統(tǒng)一身份認證設(shè)計方案(最終版)

1、文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯,歡迎下載支持.i文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.統(tǒng)一身份認證設(shè)計方案日期：2016年2月目 錄 TOC o 1-5 h z 系統(tǒng)總體設(shè)計5總體設(shè)計思想5.L2平臺總體介紹61.3平臺總體邏輯結(jié)構(gòu)74平臺總體部署8平臺功能說明8集中用戶管理9131管理服務(wù)對象10132用戶身份信息設(shè)計11用戶類型11身份信息模型11身份信息的存儲12133用戶生命周期管理12134用戶身份信息的維護13集中證書管理14集中證書管理功能特點14集中授權(quán)管理16151集中授權(quán)應(yīng)用背景16152集中授權(quán)授理對象17153集中授權(quán)的工作原理18154

2、集中授權(quán)模式19細粒度授權(quán)19角色的繼承201.6集中認證管理 21161集中認證管理特點221.6.2身份認證方式22用戶名/口令認證23數(shù)字證書認證23Windows域認證24通行碼認證24認證方式與安全等級24163身份認證相關(guān)協(xié)議25SSL協(xié)議25Windows 域25SAML協(xié)議26164集中認證系統(tǒng)主要功能281.6.5單點登錄29單點登錄技術(shù)29單點登錄實現(xiàn)流程311.7集中審計管理35系統(tǒng)總體設(shè)計為了加強對業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)的安全管控，提高信息化安全管理水 平，我們設(shè)計了基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認證服務(wù)平臺。總體設(shè)計思想為實現(xiàn)構(gòu)建針對人員帳戶管理層面和應(yīng)用層面的

3、、全面完善的安全管 控需要，我們將按照如下設(shè)計思想為設(shè)計并實施統(tǒng)一身份認證服務(wù)平臺解 決方案：在內(nèi)部建設(shè)基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認證服務(wù)平臺， 通過集中證書管理、集中賬戶管理、集中授權(quán)管理、集中認證管理和集中 審計管理等應(yīng)用模塊實現(xiàn)所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù) 據(jù)共享和全面集中管控的核心目標。提供現(xiàn)有統(tǒng)一門戶系統(tǒng)，通過集成單點登錄模塊和調(diào)用統(tǒng)一身份認證 平臺服務(wù)，實現(xiàn)針對不同的用戶登錄，可以展示不同的內(nèi)容?？梢愿鶕?jù)用 戶的關(guān)注點不同來為用戶提供定制桌面的功能。建立統(tǒng)一身份認證服務(wù)平臺，通過使用唯一身份標識的數(shù)字證書即可 登錄所有應(yīng)用系統(tǒng)，具有良好的擴展性和可集成性

4、。提供基于LDAP目錄服務(wù)的統(tǒng)一賬戶管理平臺，通過LDAP中主、從 賬戶的映射關(guān)系，進行應(yīng)用系統(tǒng)級的訪問控制和用戶生命周期維護管理功 能。用戶證書保存在USB KEY中，保證證書和私鑰的安全，并滿足移動 辦公的安全需求。平臺總體介紹以PKI/CA技術(shù)為核心，結(jié)合國內(nèi)外先進的產(chǎn)品架構(gòu)設(shè)計，實現(xiàn)集中 的用戶管理、證書管理、認證管理、授權(quán)管理和審計等功能，為多業(yè)務(wù)系 統(tǒng)提供用戶身份、系統(tǒng)資源、權(quán)限策略、審計日志等統(tǒng)一、安全、有效的 配置和服務(wù)。如圖所示，統(tǒng)一信任管理平臺各組件之間是松耦合關(guān)系，相互支撐又 相互獨立，具體功能如下：集中用戶管理系統(tǒng)：完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期 的集中統(tǒng)一

5、管理，并建立與各應(yīng)用系統(tǒng)的同步機制，簡化用戶及其賬號的 管理復雜度，降低系統(tǒng)管理的安全風險。集中證書管理系統(tǒng)：集成證書注冊服務(wù)(RA)和電子密鑰(USB-Key) 管理功能，實現(xiàn)用戶證書申請、審批、核發(fā)、更新、吊銷等生命周期管理 功能，支持第三方電子認證服務(wù)。集中認證管理系統(tǒng)：實現(xiàn)多業(yè)務(wù)系統(tǒng)的統(tǒng)一認證，支持數(shù)字證書、動 態(tài)口令、靜態(tài)口令等多種認證方式；為企業(yè)提供單點登錄服務(wù)，用戶只需 要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問控制技 術(shù)，實現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈活的訪問控制和授權(quán)管理功能，提高 管理效率。集中審計管理系統(tǒng)：提供全方位的

6、用戶管理、證書管理、認證管理和 授權(quán)管理的審計信息，支持應(yīng)用系統(tǒng)、用戶登錄、管理操作等審計管理。平臺總體邏輯結(jié)構(gòu)總體邏輯結(jié)構(gòu)圖如下所示：如圖所示，平臺以PKI基礎(chǔ)服務(wù)、力口解密服務(wù)、SAML協(xié)議等國際成 熟技術(shù)為基礎(chǔ)，架構(gòu)統(tǒng)一信任管理平臺的管理系統(tǒng)，通過WEB過濾器、安 全代理服務(wù)器等技術(shù)簡單、快捷實現(xiàn)各應(yīng)用系統(tǒng)集成，在保證系統(tǒng)安全性 的前提下，更好的實現(xiàn)業(yè)務(wù)系統(tǒng)整合和內(nèi)容整合。平臺總體部署集中部署方式：所有模塊部署在同一臺服務(wù)器上，為企業(yè)提供統(tǒng)一信 任管理服務(wù)。部署方式主要是采用專有定制硬件服務(wù)設(shè)備，將集中帳戶管理、集中 授權(quán)管理、集中認證管理和集中審計管理等功能服務(wù)模塊統(tǒng)一部署和安裝 在該

7、硬件設(shè)備當中，通過連接外部服務(wù)區(qū)域當中的從LDAP目錄服務(wù)（現(xiàn) 有AD目錄服務(wù)）來完成對用戶帳戶的操作和管理。平臺功能說明平臺主要提供集中用戶管理、集中證書管理、集中認證管理、集中授 權(quán)管理和集中審計等功能，總體功能模塊如下圖所示：總體功能模塊圖集中用戶管理隨著企業(yè)整體信息化的發(fā)展，大致都經(jīng)歷了網(wǎng)絡(luò)基礎(chǔ)建設(shè)階段、應(yīng)用 系統(tǒng)建設(shè)階段，目前正面臨著實現(xiàn)納入到信息化環(huán)境中人員的統(tǒng)一管理和 安全控制階段。隨著企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不 斷擴展，在信息化促進業(yè)務(wù)加速發(fā)展的同時，企業(yè)信息化規(guī)模也在迅速擴 大以滿足業(yè)務(wù)的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映 的事件是無論是網(wǎng)

8、絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè) 內(nèi)外的人員，每一為人員承擔著使用、管理、授權(quán)、應(yīng)用操作等角色。因 此對于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中 之重，只有加強人員的可信身份管理，才能做到大門的安全防護，才能為 企業(yè)的管理、業(yè)務(wù)發(fā)展構(gòu)建可信的信息化環(huán)境，特別是采用數(shù)字證書認證 和應(yīng)用后，完全可以做到全過程可信身份的管理，確保每個操作都是可信 得、可信賴的。集中用戶管理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命 周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機制，簡化用戶及其賬 號的管理復雜度，降低系統(tǒng)用戶管理的安全風險。集中用戶管理功能示意圖管理服務(wù)對象

9、集中用戶管理主要面向企業(yè)內(nèi)外部的人、資源等進行管理和提供服務(wù), 具體對象可以分為以下幾類：最終用戶自然人，包括自然人身份和相關(guān)信息主賬號與自然人唯一對應(yīng)的身份標識，一個主賬號只能與一個自然人對應(yīng)，而一個自然人可能存在多個主賬號從賬號與具體角色對應(yīng)，每一個應(yīng)用系統(tǒng)內(nèi)部設(shè)置的用戶賬號，在統(tǒng) 一信任管理平臺中每個主賬號可以擁有多個從帳號，也就是多 種身份角色（即一個日然人在企業(yè)內(nèi)部具備多套應(yīng)用系統(tǒng)賬號）資源用戶使用或管理的對象，主要是指應(yīng)用系統(tǒng)及應(yīng)用系統(tǒng)下具體功能具體服務(wù)對象之間的映射對應(yīng)關(guān)系如下圖所示:用戶賬號與資源映射圖用戶身份信息設(shè)計用戶類型用戶是訪問資源的主體，人是最主要的用戶類型：多數(shù)的業(yè)

10、務(wù)由人發(fā) 起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人控制。人又可再分為：員工、 外部用戶。員工即企業(yè)的職員，是平臺主要的關(guān)注的用戶群體；外部用戶 是指以獨立身分訪問企業(yè)應(yīng)用系統(tǒng)的一般個人客戶與企業(yè)客戶。身份信息模型對各類用戶身份建立統(tǒng)一的用戶身份標識。用戶身份標識是統(tǒng)一用戶 管理系統(tǒng)內(nèi)部使用的標識，用于識別所有用戶的身份信息。用戶標識不同 于員工號或身份證號，需要建立相應(yīng)的編碼規(guī)范。為了保證用戶身份的真 實、有效性，可以通過數(shù)字證書認證的方式進行身份鑒別并與用戶身份標 識進行唯一對應(yīng)。用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如HR 中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的

11、中信息的對照 關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢。基于分權(quán)、分級的管理需要，用戶身份信息需要將用戶信息按照所屬 機構(gòu)和崗位級別進行分類，便于劃分安全管理域，將用戶信息集中存儲在 總部，以及管理域的劃分。用戶認證信息管理用戶的認證方式及各種認證方式對應(yīng)的認證信息， 如用戶名/口令，數(shù)字證書等。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號和相 關(guān)口令，為了保證在平臺實施后可以使原有系統(tǒng)仍可以按照原有賬號方式操作，需要建立用戶標識與應(yīng)用系統(tǒng)中賬號的對照關(guān)系。授權(quán)信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色 和其它屬性。身份信息的存儲為了方便對人員身份的管理，集中用戶系統(tǒng)

12、采用樹形架構(gòu)來進行人員 組織架構(gòu)的維護，存儲方式主要采用LDAP。可以通過企業(yè)內(nèi)部已有的人 員信息管理系統(tǒng)當中根據(jù)策略進行讀寫操作，目前主要支持以下數(shù)據(jù)源類 型：Windows Active Directory (AD)OpenLdapIBM Directory Server (IDS)用戶生命周期管理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份 標識(數(shù)字證書的頒發(fā))、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等 流程的自動化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所 示：由于要賦予用戶可信的身份標識，所以需要通過數(shù)字證書認證的方式 來實現(xiàn)，在用戶生命周期管理過程中圍

13、繞用戶包含了基于帳戶的生命周期 和數(shù)字證書的生命周期管理的內(nèi)容。數(shù)字證書主要是與用戶的主賬戶標識 進行唯一綁定，在用戶帳戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生 任何改變，唯有在用戶帳戶進行注銷和歸檔過程中，與其相匹配的數(shù)字證 書也同樣需要進行吊銷和歸檔操作。用戶身份信息的維護目前集中用戶管理系統(tǒng)中對用戶身份信息的維護主要以企業(yè)已存在的 AD域和LDAP作為基礎(chǔ)數(shù)據(jù)源，集中用戶管理系統(tǒng)作為用戶信息維護的 主要入口，可以由人力資源部門的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)建、修改、 刪除、編輯、查詢、以及數(shù)字證書的發(fā)放。AD域中的用戶信息變動通過適 配器被平臺感知，并自動同步到平臺用戶身份信息存儲（目錄服

14、務(wù)器）中; 平臺的用戶管理員也可以直接修改平臺中集中存儲的用戶身份信息，再由 平臺同步到各個應(yīng)用系統(tǒng)中。集中證書管理集中證書管理功能主要是針對用戶的CA系統(tǒng)，包括：1）證書申請2）證書制作3）證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸 檔）4）證書有效性檢查集中證書管理功能集支持多種CA建設(shè)模式（自建和第三方服務(wù)）、多 RA集中管理、擴展性強等特性，從技術(shù)上及管理上以靈活的實現(xiàn)模式滿 足用戶對證書集中管理的迫切需求，解決管理員對多平臺進行操作及維護 困難的問題。集中證書管理功能特點集中證書管理功能的實現(xiàn)就是通過集成證書注冊服務(wù)（RA）和電子密 鑰（USB-Key）管理功能。1）

15、集中制證集中制證主要結(jié)合本地數(shù)據(jù)源中的數(shù)據(jù)為用戶進行集中制證，包括集 中申請、自動審批。通過CA的配置路徑，訪問指定的CA系統(tǒng)；CA系統(tǒng)簽發(fā)數(shù)字證書并返回給管理員；管理員將證書裝入UBS Key,制證成功.將數(shù)字證書發(fā)送給最終用戶。2）證書生命周期管理通過集中證書管理功能可實現(xiàn)對所制證書進行證書的生命周期管理，主要包括：證書的查詢、吊銷等，同時還可以實現(xiàn)對證書有效性的檢查。證書有效性檢查，可支持與CA系統(tǒng)的CRL （證書掉銷列表）服務(wù)聯(lián) 動及手動導入CRL列表。用戶通過證書認證方式登錄“登錄門戶”；將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模 塊”；服務(wù)檢查證書信息，若有效，將

16、有效值返回“證書管理模塊”（若無效 將值返回“證書管理模塊”）；“證書管理模塊”將有效值返回“登錄門戶”，用戶通過認證。（若無 效，用戶登錄失敗）；用戶通過認證，正常進入應(yīng)用系統(tǒng)。3）支持多種CA建設(shè)模式4）多RA集中管理在一個企業(yè)內(nèi)，根據(jù)證書應(yīng)用的需求，存在根CA下有多個子CA,即存在多個RAo通過平臺與RA的集成，可支持與企業(yè)內(nèi)的多RA進行集成, 實現(xiàn)單平臺多RA的集中管理。5）靈活擴展性集中證書管理功能除了實現(xiàn)集中制證、證書生命周期管理功能，以及 具有多RA管理、支持用戶CA系統(tǒng)的自建和服務(wù)模式的特點，還具有靈 活的擴展性?？蓪崿F(xiàn)與RA的完全集成，通過平臺實現(xiàn)RA的完全接管， 實現(xiàn)證書處

17、理、證書生命周期管理、證書審批、支持多種申請模式、RA日 志管理、密鑰管理、策略管理等。以滿足更多用戶對于集中證書管理的擴 展性需求。集中授權(quán)管理集中授權(quán)應(yīng)用背景分析一些大型企業(yè)，發(fā)現(xiàn)企業(yè)內(nèi)部各應(yīng)用系統(tǒng)自身授權(quán)非常完善，但 是從集中管理角度看，發(fā)現(xiàn)大企業(yè)中的傳統(tǒng)授權(quán)所存在如下問題：1）系統(tǒng)權(quán)限分散：員工的流動及職位的變更，需要更改員工的系統(tǒng)使 用權(quán)限，而多個系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來安全 漏洞。2）應(yīng)用系統(tǒng)的獨立性：各種應(yīng)用系統(tǒng)都使用獨立的登錄方式，員工需 要記憶所有應(yīng)用系統(tǒng)的帳號、密碼等，逐一登錄，給工作帶來極大的困擾, 特別是對工作效率影響非常大，甚至簡化記憶問題，所有

18、應(yīng)用系統(tǒng)統(tǒng)一使 用相同的密碼，由此為黑客或者木馬程序提供機會，而對應(yīng)用系統(tǒng)的安全 防護帶來極大地威脅。集中授權(quán)的最大特點，就是集中在一個接口對組/角色進行資源的合理 分配。集中授權(quán)的過程，就是集中對用戶（組/角色）通過何種方式（證書 /口令）使用某種資源（應(yīng)用/功能）的權(quán)限的分配。員工入職，分配一個特定的原本己經(jīng)隸屬于某些角色/組的身份賬戶， 統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在公司應(yīng)用系統(tǒng)中的所有權(quán) 限；當職位變更時，只需更改身份賬戶所屬角色/組，則所享有的權(quán)限也相 應(yīng)變化，而對應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系 統(tǒng)的安全性得到了極大提高，不會因為對應(yīng)的業(yè)務(wù)系統(tǒng)因為

19、沒有中止用戶 應(yīng)用權(quán)限而遭受安全風險。通過集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提 高了管理效率，為企業(yè)營造一個安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。集中授權(quán)管理對象集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角 色屬性，進行對應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間 使用權(quán)限關(guān)系，最終實現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng) 和資源。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對象，然后針對該應(yīng)用系統(tǒng)給 人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進行權(quán)限 關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源， 能讓怎樣的人、組織、角

20、色進行訪問。組：包括按照公司組織架構(gòu)或特定功能劃分的部門、工作組及個人用 戶通過以上兩種方模式，可以對企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進行 合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理，最終實現(xiàn), 正確的人做正確的事情，而非授權(quán)人員不得進入企業(yè)內(nèi)部任何系統(tǒng)，從而 保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護企業(yè)的資產(chǎn)。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進行角色定義?；?用戶組的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門 下定義產(chǎn)品工程師角色。目標是在以后授權(quán)模式中通過對產(chǎn)品工程師角色 授權(quán)，而包含產(chǎn)品工程師的角色就會一次性獲得授權(quán)，

21、這樣方便管理，同 時也是簡化了授權(quán)的操作。基于應(yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下 的用戶職能進行定義。比如，針對OA應(yīng)用系統(tǒng)和結(jié)合人力資源架構(gòu)定義 “總監(jiān)”，那么根據(jù)OA系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只 要存在應(yīng)用系統(tǒng)對總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權(quán)后均可以按照總監(jiān)的 角色進行應(yīng)用訪問。資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，所有的功能模塊 統(tǒng)稱為資源。資源的定義主要是方便人員、組織、角色授權(quán)時候的對象指 定，最終經(jīng)過授權(quán)實現(xiàn)，什么樣的人員、組織、角色能訪問應(yīng)用系統(tǒng)的那 些功能。也就是中細粒度授權(quán)所需要的涉及的內(nèi)容。集中授權(quán)的工作原理授權(quán)管理模塊授權(quán)定義權(quán)限（某些角色/組享

22、有系統(tǒng)應(yīng)用的哪些權(quán)限）組模塊角色模塊訪問控制模塊資源管理模塊通過授權(quán)管理模塊的定義， 對相應(yīng)權(quán)限進行調(diào)用通過口令、證書等執(zhí)行對權(quán)限 的調(diào)用 系統(tǒng)中所有應(yīng)用資源的集合集中授權(quán)模式1）基于組/角色的訪問授權(quán)：對于屬于某一組/角色的用戶，管理員可以為其授權(quán)于可訪問的應(yīng)用系統(tǒng)和資源（應(yīng)用系統(tǒng)的功能）。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查 看、分配的權(quán)限。2）基于應(yīng)用系統(tǒng)和資源的授權(quán)：對于某一選定應(yīng)用（或其包含的功能、功能組），管理員可以授權(quán)為其 指派訪問資源（用戶、組、角色）傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標準，將應(yīng)用系統(tǒng)那個 授權(quán)于某一個人、某一機構(gòu)（組織）、某一類角色；而對于應(yīng)用系統(tǒng)下的

23、模 塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無法做到應(yīng)用系 統(tǒng)的內(nèi)部授權(quán)機制，導致簡單的訪問控制授權(quán)無法滿足業(yè)務(wù)系統(tǒng)的精細化 管理，為了滿足企業(yè)的細致化訪問控制，需要打破傳統(tǒng)授權(quán)模式，增加新 的授權(quán)機制，即要實現(xiàn)細粒度的訪問控制授權(quán)。而將資源管理模塊細粒度化，則是將應(yīng)用模塊拆分成單個的功能模塊, 某幾個功能模塊又可以組合成一個功能組，在授權(quán)時，針對某一應(yīng)用模塊 中的功能或功能組模塊進行權(quán)限分配。角色的繼承提供了角色授權(quán)模型，在角色權(quán)限分配的管理過程中，角色之間可以 實現(xiàn)多模式繼承，即單繼承、多繼承、動態(tài)繼承；多種模式的繼承由系統(tǒng) 自動完成，但是當繼承形成環(huán)路的時候，則繼承屬性自動中斷

24、，保持獨立的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會因為角色繼承 導致權(quán)限失去控制。針對繼承方式，如下定義：1）單繼承：角色A繼承于角色B ,則A擁有B所有的權(quán)限。2）多繼承角色A繼承于角色B、角色C、角色D,則A同時擁有B、C、D所 有的權(quán)限。一不角色AI角色B角色A濟派登 入 系 統(tǒng)3）動態(tài)繼承：_a角也C角色A角也C一角色D角色A繼承于角色B、角色C、角色D,用戶擁有角色A；角色B的登錄方式為口令；角色C的登錄方式為口令和證書；角色D 的登錄方式為證書。4）循環(huán)繼承：角色循環(huán)繼承時，系統(tǒng)內(nèi)部自行處理，在循環(huán)處于環(huán)路，則繼承自動 斷開。集中認證管理集中認證管理為企業(yè)的IT系統(tǒng)提供

25、統(tǒng)一的身份認證，是企業(yè)安全門戶 入口，只有安全的認證機制才可以保證企業(yè)大門不被非法人員進入；在整 個認證系統(tǒng)中其服務(wù)的對象包括企業(yè)接入統(tǒng)一認證平臺的所有業(yè)務(wù)系統(tǒng)、 管理系統(tǒng)和應(yīng)用系統(tǒng)等，統(tǒng)一認證系統(tǒng)能夠提供快速、高效和安全的服務(wù), 應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴展性、高可用性。集中認證管理特點1）提供多因素認證服務(wù)集中認證管理可以為多個不同種類、不同形式的應(yīng)用提供統(tǒng)一的認證服 務(wù)，不需要應(yīng)用系統(tǒng)獨立開發(fā)、設(shè)計認證系統(tǒng)，為業(yè)務(wù)系統(tǒng)快速推出新的 業(yè)務(wù)和服務(wù)準備了基礎(chǔ)條件，集中認證管理為這些應(yīng)用提供了統(tǒng)一的接入 形式。2）提供多種認證方式企業(yè)的不同業(yè)務(wù)系統(tǒng)的安全級別不同，使用環(huán)境不同，用戶的習

26、慣和操作熟練程度不同，集中認證管理可以針對這些不同的應(yīng)用特點提供不同的 認證手段。3）提供統(tǒng)一和多樣化的認證策略集中認證管理針對不同的認證方式，提供了統(tǒng)一的策略控制，各個應(yīng)用 系統(tǒng)也可以根據(jù)自身的需要進行個性化的策略設(shè)置，根據(jù)應(yīng)用或用戶類型 的需求，設(shè)置個性化的認證策略，提高應(yīng)用系統(tǒng)的分級管理安全。身份認證方式集中認證管理系統(tǒng)支持多種身份認證方式，包括：1）用戶名/口令2）數(shù)字證書3）Windows域認證4）通行碼集中認證管理同時支持上述四種認證方式，也可以根據(jù)用戶的需求對用 戶登錄認證方式進行擴展。下面首先分別介紹這些認證方式，然后介紹認 證方式與安全等級。用戶名/口令認證用戶名/口令是最傳

27、統(tǒng)且最普遍的身份認證方法，通常采用如下形式： 當用戶需要訪問系統(tǒng)資源時，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用 加密方式或明文方式將用戶名和口令傳送到認證中心。并和認證中心保存 的用戶信息進行比對。如果驗證通過，系統(tǒng)允許該用戶進行隨后的訪問操作，否則拒絕用戶的下一步的訪問操作。靜態(tài)口令的優(yōu)點是簡單且成本低，但是如果用戶不去修改它，那么這個 口令就是固定不變的、長期有效的，因此這種認證信息的靜態(tài)性，導致傳 統(tǒng)口令在很多情況下都有著發(fā)生口令泄密的危險。在整體安全認證中，對 于瀏覽非重要資源的用戶可以采用該方法。數(shù)字證書認證數(shù)字證書是目前最常用一種比較安全的身份認證技術(shù)。數(shù)字證書技術(shù)是 在PKI體系

28、基礎(chǔ)上實現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認證，還 可以進一步進行安全加密，數(shù)字簽名等操作。依據(jù)自己多年的安全經(jīng)驗，提供完整的數(shù)字身份認證解決方案。數(shù)字證 書的存儲方式非常靈活，數(shù)字證書可被直接存儲在計算機中，也可存儲在 智能卡或USB Key中。Windows 域認證Windows域是一種應(yīng)用層的用戶及權(quán)限集中管理技術(shù)。當用戶通過 Windows系列操作系統(tǒng)的登錄界面成功登錄Windows域后，就可以充分使 用域內(nèi)的各種共享資源，同時接受Windows域?qū)τ脩粼L問權(quán)限的管理與控 制。目前，很多企業(yè)、機構(gòu)和學校都使用域來管理網(wǎng)絡(luò)資源，用于控制不 同身份的用戶對網(wǎng)絡(luò)應(yīng)用及共享信息的使用權(quán)限。

29、集中認證管理支持Windows域登錄，對于已經(jīng)登錄到Windows域中的 用戶，不需要輸入用戶名、密碼而直接使用當前登錄的域用戶信息進行驗 證，如果驗證成功則進入，否則拒絕進入。通行碼認證通行碼是集中認證管理支持的一種特有認證方式，用戶忘記其他認證信 息時，可以向管理員申請一次性使用的口令進行身份認證。主要滿足安全 應(yīng)急服務(wù)，當用戶安全認證的憑證遺忘或者丟失，通過后臺管理員生成通 行碼的方式，幫助用戶解決認證登錄；通行碼具備時效性和一次性特點， 當使用過或者超出使用時間范圍，其認證效力自動失效，非常強大的保證 了系統(tǒng)的安全性和可靠性；在有效地時間段范圍內(nèi)，能有效、快速的幫助 用戶解決認證和系統(tǒng)

30、準入的問題，為應(yīng)用提供了便利。認證方式與安全等級每種認證方式對應(yīng)安全等級的一個范圍，安全等級的范圍又是根據(jù)安全 策略來界定的。認證方式（如用戶名/口令、數(shù)字證書、Windows域等）僅 僅是在認證系統(tǒng)內(nèi)部來管理和控制的，身份認證子系統(tǒng)與其他子系統(tǒng)之間 的信息交換都是通過認證的安全等級來實現(xiàn)的。身份認證相關(guān)協(xié)議身份認證管理支持的身份認證協(xié)議有：1）SSL協(xié)議。2）Windows域認證3）SAML協(xié)議集中認證管理同時支持上述三種認證協(xié)議，下面詳細介紹這些認證協(xié) 議。SSL 協(xié)議SSL （Secure Socket Layer,安全套接層）協(xié)議最早由Netscape提出， 是一種用于保護互聯(lián)網(wǎng)通信私

31、密性的安全協(xié)議，現(xiàn)在已經(jīng)是該領(lǐng)域的工業(yè) 標準。通過SSL協(xié)議，可以使通信不被惡意攻擊者竊聽，并且始終對服務(wù) 端進行認證（也可以應(yīng)用可選的客戶端認證）。SSL可以使用RC4、DES等多種加密算法，并應(yīng)用X.509數(shù)字證書標 準進行認證，從保護機制上來講，是比較完善的。而且SSL的實現(xiàn)成本比 較低，可以很容易的結(jié)合現(xiàn)有的應(yīng)用環(huán)境建立比較安全的傳輸，所以獲得 了極為廣泛的應(yīng)用?；赟SL協(xié)議的身份認證方式與用戶名/口令方式相比，最顯著的優(yōu)勢 在于SSL提供雙向的身份認證，不僅可以驗證客戶端的身份同時也可以認 證服務(wù)器的身份。Windows 域Windows交互式登錄是我們平常常見的一種登錄認證方式，

32、交互式登 錄包括“本地登錄”和“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄工 1）本地用戶賬號采用本地用戶賬號登錄，系統(tǒng)會通過存儲在本機SAM數(shù)據(jù)庫中的信息 進行驗證。用本地用戶賬號登錄后，只能訪問到具有訪問權(quán)限的本地資源。2）域用戶賬號采用域用戶賬號登錄，系統(tǒng)則通過存儲在域控制器的活動目錄中的數(shù) 據(jù)進行驗證。如果該用戶賬號有效，則登錄后可以訪問到整個域中具有訪 問權(quán)限的資源。用戶登錄域的過程即是活動目錄認證用戶的過程，具體過程如下：登 錄到域的驗證過程，對于不同的驗證協(xié)議也有不同的驗證方法。如果域控 制器是Windows NT4.0,那么使用的是NTLM驗證協(xié)議，其驗證過程和“登 錄到

33、本機的過程”基本一致，唯一區(qū)別就在于驗證賬號的工作不是在本地 SAM數(shù)據(jù)庫中進行，而是在域控制器中進行；而對于Windows 2000和 Windows 2003域控制器來說，使用的一般為更安全可靠的Kerberos V5協(xié) 議。通過這種協(xié)議登錄到域，向域控制器證明自己的域賬號有效，用戶需 先申請允許請求該域的TGS（Ticket-Granting Service-票據(jù)授予服務(wù)）。獲準 之后，用戶就會為所要登錄的計算機申請一個會話票據(jù)，最后還需申請允 許進入那臺計算機的本地系統(tǒng)服務(wù)。SAML 協(xié)議2003年初，OASIS小組批準了安全性斷言標記語言（Security Assertion Mar

34、kup Language, SAML）規(guī)范。由于來自25家公司的55名專家參與了 該規(guī)范的制定。SAML是第一個可能成為多個認證協(xié)議的規(guī)范以利用Web 基礎(chǔ)結(jié)構(gòu)（在這種Web基礎(chǔ)結(jié)構(gòu)中，XML數(shù)據(jù)在TCP/IP網(wǎng)絡(luò)上通過HTTP 協(xié)議傳送）。OASIS小組開發(fā)SAML的目的是作為一種基于XML的框架，用于交 換安全性信息。SAML與其它安全性方法的最大區(qū)別在于它以有關(guān)多個主 體的斷言的形式來表述安全性。其它方法使用中央認證中心來發(fā)放證書， 這些證書保證了網(wǎng)絡(luò)中從一點到另一點的安全通信。利用SAML,網(wǎng)絡(luò)中 的任何點都可以斷言它知道用戶或數(shù)據(jù)塊的身份。然后由接收應(yīng)用程序做 出決定，如果它信任該斷

35、言，則接受該用戶或數(shù)據(jù)塊。任何符合SAML的 軟件然后都可以斷言對用戶或數(shù)據(jù)的認證。對于即將出現(xiàn)的業(yè)務(wù)工作流 Web服務(wù)標準（在該標準中，安全的數(shù)據(jù)需要流經(jīng)幾個系統(tǒng)才能完成對事務(wù)的處理)而言，這很重要。SAML是旨在減少構(gòu)建和操作信息系統(tǒng)(這些系統(tǒng)在許多服務(wù)提供者 之間相互操作)所花費成本的眾多嘗試之一。在當今競爭激烈且迅速發(fā)展 的環(huán)境中，出現(xiàn)了通過瀏覽器和支持Web的應(yīng)用程序為用戶提供互操作性 的企業(yè)聯(lián)合。例如，旅游網(wǎng)站允許用戶不必進行多次登錄即可預訂機票和 租車。今天，一大群軟件開發(fā)人員、QA技術(shù)人員和IT經(jīng)理都需要處理復 雜的和不可靠的后端系統(tǒng)，這些系統(tǒng)提供了企業(yè)之間的聯(lián)合安全性。在典型

36、的支持Web的基礎(chǔ)結(jié)構(gòu)中，運行業(yè)界領(lǐng)先的企業(yè)系統(tǒng)的軟件需 要處理權(quán)限服務(wù)器之間的瀏覽器重定向、服務(wù)器域之間的HTTP post命令、 公鑰基礎(chǔ)結(jié)構(gòu)(public key infrastructure, PKI)加密和數(shù)字證書，以及聲明 任何給定用戶或組的信任級別的相互同意(mutually agreed-upon)機制。 SAML向軟件開發(fā)人員展示了如何表示用戶、標識所需傳送的數(shù)據(jù)，并且 定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過程。SAML組件關(guān)系圖如下：SAML組件關(guān)系圖集中認證系統(tǒng)主要功能集中認證系統(tǒng)的主要功能包括：支持多種認證方式，包括用戶名/口令、數(shù)字證書、Windows域認證和 通行碼，并且為其

37、他認證技術(shù)留有接口；支持多種認證協(xié)議，包括支持數(shù)字證書認證的SSL協(xié)議，Windows 域認證，SAML協(xié)議等；支持單點登錄支持會話管理管理用戶的認證憑證信息，如數(shù)字證書等；制定身份認證的安全策略，如定義認證模式和安全等級等；認證系統(tǒng)模塊管理，如對應(yīng)用認證網(wǎng)關(guān)的管理等。單點登錄單點登錄是集中認證管理的主要功能，本部分從功能實現(xiàn)原理，系統(tǒng) 硬件配置，單點登錄實現(xiàn)流程等方面進行說明。單點登錄技術(shù)軟件應(yīng)用插件式網(wǎng)關(guān)（WEB攔截器技術(shù)）Web攔截器（Intercepting Web Agent）是一種基于過濾技術(shù)（Filter）的 應(yīng)用防火墻。使用Web攔截器在請求到達之前來攔截請求，并在應(yīng)用外部 提

38、供認證和授權(quán)。例如，對于沒有或有很少安全措施的應(yīng)用，必須提供合 適的認證和授權(quán)。因此，可使用攔截Web代理提供適當?shù)谋Ｗo，而不是修 改代碼或重寫Web層。Web攔截器可以安裝在Web服務(wù)器中，通過在Web 服務(wù)器上攔截入站請求和執(zhí)行訪問控制策略，來對入站請求進行認證和授 權(quán)。對于本身不能實現(xiàn)安全或難以修改的應(yīng)用，通過將安全與應(yīng)用分離， 提供一種理想的安全保護方法，它還可以集中管理與安全相關(guān)的組件。安 全策略及其實現(xiàn)細節(jié)是在應(yīng)用外部實施的，因此可以修改，而不會影響應(yīng) 用。攔截Web代理將安全邏輯與應(yīng)用邏輯分開，從而提高了可維護性。通 常，攔截Web代理的實現(xiàn)制要求配置，而無需修改代碼。另外，通過

39、將與 安全相關(guān)的處理轉(zhuǎn)移到應(yīng)用之外（即服務(wù)器上），攔截Web代理還提高了 應(yīng)用的性能。在Web服務(wù)器上，沒有通過認證和授權(quán)的請求將被拒絕，因 此不會占用應(yīng)用的額外周期。硬件應(yīng)用網(wǎng)關(guān)（安全代理服務(wù)）使用安全服務(wù)代理（Secure Service Proxy）在應(yīng)用外提供認證和驗證， 這是通過攔截安全檢查請求，然后將其委派給合適的服務(wù)實現(xiàn)的。硬件網(wǎng) 關(guān)系統(tǒng)邏輯架構(gòu)如下圖所示。應(yīng)用網(wǎng)關(guān)功能邏輯圖安全服務(wù)代理攔截來自客戶端的所有請求，確定請求服務(wù)，然后執(zhí)行 服務(wù)要求的安全策略，并將請求從入站協(xié)議轉(zhuǎn)換為目標服務(wù)要求的協(xié)議， 最后將請求轉(zhuǎn)發(fā)給目標服務(wù)。在返回路徑上，安全服務(wù)代理將結(jié)果從服務(wù) 使用的協(xié)議和格

40、式轉(zhuǎn)換為客戶要求的協(xié)議和格式。它也可以保留客戶會話 中首次請求創(chuàng)建的安全上下文，供以后的請求使用?？稍谄髽I(yè)外圍配置安全服務(wù)代理提供認證、授權(quán)和其他安全服務(wù)，為 遺留的或缺少安全機制的輕量級企業(yè)服務(wù)實施安全策略。安全服務(wù)代理模 式與Web攔截器模式類似，但安全服務(wù)代理模式更高級，因為它不要求使 用基于HTTP的URL訪問控制，也不要求使用任何傳輸協(xié)議將服務(wù)請求交 給任何服務(wù)。它可以在已實現(xiàn)和己部署的應(yīng)用外執(zhí)行額外安全邏輯，也可 以與沒有實現(xiàn)安全的新應(yīng)用集成。硬件應(yīng)用網(wǎng)關(guān)代理工作原理瀏覽器發(fā)起http請求包數(shù)據(jù)采集模塊截獲請求包并轉(zhuǎn)發(fā)給數(shù)據(jù)解析模塊數(shù)據(jù)解析模塊解析數(shù)據(jù)包將解析后的數(shù)據(jù)包交由數(shù)據(jù)處理模塊處理處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給web appWeb app返回的數(shù)據(jù)，經(jīng)過數(shù)據(jù)處理模塊，返回瀏覽器應(yīng)用網(wǎng)關(guān)負載均衡工作原理加入到網(wǎng)關(guān)集群中的所有硬件網(wǎng)關(guān)按照指定優(yōu)先級策略進行主/從協(xié) 商，確定1個硬件網(wǎng)關(guān)為主設(shè)備，其他為從設(shè)備。主設(shè)備兼有交換機的功 能，所有來