应用系统用户可信认证管理的利器：安信天元统一用户信息管理和接入身份认证、数字签名数据可信认证解决方案.pdfVIP

应用系统用户可信认证管理的利器： 安信天元应用系统统一用户信息管理和统一身份认证完整解决方案 一、解决方案要解决的问题 随着网络信息化普及程度的提高，企业都建设了各种应用系统，例 如邮件系统、办公业务系统、门户网站等，网络架设、信息系统建设给 这些企业带来了很多便利，如上传下达、资源共享、办公自动化以及方 便的信息传递等等，极大地提高了工作效率。但是随着封闭系统的开放 化程度提高，越来越多的信息安全问题也同时浮现出来。 企业没有建设应用系统安全可信认证平台，会存在如下众多严重问 题和安全风险： 1、身份认证风险和问题： 口令简单，身份假冒 传统的口令认证方式极易被猜测、非法获取或截获，假冒身份非法 访问信息系统，导致机密信息泄露，或破坏信息系统，使系统运行不正 常。 口令繁多 随着信息技术和网络技术的迅猛发展，单位内部的应用系统越来越 多，由于这些系统互相独立，用户在使用每个应用系统之前都必须按照 相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密 码，这给用户带来了不少麻烦。 2、信息无法共享，形成信息孤岛 各个应用系统用户身份信息内容和数据格式不统一，没有统一的用 户身份信息，无法进行信息共享，无法实现互连互通 用户在所有应用系统中都存在用户信息，而由于对用户信息的管理 没有统一的规划设计，造成一个用户在多个应用系统中有不同的用户信 息，信息重复且不准确，用户管理十分繁琐，没有统一共享的用户信息， 造成许多共享资源信息系统无法向更多的用户开放，或无法确认用户可 信的身份，共享信息系统的价值不能体现出来。 同时，由于应用系统建设单位不同、设计思路不同，所以各应用系 统中的用户信息存储在异构的操作系统上（Windows, UNIX，LINUX…）， 以不同的数据格式存储（Oracle, SQL Server, MySql, LDAP…），而且 数据结构不同，这些信息不能共享，形成信息孤岛。 3、数据安全风险 缺乏完整性 不能确保文件是真正的原文，是否被无意或是恶意的篡改，在内容 和长度上与原始数据是否保持一致。 缺乏数据来源的真实性和不可否认性 发送方在送出文件后，可以否认他曾送出这份文件。不能够确认文 件的来源，确实是传送者本人，不是被别人伪造的。 4、实现安全策略的方法风险 用户需要的这些安全策略，应用系统开发商并不知道如何去实现这 些安全策略。让原来的应用系统开发商去完成这些工作，由于他们对安 全并不熟悉，会大大增加开发周期，或不能设计出符合信息安全要求的 安全解决方案。例如，应用系统开发商在验证用户的签名时，可能只知 道验证了值的签名，而对证书没有有效验证，或者证书登录只是提交了 一个证书，没有做别的操作，相对用户名、口令反而降低了应用系统的 安全强度。 二、系统构成 ······ USBKEY 三、系统功能 以 PKI 为基础，基于公开密码体系，完成信息的必威体育官网网址性、完整性、 不可否认性和身份认证功能；为应用系统开发商提供一个调用简单、安 全可靠的密码安全子系统，简化应用系统开发商的开发难度；完成用户 的统一管理和统一认证，提供一个安全可靠的认证服务和平台。同时自 带一个独立的认证管理系统(CA)，帮助用户进行证书管理和密钥管理。 应用系统开发商不必了解密码技术、复杂的 PKI 协议，通过调用基础密 码安全服务提供的简单的 API 函数就可以为应用系统提供密码安全保 护，增强应用系统的安全性。 认证管理中心CA：管理数字证书和加密密钥（PKI CA公钥基础实施）， 管理用户数字证书、证书吊销列表和加密公私钥对。 用户管理：从CA 获得基本用户信息，并分解成用户所在的行政区划、 单位信息，配置用户所属部门、职务、岗位、级别、组织机构代码 （身份证号码）、级别、秘密等级等用户信息。 单点登录系统：实现统一身份认证，对用户登录应用系统进行基