园区网身份认证平台的构建

身份认证就是对实体的身份进行鉴别并确认。身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段，它是应用系统安全的第一道关口，是所有安全的基础。身份认证技术随着网络系统和信息安全技术的发展而同步发展着。

1系统需求分析

基于以上原因，PKI/CA统一身份认证系统的建设以满足业务应用安全需求为出发点，实现如下的安全功能服务:

1.1安全认证

PKI/CA身份认证系统的建设将为园区网业务系统提供统一的安全认证服务。当用户访问业务系统时，首先需要进行基于数字证书的统一身份认证。只有通过身份认证后，用户才能根据自身权限，实现对业务系统的访问。

1.2访问控制

PKI/CA身份认证系统的建设将为园区网业务系统提供统一的访问控制服务。访问控制的目的是允许拥有权限的用户对应用的合法访问，拒绝没有访问权限的用户对应用的非法访问。

1.3单点登录

PKI/CA身份认证系统的建设将能实现园区网各业务应用系统的单点登录功能。通过安全认证中间件与数字证书的配合，用户在日常业务操作过程中，仅需登录任何一个安全业务应用，即可无需再次进行身份认证操作而直接访问其他安全业务应用。

2建设思路与设计

集团公司规划中的统一身份认证架构由目录服务、身份管理、统一认证与统一授权四个部分组成。

针对信息系统目前认证现状，规划建设两个平台，一是PKI基础设施平台，二是应用安全支撑平台。将参照集团公司统一身份认证体系的总体规划，对PKI基础设施平台以及应用安全支撑平台进行规划。将采用以下两个基础设施平台满足集团公司规划的四方面要求。

2.1密钥管理子系统

运行在一台服务器上，为证书管理中心提供密钥托管和加密密钥提供服务，采用加密机来作为密钥生成设备，并作为系统密钥的安全存储设备及实现系统问的通讯加密。同时在服务器上安装密钥管理系统数据库，作为集中的数据库系统，为密钥管理子系统、证书管理子系统、证书注册审核子系统提供统一的数据库服务，应定期进行数据备份。

2.2证书管理子系统

运行在一台服务器上，负责签发管理证书。采用加密机来作为系统密钥的安全存储设备及用于实现系统问的通讯加密，证书签发子系统采用密钥管理系统上的数据库进行数据存储(注:密钥管理子系统与证书管理子系统共用一台加密机，采用一个集线器组成一个直连的网络)。

2.3证书注册审核子系统

运行在一台服务器上，负责实现证书申请、审核、制证等证书业务服务。采用加密卡来作为系统密钥的安全存储设备及用于实现系统问的通讯加密。系统采用密钥管理系统上的数据库进行数据存储。

3实现功能

使用指纹USBKEY+数字证书登录计算机系统;没有指纹USBKEY和合法数字证书无法登录计算机。利用指纹USBKEY锁定计算机，拔出指纹USBKEY，计算机自动进入屏幕保护状态，用户使用计算机时，需要再次插入指纹USBKEY确认身份。

3.1数据安全存储

可在用户终端计算机硬盘上开辟一块安全存贮空问，用户存放到网盾保险箱中的信息被自动加密存贮，其他任何用户都无法获取这些文件的信息。一旦用户通过证书将保险箱打开后，其他操作与正常的文件分区操作完全相同。

网盾保险箱中保存的数据始终是处于保护状态的，使用能阅读二进制文件的工具软件打开，其中的数据也是毫无规律、没有意义的。即使把网盾保险箱所在的硬盘拆卸下来，安装到其他机器上去，也无法读出其中的内容。

在用户终端部署了网盾系统和指纹USBKEY后，能够实现操行系统层的强身份认证。在提高操作系统层安全防护力度的基础之上，又能够满足国家保密局BM B 17-2006对涉密信息系统身份鉴别方面所提出的要求。

通过部署SV S服务器可以实现数据在传输与存储过程中的完整性保护，以实现用户操作与个人身份之问的绑定，达到不可抵赖的效果，从而实现责任认定。同时，还可以满足BMB17标准涉密信息传输完整性中应对系统内传输的涉密信息进行完整性检测，及时发现涉密信息被篡改、删除、插入等情况，并生成审计日志的要求。满足BMB17标准增强要求中应对完整性被破坏的信息采取有效的信息补救措施的要求，满足BMB17标准涉密信息存储完整性中应对存储在涉密信息系统内的涉密数据进行完整性检测的要求。安全认证网关可以解决从客户端到应用服务器的身份认证、传输数据保护等安全问题。

3.2功能实现

主要提供如下服务功能：

1)身份鉴别。

通过数字证书进行用户身份的鉴别，对用户持有的数字身份进行完整认证，包括验证数字证书的信任域、有效期、证书状态等。认证方式支持两种认证方式，一种是离线认证:支持标准LDAP协议，定时下载证书撤销列表到系统内，用户发起接入请求时，在系统内实现证书状态验证。另一种是在线认证:支持标准OCSP协议，实时验证证书状态，当用户发起接入请求时，系统向OCSP服务器发起请求，并返回证书状态。

2)双向身份验证。

双向的身份认证功能，即不但客户端验证服务器的证书，同时服务器也验证客户端的证书，从而使系统的认证机制更加完善和安全。

3)标准证书格式。

系统自身支持PKCS#12标准的证书和私钥;客户端支持各种具备标准CSP的智能卡，从而保障了用户使用的简单和高安全性。

4)支持证书链。

支持多级CA形成的证书链对证书进行验证。

5)多个应用认证。

可创建多个应用认证代理服务，保护不同的应用服务;同时，系统可以拥有多个站点证书，不同的服务可以拥有不同的站点证书。

4结论

总之，园区网统一身份平台建设和应用工程是一个建立在与互联网物理隔离、跨地域分布的涉密军工单位内部网络上，采用国际上通用的信息安全技术，为园区网的涉密信息系统建立一个具有国际先进水平、安全可靠、功能完善、灵活兼高性能的认证中心。达到增强园区网业务应用的安全性以满足国家相关安全保密要求的目的。