授權管理邊界線。

包頭密碼定春秋，

信息交換避風險。

國標密鑰明權限，

層次控制辯界面。

辯識判別鬼神仙，

流程信息保安全。

背景：建立企業信息網絡系統PKI-CA/PMI身份認證與授權管理系統是保證信息安全三大支柱之一，遼寧省電力有限公司與吉大正元公司合作，通過兩期PKI-CA/PMI身份認證與授權管理系統項目的建設，成為國家電網公司第一個實現PKI-CA/PMI認證及授權管理系統功能的省公司。

從2002 -2004年，遼寧省電力有限公司通過兩期PKI-CA/PMI身份認證與授權管理系統項目的建設，建立起完善的PKI-CA/PMI認證及授權管理體系,完成對原有的各種應用系統的安全改造，構建起整個遼寧省電力信息系統的安全認證保障體系，形成遼寧省電力公司整體的安全信息化應用平臺。

從技術體系確保了省公司應用系統中信息在產生、存儲、傳輸和處理過程中的保密、完整、抗抵賴和可用；為應用系統建立了統一的用戶管理體系、系統的資源提供了統一的授權管理服務；為企業內部實現辦公自動化奠定了安全保障；提高了應用系統的安全強度和應用水平。

圖 遼寧電力PKI/PMI應用安全支撐邏輯示圖

從物理環境建設方面，建設了遼寧電力PKI-CA/PMI認證中心機房，空調、機房的建設遵循國家B級要求建設機房的墻面、地面、照明、空調和新風、綜合布線等，為了保證密碼產品的安全性和防電磁泄露，按照國家密碼管理局的要求建設了屏蔽機房，并通過了GJBZ20219-94《軍用電磁屏蔽室通用技術要求和檢測方法》C級標準的驗收，機房還部署了門禁與監控系統，來保證人員出入和審計的安全性。門禁、完整的消防系統。采用數字監控系統，對所有通道和主要房間進行實時監控，確保無監控死角。

建立完善的遼寧電力PKI/PMI系統功能，即在省公司建立一個KM（密鑰管理）中心、CA（證書認證）中心、RA（注冊審核）中心和分發中心（信息發布）。 

在省公司建立一個主LDAP服務器和從LDAP服務器，存放全省所有的證書和廢除證書列表，實現證書狀態查詢。建立完善可靠的安全應用支撐體系，即向全省的電力應用系統提供密碼服務（加密、解密、簽名、驗簽，OCSP等服務）。在各地市供電公司建立證書注冊機構，提供證書申請、審核和查詢服務。

圖8-13 遼寧電力PKI/PMI系統功能結構圖

1、基于證書的應用系統改造已完成21個應用系統，發放數字證書共有400余張，在省公司和基層供電公司得到了應用，成為遼寧電力系統信息安全防線。

不同的開發工具： 開發語言:java、c/c++、visual basic等，開發工具工具有C++5.0/6.0、PowerBuilder6.0/9.0、Visual Basic6.0等。

不同的系統平臺： 操作系統:UNIX AIX、Solaris、Windows NT，應用服務器有WebLogic8.1、Iplanet6.5、Tomcat4.0，

不同的數據庫：數據庫:Oracle9i、Sybase11.5/12.5、Sybase SQL Anywhere 5.0需要提供相應的判斷機制和編碼轉換方法。

不同的開發商：大約將近16個開發商完成，采用的系統設計也略有不同，導致要分別提供認證接口。

不同的客戶端操作系統：  Windows 98、2000、ME、XP，再加上用戶計算機操作水平的不同。 

例如：原有應用多采用“用戶名＋口令”的機制進行身份認證，這種方式由于用戶名、口令均為明文傳遞到服務器，在服務器端進行驗證；用戶的信息存放在服務器端，只是服務器驗證用戶，用戶對服務器沒有進行有效地的驗證。極易造成用戶口令的泄漏，從而造成系統的安全漏洞。

 各種應用系統（包括B/S、C/S結構），無法有效保障其運行數據的安全，不能有效實現對相關操作的抗抵賴。以往的各種應用系統，由于各成一套體系，造成用戶在訪問不同應用系統時要記憶不同的用戶+口令，或出示不同的憑證（如磁卡），既不安全又不方便。

2、具體實施方法為：（包括B/S、C/S結構）為此而開發了相應的加密簽名控件加入到相應的應用系統中，將key連接到終端計算機上，輸入key的保護口令，這時應用系統就能夠根據員工所使用的數字證書對其進行身份驗證并判斷員工所擁有的權限，直接登錄到應用系統中進行相應的操作 

存有數字證書的智能密碼鑰匙儲存Notes用戶的用戶名稱和ID文件保護口令，實現用智能密碼鑰匙登錄Lotus Notes客戶端的功能，實現了基于數字證書的身份驗證。 OA系統。