數字身份系統管理

前言：本站為你精心整理了數字身份系統管理范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

基于PK!的UniTruslt.DIDMS''''""2.0

UniTrustDIDMSTM全稱為數字身份管理系統(DigitalIDManagementSystem).是上海市電子商務安全證書管理中心有限公司在實際運作過程中根據用戶需求開發的一套企業級的PKI解決方案套件。

UniTrustDIDMSTM是一臺軟硬一體機設備系統包含兩大組件:DIDMSTMCA和DIDMSTMPMI&SSO。其中DIDMSTMCA通過提供身份認證等服務使用戶能以最少的投資建立起一個可控、方便的企業信息化安全管理系統.它如同一個微型化的公網CA系統，幾乎能夠實現CA所提供的所有功能，包括系統初始化、系統管理、用戶信息管理、證書申請信息管理、證書管理、日志管理、證書查詢、CRL服務、在線證書狀態查詢、訪問控制、用戶證書介質制作等等。此外，它能夠存儲長達7年的證書量推薦的證書簽發量不超過1萬張.能夠同時支持SHECA的UniTrustSafeEngine和證書管理器接口以進行應用開發;而DIDMSTMPMI&SSO基于前者開發不僅提高了系統的安全性.而且實現了對信息資源訪問的集中控制。此外基于角色的權限管理模型可提供企業極其方便的權限控制集中的身份認證方式則使用戶只要登錄一次，就可以訪l’ed所有的授權服務。DIDMSTMPMI&SSO包括DIDMS-SSOClient客戶端軟件和DIDMSTMPMI服務器。

DIDNtmCA組件

DIDMSTmCA功能模塊說明:

系統初始化

執行系統初始化功能.包括刪除所有數據.生成缺省的系統管理員、系統操作員;生成或指定根證書;更改系統IP地址等。

系統管理

系統管理功能要求必須超過半數系統管理員的PIN卡驗證通過后才能訪問本模塊中主要提供了系統管理員管理、操作員管理、根證書服務、系統服務管理、系統日志管理、License管理、數據備份、系統恢復等十二項功能。其中日志管理記錄有每次的操作其主要作用有二:一是用于事后故障清查的系統維護方面二是事故處理.為系統安全審計提供現場記錄數據.是安全審計與追蹤的基礎。

用戶信息和證書管理

用戶信息管理部分主要提供對用戶信息的增加、修改和刪除操作.系統對于操作的用戶劃分為單位、單位部門、單位個人以及服務器四種類型。證書管理部分則包括了對證書的申請、簽發、審核、作廢、暫停、恢復等操作功能.并且提供對證書的介質初始化、用戶證書信息的統計以及用戶歷史信息查詢等操作。

其中證書簽發支持離線或在線簽發兩種方式前者的密鑰對由DIDMSTM自行生成后者密鑰對則在客戶端由瀏覽器或其他PKI軟件生成;對用戶歷史信息的查詢采用了模糊查詢方式，用戶可以輸入一定的條目如Email或姓名等就能獲得相應的證書列表。

用戶自服務

本模塊可以提供系統用戶本身對其證書的相應操作。包括:用戶信息的增添、修改;證書的申請、申請的修改和刪除;證書下載、根證書下載證書更新;證書廢除;在線證書狀態查詢證書吊銷名單(CRL)查詢等。其中證書更新中，當用戶證書即將過期時系統會自動提醒客戶進行證書更新(email提醒)此外系統會定期最新的CRL。

DIDMSPMI&SSO組件

基于用戶角色的權限管理(PMI)

企業在管理自己的信息系統中常常需要為每個用戶劃定其使用的職能范圍。多系統、多用戶、多個角色群體..，這些約束條件如何合理的分配、設定并有機的結合起來，成為企業能否有效、安全的進行信息化建設的重要因素。采取利用角色對系統功能進行組織分類的方式可使系統管理員對系統權限的分配和管理都以角色為基礎，能夠極大的減輕其管理負擔。

DIDMSEMI&SSO特性

DIDMSPMI&SSO采取了基于角色的權限管理模型使得企業對權限的管理更加合理、方便，并且實現了對信息資源訪問的集中控制。通過該系統，用戶只需要進行一次登錄就可以訪問所有的授權服務。此外系統還采用了集中的身份認證方式。如果用戶通過了對DIDMSPMI&SSO的登錄，則系統就能夠為用戶提供自動登錄到應用系統的功能。由于整個設計采用的是基于PKI的加密和驗證技術系統因此具備極高的安全性。

圖中是DIDMSPMI&SSO的邏輯結構，比如:某個組織中有n個WEBServer或n個WEB應用服務，下面以一個用戶通過瀏覽器訪問他的授權業務為例說明系統是如何工作的。

用戶首先用自己的證書登錄客戶端的程序當通過瀏覽器訪問一個URL時瀏覽器把請求發給客戶端的程序程序把用戶的簽名信息加密發送給DIDMSPMI&SSO服務器，服務器首先驗證該用戶的簽名信息，證明用戶的身份獲取他的角色然后查找權限分配庫，如果所請求的資源(URL)已經分配給用戶所屬的角色則表示該用戶有訪問該資源的權限服務器通過分析該資源的來源向提供該資源的WEBServer或WEB應用服務請求資源獲取資源后DIDMSPMI&SSO服務器把結果通過客戶端的程序返回給瀏覽器用戶就可以看到自己所請求的資源了。

所有的權限控制都在DIDMSPMI&SSO服務器上實現實現了統一的集中的訪問控制同時，在DIDMSSSOClient的幫助下.系統還實現了用戶的單點登錄。

DIDMSPMI&SSO功能說明:

資源定義和管理

主要執行資源(URL)目錄信息管理的工作，包括資源(URL)信息的增加、修改、刪除。

角色定義和管理

主要執行系統中的角色信息管理的工作包括角色信息的增加、修改、刪除。

訪問權限分配

主要執行對角色分配該角色所能訪問的資源(URL)的工作，包括給資源(URL)設定能訪問該資源的角色和移除能訪問該資源(URL)的角色等幾種操作方式。

用戶角色管理

主要執行為用戶指派角色和取消用戶角色的工作

單點登錄

提供客戶端的單點登錄程序實現用戶僅使用證書就可以對系統內所有服務的進行單點登錄

完善的審計和日志

提供對用戶訪問的歷史紀錄的查詢備份刪除等維護功能

系統管理

提供對DIDMSPMI&SSO系統的管理和維護功能。包括對PMI&SSO服務器的配置、啟動、關閉等。