某省电力公司身份认证系统应用案例

　　案例简介

　　随着信息化不断地发展，信息化建设已经成为此电力公司发展战略的重要组成部分。在信息化建设逐步成熟的背景下，信息系统的安全性也成为摆在某省电力公司面前的一大难题，解决信息安全问题已成为当务之急。本项目的建设目的在于设计一套某省电力公司身份认证技术体系，保证信息系统中用户身份的真实性，实现以数字证书技术为基础的统一身份认证和用户管理，并基于统一身份认证之上，实现对应用系统的统一应用安全支撑和单点登录。

　　用户名称 某省电力公司

　　用户类型 能源

　　用户简介

　　某省电力公司是某电网有限公司的全资子公司。承担着全省的电力生产、建设、调度、经营及电力规划研究等任务。现有所属单位38个，其中供电单位19个，发电单位3个，直属生产企业4个，施工修造企业15个，科研院校10个，其它单位5个。拥有资产585亿元。共有员工6万人。

　　用户需求

　　在企业目前建设的多个信息系统中，都是采用传统的用户名/密码方式来实现身份认证。但这种方式早已被证明是不安全的。

　　新一代基于数字证书的智能卡身份认证系统目前已成为安全认证的标准，在国内各行业被广泛采用，建立数字证书认证体系，能够为用户网络访问、应用系统访问提供可信的身份识别方式。
　　目前用户在业务系统中进行的关键数据交换和关键操作，非常可能被恶意用户进行窃听或非法篡改，无法保证数据的安全性、完整性和不可否认性，存在安全隐患。而采用安全传输等技术，即可解决相关安全问题。

　　总结目前的需求，主要有以下几点：

　　·解决信息系统的身份鉴别问题

　　原有应用系统采用“用户名+口令”的方式认证，安全级别不高，存在着安全隐患。需要建立安全的身份认证系统，保证应用域内的实体(人员、设备)数字身份鉴别的高度安全性。

　　·解决信息传输加密问题

　　目前网路传输的数据处于明文状态，没有进行加密处理，容易被非法人员截取和篡改，同时也不利于开展远程移动办公。

　　·解决基于证书的统一用户管理问题

　　原有各个应用系统没有统一的用户身份表达形式，同一个人具有多个用户名，不便于用户记忆的同时，管理员对用户的身份管理分散在各个系统，也非常不便。

　　采用数字证书作为用户的唯一身份标识后，如何让用户采用唯一的一张数字证书体现出用户的各种通用属性，并且在不同应用系统间体现出不同的个性化身份，是统一用户管理系统需要解决的问题。

　　·解决跨域的单点登录问题

　　同一用户若需登录多个应用系统，需要多次输入用户名和密码，操作繁琐，因此需要采用单点登录，方便用户使用。

　　由于目前的应用系统服务器都处于各自分散的环境中分别部署，因此身份验证系统必须支持跨域。

　　针对如上需求，建设基于PKI技术的统一身份认证和用户管理系统，可有效的提高信息系统的安全性、易用性、稳定性。在此体系上，一方面在技术上实现了用户的统一认证和管理、实现了人员和数据的安全，另一方面在管理上做到了易于操作、权限清晰和责任明确，是提高信息安全水平的保障。统一身份认证和用户管理系统将是促进信息化发展的重要保障措施。

　　建设目标和要求

　　根据本项目对身份认证系统的需求，应实现如下建设目标：

　　建立此省电力公司身份认证和用户管理体系、安全应用支撑平台、桌面安全桌面系统，为某省电力公司实现统一身份认证管理和应用系统、操作终端的系统单点登录认证等功能。

　　统一身份认证体系应包含CA中心、RA中心、KMC中心、LDAP;安全支撑平台应包含能够实现主路、旁路身份认证的安全组件，并实现基于证书的终端登录组件。

　　实现OA、邮件等应用系统在技术上的整合，达到安全为应用服务的目的。

　　制订适合此省电力公司应用需求的管理策略，提出运行管理规范(包括但不限于某省电力公司数字证书应用接口规范，数字证书格式规范、认证系统安全运行管理规范、证书管理规范等)。

　　在上述建设目标建设完成后，应实现如下技术要求：

　　通过身份认证基础平台可以为某省电力公司内部的人员、设备等应用安全域内的物理或逻辑实体提供了统一的数字实体标识。

　　在全省部署的范围内考虑，从PKI的信任层次结构、CA机构、RA机构的扩展部署等几方面来整体考虑此省电力公司身份认证体系，要求给出整体建设方案，说明以省公司本部为试点建设后的扩展方案。

　　信任体系应支持向上、向下的扩展，能够支持电网公司未来对于信任体系统一的要求。

　　实施方案应考虑和整个电网公司整体信息工程中的统一用户管理和目录体系之间的兼容。

　　实现一个用户证书可以在各信息系统中访问，达到单点登录的访问目的。

　　以数字证书代替操作系统终端帐户的登录方式，并通过与操作系统的集成，实现了操作系统认证。
　
　　操作系统层和应用层两个层面认证的统一，本系统中的用户身份证书必须能够支持Windows本地操作系统登录认证和Windows域(AD)登录，并能够和AD中的域用户实现同步功能。

　　制订身份认证系统运行策略，制定符合某省电力公司安全系统运行标准规范，指导某省电力公司完成信息系统的统一身份认证工作。

　　总体设计思路

　　根据需求和建设目标，我们将以身份认证系统、应用安全支撑平台为用户构建基于数字证书的统一身份认证、统一用户管理和应用安全支撑系统。

　　全局范围内，将建立统一的目录服务体系，以完善的数据复制策略实现对应用系统的全面支撑。

　　身份认证系统(PKI基础设施)

　　1、证书签发系统(CA系统)

　　为所有的实体(设备、人员等)管理身份证书。

　　2、用户管理系统(UMS系统)

　　在身份认证系统之上，以数字证书为用户标识实现统一的用户管理、组织机构管理，为相关业务系统提供全局统一的用户属性信息。

　　3、密钥管理系统(KMC系统)

　　对用户的密钥进行管理和备份，能够通过严格的流程实现密钥的恢复。

　　4、目录服务系统(LDAP系统)
　　
　　实现证书的发布和CRL的发布，并能够实现和AD之间的用户同步。

　　应用安全支撑平台

　　以身份认证系统、用户管理系统为基础，采用应用安全支撑平台的各产品组件实现应用系统的安全接入，使得身份认证、用户管理、数字签名等技术能够方边的整合到原有的业务系统中。

　　在安全支撑平台的支持下，能够为用户构建操作系统层和应用层的统一身份认证和单点登录。

　　标准规范体系
　
　　根据实际业务特点，针对系统的运行维护、使用流程、应用接入标准等制订一系列标准和规范，以利于业务的有序开展。

　　如上所述，身份认证系统为内部人员、设备等应用安全域内的物理或逻辑实体提供了统一的数字实体标识，统一的用户管理系统则根据具体的组织机构、用户属性、用户级别等实际情况，对数字实体标识进行可定制的统一管理和授权，最后再通过应用安全支撑平台为业务系统提供服务，实现了独立于各应用系统的安全的、统一的身份认证和管理体系。

　　总体设计思路示意图如下所示： 

　　总体物理部署设计

　　根据总体设计思路，基于性能和投资相平衡的原则，系统物理部署设计如下图所示： 

　　如上图所示，根据系统的不同功能，从网络上以VLAN方式划分不同区域，包括核心区、服务区和应用区。

　　身份认证核心区包括CA、KMC、UMS等证书、用户管理系统，是整个系统的核心功能区。

　　身份认证服务区包括IAS和从目录服务器，实现对外的身份验证支持。

　　应用系统区中部署身份认证网关，使应用系统与外界实现安全隔离。

　　成果

　　通过以上各个系统的建设，对于此省电力公司的所有人员和设备都有一个标准的身份表达，达到了“一人一证”的效果;所有的应用系统都在统一的标准指引下获得了高强度的身份认证功能;电力公司的管理人员只需集中的管理对应用户的证书信息和属性(权限)信息即可控制和管理对应人员在应用中的地位;所有的持证用户在所有的应用系统中只需要一次登录，无须在记忆太多的信息;体系符合电网总公司的整体规划能和电网总公司现在的系统进行互联。