總體設計思路

　　根據需求和建設目標，我們將以身份認證系統、應用安全支撐平臺為用戶構建基于數字證書的統一身份認證、統一用戶管理和應用安全支撐系統。

　　全局范圍內，將建立統一的目錄服務體系，以完善的數據復制策略實現對應用系統的全面支撐。

　　身份認證系統(PKI基礎設施)

　　1、　證書簽發系統(CA系統)

　　為所有的實體(設備、人員等)管理身份證書。

　　2、　用戶管理系統(UMS系統)

　　在身份認證系統之上，以數字證書為用戶標識實現統一的用戶管理、組織機構管理，為相關業務系統提供全局統一的用戶屬性信息。

　　3、　密鑰管理系統(KMC系統)

　　對用戶的密鑰進行管理和備份，能夠通過嚴格的流程實現密鑰的恢復。

　　4、　目錄服務系統(LDAP系統)

　　實現證書的發布和CRL的發布，并能夠實現和AD之間的用戶同步。

　　應用安全支撐平臺

　　以身份認證系統、用戶管理系統為基礎，采用應用安全支撐平臺的各產品組件實現應用系統的安全接入，使得身份認證、用戶管理、數字簽名等技術能夠方邊的整合到原有的業務系統中。

　　在安全支撐平臺的支持下，能夠為用戶構建操作系統層和應用層的統一身份認證和單點登錄。

　　標準規范體系

　　根據實際業務特點，針對系統的運行維護、使用流程、應用接入標準等制訂一系列標準和規范，以利于業務的有序開展。

　　如上所述，身份認證系統為內部人員、設備等應用安全域內的物理或邏輯實體提供了統一的數字實體標識，統一的用戶管理系統則根據具體的組織機構、用戶屬性、用戶級別等實際情況，對數字實體標識進行可定制的統一管理和授權，最后再通過應用安全支撐平臺為業務系統提供服務，實現了獨立于各應用系統的安全的、統一的身份認證和管理體系。

　　總體設計思路示意圖如下所示：

　　總體物理部署設計

　　根據總體設計思路，基于性能和投資相平衡的原則，系統物理部署設計如下圖所示：

　　如上圖所示，根據系統的不同功能，從網絡上以VLAN方式劃分不同區域，包括核心區、服務區和應用區。

　　身份認證核心區包括CA、KMC、UMS等證書、用戶管理系統，是整個系統的核心功能區。

　　身份認證服務區包括IAS和從目錄服務器，實現對外的身份驗證支持。

　　應用系統區中部署身份認證網關，使應用系統與外界實現安全隔離。

　　成　果

　　通過以上各個系統的建設，對于此省電力公司的所有人員和設備都有一個標準的身份表達，達到了“一人一證”的效果;所有的應用系統都在統一的標準指引下獲得了高強度的身份認證功能;電力公司的管理人員只需集中的管理對應用戶的證書信息和屬性(權限)信息即可控制和管理對應人員在應用中的地位;所有的持證用戶在所有的應用系統中只需要一次登錄，無須在記憶太多的信息;體系符合電網總公司的整體規劃能和電網總公司現在的系統進行互聯。