亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        河南省水利廳身份認(rèn)證及應(yīng)用安全技術(shù)方案研究

        2016-03-12 11:04:55任建勛張亞萍
        河南水利與南水北調(diào) 2016年11期
        關(guān)鍵詞:數(shù)字證書水利廳網(wǎng)關(guān)

        □楊 栓□任建勛□宋 博□張亞萍□杜 磊

        (1河南省水利信息中心;2商丘市梁園區(qū)水利局)

        河南省水利廳身份認(rèn)證及應(yīng)用安全技術(shù)方案研究

        □楊 栓1□任建勛1□宋 博1□張亞萍2□杜 磊2

        (1河南省水利信息中心;2商丘市梁園區(qū)水利局)

        隨著水利信息化的深入發(fā)展,信息網(wǎng)絡(luò)有效實(shí)現(xiàn)了資源共享和互聯(lián)互通,但也帶來了安全性的問題。通過數(shù)字證書技術(shù)來實(shí)現(xiàn)用戶可信身份的標(biāo)識(shí),通過對(duì)用戶數(shù)字證書的驗(yàn)證,實(shí)現(xiàn)對(duì)用戶身份的高強(qiáng)度認(rèn)證,保證河南省水利廳業(yè)務(wù)系統(tǒng)的運(yùn)行安全。

        身份認(rèn)證;應(yīng)用安全;方案研究

        1 概述

        河南省水利廳身份認(rèn)證體系建設(shè),依托于水利部外網(wǎng)已建設(shè)的身份認(rèn)證系統(tǒng)PKI/CA系統(tǒng),以水利部外網(wǎng)身份認(rèn)證體系為信任源頭,在河南省水利廳沿用水資源的證書注冊(cè)系統(tǒng)RA,為河南省水利廳本地用戶提供全面的、貼切的證書服務(wù),通過數(shù)字證書的技術(shù)手段實(shí)現(xiàn)用戶身份的可信描述以及單點(diǎn)登錄。河南省水利廳應(yīng)用安全支撐體系屬于身份認(rèn)證體系和應(yīng)用系統(tǒng)之間的中間環(huán)節(jié),通過該中間環(huán)節(jié)起到的承上啟下作用,可以保證應(yīng)用系統(tǒng)方便、快速的實(shí)現(xiàn)和數(shù)字證書之間的整合,享受到身份認(rèn)證體系提供的各類安全服務(wù)。

        2 框架設(shè)計(jì)

        2.1 身份認(rèn)證體系

        身份認(rèn)證體系為河南省水利廳外網(wǎng)身份信任體系建設(shè)的核心內(nèi)容,采用數(shù)字證書的手段來實(shí)現(xiàn)用戶身份的描述,通過建設(shè)身份認(rèn)證體系,來實(shí)現(xiàn)河南省水利廳外網(wǎng)的用戶、設(shè)備的權(quán)威、統(tǒng)一身份表達(dá)、描述。河南省水利廳身份認(rèn)證體系接入到水利部身份認(rèn)證體系中,實(shí)現(xiàn)身份認(rèn)證體系的統(tǒng)一信任。河南省水利廳身份認(rèn)證體系主要包括證書注冊(cè)系統(tǒng)RA(沿用水資源RA系統(tǒng)),證書注冊(cè)系統(tǒng)RA屬于水利部外網(wǎng)運(yùn)營CA提供證書服務(wù)的窗口,為河南省水利廳本地人員提供證書申請(qǐng)、下載、注銷、更新等各項(xiàng)業(yè)務(wù)的服務(wù)。

        2.2 應(yīng)用安全支撐體系

        應(yīng)用安全支撐體系是通過對(duì)身份認(rèn)證體系所簽發(fā)的數(shù)字證書的應(yīng)用,基于組件化服務(wù)的方式,向業(yè)務(wù)系統(tǒng)提供統(tǒng)一的、體系化的安全支撐服務(wù)。為業(yè)務(wù)系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證和統(tǒng)一用戶管理功能,業(yè)務(wù)系統(tǒng)通過調(diào)用應(yīng)用安全支撐提供的服務(wù),經(jīng)過簡(jiǎn)單的配置或少量的代碼更改就可以實(shí)現(xiàn)安全功能的嵌入和實(shí)現(xiàn)用戶賬戶的同步,實(shí)現(xiàn)業(yè)務(wù)和數(shù)字證書的結(jié)合、用戶源的統(tǒng)一管理。河南省水利廳應(yīng)用安全支撐體系主要包括身份認(rèn)證網(wǎng)關(guān)和統(tǒng)一用戶管理系統(tǒng),為業(yè)務(wù)系統(tǒng)提供統(tǒng)一的身份認(rèn)證和用戶管理功能。

        2.3 目錄服務(wù)體系

        目錄服務(wù)體系主要負(fù)責(zé)用戶數(shù)字證書、證書注銷黑名單、用戶屬性數(shù)據(jù)的統(tǒng)一發(fā)布,是身份認(rèn)證系統(tǒng)和應(yīng)用之間的橋梁;方案設(shè)計(jì)沿用水資源CA從目錄,復(fù)制水利部河南證書相關(guān)數(shù)據(jù)為本地提供服務(wù)。

        2.4 故障恢復(fù)與災(zāi)難備份體系

        故障恢復(fù)與災(zāi)難備份體系主要是通過綜合應(yīng)用備份與恢復(fù)技術(shù),提升身份認(rèn)證系統(tǒng)的可靠性。在實(shí)際的工程實(shí)施中,可以采用磁帶機(jī)或者是利用用戶現(xiàn)在的備份體系或軟件自帶的備份功能進(jìn)行相關(guān)數(shù)據(jù)的備份。

        2.5 安全防御體系

        安全防御體系主要是通過部署防火墻等產(chǎn)品,保障身份認(rèn)證系統(tǒng)網(wǎng)絡(luò)層面的安全性。

        2.6 標(biāo)準(zhǔn)規(guī)范體系

        標(biāo)準(zhǔn)規(guī)范體系涵蓋系統(tǒng)建設(shè)、系統(tǒng)命名、數(shù)字證書格式、證書注冊(cè)系統(tǒng)建設(shè)、身份認(rèn)證網(wǎng)關(guān)建設(shè)、應(yīng)用接口等標(biāo)準(zhǔn);河南省水利廳身份認(rèn)證體系建設(shè)將照水利部外網(wǎng)身份認(rèn)證體系統(tǒng)一標(biāo)準(zhǔn)執(zhí)行。

        3 水利部CA體系邏輯結(jié)構(gòu)

        河南省水利廳需要部署RA系統(tǒng)(沿用水資源RA)、目錄服務(wù)系統(tǒng)(沿用水資源LDAP)、身份認(rèn)證網(wǎng)關(guān)、統(tǒng)一用戶管理系統(tǒng)。按照水利部外網(wǎng)的要求,接入到水利部外網(wǎng)身份認(rèn)證系統(tǒng);通過建設(shè)RA系統(tǒng),實(shí)現(xiàn)證書的本地化服務(wù),為本地的人員發(fā)放證書;通過建設(shè)身份認(rèn)證網(wǎng)關(guān),實(shí)現(xiàn)認(rèn)證的本地化服務(wù),為水利廳業(yè)務(wù)系統(tǒng)提供基于證書的身份認(rèn)證。

        身份認(rèn)證體系(指證書發(fā)放體系)集中部署于省級(jí)(沿用原有水資源RA和LDAP),制作省級(jí)證書業(yè)務(wù)管理員證書key,為省級(jí)用戶以及地市用戶集中發(fā)放數(shù)字證書(USB-KEY)。

        4 水利廳應(yīng)用整合及單點(diǎn)登錄設(shè)計(jì)

        4.1 整合需求

        河南省水利廳業(yè)務(wù)系統(tǒng)的安全主要是要求基于數(shù)字證書來實(shí)現(xiàn)用戶身份高強(qiáng)度認(rèn)證,代替?zhèn)鹘y(tǒng)的“用戶名+口令”身份認(rèn)證模式。采用統(tǒng)一用戶管理技術(shù)實(shí)現(xiàn)用戶的統(tǒng)一管理。

        4.2 整合思路

        利用河南省水利廳證書注冊(cè)系統(tǒng)RA為用戶頒發(fā)的數(shù)字證書,基于身份認(rèn)證網(wǎng)關(guān)來實(shí)現(xiàn)用戶基于數(shù)字證書的高強(qiáng)度身份認(rèn)證,以代替業(yè)務(wù)傳統(tǒng)的“用戶名+口令”身份認(rèn)證模式,通過建立數(shù)字證書主用戶規(guī)范各個(gè)應(yīng)用系統(tǒng)的用戶標(biāo)識(shí),達(dá)到用戶的統(tǒng)一管理和同步。

        4.3 整合方案

        RA系統(tǒng),主要負(fù)責(zé)為用戶和設(shè)備頒發(fā)數(shù)字證書,解決身份標(biāo)識(shí)問題。目錄服務(wù)系統(tǒng),該系統(tǒng)主要負(fù)責(zé)發(fā)布數(shù)字證書和黑名單信息,為用戶身份的驗(yàn)證提供基礎(chǔ)。身份認(rèn)證網(wǎng)關(guān),該系統(tǒng)主要為業(yè)務(wù)系統(tǒng)提供身份認(rèn)證服務(wù),只有經(jīng)過身份認(rèn)證網(wǎng)關(guān)認(rèn)證通過的用戶才可以訪問的應(yīng)用系統(tǒng)。統(tǒng)一用戶管理系統(tǒng)(簡(jiǎn)稱UMS),該系統(tǒng)主要為業(yè)務(wù)系統(tǒng)提供統(tǒng)一用戶管理服務(wù),進(jìn)行用戶屬性信息同步。

        4.4 訪問流程設(shè)計(jì)

        用戶訪問應(yīng)用系統(tǒng)必須通過身份認(rèn)證網(wǎng)關(guān)驗(yàn)證,它可以接收用戶的數(shù)字證書,通過驗(yàn)證證書鏈、查詢CRL(證書黑名單)等來判斷用戶的身份是否合法。通過調(diào)用和查詢統(tǒng)一用戶管理系統(tǒng)(UMS)中該證書的屬性信息(身份證號(hào)或其他標(biāo)識(shí))傳遞給應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)從而獲知用戶身份,展現(xiàn)相應(yīng)的頁面,并將用戶的訪問過程記錄成日志存儲(chǔ)在身份認(rèn)證網(wǎng)關(guān)中(也可以以syslog發(fā)送給審計(jì)系統(tǒng))。

        5 省級(jí)移動(dòng)辦公擴(kuò)展

        為了解決移動(dòng)辦公應(yīng)用數(shù)據(jù)機(jī)密性、身份認(rèn)證強(qiáng)度兩方面安全風(fēng)險(xiǎn),同時(shí)結(jié)合移動(dòng)辦公場(chǎng)景的特點(diǎn),相應(yīng)的安全解決方案主要涉及證書發(fā)布體系建設(shè)、中間件服務(wù)器改造及移動(dòng)信息終端APP整合三部分內(nèi)容。

        5.1 業(yè)務(wù)應(yīng)用流程

        在建設(shè)好PKI/RA系統(tǒng)及移動(dòng)證書門戶后,移動(dòng)終端用戶進(jìn)行數(shù)字證書申請(qǐng)發(fā)放的流程如下:證書管理員首先將用戶信息預(yù)先錄入至RA系統(tǒng),生成證書申請(qǐng)憑證碼;證書管理員通過郵件,將證書申請(qǐng)憑證碼發(fā)送給移動(dòng)終端用戶;移動(dòng)終端用戶在移動(dòng)終端通過整合后的移動(dòng)辦公APP訪問安全接入網(wǎng)關(guān),并經(jīng)過安全接入網(wǎng)關(guān)連接移動(dòng)證書門戶,提交證書申請(qǐng)憑證碼,進(jìn)行證書申請(qǐng);移動(dòng)證書門戶連接PKI/RA系統(tǒng),簽發(fā)移動(dòng)證書;移動(dòng)終端用戶通過安全接入網(wǎng)關(guān),從移動(dòng)證書門戶將證書下載至本地,安裝在移動(dòng)辦公APP中,證書申請(qǐng)結(jié)束。

        5.2 移動(dòng)應(yīng)用訪問流程

        將客戶端APP進(jìn)行改造后,集成VPN連接客戶端接口,同時(shí)針對(duì)移動(dòng)中間件平臺(tái)進(jìn)行必要改造,將認(rèn)證方式從用戶名/口令方式改變?yōu)閿?shù)字證書認(rèn)證方式。改造完成后,移動(dòng)辦公用戶的應(yīng)用訪問流程如下:移動(dòng)辦公用戶通過點(diǎn)擊客戶端APP,APP集成的VPN客戶端接口向VPN網(wǎng)關(guān)發(fā)起訪問請(qǐng)求;VPN系統(tǒng)要求移動(dòng)辦公用戶提交數(shù)字證書,進(jìn)行身份有效性認(rèn)證。認(rèn)證通過后,VPN通道建立。

        6 地市身份認(rèn)證體系擴(kuò)展

        6.1 整體邏輯架構(gòu)擴(kuò)展設(shè)計(jì)

        省級(jí)身份認(rèn)證系統(tǒng)負(fù)責(zé)為省廳發(fā)放數(shù)字證書、制定證書策略、管理下級(jí)地市LRA接入,并將證書的CRL發(fā)布到目錄,供全省地市的目錄復(fù)制。省廳自身目錄供省廳本地業(yè)務(wù)系統(tǒng)使用。地市身份認(rèn)證系統(tǒng)為地市提供數(shù)字證書服務(wù),并通過LDAP從省廳復(fù)制獲取證書CRL相關(guān)信息。

        6.2 證書發(fā)放設(shè)計(jì)

        省廳用戶通過省級(jí)證書業(yè)務(wù)管理員KEY登錄RA系統(tǒng)為省級(jí)用戶頒發(fā)數(shù)字證書(USBKEY);地市LRA制證系統(tǒng)通過省廳行政授權(quán)和系統(tǒng)授權(quán)連入省廳RA系統(tǒng)。

        6.3 應(yīng)用支撐

        由于省、市都有應(yīng)用系統(tǒng),因此應(yīng)用安全支撐平臺(tái)采取分布式部署方式,省級(jí)身份認(rèn)證網(wǎng)關(guān)支撐省級(jí)應(yīng)用,各地市身份認(rèn)證網(wǎng)關(guān)支撐地市應(yīng)用。用戶在進(jìn)行訪問時(shí),根據(jù)應(yīng)用系統(tǒng)所屬地,選擇所屬地對(duì)應(yīng)的身份認(rèn)證網(wǎng)關(guān)進(jìn)行身份的認(rèn)證。

        6.4 防汛抗旱應(yīng)用系統(tǒng)接入

        通過集中身份認(rèn)證網(wǎng)關(guān)建立用戶和防汛抗旱應(yīng)用平臺(tái)直接連接的橋梁,用戶在防汛抗旱應(yīng)用平臺(tái)點(diǎn)擊登陸時(shí)首先訪問到身份認(rèn)證網(wǎng)關(guān),并按要求提交數(shù)字證書。身份認(rèn)證網(wǎng)關(guān)聯(lián)合水資源RA目錄校驗(yàn)證書有效性,并查詢UMS中該證書的屬性信息。由身份認(rèn)證網(wǎng)關(guān)將數(shù)字證書信息和屬性信息發(fā)送給防汛抗旱應(yīng)用平臺(tái),防汛抗旱應(yīng)用平臺(tái)根據(jù)此信息實(shí)現(xiàn)證書登錄,再由防汛抗旱應(yīng)用平臺(tái)整理并抽取相關(guān)信息發(fā)送給應(yīng)用系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄。用戶的證書信息和屬性信息由UMS向防汛抗旱應(yīng)用平臺(tái)實(shí)現(xiàn)同步。防汛抗旱應(yīng)用平臺(tái)通過內(nèi)部機(jī)制實(shí)現(xiàn)自身與各個(gè)應(yīng)用系統(tǒng)的用戶同步。

        6.5 電子簽名服務(wù)器與簽章的結(jié)合

        電子簽名與簽章的整合需要證書體系整合,將水利部的證書體系替換電子簽章的證書體系;介質(zhì)整合,使用水利部統(tǒng)一的USBKEY(飛天epass3003),并將簽章灌制到飛天epass3003中。

        7 結(jié)語

        通過建設(shè)河南省水利廳身份認(rèn)證體系和應(yīng)用安全支撐體系,可以保證應(yīng)用系統(tǒng)方便、快速的實(shí)現(xiàn)和數(shù)字證書之間的整合,享受到身份認(rèn)證體系提供的各類安全服務(wù),來完成對(duì)應(yīng)用數(shù)據(jù)的保護(hù)和終端設(shè)備的保護(hù),實(shí)現(xiàn)安全需求的快速拓展。

        (責(zé)任編輯:邢博輝)

        F830.49

        B

        1673-8853(2016)11-0049-02

        2016-07-16

        猜你喜歡
        數(shù)字證書水利廳網(wǎng)關(guān)
        省水利廳開展中國共產(chǎn)黨成立102 周年系列慶?;顒?dòng)
        山西水利(2023年7期)2023-11-22 07:52:34
        水利廳召開黨史學(xué)習(xí)教育宣講大會(huì)等
        河北水利(2021年4期)2021-05-25 07:44:00
        基于改進(jìn)RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計(jì)
        省水利廳紀(jì)念建黨95周年暨“兩優(yōu)一先”表彰大會(huì)
        山西水利(2016年7期)2017-01-21 02:38:31
        當(dāng)心黑客利用數(shù)字證書的漏洞
        基于數(shù)字證書的軍事信息系統(tǒng)安全防護(hù)方案
        LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
        管理好系統(tǒng)中的數(shù)字證書
        電腦迷(2015年7期)2015-05-30 04:50:35
        應(yīng)對(duì)氣候變化需要打通“網(wǎng)關(guān)”
        太陽能(2015年7期)2015-04-12 06:49:50
        全國水利廳局長(zhǎng)會(huì)議召開
        中國水利(2015年2期)2015-02-28 15:12:06
        国产成人av一区二区三区在线| 女人被爽到高潮视频免费国产| 一本大道无码人妻精品专区| 久久精品无码中文字幕| 国产精品久久中文字幕第一页| 开心激情网,开心五月天| 91精品国产综合久久熟女| 国产精品无码一区二区在线看| 色综合久久天天综线观看| 丰满人妻无奈张开双腿av| 一本之道久久一区二区三区| 欧美黑人性暴力猛交喷水| 国产欧美日韩综合在线一区二区| 日韩精品国产一区二区| 熟女中文字幕一区二区三区| 亚洲亚洲人成综合网络| 8av国产精品爽爽ⅴa在线观看| 精品国产污黄网站在线观看 | 日韩精品夜色二区91久久久 | 亚洲欧美牲交| 亚洲最大天堂无码精品区| 久久精品国产亚洲av热九九热| 国产精品一区二区av不卡| 国产精品第一国产精品| 久久久久亚洲AV无码专| 精品女人一区二区三区| 美女扒开屁股让男人桶| 国产一区二区不卡老阿姨| 午夜国产精品视频免费看电影| 久久精品女同亚洲女同| 日产亚洲一区二区三区| 91亚洲国产成人aⅴ毛片大全| 麻豆av毛片在线观看| 亚洲欧洲成人a∨在线观看| 法国啄木乌av片在线播放| 日日骚一区二区三区中文字幕| 国产精品午夜夜伦鲁鲁| 超薄丝袜足j好爽在线观看| 亚洲欧美日韩精品久久亚洲区色播| 亚洲一区二区三区在线视频| 人妻色综合网站|