安信天元多應(yīng)用系統(tǒng)單點登錄安全身份認(rèn)證系統(tǒng)解決方案(支持ECC CA認(rèn)證中心)

1、安信天元多應(yīng)用系統(tǒng)單點登錄安全身份認(rèn)證系統(tǒng)解決方案（支持ECC CA認(rèn)證中心）1 背景分析良好的網(wǎng)絡(luò)環(huán)境使得教育網(wǎng)絡(luò)應(yīng)用系統(tǒng)和用戶都達(dá)到了相當(dāng)?shù)囊?guī)模，大部分都建立了自己的對外宣傳網(wǎng)站以及各業(yè)務(wù)系統(tǒng)等、網(wǎng)上教學(xué)和網(wǎng)上服務(wù)。但是，在看到信息化可喜現(xiàn)狀的同時，經(jīng)過深入的分析，也可以發(fā)現(xiàn)不少問題：1.1缺乏集中統(tǒng)一的用戶身份管理機(jī)制統(tǒng)一的用戶管理與認(rèn)證是實施單點登陸的基礎(chǔ)，如果各個應(yīng)用的用戶管理不統(tǒng)一，一個用戶在不同的系統(tǒng)中有不同的身份標(biāo)識，或多個用戶在不同的系統(tǒng)中使用相同的用戶標(biāo)識，則系統(tǒng)無法區(qū)分用戶在數(shù)字空間中的真實身份，即使將多個應(yīng)用堆積在一起，也只能是一堆無關(guān)的鏈接，無法給用戶提供統(tǒng)一的入口和

2、個性化的服務(wù)。因此，必須建立統(tǒng)一的用戶管理，并采用統(tǒng)一的認(rèn)證接口，使得教育中每一個真實的用戶都在數(shù)字空間中有一個與其對應(yīng)的身份與標(biāo)識，并且這個數(shù)字身份在各個應(yīng)用系統(tǒng)中有相同的含義。1.2缺乏單點登錄機(jī)制由于系統(tǒng)各異，每個系統(tǒng)都有自己個性化的登錄界面。人體工學(xué)研究表明，如果一個人在一天的工作中輸入用戶名及口令的次數(shù)超過25次，那么該工作被認(rèn)為是無法忍受的。因而對于用戶來說，在不同的系統(tǒng)中采用用戶名、口令的登錄模式，首要解決的便是統(tǒng)一認(rèn)證的問題，也就是將不同的用戶都集中在門戶中進(jìn)行統(tǒng)一登錄，只要通過一次的登錄，便能自動完成到其他應(yīng)用系統(tǒng)登錄。 1.3缺乏集中統(tǒng)一的日志審計機(jī)制需要利用安全日志記錄和

3、審計，以保證在發(fā)生安全相關(guān)問題的時候能夠做到追蹤問責(zé)，通過對安全日志記錄的查詢和分析以及相關(guān)的審計操作找到安全問題的根源所在。安全審計和日志的范圍可以根據(jù)教育系統(tǒng)的實際需要進(jìn)行設(shè)置，但是對于安全密切相關(guān)的用戶登錄事件、訪問控制事件以及身份認(rèn)證、訪問控制、數(shù)據(jù)加密、數(shù)字簽名等行為安全事件等應(yīng)該進(jìn)行安全審計操作，并記錄系統(tǒng)安全日志。目前，教育網(wǎng)中對系統(tǒng)資源的關(guān)鍵操作審計信息也是分散的，使得管理員對于系統(tǒng)安全事件的分析和追蹤變得十分復(fù)雜。2 解決方案2.1系統(tǒng)概述安信天元單點登錄系統(tǒng)是一個集中的用戶認(rèn)證管理和集成環(huán)境，可管理和分發(fā)用戶的權(quán)限和身份，為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理服務(wù)，能夠解決上面

4、提到的傳統(tǒng)的開發(fā)模式的諸多弊端。首先，系統(tǒng)實現(xiàn)了統(tǒng)一的用戶身份認(rèn)證信息管理，可以實現(xiàn)用戶認(rèn)證信息的統(tǒng)一管理，避免了在各個應(yīng)用系統(tǒng)的身份信息數(shù)據(jù)庫的數(shù)據(jù)同步更新，用戶只需要在統(tǒng)一身份認(rèn)證系統(tǒng)中注冊或更改自己的認(rèn)證信息即可，這無疑方便了用戶使用，也保證了數(shù)據(jù)的完整性，減少數(shù)據(jù)冗余，同時避免了各個應(yīng)用系統(tǒng)的重復(fù)開發(fā)。其次，系統(tǒng)實現(xiàn)了基于多個應(yīng)用系統(tǒng)的單點登錄，這將極大的方便用戶使用，提高系統(tǒng)的易用性。另外，采用分布式的目錄信息樹結(jié)構(gòu)，對用戶認(rèn)證信息進(jìn)行有效組織和管理，可以提供高效安全的目錄訪問。目錄服務(wù)是一種特殊的數(shù)據(jù)庫，可以用來保存描述性的，基于屬性的信息，并且支持復(fù)雜的過濾搜索能力。目錄被優(yōu)化為

5、針對大量的查找或者搜索操作進(jìn)行快速的響應(yīng)。它們可以具有大范圍復(fù)制信息的功能，以便提高可用性和可靠性，同時縮短響應(yīng)時間。通過實施建立單點登錄系統(tǒng)和安全防護(hù)系統(tǒng)，為用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口，建立統(tǒng)一的、基于角色的和個性化的信息訪問、集成平臺；通過實施單點登錄功能，使用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性。2.2系統(tǒng)結(jié)構(gòu)以下是系統(tǒng)總體架構(gòu)：安信天元單點登錄系統(tǒng)將涉及的所有應(yīng)用集成起來，給不同層次的使用者提供信息服務(wù)，采用統(tǒng)一的用戶管理和身份認(rèn)證，實現(xiàn)用戶單點登錄（single sign-on，SSO），用戶一次登錄后就可以訪問數(shù)字教育

6、的各個應(yīng)用；通過統(tǒng)一的訪問控制管理，使得系統(tǒng)展現(xiàn)用戶有權(quán)訪問的應(yīng)用，新增的應(yīng)用也能夠自動加入到系統(tǒng)中。系統(tǒng)能夠充分保證信息系統(tǒng)中的各種資源和業(yè)務(wù)系統(tǒng)的單點登錄的實現(xiàn)。并且能夠?qū)崿F(xiàn)訪問時的安全行為，為上層多種業(yè)務(wù)和多種設(shè)備提供統(tǒng)一的安全支撐服務(wù)，提高信息系統(tǒng)的業(yè)務(wù)可擴(kuò)展能力。根據(jù)安全需要，可為不同用戶選擇不同安全級別的認(rèn)證方式，如普通用戶使用靜態(tài)用戶名/密碼認(rèn)證，核心用戶使用數(shù)字證書認(rèn)證。2.3系統(tǒng)功能從功能上看，系統(tǒng)主要包括四大邏輯組成部分：l 用戶認(rèn)證管理1）B/S的帳號密碼認(rèn)證2）單一應(yīng)用系統(tǒng)的基本認(rèn)證3）多應(yīng)用系統(tǒng)間切換的認(rèn)證2 用戶組織/管理1）組織管理2）用戶管理Ø 角色管

7、理3 應(yīng)用系統(tǒng)管理1）提供應(yīng)用系統(tǒng)信息，包括中文名、英文名、網(wǎng)絡(luò)地址、證書有效期。2）應(yīng)用系統(tǒng)接入身份認(rèn)證，生成服務(wù)器證書。3）添加應(yīng)用系統(tǒng)的管理員。4）設(shè)置應(yīng)用系統(tǒng)中的角色。5）設(shè)置可以訪問此應(yīng)用系統(tǒng)的用戶、組織或角色。4 系統(tǒng)管理1）日志管理2）訪問策略3）系統(tǒng)備份4）操作員管理2.4系統(tǒng)工作過程管理員首先完成單點登錄管理應(yīng)用：用戶在其中注冊一個單點登錄賬號，然后針對每個應(yīng)用系統(tǒng)綁定一個該應(yīng)用系統(tǒng)中原有的賬號，并維護(hù)這些注冊和綁定信息。綁定的過程需要單點登錄管理應(yīng)用服務(wù)器到應(yīng)用系統(tǒng)服務(wù)器上驗證用戶提供的該應(yīng)用系統(tǒng)中原有賬號和密碼，應(yīng)用服務(wù)器均以相同的Web Service接口提供該功能支持

8、。之后以用戶單點登錄管理應(yīng)用和令牌傳輸識別的標(biāo)準(zhǔn)來實現(xiàn)用戶單點登錄流程。1、用戶訪問應(yīng)用系統(tǒng)。2、應(yīng)用系統(tǒng)如果檢查到用戶沒有在自己的服務(wù)器登錄，則將用戶請求重定向到單點登錄服務(wù)器上。（使用重定向就可以處理各服務(wù)器跨域的情況）3、單點登錄服務(wù)器檢查到用戶已經(jīng)單點登錄（如果用戶沒有單點登錄則要求用戶登錄，登錄標(biāo)志存儲為客戶端瀏覽器的Cookie），找到該用戶在相應(yīng)應(yīng)用系統(tǒng)上綁定的賬號。4、單點登錄服務(wù)器根據(jù)第三步的結(jié)果生成用戶令牌，重定向回應(yīng)用系統(tǒng)。 5、應(yīng)用系統(tǒng)接收統(tǒng)一格式的用戶令牌，取得用戶在本系統(tǒng)上的登錄賬號，將用戶在本系統(tǒng)上狀態(tài)置為登錄，返回用戶請求訪問的頁面。 如果用戶在訪問應(yīng)用系統(tǒng)之前

9、已經(jīng)在單點登錄服務(wù)器上登錄過，第二步到第四步對用戶來說就是透明的，用戶感覺只是向應(yīng)用系統(tǒng)發(fā)出了訪問請求，然后得到了頁面反饋。2.5系統(tǒng)特性2.5.1產(chǎn)品特點1）真正實現(xiàn)了單點登錄、全網(wǎng)訪問，方便用戶的使用過程。 2）各系統(tǒng)之間耦合度低，應(yīng)用系統(tǒng)的改造不破壞其固有流程和結(jié)構(gòu)，整個系統(tǒng)的實施過程安全平滑。 3）整合了過去分散在各應(yīng)用系統(tǒng)中雖然有內(nèi)在關(guān)聯(lián)卻難以判別的用戶信息資源。4）統(tǒng)一了應(yīng)用服務(wù)器的用戶認(rèn)證信息訪問標(biāo)準(zhǔn)。5）統(tǒng)一了令牌安全加密的傳輸和識別標(biāo)準(zhǔn)，為將來更多應(yīng)用系統(tǒng)提供了統(tǒng)一的單點登錄框架。 6）統(tǒng)一了的日志審計機(jī)制。2.5.2方案實施后的效果1、帶來管理上的方便1)靈活的用戶管理2）

10、用戶標(biāo)識采用統(tǒng)一編碼規(guī)則：網(wǎng)內(nèi)的所有用戶都采用統(tǒng)一的編碼規(guī)則，實現(xiàn)用戶身份的唯一標(biāo)識。3）用戶身份交換和同步：可以從用戶數(shù)據(jù)源的應(yīng)用系統(tǒng)導(dǎo)入用戶數(shù)據(jù)，也可以批量導(dǎo)出用戶數(shù)據(jù)供其他應(yīng)用系統(tǒng)使用，并且提供數(shù)據(jù)同步機(jī)制，使得用戶數(shù)據(jù)可以自動與數(shù)據(jù)源中的數(shù)據(jù)自動進(jìn)行必要的同步；4）身份認(rèn)證系統(tǒng)與數(shù)據(jù)中心實時聯(lián)動：用戶目前已存在數(shù)據(jù)中心，身份認(rèn)證系統(tǒng)中用戶標(biāo)識從數(shù)據(jù)中心獲得，并能與數(shù)據(jù)中心實施聯(lián)動。5）用戶信息發(fā)布：發(fā)布用戶公開信息6）身份管理設(shè)置方便：減少人工設(shè)置身份管理和資源權(quán)限分配策略所需人力資源，和重新調(diào)配人力資源到更重要工作位置上，提高效率。2、帶來明顯的安全效益1)縮短安全真空期（當(dāng)用戶離開

11、時，他們還可能具備原來身份和訪問資源的權(quán)限）；2)有效管理長期不使用帳號名單，進(jìn)行相應(yīng)處理，以防止黑客利用這些帳號進(jìn)行攻擊并節(jié)省資源空間；3)在用戶身份和資源權(quán)限變更時自動進(jìn)行相應(yīng)調(diào)整，以降低運營風(fēng)險；4)減少人工操作進(jìn)行身份管理和資源權(quán)限分配造成的錯誤漏洞、偏私和工作量；3 方案總結(jié)本方案結(jié)合信息網(wǎng)絡(luò)建設(shè)安全體系的具體需求，以合理的設(shè)計理念為基本原則，利用標(biāo)準(zhǔn)先進(jìn)的主流技術(shù)，引入先進(jìn)的安全產(chǎn)品，充分滿足建設(shè)全網(wǎng)單點登陸和身份管理的安全體系的建設(shè)目標(biāo)，達(dá)到提高全網(wǎng)安全管理水平，為全網(wǎng)應(yīng)用保駕護(hù)航的項目實施目的。1）創(chuàng)造新的教育和工作模式單點登陸的建設(shè)不是一項單純的技術(shù)工作，而是一項人類工程，它

12、將先進(jìn)的信息技術(shù)引入到各項活動中去，提高工作質(zhì)量和效率，創(chuàng)造新的工作模式，完成傳統(tǒng)業(yè)務(wù)模式難以實現(xiàn)的目標(biāo)。信息化的過程是思想、觀念、模式轉(zhuǎn)變的過程。2）解決信息化孤島問題本方案將信息內(nèi)部的相對獨立分散的網(wǎng)絡(luò)系統(tǒng)，進(jìn)行了統(tǒng)一整合，消除了育信息化孤島問題，有效地實現(xiàn)數(shù)據(jù)共享，消除對數(shù)據(jù)的重復(fù)管理、數(shù)據(jù)冗余以及數(shù)據(jù)不同步的問題。各個部門分別管理自己業(yè)務(wù)的相關(guān)信息，數(shù)據(jù)采集入口唯一。所有信息實現(xiàn)共享，當(dāng)某個部門需要用到其他部門信息的時候，可以直接從網(wǎng)上獲得，這樣就避免了多部門的重復(fù)勞動，節(jié)約了人力成本，保證了數(shù)據(jù)的標(biāo)準(zhǔn)化存儲。比如：當(dāng)其他部門要用到人事處人員信息的時候，其數(shù)據(jù)就是直接從人事處獲取，而無

13、需再次錄入，并且可以保證信息的同步，不會發(fā)生諸如人員信息已經(jīng)變動而其他部門很長時間還無法得知的混亂情況。3）系統(tǒng)安全設(shè)計信息網(wǎng)是依賴于計算機(jī)和網(wǎng)絡(luò)技術(shù)而存在的，這就意味著應(yīng)用不可避免地存在著信息安全隱患，信息系統(tǒng)的安全需要從各個方面來保障?；诒痉桨?，為業(yè)務(wù)提供統(tǒng)一的身份認(rèn)證和授權(quán)服務(wù)。授權(quán)服務(wù)采用了靈活的基于的訪問控制模型：通過對資源（應(yīng)用程序模塊和方法）進(jìn)行不同粒度劃分，系統(tǒng)定義了具有不同訪問權(quán)限的角色，而用戶的權(quán)限則通過授予相應(yīng)的角色來體現(xiàn)。系統(tǒng)還采用了統(tǒng)一集中的權(quán)限管理模型，方便了系統(tǒng)管理員的工作。4）部署簡單、快速本方案采用安信天元公司成熟的產(chǎn)品，部署簡單、方便，實施快速、高效。5）擴(kuò)展性好由于本方案是采用成熟產(chǎn)品進(jìn)行適當(dāng)裁減后得到的，產(chǎn)品本身除了支持設(shè)備集中管理，還支持業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等資源的集中管理，同時也支持PKI/PMI的身份認(rèn)證方式和授權(quán)管理方式。因此，如果將來需要增加對這些資源的管理和訪問控制，可以通過組件的增加平滑實現(xiàn)。6）支持多種認(rèn)證方式針對不同的安全性要求，身份認(rèn)證提供多級安全認(rèn)證方法，包括用戶名/口令、教