足集团公司规划的四方面要求。 　　2.1密钥管理子系统 　　运行在一台服务器上，为证书管理中心提供密钥托管和加密密钥提供服务，采用加密机来作为密钥生成设备，并作为系统密钥的安全存储设备及实现系统问的通讯加密。同时在服务器上安装密钥管理系统数据库，作为集中的数据库系统，为密钥管理子系统、证书管理子系统、证书注册审核子系统提供统一的数据库服务，应定期进行数据备份。 　　2.2证书管理子系统 　　运行在一台服务器上，负责签发管理证书。采用加密机来作为系统密钥的安全存储设备及用于实现系统问的通讯加密，证书签发子系统采用密钥管理系统上的数据库进行数据存储(注:密钥管理子系统与证书管理子系统共用一台加密机，采用一个集线器组成一个直连的网络)。 　　2.3证书注册审核子系统 　　运行在一台服务器上，负责实现证书申请、审核、制证等证书业务服务。采用加密卡来作为系统密钥的安全存储设备及用于实现系统问的通讯加密。系统采用密钥管理系统上的数据库进行数据存储。 　　3实现功能 　　使用指纹USBKEY+数字证书登录计算机系统;没有指纹USBKEY和合法数字证书无法登录计算机。利用指纹USBKEY锁定计算机，拔出指纹USBKEY，计算机自动进入屏幕保护状态，用户使用计算机时，需要再次插入指纹USBKEY确认身份。 　　3.1数据安全存储 　　可在用户终端计算机硬盘上开辟一块安全存贮空问，用户存放到网盾保险箱中的信息被自动加密存贮，其他任何用户都无法获取这些文件的信息。一旦用户通过证书将保险箱打开后，其他操作与正常的文件分区操作完全相同。 　　网盾保险箱中保存的数据始终是处于保护状态的，使用能阅读二进制文件的工具软件打开，其中的数据也是毫无规律、没有意义的。即使把网盾保险箱所在的硬盘拆卸下来，安装到其他机器上去，也无法读出其中的内容。 　　在用户终端部署了网盾系统和指纹USBKEY后，能够实现操行系统层的强身份认证。在提高操作系统层安全防护力度的基础之上，又能够满足国家必威体育官网网址局BM B 17-2006对涉密信息系统身份鉴别方面所提出的要求。 　　通过部署SV S服务器可以实现数据在传输与存储过程中的完整性保护，以实现用户操作与个人身份之问的绑定，达到不可抵赖的效果，从而实现责任认定。同时，还可以满足BMB17标准“涉密信息传输完整性”中“应对系统内传输的涉密信息进行完整性检测，及时发现涉密信息被篡改、删除、插入等情况，并生成审计日志”的要求。满足BMB17标准“增强要求”中“应对完整性被破坏的信息采取有效的信息补救措施”的要求，满足BMB17标准“涉密信息存储完整性”中“应对存储在涉密信息系统内的涉密数据进行完整性检测”的要求。安全认证网关可以解决从客户端到应用服务器的身份认证、传输数据保护等安全问题。 　　3.2功能实现 　　主要提供如下服务功能： 　　1)身份鉴别。 　　通过数字证书