北京时代亿信EETrust统一身份认证平台是基于PKIPublic Key Infrastructure)理论体系, 利用CA、数字签名和数字证书认证机制,综合应用USB接口智能卡、安全通道、×××等技术,为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。

1.1 统一身份认证平台主要功能

门户系统(Portal)—— 各业务系统信息资源的综合展示。
统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中,作为用户访问平台及各应用系统的凭据,并对用户访问应用系统的权限进行授权。
身份认证——用户在访问平台及各应用系统时,都使用相同的凭据(即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN),并利用数字签名技术在平台进行身份认证,证明其身份的真实性。
单点登录(SSO)——用户在通过平台认证后,可直接访问已授权的各应用系统,实现不同应用系统的身份认证共享,从而达到多应用系统的单点登录。
数据共享——认证平台存储了用户的基本信息和证书信息,所有应用系统均可以充分利用这些信息,减少用户信息的重复录入。
移动办公——平台提供基于Secure×××®的移动安全办公方式,允许用户在通过认证后,通过Internet安全地访问内部网的应用系统。
安全通道——平台提供两种安全通道:一种是应用层安全通道,一种是网络层安全通道。它们为内网应用之间或外网应用之间提供安全的传输通道,保证其中传输的数据的安全性。
安全办公邮件——对内部办公的邮件实现签名、加密传输和加密存储,目前支持的后台邮件系统包括:Sun iPlanetLotus NotesQmailSendMail以及所有支持IMAP协议的邮件服务器。
个人数据的安全管理——对个人计算机中密级较高的信息,依据USB-KEY中存储的个人证书,提供加密存储和读取。

1.2 统一认证平台主要优势

Ø        业务系统的实施工作量少
业务系统只需安装配置访问前置,并按规范提供映射验证接口和访问验证接口即可。访问前置支持WindowsLinuxUnix等多种平台,充分满足各种平台上业务系统的需求。
Ø        充分兼顾系统安全与效率
在身份认证和单点登录这样的高风险阶段,采用多种技术保证安全性,而在正常访问业务系统数据时,可以综合考虑安全与效率,可采用关键信息加密的方式,SSL加密通道可配置。
Ø        系统具有高可靠性和可用性
平台支持软件方式的负载均衡,充分满足并发认证的需求;同时,平台与业务系统之间采取松散耦合的方式,灵活满足业务系统的调整和升级。
Ø        支持分认证中心结构,实现本地认证
用户在进行身份认证时,不需要到认证平台进行认证,而是在本地建立一个功能同认证平台的分认证中心,负责本地用户的身份认证,保证认证速度和效率。本地认证中心需要建立用户的数字证书数据库和用户信息数据库,数据的存储需采用加密存储,防止用户信息泄露。
Ø        ×××系统进行统一登录
×××的认证相结合,用户通过×××进行认证后,可直接进入办公门户系统,不需要二次认证。
Ø        支持一次性口令认证
支持用户忘记携带USB-KEY,可以向管理员申请一次性使用的口令进行身份认证。解决没有USB-KEY就不能办公的弊端。

1.3 统一身份认证平台功能结构

统一身份认证平台有效整合现有业务系统,解决多个业务系统的用户统一认证问题,实现单点登录(SSO)、访问控制、并采用相关的安全机制,增强用户身份认证过程的安全性。
   平台由以下系统模块构成:
Ø          平台门户系统
Ø          平台管理系统
Ø          认证服务器
Ø          认证数据库
Ø          访问控制服务器
Ø          业务系统认证前置程序
北京时代亿信EETrust统一身份认证平台(UAP)技术方案_第1张图片
  统一身份认证平台功能结构

1.1 业务系统的接入与认证

统一认证平台要实现单点登录(SSO),必须能够将各个业务系统接入到平台中,并解决不同业务系统之间用户交叉和用户帐户不同的问题。

1.2 信息资源接入UAP逻辑关系图

UAP整合各种信息资源,通过标准XML语言,方便的将信息资源进行接入和使用。
北京时代亿信EETrust统一身份认证平台(UAP)技术方案_第2张图片
  图:资源接入逻辑图
 
业务系统分为 B/S 结构和 C/S 结构两类,与平台的连接都通过安全通道来保证数据传输的安全。
B/S 结构应用系统的支持如下表:
操作系统平台
Web 及应用服务器类别
Windows 平台
支持 ASP.Net/ J2EE JSP/Servlet /Notes
Unix平台(Aix/HP-UX/Solaris/Linux)
支持 J2EE JSP/Servlet /Notes
C/S 结构应用系统主要提供开发接口包:
n         Windows 平台的非 web 方式提供 COM 组件;
n         Unix 平台的非 web 方式提供动态库。

1.1.1 业务系统访问权限的控制

平台用户是一个大的用户集合,通过平台认证的用户并不一定能访问所有接入平台的业务系统。平台用户对业务系统的访问权限通过用户分组和访问控制策略进行控制。例如:
按照用户所属单位或部门划分组,该组可访问相应单位部门的业务系统;
按照用户角色划分组,例如:财务人员分组可以访问财务相关的业务系统;
同时,平台用户与业务系统映射表中设置用户访问权限标识,可针对单个用户访问某个业务的权限进行停用 / 启用。