sso統(tǒng)一身份認(rèn)證及訪問控制解決方案

1、統(tǒng)一身份認(rèn)證及訪問控制技術(shù)方案1 方案概述1.1.項目背景隨著信息化的迅猛發(fā)展5政府、企業(yè)、機構(gòu)等不斷增加基于Internet/lntranet的 業(yè)務(wù)系統(tǒng)，如各類網(wǎng)上申報系統(tǒng)，網(wǎng)上審批系統(tǒng)，0A系統(tǒng)等。系統(tǒng)的業(yè)務(wù)性質(zhì)，一般都要求實現(xiàn)用戶管理、身份認(rèn)證、授權(quán)等必不可少的安全措施；而新系統(tǒng)的涌 現(xiàn)，在與已有系統(tǒng)的集成或融合上，特別是針對相同的用戶群，會帶來以下的問題：1）如果每個系統(tǒng)都開發(fā)各自的身份認(rèn)證系統(tǒng)將造成資源的浪費，消耗開發(fā)成 本，并延緩開發(fā)進度；2 ）多個身份認(rèn)證系統(tǒng)會增加整個系統(tǒng)的管理工作成本；3）用戶需要記憶多個帳戶和口令，使用極為不便，同時由于用戶口令遺 忘而導(dǎo) 致的支持費用不斷

2、上漲；4）無法實現(xiàn)統(tǒng)一認(rèn)證和授權(quán)，多個身份認(rèn)證系統(tǒng)使安全策略必須逐個在不同的 系統(tǒng)內(nèi)進行設(shè)置，因而造成修改策略的進度可能跟不上策略的變化；5）無法統(tǒng)一分析用戶的應(yīng)用行為；因此，對于有多個業(yè)務(wù)系統(tǒng)應(yīng)用需求 的政府、企業(yè)或機構(gòu)等，需要配置一套統(tǒng)一的身份認(rèn)證系統(tǒng)，以實現(xiàn)集中統(tǒng)一的身份認(rèn) 證，并減少整個系統(tǒng)的成本。單點登錄系統(tǒng)的目的就是為這樣的應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證，實現(xiàn)“一點登錄、多點漫游、即插即用、應(yīng)用無尖”的目標(biāo)，方便用戶使用。1 2系統(tǒng)概述針對上述狀況，企業(yè)單位希望為用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口，建立統(tǒng)一 的、基于角色的和個性化的信息訪問、集成平臺的單點登錄平臺系統(tǒng)。該系統(tǒng)具備如

3、下特 占：八、單點登錄：用戶只需登錄一次，即可通過單點登錄系統(tǒng)（SSO）訪問后臺的多 個應(yīng)用系統(tǒng)，無需重新登錄后臺的各個應(yīng)用系統(tǒng)。后臺應(yīng)用系統(tǒng)的用戶名和口令可以各 不相同，并且實現(xiàn)單點登錄時，后臺應(yīng)用系統(tǒng)無需任何修改。即插即用：通過簡單的配置，無須用戶修改任何現(xiàn)有B/S、C/S應(yīng)用系統(tǒng)，即可使用。解決了當(dāng)前其他SSO解決方案實施困難的難題。多樣的身份認(rèn)證機制：同時支持基于pki/CA數(shù)字證書和用戶名/口令身 份認(rèn)證 方式，可單獨使用也可組合使用?；诮巧L問控制：根據(jù)用戶的角色和URL實現(xiàn)訪問控制功能?；赪eb界面管理：系統(tǒng)所有管理功能都通過Web方式實現(xiàn)。網(wǎng)絡(luò)管 理人員和 系統(tǒng)管理員可以通

4、過瀏覽器在任何地方進行遠程訪問管理。此外，可以使用HTIPS安全地進行管理。全面的日志審計：精確地記錄用戶的日志，可按日期、地址、用戶、資源等信 息對日志進行查詢、統(tǒng)計和分析。審計結(jié)果通過Web界面以圖表的形式展現(xiàn)給管理員。雙機熱備：通過雙機熱備功能，提高系統(tǒng)的可用性，滿足企業(yè)級用戶的需求。 集群：通過集群功能，為企業(yè)提供高效、可靠的SSO服務(wù)?？蓪崿F(xiàn)分布式部 署，提供靈活的解決方案。傳輸加密：支持多種對稱和非對稱加密算法，保證用戶信息在傳輸過程中不被 竊取和篡改。防火墻：基于狀態(tài)檢測技術(shù)，支持NAT o主要用于加強SSO本身的安全，也適 用于網(wǎng)絡(luò)性能要求不高的場合，以減少投資。分布式安裝：對

5、物理上不在一個區(qū)域的網(wǎng)絡(luò)應(yīng)用服務(wù)器可以進行分布式部署SSO 系統(tǒng)。后臺用戶數(shù)據(jù)庫支持：LDAP Oracle、DB2、Win2k ADS、Sybase等?？梢詿o縫 集成現(xiàn)有的應(yīng)用系統(tǒng)的統(tǒng)一用戶數(shù)據(jù)庫作為SSO應(yīng)用軟件系統(tǒng)的用戶數(shù)據(jù)庫。領(lǐng)先的C/S單點登錄解決方案：無需修改任何現(xiàn)有的應(yīng)用系統(tǒng)服務(wù)端和客戶端 即可實現(xiàn)C/S單點登錄系統(tǒng)2 總體方案設(shè)計2.1.業(yè)務(wù)功能架構(gòu)通過實施單點登錄功能，使用戶只需一次登錄就可以根據(jù)相尖的規(guī)則去訪問不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性；在此基礎(chǔ)上進一步實現(xiàn)用戶在異構(gòu)系統(tǒng)（不同平臺上建立不同應(yīng)用服務(wù)器的業(yè)務(wù)系統(tǒng)），高速協(xié)同辦公和企業(yè)知識管理功能。單

6、點登錄系統(tǒng)能夠與統(tǒng)一權(quán)限管理系統(tǒng)實現(xiàn)無縫結(jié)合，簽發(fā)合法用戶的權(quán)限票據(jù)，從而能夠使合法用戶進入其權(quán)限范圍內(nèi)的各應(yīng)用系統(tǒng)，并完成符合其權(quán)限的操作。單點登錄系統(tǒng)同時可以采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù)，對用戶實行集中 統(tǒng)一的管理和身份認(rèn)證，并作為各應(yīng)用系統(tǒng)的統(tǒng)一登錄入口。單點登錄 系統(tǒng)在增加系統(tǒng)安 全T生、降低管理成本方面有突出作用，不僅規(guī)避密碼安全風(fēng)險，還簡化用戶認(rèn)證的相尖應(yīng) 用操作。/安全瀏覽器專用客戶端0 完!;.-.III息加密通道(關(guān)鍵信息加密通道身份認(rèn)證服務(wù) 訪問控制服務(wù) 單點登錄服務(wù) 身份管理服務(wù) 角色管理服務(wù) 智能卡管理服務(wù)安全審記服務(wù)0認(rèn)證前置應(yīng)用系統(tǒng)數(shù)據(jù)庫All DB系統(tǒng)用戶

7、數(shù)據(jù)庫DB數(shù)字證書數(shù)據(jù)庫LDAP7CA安全認(rèn)證中心基礎(chǔ)設(shè)施數(shù)字證書網(wǎng)上受理服務(wù)OCSPCRLCAPMI系統(tǒng)結(jié)構(gòu)圖說明：CA安全基礎(chǔ)設(shè)施可以采用自建方式，也可以選擇第三方CA o具體包含以下 主要功能模塊：身份認(rèn)證中心存儲企業(yè)用戶目錄，完成對用戶身份、角色等信息的統(tǒng)一管理；授權(quán)和訪問 管理系統(tǒng)用戶的授權(quán)、角色分配；訪問策略的定制和管理；用戶授權(quán)信息的自動同 步；用戶訪問的實時監(jiān)控、安全審計；身份認(rèn)證服務(wù)身份認(rèn)證前置為應(yīng)用系統(tǒng)提供安全認(rèn)證服務(wù)接口，中轉(zhuǎn)認(rèn)證和訪問請求；身份認(rèn)證服務(wù)完成對用戶身份的認(rèn)證和角色的轉(zhuǎn)換；訪問控制服務(wù)應(yīng)用系統(tǒng)插件從應(yīng)用系統(tǒng)獲取單點登錄所需的用戶信息；用戶單點登錄過程 中，生

8、成訪問業(yè)務(wù)系統(tǒng)的請求，對敏感信息加密簽名；CA中心及數(shù)字證書網(wǎng)上受理系統(tǒng)用戶身份認(rèn)證和單點登錄過程中所需證書的簽發(fā)；用戶身份認(rèn)證憑證（USB 智能密鑰）的制作；22技術(shù)實現(xiàn)方案221 技術(shù)原理基于數(shù)字證書的單點登錄技術(shù)，使各信息資源和本防護系統(tǒng)站成為一個有機的整體。通過在各信息資源端安裝訪問控制代理中間件，和防護系統(tǒng)的認(rèn)證服務(wù)器通信，利用系統(tǒng)提供的安全保障和信息服務(wù)，共享安全優(yōu)勢。其原理如下：1）每個信息資源配置一個訪問代理，并為不同的代理分配不同的數(shù)字證書，用來 保證和系統(tǒng)服務(wù)之間的安全通信。分支機杓2）用戶登錄中心后，根據(jù)用戶提供的數(shù)字證書確認(rèn)用戶的身份。3）訪問一個具體的信息資源時，系統(tǒng)

9、服務(wù)用訪問代理對應(yīng)的數(shù)字證書，把用戶的Hit 員 m內(nèi)網(wǎng)給系統(tǒng)交互圖心5呈7身份信息機密后以數(shù)字信封的形式傳遞給相應(yīng)的信息資源服務(wù)器。4) 信息資源服務(wù)器在接受到數(shù)字信封后，通過訪問代理，進行解密驗證，得到用 戶身份。根據(jù)用戶身份，進行內(nèi)部權(quán)限的認(rèn)證。222統(tǒng)一身份認(rèn)證222.1.用戶認(rèn)證統(tǒng)一身份管理及訪問控制系統(tǒng)用戶數(shù)據(jù)獨立于各應(yīng)用系統(tǒng)，對于數(shù)字證書的用戶來 說，用戶證書的序列號平臺中是唯一的，對于非證書用戶來說，平臺用戶ID (passport )是唯一的，由其作為平臺用戶的統(tǒng)一標(biāo)識。如下圖所示：(1) 在通過平臺統(tǒng)一認(rèn)證后，可以從登錄認(rèn)證結(jié)果中獲取平臺用戶證書的序列號或 平臺用戶ID ；

10、(2) 、再由其映射不同應(yīng)用系統(tǒng)的用戶賬戶；(3) 、最后用映射后的賬戶訪問相應(yīng)的應(yīng)用系統(tǒng)；當(dāng)增加一個應(yīng)用系統(tǒng)時，只需要增加平臺用戶證書序列號或平臺用戶ID與該應(yīng)用 系統(tǒng)賬戶的一個映射矢系即可，不會對其它應(yīng)用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認(rèn)證 時不同應(yīng)用系統(tǒng)之間用戶交叉和用戶賬戶不同的問題。單點登錄過 程均通過安全通道來 保證數(shù)據(jù)傳輸?shù)陌踩?222系統(tǒng)接入應(yīng)用系統(tǒng)接入平臺的架構(gòu)如下圖所示:系統(tǒng)提供兩種應(yīng)用系統(tǒng)接入方式，以快速實現(xiàn)單點登錄:反向代理(Reverse Proxy )方式應(yīng)用系統(tǒng)無需開發(fā)、無需改動。對于不能作改動或沒有原廠商配合的應(yīng)用系統(tǒng)，可 以使用該方式接入統(tǒng)一用戶管理平臺。反向

11、代理技術(shù)：實現(xiàn)方式為松耦合，采用反向代理模塊和單點登錄(SSO認(rèn)證服務(wù)進行交互驗證用戶信息，完成應(yīng)用系統(tǒng)單點登錄。SSO(2)Plug-in 方式Plug-in :實現(xiàn)方式為緊耦合，采用集成插件的方式與單點登錄(SSO認(rèn)證服務(wù)進 行交互驗證用戶信息，完成應(yīng)用系統(tǒng)單點登錄。緊耦合方式提供多種API，通過簡單調(diào)用即可實現(xiàn)單點登錄(SSO223統(tǒng)一權(quán)限管理統(tǒng)一身份管理及訪問控制系統(tǒng)的典型授權(quán)管理模型如下圖所示:用戶授權(quán)的基礎(chǔ)是對用戶的統(tǒng)一管理，對于在用戶信息庫中新注冊的用戶，通過 自動授權(quán)或手工授權(quán)方式，為用戶分配角色、對應(yīng)用系統(tǒng)的訪問權(quán)限、應(yīng)用系統(tǒng)操作權(quán) 限，完成對用戶的授權(quán)。如果用戶在用戶信息庫

12、中被刪除，則其相應(yīng)的授權(quán)信息也將被 刪除。完整的用戶授權(quán)流程如下：1、用戶信息統(tǒng)一管理，包括了用戶的注冊、用戶信息變更、用戶注銷；2、權(quán)限管理系統(tǒng)自動獲取新增（或注銷）用戶信息，并根據(jù)設(shè)置自動分配（或刪 除）默認(rèn)權(quán)限和用戶角色；3、用戶管理員可以基于角色調(diào)整用戶授權(quán)（適用于用戶權(quán)限批量處理）或 直接調(diào) 整單個用戶的授權(quán)；4、授權(quán)信息記錄到用戶屬性證書或用戶信息庫（尖系型數(shù)據(jù)庫、LDAP目錄 服務(wù)） 中；5、用戶登錄到應(yīng)用系統(tǒng)，由身份認(rèn)證系統(tǒng)檢驗用戶的權(quán)限信息并返回給應(yīng)用系 統(tǒng)，滿足應(yīng)用系統(tǒng)的權(quán)限要求可以進行操作，否則拒絕操作；6用戶的授權(quán)信息和操作信息均被記錄到日志中，可以形成完整的用戶授權(quán)表、用 戶訪問統(tǒng)計表。2.2.4.安全通道提供的安全通道是利用數(shù)字簽名進行身份認(rèn)證，采用數(shù)字信封進行信息加密的基于 SSL協(xié)議的安全通道產(chǎn)品，實現(xiàn)了服務(wù)器端和客戶端嵌入式的數(shù)據(jù)安全隔離機制。TCP/IP客戶端一圖：使用前圖：使用后安全通道的主要用途是在兩個通信應(yīng)用程序之間提供私密性和可靠性，這個過程通過3個元素來完成：(1) 握手協(xié)議：這個協(xié)議負(fù)責(zé)協(xié)商用于客戶機和服務(wù)器之間會話的加密參 數(shù)。 當(dāng)一個SSL客戶機和服務(wù)器第一次開始通信時，它們在一