卫生统一身份认证应用解决方案.doc

卫生统一身份认证应用解决方案目 录第1章.总论41.1 背景41.2 应用现状4第2章.平台需求分析62.1 现实的业务需求62.1.1 统一身份管理62.1.2 统一交互界面62.1.3 集中授权和审计62.1.4 高强度访问控制72.1.5 数据保全服务72.1.6 便捷客户体验72.2 更高的管理要求72.2.1 集中管理、统一配置72.2.2 提升信息安全防护水平72.2.3 强化业务操作责任认定82.3 国内统一身份认证服务平台应用现状82.3.1 典型案例82.3.2 其他行业9第3章.统一身份认证服务平台的建设目标113.1 整体目标113.2 业务目标113.3 管理目标123.4 技术目标12第4章.统一身份认证服务平台安全解决方案144.1 系统总体设计144.1.1 总体设计思想144.1.2 平台总体介绍144.1.3 平台总体逻辑结构164.1.4 平台总体部署164.2 平台功能说明174.3 集中用户管理174.3.1 管理服务对象184.3.2 用户身份信息设计194.3.2.1 用户类型194.3.2.2 身份信息模型204.3.2.3 身份信息的存储214.3.3 用户生命周期管理214.3.4 用户身份信息的维护224.4 集中证书管理224.4.1 集中证书管理功能特点224.5 集中授权管理244.5.1 集中授权应用背景244.5.2 集中授权管理对象254.5.3 集中授权的工作原理264.5.4 集中授权模式264.5.5 细粒度授权274.5.6 角色的继承274.6 集中认证管理294.6.1 集中认证管理特点294.6.2 身份认证方式304.6.2.1 用户名/口令认证304.6.2.2 数字证书认证304.6.2.3 Windows域认证314.6.2.4 通行码认证314.6.2.5 认证方式与安全等级324.6.3 身份认证相关协议324.6.3.1 SSL协议324.6.3.2 Windows 域324.6.3.3 SAML协议334.6.4 集中认证系统主要功能354.6.5 单点登录354.6.5.1 单点登录技术354.6.5.2 单点登录实现流程384.7 集中审计管理414.7.1 集中审计总体架构41第5章.统一身份认证服务平台建设效益435.1 极大强化了应用系统信息审计435.2 有效降低了运营成本，提升工作效率43第1章. 总论1.1 背景省卫生系统信息技术的迅速发展使得信息化的程度不断提高，在实施信息化过程中，诸如HIS、TIS、电子病历等越来越多的业务系统和网络设备应用而生，提高了卫生系统的管理水平和运行效率。与此同时，随着应用系统的不断增加，由于各个应用系统帐户管理和认证规则都不一致，导致用户在使用和管理的过程中也面临着越来越多的问题。对整个IT管理提出了更高的要求，即对账号（Account）管理、统一认证（Authentication） 管理、统一授权（Authorization）管理和统一安全审计（Audit）四项要求，也就是我们所说的4A。因此针对已有应用的4A方面出现的问题，我们需要提出一整套的解决方案来有效的解决这些问题。通过多年在账号管理、统一认证管理、统一权限（授权）管理和安全审计积累的经验，综合PKI/CA基础设施的安全理念和电子认证服务模式共同提出了一整套解决方案，即统一身份认证服务平台的解决方案，此方案在解决4A问题上具有极高的效果，能够从人力、财力、物力上大大降低企业的成本，提高效率。下文将详细进行系统整体功能的介绍，和统一身份认证服务平台在省卫生系统内部实际应用场景和需求解决方案介绍。在上述背景下，业务资源的协同、整合、综合应用逐步提上日程，在保证系统安全、稳定的基础上，如何发挥信息化系统资源丰富、处理高效的优势，正成为信息化建设中备受关注的焦点。1.2 应用现状目前省卫生系统信息化建设的目标是：在基础设施、应用系统、标准制度等相关信息化建设基础上，和应用集成平台的建设，大力推进和加强业务、数据的集成与综合应用，实现不同区域、医疗机构之间，甚至是不同组织间的业务协同运作，实现组织内业务、数据、信息的有序、可控的流动与共享，充分挖掘和发挥数据资产的价值，最终成为一个协调发展的有机整体。但是，现实的情况却是：随着卫生系统各项业务的不断发展，各类应用系统资产在数量上大幅度攀升，系统运维人员的工作量成倍增长。应用运维人员在日常操作过程中不得不面对大量的帐号和系统口令；各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障；个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者；对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为；各应用系统都有一套独立的权限管理，管理员进入各应用系统均需进行认证，且认证方式多为静态口令，安全性较低；同时各应用系统也都有一套独立的授权管理，随着用户数据量的增多，角色定义的日益复杂，用户授权的任务越来越重，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的威胁；。内部安全管理的要求。为了保证生产、办公系统的稳定运行，卫生系统及各区域医疗机构制定了大量的安全管理规定，这些管理规定的执行和落实与标准的制定初衷存在一定距离。外部审计的要求。业务扩展和对应用的灵活要求，经常会提出从外部对内部的各个系统进行审计，以便于随时随地掌握整个企业的各种情况。第2章. 平台需求分析12.1 现实的业务需求信息化建设的核心是保障应用。但是，多个业务应用系统访问和操作过程难以管理，严重影响了信息系统的应用效率。要解决这个问题，须加强针对应用层面的安全管控措施，提高系统的访问控制强度，并针对数据进行完整性检查、源发性检查和抗抵赖保障。同时，还应注重客户体验。2.1.1 统一身份管理以往信息系统的身份管理方式，各个业务系统的账户命名都有自己的规则，账户管理工作分散，维护工作繁琐、用户身份难以界定。而统一身份认证服务平台可以结合现有的账户管理服务（AD目录服务），针对不同账户应用层面的信息安全基础提供保障措施，可以创建统一的账户管理机制和平台，面向不同的应用系统和用户，提供统一的、一致的身份管理和身份认证服务。2.1.2 统一交互界面在跨系统、跨部门、跨组织的业务操作和信息查询需求日益增多的情况下，从用户使用的体验角度来说，每一个业务应用系统的操作界面、用户认证彼此独立，已经成为业务过程中相关职能部门人员间相互协作的巨大障碍。实现统一门户，单次登录功能。用户登录门户后，多个业务系统间的访问自行切换，极大改善用户体验感受。2.1.3 集中授权和审计跨系统、跨区域、跨组织的用户无法有效进行集中的授权管理和审计分析，有必要通过创建统一身份认证服务平台，制定权限策略、系统访问控制策略、审批权限流程等，加强内部管控和安全审计，对业务流程和操作变更进行有效控制。2.1.4 高强度访问控制各业务系统有自己的认证规则，认证标准不一致、安全强度有高低。根据信息安全管理的木桶理论“短板决定储水量”，易出现安全短板。创建统一身份认证服务平台，跟据安全需求，采用数字证书、密钥等的安全认证方式，可提高访问控制安全强度。2.1.5 数据保全服务统一身份认证服务平台对业务系统涉及的重要数据提供数字签名功能，使得任何非法的数据修改过程能够被及时发现，保证数据从生成、流转、共享到存储整个生命周期内的完整性和一致性；实现业务数据的安全传输功能，通过采用SSL数据加密技术避免数据传输过程中被窃取、盗用或篡改。2.1.6 便捷客户体验统一身份认证服务平台可以实现信息系统账户与实体的唯一绑定，每一个用户在所有系统中以统一的身份进行各种业务操作，无须记忆大量的账户名和口令。同时，基于门户平台展示多个业务系统，实现单点登录功能，使得用户的业务操作更加便捷、高效。2.2 更高的管理要求2.2.1 集中管理、统一配置省卫生系统运作更加强调对资源的有效配置和管理，信息化建设也是以此为目标开展的。医疗人员作为业务参与的主体，是卫生系统重要的资源，同时又是其它各项资源的使用者和支配者.但是分散的业务系统现状、独立的账号管理体制，人为的将本该统一、协同的各种资源隔离，无法满足对人员实施动态管理的要求。信息化建设目标应适应动态的人员管理机制的要求，实现对各种动态信息集中、实时的有效掌控，并以此为依据对各项企业资源进行统一、合理的配置，使企业运作更加高效有序。2.2.2 提升信息安全防护水平传统的信息化安全防护只是针对系统层、网络层，采用防火墙、防病毒和入侵检测等“老三样”产品，已经不能适应当前信息安全管理要求。传统的技术方式缺乏针对应用层和用户行为管理的有效手段。作为信息安全基础设施，统一身份认证服务平台的实施能够在防御外部入侵和攻击、防范内部操作风险方面有效提升信息安全保障水平。2.2.3 强化业务操作责任认定在当今的信息管理中，更强调对参与人操作行为进行分析和控制，即：谁何时进入了哪些系统？访问了哪些资源？做了哪些操作？产生了哪些后果？通过建立用户信息的集中统一管理、用户身份的统一认证、统一的用户访问控制以及集中的用户行为审计，使用户行为与实体身份形成关联，便于实现用户行为的有效责任认定，为系统应用安全打下良好的基础。2.3 国内统一身份认证服务平台应用现状目前，国内信息化建设程度较高的行业纷纷启动并实施了统一身份认证服务平台的建设，下面简要介绍一下各个行业统一身份认证服务平台的建设和使用情况。2.3.1 典型案例在保险领域，中国人民财产保险股份有限公司（PICC）为了满足业务的快速发展，在2008年底，开展了全集团统一账户管理、认证管理、授权管理和审计管理的系统建设工作。在该平台建设中，全部采用了统一身份认证服务平台产品，以PKI/CA技术为安全基础依托，构建起建覆盖全国36个省公司的统一身份认证服务平台。中国人民财产保险股份有限公司通过数字证书的应用，建立起全公司的身份管理的统一标准，大力推进和加强数据、流程的集成与综合应用，实现不同部门、业务间，甚至是不同分支机构间的业务协同运作，实现全公司范围内数据/信息的有序、可控流动与共享，从而实现对人保财险信息系统的全面管控，统一身份认证服务平台的建设内容主要包括：在人保财险总部部署（证书签发系统），在全国36个省级分公司和集团部署（证书注册系统），作为身份管理的基础，通过CA为各业务系统用户签发数字证书，并能够通过系统实现各省对数字证书的独立管理。针对人保财险和36个省公司建立LDAP目录服务系统，实现对人保财险各应用系统用户的统一管理。对人保财险业务系统进行证书应用集成工作，实现基于PKI技术的身份认证、完整性检查、抗抵赖、传输加密、数字签名等安全功能。并确保在未来业务扩展中，能够提供对新业务系统的应用支撑。制定完整的业务系统基于证书应用的集成规范，作为保险公司身份管理、身份认证、授权管理和统一审计的标准。建立完整的运营管理规范，建设可靠的系统安全运营环境，制定完善的岗位管理制度、人员管理制度、数字证书鉴证、分发及安全管理策略。建立CA系统及证书应用审计监控平台。对CA的运行状况和证书的使用情况进行监控和审计，并支持与第三方审计平台的集成。为了满足开展网上保险业务的法律保障需求，制定证书信任体系的整体规划，将基于数字证书的身份管理过程与电子签名法中关于第三方认证的相关条款进行结合，为网上保险业务提供完整的法律保障环境。建设基于数字证书的单点登录系统，支撑包括账户管理、授权管理、认证管理和审计管理的4A应用。2.3.2 其他行业银行业2004年5月中国建设银行在金融领域首先启动了统一身份认证服务平台项目，到2006年1月，完成了用户身份的统一管理。身份管理产品采用了HP公司的Select Identity、目录服务器采用了Novell公司的eDirectory、Web中间件采用了SUN公司的iPlanet。建行统一身份认证服务平台经过三期项目实施，已完成了强认证系统、用户统一身份管理、统一身份认证、统一访问控制的项目目标。建立起以身份管理、身份认证、访问控制为核心的统一认证授权体系，以及规范的用户管理流程和授权管理机制。建行统一身份认证服务平台在38个一级分行的部署工作已经完成，以目录服务器、策略服务器、数据同步服务器、动态口令服务器构成的分行设施延伸至一级分行。截止目前，建行统一身份认证服务平台生产环境共接入应用系统78个。电信运营商中国移动从2007年起，开始在全国各省公司开展包括统一身份管理、统一认证管理、统一授权管理和统一审计管理在内的4A建设。中国移动集团公司业务支撑部门和网络部分别提出了4A建设规范。全国各省公司以规范为依据，结合自身业务支撑系统、网管系统和信息系统（OA、MIS）的特点，建设4A统一管理平台。到目前为止，包括陕西、浙江、江苏等多个省公司已经建成了4A管理平台，采用了数字证书等多种手段作为身份标识、访问控制和审计的基础保障手段。第3章. 统一身份认证服务平台的建设目标3.1 整体目标 在技术上，从根本上增强信息安全保障水平；统一身份认证服务平台作为信息安全基础设施，为上层业务应用系统提供身份整合、身份认证、授权管理及决策和行为审计等安全服务。它能够在广度和深度两个方面提供充分的安全保障：广度上为网络设备、安全设备、操作系统、业务系统和管理信息系统提供认证、授权和审计服务；深度上为用户提供身份整合、多种认证方式的支持，以及提供细粒度的统一授权、用户行为的详细审计分析服务；在安全策略上，遵循信息安全等级保护的指导思想，按照信息安全等级保护基本要求，在身份管理、身份认证、访问控制等方面形成适合实际情况的、可操作、便于执行的一系列管理制度和操作规程，从管理上提高信息安全保障水平；在人员管理上，通过项目的实施、监理、验收等工程管理过程，按照信息系统安全保护等级实施指南和信息安全技术信息系统安全工程管理要求进行项目管理、监理和验收，培养一支既懂信息安全技术又懂信息安全项目管理的高素质队伍；在标准上，针对身份管理、身份认证、访问控制等方面形成适合实际的技术标准、接口规范。23.2 业务目标通过统一身份认证服务平台的建设，为应用系统提供统一的身份管理、身份认证、访问控制和安全审计服务。建成内部一致的、以用户账号为唯一标识的用户基本信息、关系信息等的单一用户视图；实现基于用户身份的高强度认证，提升系统安全性；支持单点登录，提升用户访问体验；加强对内部用户的管理操作和管理操作行为审计，强化内部安全管控；加强内部操作风险管控，降低系统管理复杂度，降低系统管理风险；强化用户准入管理，实现全系统用户身份信息集中管理，为全体员工提供统一身份管理的工具，建立面向全体内部用户的访问控制中心。3.3 管理目标通过统一身份认证服务平台的建设，利用综合手段，形成标准管理流程，固化IT风险管理成果：建立立体的安全管理体系：根据实际安全需求，成立安全管理机构，配备专职的安全管理人员，落实各级领导及相关人员的责任，对信息系统实现动态的安全管理机制；实现标识标准化：解决实体在网络环境中标识不一致的问题，完成管理机构和员工代码的标准化，实现“一证在手，畅行无忧”；提高安全管控水平：使用PKI/CA技术作为基础安全平台，以业务系统改造为手段，加强员工身份和权限管理。3.4 技术目标在信息化建设的过程中，为保证信息科技战略规划整体目标的实现，加强各业务系统间的协同工作，有必要建设统一身份认证服务平台，实现以下技术目标：建立统一的用户数据库和系统管理员：通过统一身份认证服务平台整合大部分业务系统，建立统一的账号、认证、授权和审计机制，并且由系统管理员统一负责该系统的维护和管理；实现实体与业务系统账号的统一：传统应用系统以账号为单位进行用户管理的业务系统，相同的实体在不同的系统中对应不同的账号，带来了实体身份管理的混乱。为实现权限控制的准确，有必要通过唯一的身份标识，实现实体身份的统一；统一的业务系统授权机制和管理：各业务系统间用户权限管理分散，缺乏集中统一的资源授权管理平台，用户工作变动时，需逐一调整每个系统中账号的权限，由此易引发个别系统的遗漏，存在较大安全隐患。通过统一身份认证服务平台，可进行集中高效的授权管理；统一的审计和关联分析：由于各业务系统间独立、业务账号的不一致，无法进行集中、有效的审计，更无法实现更深层次的关联分析。既不能通过系统日志分析，避免安全隐患的发生，更不可能做到事后追溯，有必要建立统一的审计追溯机制；实现单点登录机制：登录多业务系统之间时用户经常需要切换，用户的操作不便，影响了工作效率。通过统一身份认证服务平台，用户实现一次登录，多系统自行切换；统一接入标准：建立统一的访问控制接口规范，简化应用系统接入复杂度。通过以上分析，为解决多应用系统在使用、管理和技术上的一系列问题，我们有必要规划、开发、建设、运营一套统一身份认证服务平台，实现对全体员工的统一身份管理，实现多个业务系统的统一登录及身份认证，实现对业务系统访问的集中授权和管控，实现对访问过程的集中监管和审计。第4章. 统一身份认证服务平台安全解决方案34.1 系统总体设计为了加强卫生系统对业务系统和办公系统的安全管控，提高卫生系统信息化安全管理水平，我们为卫生系统设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。4.1.1 总体设计思想为实现卫生系统构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为卫生系统设计并实施统一身份认证服务平台解决方案：在卫生系统内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现卫生系统所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。提供卫生系统现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护管理功能。用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。4.1.2 平台总体介绍以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下：集中用户管理系统：完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统管理的安全风险。集中证书管理系统：集成证书注册服务（RA）和电子密钥（USB-Key）管理功能，实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能，支持第三方电子认证服务。集中认证管理系统：实现多业务系统的统一认证，支持数字证书、动态口令、静态口令等多种认证方式；为企业提供单点登录服务，用户只需要登录一次就可以访问所有相互信任的应用系统。集中授权管理系统：根据企业安全策略，采用基于角色的访问控制技术，实现支持多应用系统的集中、灵活的访问控制和授权管理功能，提高管理效率。集中审计管理系统：提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息，支持应用系统、用户登录、管理操作等审计管理。4.1.3 平台总体逻辑结构台总体逻辑结构图如下所示：如图所示，平台以PKI基础服务、加解密服务、SAML协议等国际成熟技术为基础，架构统一信任管理平台的管理系统，通过WEB过滤器、安全代理服务器等技术简单、快捷实现各应用系统集成，在保证系统安全性的前提下，更好的实现业务系统整合和内容整合。4.1.4 平台总体部署集中部署方式：所有模块部署在同一台服务器上，为企业提供统一信任管理服务。部署方式主要是采用专有定制硬件服务设备，将集中帐户管理、集中授权管理、集中认证管理和集中审计管理等功能服务模块统一部署和安装在该硬件设备当中，通过连接外部服务区域当中的从LDAP目录服务（卫生系统现有AD目录服务）来完成对用户帐户的操作和管理。4.2 平台功能说明平台主要提供集中用户管理、集中证书管理、集中认证管理、集中授权管理和集中审计等功能，总体功能模块如下图所示：总体功能模块图4.3 集中用户管理随着企业整体信息化的发展，大致都经历了网络基础建设阶段、应用系统建设阶段，目前正面临着实现纳入到信息化环境中人员的统一管理和安全控制阶段。随着企业的网络基础建设的不断完善和应用系统建设的不断扩展，在信息化促进业务加速发展的同时，企业信息化规模也在迅速扩大以满足业务的发展需要，更多的人员被融入信息化环境，由此突出反映的事件是无论是网络系统、业务系统、办公系统，其最终的主体将是企业内外的人员，每一为人员承担着使用、管理、授权、应用操作等角色。因此对于人员的可信身份的管理显得尤为重要，必将成为信息化发展的重中之重，只有加强人员的可信身份管理，才能做到大门的安全防护，才能为企业的管理、业务发展构建可信的信息化环境，特别是采用数字证书认证和应用后，完全可以做到全过程可信身份的管理，确保每个操作都是可信得、可信赖的。集中用户管理系统主要是完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统用户管理的安全风险。集中用户管理功能示意图4.3.1 管理服务对象集中用户管理主要面向企业内外部的人、资源等进行管理和提供服务，具体对象可以分为以下几类：最终用户自然人，包括自然人身份和相关信息主账号与自然人唯一对应的身份标识，一个主账号只能与一个自然人对应，而一个自然人可能存在多个主账号从账号与具体角色对应，每一个应用系统内部设置的用户账号，在统一信任管理平台中每个主账号可以拥有多个从帐号，也就是多种身份角色（即一个日然人在企业内部具备多套应用系统账号）资源用户使用或管理的对象，主要是指应用系统及应用系统下具体功能具体服务对象之间的映射对应关系如下图所示：用户账号与资源映射图4.3.2 用户身份信息设计4.3.2.1 用户类型用户是访问资源的主体，人是最主要的用户类型：多数的业务由人发起，原始的数据由人输入，关键的流程由人控制。人又可再分为：员工、外部用户。员工即企业的职员，是平台主要的关注的用户群体；外部用户是指以独立身分访问企业应用系统的一般个人客户与企业客户。4.3.2.2 身份信息模型对各类用户身份建立统一的用户身份标识。用户身份标识是统一用户管理系统内部使用的标识，用于识别所有用户的身份信息。用户标识不同于员工号或身份证号，需要建立相应的编码规范。为了保证用户身份的真实、有效性，可以通过数字证书认证的方式进行身份鉴别并与用户身份标识进行唯一对应。用户基本信息保存用户最主要的信息属性，由于其它系统中，如HR中还保留有用户更完整的信息，因此需要建立与这些系统的中信息的对照关系，所以需要保存用户在这些系统中用户信息的索引，便于关联查询。基于分权、分级的管理需要，用户身份信息需要将用户信息按照所属机构和岗位级别进行分类，便于划分安全管理域，将用户信息集中存储在总部，以及管理域的划分。用户认证信息管理用户的认证方式及各种认证方式对应的认证信息，如用户名/口令，数字证书等。由于用户在各应用系统中各自具有账号和相关口令，为了保证在平台实施后可以使原有系统仍可以按照原有账号方式操作，需要建立用户标识与应用系统中账号的对照关系。授权信息是对用户使用各系统的访问策略，给用户赋予系统中的角色和其它属性。4.3.2.3 身份信息的存储为了方便对人员身份的管理，集中用户系统采用树形架构来进行人员组织架构的维护，存储方式主要采用LDAP。可以通过企业内部已有的人员信息管理系统当中根据策略进行读写操作，目前主要支持以下数据源类型：Windows Active Directory（AD）OpenLdapIBM Directory Server（IDS）4.3.3 用户生命周期管理用户生命周期，主要关注的是用户的入职、用户账户创建、用户身份标识（数字证书的颁发）、用户属性变更、用户账户注销、用户帐户归档等流程的自动化管理，这一管理流程又可称为用户生命周期管理，如下图所示：由于要赋予用户可信的身份标识，所以需要通过数字证书认证的方式来实现，在用户生命周期管理过程中围绕用户包含了基于帐户的生命周期和数字证书的生命周期管理的内容。数字证书主要是与用户的主账户标识进行唯一绑定，在用户帐户的使用和属性变更过程中数字证书不需要发生任何改变，唯有在用户帐户进行注销和归档过程中，与其相匹配的数字证书也同样需要进行吊销和归档操作。4.3.4 用户身份信息的维护目前集中用户管理系统中对用户身份信息的维护主要以企业已存在的AD域和LDAP作为基础数据源，集中用户 管理系统作为用户信息维护的主要入口，可以由人力资源部门的相应人员执行用户账户的创建、修改、删除、编辑、查询、以及数字证书的发放。AD域中的用户信息变动通过适配器被平台感知，并自动同步到平台用户身份信息存储（目录服务器）中；平台的用户管理员也可以直接修改平台中集中存储的用户身份信息，再由平台同步到各个应用系统中。4.4 集中证书管理集中证书管理功能主要是针对用户的CA系统，包括：1)证书申请2)证书制作3)证书生命周期管理（有效期、审核、颁发、吊销、更新、查询、归档）4)证书有效性检查 集中证书管理功能集支持多种CA建设模式（自建和第三方服务）、多RA 集中管理、扩展性强等特性，从技术上及管理上以灵活的实现模式满足用户对证书集中管理的迫切需求，解决管理员对多平台进行操作及维护困难的问题。4.4.1 集中证书管理功能特点集中证书管理功能的实现就是通过集成证书注册服务（RA）和电子密钥（USB-Key）管理功能。 1)集中制证集中制证主要结合本地数据源中的数据为用户进行集中制证，包括集中申请、自动审批。通过CA的配置路径，访问指定的CA系统；CA系统签发数字证书并返回给管理员；管理员将证书装入UBS Key,制证成功.将数字证书发送给最终用户。2)证书生命周期管理通过集中证书管理功能可实现对所制证书进行证书的生命周期管理，主要包括：证书的查询、吊销等，同时还可以实现对证书有效性的检查。证书有效性检查，可支持与CA系统的CRL（证书掉销列表）服务联动及手动导入CRL列表。用户通过证书认证方式登录 “登录门户”；将用户的证书信息（包括证书属性、有效期等）提交到“证书管理模块”；服务检查证书信息，若有效，将有效值返回“证书管理模块”（若无效将值返回“证书管理模块”）；“证书管理模块”将有效值返回“登录门户”，用户通过认证。（若无效，用户登录失败）；用户通过认证，正常进入应用系统。3)支持多种CA建设模式4)多RA集中管理在一个企业内，根据证书应用的需求，存在根CA下有多个子CA，即存在多个RA。通过平台与RA的集成，可支持与企业内的多RA进行集成，实现单平台多RA的集中管理。5)灵活扩展性集中证书管理功能除了实现集中制证、证书生命周期管理功能，以及具有多RA管理、支持用户CA系统的自建和服务模式的特点，还具有灵活的扩展性。可实现与RA的完全集成，通过平台实现RA的完全接管，实现证书处理、证书生命周期管理、证书审批、支持多种申请模式、RA日志管理、密钥管理、策略管理等。以满足更多用户对于集中证书管理的扩展性需求。4.5 集中授权管理4.5.1 集中授权应用背景分析一些大型企业，发现企业内部各应用系统自身授权非常完善，但是从集中管理角度看，发现大企业中的传统授权所存在如下问题：1)系统权限分散：员工的流动及职位的变更，需要更改员工的系统使用权限，而多个系统权限的分散，使管理员工作量增加，且容易带来安全漏洞。2)应用系统的独立性：各种应用系统都使用独立的登录方式，员工需要记忆所有应用系统的帐号、密码等，逐一登录，给工作带来极大的困扰，特别是对工作效率影响非常大，甚至简化记忆问题，所有应用系统统一使用相同的密码，由此为黑客或者木马程序提供机会，而对应用系统的安全防护带来极大地威胁。集中授权的最大特点，就是集中在一个接口对组/角色进行资源的合理分配。集中授权的过程，就是集中对用户（组/角色）通过何种方式（证书/口令）使用某种资源（应用/功能）的权限的分配。员工入职，分配一个特定的原本已经隶属于某些角色/组的身份账户，统一入口登录，即可享有身份账户所属角色/组在公司应用系统中的所有权限；当职位变更时，只需更改身份账户所属角色/组，则所享有的权限也相应变化，而对应的应用系统资源的账户和权限不受任何影响，并且应用系统的安全性得到了极大提高，不会因为对应的业务系统因为没有中止用户应用权限而遭受安全风险。通过集中授权的管理模式，有效地屏蔽了传统授权中存在的弊端，提高了管理效率，为企业营造一个安全、便捷的系统安全、可信的办公环境。4.5.2 集中授权管理对象集中授权主要是依赖于人，由授权系统管理者根据人的组织属性、角色属性，进行对应应用系统和资源的授权分配，从保证人与应用系统之间使用权限关系，最终实现，什么样的人、组织、角色能访问哪些应用系统和资源。集中授权还可以依赖于应用系统为管理对象，然后针对该应用系统给人、组织、角色授予相应访问和操作权限，最终把应用系统和人进行权限关联，合理、有效地的访问控制策略，保证了什么样的应用系统和资源，能让怎样的人、组织、角色进行访问。组：包括按照公司组织架构或特定功能划分的部门、工作组及个人用户通过以上两种方模式，可以对企业内部的人员、应用系统和资源进行合理的管理和控制，有效地解决企业内部信息资源的权限管理，最终实现，正确的人做正确的事情，而非授权人员不得进入企业内部任何系统，从而保证企业应用系统数据的安全，保护企业的资产。在集中授权管理系统系统中需要明确以下概念：角色定义，主要是基于用户组角色和应用系统角进行角色定义。基于用户组的角色定义可理解为在组织结构下定义用户角色，比如在技术部门下定义产品工程师角色。目标是在以后授权模式中通过对产品工程师角色授权，而包含产品工程师的角色就会一次性获得授权，这样方便管理，同时也是简化了授权的操作。基于应用系统定义角色，即按照该应用系统下的用户职能进行定义。比如，针对OA应用系统和结合人力资源架构定义“总监”，那么根据OA系统给总监的工作操作权限，那么以后授权中，只要存在应用系统对总监所具备的功能，经过系统授权后均可以按照总监的角色进行应用访问。资源定义，主要是应用系统下具备的每一功能模块，所有的功能模块统称为资源。资源的定义主要是方便人员、组织、角色授权时候的对象指定，最终经过授权实现，什么样的人员、组织、角色能访问应用系统的那些功能。也就是中细粒度授权所需要的涉及的内容。.定义权限（某些角色/组享有系统应用的哪些权限）4.5.3 集中授权的工作原理.通过口令、证书等执行对权限的调用.通过授权管理模块的定义，对相应权限进行调用.系统中所有应用资源的集合授权管理模块角色模块组模块资源管理模块授权访问控制模块 4.5.4 集中授权模式 1)基于组/角色的访问授权：对于属于某一组/角色的用户，管理员可以为其授权于可访问的应用系统和资源（应用系统的功能）。授权后组内的所有成员均具备该组编辑、查看、分配的权限。2)基于应用系统和资源的授权：对于某一选定应用（或其包含的功能、功能组），管理员可以授权为其指派访问资源（用户、组、角色）4.5.5 细粒度授权Function1Function2Function4Function5Function 功能组功能组用户1用户2角色1角色2角色应用系统传统意义中的粗粒度授权是以某一应用系统为标准，将应用系统那个授权于某一个人、某一机构（组织）、某一类角色；而对于应用系统下的模块无法做到授权，所以，粗粒度授权在统一信任系统中，无法做到应用系统的内部授权机制，导致简单的访问控制授权无法满足业务系统的精细化管理，为了满足企业的细致化访问控制，需要打破传统授权模式，增加新的授权机制，即要实现细粒度的访问控制授权。而将资源管理模块细粒度化，则是将应用模块拆分成单个的功能模块，某几个功能模块又可以组合成一个功能组，在授权时，针对某一应用模块中的功能或功能组模块进行权限分配。4.5.6 角色的继承提供了角色授权模型，在角色权限分配的管理过程中，角色之间可以实现多模式继承，即单继承、多继承、动态继承；多种模式的继承由系统自动完成，但是当继承形成环路的时候，则继承属性自动中断，保持独立的角色属性。这样可以保证应用系统权限合理管控，而不会因为角色继承导致权限失去控制。针对继承方式，如下定义：1)单继承： 角色A继承于角色B ，则 A拥有B所有的权限。2)多继承角色A继承于角色B、角色C、角色D，则A同时拥有B、C、D所有的权限。3)动态继承：角色D角色C角色B角色A资源继承于口令口令/证书证书登入系统口令证书角色A角色B角色C角色A角色C角色D角色A继承于角色B、角色C、角色D，用户拥有角色A；角色B的登录方式为口令；角色C的登录方式为口令和证书；角色D的登录方式为证书。4)循环继承： 角色A角色B 角色C 角色D 角色循环继承时，系统内部自行处理，在循环处于环路，则继承自动断开。4.6 集中认证管理集中认证管理为企业的IT系统提供统一的身份认证，是企业安全门户入口，只有安全的认证机制才可以保证企业大门