一、应用证书技术的引入
“一证通”采用独立的应用证书来管理用户属性信息,应用需要的用户属性信息通过应用证书保存并发布,用户属性的验证不再由应用完成而是由认证网关通过验证用户的应用证书完成。通过颁发应用证书可以实现对用户使用不同应用的控制,它是对用户身份安全认证的一种补充,它将用户身份认证和对应用加载的灵活控制有机地结合在一起,在所有应用中实现了使用同一张证书完成对用户身份的安全认证——“一证通”。 应用证书采用X509 V4标准,证书中不包含公钥,其信任标识是信任机构对其的签名。应用证书中保存了用户在某一应用或某一组应用中所需要的具体属性信息,与应用相对应,每一个用户对应某一(组)应用拥有一张应用证书。
二、“一证通”应用证书颁发体系
应用证书由专门的信任机构申请、审核、签发、保存和管理,在新疆,选择新疆CA作为颁发应用证书的权威机构。
三、“一证通”应用接入的原理
1、用户身份标识
一个用户拥有一个身份证书和多张应用证书,应用证书通过代表用户身份的唯一ID与用户身份证书对应,身份证书标识了用户的身份,应用证书标识了用户所能访问的应用。每一张应用证书表示某一个用户可以访问某一个或一组应用。
2、安全认证方式
(1)用户在登录应用之前,首先必须申请证书,包括身份证书和该应用的应用证书,应用证书标识了用户是否能使用某一应用。
(2)一个用户可能存在多个应用证书;应用证书与应用相对应,用户可能拥有多个应用的应用证书,这些应用可能分别属于不同的职能部门,但用户只拥有一个身份证书。
(3)用户使用证书登录应用时,应用系统首先通过认证系统对用户的身份证书进行合法性验证,验证通过后,认证系统根据证书ID号从LDAP上查询用户应用证书,并进行验证,验证通过后,允许用户登录应用。
(4)应用证书中包含了用户在应用中所需要的具体属性信息,与应用相对应。
(5)通过代表用户身份的唯一ID作为应用证书与用户数字证书对应的标识。
(6)对于建有RA系统的应用机构可签发该应用机构的应用证书;对于未建RA的机构,可以建立单独的ARA应用证书申请审核机构签发应用证书,也可以由CA中心委托进行。
(7)用户应用证书和应用证书黑名单ACRL发布在LDAP系统上。
