【文章內(nèi)容簡介】 生命周期管理通過集中證書管理功能可實(shí)現(xiàn)對(duì)所制證書進(jìn)行證書的生命周期管理，主要包括：證書的查詢、吊銷等，同時(shí)還可以實(shí)現(xiàn)對(duì)證書有效性的檢查。證書有效性檢查，可支持與CA系統(tǒng)的CRL（證書掉銷列表）服務(wù)聯(lián)動(dòng)及手動(dòng)導(dǎo)入CRL列表。用戶通過證書認(rèn)證方式登錄“登錄門戶”；將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模塊”；服務(wù)檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無效將值返回“證書管理模塊”）“證書管理模塊”將有效值返回“登錄門戶”，用戶通過認(rèn)證。（若無效，用戶登錄失?。?；用戶通過認(rèn)證，正常進(jìn)入應(yīng)用系統(tǒng)。c. 支持多種CA建設(shè)模式d. 多RA集中管理在一個(gè)企業(yè)內(nèi)，根據(jù)證書應(yīng)用的需求，存在根CA下有多個(gè)子CA，即存在多個(gè)RA。通過平臺(tái)與RA的集成，可支持與企業(yè)內(nèi)的多RA進(jìn)行集成，實(shí)現(xiàn)單平臺(tái)多RA的集中管理。e. 靈活擴(kuò)展性集中證書管理功能除了實(shí)現(xiàn)集中制證、證書生命周期管理功能，以及具有多RA管理、支持用戶CA系統(tǒng)的自建和服務(wù)模式的特點(diǎn)，還具有靈活的擴(kuò)展性?？蓪?shí)現(xiàn)與RA的完全集成，通過平臺(tái)實(shí)現(xiàn)RA的完全接管，實(shí)現(xiàn)證書處理、證書生命周期管理、證書審批、支持多種申請(qǐng)模式、RA日志管理、密鑰管理、策略管理等。以滿足更多用戶對(duì)于集中證書管理的擴(kuò)展性需求。6） 集中授權(quán)管理. 集中授權(quán)管理應(yīng)用背景分析一些大型機(jī)構(gòu)，發(fā)現(xiàn)機(jī)構(gòu)內(nèi)部各應(yīng)用系統(tǒng)自身授權(quán)非常完善，但是從集中管理角度看，發(fā)現(xiàn)大型機(jī)構(gòu)中的傳統(tǒng)授權(quán)所存在如下問題：a) 系統(tǒng)權(quán)限分散：人員的流動(dòng)及職位的變更，需要更改人員的系統(tǒng)使用權(quán)限，而多個(gè)系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來安全漏洞。b) 應(yīng)用系統(tǒng)的獨(dú)立性：各種應(yīng)用系統(tǒng)都使用獨(dú)立的登錄方式，員工需要記憶所有應(yīng)用系統(tǒng)的帳號(hào)、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對(duì)工作效率影響非常大，甚至簡化記憶問題，所有應(yīng)用系統(tǒng)統(tǒng)一使用相同的密碼，由此為黑客或者木馬程序提供機(jī)會(huì)，而對(duì)應(yīng)用系統(tǒng)的安全防護(hù)帶來極大地威脅。集中授權(quán)的最大特點(diǎn)，就是集中在一個(gè)接口對(duì)組/角色進(jìn)行資源的合理分配。集中授權(quán)的過程，就是集中對(duì)用戶（組/角色）通過何種方式（證書/口令）使用某種資源（應(yīng)用/功能）的權(quán)限的分配。員工入職，分配一個(gè)特定的原本已經(jīng)隸屬于某些角色/組的身份賬戶，統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在中心應(yīng)用系統(tǒng)中的所有權(quán)限；當(dāng)職位變更時(shí)，只需更改身份賬戶所屬角色/組，則所享有的權(quán)限也相應(yīng)變化，而對(duì)應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系統(tǒng)的安全性得到了極大提高，不會(huì)因?yàn)閷?duì)應(yīng)的業(yè)務(wù)系統(tǒng)因?yàn)闆]有中止用戶應(yīng)用權(quán)限而遭受安全風(fēng)險(xiǎn)。通過集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營造一個(gè)安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。. 集中授權(quán)管理對(duì)象集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角色屬性，進(jìn)行對(duì)應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限關(guān)系，最終實(shí)現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng)和資源。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對(duì)象，然后針對(duì)該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)行權(quán)限關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進(jìn)行訪問。組：包括按照組織架構(gòu)或特定功能劃分的部門、工作組及個(gè)人用戶通過以上兩種方模式，可以對(duì)企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進(jìn)行合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理，最終實(shí)現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進(jìn)入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護(hù)企業(yè)的資產(chǎn)。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)行角色定義?；谟脩艚M的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門下定義產(chǎn)品工程師角色。目標(biāo)是在以后授權(quán)模式中通過對(duì)產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會(huì)一次性獲得授權(quán)，這樣方便管理，同時(shí)也是簡化了授權(quán)的操作。基于應(yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下的用戶職能進(jìn)行定義。比如，針對(duì)OA應(yīng)用系統(tǒng)和結(jié)合人力資源架構(gòu)定義“總監(jiān)”，那么根據(jù)OA系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只要存在應(yīng)用系統(tǒng)對(duì)總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權(quán)后均可以按照總監(jiān)的角色進(jìn)行應(yīng)用訪問。資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，所有的功能模塊統(tǒng)稱為資源。資源的定義主要是方便人員、組織、角色授權(quán)時(shí)候的對(duì)象指定，最終經(jīng)過授權(quán)實(shí)現(xiàn)，什么樣的人員、組織、角色能訪問應(yīng)用系統(tǒng)的那些功能。也就是中細(xì)粒度授權(quán)所需要的涉及的內(nèi)容。. 集中授權(quán)管理原理. 集中授權(quán)管理模式a) 基于組/角色的訪問授權(quán)：對(duì)于屬于某一組/角色的用戶，管理員可以為其授權(quán)于可訪問的應(yīng)用系統(tǒng)和資源（應(yīng)用系統(tǒng)的功能）。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查看、分配的權(quán)限。b) 基于應(yīng)用系統(tǒng)和資源的授權(quán)：對(duì)于某一選定應(yīng)用（或其包含的功能、功能組），管理員可以授權(quán)為其指派訪問資源（用戶、組、角色）細(xì)粒度授權(quán)：傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個(gè)授權(quán)于某一個(gè)人、某一機(jī)構(gòu)（組織）、某一類角色；而對(duì)于應(yīng)用系統(tǒng)下的模塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無法做到應(yīng)用系統(tǒng)的內(nèi)部授權(quán)機(jī)制，導(dǎo)致簡單的訪問控制授權(quán)無法滿足業(yè)務(wù)系統(tǒng)的精細(xì)化管理，為了滿足企業(yè)的細(xì)致化訪問控制，需要打破傳統(tǒng)授權(quán)模式，增加新的授權(quán)機(jī)制，即要實(shí)現(xiàn)細(xì)粒度的訪問控制授權(quán)。而將資源管理模塊細(xì)粒度化，則是將應(yīng)用模塊拆分成單個(gè)的功能模塊，某幾個(gè)功能模塊又可以組合成一個(gè)功能組，在授權(quán)時(shí)，針對(duì)某一應(yīng)用模塊中的功能或功能組模塊進(jìn)行權(quán)限分配。. 角色繼承提供了角色授權(quán)模型，在角色權(quán)限分配的管理過程中，角色之間可以實(shí)現(xiàn)多模式繼承，即單繼承、多繼承、動(dòng)態(tài)繼承；多種模式的繼承由系統(tǒng)自動(dòng)完成，但是當(dāng)繼承形成環(huán)路的時(shí)候，則繼承屬性自動(dòng)中斷，保持獨(dú)立的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會(huì)因?yàn)榻巧^承導(dǎo)致權(quán)限失去控制。針對(duì)繼承方式，如下定義：a) 單繼承：角色A繼承于角色B，則A擁有B所有的權(quán)限。b) 多繼承角色A繼承于角色B、角色C、角色D，則A同時(shí)擁有B、C、D所有的權(quán)限。c) 動(dòng)態(tài)繼承：n 角色A繼承于角色B、角色C、角色D，用戶擁有角色A；n 角色B的登錄方式為口令；n 角色C的登錄方式為口令和證書；n 角色D的登錄方式為證書。d) 循環(huán)繼承：角色循環(huán)繼承時(shí)，系統(tǒng)內(nèi)部自行處理，在循環(huán)處于環(huán)路，則繼承自動(dòng)斷開。7） 集中認(rèn)證管理集中認(rèn)證管理為企業(yè)的IT系統(tǒng)提供統(tǒng)一的身份認(rèn)證，是企業(yè)安全門戶入口，只有安全的認(rèn)證機(jī)制才可以保證機(jī)構(gòu)大門不被非法人員進(jìn)入；在整個(gè)認(rèn)證系統(tǒng)中其服務(wù)的對(duì)象包括企業(yè)接入統(tǒng)一認(rèn)證平臺(tái)的所有業(yè)務(wù)系統(tǒng)、管理系統(tǒng)和應(yīng)用系統(tǒng)等，統(tǒng)一認(rèn)證系統(tǒng)能夠提供快速、高效和安全的服務(wù)，應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴(kuò)展性、高可用性。