总体设计思路

　　根据需求和建设目标，我们将以身份认证系统、应用安全支撑平台为用户构建基于数字证书的统一身份认证、统一用户管理和应用安全支撑系统。

　　全局范围内，将建立统一的目录服务体系，以完善的数据复制策略实现对应用系统的全面支撑。

　　身份认证系统(PKI基础设施)

　　1、　证书签发系统(CA系统)

　　为所有的实体(设备、人员等)管理身份证书。

　　2、　用户管理系统(UMS系统)

　　在身份认证系统之上，以数字证书为用户标识实现统一的用户管理、组织机构管理，为相关业务系统提供全局统一的用户属性信息。

　　3、　密钥管理系统(KMC系统)

　　对用户的密钥进行管理和备份，能够通过严格的流程实现密钥的恢复。

　　4、　目录服务系统(LDAP系统)

　　实现证书的发布和CRL的发布，并能够实现和AD之间的用户同步。

　　应用安全支撑平台

　　以身份认证系统、用户管理系统为基础，采用应用安全支撑平台的各产品组件实现应用系统的安全接入，使得身份认证、用户管理、数字签名等技术能够方边的整合到原有的业务系统中。

　　在安全支撑平台的支持下，能够为用户构建操作系统层和应用层的统一身份认证和单点登录。

　　标准规范体系

　　根据实际业务特点，针对系统的运行维护、使用流程、应用接入标准等制订一系列标准和规范，以利于业务的有序开展。

　　如上所述，身份认证系统为内部人员、设备等应用安全域内的物理或逻辑实体提供了统一的数字实体标识，统一的用户管理系统则根据具体的组织机构、用户属性、用户级别等实际情况，对数字实体标识进行可定制的统一管理和授权，最后再通过应用安全支撑平台为业务系统提供服务，实现了独立于各应用系统的安全的、统一的身份认证和管理体系。

　　总体设计思路示意图如下所示：

　　总体物理部署设计

　　根据总体设计思路，基于性能和投资相平衡的原则，系统物理部署设计如下图所示：

　　如上图所示，根据系统的不同功能，从网络上以VLAN方式划分不同区域，包括核心区、服务区和应用区。

　　身份认证核心区包括CA、KMC、UMS等证书、用户管理系统，是整个系统的核心功能区。

　　身份认证服务区包括IAS和从目录服务器，实现对外的身份验证支持。

　　应用系统区中部署身份认证网关，使应用系统与外界实现安全隔离。

　　成　果

　　通过以上各个系统的建设，对于此省电力公司的所有人员和设备都有一个标准的身份表达，达到了“一人一证”的效果;所有的应用系统都在统一的标准指引下获得了高强度的身份认证功能;电力公司的管理人员只需集中的管理对应用户的证书信息和属性(权限)信息即可控制和管理对应人员在应用中的地位;所有的持证用户在所有的应用系统中只需要一次登录，无须在记忆太多的信息;体系符合电网总公司的整体规划能和电网总公司现在的系统进行互联。