統(tǒng)一身份認(rèn)證及訪問控制

技術(shù)方案

1.方案概述

1.1. 項(xiàng)目背景

隨著信息化的迅猛發(fā)展,、企業(yè)、機(jī)構(gòu)等不斷增加基于

Internet/Intranet 的業(yè)務(wù)系統(tǒng),如各類網(wǎng)上申報(bào)系統(tǒng),網(wǎng)上審批系統(tǒng),OA 系統(tǒng)等。系統(tǒng)的業(yè)務(wù)性質(zhì),一般都要求實(shí)現(xiàn)用戶管理、身份認(rèn)證、授權(quán)等必不可少的安全措施;而新系統(tǒng)的涌現(xiàn),在與已有系統(tǒng)的集成或融合上,特別是針對(duì)相同的用戶群,會(huì)帶來以下的問題:

1)如果每個(gè)系統(tǒng)都開發(fā)各自的身份認(rèn)證系統(tǒng)將造成資源的浪費(fèi),消耗開發(fā)成本,并延緩開發(fā)進(jìn)度;

2)多個(gè)身份認(rèn)證系統(tǒng)會(huì)增加整個(gè)系統(tǒng)的管理工作成本;

3)用戶需要記憶多個(gè)帳戶和口令,使用極為不便,同時(shí)由于用戶口令遺忘而導(dǎo)致的支持費(fèi)用不斷上漲;

4)無法實(shí)現(xiàn)統(tǒng)一認(rèn)證和授權(quán),多個(gè)身份認(rèn)證系統(tǒng)使安全策略必須逐個(gè)在不同的系統(tǒng)內(nèi)進(jìn)行設(shè)置,因而造成修改策略的進(jìn)度可能跟不上策略的變化;

5)無法統(tǒng)一分析用戶的應(yīng)用行為;因此,對(duì)于有多個(gè)業(yè)務(wù)系統(tǒng)應(yīng)用需求的、企業(yè)或機(jī)構(gòu)等,需要配置一套統(tǒng)一的身份認(rèn)證系統(tǒng),以實(shí)現(xiàn)集中統(tǒng)一的身份認(rèn)證,并減少整個(gè)系統(tǒng)的成本。

單點(diǎn)登錄系統(tǒng)的目的就是為這樣的應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證,實(shí)現(xiàn)“一點(diǎn)登錄、多點(diǎn)漫游、即插即用、應(yīng)用無關(guān)\"的目標(biāo),方便用戶使用。

1.2. 系統(tǒng)概述

針對(duì)上述狀況,企業(yè)單位希望為用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口,建立統(tǒng)一的、基于角色的和個(gè)性化的信息訪問、集成平臺(tái)的單點(diǎn)登錄平臺(tái)系統(tǒng)。該系統(tǒng)具備如下特點(diǎn):

單點(diǎn)登錄:用戶只需登錄一次,即可通過單點(diǎn)登錄系統(tǒng)(SSO)訪問后臺(tái)的多個(gè)應(yīng)用系統(tǒng),無需重新登錄后臺(tái)的各個(gè)應(yīng)用系統(tǒng)。后臺(tái)應(yīng)用系統(tǒng)的用戶名和口令可以各不相同,并且實(shí)現(xiàn)單點(diǎn)登錄時(shí),后臺(tái)應(yīng)用系統(tǒng)無需任何修改。

即插即用:通過簡(jiǎn)單的配置,無須用戶修改任何現(xiàn)有B/S、C/S應(yīng)用系統(tǒng),即可使用。解決了當(dāng)前其他SSO解決方案實(shí)施困難的難題。

多樣的身份認(rèn)證機(jī)制:同時(shí)支持基于PKI/CA數(shù)字證書和用戶名/口令身份認(rèn)證方式,可單獨(dú)使用也可組合使用。

基于角色訪問控制:根據(jù)用戶的角色和URL實(shí)現(xiàn)訪問控制功能。

基于Web界面管理:系統(tǒng)所有管理功能都通過Web方式實(shí)現(xiàn)。網(wǎng)絡(luò)管理人員和系統(tǒng)管理員可以通過瀏覽器在任何地方進(jìn)行遠(yuǎn)程訪問管理。此外,可以使用HTTPS安全地進(jìn)行管理。

全面的日志審計(jì):精確地記錄用戶的日志,可按日期、地址、用戶、資源等信息對(duì)日志進(jìn)行查詢、統(tǒng)計(jì)和分析。審計(jì)結(jié)果通過Web界面以圖表的形式展現(xiàn)給管理員。

雙機(jī)熱備:通過雙機(jī)熱備功能,提高系統(tǒng)的可用性,滿足企業(yè)級(jí)用戶的需求。

集群:通過集群功能,為企業(yè)提供高效、可靠的SSO服務(wù)?？蓪?shí)現(xiàn)分布式部署,提供靈活的解決方案。

傳輸加密:支持多種對(duì)稱和非對(duì)稱加密算法,保證用戶信息在傳輸過程中不被竊取和篡改。

防火墻:基于狀態(tài)檢測(cè)技術(shù),支持NAT。主要用于加強(qiáng)SSO本身的安全,也適用于網(wǎng)絡(luò)性能要求不高的場(chǎng)合,以減少投資。

分布式安裝:對(duì)物理上不在一個(gè)區(qū)域的網(wǎng)絡(luò)應(yīng)用服務(wù)器可以進(jìn)行分布式部署SSO系統(tǒng)。

后臺(tái)用戶數(shù)據(jù)庫支持:LDAP、Oracle、DB2、Win2k ADS、Sybase等?？梢詿o縫集成現(xiàn)有的應(yīng)用系統(tǒng)的統(tǒng)一用戶數(shù)據(jù)庫作為SSO應(yīng)用軟件系統(tǒng)的用戶數(shù)據(jù)庫。

領(lǐng)先的C/S單點(diǎn)登錄解決方案:無需修改任何現(xiàn)有的應(yīng)用系統(tǒng)服務(wù)端和客戶端即可實(shí)現(xiàn)C/S單點(diǎn)登錄系統(tǒng)

2.總體方案設(shè)計(jì)

2.1. 業(yè)務(wù)功能架構(gòu)

通過實(shí)施單點(diǎn)登錄功能,使用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的應(yīng)用系統(tǒng),提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性;在此基礎(chǔ)上進(jìn)一步實(shí)現(xiàn)用戶在異構(gòu)系統(tǒng)(不同平臺(tái)上建立不同應(yīng)用服務(wù)器的業(yè)務(wù)系統(tǒng)),高速協(xié)同辦公和企業(yè)知識(shí)管理功能。

單點(diǎn)登錄系統(tǒng)能夠與統(tǒng)一權(quán)限管理系統(tǒng)實(shí)現(xiàn)無縫結(jié)合,簽發(fā)合法用戶的權(quán)限票據(jù),從而能夠使合法用戶進(jìn)入其權(quán)限范圍內(nèi)的各應(yīng)用系統(tǒng),并完成符合其權(quán)限的操作。

單點(diǎn)登錄系統(tǒng)同時(shí)可以采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù),對(duì)用戶實(shí)行集中統(tǒng)一的管理和身份認(rèn)證,并作為各應(yīng)用系統(tǒng)的統(tǒng)一登錄入口。單點(diǎn)登錄系統(tǒng)在

增加系統(tǒng)安全性、降低管理成本方面有突出作用,不僅規(guī)避密碼安全風(fēng)險(xiǎn),還簡(jiǎn)化用戶認(rèn)證的相關(guān)應(yīng)用操作。

說明:CA安全基礎(chǔ)設(shè)施可以采用自建方式,也可以選擇第三方CA。

具體包含以下主要功能模塊:

身份認(rèn)證中心

存儲(chǔ)企業(yè)用戶目錄,完成對(duì)用戶身份、角色等信息的統(tǒng)一管理;

授權(quán)和訪問管理系統(tǒng)

用戶的授權(quán)、角色分配;

訪問策略的定制和管理;

用戶授權(quán)信息的自動(dòng)同步; 用戶訪問的實(shí)時(shí)監(jiān)控、安全審計(jì); 身份認(rèn)證服務(wù)

身份認(rèn)證前置為應(yīng)用系統(tǒng)提供安全認(rèn)證服務(wù)接口,中轉(zhuǎn)認(rèn)證和訪問 請(qǐng)求; 身份認(rèn)證服務(wù)完成對(duì)用戶身份的認(rèn)證和角色的轉(zhuǎn)換; 訪問控制服務(wù)

應(yīng)用系統(tǒng)插件從應(yīng)用系統(tǒng)獲取單點(diǎn)登錄所需的用戶信息;

用戶單點(diǎn)登錄過程中,生成訪問業(yè)務(wù)系統(tǒng)的請(qǐng)求,對(duì)敏感信息加密 簽名; CA中心及數(shù)字證書網(wǎng)上受理系統(tǒng)用戶身份認(rèn)證和單點(diǎn)登錄過程中所需證書的簽發(fā);

用戶身份認(rèn)證憑證(USB智能密鑰)的制作;

2.2. 技術(shù)實(shí)現(xiàn)方案

2.2.1.技術(shù)原理

基于數(shù)字證書的單點(diǎn)登錄技術(shù),使各信息資源和本防護(hù)系統(tǒng)站成為一個(gè)有機(jī)的整體。通過在各信息資源端安裝訪問控制代理中間件,和防護(hù)系統(tǒng)的認(rèn)證服務(wù)器通信,利用系統(tǒng)提供的安全保障和信息服務(wù),共享安全優(yōu)勢(shì)。

其原理如下:

1) 每個(gè)信息資源配置一個(gè)訪問代理,并為不同的代理分配不同的數(shù)字證書,用來保證和系統(tǒng)服務(wù)之間的安全通信。

2) 用戶登錄中心后,根據(jù)用戶提供的數(shù)字證書確認(rèn)用戶的身份。

3) 訪問一個(gè)具體的信息資源時(shí),系統(tǒng)服務(wù)用訪問代理對(duì)應(yīng)的數(shù)字證書,把用戶的身份信息機(jī)密后以數(shù)字信封的形式傳遞給相應(yīng)的信息資源服務(wù)器。

4) 信息資源服務(wù)器在接受到數(shù)字信封后,通過訪問代理,進(jìn)行解密驗(yàn)證,得到用戶身份。根據(jù)用戶身份,進(jìn)行內(nèi)部權(quán)限的認(rèn)證。

2.2.2.統(tǒng)一身份認(rèn)證

2.2.2.1. 用戶認(rèn)證

統(tǒng)一身份管理及訪問控制系統(tǒng)用戶數(shù)據(jù)于各應(yīng)用系統(tǒng),對(duì)于數(shù)字證書的用戶來說,用戶證書的序列號(hào)平臺(tái)中是唯一的,對(duì)于非證書用戶來說,平臺(tái)用戶ID(passport)是唯一的,由其作為平臺(tái)用戶的統(tǒng)一標(biāo)識(shí)。

(1)、在通過平臺(tái)統(tǒng)一認(rèn)證后,可以從登錄認(rèn)證結(jié)果中獲取平臺(tái)用戶證書的序列號(hào)或平臺(tái)用戶ID;

(2)、再由其映射不同應(yīng)用系統(tǒng)的用戶賬戶;

(3)、最后用映射后的賬戶訪問相應(yīng)的應(yīng)用系統(tǒng);

當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí),只需要增加平臺(tái)用戶證書序列號(hào)或平臺(tái)用戶ID與該應(yīng)用系統(tǒng)賬戶的一個(gè)映射關(guān)系即可,不會(huì)對(duì)其它應(yīng)用系統(tǒng)產(chǎn)生任何影響,從而解決登錄認(rèn)證時(shí)不同應(yīng)用系統(tǒng)之間用戶交叉和用戶賬戶不同的問題。單點(diǎn)登錄過程均通過安全通道來保證數(shù)據(jù)傳輸?shù)陌踩?p>2.2.2.2. 系統(tǒng)接入

系統(tǒng)提供兩種應(yīng)用系統(tǒng)接入方式,以快速實(shí)現(xiàn)單點(diǎn)登錄:

(1)反向代理(Reverse Proxy)方式

應(yīng)用系統(tǒng)無需開發(fā)、無需改動(dòng)。對(duì)于不能作改動(dòng)或沒有原廠商配合的應(yīng)用系統(tǒng),可以使用該方式接入統(tǒng)一用戶管理平臺(tái)。

反向代理技術(shù):實(shí)現(xiàn)方式為松耦合,采用反向代理模塊和單點(diǎn)登錄(SSO)認(rèn)證服務(wù)進(jìn)行交互驗(yàn)證用戶信息,完成應(yīng)用系統(tǒng)單點(diǎn)登錄。

(2)Plug-in 方式

Plug-in:實(shí)現(xiàn)方式為緊耦合,采用集成插件的方式與單點(diǎn)登錄(SSO)認(rèn)證服務(wù)進(jìn)行交互驗(yàn)證用戶信息,完成應(yīng)用系統(tǒng)單點(diǎn)登錄。

緊耦合方式提供多種API,通過簡(jiǎn)單調(diào)用即可實(shí)現(xiàn)單點(diǎn)登錄(SSO)。

2.2.

3.統(tǒng)一權(quán)限管理

用戶授權(quán)的基礎(chǔ)是對(duì)用戶的統(tǒng)一管理,對(duì)于在用戶信息庫中新注冊(cè)的用戶,通過自動(dòng)授權(quán)或手工授權(quán)方式,為用戶分配角色、對(duì)應(yīng)用系統(tǒng)的訪問權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限,完成對(duì)用戶的授權(quán)。如果用戶在用戶信息庫中被刪除,則其相應(yīng)的授權(quán)信息也將被刪除。

完整的用戶授權(quán)流程如下:

1、用戶信息統(tǒng)一管理,包括了用戶的注冊(cè)、用戶信息變更、用戶注銷;

2、權(quán)限管理系統(tǒng)自動(dòng)獲取新增(或注銷)用戶信息,并根據(jù)設(shè)置自動(dòng)分配(或刪除)默認(rèn)權(quán)限和用戶角色;

3、用戶管理員可以基于角色調(diào)整用戶授權(quán)(適用于用戶權(quán)限批量處理)或直接調(diào)整單個(gè)用戶的授權(quán);

4、授權(quán)信息記錄到用戶屬性證書或用戶信息庫(關(guān)系型數(shù)據(jù)庫、LDAP目錄服務(wù))中;

5、用戶登錄到應(yīng)用系統(tǒng),由身份認(rèn)證系統(tǒng)檢驗(yàn)用戶的權(quán)限信息并返回給應(yīng)用系統(tǒng),滿足應(yīng)用系統(tǒng)的權(quán)限要求可以進(jìn)行操作,否則拒絕操作;

6、用戶的授權(quán)信息和操作信息均被記錄到日志中,可以形成完整的用戶授權(quán)表、用戶訪問統(tǒng)計(jì)表。

2.2.4.安全通道

提供的安全通道是利用數(shù)字簽名進(jìn)行身份認(rèn)證,采用數(shù)字信封進(jìn)行信息加密的基于SSL協(xié)議的安全通道產(chǎn)品,實(shí)現(xiàn)了服務(wù)器端和客戶端嵌入式的數(shù)據(jù)安全隔離機(jī)制。

安全通道的主要用途是在兩個(gè)通信應(yīng)用程序之間提供私密性和可靠性,這個(gè)過程通過3個(gè)元素來完成:

(1)握手協(xié)議:這個(gè)協(xié)議負(fù)責(zé)協(xié)商用于客戶機(jī)和服務(wù)器之間會(huì)話的加密參數(shù)。當(dāng)一個(gè)SSL客戶機(jī)和服務(wù)器第一次開始通信時(shí),它們?cè)谝粋€(gè)協(xié)議版本上達(dá)成一致,選擇加密算法和認(rèn)證方式,并使用公鑰技術(shù)來生成共享密鑰。

(2)記錄協(xié)議:這個(gè)協(xié)議用于交換應(yīng)用數(shù)據(jù)。應(yīng)用程序消息被分割成可管理的數(shù)據(jù)塊,還可以壓縮,并產(chǎn)生一個(gè)MAC(消息認(rèn)證代碼),然后結(jié)果被加密并傳輸。接受方接受數(shù)據(jù)并對(duì)它解密,校驗(yàn)MAC,解壓并重新組合,把結(jié)果提供給應(yīng)用程序協(xié)議。

(3)警告協(xié)議:這個(gè)協(xié)議用于標(biāo)示在什么時(shí)候發(fā)生了錯(cuò)誤或兩個(gè)主機(jī)之間的會(huì)話在什么時(shí)候終止。