統(tǒng)一用戶管理的基本原理及其詳細介紹-

1、統(tǒng)一用戶管理的基本原理及其詳細介紹一般來說,每個應用系統(tǒng)都擁有獨立的用戶信息管理功能,用戶信息的格式、命名與存儲方式也多種多樣。當用戶需要使用多個應用系統(tǒng)時就會帶來用戶信息同步問題。用戶信息同步會增加系統(tǒng)的復雜性,增加管理的成本。例如,用戶X需要同時使用A系統(tǒng)與B系統(tǒng),就必須在A系統(tǒng)與B系統(tǒng)中都創(chuàng)建用戶X,這樣在A、B任一系統(tǒng)中用戶X的信息更改后就必須同步至另一系統(tǒng)。如果用戶X需要同時使用10個應用系統(tǒng),用戶信息在任何一個系統(tǒng)中做出更改后就必須同步至其他9個系統(tǒng)。用戶同步時如果系統(tǒng)出現意外,還要保證數據的完整性,因而同步用戶的程序可能會非常復雜。解決用戶同步問題的根本辦法是建立統(tǒng)一用戶管理系統(tǒng)

2、(UUMS。UUMS統(tǒng)一存儲所有應用系統(tǒng)的用戶信息,應用系統(tǒng)對用戶的相關操作全部通過UUMS完成,而授權等操作則由各應用系統(tǒng)完成,即統(tǒng)一存儲、分布授權。UUMS應具備以下基本功能:1.用戶信息規(guī)范命名、統(tǒng)一存儲,用戶ID全局惟一。用戶ID猶如身份證,區(qū)分和標識了不同的個體。2.UUMS向各應用系統(tǒng)提供用戶屬性列表,如姓名、電話、地址、郵件等屬性,各應用系統(tǒng)可以選擇本系統(tǒng)所需要的部分或全部屬性。3.應用系統(tǒng)對用戶基本信息的增加、修改、刪除和查詢等請求由UUMS處理。4.應用系統(tǒng)保留用戶管理功能,如用戶分組、用戶授權等功能。5.UUMS應具有完善的日志功能,詳細記錄各應用系統(tǒng)對UUMS的操作。統(tǒng)一

3、用戶認證是以UUMS為基礎,對所有應用系統(tǒng)提供統(tǒng)一的認證方式和認證策略,以識別用戶身份的合法性。統(tǒng)一用戶認證應支持以下幾種認證方式:1. 匿名認證方式: 用戶不需要任何認證,可以匿名的方式登錄系統(tǒng)。2. 用戶名/密碼認證: 這是最基本的認證方式。3. PKI/CA數字證書認證: 通過數字證書的方式認證用戶的身份。4. IP地址認證: 用戶只能從指定的IP地址或者IP地址段訪問系統(tǒng)。5. 時間段認證: 用戶只能在某個指定的時間段訪問系統(tǒng)。6. 訪問次數認證: 累計用戶的訪問次數,使用戶的訪問次數在一定的數值范圍之內。以上認證方式應采用模塊化設計,管理員可靈活地進行裝載和卸載,同時還可按照用戶的要

4、求方便地擴展新的認證模塊。認證策略是指認證方式通過與、或、非等邏輯關系組合后的認證方式。管理員可以根據認證策略對認證方式進行增、刪或組合,以滿足各種認證的要求。比如,某集團用戶多人共用一個賬戶,用戶通過用戶名密碼訪問系統(tǒng),訪問必須限制在某個IP地址段上。該認證策略可表示為:用戶名/密碼“與”IP地址認證。PKI/CA數字證書認證雖不常用,但卻很有用,通常應用在安全級別要求較高的環(huán)境中。PKI(Public Key Infrastructure即公鑰基礎設施是利用公鑰理論和數字證書來確保系統(tǒng)信息安全的一種體系。在公鑰體制中,密鑰成對生成,每對密鑰由一個公鑰和一個私鑰組成,公鑰公布于眾,私鑰為所用

5、者私有。發(fā)送者利用接收者的公鑰發(fā)送信息,稱為數字加密,接收者利用自己的私鑰解密;發(fā)送者利用自己的私鑰發(fā)送信息,稱為數字簽名,接收者利用發(fā)送者的公鑰解密。PKI通過使用數字加密和數字簽名技術,保證了數據在傳輸過程中的機密性(不被非法授權者偷看、完整性(不能被非法篡改和有效性(數據不能被簽發(fā)者否認。數字證書有時被稱為數字身份證,數字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構數字簽名的數據。身份驗證機構的數字簽名可以確保證書信息的真實性。完整的PKI系統(tǒng)應具有權威認證機構CA(CertificateAuthority、證書注冊系統(tǒng)RA(RegistrationAuthority、密鑰管

6、理中心KMC(KeyManageCenter、證書發(fā)布查詢系統(tǒng)和備份恢復系統(tǒng)。CA是PKI的核心,負責所有數字證書的簽發(fā)和注銷;RA接受用戶的證書申請或證書注銷、恢復等申請,并對其進行審核; KMC負責加密密鑰的產生、存貯、管理、備份以及恢復;證書發(fā)布查詢系統(tǒng)通常采用OCSP(OnlineCertificateStatusProtocol,在線證書狀態(tài)協(xié)議協(xié)議提供查詢用戶證書的服務,用來驗證用戶簽名的合法性;備份恢復系統(tǒng)負責數字證書、密鑰和系統(tǒng)數據的備份與恢復。單點登錄單點登錄(SSO,SingleSign-on是一種方便用戶訪問多個系統(tǒng)的技術,用戶只需在登錄時進行一次注冊,就可以在多個系統(tǒng)間

7、自由穿梭,不必重復輸入用戶名和密碼來確定身份。單點登錄的實質就是安全上下文(SecurityContext或憑證(Credential在多個應用系統(tǒng)之間的傳遞或共享。當用戶登錄系統(tǒng)時,客戶端軟件根據用戶的憑證(例如用戶名和密碼為用戶建立一個安全上下文,安全上下文包含用于驗證用戶的安全信息,系統(tǒng)用這個安全上下文和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權限。遺憾的是J2EE規(guī)范并沒有規(guī)定安全上下文的格式,因此不能在不同廠商的J2EE產品之間傳遞安全上下文。目前業(yè)界已有很多產品支持SSO,如IBM的WebSphere和BEA的WebLogic,但各家SSO 產品的實現方式也不盡相同。WebSphe

8、re通過Cookie記錄認證信息,WebLogic則是通過Session共享認證信息。Cookie是一種客戶端機制,它存儲的內容主要包括:名字、值、過期時間、路徑和域,路徑與域合在一起就構成了Cookie的作用范圍,因此用Cookie方式可實現SSO,但域名必須相同;Session是一種服務器端機制,當客戶端訪問服務器時,服務器為客戶端創(chuàng)建一個惟一的SessionID,以使在整個交互過程中始終保持狀態(tài),而交互的信息則可由應用自行指定,因此用Session方式實現SSO,不能在多個瀏覽器之間實現單點登錄,但卻可以跨域。實現SSO有無標準可尋?如何使業(yè)界產品之間、產品內部之間信息交互更標準、更安全

9、呢?基于此目的,OASIS(結構化信息標準促進組織提出了SAML解決方案(有關SAML的知識參看鏈接。用戶認證中心實際上就是將以上所有功能、所有概念形成一個整體,為企業(yè)提供一套完整的用戶認證和單點登錄解決方案。一個完整的用戶認證中心應具備以下功能:1. 統(tǒng)一用戶管理。實現用戶信息的集中管理,并提供標準接口。2. 統(tǒng)一認證。用戶認證是集中統(tǒng)一的,支持PKI、用戶名/密碼、B/S和C/S等多種身份認證方式3. 單點登錄。支持不同域內多個應用系統(tǒng)間的單點登錄。用戶認證中心提供了統(tǒng)一認證的功能,那么用戶認證中心如何提供統(tǒng)一授權的功能呢?這就是授權管理中,其中應用最多的就是PMI。PMI(Privile

10、geManagementInfrastructure,授權管理基礎設施的目標是向用戶和應用程序提供授權管理服務,提供用戶身份到應用授權的映射功能,提供與實際應用處理模式相對應的、與具體應用系統(tǒng)開發(fā)和管理無關的授權和訪問控制機制,簡化具體應用系統(tǒng)的開發(fā)與維護。PMI是屬性證書(AttributeCertificate、屬性權威(AttributeAuthority、屬性證書庫等部件的集合體,用來實現權限和證書的產生、管理、存儲、分發(fā)和撤銷等功能。PMI以資源管理為核心,對資源的訪問控制權統(tǒng)一交由授權機構統(tǒng)一處理,即由資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比,兩者主要區(qū)別在于: PKI

11、證明用戶是誰,而PMI證明這個用戶有什么權限,能干什么,而且PMI可以利用PKI為其提供身份認證。單點登錄通用設計模型統(tǒng)一用戶認證和單點登錄通用設計模型,它由以下產品組成:1. PKI體系: 包括CA服務器、RA服務器、KMC和OCSP服務器。2. AA管理服務器: 即認證(Authentication和授權(Authorization服務器,它為系統(tǒng)管理員提供用戶信息、認證和授權的管理。3. UUMS模塊: 為各應用系統(tǒng)提供UUMS接口。4. SSO: 包括SSO代理和SSO服務器。SSO代理部署在各應用系統(tǒng)的服務器端,負責截獲客戶端的SSO請求,并轉發(fā)給SSO服務器,如果轉發(fā)的是OCSP請

12、求,則SSO服務器將其轉發(fā)給OCSP服務器。在C/S方式中,SSO代理通常部署在客戶端。5. PMI: 包括PMI代理和PMI服務器。PMI代理部署在各應用系統(tǒng)的服務器端,負責截獲客戶端的PMI請求,并轉發(fā)給PMI服務器。6. LDAP服務器: 統(tǒng)一存儲用戶信息、證書和授權信息。為判斷用戶是否已經登錄系統(tǒng),SSO服務器需要存儲一張用戶會話(Session表,以記錄用戶登錄和登出的時間,SSO服務器通過檢索會話表就能夠知道用戶的登錄情況,該表通常存儲在數據庫中。AA系統(tǒng)提供了對會話的記錄、監(jiān)控和撤消等管理功能。為保證穩(wěn)定與高效,SSO、PMI和OCSP可部署兩套或多套應用,同時提供服務。鏈接SA

13、MLSAML(Security AssertionMarkupLanguage,安全性斷言標記語言是一種基于XML的框架,主要用于在各安全系統(tǒng)之間交換認證、授權和屬性信息,它的主要目標之一就是SSO。在SAML框架下,無論用戶使用哪種信任機制,只要滿足SAML的接口、信息交互定義和流程規(guī)范,相互之間都可以無縫集成。SAML規(guī)范的完整框架及有關信息交互格式與協(xié)議使得現有的各種身份鑒別機制(PKI、Kerberos和口令、各種授權機制(基于屬性證書的PMI、ACL、Kerberos的訪問控制通過使用統(tǒng)一接口實現跨信任域的互操作,便于分布式應用系統(tǒng)的信任和授權的統(tǒng)一管理。SAML并不是一項新技術。確切地說,它是一種語言,是一種XML描述,目的是允許不同安全系統(tǒng)產生的信息進行交換。SAML規(guī)范由以下部分組成:1. 斷言與協(xié)議: 定義XML格式的斷言的語法語義以及請求和響應協(xié)議。SMAL主要有三種斷言: 身份認證斷言、屬性斷言和訪問授權斷