【正文】 角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)行角色定義。b) 應(yīng)用系統(tǒng)的獨(dú)立性：各種應(yīng)用系統(tǒng)都使用獨(dú)立的登錄方式，員工需要記憶所有應(yīng)用系統(tǒng)的帳號(hào)、密碼等，逐一登錄，給工作帶來(lái)極大的困擾，特別是對(duì)工作效率影響非常大，甚至簡(jiǎn)化記憶問(wèn)題，所有應(yīng)用系統(tǒng)統(tǒng)一使用相同的密碼，由此為黑客或者木馬程序提供機(jī)會(huì)，而對(duì)應(yīng)用系統(tǒng)的安全防護(hù)帶來(lái)極大地威脅。以滿足更多用戶對(duì)于集中證書(shū)管理的擴(kuò)展性需求。支持多種CA建設(shè)模式服務(wù)檢查證書(shū)信息，若有效，將有效值返回“證書(shū)管理模塊”（若無(wú)效將值返回“證書(shū)管理模塊”）“證書(shū)管理模塊”將有效值返回“登錄門(mén)戶”，用戶通過(guò)認(rèn)證。證書(shū)生命周期管理CA系統(tǒng)簽發(fā)數(shù)字證書(shū)并返回給管理員；a. 集中制證5） 集中證書(shū)管理集中證書(shū)管理功能主要是針對(duì)用戶的CA系統(tǒng)，包括：a) 證書(shū)申請(qǐng)數(shù)字證書(shū)主要是與用戶的主賬戶標(biāo)識(shí)進(jìn)行唯一綁定，在用戶帳戶的使用和屬性變更過(guò)程中數(shù)字證書(shū)不需要發(fā)生任何改變，唯有在用戶帳戶進(jìn)行注銷和歸檔過(guò)程中，與其相匹配的數(shù)字證書(shū)也同樣需要進(jìn)行吊銷和歸檔操作。b) OpenLdap可以通過(guò)中心內(nèi)部已有的人員信息管理系統(tǒng)當(dāng)中根據(jù)策略進(jìn)行讀寫(xiě)操作，目前主要支持以下數(shù)據(jù)源類型：用戶認(rèn)證信息管理用戶的認(rèn)證方式及各種認(rèn)證方式對(duì)應(yīng)的認(rèn)證信息，如用戶名/口令，數(shù)字證書(shū)等。用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如HR中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的對(duì)照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢。用戶身份標(biāo)識(shí)是統(tǒng)一用戶管理系統(tǒng)內(nèi)部使用的標(biāo)識(shí)，用于識(shí)別所有用戶的身份信息。人又可再分為：?jiǎn)T工、外部用戶。：與具體角色對(duì)應(yīng)，每一個(gè)應(yīng)用系統(tǒng)內(nèi)部設(shè)置的用戶賬號(hào)，在統(tǒng)一信任管理平臺(tái)中每個(gè)主賬號(hào)可以擁有多個(gè)從帳號(hào)，也就是多種身份角色（即一個(gè)日然人在企業(yè)內(nèi)部具備多套應(yīng)用系統(tǒng)賬號(hào)）：自然人，包括自然人身份和相關(guān)信息c. 警告協(xié)議：這個(gè)協(xié)議用于標(biāo)示在什么時(shí)候發(fā)生了錯(cuò)誤或兩個(gè)主機(jī)之間的會(huì)話在什么時(shí)候終止。當(dāng)一個(gè)SSL客戶機(jī)和服務(wù)器第一次開(kāi)始通信時(shí)，它們?cè)谝粋€(gè)協(xié)議版本上達(dá)成一致，選擇加密算法和認(rèn)證方式，并使用公鑰技術(shù)來(lái)生成共享密鑰。如果用戶在用戶信息庫(kù)中被刪除，則其相應(yīng)的授權(quán)信息也將被刪除。反向代理技術(shù)：實(shí)現(xiàn)方式為松耦合，采用反向代理模塊和單點(diǎn)登錄（SSO）認(rèn)證服務(wù)進(jìn)行交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。如下圖所示：a. 在通過(guò)平臺(tái)統(tǒng)一認(rèn)證后，可以從登錄認(rèn)證結(jié)果中獲取平臺(tái)用戶證書(shū)的序列號(hào)或平臺(tái)用戶ID；b. 再由其映射不同應(yīng)用系統(tǒng)的用戶賬戶；c. 最后用映射后的賬戶訪問(wèn)相應(yīng)的應(yīng)用系統(tǒng)；當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí)，只需要增加平臺(tái)用戶證書(shū)序列號(hào)或平臺(tái)用戶ID與該應(yīng)用系統(tǒng)賬戶的一個(gè)映射關(guān)系即可，不會(huì)對(duì)其它應(yīng)用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認(rèn)證時(shí)不同應(yīng)用系統(tǒng)之間用戶交叉和用戶賬戶不同的問(wèn)題。c) 訪問(wèn)一個(gè)具體的信息資源時(shí)，系統(tǒng)服務(wù)用訪問(wèn)代理對(duì)應(yīng)的數(shù)字證書(shū),把用戶的身份信息機(jī)密后以數(shù)字信封的形式傳遞給相應(yīng)的信息資源服務(wù)器。2） 技術(shù)實(shí)現(xiàn)方案. 技術(shù)原理基于數(shù)字證書(shū)的單點(diǎn)登錄技術(shù)，使各信息資源和本防護(hù)系統(tǒng)站成為一個(gè)有機(jī)的整體。具體包含以下主要功能模塊：u 身份認(rèn)證中心u 存儲(chǔ)企業(yè)用戶目錄，完成對(duì)用戶身份、角色等信息的統(tǒng)一管理；u 授權(quán)和訪問(wèn)管理系統(tǒng)；u 用戶的授權(quán)、角色分配；u 訪問(wèn)策略的定制和管理；u 用戶授權(quán)信息的自動(dòng)同步；u 用戶訪問(wèn)的實(shí)時(shí)監(jiān)控、安全審計(jì)；u 身份認(rèn)證服務(wù)u 身份認(rèn)證前置為應(yīng)用系統(tǒng)提供安全認(rèn)證服務(wù)接口，中轉(zhuǎn)認(rèn)證和訪問(wèn)請(qǐng)求；u 身份認(rèn)證服務(wù)完成對(duì)用戶身份的認(rèn)證和角色的轉(zhuǎn)換；u 訪問(wèn)控制服務(wù)u 應(yīng)用系統(tǒng)插件從應(yīng)用系統(tǒng)獲取單點(diǎn)登錄所需的用戶信息；u 用戶單點(diǎn)登錄過(guò)程中，生成訪問(wèn)業(yè)務(wù)系統(tǒng)的請(qǐng)求，對(duì)敏感信息加密簽名；u CA中心及數(shù)字證書(shū)網(wǎng)上受理系統(tǒng)u 用戶身份認(rèn)證和單點(diǎn)登錄過(guò)程中所需證書(shū)的簽發(fā)；u 用戶身份認(rèn)證憑證（USB智能密鑰）的制作。d) 集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問(wèn)控制技術(shù)，實(shí)現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈活的訪問(wèn)控制和授權(quán)管理功能，提高管理效率。b) 集中證書(shū)管理系統(tǒng)：集成證書(shū)注冊(cè)服務(wù)（RA）和電子密鑰（USBKey）管理功能，實(shí)現(xiàn)用戶證書(shū)申請(qǐng)、審批、核發(fā)、更新、吊銷等生命周期管理功能，支持第三方電子認(rèn)證服務(wù)。. 平臺(tái)介紹以PKI/CA技術(shù)為核心，結(jié)合國(guó)內(nèi)外先進(jìn)的產(chǎn)品架構(gòu)設(shè)計(jì)，實(shí)現(xiàn)集中的用戶管理、證書(shū)管理、認(rèn)證管理、授權(quán)管理和審計(jì)等功能，為多業(yè)務(wù)系統(tǒng)提供用戶身份、系統(tǒng)資源、權(quán)限策略、審計(jì)日志等統(tǒng)一、安全、有效的配置和服務(wù)。提供基于LDAP目錄服務(wù)的統(tǒng)一賬戶管理平臺(tái)，通過(guò)LDAP中主、從賬戶的映射關(guān)系，進(jìn)行應(yīng)用系統(tǒng)級(jí)的訪問(wèn)控制和用戶生命周期維護(hù)管理功能。提供現(xiàn)有統(tǒng)一門(mén)戶系統(tǒng)，通過(guò)集成單點(diǎn)登錄模塊和調(diào)用統(tǒng)一身份認(rèn)證平臺(tái)服務(wù)，實(shí)現(xiàn)針對(duì)不同的用戶登錄，可以展示不同的內(nèi)容。. 設(shè)計(jì)思想為實(shí)現(xiàn)構(gòu)建針對(duì)人員帳戶管理層面和應(yīng)用層面的、全面完善的安全管控需要，我們將按照如下設(shè)計(jì)思想為設(shè)計(jì)并實(shí)施統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)解決方案：內(nèi)部建設(shè)基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)，通過(guò)集中證書(shū)管理、集中賬戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計(jì)管理等應(yīng)用模塊實(shí)現(xiàn)所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標(biāo)。KEY中，保證證書(shū)和私鑰的安全，并滿足移動(dòng)辦公的安全需求。. 功能總體架構(gòu)總體架構(gòu)圖如下所示：說(shuō)明：CA安全基礎(chǔ)設(shè)施可以采用自建方式，也可以選擇第三方CA。部署方式主要是采用專有定制硬件服務(wù)設(shè)備，將集中帳戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計(jì)管理等功能服務(wù)模塊統(tǒng)一部署和安裝在該硬件設(shè)備當(dāng)中，通過(guò)連接外部服務(wù)區(qū)域當(dāng)中的從LDAP目錄服務(wù)（現(xiàn)有AD目錄服務(wù)）來(lái)完成對(duì)用戶帳戶的操作和管理。b) 用戶登錄中心后，根據(jù)用戶提供的數(shù)字證書(shū)確認(rèn)用戶的身份。. 統(tǒng)一身份認(rèn)證. 用戶認(rèn)證統(tǒng)一身份管理及訪問(wèn)控制系統(tǒng)用戶數(shù)據(jù)獨(dú)立于各應(yīng)用系統(tǒng)，對(duì)于數(shù)字證書(shū)的用戶來(lái)說(shuō)，用戶證書(shū)的序列號(hào)平臺(tái)中是唯一的，對(duì)于非證書(shū)用戶來(lái)說(shuō)，平臺(tái)用戶ID（passport）是唯一的，由其作為平臺(tái)用戶的統(tǒng)一標(biāo)識(shí)。對(duì)于不能作改動(dòng)或沒(méi)有原廠商配合的應(yīng)用系統(tǒng)，可以使用該方式接入統(tǒng)一用戶管理平臺(tái)。. 統(tǒng)一權(quán)限管理統(tǒng)一身份管理及訪問(wèn)控制系統(tǒng)的典型授權(quán)管理模型如下圖所示：用戶授權(quán)的基礎(chǔ)是對(duì)用戶的統(tǒng)一管理，對(duì)于在用戶信息庫(kù)中新注冊(cè)的用戶，通過(guò)自動(dòng)授權(quán)或手工授權(quán)方式，為用戶分配角色、對(duì)應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限，完成對(duì)用戶的授權(quán)。安全通道的主要用途是在兩個(gè)通信應(yīng)用程序之間提供私密性和可靠性，這個(gè)過(guò)程通過(guò)3個(gè)元素來(lái)完成：a. 握手協(xié)議：這個(gè)協(xié)議負(fù)責(zé)協(xié)商用于客戶機(jī)和服務(wù)器之間會(huì)話的加密參數(shù)。接受方接受數(shù)據(jù)并對(duì)它解密，校驗(yàn)MAC，解壓并重新組合，把結(jié)果提供給應(yīng)用程序協(xié)議。因此對(duì)于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中之重，只有加強(qiáng)人員