前言：本站為你精心整理了數(shù)字身份系統(tǒng)管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

基于PK!的UniTruslt.DIDMS''''""2.0

UniTrustDIDMSTM全稱為數(shù)字身份管理系統(tǒng)(DigitalIDManagementSystem).是上海市電子商務安全證書管理中心有限公司在實際運作過程中根據(jù)用戶需求開發(fā)的一套企業(yè)級的PKI解決方案套件。

UniTrustDIDMSTM是一臺軟硬一體機設備系統(tǒng)包含兩大組件:DIDMSTMCA和DIDMSTMPMI&SSO。其中DIDMSTMCA通過提供身份認證等服務使用戶能以最少的投資建立起一個可控、方便的企業(yè)信息化安全管理系統(tǒng).它如同一個微型化的公網(wǎng)CA系統(tǒng)，幾乎能夠?qū)崿F(xiàn)CA所提供的所有功能，包括系統(tǒng)初始化、系統(tǒng)管理、用戶信息管理、證書申請信息管理、證書管理、日志管理、證書查詢、CRL服務、在線證書狀態(tài)查詢、訪問控制、用戶證書介質(zhì)制作等等。此外，它能夠存儲長達7年的證書量推薦的證書簽發(fā)量不超過1萬張.能夠同時支持SHECA的UniTrustSafeEngine和證書管理器接口以進行應用開發(fā);而DIDMSTMPMI&SSO基于前者開發(fā)不僅提高了系統(tǒng)的安全性.而且實現(xiàn)了對信息資源訪問的集中控制。此外基于角色的權(quán)限管理模型可提供企業(yè)極其方便的權(quán)限控制集中的身份認證方式則使用戶只要登錄一次，就可以訪l’ed所有的授權(quán)服務。DIDMSTMPMI&SSO包括DIDMS-SSOClient客戶端軟件和DIDMSTMPMI服務器。

DIDNtmCA組件

DIDMSTmCA功能模塊說明:

系統(tǒng)初始化

執(zhí)行系統(tǒng)初始化功能.包括刪除所有數(shù)據(jù).生成缺省的系統(tǒng)管理員、系統(tǒng)操作員;生成或指定根證書;更改系統(tǒng)IP地址等。

系統(tǒng)管理

系統(tǒng)管理功能要求必須超過半數(shù)系統(tǒng)管理員的PIN卡驗證通過后才能訪問本模塊中主要提供了系統(tǒng)管理員管理、操作員管理、根證書服務、系統(tǒng)服務管理、系統(tǒng)日志管理、License管理、數(shù)據(jù)備份、系統(tǒng)恢復等十二項功能。其中日志管理記錄有每次的操作其主要作用有二:一是用于事后故障清查的系統(tǒng)維護方面二是事故處理.為系統(tǒng)安全審計提供現(xiàn)場記錄數(shù)據(jù).是安全審計與追蹤的基礎(chǔ)。

用戶信息和證書管理

用戶信息管理部分主要提供對用戶信息的增加、修改和刪除操作.系統(tǒng)對于操作的用戶劃分為單位、單位部門、單位個人以及服務器四種類型。證書管理部分則包括了對證書的申請、簽發(fā)、審核、作廢、暫停、恢復等操作功能.并且提供對證書的介質(zhì)初始化、用戶證書信息的統(tǒng)計以及用戶歷史信息查詢等操作。

其中證書簽發(fā)支持離線或在線簽發(fā)兩種方式前者的密鑰對由DIDMSTM自行生成后者密鑰對則在客戶端由瀏覽器或其他PKI軟件生成;對用戶歷史信息的查詢采用了模糊查詢方式，用戶可以輸入一定的條目如Email或姓名等就能獲得相應的證書列表。

用戶自服務

本模塊可以提供系統(tǒng)用戶本身對其證書的相應操作。包括:用戶信息的增添、修改;證書的申請、申請的修改和刪除;證書下載、根證書下載證書更新;證書廢除;在線證書狀態(tài)查詢證書吊銷名單(CRL)查詢等。其中證書更新中，當用戶證書即將過期時系統(tǒng)會自動提醒客戶進行證書更新(email提醒)此外系統(tǒng)會定期最新的CRL。

DIDMSPMI&SSO組件

基于用戶角色的權(quán)限管理(PMI)

企業(yè)在管理自己的信息系統(tǒng)中常常需要為每個用戶劃定其使用的職能范圍。多系統(tǒng)、多用戶、多個角色群體..，這些約束條件如何合理的分配、設定并有機的結(jié)合起來，成為企業(yè)能否有效、安全的進行信息化建設的重要因素。采取利用角色對系統(tǒng)功能進行組織分類的方式可使系統(tǒng)管理員對系統(tǒng)權(quán)限的分配和管理都以角色為基礎(chǔ)，能夠極大的減輕其管理負擔。

DIDMSEMI&SSO特性

DIDMSPMI&SSO采取了基于角色的權(quán)限管理模型使得企業(yè)對權(quán)限的管理更加合理、方便，并且實現(xiàn)了對信息資源訪問的集中控制。通過該系統(tǒng)，用戶只需要進行一次登錄就可以訪問所有的授權(quán)服務。此外系統(tǒng)還采用了集中的身份認證方式。如果用戶通過了對DIDMSPMI&SSO的登錄，則系統(tǒng)就能夠為用戶提供自動登錄到應用系統(tǒng)的功能。由于整個設計采用的是基于PKI的加密和驗證技術(shù)系統(tǒng)因此具備極高的安全性。

圖中是DIDMSPMI&SSO的邏輯結(jié)構(gòu)，比如:某個組織中有n個WEBServer或n個WEB應用服務，下面以一個用戶通過瀏覽器訪問他的授權(quán)業(yè)務為例說明系統(tǒng)是如何工作的。

用戶首先用自己的證書登錄客戶端的程序當通過瀏覽器訪問一個URL時瀏覽器把請求發(fā)給客戶端的程序程序把用戶的簽名信息加密發(fā)送給DIDMSPMI&SSO服務器，服務器首先驗證該用戶的簽名信息，證明用戶的身份獲取他的角色然后查找權(quán)限分配庫，如果所請求的資源(URL)已經(jīng)分配給用戶所屬的角色則表示該用戶有訪問該資源的權(quán)限服務器通過分析該資源的來源向提供該資源的WEBServer或WEB應用服務請求資源獲取資源后DIDMSPMI&SSO服務器把結(jié)果通過客戶端的程序返回給瀏覽器用戶就可以看到自己所請求的資源了。

所有的權(quán)限控制都在DIDMSPMI&SSO服務器上實現(xiàn)實現(xiàn)了統(tǒng)一的集中的訪問控制同時，在DIDMSSSOClient的幫助下.系統(tǒng)還實現(xiàn)了用戶的單點登錄。

DIDMSPMI&SSO功能說明:

資源定義和管理

主要執(zhí)行資源(URL)目錄信息管理的工作，包括資源(URL)信息的增加、修改、刪除。

角色定義和管理

主要執(zhí)行系統(tǒng)中的角色信息管理的工作包括角色信息的增加、修改、刪除。

訪問權(quán)限分配

主要執(zhí)行對角色分配該角色所能訪問的資源(URL)的工作，包括給資源(URL)設定能訪問該資源的角色和移除能訪問該資源(URL)的角色等幾種操作方式。

用戶角色管理

主要執(zhí)行為用戶指派角色和取消用戶角色的工作

單點登錄

提供客戶端的單點登錄程序?qū)崿F(xiàn)用戶僅使用證書就可以對系統(tǒng)內(nèi)所有服務的進行單點登錄

完善的審計和日志

提供對用戶訪問的歷史紀錄的查詢備份刪除等維護功能

系統(tǒng)管理

提供對DIDMSPMI&SSO系統(tǒng)的管理和維護功能。包括對PMI&SSO服務器的配置、啟動、關(guān)閉等。