企业可信认证中心建设方案

1、 企业可信认证中心建设方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc9198630 1.1. 可信认证中心建设 PAGEREF _Toc9198630 h 3 HYPERLINK l _Toc9198631 1.1.1. 示范要点 PAGEREF _Toc9198631 h 3 HYPERLINK l _Toc9198632 1.1.2. 建设内容 PAGEREF _Toc9198632 h 6 HYPERLINK l _Toc9198633 1.1.3. 建设规模 PAGEREF _Toc9198633 h 22 HYPERLINK l _Toc9198634

2、1.1.4. 技术设计方案 PAGEREF _Toc9198634 h 22可信认证中心建设示范要点在信息安全体系中，用户安全是非常重要的一个方面。对于企业信息系统来说，用户安全漏洞可能导致企业信息系统用户账号被盗用，被破解；进而导致民航旅客数据，配载数据等被篡改；从而带来更加严重的国家安全问题。因此，加强企业信息系统的用户安全迫在眉睫。可信认证中心的建设要求主要分为以下几个方面：用户身份管理平台能够实现集中管理分布在多个系统中的用户帐号信息，例如：数据库和LDAP库中的用户信息。能够支持应用系统的自治用户管理模式，应用端自治用户管理的结果在IAM端可见。例如：应用端可以保留并通过自己的用户管

3、控模块创建和变更帐号，但IAM平台可以通过帐号回收等机制，定时从应用端获得采集其帐号配置信息，更新到IAM系统的用户管理数据库中。提供WEB环境的用户身份管理与注册功能。提供开放的API，支持Java或WebServices等技术。支持对现有资源中用户信息的整合和同步，例如实时同步存放于数据库中的用户信息。能够管理用户的身份信息，可以集中管理应用系统中的用户，包括批量建立、删除用户等。能够提供用户身份的建立、更新、注销的全生命周期管理机制与功能。提供工作流管理的信息同步、用户密码管理以及密码的自助式服务，用户可以通过Web界面修改其在多个系统中帐号ID的密码，并可做到多帐号ID的密码同步。对于

4、同一个用户在不同系统中使用不同帐号ID的情况，能够按需要提供统一的用户和密码管理功能。提供用户与数据库的身份同步，能够将权威数据源系统中的用户信息同步至目录服务系统。能够根据制定的策略将用户信息下发至各应用系统，实现帐号的自动创建、变更、销户，取代现有的人工方式的帐号管理模式。支持从应用系统将大量用户信息通过批量导入的方式导入至身份管理系统。提供必要的单向不可逆加密算法，用于保证用户密码口令的安全性。提供必要的加密方法，用于保证在用户信息传播过程中通讯的安全性。针对身份管理中用户身份信息的创建、修改、更新、删除、查询检索、同步等管理操作都须被审计，审计信息保存于后台数据库中便于统计分析。支持多

5、种操作系统，包括Unix、Windows和Linux平台。能够提供并支持集群的管理、控制与同步功能，支持负载均衡与实时故障切换的高可用配置，保证系统的高可靠性和高可用性。提供用户帐号配置信息查询接口，在信息安全策略的限制下，供应用系统提取用户信息。能够提供用户的分级管理功能。统一认证系统能够支持或扩展支持包括PKI/CA认证（X.509V3）、动态口令、智能卡、生理特征、用户名和密码等多种认证方式，能够正确地识别访问操作的主体身份，提供合适身份信息。统一认证系统能够与PKI/CA体系实现结合，采用基于数字证书技术进行身份认证，实现统一身份认证与高强度的安全性要求。统一认证系统能够提供跨域的联合

6、与级联认证功能，用户可以跨域进行身份信息认证并访问门户和应用系统资源，能够支持联邦用户身份认证功能（Federated Identity）的扩展能力。认证服务提供主路与旁路两种整合模式，为应用系统实现认证和单点登录功能提供灵活多样的整合手段。能够提供管理、认证的服务及API，支持Java，C/C+语言。能够提供基于时间和IP对资源的访问控制策略。支持多种客户端的接入，例如：Web浏览器、移动终端应用等。能够提供并支持集群的管理、控制与同步功能，支持负载均衡与实时故障切换的高可用配置，认证可以支持目录服务器集群，当其中一台LDAP服务器无法访问时自动切换到另外一台，保证系统的高可靠性和高可用性。

7、支持通过外部认证接口开发定制认证模块。能够跟踪用户的登录过程，并使用安全认证策略来提高登录的安全性，如定义允许登录尝试失败的次数，若超过尝试次数，用户即被锁死。单点登录要求支持B/S应用的单点登录功能，支持航信业务应用单点登录功能。提供B/S应用的单点登录功能，支持跨域单点登录。提供开放的API，支持Java、JavaScript等。支持不同类型的用户验证方法，如PKI/CA认证（X.509V3）、IP地址、用户名和密码等。提供全面的审计记录与应用程序访问日志。单点登录能够提供并支持集群的管理、控制与同步功能，支持负载均衡与实时故障切换的高可用配置，保证系统的高可靠性和高可用性。审计与监控要求

8、统一身份认证体系平台的审计与监控系统能够提供统一身份认证系统的审计功能，记录系统的错误、报警等异常事件及帐户的创建、更改和注销等操作事件，并自动生成可阅读的审计日志。统一身份认证体系平台能够提供日志信息的查看、检索与分析功能，提供丰富的查询功能，可以基于操作类型、日期范围、用户ID、服务类型等对日志进行的查询，并给出报表。统一身份认证体系平台的审计与监控系统相关审计日志能够在本地存储保存至少一年。访问控制要求支持角色管理和授权管理支持角色的定制管理，支持角色的嵌套运算和排斥运算支持授权时进行排斥角色检查支持基于角色的访问控制加解密支持要求基于数字证书提供各种加解密需求支持SM系列国产加密算法支

9、持三级密钥管理模式建设内容用户管理平台建设内容从用户管理和认证的全流程来看，为保证用户和账号全生命周期的管控和跟踪，完整的用户管理体系建设目标由下面几部分组成：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 1用户管理体系建设示意图 用户账号申请审核系统在操作人员使用航信系统前，必须对其账号的申请进行备案和审核，只有经过批准的用户才可以拥有航信IT系统的合法账号。持有合法账号的操作人员才能给登陆航信系统进行相关的业务行为。申请和审核系统需要对用户的申请进行备案，并按照不同企业的业务要求对审批流程进行配置，支持不同等级的账号申请有不同的审核流程。经过批准的账号申请单

10、将流转到账号配置管理系统。 账号配置管理系统账号配置管理系统以管理用户账号的生命周期为核心，并将所发生的管理操作行为最终传播到目录服务和应用系统为结果。账号配置管理系统帮助IT系统维持了一个及时准确的核心用户身份和帐号数据源，这个帐号数据源服务于认证和授权服务平台，最终供应用系统所使用。而用户管理的生命周期可以通过业务系统发起，也可以由用户通过自服务发起，在经历一些人工或自动化的帐号配置供应和管控工作流程后，最终这些用户的帐号得以创建。而发起这些应用帐号创建的应用系统我们通常称为身份供应的上游系统，这些上游用户帐号的供应者发起了帐号的创建、禁用和销毁等操作，决定了用户帐号的状态。在用户生命周期

11、中还涉及到使用这些用户帐号的应用系统，它们不决定这些帐号的状态，但需要使用这些帐号，甚至需要将这些帐号同步到应用系统的内部，我们把消费使用用户帐号数据的应用系统成为下游应用系统。身份管理系统涉及与上游身份供应源和下游应用系统的整合，这部分整合的工作则通过用户供应接口来进行约束和定义。这其中具体定义了对接的流程、模式及接口形态，通常提供多样化的选择以满足不同企业、不同平台产品、不同应用系统的多样化要求。系统应提供不同的接入方式，满足用户在不同环境对系统访问的要求，在符合安全规范的情况下，提供更灵活和访问的服务给用户，提升用户感知。 认证系统认证服务则面向信息环境中的各类应用，为它们提供不同级别强

12、度的认证服务。B/S架构应用系统与认证服务平台进行整合时，提供多种形态的支持：基于中间件容器环境的认证整合应用遵循中间件容器的安全接口规范，当中间件容器层面解决与IAM平台的整合后，应用系统则间接的完成了认证整合。例如在Java提供中JEE Security开发规范等。此类整合基本不涉及应用端的改造，但需要应用开发遵循相关的中间件平台规范。基于应用的认证整合应用自行利用IAM平台提供的接口完成对接，从而将应用纳入到IAM平台的管控下，享受平台提供的所有安全功能。认证服务则可以为包括B/S和C/S架构应用提供多样和标准化的认证服务，也为包括移动手持终端设备提供认证服务，包括单点登录服务功能。例如

13、典型的认证服务协议：SAML、Oauth、Kerberos/SPNEGO、LTPA。认证服务也可以支持和扩展广泛的认证方法，例如：短信、动态令牌卡、数字证书、生物特征等。 审计系统IAM平台的审计服务服务于用户管理、认证服务和授权服务等核心组件，这些组件运行时的各类审计事件遵从审计服务的接口模式实现信息的记录和存储。随着企业对安全合规、治理和风险控制的平台建设的不断深入，大量的企业开始部署实施SIEM（Security Information and Event Management 安全信息事件管理）平台。这些平台可以汇聚和采集IT环境中各个层面、各个系统的审计和安全事件，并对这些事件做关联

14、和安全规则分析，为信息系统的安全治理和风险控制提供有效的支撑。因此，IAM平台审计功能的重点在于对发生事件的记录，并支持事件向SIEM平台的上报。图中的开账计费系统虽然与用户账号管理体系有密切联系，但因为开账计费系统主要使用用户账号管理体系的数据进行账务分割等业务操作，不纳入用户管理体系范畴建设。数字证书系统建设内容企业信息系统的用户管理长期以来主要采用口令认证方式。近几年来，前端系统发展迅速，出现了针对细分市场的多种前端，比如针对代理人市场的TravelWeb、BlueSky、航旅天空，针对航空公司市场的航空公司控制前端NewSky，还有针对机场的NewApp、Music等产品，这些产品大部

15、分都延续了口令或者IP认证方式。随着互联网的发展，通过Internet接入航信的后台系统已成为一种主要方式，航空公司等用户的日常工作也越来越依赖于IT。另一方面，随着民航新一代旅客服务信息系统建设工作的逐步开展，未来的用户前端系统都是图形化方式，操作简单，一旦用户帐户被窃，没有专业背景的人员都可能修改航空公司的数据。多家航空公司已经提出，在采用新的航空公司控制前端时，希望加强用户的安全认证方式，避免帐户失窃导致损失。 风险分析网络应用系统的安全隐患，主要体现在如下几个方面：网上应用系统服务器用户数据库窃听篡改抵赖?假冒的站点？假冒的用户？图 3- STYLEREF 1 s 3 SEQ 图 *

16、ARABIC s 1 2网络安全隐患示意图目前航信采用的简单的用户认证方式已经不能适应于市场的发展。一方面，近几年来，陆续暴露出一些帐户丢失导致的一些商务损失现象。虽然有些行为我们通过IP追查到用户，但损失已经发生，后继处理也很困难，另外很多通过国外连接的IP，也无法进行追查。另外，web应用系统的增多也加大了假冒网站、钓鱼网站的风险。用户可能会出现航信的应用被仿冒，从而登录不安全网站的风险。通过互联网被窃听，导致信息泄漏。目前业界部分前端系统都是采用明文传输，甚至用户名和密码也是如此。如果用户在不安全的网络上输入这些数据，或者获取一些关键数据。则信息有可能被泄露。信息被篡改，导致信息不完整。

17、当用户的信息被截取，黑客可以通过修改数据达到不法目的。用户对发送信息进行抵赖，没有抗抵赖的依据。一些关键交易和操作，比如涉及到航班配载或者支付等，目前没有有效的手段进行监控，如果发生问题，只能是通过查看log的方式进行追踪。但这种方式用户可以否认，不能形成绝对的证据。需求分析针对以上情况，企业信息系统亟需需要建立统一的基于PKI的数字证书认证系统，使用目前被认为最为安全的硬件证书，为航信的客户提供安全性更高的数字证书认证服务。近年来，随着业务的不断发展，航信业务系统大量增加、业务人员同步增长，内外部业务系统安全访问、内外部业务人员身份认证与流程管理成为当前业务系统的建设的重要环节。业务系统安全

18、要求：唯一的身份标识航信当前拥有4000内部员工，并且拥有大量的业务系统外部使用人员，如机票订座系统使用人员分布于各航空公司与代理公司；当前航信业务系统大部分采用传统的用户ID的方式标识用户身份，由于用户ID存在被窃听、盗用等风险，从而造成业务系统出现末授权访问、恶意破坏等非法行为；通过技术手段为内部员工、外部用户颁发可信的、唯一的、不可复制身份标识成为建设安全业务系统的基础。严格的身份认证航信拥有大量的业务系统，大多业务系统拥有内、外部使用人员，采用传统的用户名/口令的认证方式，无法真正实现对用户身份的严格认证（如口令破解等），从而使业务系统访问控制完全失效；对业务系统使用者的身份进行严格的

19、认证、确保访问者身份的真实性，是保证业务系统对用户进行授权管理与访问控制的前提。安全的数据访问航信业务系统包含C/S、B/S类型应用，大部分应用访问直接采用的明文协议传输（如B/S应用中使用的HTTP协议），由于采用明文传输极其容易造成机密数据的丢失与破坏，从而采用安全的传输方式，保证数据传输的机密性、完整性为业务系统安全建设的要点。安全的数据存储数据需要进行安全存储，黑客即使拿到了敏感的业务数据，也无法使用，数据加密可以达到这种效果。另外需要防范内部工作人员，如运维人员和在线测试人员这些能够直接接触生产数据的角色，对敏感数据进行加密存储处理，可以防范其进行数据破坏或泄密。 CA系统建设 CA

20、系统架构与组成图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 3航信CA系统总体架构图CA系统由以下部分构成： CA ServerCA Server 是认证中心的核心部分，负责签发和管理所有的证书及证书废止列表CRL。CA Server 使用商用的数据库来存储内部信息，使用标准的LDAP目录服务器来发布用户证书和证书废止列表CRL。CA Server提供服务，接受和处理来自CA Admin和RA Server的证书管理请求。CA数据库采用达梦等商业数据库，存储用户信息及证书数据。CA目录服务器采用商用目录服务器，用来发布黑名单（CRL）。CA Admin CA A

21、dmin是认证中心管理员使用的图形化简体中文界面，负责CA系统本身的管理和维护CA Admin的使用者通过证书登录CA，CA根据使用者的证书来确定其证书管理权限。RA ServerRA Server是 系统的注册中心，建立在Java应用服务器上，向RA管理员提供Web管理界面，并由各独立模块提供用户注册/证书申请的功能。RA服务器的内部逻辑结构、业务流程和管理员角色、权限可以定制，并且可以通过客户化，实现与客户的用户数据源进行连接。RA系统设计在下一章详细描述。 CA系统主要功能制定和审批总体政策；提供证书政策说明；实现证书的签发、更新、作废、冻结、解冻、查询等全部证书管理功能；基本的用户信息

22、管理；证书和CRL在LDAP上的发布；维护黑名单；证书管理事件的审计；基于证书的操作员权限管理；证书管理操作的审计日志；签发不同密钥用途的证书（加密、签名），并且可以配置；可以作为其它CA的上级或下级CA；支持集中发证；支持批量发证；支持RA连接访问；与其它根CA进行交叉认证并制定具体政策、管理制度和运作规范；完善的管理手段和管理界面；统计报表输出。 管理员的权限设定CA系统可以设定RA和管理员的权限。管理员角色定义：表 3- STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 1管理员角色定义表角色备注CA系统管理员CA系统的安装与部署启动和停止系统服务系统的备份与恢复生成和

23、管理CA系统策略管理员CA系统策略管理员确定CA系统的密钥策略、证书策略签发下级CA的证书交叉认证签发RA的证书生成和管理CA系统证书管理员定义下级CA的证书策略定义RA的证书策略定义CA系统证书管理员的角色和权限CA系统证书管理员根据角色和权限进行EE、SSL服务器等证书管理操作角色的权限应至少支持按照不同不同的用户组来划分不同的管理员权限范围。CA系统审计员查看和提取CA系统审计信息证书管理系统（RA系统）建设 RA系统概述RA系统是管理业务用户证书的系统，可与当前航信统一用户管理系统进行整合，对用户证书实行以下管理功能：证书申请与审核证书下载证书查询证书冻结证书解冻证书作废证书更新证书信

24、息统计 RA系统总体结构RA的逻辑结构如下图所示：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 4 RA逻辑结构示意图RA服务器RA服务器包括以下部分：RADS：实现与自建CA的通信；RA功能模块：实现RA服务器的业务处理和管理逻辑，包括管理员的权限与角色、逻辑机构等。建议由航信业务系统开发人员在统一用户管理系统中实现，根据业务逻辑定制开发RA系统。RA系统二次开发包RA服务器向管理员/操作员提供Web管理界面，实现核心的内部/外部证书管理、审计和交易查询功能。 RADS是 系统提供的开发软件包，RADS提供了Java语言接口的CA应用开发工具，能方便地嵌入到应

25、用服务器中，提供全部的证书管理功能。开发工具包提供的接口类型有Java API 和.Net两种方式；开发包支持的平台有：AIX、HP-UX、LINUX、SCO OPENSERVER、Solaris、WINDOWS系列；Java开发包支持BEA WebLogic、IBM WebSphere等流行的应用服务器；开发包提供SSL安全通信功能。具体的功能如下：功能列表：证书申请：申请各种模板的用户证书CSP方式证书下载：广泛支持各种IC卡，USB Key，以及软证书等等PKCS10方式证书下载：支持标准PKCS10方式证书更新：管理员更新证书和用户自主更新证书证书作废：管理员作废证书和用户自主作废证书

26、证书冻结：冻结证书，一般发生在临时性的身份审计时证书解冻：解冻证书，审计个人身份通过后，便可以解冻重取两码：重新获的证书的参考号和授权码（经常发生在证书的所有者在下载证书前丢失了参考号和授权码）证书查询：查询符合指定条件的证书及其状态 与应用系统的整合 B/S安全应用系统根据航信B/S应用安全要求，可采用基于SSL/TLS协议的安全网关对用户进行严格的数字身份认证，并对业务流量进行加密，保证业务数据的机密性；同时，为保障交易类型业务的顺利进行，可采用基于数字签名技术的数字签名验签系统对关键交易进行数字签名与验签名，保障交易双方身份的真实性、交易信息的完整性、交易结果的不可否认性。数字身份认证图

27、 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 5数字证书身份认证示意图如上图，安全网关设备可以作为SSL安全代理为后台B/S架构应用提供基于数字证书的用户身份认证。安全网关部署于B/S架构应用服务器（如统一用户认证平台）前端，将该应用HTTP访问方式转换为HTTPS类型的访问方式；用户通过访问安全网关上的HTTPS服务，实现访问真实应用（如统一用户认证平台）的目的；当应用安全网关收到用户SSL请求时，要求用户提交用户拥有的数字证书（要求用户插入USBKey），对用户身份提出强制认证要求；用户选择相应证书通过SSL协议自动传输到安全网关；安全网关按照SSL规范对用户

28、证书进行有效性校验，同时通过比较从LDAP获取到的CRL（证书吊销列表）进一步确认用户证书的有效性；当网关验证用户数字证书合法后，将用户请求转发到相应的后台应用服务器（如统一用户认证平台），同时将用户数字证书中的相关字段（如主题中的用户名）插入到用户请求（headerurl中）中；后台应用服务器（如统一用户管理平台）通过提取请求的用户信息（如用户名），将该字段与实体用户ID进行关联，完成用户授权，允许用户登陆该系统。C/S安全应用系统此章节主要是针对eTerm系统改造，由于eTerm的Matip通讯协议无法实现SSL改造，所以ETERM无法通过SSL协议完成用户数字身份认证；针对ETERM建议

29、采用数字签名技术对随机数进行签名与验签名的完成eTerm客户端数字证书身份认证的目的；同时，采用数字签名系统同样可以通过签名与验签名技术满足ETERM关键交易数据完整性、真实性、不可否认性的安全要求。数字身份认证图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 6数字身份验证示意图如上图，C/S架构应用下系统通过对随机数进行签名、验签名可以完成C/S客户端程序基于数字证书方式的身份认证。 Server为独立的一台服务器，可以完成服务器端签名与客户端验签名等工作； agent部署于应用服务器上，用于处理应用系统接收到的签名报文与签名请求； Client以客户端控件形式

30、存在，通过该控件可以完成客户端随机数的数字签名工作。当客户端程序需要认证时，客户端控件会调用客户端数字证书对随机数进行签名操作，此时最终用户输入USBkey Pin授权后，客户端签名即可完成并传输签名报文与随机数到应用服务器；应用服务器收到该签名报文与随机后，调用 Agent（API）将该报文提供到签名服务器进行验签名；签名服务器收到该报文后，通过获取用户数字证书相关信息，校验该证书有效后进行验签名工作，并将验签名结果返回给应用服务器；应用服务器根据签名服务器返回的验签名结果判断是否允许用户登陆，完成用户数字身份认证。身份认证平台与用户设备结合PKI平台按照标准协议或者是国际、国内、行业的通用

31、规范进行结构设计和产品开发，可与其它规范的PKI产品进行互操作，数字证书中心所签发的数字证书可广泛用于PKI的标准应用系统。现有SSL卸载服务由F5负载均衡设备及Web服务器实现，厂家身份认证平台采用国际行业的通用规范进行结构设计和产品开发，为用户提供标准X509 V3格式证书，广泛用于PKI的标准应用系统CP/CPS (RFC 3647)。支持标准的PKCS10证书请求、X509V3证书，所有符合该标准的证书系统均可使用。支持几乎全部主流国际标准算法，支持国密办认证的加密机及SSF33算法。 通过SSL加速功能的应用，能够在实现服务器负载均衡功能的基础上，提高整个应用平台的安全性。使到客户端

32、的内容由原先的明文传输，变为SSL加密传输，大大增加了应用的安全性。用户通过浏览器与服务器端的安全网关建立SSL安全信道使用数字证书进行SSL协议的身份认证SSL通道中所有数据都被加密F5设备与数字身份认证平台结合PKI平台采用标准X509v3格式证书，y提供P12，P7，P10方式生成证书。F5设备可以预先生成证书P10请求, 并把P10请求通过证书中心签发设备证书。PKI平台可以预先生成PFX或PEM格式证书，直接导入F5设备，实现设备。根据业务需要，可以在F5设备外接国产加密设备，支持国家密码管理局颁发的相关加密算法，如SM2、SM3、SM4。WEB服务器与数字身份认证平台结合身份认证平

33、台采用标准X509v3格式证书，提供P12，P7，P10方式生成证书。WEB服务器可以预先生成证书P10请求, 并把P10请求通过证书中心签发设备证书。证书中心支持如下类型应用服务器。Solaris，AIX ，HPUX，Linux，Windows Oracle，DB2，Sybase SUN Directory，Novell NDS，Microsoft AD，OpenLDAP，Oracle OID，南开创元ITEC-iDS 3.0 Websphere，Weblogic，IIS，Tomcat 堡垒机设备与数字身份认证平台结合身份认证平台采用标准X509v3格式证书，提供P12，P7，P10方式生成

34、证书。堡垒机可以预先生成证书P10请求, 并把P10请求通过证书中心签发设备证书。然后堡垒机分别导入设备证书和CA根证书，即可实现证书认证登录方式。建设规模覆盖整个民航新一代旅客服务信息，系统中存放的账号在百万级。提供企业信息系统PKI/CA体系建设标准解决方案，对企业信息系统的各类用户提供证书管理，证书制作和作废。为企业信息系统提供安全保障。技术设计方案可信认证中心组成与主要功能可信认证中心定位为企业信息系统事前安全控制的总体支撑技术平台。图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 7可信认证中心构成图可信认证中心由一下内容组成：统一身份管理系统，进行身份和

35、权限管理，支持账号申请与审批，以及后续的全生命周期管理，支持RBAC授权管理，支持多级授权管理模式。数字证书系统，对用户身份证书进行全生命周期管理U盾系统，作为用户高强度身份认证方案的一部分，可以灌装数字证书，支持数字证书认证，目前与数字证书系统集成一体。短信网关，支持一次一密的短信认证。单点登录平台，支持后续的多应用系统间的认证切换，提高认证效率。可信认证中心的总体功能如图所示：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 8可信认证中心总体功能图可信认证中心的总体功能如下：对所有用户进行身份管理、授权管理以及身份认证信息的管理。对所有数据传输提供加解密支持。

36、对所有应用系统提供身份认证、访问控制和加解密支持。用户管理平台整体技术架构设计民航交易系统用户管理及认证平台的主要内容如下图所示：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 9 用户管理及认证平台技术架构图建设方案中涉及如下子系统建设： 用户和账号申请审批系统建立符合用户需求的可以灵活配置的用户和账号申请审批平台。支持不同类型用户和账号的申请和审批。根据申请机构不同、用户不同、账号权限不同可以对审批流进行灵活配置。对申请的内容和审批意见进行镜像保存，在出现安全生产事件时，能够迅速追踪到账号的申请和审批情况。 用户和账号配置管理平台实现企业信息系统中传统账号的创

37、建，修改删除和查询，支撑以旅客为中心的新一代民航信息体系的用户和账号管理。实现人与账号强绑定。建立基于开放平台的用户和账号权威数据源。具备扩展性和灵活性。 统一认证服务为企业信息系统提供公用的统一认证服务平台和解决方案，为航信各类前端系统提供认证服务。支持多种认证类型，尤其加强U盾等强认证方式的建设。建设pki/ca平台，支持证书的申请、制作、下发和销毁。 用户和账号审计平台利用账号申请审批平台，账号配置管理平台和认证平台的数据，对用户和账号的异常修改及异常使用进行审计和预警，对安全事件发生后的跟踪和追查提供帮助。用户管理平台建设方案用户和账号申请审批系统系统目标：图 3- STYLEREF

38、1 s 3 SEQ 图 * ARABIC s 1 10 申请审批系统示意图以用户和账号配置管理系统未核心，接受机场，代理人和航空公司操作人员的账号申请，经过审批后，调用用户和账号配置和管理系统完成账号配置工作。获取申请单状态，并通知申请人。系统逻辑架构如下图所示图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 11 系统逻辑架构图各种用户和账号申请单通过个性化配置的审批工作流，流转到不同的审批人，审批通过后，通过接口调用用户和账号配置管理系统，进行下一步的操作。技术架构如图所示：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 12 系统

39、技术架构图基于J2EE容器开发，申请数据和审批信息存放在数据库中。用户和账号配置管理平台系统目标：图 图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 13配置管理平台系统目标图系统目标主要是把经过审批的申请单，通过受理接口传递到用户管理系统内，用户管理系统完成用户和账号的增删改查等操作。用户和账号的增删改除了要在开放的权威存储中对相应记录进行修改外，还要传递到该账号所属应用，以保证应用可以在不修改的情况下正确运行。系统逻辑架构如图所示：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 14 配置管理平台逻辑架构图系统技术架构如图所示：图

40、 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 15 配置管理平台技术架构图统一认证服务平台系统目标认证服务平台的系统建设目标如下图所示：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 16 统一认证服务平台系统目标图具体分解成如下目标： 基础功能目标认证中间件应该提供一套与应用系统无关的认证框架，帮助应用系统与用户实体之间建立信任关系，为进一步判断用户是否可以访问资源提供先决条件；认证中间件定义的接口应该与所处理的认证信息无关，可以支持所有可能的交互流程；认证中间件应该支持应用系统调用相关接口建立用户安全上下文；一旦会话终止，或用户登

41、出后，认证中间件应该启动清理会话服务，清除用户上下文。 非功能性目标认证中间件不指定具体的认证机制，可以灵活扩展各类认证机制；认证中间件框架与具体的操作系统或平台是无关的，但认证中间件的具体实现系统可能是相关的；认证中间件应提供充分的手段与各类进行集成。 安全目标认证中间件不能对应用系统引入错误；认证中间件不能恶意的影响系统的其他服务；认证中间件应该能够支持应用系统中的授权机制；认证中间件应该保证认证中间件环境中出现的安全相关的事件都是可审计的；认证中间件的具体实现应保护其获得或生成的安全相关信息的安全性，使得其他服务能足够信任该中间件提供的信息；认证中间件的具体实现应该能够保护在其组件之间传

42、递及组件与其他服务之间传递的安全相关信息的安全性。 逻辑架构逻辑架构如图所示：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 17 统一认证服务平台逻辑架构图认证服务子系统面对企业多样化的应用环境，可以支持云化的部署方式。统一认证和单点登录服务云由一个或多个认证枢纽（认证枢纽）构成，这些认证枢纽按照网络架构的特点进行分布部署，为各个认证枢纽所辖范围内的B/S应用系统进行统一认证鉴权，实现用户的单点登录。在有条件的节点部署一套认证枢纽，为其节点内的应用提供认证和单点登录服务。一级节点统一部署一个认证枢纽，为一级集中应用和无独立认证枢纽的节点提供服务。认证枢纽设计上具

43、有如下特征：基于网络就近的原则，有限为所辖范围内的应用提供认证和单点登录；所有的认证枢纽共同构成一套完整的认证和单点登录服务；任何一个认证枢纽均可以为所有的整合应用提供认证和单点登录服务；任何一个枢纽失效后，可以由其它的枢纽接替其认证和单点登录服务，持续为用户提供服务。为避免应用和认证枢纽之间出现网状交互关系，方便管理维护，本架构部署中，中心认证枢纽负责收敛集中应用的登录和认证需求，区域认证中心负责收敛所辖节点应用的登录和认证需求。中心认证枢纽和各区域认证中心实现互联互通，为用户提供跨越两级的单点登录服务功能。 技术架构技术架构如图所示：图 3- STYLEREF 1 s 3 SEQ 图 *

44、ARABIC s 1 18 统一认证服务平台技术架构图其中：IDP Service提供基于SAML的IdP服务；SP Agent为应用端的组件，应用系统完成与本组件的接口和集成后，实现与认证枢纽的认证集成；IDP Discovery Service提供基于SAML Discovery Service(SAML V2)标准的IdP发现服务服务，通过该组件总是将用户用户从SP引导到合适的IdP完成身份认证服务，本文档简称其为SAML DS；Integrated Console则提供对所有SP、IDP和SAML DS服务监控及管理，由于SP端应用构建环境的多样性，Integrated Console

45、需支持基于HTTP的管控协议，而IdP和DS则可以直接使用JMX(Bind with HTTP/HTTPS)完成协议通信。Authentication Authority做为认证服务源存在，用于为IdP提供用户身份的鉴别服务，为可扩展的插件是模块，实现与不同的认证数据源整合。例如：LDAP服务、SOAP based的认证服务或Microsoft AD服务等。Attribute Authority为IdP提供用户属性查询服务，IdP完成用户的身份鉴别后，访问此服务对用户的属性信息进行丰富，支撑SAML的Attribute resolve服务组件的数据查询要求。用户和账号审计平台 系统目标审计与监

46、控系统能够提供统一身份认证系统的审计功能，记录系统的错误、报警等异常事件及帐户的创建、更改和注销等操作事件，并自动生成可阅读的审计日志。审计与监控系统平台能够提供日志信息的查看、检索与分析功能，提供丰富的查询功能，可以基于操作类型、日期范围、用户ID、服务类型等对日志进行的查询，并给出报表。审计主要包括用户和帐号信息审计、认证审计和用户管理信息审计。各种审计结果表格支持均支持Microsoft Excel表格或PDF文件格式的导出功能。，并提供如下维度的报表：个人帐户：列举个人的帐户信息。帐户操作：显示帐户的活动。操作报告：报告分类的操作行为，如增加一个新用户。休眠报告：列出与所管理资源相关的

47、休眠帐户。帐户报告：列出人员和相关的帐户，以及该帐户是否遵从当前的规则。违规帐户：显示违规帐户和相关的服务。帐户审批：显示帐户审批的记录自定义报表：自定义报表模板由嵌入式的报表设计器生成，也可引进第三方的报表设计工具。当然，自定义报表可直接运行于安全审计服务器用户界面下。 逻辑架构如图所示：系统的逻辑组件架构如下图所示，其中报表引擎可以采用商业软件或基于Eclipse BIRT开源软件来构建。本部分的逻辑架构以采用BIRT开源软件的实现方式来进行描述。图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 19审计平台逻辑架构图其中BIRT Runtime为报表的运行时组

48、件，一般可以看作是报表引擎。报表模板库则包含了为用户管理系统定制的各类报表的模板，报表引擎加载这些报表模板按照设置的运行策略就可以输出相关的报表。而报表展现UI工具则面向审计和系统运维人员，为运维人员查询和查看报表提供支持，是报表平台的操作界面。这里的逻辑组件架构为用户管理子系统的，如前所述认证和授权子系统不使用数据库存放方式，统一使用文件方式存放，对于文件存放方式建议采用W7格式，通过定义When, Who,Where,ToWhere, FromWhere, What 和OnWhat等7个维度的信息来规范和丰富各个模块对审计日志的输出，并为分析提供有效的支撑。对于Java应用程序输出日志时直

49、接调用W7Logger的log族的方法，使用的时序图示意如下：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 20 w7logger调用时序图技术架构如图所示：图 3- STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 21审计平台技术架构图审计系统的架构相对比较清晰，主要是利用用户管理系统和认证系统的数据和日志按照一定规则进行报表生成和展现。出行在审计报表要求比较简单的情况下，可以考虑不引入复杂的报表要引擎和规则引擎，利用简单的数据查询和整合进行最基础的报表输出。随审计要求的提升，航信应独立建设综合审计平台，用户管理系统依据一定规则为综合审计平

50、台提供数据素材，综合审计平台负责生成报表并为审计过程和审计人员提供审计依据。PKI建设方案根据航信业务系统的安全需求，建议采用基于PKI体系的数字身份认证系统以满足业务系统对用户身份进行唯一标识、严格进行身份认证、用户安全访问业务系统、实现交易的安全要求。PKI CA数字身份认证系统基于密码学原理，通过公钥证书的方式为标识用户身份的唯一性，通过SSL安全协议、数字签名等方式对用户数字身份进行严格的身份认证保障用户身份的真实性，通过SSL安全协议、数字信封等方式加密业务流量保障业务数据的机密性、完整性，通过数字签名等方式对关键交易数据进行签名、验签名从而保障交易双方身份的真实性、关键交易信息的真实性以及交易结果的不可否认性。CA系统主要业务流描述如下：图 3-