某省電力公司身份認證系統(tǒng)應用案例

發(fā)布時間： 2016-03-18   來源：本站編輯

    案　例　簡　介

　　隨著信息化不斷地發(fā)展，信息化建設已經(jīng)成為此電力公司發(fā)展戰(zhàn)略的重要組成部分。在信息化建設逐步成熟的背景下，信息系統(tǒng)的安全性也成為擺在某省電力公司面前的一大難題，解決信息安全問題已成為當務之急。本項目的建設目的在于設計一套某省電力公司身份認證技術體系，保證信息系統(tǒng)中用戶身份的真實性，實現(xiàn)以數(shù)字證書技術為基礎的統(tǒng)一身份認證和用戶管理，并基于統(tǒng)一身份認證之上，實現(xiàn)對應用系統(tǒng)的統(tǒng)一應用安全支撐和單點登錄。

　　用　戶　名　稱　某省電力公司

　　用　戶　類　型 能源

　　用　戶　簡　介

　　某省電力公司是某電網(wǎng)有限公司的全資子公司。承擔著全省的電力生產(chǎn)、建設、調(diào)度、經(jīng)營及電力規(guī)劃研究等任務?，F(xiàn)有所屬單位38個，其中供電單位19個，發(fā)電單位3個，直屬生產(chǎn)企業(yè)4個，施工修造企業(yè)15個，科研院校10個，其它單位5個。擁有資產(chǎn)585億元。共有員工6萬人。

　　用　戶　需　求

　　在企業(yè)目前建設的多個信息系統(tǒng)中，都是采用傳統(tǒng)的用戶名/密碼方式來實現(xiàn)身份認證。但這種方式早已被證明是不安全的。

　　新一代基于數(shù)字證書的智能卡身份認證系統(tǒng)目前已成為安全認證的標準，在國內(nèi)各行業(yè)被廣泛采用，建立數(shù)字證書認證體系，能夠為用戶網(wǎng)絡訪問、應用系統(tǒng)訪問提供可信的身份識別方式。

　　目前用戶在業(yè)務系統(tǒng)中進行的關鍵數(shù)據(jù)交換和關鍵操作，非?？赡鼙粣阂庥脩暨M行竊聽或非法篡改，無法保證數(shù)據(jù)的安全性、完整性和不可否認性，存在安全隱患。而采用安全傳輸?shù)燃夹g，即可解決相關安全問題。

　　總結目前的需求，主要有以下幾點：

　　解決信息系統(tǒng)的身份鑒別問題

　　原有應用系統(tǒng)采用“用戶名+口令”的方式認證，安全級別不高，存在著安全隱患。需要建立安全的身份認證系統(tǒng)，保證應用域內(nèi)的實體(人員、設備)數(shù)字身份鑒別的高度安全性。

　　解決信息傳輸加密問題

　　目前網(wǎng)路傳輸?shù)臄?shù)據(jù)處于明文狀態(tài)，沒有進行加密處理，容易被非法人員截取和篡改，同時也不利于開展遠程移動辦公。

　　解決基于證書的統(tǒng)一用戶管理問題

　　原有各個應用系統(tǒng)沒有統(tǒng)一的用戶身份表達形式，同一個人具有多個用戶名，不便于用戶記憶的同時，管理員對用戶的身份管理分散在各個系統(tǒng)，也非常不便。

　　采用數(shù)字證書作為用戶的唯一身份標識后，如何讓用戶采用唯一的一張數(shù)字證書體現(xiàn)出用戶的各種通用屬性，并且在不同應用系統(tǒng)間體現(xiàn)出不同的個性化身份，是統(tǒng)一用戶管理系統(tǒng)需要解決的問題。

　　解決跨域的單點登錄問題

　　同一用戶若需登錄多個應用系統(tǒng)，需要多次輸入用戶名和密碼，操作繁瑣，因此需要采用單點登錄，方便用戶使用。

　　由于目前的應用系統(tǒng)服務器都處于各自分散的環(huán)境中分別部署，因此身份驗證系統(tǒng)必須支持跨域。

　　針對如上需求，建設基于pki技術的統(tǒng)一身份認證和用戶管理系統(tǒng)，可有效的提高信息系統(tǒng)的安全性、易用性、穩(wěn)定性。在此體系上，一方面在技術上實現(xiàn)了用戶的統(tǒng)一認證和管理、實現(xiàn)了人員和數(shù)據(jù)的安全，另一方面在管理上做到了易于操作、權限清晰和責任明確，是提高信息安全水平的保障。統(tǒng)一身份認證和用戶管理系統(tǒng)將是促進信息化發(fā)展的重要保障措施。

　　建設目標和要求

　　根據(jù)本項目對身份認證系統(tǒng)的需求，應實現(xiàn)如下建設目標：

　　建立此省電力公司身份認證和用戶管理體系、安全應用支撐平臺、桌面安全桌面系統(tǒng)，為某省電力公司實現(xiàn)統(tǒng)一身份認證管理和應用系統(tǒng)、操作終端的系統(tǒng)單點登錄認證等功能。

　　統(tǒng)一身份認證體系應包含ca中心、ra中心、kmc中心、ldap;安全支撐平臺應包含能夠實現(xiàn)主路、旁路身份認證的安全組件，并實現(xiàn)基于證書的終端登錄組件。

　　實現(xiàn)oa、郵件等應用系統(tǒng)在技術上的整合，達到安全為應用服務的目的。

　　制訂適合此省電力公司應用需求的管理策略，提出運行管理規(guī)范(包括但不限于某省電力公司數(shù)字證書應用接口規(guī)范，數(shù)字證書格式規(guī)范、認證系統(tǒng)安全運行管理規(guī)范、證書管理規(guī)范等)。

　　在上述建設目標建設完成后，應實現(xiàn)如下技術要求：

　　通過身份認證基礎平臺可以為某省電力公司內(nèi)部的人員、設備等應用安全域內(nèi)的物理或邏輯實體提供了統(tǒng)一的數(shù)字實體標識。

　　在全省部署的范圍內(nèi)考慮，從pki的信任層次結構、ca機構、ra機構的擴展部署等幾方面來整體考慮此省電力公司身份認證體系，要求給出整體建設方案，說明以省公司本部為試點建設后的擴展方案。

　　信任體系應支持向上、向下的擴展，能夠支持電網(wǎng)公司未來對于信任體系統(tǒng)一的要求。

　　實施方案應考慮和整個電網(wǎng)公司整體信息工程中的統(tǒng)一用戶管理和目錄體系之間的兼容。

　　實現(xiàn)一個用戶證書可以在各信息系統(tǒng)中訪問，達到單點登錄的訪問目的。

　　以數(shù)字證書代替操作系統(tǒng)終端帳戶的登錄方式，并通過與操作系統(tǒng)的集成，實現(xiàn)了操作系統(tǒng)認證。

　　操作系統(tǒng)層和應用層兩個層面認證的統(tǒng)一，本系統(tǒng)中的用戶身份證書必須能夠支持windows本地操作系統(tǒng)登錄認證和windows域(ad)登錄，并能夠和ad中的域用戶實現(xiàn)同步功能。

　　制訂身份認證系統(tǒng)運行策略，制定符合某省電力公司安全系統(tǒng)運行標準規(guī)范，指導某省電力公司完成信息系統(tǒng)的統(tǒng)一身份認證工作。

    總體設計思路

　　根據(jù)需求和建設目標，我們將以身份認證系統(tǒng)、應用安全支撐平臺為用戶構建基于數(shù)字證書的統(tǒng)一身份認證、統(tǒng)一用戶管理和應用安全支撐系統(tǒng)。

　　全局范圍內(nèi)，將建立統(tǒng)一的目錄服務體系，以完善的數(shù)據(jù)復制策略實現(xiàn)對應用系統(tǒng)的全面支撐。

　　身份認證系統(tǒng)(pki基礎設施)

　　1、　證書簽發(fā)系統(tǒng)(ca系統(tǒng))

　　為所有的實體(設備、人員等)管理身份證書。

　　2、　用戶管理系統(tǒng)(ums系統(tǒng))

　　在身份認證系統(tǒng)之上，以數(shù)字證書為用戶標識實現(xiàn)統(tǒng)一的用戶管理、組織機構管理，為相關業(yè)務系統(tǒng)提供全局統(tǒng)一的用戶屬性信息。

　　3、　密鑰管理系統(tǒng)(kmc系統(tǒng))

　　對用戶的密鑰進行管理和備份，能夠通過嚴格的流程實現(xiàn)密鑰的恢復。

　　4、　目錄服務系統(tǒng)(ldap系統(tǒng))

　　實現(xiàn)證書的發(fā)布和crl的發(fā)布，并能夠實現(xiàn)和ad之間的用戶同步。

　　應用安全支撐平臺

　　以身份認證系統(tǒng)、用戶管理系統(tǒng)為基礎，采用應用安全支撐平臺的各產(chǎn)品組件實現(xiàn)應用系統(tǒng)的安全接入，使得身份認證、用戶管理、數(shù)字簽名等技術能夠方邊的整合到原有的業(yè)務系統(tǒng)中。

　　在安全支撐平臺的支持下，能夠為用戶構建操作系統(tǒng)層和應用層的統(tǒng)一身份認證和單點登錄。

　　標準規(guī)范體系

　　根據(jù)實際業(yè)務特點，針對系統(tǒng)的運行維護、使用流程、應用接入標準等制訂一系列標準和規(guī)范，以利于業(yè)務的有序開展。

　　如上所述，身份認證系統(tǒng)為內(nèi)部人員、設備等應用安全域內(nèi)的物理或邏輯實體提供了統(tǒng)一的數(shù)字實體標識，統(tǒng)一的用戶管理系統(tǒng)則根據(jù)具體的組織機構、用戶屬性、用戶級別等實際情況，對數(shù)字實體標識進行可定制的統(tǒng)一管理和授權，最后再通過應用安全支撐平臺為業(yè)務系統(tǒng)提供服務，實現(xiàn)了獨立于各應用系統(tǒng)的安全的、統(tǒng)一的身份認證和管理體系。

　　總體設計思路示意圖如下所示：

　　總體物理部署設計

　　根據(jù)總體設計思路，基于性能和投資相平衡的原則，系統(tǒng)物理部署設計如下圖所示：


　　如上圖所示，根據(jù)系統(tǒng)的不同功能，從網(wǎng)絡上以vlan方式劃分不同區(qū)域，包括核心區(qū)、服務區(qū)和應用區(qū)。

　　身份認證核心區(qū)包括ca、kmc、ums等證書、用戶管理系統(tǒng)，是整個系統(tǒng)的核心功能區(qū)。

　　身份認證服務區(qū)包括ias和從目錄服務器，實現(xiàn)對外的身份驗證支持。

　　應用系統(tǒng)區(qū)中部署身份認證網(wǎng)關，使應用系統(tǒng)與外界實現(xiàn)安全隔離。

　　成　果

　　通過以上各個系統(tǒng)的建設，對于此省電力公司的所有人員和設備都有一個標準的身份表達，達到了“一人一證”的效果;所有的應用系統(tǒng)都在統(tǒng)一的標準指引下獲得了高強度的身份認證功能;電力公司的管理人員只需集中的管理對應用戶的證書信息和屬性(權限)信息即可控制和管理對應人員在應用中的地位;所有的持證用戶在所有的應用系統(tǒng)中只需要一次登錄，無須在記憶太多的信息;體系符合電網(wǎng)總公司的整體規(guī)劃能和電網(wǎng)總公司現(xiàn)在的系統(tǒng)進行互聯(lián)。