产品概述
金达统一身份管理与授权管理设备Safe-CP v2.0,是山东金达科技有限公司开发的基于PKI和PMI的统一身份鉴别和授权管理系统。它可以为应用系统建立一个高安全强度,更易维护管理,扩展能力极强的身份鉴别和访问控制环境。作为强大的访问控制总体解决方案,它提供总体安全方面完整的策略约束,为应用提供一致和标准的权限服务,强有力地支持与应用的集成,使用户建立的访问控制体系能支持大量的用户和访问控制应用,并能够有效的控制管理的复杂性,提供标准化和可以随应用不断延伸的身份管理与授权管理平台。
Safe-CP v2.0主要应用在数字证书身份鉴别、权限管理,访问控制领域。同时也为进行资源管理的二次开发人员提供了一个方便,安全,高效的决策平台。
产品功能
金达统一身份管理与授权管理设备Safe-CP v2.0,由三部分组件构成:统一身份管理与授权管理设备、身份证书管理系统和授权管理系统。
其功能如下
1) 统一身份管理与授权管理设备
Ø WEB 服务器安全网关: 通过Safe-CP v2.0,可以为企业内所有需要在互联网安全访问的网站,提供当今最流行同时也是安全等级最高的身份认证和数据加密,通过数据加密,可有效保证所有业务数据传输的安全性和私密性,防止任何外来不法份子对于企业关键数据的窃取和破坏。
Ø 访问控制决策(ADF)功能: Safe-CP v2.0接受企业内各网站发来的访问控制决策请求,根据制定的策略进行决策,并把决策结果返回给应用。
2) 身份证书管理系统
身份证书管理系统由签发系统、受理系统、控制系统、证书发布系统、密钥管理中心、在线证书状态查询系统七个部分组成。
一套完整的 CA 中心系统无论规模大小,在逻辑上均由业务受理、业务处理、业务实现、内部管理等部分组成。但系统可根据不同的规模需求和物理设备灵活配置。在规模较小的系统中,网络中运行的功能实现软件可集中在少数几台设备上,降低成本;在规模较大的系统中,可分散在多台设备上,进而提高系统整体性能,保证系统的稳定性和可靠性。
Ø 密钥管理服务器:密钥管理服务器的主要功能为:生成密钥对;密钥托管;密钥恢复。
Ø 证书管理服务器:证书管理服务器的主要功能为:维护证书库;维护作废证书库;维护证书状态库等。
Ø 证书签发服务器: CA 中心签发证书系统是 CA 系统的核心,位于 CA 中心的最底层,包括证书签名服务器、证书签发工具两部分。其主要功能有:接收证书接口服务器发来的证书制作请求,根据要求制作证书;维护所有签发证书的记录;接收证书接口服务器发来的 CRL 制作请求,根据要求更新 CRL ;维护所有签发 CRL 的记录;保存所有操作日志。
Ø 证书及 CRL 发布:证书和 CRL 发布系统主要由 LDAP 服务器组成,其主要功能有:接收来自证书接口系统的证书更新数据;接收来自证书作废系统的 CRL 更新信息;发布证书及证书作废列表;接收对证书及 CRL 的查询请求。
Ø 证书在线查询服务器:在线证书状态查询系统主要有 OCSP 服务器组成,其主要功能有:接收来自证书接口系统的作废证书更新信息;接收来自证书接口系统的过期证书更新信息;按 OCSP 协议接收 Internet 客户的证书状态查询请求,并返回查询结果。
Ø 接口服务器:接口服务器的主要功能为:对于证书申请请求,通知证书签名服务器进行证书制作;对于证书作废请求,通知 OCSP 服务器及 CRL 服务器更新数据;反馈证书申请及作废操作结果;更新和维护证书和 CRL 发布服务器及其镜像站点上的数据;保存所有用户的用户信息、证书记录、 CRL 记录;保存所有操作的日志记录。
Ø 证书注册申请服务器:证书注册申请服务器的主要功能为:用户申请证书的注册服务;对各受理点 RA 服务器传来的需要进行二级审核的用户资料进行审核和批准
3) 授权管理系统
Ø 用户管理定义了用户的范围 ,说明应用中支持哪些用户。授权管理器为管理员提供了方便的用户管理方式;按照地理、组织结构以及用户类型进行分类管理。提供用户的添加,修改,删除功能;对用户的各种操作提供审计接口。
Ø 资源管理:资源管理定义受保护的资源的范围,它说明策略要保护的是哪些目标。授权管理器为管理员提供了方便的资源管理方式。提供资源的添加、删除和修改功能;对资源的管理采用集中方式,并按照资源的组织形式对资源进行管理;对资源的各种操作提供审计接口。 Ø 策略定制:策略包含着应用系统中的所有用户和资源信息以及用户和信息的组织管理方式;用户和资源之间的权限关系;保证安全的管理授权约束;保证系统安全的其他约束。授权管理器为管理员提供了方便的策略定制方式。提供策略的添加,删除和修改功能;生成包含策略的属性证书并将其保存到 LDAP目录服务中。
Ø 角色分配管理:角色分配管理负责为用户分配权限,和维护权限信息。授权管理器为管理员提供了方便的角色分配管理方式。提供用户角色的添加,删除和修改功能;生成包含角色的属性证书并将其保存到 LDAP目录服务中。
产品特点
1)基于 PKI、PMI标准
金达统一身份管理与授权管理设备Safe-CP v2.0,是一种遵循标准的身份鉴别和权限管理平台,它是为各种应用提供数字证书、身份鉴别和安全权限管理服务的一种综合全面的证书管理体系。同时,Safe-CP v2.0使应用能够方便地和一致地使用权限服务。
2)清晰的管理模式
统一的在总体策略约束下的权限管理能力和访问控制的约束能力,角色发放者和资源保护者更加清晰、专业的业务流程,更加明确的职责范围和更强的越权防范及定位能力。
3)安全性
与身份认证强度一致的授权和访问控制解决能力;总体策略保障下访问控制体系的整体安全性;有效防止授权中内、外部的越权和攻击;支持多种硬件加密设备及加密算法;支持基于数字证书的身份验证机制;完善的审计手段。
4)易用性
快速的应用部署能力;可以方便与应用系统集成的访问控制支持系统;直观易用的图形用户界面。各模块界面及操作方法统一,便于学习和使用。
5)灵活性
灵活的证书种类,支持自定义的属性类型;灵活的引入新的权限类型,角色,动作;不改变应用系统结构条件下,仅通过改变策略支持同类应用;采用分布式、可配置的模块化设计,确保系统的灵活性和适用性。它能使用户已建立的访问控制体系不断满足演化的应用权限需求,如支持新应用、支持新的权限、增加用户数量、增加用户类型、增加策略数量等。
6)可扩展性
作为访问控制体系的基础设施,系统可以随着应用的发展而发展,同时,能够满足不断呈现的各类需求,实现与各类应用系统的整合和扩展。采用模块化设计,可替换、可重组的系统构架,支持与其它应用系统互操作。
7)标准性
系统遵循当前的属性证书相关标准: [x509-2001]、[rfc3281]。
8)互操作性
在设计和开发过程中完全遵循国际开放标准,所选择的加密模块也符合开放标准。因此它能够很方便地与第三方产品进行集成、与其它系统互操作。
成功案例
1)山东省人口和计划生育委员会
2)天津人口和计划生育委员会
3)新疆乒团人口和计划生育委员会
4)济南市安全生产监督管理局
5)东营市安全生产监督管理局
