时代亿信统一认证平台UAP白皮书

概述

统一身份认证平台是基于PKI（Public Key Infrastructure）理论体系， 利用CA、数字

签名和数字证书认证机制，综合应用USB接口智能卡、安全通道、×××等技术，为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。

1.1 认证系统实现目标

本方案是按本地用户需求规划构建的统一身份认证平台，为本地用户各业务系统提供统一的身份认证和综合安全服务，以实现内联网、外联网及移动办公的统一认证：

（1）       建立本地用户自己独立的CA数字证书受理系统

n         基于CA，为平台各系统用户统一颁发数字证书；

n         支持数字证书的USB-KEY存储；

（2）       实现多应用的统一身份认证

n         统一的认证门户；

n         支持多个B/S结构、C/S结构的业务系统接入平台；

n         平台对用户统一授权和认证；

n         每一用户只使用一个USB-KEY访问所有被授权的系统；

（3）       移动办公安全

n         使用同一种认证方式进行×××接入认证；

n         能够根据用户组授权访问不同的应用系统；

n         完善的日志和报表，提供用户登录、退出的时间等信息；

（4）       应用数据安全

n         本地文件使用个人证书进行加密保存和读取；

n         OA系统中秘密文件的加密存储和加密传输；

n         OA系统中电子邮件的签名和加密传输；

1.2 统一身份认证平台主要功能

门户系统（Portal）—— 各业务系统信息资源的综合展示。

统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中，作为用户访问平台及各应用系统的凭据，并对用户访问应用系统的权限进行授权。

身份认证——用户在访问平台及各应用系统时，都使用相同的凭据（即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN），并利用数字签名技术在平台进行身份认证，证明其身份的真实性。

单点登录（SSO）——用户在通过平台认证后，可直接访问已授权的各应用系统，实现不同应用系统的身份认证共享，从而达到多应用系统的单点登录。

数据共享——认证平台存储了用户的基本信息和证书信息，所有应用系统均可以充分利用这些信息，减少用户信息的重复录入。

移动办公——平台提供基于Secure×××^®的移动安全办公方式，允许用户在通过认证后，通过Internet安全地访问内部网的应用系统。

安全通道——平台提供两种安全通道：一种是应用层安全通道，一种是网络层安全通道。它们为内网应用之间或外网应用之间提供安全的传输通道，保证其中传输的数据的安全性。

安全办公邮件——对内部办公的邮件实现签名、加密传输和加密存储，目前支持的后台邮件系统包括：Sun iPlanet、Lotus Notes、Qmail、SendMail以及所有支持IMAP协议的邮件服务器。

个人数据的安全管理——对个人计算机中密级较高的信息，依据USB-KEY中存储的个人证书，提供加密存储和读取。

1.3 统一认证平台主要优势

Ø        业务系统的实施工作量少

业务系统只需安装配置访问前置，并按规范提供映射验证接口和访问验证接口即可。访问前置支持Windows、Linux、Unix等多种平台，充分满足各种平台上业务系统的需求。

Ø        充分兼顾系统安全与效率

在身份认证和单点登录这样的高风险阶段，采用多种技术保证安全性，而在正常访问业务系统数据时，可以综合考虑安全与效率，可采用关键信息加密的方式，SSL加密通道可配置。

Ø        系统具有高可靠性和可用性

平台支持软件方式的负载均衡，充分满足并发认证的需求；同时，平台与业务系统之间采取松散耦合的方式，灵活满足业务系统的调整和升级。

Ø        支持分认证中心结构，实现本地认证

用户在进行身份认证时，不需要到认证平台进行认证，而是在本地建立一个功能同认证平台的分认证中心，负责本地用户的身份认证，保证认证速度和效率。本地认证中心需要建立用户的数字证书数据库和用户信息数据库，数据的存储需采用加密存储，防止用户信息泄露。

Ø        和×××系统进行统一登录

与×××的认证相结合，用户通过×××进行认证后，可直接进入办公门户系统，不需要二次认证。

Ø        支持一次性口令认证

支持用户忘记携带USB-KEY，可以向管理员申请一次性使用的口令进行身份认证。解决没有USB-KEY就不能办公的弊端。

1.4 统一身份认证平台功能结构

统一身份认证平台有效整合现有业务系统，解决多个业务系统的用户统一认证问题，实现单点登录（SSO）、访问控制、并采用相关的安全机制，增强用户身份认证过程的安全性。

   平台由以下系统模块构成：

Ø          平台门户系统

Ø          平台管理系统

Ø          认证服务器

Ø          认证数据库

Ø          访问控制服务器

Ø          业务系统认证前置程序

图  统一身份认证平台功能结构

1.5 统一身份认证平台网络结构

统一身份认证平台网络结构如下图所示，由平台WEB/应用服务器、认证/接入服务器、CTCA数字证书网上受理服务器、数据库服务器、Secure×××服务器组成。

WEB/应用服务器提供平台的统一认证门户和平台管理；认证/接入服务器负责用户身份认证和业务系统接入；CTCA数字证书网上受理服务器负责用户证书的签发；数据库服务器提供平台用户信息、证书信息等数据的存储。

上述服务器程序安装在两台主机上，WEB/应用服务器通过Cluster做负载均衡，认证服务器和数据库服务器做主从热备。

Secure×××是独立的硬件服务器，负责为用户通过Internet访问内部网应用提供安全认证和接入。

图  统一身份认证平台网络结构（图中机器只表示逻辑关系）

建议配置：

主机：至强（Xeon）双CPU 2.2G 以上，内存 2G 以上。

应用服务器：BEA WebLogic 8.1

       数据库：对于Windows平台，建议数据库为SQL Server；对于UNIX/Linux平台，建议数据库为Oracle或DB2。