教育行业统一身份认证管理案例
随着高校校园网建设的深入,众多高校都面临着应用系统整合的压力,纷杂的应用系统正困扰着网络运营部门,如何实现多系统集中调配,摆脱“信息孤岛”束缚,提升系统可操作性,统一身份认证系统不可获缺。在校园网建设初期,统一身份认证系统并未被排入日程,各系统间相互协作的需求并不明确。但近来,天威诚信数字认证中心已先后承接了多个高校身份认证系统的项目,PKI/CA技术正逐渐得到高校的认可。
天威诚信在项目实施前曾对多个高校信息系统进行了深入的分析,这些系统间无外乎都存在以下的问题:
各部门独自维护各自用户信息,管理员面临着大量数据录入,繁琐的用户口令降低了系统的效率,带来了大量数据的冗余。
传统的口令与密码方式,存在着较高的安全风险
各系统以本部门为中心,制定相应的职责权限,但同时也造成了系统权限的交织。
各系统间信息无法共享,跨部门、跨系统的查询、分析无法实现,信息孤岛逐渐显现
以某国内知名高校为例,其在校教职员工3000余人,全日制学生18000余人,并且还有众多网络与继续教育各类学生,这些人员流动性很大,如何快速安全的帮助学生完成注册登记、学籍管理,协助OA系统完成教职员工的权限控制,整个信息系统面临着巨大压力。为此,天威诚诚信为该校建设了一整套CA认证系统,配合以自主开发的单点登陆系统(由认证模块、授权模块、安全审计模块和单点登录模块组成),并提供了相应的数字证书应用API或SDK,包括Java和COM接口,确保校园网各应用系统的安全集成。该系统建设完成后,校园网内部系统不但实现了身份认证、加解密和数字签名等安全服务功能,并且校园网中数字证书持有的个体结合单点登陆系统,可以完成单次登陆,即可畅游于各个应用平台。
整个系统结构布置如下图所示:
公共区:在认证中心控制范围之外的区域
操作区:操作区是认证中心为客户和最终用户提供服务的地方。在操作区主要部署了目录服务器和各类终端。操作区通过部署防火墙来进行保护,通过对它们的端口进行配置,只能允许进行安全策略授权的通信。
安全区:CA服务器和签名私钥的CA加密设备都存储于安全区中,只有安全协议端口对外开放。
为了让CA系统良好运营,天威诚信面向该校系统管理人员、运营人员提供了全面的PKI/CA技术和单点登录培训,主要包括证书应用接口的开发、CA系统的运行管理、CA系统的故障处理等,确保系统良好运行。
结束语
天威诚信数字认证中心是首批信产部资质的电子认证服务运营商,提供全面电子认证服务服务,可以保障客户Web站点、OA、Email、ERP、CRM、资金管理、网上支付、网上交易、网上报税、网上社保等企业内部应用、电子商务和电子政务的安全。上述案例为天威诚信提供的iTrusCA 2.0系统,该系统参照国际领先的PKI/CA系统的设计思想,继承了国际领先的PKI/CA系统的成熟性、先进性、安全可靠及可扩展性,完全自主开发的、享有完全自主知识产权的数字证书管理系统。可以完全满足该校的证书发放量的要求,系统不但可以签发个人证书、单位证书,未来还可以签发邮件证书等多种类型的数字证书,整个CA系统具备着良好的扩展性。
本文来源:https://www.2haoxitong.net/k/doc/da23cb29f424ccbff121dd36a32d7375a417c69a.html
文档为doc格式