企業(yè)可信認(rèn)證中心建設(shè)方案

1、 企業(yè)可信認(rèn)證中心建設(shè)方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc9198630 1.1. 可信認(rèn)證中心建設(shè) PAGEREF _Toc9198630 h 3 HYPERLINK l _Toc9198631 1.1.1. 示范要點(diǎn) PAGEREF _Toc9198631 h 3 HYPERLINK l _Toc9198632 1.1.2. 建設(shè)內(nèi)容 PAGEREF _Toc9198632 h 6 HYPERLINK l _Toc9198633 1.1.3. 建設(shè)規(guī)模 PAGEREF _Toc9198633 h 22 HYPERLINK l _Toc9198634

2、1.1.4. 技術(shù)設(shè)計(jì)方案 PAGEREF _Toc9198634 h 22可信認(rèn)證中心建設(shè)示范要點(diǎn)在信息安全體系中，用戶安全是非常重要的一個(gè)方面。對(duì)于企業(yè)信息系統(tǒng)來(lái)說(shuō)，用戶安全漏洞可能導(dǎo)致企業(yè)信息系統(tǒng)用戶賬號(hào)被盜用，被破解；進(jìn)而導(dǎo)致民航旅客數(shù)據(jù)，配載數(shù)據(jù)等被篡改；從而帶來(lái)更加嚴(yán)重的國(guó)家安全問(wèn)題。因此，加強(qiáng)企業(yè)信息系統(tǒng)的用戶安全迫在眉睫?？尚耪J(rèn)證中心的建設(shè)要求主要分為以下幾個(gè)方面：用戶身份管理平臺(tái)能夠?qū)崿F(xiàn)集中管理分布在多個(gè)系統(tǒng)中的用戶帳號(hào)信息，例如：數(shù)據(jù)庫(kù)和LDAP庫(kù)中的用戶信息。能夠支持應(yīng)用系統(tǒng)的自治用戶管理模式，應(yīng)用端自治用戶管理的結(jié)果在IAM端可見(jiàn)。例如：應(yīng)用端可以保留并通過(guò)自己的用戶管

3、控模塊創(chuàng)建和變更帳號(hào)，但I(xiàn)AM平臺(tái)可以通過(guò)帳號(hào)回收等機(jī)制，定時(shí)從應(yīng)用端獲得采集其帳號(hào)配置信息，更新到IAM系統(tǒng)的用戶管理數(shù)據(jù)庫(kù)中。提供WEB環(huán)境的用戶身份管理與注冊(cè)功能。提供開(kāi)放的API，支持Java或WebServices等技術(shù)。支持對(duì)現(xiàn)有資源中用戶信息的整合和同步，例如實(shí)時(shí)同步存放于數(shù)據(jù)庫(kù)中的用戶信息。能夠管理用戶的身份信息，可以集中管理應(yīng)用系統(tǒng)中的用戶，包括批量建立、刪除用戶等。能夠提供用戶身份的建立、更新、注銷(xiāo)的全生命周期管理機(jī)制與功能。提供工作流管理的信息同步、用戶密碼管理以及密碼的自助式服務(wù)，用戶可以通過(guò)Web界面修改其在多個(gè)系統(tǒng)中帳號(hào)ID的密碼，并可做到多帳號(hào)ID的密碼同步。對(duì)于

4、同一個(gè)用戶在不同系統(tǒng)中使用不同帳號(hào)ID的情況，能夠按需要提供統(tǒng)一的用戶和密碼管理功能。提供用戶與數(shù)據(jù)庫(kù)的身份同步，能夠?qū)?quán)威數(shù)據(jù)源系統(tǒng)中的用戶信息同步至目錄服務(wù)系統(tǒng)。能夠根據(jù)制定的策略將用戶信息下發(fā)至各應(yīng)用系統(tǒng)，實(shí)現(xiàn)帳號(hào)的自動(dòng)創(chuàng)建、變更、銷(xiāo)戶，取代現(xiàn)有的人工方式的帳號(hào)管理模式。支持從應(yīng)用系統(tǒng)將大量用戶信息通過(guò)批量導(dǎo)入的方式導(dǎo)入至身份管理系統(tǒng)。提供必要的單向不可逆加密算法，用于保證用戶密碼口令的安全性。提供必要的加密方法，用于保證在用戶信息傳播過(guò)程中通訊的安全性。針對(duì)身份管理中用戶身份信息的創(chuàng)建、修改、更新、刪除、查詢檢索、同步等管理操作都須被審計(jì)，審計(jì)信息保存于后臺(tái)數(shù)據(jù)庫(kù)中便于統(tǒng)計(jì)分析。支持多

5、種操作系統(tǒng)，包括Unix、Windows和Linux平臺(tái)。能夠提供并支持集群的管理、控制與同步功能，支持負(fù)載均衡與實(shí)時(shí)故障切換的高可用配置，保證系統(tǒng)的高可靠性和高可用性。提供用戶帳號(hào)配置信息查詢接口，在信息安全策略的限制下，供應(yīng)用系統(tǒng)提取用戶信息。能夠提供用戶的分級(jí)管理功能。統(tǒng)一認(rèn)證系統(tǒng)能夠支持或擴(kuò)展支持包括PKI/CA認(rèn)證（X.509V3）、動(dòng)態(tài)口令、智能卡、生理特征、用戶名和密碼等多種認(rèn)證方式，能夠正確地識(shí)別訪問(wèn)操作的主體身份，提供合適身份信息。統(tǒng)一認(rèn)證系統(tǒng)能夠與PKI/CA體系實(shí)現(xiàn)結(jié)合，采用基于數(shù)字證書(shū)技術(shù)進(jìn)行身份認(rèn)證，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證與高強(qiáng)度的安全性要求。統(tǒng)一認(rèn)證系統(tǒng)能夠提供跨域的聯(lián)合

6、與級(jí)聯(lián)認(rèn)證功能，用戶可以跨域進(jìn)行身份信息認(rèn)證并訪問(wèn)門(mén)戶和應(yīng)用系統(tǒng)資源，能夠支持聯(lián)邦用戶身份認(rèn)證功能（Federated Identity）的擴(kuò)展能力。認(rèn)證服務(wù)提供主路與旁路兩種整合模式，為應(yīng)用系統(tǒng)實(shí)現(xiàn)認(rèn)證和單點(diǎn)登錄功能提供靈活多樣的整合手段。能夠提供管理、認(rèn)證的服務(wù)及API，支持Java，C/C+語(yǔ)言。能夠提供基于時(shí)間和IP對(duì)資源的訪問(wèn)控制策略。支持多種客戶端的接入，例如：Web瀏覽器、移動(dòng)終端應(yīng)用等。能夠提供并支持集群的管理、控制與同步功能，支持負(fù)載均衡與實(shí)時(shí)故障切換的高可用配置，認(rèn)證可以支持目錄服務(wù)器集群，當(dāng)其中一臺(tái)LDAP服務(wù)器無(wú)法訪問(wèn)時(shí)自動(dòng)切換到另外一臺(tái)，保證系統(tǒng)的高可靠性和高可用性。

7、支持通過(guò)外部認(rèn)證接口開(kāi)發(fā)定制認(rèn)證模塊。能夠跟蹤用戶的登錄過(guò)程，并使用安全認(rèn)證策略來(lái)提高登錄的安全性，如定義允許登錄嘗試失敗的次數(shù)，若超過(guò)嘗試次數(shù)，用戶即被鎖死。單點(diǎn)登錄要求支持B/S應(yīng)用的單點(diǎn)登錄功能，支持航信業(yè)務(wù)應(yīng)用單點(diǎn)登錄功能。提供B/S應(yīng)用的單點(diǎn)登錄功能，支持跨域單點(diǎn)登錄。提供開(kāi)放的API，支持Java、JavaScript等。支持不同類(lèi)型的用戶驗(yàn)證方法，如PKI/CA認(rèn)證（X.509V3）、IP地址、用戶名和密碼等。提供全面的審計(jì)記錄與應(yīng)用程序訪問(wèn)日志。單點(diǎn)登錄能夠提供并支持集群的管理、控制與同步功能，支持負(fù)載均衡與實(shí)時(shí)故障切換的高可用配置，保證系統(tǒng)的高可靠性和高可用性。審計(jì)與監(jiān)控要求

8、統(tǒng)一身份認(rèn)證體系平臺(tái)的審計(jì)與監(jiān)控系統(tǒng)能夠提供統(tǒng)一身份認(rèn)證系統(tǒng)的審計(jì)功能，記錄系統(tǒng)的錯(cuò)誤、報(bào)警等異常事件及帳戶的創(chuàng)建、更改和注銷(xiāo)等操作事件，并自動(dòng)生成可閱讀的審計(jì)日志。統(tǒng)一身份認(rèn)證體系平臺(tái)能夠提供日志信息的查看、檢索與分析功能，提供豐富的查詢功能，可以基于操作類(lèi)型、日期范圍、用戶ID、服務(wù)類(lèi)型等對(duì)日志進(jìn)行的查詢，并給出報(bào)表。統(tǒng)一身份認(rèn)證體系平臺(tái)的審計(jì)與監(jiān)控系統(tǒng)相關(guān)審計(jì)日志能夠在本地存儲(chǔ)保存至少一年。訪問(wèn)控制要求支持角色管理和授權(quán)管理支持角色的定制管理，支持角色的嵌套運(yùn)算和排斥運(yùn)算支持授權(quán)時(shí)進(jìn)行排斥角色檢查支持基于角色的訪問(wèn)控制加解密支持要求基于數(shù)字證書(shū)提供各種加解密需求支持SM系列國(guó)產(chǎn)加密算法支

9、持三級(jí)密鑰管理模式建設(shè)內(nèi)容用戶管理平臺(tái)建設(shè)內(nèi)容從用戶管理和認(rèn)證的全流程來(lái)看，為保證用戶和賬號(hào)全生命周期的管控和跟蹤，完整的用戶管理體系建設(shè)目標(biāo)由下面幾部分組成：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 1用戶管理體系建設(shè)示意圖 用戶賬號(hào)申請(qǐng)審核系統(tǒng)在操作人員使用航信系統(tǒng)前，必須對(duì)其賬號(hào)的申請(qǐng)進(jìn)行備案和審核，只有經(jīng)過(guò)批準(zhǔn)的用戶才可以擁有航信IT系統(tǒng)的合法賬號(hào)。持有合法賬號(hào)的操作人員才能給登陸航信系統(tǒng)進(jìn)行相關(guān)的業(yè)務(wù)行為。申請(qǐng)和審核系統(tǒng)需要對(duì)用戶的申請(qǐng)進(jìn)行備案，并按照不同企業(yè)的業(yè)務(wù)要求對(duì)審批流程進(jìn)行配置，支持不同等級(jí)的賬號(hào)申請(qǐng)有不同的審核流程。經(jīng)過(guò)批準(zhǔn)的賬號(hào)申請(qǐng)單

10、將流轉(zhuǎn)到賬號(hào)配置管理系統(tǒng)。 賬號(hào)配置管理系統(tǒng)賬號(hào)配置管理系統(tǒng)以管理用戶賬號(hào)的生命周期為核心，并將所發(fā)生的管理操作行為最終傳播到目錄服務(wù)和應(yīng)用系統(tǒng)為結(jié)果。賬號(hào)配置管理系統(tǒng)幫助IT系統(tǒng)維持了一個(gè)及時(shí)準(zhǔn)確的核心用戶身份和帳號(hào)數(shù)據(jù)源，這個(gè)帳號(hào)數(shù)據(jù)源服務(wù)于認(rèn)證和授權(quán)服務(wù)平臺(tái)，最終供應(yīng)用系統(tǒng)所使用。而用戶管理的生命周期可以通過(guò)業(yè)務(wù)系統(tǒng)發(fā)起，也可以由用戶通過(guò)自服務(wù)發(fā)起，在經(jīng)歷一些人工或自動(dòng)化的帳號(hào)配置供應(yīng)和管控工作流程后，最終這些用戶的帳號(hào)得以創(chuàng)建。而發(fā)起這些應(yīng)用帳號(hào)創(chuàng)建的應(yīng)用系統(tǒng)我們通常稱(chēng)為身份供應(yīng)的上游系統(tǒng)，這些上游用戶帳號(hào)的供應(yīng)者發(fā)起了帳號(hào)的創(chuàng)建、禁用和銷(xiāo)毀等操作，決定了用戶帳號(hào)的狀態(tài)。在用戶生命周期

11、中還涉及到使用這些用戶帳號(hào)的應(yīng)用系統(tǒng)，它們不決定這些帳號(hào)的狀態(tài)，但需要使用這些帳號(hào)，甚至需要將這些帳號(hào)同步到應(yīng)用系統(tǒng)的內(nèi)部，我們把消費(fèi)使用用戶帳號(hào)數(shù)據(jù)的應(yīng)用系統(tǒng)成為下游應(yīng)用系統(tǒng)。身份管理系統(tǒng)涉及與上游身份供應(yīng)源和下游應(yīng)用系統(tǒng)的整合，這部分整合的工作則通過(guò)用戶供應(yīng)接口來(lái)進(jìn)行約束和定義。這其中具體定義了對(duì)接的流程、模式及接口形態(tài)，通常提供多樣化的選擇以滿足不同企業(yè)、不同平臺(tái)產(chǎn)品、不同應(yīng)用系統(tǒng)的多樣化要求。系統(tǒng)應(yīng)提供不同的接入方式，滿足用戶在不同環(huán)境對(duì)系統(tǒng)訪問(wèn)的要求，在符合安全規(guī)范的情況下，提供更靈活和訪問(wèn)的服務(wù)給用戶，提升用戶感知。 認(rèn)證系統(tǒng)認(rèn)證服務(wù)則面向信息環(huán)境中的各類(lèi)應(yīng)用，為它們提供不同級(jí)別強(qiáng)

12、度的認(rèn)證服務(wù)。B/S架構(gòu)應(yīng)用系統(tǒng)與認(rèn)證服務(wù)平臺(tái)進(jìn)行整合時(shí)，提供多種形態(tài)的支持：基于中間件容器環(huán)境的認(rèn)證整合應(yīng)用遵循中間件容器的安全接口規(guī)范，當(dāng)中間件容器層面解決與IAM平臺(tái)的整合后，應(yīng)用系統(tǒng)則間接的完成了認(rèn)證整合。例如在Java提供中JEE Security開(kāi)發(fā)規(guī)范等。此類(lèi)整合基本不涉及應(yīng)用端的改造，但需要應(yīng)用開(kāi)發(fā)遵循相關(guān)的中間件平臺(tái)規(guī)范?；趹?yīng)用的認(rèn)證整合應(yīng)用自行利用IAM平臺(tái)提供的接口完成對(duì)接，從而將應(yīng)用納入到IAM平臺(tái)的管控下，享受平臺(tái)提供的所有安全功能。認(rèn)證服務(wù)則可以為包括B/S和C/S架構(gòu)應(yīng)用提供多樣和標(biāo)準(zhǔn)化的認(rèn)證服務(wù)，也為包括移動(dòng)手持終端設(shè)備提供認(rèn)證服務(wù)，包括單點(diǎn)登錄服務(wù)功能。例如

13、典型的認(rèn)證服務(wù)協(xié)議：SAML、Oauth、Kerberos/SPNEGO、LTPA。認(rèn)證服務(wù)也可以支持和擴(kuò)展廣泛的認(rèn)證方法，例如：短信、動(dòng)態(tài)令牌卡、數(shù)字證書(shū)、生物特征等。 審計(jì)系統(tǒng)IAM平臺(tái)的審計(jì)服務(wù)服務(wù)于用戶管理、認(rèn)證服務(wù)和授權(quán)服務(wù)等核心組件，這些組件運(yùn)行時(shí)的各類(lèi)審計(jì)事件遵從審計(jì)服務(wù)的接口模式實(shí)現(xiàn)信息的記錄和存儲(chǔ)。隨著企業(yè)對(duì)安全合規(guī)、治理和風(fēng)險(xiǎn)控制的平臺(tái)建設(shè)的不斷深入，大量的企業(yè)開(kāi)始部署實(shí)施SIEM（Security Information and Event Management 安全信息事件管理）平臺(tái)。這些平臺(tái)可以匯聚和采集IT環(huán)境中各個(gè)層面、各個(gè)系統(tǒng)的審計(jì)和安全事件，并對(duì)這些事件做關(guān)聯(lián)

14、和安全規(guī)則分析，為信息系統(tǒng)的安全治理和風(fēng)險(xiǎn)控制提供有效的支撐。因此，IAM平臺(tái)審計(jì)功能的重點(diǎn)在于對(duì)發(fā)生事件的記錄，并支持事件向SIEM平臺(tái)的上報(bào)。圖中的開(kāi)賬計(jì)費(fèi)系統(tǒng)雖然與用戶賬號(hào)管理體系有密切聯(lián)系，但因?yàn)殚_(kāi)賬計(jì)費(fèi)系統(tǒng)主要使用用戶賬號(hào)管理體系的數(shù)據(jù)進(jìn)行賬務(wù)分割等業(yè)務(wù)操作，不納入用戶管理體系范疇建設(shè)。數(shù)字證書(shū)系統(tǒng)建設(shè)內(nèi)容企業(yè)信息系統(tǒng)的用戶管理長(zhǎng)期以來(lái)主要采用口令認(rèn)證方式。近幾年來(lái)，前端系統(tǒng)發(fā)展迅速，出現(xiàn)了針對(duì)細(xì)分市場(chǎng)的多種前端，比如針對(duì)代理人市場(chǎng)的TravelWeb、BlueSky、航旅天空，針對(duì)航空公司市場(chǎng)的航空公司控制前端NewSky，還有針對(duì)機(jī)場(chǎng)的NewApp、Music等產(chǎn)品，這些產(chǎn)品大部

15、分都延續(xù)了口令或者IP認(rèn)證方式。隨著互聯(lián)網(wǎng)的發(fā)展，通過(guò)Internet接入航信的后臺(tái)系統(tǒng)已成為一種主要方式，航空公司等用戶的日常工作也越來(lái)越依賴于IT。另一方面，隨著民航新一代旅客服務(wù)信息系統(tǒng)建設(shè)工作的逐步開(kāi)展，未來(lái)的用戶前端系統(tǒng)都是圖形化方式，操作簡(jiǎn)單，一旦用戶帳戶被竊，沒(méi)有專(zhuān)業(yè)背景的人員都可能修改航空公司的數(shù)據(jù)。多家航空公司已經(jīng)提出，在采用新的航空公司控制前端時(shí)，希望加強(qiáng)用戶的安全認(rèn)證方式，避免帳戶失竊導(dǎo)致?lián)p失。 風(fēng)險(xiǎn)分析網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全隱患，主要體現(xiàn)在如下幾個(gè)方面：網(wǎng)上應(yīng)用系統(tǒng)服務(wù)器用戶數(shù)據(jù)庫(kù)竊聽(tīng)篡改抵賴?假冒的站點(diǎn)？假冒的用戶？圖 3- STYLEREF 1 s 3 SEQ 圖 *

16、ARABIC s 1 2網(wǎng)絡(luò)安全隱患示意圖目前航信采用的簡(jiǎn)單的用戶認(rèn)證方式已經(jīng)不能適應(yīng)于市場(chǎng)的發(fā)展。一方面，近幾年來(lái)，陸續(xù)暴露出一些帳戶丟失導(dǎo)致的一些商務(wù)損失現(xiàn)象。雖然有些行為我們通過(guò)IP追查到用戶，但損失已經(jīng)發(fā)生，后繼處理也很困難，另外很多通過(guò)國(guó)外連接的IP，也無(wú)法進(jìn)行追查。另外，web應(yīng)用系統(tǒng)的增多也加大了假冒網(wǎng)站、釣魚(yú)網(wǎng)站的風(fēng)險(xiǎn)。用戶可能會(huì)出現(xiàn)航信的應(yīng)用被仿冒，從而登錄不安全網(wǎng)站的風(fēng)險(xiǎn)。通過(guò)互聯(lián)網(wǎng)被竊聽(tīng)，導(dǎo)致信息泄漏。目前業(yè)界部分前端系統(tǒng)都是采用明文傳輸，甚至用戶名和密碼也是如此。如果用戶在不安全的網(wǎng)絡(luò)上輸入這些數(shù)據(jù)，或者獲取一些關(guān)鍵數(shù)據(jù)。則信息有可能被泄露。信息被篡改，導(dǎo)致信息不完整。

17、當(dāng)用戶的信息被截取，黑客可以通過(guò)修改數(shù)據(jù)達(dá)到不法目的。用戶對(duì)發(fā)送信息進(jìn)行抵賴，沒(méi)有抗抵賴的依據(jù)。一些關(guān)鍵交易和操作，比如涉及到航班配載或者支付等，目前沒(méi)有有效的手段進(jìn)行監(jiān)控，如果發(fā)生問(wèn)題，只能是通過(guò)查看log的方式進(jìn)行追蹤。但這種方式用戶可以否認(rèn)，不能形成絕對(duì)的證據(jù)。需求分析針對(duì)以上情況，企業(yè)信息系統(tǒng)亟需需要建立統(tǒng)一的基于PKI的數(shù)字證書(shū)認(rèn)證系統(tǒng)，使用目前被認(rèn)為最為安全的硬件證書(shū)，為航信的客戶提供安全性更高的數(shù)字證書(shū)認(rèn)證服務(wù)。近年來(lái)，隨著業(yè)務(wù)的不斷發(fā)展，航信業(yè)務(wù)系統(tǒng)大量增加、業(yè)務(wù)人員同步增長(zhǎng)，內(nèi)外部業(yè)務(wù)系統(tǒng)安全訪問(wèn)、內(nèi)外部業(yè)務(wù)人員身份認(rèn)證與流程管理成為當(dāng)前業(yè)務(wù)系統(tǒng)的建設(shè)的重要環(huán)節(jié)。業(yè)務(wù)系統(tǒng)安全

18、要求：唯一的身份標(biāo)識(shí)航信當(dāng)前擁有4000內(nèi)部員工，并且擁有大量的業(yè)務(wù)系統(tǒng)外部使用人員，如機(jī)票訂座系統(tǒng)使用人員分布于各航空公司與代理公司；當(dāng)前航信業(yè)務(wù)系統(tǒng)大部分采用傳統(tǒng)的用戶ID的方式標(biāo)識(shí)用戶身份，由于用戶ID存在被竊聽(tīng)、盜用等風(fēng)險(xiǎn)，從而造成業(yè)務(wù)系統(tǒng)出現(xiàn)末授權(quán)訪問(wèn)、惡意破壞等非法行為；通過(guò)技術(shù)手段為內(nèi)部員工、外部用戶頒發(fā)可信的、唯一的、不可復(fù)制身份標(biāo)識(shí)成為建設(shè)安全業(yè)務(wù)系統(tǒng)的基礎(chǔ)。嚴(yán)格的身份認(rèn)證航信擁有大量的業(yè)務(wù)系統(tǒng)，大多業(yè)務(wù)系統(tǒng)擁有內(nèi)、外部使用人員，采用傳統(tǒng)的用戶名/口令的認(rèn)證方式，無(wú)法真正實(shí)現(xiàn)對(duì)用戶身份的嚴(yán)格認(rèn)證（如口令破解等），從而使業(yè)務(wù)系統(tǒng)訪問(wèn)控制完全失效；對(duì)業(yè)務(wù)系統(tǒng)使用者的身份進(jìn)行嚴(yán)格的

19、認(rèn)證、確保訪問(wèn)者身份的真實(shí)性，是保證業(yè)務(wù)系統(tǒng)對(duì)用戶進(jìn)行授權(quán)管理與訪問(wèn)控制的前提。安全的數(shù)據(jù)訪問(wèn)航信業(yè)務(wù)系統(tǒng)包含C/S、B/S類(lèi)型應(yīng)用，大部分應(yīng)用訪問(wèn)直接采用的明文協(xié)議傳輸（如B/S應(yīng)用中使用的HTTP協(xié)議），由于采用明文傳輸極其容易造成機(jī)密數(shù)據(jù)的丟失與破壞，從而采用安全的傳輸方式，保證數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性為業(yè)務(wù)系統(tǒng)安全建設(shè)的要點(diǎn)。安全的數(shù)據(jù)存儲(chǔ)數(shù)據(jù)需要進(jìn)行安全存儲(chǔ)，黑客即使拿到了敏感的業(yè)務(wù)數(shù)據(jù)，也無(wú)法使用，數(shù)據(jù)加密可以達(dá)到這種效果。另外需要防范內(nèi)部工作人員，如運(yùn)維人員和在線測(cè)試人員這些能夠直接接觸生產(chǎn)數(shù)據(jù)的角色，對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)處理，可以防范其進(jìn)行數(shù)據(jù)破壞或泄密。 CA系統(tǒng)建設(shè) CA

20、系統(tǒng)架構(gòu)與組成圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 3航信CA系統(tǒng)總體架構(gòu)圖CA系統(tǒng)由以下部分構(gòu)成： CA ServerCA Server 是認(rèn)證中心的核心部分，負(fù)責(zé)簽發(fā)和管理所有的證書(shū)及證書(shū)廢止列表CRL。CA Server 使用商用的數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)內(nèi)部信息，使用標(biāo)準(zhǔn)的LDAP目錄服務(wù)器來(lái)發(fā)布用戶證書(shū)和證書(shū)廢止列表CRL。CA Server提供服務(wù)，接受和處理來(lái)自CA Admin和RA Server的證書(shū)管理請(qǐng)求。CA數(shù)據(jù)庫(kù)采用達(dá)夢(mèng)等商業(yè)數(shù)據(jù)庫(kù)，存儲(chǔ)用戶信息及證書(shū)數(shù)據(jù)。CA目錄服務(wù)器采用商用目錄服務(wù)器，用來(lái)發(fā)布黑名單（CRL）。CA Admin CA A

21、dmin是認(rèn)證中心管理員使用的圖形化簡(jiǎn)體中文界面，負(fù)責(zé)CA系統(tǒng)本身的管理和維護(hù)CA Admin的使用者通過(guò)證書(shū)登錄CA，CA根據(jù)使用者的證書(shū)來(lái)確定其證書(shū)管理權(quán)限。RA ServerRA Server是 系統(tǒng)的注冊(cè)中心，建立在Java應(yīng)用服務(wù)器上，向RA管理員提供Web管理界面，并由各獨(dú)立模塊提供用戶注冊(cè)/證書(shū)申請(qǐng)的功能。RA服務(wù)器的內(nèi)部邏輯結(jié)構(gòu)、業(yè)務(wù)流程和管理員角色、權(quán)限可以定制，并且可以通過(guò)客戶化，實(shí)現(xiàn)與客戶的用戶數(shù)據(jù)源進(jìn)行連接。RA系統(tǒng)設(shè)計(jì)在下一章詳細(xì)描述。 CA系統(tǒng)主要功能制定和審批總體政策；提供證書(shū)政策說(shuō)明；實(shí)現(xiàn)證書(shū)的簽發(fā)、更新、作廢、凍結(jié)、解凍、查詢等全部證書(shū)管理功能；基本的用戶信息

22、管理；證書(shū)和CRL在LDAP上的發(fā)布；維護(hù)黑名單；證書(shū)管理事件的審計(jì)；基于證書(shū)的操作員權(quán)限管理；證書(shū)管理操作的審計(jì)日志；簽發(fā)不同密鑰用途的證書(shū)（加密、簽名），并且可以配置；可以作為其它CA的上級(jí)或下級(jí)CA；支持集中發(fā)證；支持批量發(fā)證；支持RA連接訪問(wèn)；與其它根CA進(jìn)行交叉認(rèn)證并制定具體政策、管理制度和運(yùn)作規(guī)范；完善的管理手段和管理界面；統(tǒng)計(jì)報(bào)表輸出。 管理員的權(quán)限設(shè)定CA系統(tǒng)可以設(shè)定RA和管理員的權(quán)限。管理員角色定義：表 3- STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 1管理員角色定義表角色備注CA系統(tǒng)管理員CA系統(tǒng)的安裝與部署啟動(dòng)和停止系統(tǒng)服務(wù)系統(tǒng)的備份與恢復(fù)生成和

23、管理CA系統(tǒng)策略管理員CA系統(tǒng)策略管理員確定CA系統(tǒng)的密鑰策略、證書(shū)策略簽發(fā)下級(jí)CA的證書(shū)交叉認(rèn)證簽發(fā)RA的證書(shū)生成和管理CA系統(tǒng)證書(shū)管理員定義下級(jí)CA的證書(shū)策略定義RA的證書(shū)策略定義CA系統(tǒng)證書(shū)管理員的角色和權(quán)限CA系統(tǒng)證書(shū)管理員根據(jù)角色和權(quán)限進(jìn)行EE、SSL服務(wù)器等證書(shū)管理操作角色的權(quán)限應(yīng)至少支持按照不同不同的用戶組來(lái)劃分不同的管理員權(quán)限范圍。CA系統(tǒng)審計(jì)員查看和提取CA系統(tǒng)審計(jì)信息證書(shū)管理系統(tǒng)（RA系統(tǒng)）建設(shè) RA系統(tǒng)概述RA系統(tǒng)是管理業(yè)務(wù)用戶證書(shū)的系統(tǒng)，可與當(dāng)前航信統(tǒng)一用戶管理系統(tǒng)進(jìn)行整合，對(duì)用戶證書(shū)實(shí)行以下管理功能：證書(shū)申請(qǐng)與審核證書(shū)下載證書(shū)查詢證書(shū)凍結(jié)證書(shū)解凍證書(shū)作廢證書(shū)更新證書(shū)信

24、息統(tǒng)計(jì) RA系統(tǒng)總體結(jié)構(gòu)RA的邏輯結(jié)構(gòu)如下圖所示：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 4 RA邏輯結(jié)構(gòu)示意圖RA服務(wù)器RA服務(wù)器包括以下部分：RADS：實(shí)現(xiàn)與自建CA的通信；RA功能模塊：實(shí)現(xiàn)RA服務(wù)器的業(yè)務(wù)處理和管理邏輯，包括管理員的權(quán)限與角色、邏輯機(jī)構(gòu)等。建議由航信業(yè)務(wù)系統(tǒng)開(kāi)發(fā)人員在統(tǒng)一用戶管理系統(tǒng)中實(shí)現(xiàn)，根據(jù)業(yè)務(wù)邏輯定制開(kāi)發(fā)RA系統(tǒng)。RA系統(tǒng)二次開(kāi)發(fā)包RA服務(wù)器向管理員/操作員提供Web管理界面，實(shí)現(xiàn)核心的內(nèi)部/外部證書(shū)管理、審計(jì)和交易查詢功能。 RADS是 系統(tǒng)提供的開(kāi)發(fā)軟件包，RADS提供了Java語(yǔ)言接口的CA應(yīng)用開(kāi)發(fā)工具，能方便地嵌入到應(yīng)

25、用服務(wù)器中，提供全部的證書(shū)管理功能。開(kāi)發(fā)工具包提供的接口類(lèi)型有Java API 和.Net兩種方式；開(kāi)發(fā)包支持的平臺(tái)有：AIX、HP-UX、LINUX、SCO OPENSERVER、Solaris、WINDOWS系列；Java開(kāi)發(fā)包支持BEA WebLogic、IBM WebSphere等流行的應(yīng)用服務(wù)器；開(kāi)發(fā)包提供SSL安全通信功能。具體的功能如下：功能列表：證書(shū)申請(qǐng)：申請(qǐng)各種模板的用戶證書(shū)CSP方式證書(shū)下載：廣泛支持各種IC卡，USB Key，以及軟證書(shū)等等PKCS10方式證書(shū)下載：支持標(biāo)準(zhǔn)PKCS10方式證書(shū)更新：管理員更新證書(shū)和用戶自主更新證書(shū)證書(shū)作廢：管理員作廢證書(shū)和用戶自主作廢證書(shū)

26、證書(shū)凍結(jié)：凍結(jié)證書(shū)，一般發(fā)生在臨時(shí)性的身份審計(jì)時(shí)證書(shū)解凍：解凍證書(shū)，審計(jì)個(gè)人身份通過(guò)后，便可以解凍重取兩碼：重新獲的證書(shū)的參考號(hào)和授權(quán)碼（經(jīng)常發(fā)生在證書(shū)的所有者在下載證書(shū)前丟失了參考號(hào)和授權(quán)碼）證書(shū)查詢：查詢符合指定條件的證書(shū)及其狀態(tài) 與應(yīng)用系統(tǒng)的整合 B/S安全應(yīng)用系統(tǒng)根據(jù)航信B/S應(yīng)用安全要求，可采用基于SSL/TLS協(xié)議的安全網(wǎng)關(guān)對(duì)用戶進(jìn)行嚴(yán)格的數(shù)字身份認(rèn)證，并對(duì)業(yè)務(wù)流量進(jìn)行加密，保證業(yè)務(wù)數(shù)據(jù)的機(jī)密性；同時(shí)，為保障交易類(lèi)型業(yè)務(wù)的順利進(jìn)行，可采用基于數(shù)字簽名技術(shù)的數(shù)字簽名驗(yàn)簽系統(tǒng)對(duì)關(guān)鍵交易進(jìn)行數(shù)字簽名與驗(yàn)簽名，保障交易雙方身份的真實(shí)性、交易信息的完整性、交易結(jié)果的不可否認(rèn)性。數(shù)字身份認(rèn)證圖

27、 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 5數(shù)字證書(shū)身份認(rèn)證示意圖如上圖，安全網(wǎng)關(guān)設(shè)備可以作為SSL安全代理為后臺(tái)B/S架構(gòu)應(yīng)用提供基于數(shù)字證書(shū)的用戶身份認(rèn)證。安全網(wǎng)關(guān)部署于B/S架構(gòu)應(yīng)用服務(wù)器（如統(tǒng)一用戶認(rèn)證平臺(tái)）前端，將該應(yīng)用HTTP訪問(wèn)方式轉(zhuǎn)換為HTTPS類(lèi)型的訪問(wèn)方式；用戶通過(guò)訪問(wèn)安全網(wǎng)關(guān)上的HTTPS服務(wù)，實(shí)現(xiàn)訪問(wèn)真實(shí)應(yīng)用（如統(tǒng)一用戶認(rèn)證平臺(tái)）的目的；當(dāng)應(yīng)用安全網(wǎng)關(guān)收到用戶SSL請(qǐng)求時(shí)，要求用戶提交用戶擁有的數(shù)字證書(shū)（要求用戶插入U(xiǎn)SBKey），對(duì)用戶身份提出強(qiáng)制認(rèn)證要求；用戶選擇相應(yīng)證書(shū)通過(guò)SSL協(xié)議自動(dòng)傳輸?shù)桨踩W(wǎng)關(guān)；安全網(wǎng)關(guān)按照SSL規(guī)范對(duì)用戶

28、證書(shū)進(jìn)行有效性校驗(yàn)，同時(shí)通過(guò)比較從LDAP獲取到的CRL（證書(shū)吊銷(xiāo)列表）進(jìn)一步確認(rèn)用戶證書(shū)的有效性；當(dāng)網(wǎng)關(guān)驗(yàn)證用戶數(shù)字證書(shū)合法后，將用戶請(qǐng)求轉(zhuǎn)發(fā)到相應(yīng)的后臺(tái)應(yīng)用服務(wù)器（如統(tǒng)一用戶認(rèn)證平臺(tái)），同時(shí)將用戶數(shù)字證書(shū)中的相關(guān)字段（如主題中的用戶名）插入到用戶請(qǐng)求（headerurl中）中；后臺(tái)應(yīng)用服務(wù)器（如統(tǒng)一用戶管理平臺(tái)）通過(guò)提取請(qǐng)求的用戶信息（如用戶名），將該字段與實(shí)體用戶ID進(jìn)行關(guān)聯(lián)，完成用戶授權(quán)，允許用戶登陸該系統(tǒng)。C/S安全應(yīng)用系統(tǒng)此章節(jié)主要是針對(duì)eTerm系統(tǒng)改造，由于eTerm的Matip通訊協(xié)議無(wú)法實(shí)現(xiàn)SSL改造，所以ETERM無(wú)法通過(guò)SSL協(xié)議完成用戶數(shù)字身份認(rèn)證；針對(duì)ETERM建議

29、采用數(shù)字簽名技術(shù)對(duì)隨機(jī)數(shù)進(jìn)行簽名與驗(yàn)簽名的完成eTerm客戶端數(shù)字證書(shū)身份認(rèn)證的目的；同時(shí)，采用數(shù)字簽名系統(tǒng)同樣可以通過(guò)簽名與驗(yàn)簽名技術(shù)滿足ETERM關(guān)鍵交易數(shù)據(jù)完整性、真實(shí)性、不可否認(rèn)性的安全要求。數(shù)字身份認(rèn)證圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 6數(shù)字身份驗(yàn)證示意圖如上圖，C/S架構(gòu)應(yīng)用下系統(tǒng)通過(guò)對(duì)隨機(jī)數(shù)進(jìn)行簽名、驗(yàn)簽名可以完成C/S客戶端程序基于數(shù)字證書(shū)方式的身份認(rèn)證。 Server為獨(dú)立的一臺(tái)服務(wù)器，可以完成服務(wù)器端簽名與客戶端驗(yàn)簽名等工作； agent部署于應(yīng)用服務(wù)器上，用于處理應(yīng)用系統(tǒng)接收到的簽名報(bào)文與簽名請(qǐng)求； Client以客戶端控件形式

30、存在，通過(guò)該控件可以完成客戶端隨機(jī)數(shù)的數(shù)字簽名工作。當(dāng)客戶端程序需要認(rèn)證時(shí)，客戶端控件會(huì)調(diào)用客戶端數(shù)字證書(shū)對(duì)隨機(jī)數(shù)進(jìn)行簽名操作，此時(shí)最終用戶輸入U(xiǎn)SBkey Pin授權(quán)后，客戶端簽名即可完成并傳輸簽名報(bào)文與隨機(jī)數(shù)到應(yīng)用服務(wù)器；應(yīng)用服務(wù)器收到該簽名報(bào)文與隨機(jī)后，調(diào)用 Agent（API）將該報(bào)文提供到簽名服務(wù)器進(jìn)行驗(yàn)簽名；簽名服務(wù)器收到該報(bào)文后，通過(guò)獲取用戶數(shù)字證書(shū)相關(guān)信息，校驗(yàn)該證書(shū)有效后進(jìn)行驗(yàn)簽名工作，并將驗(yàn)簽名結(jié)果返回給應(yīng)用服務(wù)器；應(yīng)用服務(wù)器根據(jù)簽名服務(wù)器返回的驗(yàn)簽名結(jié)果判斷是否允許用戶登陸，完成用戶數(shù)字身份認(rèn)證。身份認(rèn)證平臺(tái)與用戶設(shè)備結(jié)合PKI平臺(tái)按照標(biāo)準(zhǔn)協(xié)議或者是國(guó)際、國(guó)內(nèi)、行業(yè)的通用

31、規(guī)范進(jìn)行結(jié)構(gòu)設(shè)計(jì)和產(chǎn)品開(kāi)發(fā)，可與其它規(guī)范的PKI產(chǎn)品進(jìn)行互操作，數(shù)字證書(shū)中心所簽發(fā)的數(shù)字證書(shū)可廣泛用于PKI的標(biāo)準(zhǔn)應(yīng)用系統(tǒng)?，F(xiàn)有SSL卸載服務(wù)由F5負(fù)載均衡設(shè)備及Web服務(wù)器實(shí)現(xiàn)，廠家身份認(rèn)證平臺(tái)采用國(guó)際行業(yè)的通用規(guī)范進(jìn)行結(jié)構(gòu)設(shè)計(jì)和產(chǎn)品開(kāi)發(fā)，為用戶提供標(biāo)準(zhǔn)X509 V3格式證書(shū)，廣泛用于PKI的標(biāo)準(zhǔn)應(yīng)用系統(tǒng)CP/CPS (RFC 3647)。支持標(biāo)準(zhǔn)的PKCS10證書(shū)請(qǐng)求、X509V3證書(shū)，所有符合該標(biāo)準(zhǔn)的證書(shū)系統(tǒng)均可使用。支持幾乎全部主流國(guó)際標(biāo)準(zhǔn)算法，支持國(guó)密辦認(rèn)證的加密機(jī)及SSF33算法。 通過(guò)SSL加速功能的應(yīng)用，能夠在實(shí)現(xiàn)服務(wù)器負(fù)載均衡功能的基礎(chǔ)上，提高整個(gè)應(yīng)用平臺(tái)的安全性。使到客戶端

32、的內(nèi)容由原先的明文傳輸，變?yōu)镾SL加密傳輸，大大增加了應(yīng)用的安全性。用戶通過(guò)瀏覽器與服務(wù)器端的安全網(wǎng)關(guān)建立SSL安全信道使用數(shù)字證書(shū)進(jìn)行SSL協(xié)議的身份認(rèn)證SSL通道中所有數(shù)據(jù)都被加密F5設(shè)備與數(shù)字身份認(rèn)證平臺(tái)結(jié)合PKI平臺(tái)采用標(biāo)準(zhǔn)X509v3格式證書(shū)，y提供P12，P7，P10方式生成證書(shū)。F5設(shè)備可以預(yù)先生成證書(shū)P10請(qǐng)求, 并把P10請(qǐng)求通過(guò)證書(shū)中心簽發(fā)設(shè)備證書(shū)。PKI平臺(tái)可以預(yù)先生成PFX或PEM格式證書(shū)，直接導(dǎo)入F5設(shè)備，實(shí)現(xiàn)設(shè)備。根據(jù)業(yè)務(wù)需要，可以在F5設(shè)備外接國(guó)產(chǎn)加密設(shè)備，支持國(guó)家密碼管理局頒發(fā)的相關(guān)加密算法，如SM2、SM3、SM4。WEB服務(wù)器與數(shù)字身份認(rèn)證平臺(tái)結(jié)合身份認(rèn)證平

33、臺(tái)采用標(biāo)準(zhǔn)X509v3格式證書(shū)，提供P12，P7，P10方式生成證書(shū)。WEB服務(wù)器可以預(yù)先生成證書(shū)P10請(qǐng)求, 并把P10請(qǐng)求通過(guò)證書(shū)中心簽發(fā)設(shè)備證書(shū)。證書(shū)中心支持如下類(lèi)型應(yīng)用服務(wù)器。Solaris，AIX ，HPUX，Linux，Windows Oracle，DB2，Sybase SUN Directory，Novell NDS，Microsoft AD，OpenLDAP，Oracle OID，南開(kāi)創(chuàng)元ITEC-iDS 3.0 Websphere，Weblogic，IIS，Tomcat 堡壘機(jī)設(shè)備與數(shù)字身份認(rèn)證平臺(tái)結(jié)合身份認(rèn)證平臺(tái)采用標(biāo)準(zhǔn)X509v3格式證書(shū)，提供P12，P7，P10方式生成

34、證書(shū)。堡壘機(jī)可以預(yù)先生成證書(shū)P10請(qǐng)求, 并把P10請(qǐng)求通過(guò)證書(shū)中心簽發(fā)設(shè)備證書(shū)。然后堡壘機(jī)分別導(dǎo)入設(shè)備證書(shū)和CA根證書(shū)，即可實(shí)現(xiàn)證書(shū)認(rèn)證登錄方式。建設(shè)規(guī)模覆蓋整個(gè)民航新一代旅客服務(wù)信息，系統(tǒng)中存放的賬號(hào)在百萬(wàn)級(jí)。提供企業(yè)信息系統(tǒng)PKI/CA體系建設(shè)標(biāo)準(zhǔn)解決方案，對(duì)企業(yè)信息系統(tǒng)的各類(lèi)用戶提供證書(shū)管理，證書(shū)制作和作廢。為企業(yè)信息系統(tǒng)提供安全保障。技術(shù)設(shè)計(jì)方案可信認(rèn)證中心組成與主要功能可信認(rèn)證中心定位為企業(yè)信息系統(tǒng)事前安全控制的總體支撐技術(shù)平臺(tái)。圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 7可信認(rèn)證中心構(gòu)成圖可信認(rèn)證中心由一下內(nèi)容組成：統(tǒng)一身份管理系統(tǒng)，進(jìn)行身份和

35、權(quán)限管理，支持賬號(hào)申請(qǐng)與審批，以及后續(xù)的全生命周期管理，支持RBAC授權(quán)管理，支持多級(jí)授權(quán)管理模式。數(shù)字證書(shū)系統(tǒng)，對(duì)用戶身份證書(shū)進(jìn)行全生命周期管理U盾系統(tǒng)，作為用戶高強(qiáng)度身份認(rèn)證方案的一部分，可以灌裝數(shù)字證書(shū)，支持?jǐn)?shù)字證書(shū)認(rèn)證，目前與數(shù)字證書(shū)系統(tǒng)集成一體。短信網(wǎng)關(guān)，支持一次一密的短信認(rèn)證。單點(diǎn)登錄平臺(tái)，支持后續(xù)的多應(yīng)用系統(tǒng)間的認(rèn)證切換，提高認(rèn)證效率?？尚耪J(rèn)證中心的總體功能如圖所示：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 8可信認(rèn)證中心總體功能圖可信認(rèn)證中心的總體功能如下：對(duì)所有用戶進(jìn)行身份管理、授權(quán)管理以及身份認(rèn)證信息的管理。對(duì)所有數(shù)據(jù)傳輸提供加解密支持。

36、對(duì)所有應(yīng)用系統(tǒng)提供身份認(rèn)證、訪問(wèn)控制和加解密支持。用戶管理平臺(tái)整體技術(shù)架構(gòu)設(shè)計(jì)民航交易系統(tǒng)用戶管理及認(rèn)證平臺(tái)的主要內(nèi)容如下圖所示：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 9 用戶管理及認(rèn)證平臺(tái)技術(shù)架構(gòu)圖建設(shè)方案中涉及如下子系統(tǒng)建設(shè)： 用戶和賬號(hào)申請(qǐng)審批系統(tǒng)建立符合用戶需求的可以靈活配置的用戶和賬號(hào)申請(qǐng)審批平臺(tái)。支持不同類(lèi)型用戶和賬號(hào)的申請(qǐng)和審批。根據(jù)申請(qǐng)機(jī)構(gòu)不同、用戶不同、賬號(hào)權(quán)限不同可以對(duì)審批流進(jìn)行靈活配置。對(duì)申請(qǐng)的內(nèi)容和審批意見(jiàn)進(jìn)行鏡像保存，在出現(xiàn)安全生產(chǎn)事件時(shí)，能夠迅速追蹤到賬號(hào)的申請(qǐng)和審批情況。 用戶和賬號(hào)配置管理平臺(tái)實(shí)現(xiàn)企業(yè)信息系統(tǒng)中傳統(tǒng)賬號(hào)的創(chuàng)

37、建，修改刪除和查詢，支撐以旅客為中心的新一代民航信息體系的用戶和賬號(hào)管理。實(shí)現(xiàn)人與賬號(hào)強(qiáng)綁定。建立基于開(kāi)放平臺(tái)的用戶和賬號(hào)權(quán)威數(shù)據(jù)源。具備擴(kuò)展性和靈活性。 統(tǒng)一認(rèn)證服務(wù)為企業(yè)信息系統(tǒng)提供公用的統(tǒng)一認(rèn)證服務(wù)平臺(tái)和解決方案，為航信各類(lèi)前端系統(tǒng)提供認(rèn)證服務(wù)。支持多種認(rèn)證類(lèi)型，尤其加強(qiáng)U盾等強(qiáng)認(rèn)證方式的建設(shè)。建設(shè)pki/ca平臺(tái)，支持證書(shū)的申請(qǐng)、制作、下發(fā)和銷(xiāo)毀。 用戶和賬號(hào)審計(jì)平臺(tái)利用賬號(hào)申請(qǐng)審批平臺(tái)，賬號(hào)配置管理平臺(tái)和認(rèn)證平臺(tái)的數(shù)據(jù)，對(duì)用戶和賬號(hào)的異常修改及異常使用進(jìn)行審計(jì)和預(yù)警，對(duì)安全事件發(fā)生后的跟蹤和追查提供幫助。用戶管理平臺(tái)建設(shè)方案用戶和賬號(hào)申請(qǐng)審批系統(tǒng)系統(tǒng)目標(biāo)：圖 3- STYLEREF

38、1 s 3 SEQ 圖 * ARABIC s 1 10 申請(qǐng)審批系統(tǒng)示意圖以用戶和賬號(hào)配置管理系統(tǒng)未核心，接受機(jī)場(chǎng)，代理人和航空公司操作人員的賬號(hào)申請(qǐng)，經(jīng)過(guò)審批后，調(diào)用用戶和賬號(hào)配置和管理系統(tǒng)完成賬號(hào)配置工作。獲取申請(qǐng)單狀態(tài)，并通知申請(qǐng)人。系統(tǒng)邏輯架構(gòu)如下圖所示圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 11 系統(tǒng)邏輯架構(gòu)圖各種用戶和賬號(hào)申請(qǐng)單通過(guò)個(gè)性化配置的審批工作流，流轉(zhuǎn)到不同的審批人，審批通過(guò)后，通過(guò)接口調(diào)用用戶和賬號(hào)配置管理系統(tǒng)，進(jìn)行下一步的操作。技術(shù)架構(gòu)如圖所示：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 12 系統(tǒng)

39、技術(shù)架構(gòu)圖基于J2EE容器開(kāi)發(fā)，申請(qǐng)數(shù)據(jù)和審批信息存放在數(shù)據(jù)庫(kù)中。用戶和賬號(hào)配置管理平臺(tái)系統(tǒng)目標(biāo)：圖 圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 13配置管理平臺(tái)系統(tǒng)目標(biāo)圖系統(tǒng)目標(biāo)主要是把經(jīng)過(guò)審批的申請(qǐng)單，通過(guò)受理接口傳遞到用戶管理系統(tǒng)內(nèi)，用戶管理系統(tǒng)完成用戶和賬號(hào)的增刪改查等操作。用戶和賬號(hào)的增刪改除了要在開(kāi)放的權(quán)威存儲(chǔ)中對(duì)相應(yīng)記錄進(jìn)行修改外，還要傳遞到該賬號(hào)所屬應(yīng)用，以保證應(yīng)用可以在不修改的情況下正確運(yùn)行。系統(tǒng)邏輯架構(gòu)如圖所示：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 14 配置管理平臺(tái)邏輯架構(gòu)圖系統(tǒng)技術(shù)架構(gòu)如圖所示：圖

40、 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 15 配置管理平臺(tái)技術(shù)架構(gòu)圖統(tǒng)一認(rèn)證服務(wù)平臺(tái)系統(tǒng)目標(biāo)認(rèn)證服務(wù)平臺(tái)的系統(tǒng)建設(shè)目標(biāo)如下圖所示：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 16 統(tǒng)一認(rèn)證服務(wù)平臺(tái)系統(tǒng)目標(biāo)圖具體分解成如下目標(biāo)： 基礎(chǔ)功能目標(biāo)認(rèn)證中間件應(yīng)該提供一套與應(yīng)用系統(tǒng)無(wú)關(guān)的認(rèn)證框架，幫助應(yīng)用系統(tǒng)與用戶實(shí)體之間建立信任關(guān)系，為進(jìn)一步判斷用戶是否可以訪問(wèn)資源提供先決條件；認(rèn)證中間件定義的接口應(yīng)該與所處理的認(rèn)證信息無(wú)關(guān)，可以支持所有可能的交互流程；認(rèn)證中間件應(yīng)該支持應(yīng)用系統(tǒng)調(diào)用相關(guān)接口建立用戶安全上下文；一旦會(huì)話終止，或用戶登

41、出后，認(rèn)證中間件應(yīng)該啟動(dòng)清理會(huì)話服務(wù)，清除用戶上下文。 非功能性目標(biāo)認(rèn)證中間件不指定具體的認(rèn)證機(jī)制，可以靈活擴(kuò)展各類(lèi)認(rèn)證機(jī)制；認(rèn)證中間件框架與具體的操作系統(tǒng)或平臺(tái)是無(wú)關(guān)的，但認(rèn)證中間件的具體實(shí)現(xiàn)系統(tǒng)可能是相關(guān)的；認(rèn)證中間件應(yīng)提供充分的手段與各類(lèi)進(jìn)行集成。 安全目標(biāo)認(rèn)證中間件不能對(duì)應(yīng)用系統(tǒng)引入錯(cuò)誤；認(rèn)證中間件不能惡意的影響系統(tǒng)的其他服務(wù)；認(rèn)證中間件應(yīng)該能夠支持應(yīng)用系統(tǒng)中的授權(quán)機(jī)制；認(rèn)證中間件應(yīng)該保證認(rèn)證中間件環(huán)境中出現(xiàn)的安全相關(guān)的事件都是可審計(jì)的；認(rèn)證中間件的具體實(shí)現(xiàn)應(yīng)保護(hù)其獲得或生成的安全相關(guān)信息的安全性，使得其他服務(wù)能足夠信任該中間件提供的信息；認(rèn)證中間件的具體實(shí)現(xiàn)應(yīng)該能夠保護(hù)在其組件之間傳

42、遞及組件與其他服務(wù)之間傳遞的安全相關(guān)信息的安全性。 邏輯架構(gòu)邏輯架構(gòu)如圖所示：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 17 統(tǒng)一認(rèn)證服務(wù)平臺(tái)邏輯架構(gòu)圖認(rèn)證服務(wù)子系統(tǒng)面對(duì)企業(yè)多樣化的應(yīng)用環(huán)境，可以支持云化的部署方式。統(tǒng)一認(rèn)證和單點(diǎn)登錄服務(wù)云由一個(gè)或多個(gè)認(rèn)證樞紐（認(rèn)證樞紐）構(gòu)成，這些認(rèn)證樞紐按照網(wǎng)絡(luò)架構(gòu)的特點(diǎn)進(jìn)行分布部署，為各個(gè)認(rèn)證樞紐所轄范圍內(nèi)的B/S應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一認(rèn)證鑒權(quán)，實(shí)現(xiàn)用戶的單點(diǎn)登錄。在有條件的節(jié)點(diǎn)部署一套認(rèn)證樞紐，為其節(jié)點(diǎn)內(nèi)的應(yīng)用提供認(rèn)證和單點(diǎn)登錄服務(wù)。一級(jí)節(jié)點(diǎn)統(tǒng)一部署一個(gè)認(rèn)證樞紐，為一級(jí)集中應(yīng)用和無(wú)獨(dú)立認(rèn)證樞紐的節(jié)點(diǎn)提供服務(wù)。認(rèn)證樞紐設(shè)計(jì)上具

43、有如下特征：基于網(wǎng)絡(luò)就近的原則，有限為所轄范圍內(nèi)的應(yīng)用提供認(rèn)證和單點(diǎn)登錄；所有的認(rèn)證樞紐共同構(gòu)成一套完整的認(rèn)證和單點(diǎn)登錄服務(wù)；任何一個(gè)認(rèn)證樞紐均可以為所有的整合應(yīng)用提供認(rèn)證和單點(diǎn)登錄服務(wù)；任何一個(gè)樞紐失效后，可以由其它的樞紐接替其認(rèn)證和單點(diǎn)登錄服務(wù)，持續(xù)為用戶提供服務(wù)。為避免應(yīng)用和認(rèn)證樞紐之間出現(xiàn)網(wǎng)狀交互關(guān)系，方便管理維護(hù)，本架構(gòu)部署中，中心認(rèn)證樞紐負(fù)責(zé)收斂集中應(yīng)用的登錄和認(rèn)證需求，區(qū)域認(rèn)證中心負(fù)責(zé)收斂所轄節(jié)點(diǎn)應(yīng)用的登錄和認(rèn)證需求。中心認(rèn)證樞紐和各區(qū)域認(rèn)證中心實(shí)現(xiàn)互聯(lián)互通，為用戶提供跨越兩級(jí)的單點(diǎn)登錄服務(wù)功能。 技術(shù)架構(gòu)技術(shù)架構(gòu)如圖所示：圖 3- STYLEREF 1 s 3 SEQ 圖 *

44、ARABIC s 1 18 統(tǒng)一認(rèn)證服務(wù)平臺(tái)技術(shù)架構(gòu)圖其中：IDP Service提供基于SAML的IdP服務(wù)；SP Agent為應(yīng)用端的組件，應(yīng)用系統(tǒng)完成與本組件的接口和集成后，實(shí)現(xiàn)與認(rèn)證樞紐的認(rèn)證集成；IDP Discovery Service提供基于SAML Discovery Service(SAML V2)標(biāo)準(zhǔn)的IdP發(fā)現(xiàn)服務(wù)服務(wù)，通過(guò)該組件總是將用戶用戶從SP引導(dǎo)到合適的IdP完成身份認(rèn)證服務(wù)，本文檔簡(jiǎn)稱(chēng)其為SAML DS；Integrated Console則提供對(duì)所有SP、IDP和SAML DS服務(wù)監(jiān)控及管理，由于SP端應(yīng)用構(gòu)建環(huán)境的多樣性，Integrated Console

45、需支持基于HTTP的管控協(xié)議，而IdP和DS則可以直接使用JMX(Bind with HTTP/HTTPS)完成協(xié)議通信。Authentication Authority做為認(rèn)證服務(wù)源存在，用于為IdP提供用戶身份的鑒別服務(wù)，為可擴(kuò)展的插件是模塊，實(shí)現(xiàn)與不同的認(rèn)證數(shù)據(jù)源整合。例如：LDAP服務(wù)、SOAP based的認(rèn)證服務(wù)或Microsoft AD服務(wù)等。Attribute Authority為IdP提供用戶屬性查詢服務(wù)，IdP完成用戶的身份鑒別后，訪問(wèn)此服務(wù)對(duì)用戶的屬性信息進(jìn)行豐富，支撐SAML的Attribute resolve服務(wù)組件的數(shù)據(jù)查詢要求。用戶和賬號(hào)審計(jì)平臺(tái) 系統(tǒng)目標(biāo)審計(jì)與監(jiān)

46、控系統(tǒng)能夠提供統(tǒng)一身份認(rèn)證系統(tǒng)的審計(jì)功能，記錄系統(tǒng)的錯(cuò)誤、報(bào)警等異常事件及帳戶的創(chuàng)建、更改和注銷(xiāo)等操作事件，并自動(dòng)生成可閱讀的審計(jì)日志。審計(jì)與監(jiān)控系統(tǒng)平臺(tái)能夠提供日志信息的查看、檢索與分析功能，提供豐富的查詢功能，可以基于操作類(lèi)型、日期范圍、用戶ID、服務(wù)類(lèi)型等對(duì)日志進(jìn)行的查詢，并給出報(bào)表。審計(jì)主要包括用戶和帳號(hào)信息審計(jì)、認(rèn)證審計(jì)和用戶管理信息審計(jì)。各種審計(jì)結(jié)果表格支持均支持Microsoft Excel表格或PDF文件格式的導(dǎo)出功能。，并提供如下維度的報(bào)表：個(gè)人帳戶：列舉個(gè)人的帳戶信息。帳戶操作：顯示帳戶的活動(dòng)。操作報(bào)告：報(bào)告分類(lèi)的操作行為，如增加一個(gè)新用戶。休眠報(bào)告：列出與所管理資源相關(guān)的

47、休眠帳戶。帳戶報(bào)告：列出人員和相關(guān)的帳戶，以及該帳戶是否遵從當(dāng)前的規(guī)則。違規(guī)帳戶：顯示違規(guī)帳戶和相關(guān)的服務(wù)。帳戶審批：顯示帳戶審批的記錄自定義報(bào)表：自定義報(bào)表模板由嵌入式的報(bào)表設(shè)計(jì)器生成，也可引進(jìn)第三方的報(bào)表設(shè)計(jì)工具。當(dāng)然，自定義報(bào)表可直接運(yùn)行于安全審計(jì)服務(wù)器用戶界面下。 邏輯架構(gòu)如圖所示：系統(tǒng)的邏輯組件架構(gòu)如下圖所示，其中報(bào)表引擎可以采用商業(yè)軟件或基于Eclipse BIRT開(kāi)源軟件來(lái)構(gòu)建。本部分的邏輯架構(gòu)以采用BIRT開(kāi)源軟件的實(shí)現(xiàn)方式來(lái)進(jìn)行描述。圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 19審計(jì)平臺(tái)邏輯架構(gòu)圖其中BIRT Runtime為報(bào)表的運(yùn)行時(shí)組

48、件，一般可以看作是報(bào)表引擎。報(bào)表模板庫(kù)則包含了為用戶管理系統(tǒng)定制的各類(lèi)報(bào)表的模板，報(bào)表引擎加載這些報(bào)表模板按照設(shè)置的運(yùn)行策略就可以輸出相關(guān)的報(bào)表。而報(bào)表展現(xiàn)UI工具則面向?qū)徲?jì)和系統(tǒng)運(yùn)維人員，為運(yùn)維人員查詢和查看報(bào)表提供支持，是報(bào)表平臺(tái)的操作界面。這里的邏輯組件架構(gòu)為用戶管理子系統(tǒng)的，如前所述認(rèn)證和授權(quán)子系統(tǒng)不使用數(shù)據(jù)庫(kù)存放方式，統(tǒng)一使用文件方式存放，對(duì)于文件存放方式建議采用W7格式，通過(guò)定義When, Who,Where,ToWhere, FromWhere, What 和OnWhat等7個(gè)維度的信息來(lái)規(guī)范和豐富各個(gè)模塊對(duì)審計(jì)日志的輸出，并為分析提供有效的支撐。對(duì)于Java應(yīng)用程序輸出日志時(shí)直

49、接調(diào)用W7Logger的log族的方法，使用的時(shí)序圖示意如下：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 20 w7logger調(diào)用時(shí)序圖技術(shù)架構(gòu)如圖所示：圖 3- STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 21審計(jì)平臺(tái)技術(shù)架構(gòu)圖審計(jì)系統(tǒng)的架構(gòu)相對(duì)比較清晰，主要是利用用戶管理系統(tǒng)和認(rèn)證系統(tǒng)的數(shù)據(jù)和日志按照一定規(guī)則進(jìn)行報(bào)表生成和展現(xiàn)。出行在審計(jì)報(bào)表要求比較簡(jiǎn)單的情況下，可以考慮不引入復(fù)雜的報(bào)表要引擎和規(guī)則引擎，利用簡(jiǎn)單的數(shù)據(jù)查詢和整合進(jìn)行最基礎(chǔ)的報(bào)表輸出。隨審計(jì)要求的提升，航信應(yīng)獨(dú)立建設(shè)綜合審計(jì)平臺(tái)，用戶管理系統(tǒng)依據(jù)一定規(guī)則為綜合審計(jì)平

50、臺(tái)提供數(shù)據(jù)素材，綜合審計(jì)平臺(tái)負(fù)責(zé)生成報(bào)表并為審計(jì)過(guò)程和審計(jì)人員提供審計(jì)依據(jù)。PKI建設(shè)方案根據(jù)航信業(yè)務(wù)系統(tǒng)的安全需求，建議采用基于PKI體系的數(shù)字身份認(rèn)證系統(tǒng)以滿足業(yè)務(wù)系統(tǒng)對(duì)用戶身份進(jìn)行唯一標(biāo)識(shí)、嚴(yán)格進(jìn)行身份認(rèn)證、用戶安全訪問(wèn)業(yè)務(wù)系統(tǒng)、實(shí)現(xiàn)交易的安全要求。PKI CA數(shù)字身份認(rèn)證系統(tǒng)基于密碼學(xué)原理，通過(guò)公鑰證書(shū)的方式為標(biāo)識(shí)用戶身份的唯一性，通過(guò)SSL安全協(xié)議、數(shù)字簽名等方式對(duì)用戶數(shù)字身份進(jìn)行嚴(yán)格的身份認(rèn)證保障用戶身份的真實(shí)性，通過(guò)SSL安全協(xié)議、數(shù)字信封等方式加密業(yè)務(wù)流量保障業(yè)務(wù)數(shù)據(jù)的機(jī)密性、完整性，通過(guò)數(shù)字簽名等方式對(duì)關(guān)鍵交易數(shù)據(jù)進(jìn)行簽名、驗(yàn)簽名從而保障交易雙方身份的真實(shí)性、關(guān)鍵交易信息的真實(shí)性以及交易結(jié)果的不可否認(rèn)性。CA系統(tǒng)主要業(yè)務(wù)流描述如下：圖 3-