Ahcvhisso統(tǒng)一身份認證及訪問控制解決方案

1、大風起令云飛揚生活需要游戲，但不能游戲人生；生活需要歌舞，但不需醉 生夢死；生活需要藝術，但不能投機取巧；生活需要勇氣，但不 能魯莽蠻干；生活需要重復，但不能重蹈覆轍。無名統(tǒng)一身份認證及訪問控制技術方案大風起今云飛揚1.方案概述1.1.項目背景隨著信息化的迅猛發(fā)展，政府、企業(yè)、機構等不斷增加基于Internet/Intranet 的業(yè)務系統(tǒng)，如各類網上申報系統(tǒng)，網上審批系統(tǒng)，OA系統(tǒng)等。系統(tǒng)的業(yè)務性質，一般都要求實現用戶管理、身份認證、授權等必不可少的安全措施；而新 系統(tǒng)的涌現，在與已有系統(tǒng)的集成或融合上，特別是針對相同的用戶群，會帶來以下的問題：1）如果每個系統(tǒng)都開發(fā)各自的身份認證系統(tǒng)將造成

2、資源的浪費，消耗開 發(fā)成本，并延緩開發(fā)進度；2）多個身份認證系統(tǒng)會增加整個系統(tǒng)的管理工作成本；3）用戶需要記憶多個帳戶和口令，使用極為不便，同時由于用戶口令遺 忘而導致的支持費用不斷上漲；4）無法實現統(tǒng)一認證和授權，多個身份認證系統(tǒng)使安全策略必須逐個在 不同的系統(tǒng)內進行設置，因而造成修改策略的進度可能跟不上策略的變化；5）無法統(tǒng)一分析用戶的應用行為；因此，對于有多個業(yè)務系統(tǒng)應用需求 的政府、企業(yè)或機構等，需要配置一套統(tǒng)一的身份認證系統(tǒng)，以實現集中統(tǒng)一的身份認證，并減少整個系統(tǒng)的成本。單點登錄系統(tǒng)的目的就是為這樣的應用系統(tǒng)提供集中統(tǒng)一的身份認證，實現“一點登錄、多點漫游、即插即用、應用無關 ”的

3、目標，方便用戶使用。1.2. 系統(tǒng)概述針對上述狀況，企業(yè)單位希望為用戶提供統(tǒng)一的信息資源認證訪問入口， 建立統(tǒng)一的、基于角色的和個性化的信息訪問、集成平臺的單點登錄平臺系統(tǒng)。 該系統(tǒng)具備如下特點： 單點登錄：用戶只需登錄一次，即可通過單點登錄系統(tǒng)（ SSO）訪問后 臺的多個應用系統(tǒng)，無需重新登錄后臺的各個應用系統(tǒng)。 后臺應用系統(tǒng)的用戶名 和口令可以各不相同，并且實現單點登錄時，后臺應用系統(tǒng)無需任何修改。 即插即用：通過簡單的配置，無須用戶修改任何現有B/S、C/S應用系統(tǒng)，即可使用。解決了當前其他 SSO解決方案實施困難的難題。 多樣的身份認證機制：同時支持基于PKI/CA數字證書和用戶名/口

4、令身 份認證方式，可單獨使用也可組合使用。 基于角色訪問控制：根據用戶的角色和 URL實現訪問控制功能。 基于Web界面管理：系統(tǒng)所有管理功能都通過 Web方式實現。網絡管 理人員和系統(tǒng)管理員可以通過瀏覽器在任何地方進行遠程訪問管理。止匕外，可以使用HTTPS安全地進行管理。 全面的日志審計：精確地記錄用戶的日志，可按日期、地址、用戶、資 源等信息對日志進行查詢、統(tǒng)計和分析。審計結果通過Web界面以圖表的形式展現給管理員。 雙機熱備：通過雙機熱備功能，提高系統(tǒng)的可用性，滿足企業(yè)級用戶的 需求。 集群：通過集群功能，為企業(yè)提供高效、可靠的 SSO服務?？蓪崿F分布 式部署，提供靈活的解決方案。 傳

5、輸加密：支持多種對稱和非對稱加密算法，保證用戶信息在傳輸過程 中不被竊取和篡改。 防火墻：基于狀態(tài)檢測技術，支持 NAT。主要用于加強SSO本身的安 全，也適用于網絡性能要求不高的場合，以減少投資。 分布式安裝：對物理上不在一個區(qū)域的網絡應用服務器可以進行分布式 部署SSO系統(tǒng)。 后臺用戶數據庫支持：LDAP、Oracle、DB2、Win2k ADS、Sybase等。 可以無縫集成現有的應用系統(tǒng)的統(tǒng)一用戶數據庫作為SSO應用軟件系統(tǒng)的用戶數據庫。 領先的C/S單點登錄解決方案：無需修改任何現有的應用系統(tǒng)服務端和 客戶端即可實現C/S單點登錄系統(tǒng)2.總體方案設計2.1. 業(yè)務功能架構通過實施單點

6、登錄功能，使用戶只需一次登錄就可以根據相關的規(guī)則去訪 問不同的應用系統(tǒng)，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性；在此基礎上進一步實現用戶在異構系統(tǒng)（不同平臺上建立不同應用服務器的業(yè)務系統(tǒng)），高速協(xié)同辦公和企業(yè)知識管理功能。單點登錄系統(tǒng)能夠與統(tǒng)一權限管理系統(tǒng)實現無縫結合，簽發(fā)合法用戶的權 限票據，從而能夠使合法用戶進入其權限范圍內的各應用系統(tǒng)，并完成符合其權限的操作。單點登錄系統(tǒng)同時可以采用基于數字證書的加密和數字簽名技術，對用戶 實行集中統(tǒng)一的管理和身份認證，并作為各應用系統(tǒng)的統(tǒng)一登錄入口。單點登錄 系統(tǒng)在增加系統(tǒng)安全性、降低管理成本方面有突出作用，不僅規(guī)避密碼安全風險， 還簡化用戶認證的相關應

7、用操作。專用客戶端安全瀏覽器智能卡管理服務安全審記服務CA安全認證中心基礎設施認證前置信息加密通道門戶應用應用系統(tǒng)數據庫All DB等Q數字證書網上受理服務1/系統(tǒng)結構圖說明：CA安全基礎設施可以采用自建方式，也可以選擇第三方CA。具體包含以下主要功能模塊：身份認證中心存儲企業(yè)用戶目錄，完成對用戶身份、角色等信息的統(tǒng)一管理；授權和訪問管理系統(tǒng)用戶的授權、角色分配；訪問策略的定制和管理；用戶授權信息的自動同步；用戶訪問的實時監(jiān)控、安全審計；身份認證服務身份認證前置為應用系統(tǒng)提供安全認證服務接口，中轉認證和訪問請求；身份認證服務完成對用戶身份的認證和角色的轉換；訪問控制服務應用系統(tǒng)插件從應用系統(tǒng)獲

8、取單點登錄所需的用戶信息；用戶單點登錄過程中，生成訪問業(yè)務系統(tǒng)的請求，對敏感信息加密 簽名；CA中心及數字證書網上受理系統(tǒng)用戶身份認證和單點登錄過程中所需證書的簽發(fā)；用戶身份認證憑證（USB智能密鑰）的制作；大風起令云飛揚2.2. 技術實現方案2.2.1. 技術原理基于數字證書的單點登錄技術，使各信息資源和本防護系統(tǒng)站成為一個有機的整體。通過在各信息資源端安裝訪問控制代理中間件， 和防護系統(tǒng)的認證服 務器通信，利用系統(tǒng)提供的安全保障和信息服務，共享安全優(yōu)勢。系統(tǒng)交互圖其原理如下：1）每個信息資源配置一個訪問代理，并為不同的代理分配不同的數字證書， 用來保證和系統(tǒng)服務之間的安全通信。2）用戶登錄

9、中心后，根據用戶提供的數字證書確認用戶的身份。3）訪問一個具體的信息資源時，系統(tǒng)服務用訪問代理對應的數字證書，把用 戶的身份信息機密后以數字信封的形式傳遞給相應的信息資源服務器。4）信息資源服務器在接受到數字信封后，通過訪問代理，進行解密驗證， 得到用戶身份。根據用戶身份，進行內部權限的認證。2.2.2. 統(tǒng)一身份認證. 用戶認證統(tǒng)一身份管理及訪問控制系統(tǒng)用戶數據獨立于各應用系統(tǒng)，對于數字證書 的用戶來說，用戶證書的序列號平臺中是唯一的，對于非證書用戶來說，平臺用 戶ID (passport )是唯一的，由其作為平臺用戶的統(tǒng)一標識。如下圖所示：(1)、在通過平臺統(tǒng)一認證后，可以從

10、登錄認證結果中獲取平臺用戶證書的 序列號或平臺用戶ID;(2)、再由其映射不同應用系統(tǒng)的用戶賬戶；(3)、最后用映射后的賬戶訪問相應的應用系統(tǒng)；當增加一個應用系統(tǒng)時，只需要增加平臺用戶證書序列號或平臺用戶 ID與 該應用系統(tǒng)賬戶的一個映射關系即可， 不會對其它應用系統(tǒng)產生任何影響， 從而 解決登錄認證時不同應用系統(tǒng)之間用戶交叉和用戶賬戶不同的問題。 單點登錄過 程均通過安全通道來保證數據傳輸的安全。2222系統(tǒng)接入應用系統(tǒng)接入平臺的架構如下圖所示:認i舊棺人服芬器系統(tǒng)提供兩種應用系統(tǒng)接入方式，以快速實現單點登錄:(1)反向代理(Reverse Proxy )方式應用系統(tǒng)無需開發(fā)、無需改動。對于

11、不能作改動或沒有原廠商配合的應用 系統(tǒng)，可以使用該方式接入統(tǒng)一用戶管理平臺。反向代理技術：實現方式為松耦合，采用反向代理模塊和單點登錄(SSO認證服務進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。Plug-in 方式SSO認Plug-in :實現方式為緊耦合，采用集成插件的方式與單點登錄( 證服務進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。緊耦合方式提供多種API,通過簡單調用即可實現單點登錄(SSO2.2.3. 統(tǒng)一權限管理統(tǒng)一身份管理及訪問控制系統(tǒng)的典型授權管理模型如下圖所示:用戶專碼M Intanet-EWREB. OutlookCA正書，UAP毛士宣色行,1W = W與三號三；六連亞冬需

12、境，.生匕方金，當盧業(yè)備受作日志，AD用戶授權的基礎是對用戶的統(tǒng)一管理， 對于在用戶信息庫中新注冊的用戶， 通過自動授權或手工授權方式，為用戶分配角色、對應用系統(tǒng)的訪問權限、應用 系統(tǒng)操作權限，完成對用戶的授權。如果用戶在用戶信息庫中被刪除，則其相應 的授權信息也將被刪除。完整的用戶授權流程如下：1、用戶信息統(tǒng)一管理，包括了用戶的注冊、用戶信息變更、用戶注銷；2、權限管理系統(tǒng)自動獲取新增（或注銷）用戶信息，并根據設置自動分配（或刪除）默認權限和用戶角色；3、用戶管理員可以基于角色調整用戶授權（適用于用戶權限批量處理）或 直接調整單個用戶的授權；4、授權信息記錄到用戶屬性證書或用戶信息庫（關系型

13、數據庫、LDAP目錄 服務）中；5、用戶登錄到應用系統(tǒng)，由身份認證系統(tǒng)檢驗用戶的權限信息并返回給應用系統(tǒng)，滿足應用系統(tǒng)的權限要求可以進行操作，否則拒絕操作；6、用戶的授權信息和操作信息均被記錄到日志中，可以形成完整的用戶授 權表、用戶訪問統(tǒng)計表。2.2.4. 安全通道提供的安全通道是利用數字簽名進行身份認證，采用數字信封進行信息加 密的基于SSL協(xié)議的安全通道產品，實現了服務器端和客戶端嵌入式的數據安 全隔離機制。 TCP/IP客戶端 * 服務器圖：使用前客TCP/IP客戶端戶安全插端件SSLSSL服務器TCP/IP1服)SSL力口密(普置務器(Proxy)圖：使用后安全通道的主要用途是在兩個通信應用程序之間提供私密性和可靠性，這個過程通過3個元素來完成：(1)握手協(xié)議：這個協(xié)議負責協(xié)商用于客戶機和服務器之間會話的加密參 數。當一個SSL客戶機和服務器第一次開始