统一身份认证系统技术方案.doc

1、智慧海事一期统一身份认证系统技术方案智慧海事一期统一身份认证系统技术方案智慧海事一期统一身份认证系统技术方案i目 录目 录 .I1. 总体设计 .21.1 设计原则 .21.2 设计目标 .31.3 设计实现 .31.4 系统部署 .42. 方案产品介绍 .62.1 统一认证管理系统 .62.1.1 系统详细架构设计 .62.1.2 身份认证服务设计 .72.1.3 授权管理服务设计 .102.1.4 单点登录服务设计 .132.1.5 身份信息共享与同步设计 .152.1.6 后台管理设计 .182.1.7 安全审计设计 .202.1.8 业务系统接入设计 .222.2 数字证书认证系统 .

2、222.2.1 产品介绍 .222.2.2 系统框架 .232.2.3 软件功能清单 .242.2.4 技术标准 .253. 数字证书运行服务方案 .273.1 运行服务体系 .273.2 证书服务方案 .273.2.1 证书服务方案概述 .273.2.2 服务交付方案 .283.2.3 服务支持方案 .353.3 CA 基础设施运维方案 .363.3.1 运维方案概述 .363.3.2 CA 系统运行管理 .363.3.3 CA 系统访问管理 .373.3.4 业务可持续性管理 .373.3.5 CA 审计 .38智慧海事一期统一身份认证系统技术方案21. 总体设计1.1设 计 原 则一、标

3、准化原则系统的整体设计要求基于国家密码管理局商用密码管理条例 、公安部计算机系统安全等级要求和中华人民共和国计算机信息系统安全保护条例 的有关规定。数字证书认证系统的安全基础设施的设计和实现将遵循相关的国际、国内技术和行业标准。二、安全性原则系统所采用的产品技术和部署方式必须具有足够的安全性，针对可能的安全威胁和风险，并制定相应的对策。关键数据具有可靠的备份与恢复措施。三、可用性原则系统具有足够的容量和良好的性能，能够支撑百万级或千万级用户数量，并能够在海量用户和大并发访问压力的条件下，保持功能和性能的可用性。四、健壮性原则系统的基础平台成熟、稳定、可靠，能够提供不间断的服务，相关产品均具有很

4、强的健壮性、良好的容错处理能力和抗干扰能力。五、模块化原则系统的设计和实现采用模块化结构，各个模块具有相对独立的功能和开放的接口。可以根据系统的需要进行功能模块的增加或减少，而不必改变原来的程序构架；针对不同的应用定制实施模块。六、可扩展原则随着业务的发展，对未来系统的功能和性能将会提出更高的要求。系统在设计和实现上，应具有良好的可扩展性。可以通过对硬件平台、软件模块的扩展和升级，实现系统功能和性能的平滑地扩展和升级。七、方便开发原则系统提供丰富的二次开发工具和接口，便于应用系统调用，能够方便的与现有和将来的应用系统进行集成。八、兼容性原则智慧海事一期统一身份认证系统技术方案3系统具备良好的兼

5、容性，能够与多种硬件系统、基础软件系统，以及其它第三方软硬件系统相互兼容。1.2设 计 目 标根据招标文件的具体技术要求，基于现有信息系统现状、数字证书应用现状以及未来在信息安全方面的技术性要求，本方案提出以下建设目标。(1) 在海事局内部部署统一认证管理系统，具体目标是：提供数据统一、维护统一、用户统一的安全可靠的认证与授权服务；实现全局相关业务系统全面统一的用户管理、可靠的身份认证与安全审计、有效的分级授权、安全的单点登录、便捷的信息共享(2) 在海事局内部部署数字证书认证系统（CA 认证中心） ，具备 10 万级数字证书的发放能力，满足海事局内部用户以及应用系统的对数字证书的使用需求。(

6、3) 广东海事局内部其它业务系统（包括：船舶远程电子签证、船舶动态 2.0 系统）与统一身份认证系统的进行技术集成，实现统一的身份认证与单点登录功能。1.3设 计 实 现本方案由统一认证管理系统和数字证书认证系统两部分组成，其统一认证管理系统实现统一的用户管理、身份认证、单点登录、授权管理、安全审计等功能；数字证书认证系统实现海事局全国用户的数字证书发放和数字证书管理。统一认证管理系统与数字证书认证系统集成，实现新增用户信息同步，证书管理员只需要登录数字证书认证系统，查出用户信息，直接制作证书。二级云中心（直属局）统一认证管理系统定时将用户、机构、授权等信息同步给一级云中心统一认证管理系统。本

7、期工程将率先在广东海事局搭建起船舶远程电子签证、船舶动态 2.0 系统的单点登录功能。智慧海事一期统一身份认证系统技术方案41.4系 统 部 署一级云中心：一台身份认证服务器，一台加密机，两台统一认证服务器（基于ORACLE 一体机实现负载） ，两台统一认证数据库服务器（基于 ORACLE 数据库一体机实现负载） 。五个二级云中心（直属局）：一台统一认证数据库服务器，两台统一认证服务器（双机冷备） ，二级云中心统一认证服务器能访问一级云中心统一认证服务器。智慧海事一期统一身份认证系统技术方案5智慧海事一期统一身份认证系统技术方案62. 方案产品介绍2.1统 一 认 证 管 理 系 统2.1.1

8、系统详细架构设计国家海事局统一认证管理系统详细架构设计如下图所示：在国家海事局部署一级统一身份认证系统，可管理全部的系统用户，用户可通过统一身份认证系统进行身份认证、业务系统单点登录；二级单位根据具体情况可部署二级统一身份认证系统，系统用户信息管理与一级统一身份认证系统同步，当网络出现故障时，二级单位用户可登录各自单位的二级统一身份认证系统，不影响正常的业务处理。国家海事局统一认证管理系统的主要服务功能模块包括：身份认证模块、单点登录模块、信息同步模块、后台管理模块、数据服务模块及安全管理模块，其中后台用户管理包括用户、角色、应用等相关信息管理，另外，安全管理模块为维护好系统服务功能智慧海事一

9、期统一身份认证系统技术方案7的安全性，提供系统自身所有操作的安全审计功能，以及各个应用系统用户信息的监控功能。2.1.2身份认证服务设计身份认证服务为海事局各应用系统内各类用户提供身份信息注册、凭证发布、用户资料管理及销毁、登录认证功能。2.1.2.1总体设计认证管理的结构如上图所示，主要包括以下几个部分：CA 认证中心：海事局 CA 认证中心为数字证书用户提供身份认证服务，签发数字证书，实现证书与现实中的实体（个人、单位或服务器）的绑定。CA 认证中心除了为最终用户办法数字证书外，还需要为统一认证服务器和业务系统的服务器签发服务器身份证书，用于客户与服务器之间的双向认证。统一认证服务器：统一

10、认证系统服务器的数据库中集中存放所有业务系统的用户信智慧海事一期统一身份认证系统技术方案8息和权限信息，所有业务系统和统一认证系统都需要部署服务器证书、安全组件和认证接口，用于业务系统与客户端，或业务系统之间的身份认证。证书用户：证书用户按照经过严格的身份信息鉴证，从 CA 认证中心领取数字证书，然后通过访问各级统一认证系统，进行单点登录，就可以很方便地访问自己权限范围内的应用系统。用户数字证书的身份信息要与统一认证系统中注册的用户信息保持一致（关键信息为：姓名、证件类型和证件号码） ，只有信息一致的前提下，才可实现可靠的身份认证。口令用户：口令用户不需要经过 CA 中心身份认证和签发数字证书

11、，直接由单位管理员根据用户信息注册即可。用户本人可在获得初始密码后修改登陆密码和注册信息。2.1.2.2身份认证方式统一认证系统可以对不同的系统进行分级认证，也可以对系统内的不同用户分级认证。系统应同时支持口令方式和数字证书两种方式的身份认证机制。另外，系统应具有扩展接口，可快速实现动态口令认证、指纹认证和和人像等其它身份凭证认证模式。身份认证技术支持 PKI、LDAP 、NDS、NIS、AD 等标准认证技术。对于安全性较低的系统，可以采用最低认证等级：用户名/口令方式；对于安全性较高的系统，最低认证等级则需要设置为数字证书方式。系统的认证等级和用户的认证方式都可以在统一认证系统后台进行动态配

12、置。用户使用数字证书可以登录安全性较低的系统，但是用户名/口令认证方式不允许进入等级为数字证书的业务系统。2.1.2.3基于数字证书的身份认证数字证书用户登录业务系统的身份认证流程如下图所示：智慧海事一期统一身份认证系统技术方案9流程说明：(1) 提供证书：在登录门户页面（或统一认证首页）中嵌入证书控件和组件，服务器端产生随即数并进行数字签名，客户端实现即插即用的登录认证模式，只要插入 UsbKey 自动列举 Key 内的数字证书；(2) 握手认证：用户输入证书密码、点击登录提交按钮后，页面调用证书控件的运行脚本，校验证书密码后对服务器端产生的随即数和数字签名进行验证；客户端对随即数进行数字签名，提交认证信息给服务器验证；认证信息主要包括：随即数、客户证书、客户的签名等信息。服务器后台程序验证客户端的证书有效性和数字签名的有效性。(3) 获取访问信息：统一认证服务器从认证信息中提取客户端数字证书，并从证书中解析出证书的唯一标识，在后台数据库中进行比对，进行访问控制；(4) 返回登录票据：服务器认证通过后，形成标准格式的登录票据，返回客户端。(5) 选择业务系统：系统根据登录票据，显示可登录的系统，用户选择系统。(6) 传递票据：客户端浏览器将登录票据传递到对应的系统地址上。