




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、安信天元多應(yīng)用系統(tǒng)單點登錄安全身份認(rèn)證系統(tǒng)解決方案(支持ECC CA認(rèn)證中心)1 背景分析良好的網(wǎng)絡(luò)環(huán)境使得教育網(wǎng)絡(luò)應(yīng)用系統(tǒng)和用戶都達(dá)到了相當(dāng)?shù)囊?guī)模,大部分都建立了自己的對外宣傳網(wǎng)站以及各業(yè)務(wù)系統(tǒng)等、網(wǎng)上教學(xué)和網(wǎng)上服務(wù)。但是,在看到信息化可喜現(xiàn)狀的同時,經(jīng)過深入的分析,也可以發(fā)現(xiàn)不少問題:1.1缺乏集中統(tǒng)一的用戶身份管理機(jī)制統(tǒng)一的用戶管理與認(rèn)證是實施單點登陸的基礎(chǔ),如果各個應(yīng)用的用戶管理不統(tǒng)一,一個用戶在不同的系統(tǒng)中有不同的身份標(biāo)識,或多個用戶在不同的系統(tǒng)中使用相同的用戶標(biāo)識,則系統(tǒng)無法區(qū)分用戶在數(shù)字空間中的真實身份,即使將多個應(yīng)用堆積在一起,也只能是一堆無關(guān)的鏈接,無法給用戶提供統(tǒng)一的入口和
2、個性化的服務(wù)。因此,必須建立統(tǒng)一的用戶管理,并采用統(tǒng)一的認(rèn)證接口,使得教育中每一個真實的用戶都在數(shù)字空間中有一個與其對應(yīng)的身份與標(biāo)識,并且這個數(shù)字身份在各個應(yīng)用系統(tǒng)中有相同的含義。1.2缺乏單點登錄機(jī)制由于系統(tǒng)各異,每個系統(tǒng)都有自己個性化的登錄界面。人體工學(xué)研究表明,如果一個人在一天的工作中輸入用戶名及口令的次數(shù)超過25次,那么該工作被認(rèn)為是無法忍受的。因而對于用戶來說,在不同的系統(tǒng)中采用用戶名、口令的登錄模式,首要解決的便是統(tǒng)一認(rèn)證的問題,也就是將不同的用戶都集中在門戶中進(jìn)行統(tǒng)一登錄,只要通過一次的登錄,便能自動完成到其他應(yīng)用系統(tǒng)登錄。 1.3缺乏集中統(tǒng)一的日志審計機(jī)制需要利用安全日志記錄和
3、審計,以保證在發(fā)生安全相關(guān)問題的時候能夠做到追蹤問責(zé),通過對安全日志記錄的查詢和分析以及相關(guān)的審計操作找到安全問題的根源所在。安全審計和日志的范圍可以根據(jù)教育系統(tǒng)的實際需要進(jìn)行設(shè)置,但是對于安全密切相關(guān)的用戶登錄事件、訪問控制事件以及身份認(rèn)證、訪問控制、數(shù)據(jù)加密、數(shù)字簽名等行為安全事件等應(yīng)該進(jìn)行安全審計操作,并記錄系統(tǒng)安全日志。目前,教育網(wǎng)中對系統(tǒng)資源的關(guān)鍵操作審計信息也是分散的,使得管理員對于系統(tǒng)安全事件的分析和追蹤變得十分復(fù)雜。2 解決方案2.1系統(tǒng)概述安信天元單點登錄系統(tǒng)是一個集中的用戶認(rèn)證管理和集成環(huán)境,可管理和分發(fā)用戶的權(quán)限和身份,為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理服務(wù),能夠解決上面
4、提到的傳統(tǒng)的開發(fā)模式的諸多弊端。首先,系統(tǒng)實現(xiàn)了統(tǒng)一的用戶身份認(rèn)證信息管理,可以實現(xiàn)用戶認(rèn)證信息的統(tǒng)一管理,避免了在各個應(yīng)用系統(tǒng)的身份信息數(shù)據(jù)庫的數(shù)據(jù)同步更新,用戶只需要在統(tǒng)一身份認(rèn)證系統(tǒng)中注冊或更改自己的認(rèn)證信息即可,這無疑方便了用戶使用,也保證了數(shù)據(jù)的完整性,減少數(shù)據(jù)冗余,同時避免了各個應(yīng)用系統(tǒng)的重復(fù)開發(fā)。其次,系統(tǒng)實現(xiàn)了基于多個應(yīng)用系統(tǒng)的單點登錄,這將極大的方便用戶使用,提高系統(tǒng)的易用性。另外,采用分布式的目錄信息樹結(jié)構(gòu),對用戶認(rèn)證信息進(jìn)行有效組織和管理,可以提供高效安全的目錄訪問。目錄服務(wù)是一種特殊的數(shù)據(jù)庫,可以用來保存描述性的,基于屬性的信息,并且支持復(fù)雜的過濾搜索能力。目錄被優(yōu)化為
5、針對大量的查找或者搜索操作進(jìn)行快速的響應(yīng)。它們可以具有大范圍復(fù)制信息的功能,以便提高可用性和可靠性,同時縮短響應(yīng)時間。通過實施建立單點登錄系統(tǒng)和安全防護(hù)系統(tǒng),為用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口,建立統(tǒng)一的、基于角色的和個性化的信息訪問、集成平臺;通過實施單點登錄功能,使用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的應(yīng)用系統(tǒng),提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性。2.2系統(tǒng)結(jié)構(gòu)以下是系統(tǒng)總體架構(gòu):安信天元單點登錄系統(tǒng)將涉及的所有應(yīng)用集成起來,給不同層次的使用者提供信息服務(wù),采用統(tǒng)一的用戶管理和身份認(rèn)證,實現(xiàn)用戶單點登錄(single sign-on,SSO),用戶一次登錄后就可以訪問數(shù)字教育
6、的各個應(yīng)用;通過統(tǒng)一的訪問控制管理,使得系統(tǒng)展現(xiàn)用戶有權(quán)訪問的應(yīng)用,新增的應(yīng)用也能夠自動加入到系統(tǒng)中。系統(tǒng)能夠充分保證信息系統(tǒng)中的各種資源和業(yè)務(wù)系統(tǒng)的單點登錄的實現(xiàn)。并且能夠?qū)崿F(xiàn)訪問時的安全行為,為上層多種業(yè)務(wù)和多種設(shè)備提供統(tǒng)一的安全支撐服務(wù),提高信息系統(tǒng)的業(yè)務(wù)可擴(kuò)展能力。根據(jù)安全需要,可為不同用戶選擇不同安全級別的認(rèn)證方式,如普通用戶使用靜態(tài)用戶名/密碼認(rèn)證,核心用戶使用數(shù)字證書認(rèn)證。2.3系統(tǒng)功能從功能上看,系統(tǒng)主要包括四大邏輯組成部分:l 用戶認(rèn)證管理1)B/S的帳號密碼認(rèn)證2)單一應(yīng)用系統(tǒng)的基本認(rèn)證3)多應(yīng)用系統(tǒng)間切換的認(rèn)證2 用戶組織/管理1)組織管理2)用戶管理Ø 角色管
7、理3 應(yīng)用系統(tǒng)管理1)提供應(yīng)用系統(tǒng)信息,包括中文名、英文名、網(wǎng)絡(luò)地址、證書有效期。2)應(yīng)用系統(tǒng)接入身份認(rèn)證,生成服務(wù)器證書。3)添加應(yīng)用系統(tǒng)的管理員。4)設(shè)置應(yīng)用系統(tǒng)中的角色。5)設(shè)置可以訪問此應(yīng)用系統(tǒng)的用戶、組織或角色。4 系統(tǒng)管理1)日志管理2)訪問策略3)系統(tǒng)備份4)操作員管理2.4系統(tǒng)工作過程管理員首先完成單點登錄管理應(yīng)用:用戶在其中注冊一個單點登錄賬號,然后針對每個應(yīng)用系統(tǒng)綁定一個該應(yīng)用系統(tǒng)中原有的賬號,并維護(hù)這些注冊和綁定信息。綁定的過程需要單點登錄管理應(yīng)用服務(wù)器到應(yīng)用系統(tǒng)服務(wù)器上驗證用戶提供的該應(yīng)用系統(tǒng)中原有賬號和密碼,應(yīng)用服務(wù)器均以相同的Web Service接口提供該功能支持
8、。之后以用戶單點登錄管理應(yīng)用和令牌傳輸識別的標(biāo)準(zhǔn)來實現(xiàn)用戶單點登錄流程。1、用戶訪問應(yīng)用系統(tǒng)。2、應(yīng)用系統(tǒng)如果檢查到用戶沒有在自己的服務(wù)器登錄,則將用戶請求重定向到單點登錄服務(wù)器上。(使用重定向就可以處理各服務(wù)器跨域的情況)3、單點登錄服務(wù)器檢查到用戶已經(jīng)單點登錄(如果用戶沒有單點登錄則要求用戶登錄,登錄標(biāo)志存儲為客戶端瀏覽器的Cookie),找到該用戶在相應(yīng)應(yīng)用系統(tǒng)上綁定的賬號。4、單點登錄服務(wù)器根據(jù)第三步的結(jié)果生成用戶令牌,重定向回應(yīng)用系統(tǒng)。 5、應(yīng)用系統(tǒng)接收統(tǒng)一格式的用戶令牌,取得用戶在本系統(tǒng)上的登錄賬號,將用戶在本系統(tǒng)上狀態(tài)置為登錄,返回用戶請求訪問的頁面。 如果用戶在訪問應(yīng)用系統(tǒng)之前
9、已經(jīng)在單點登錄服務(wù)器上登錄過,第二步到第四步對用戶來說就是透明的,用戶感覺只是向應(yīng)用系統(tǒng)發(fā)出了訪問請求,然后得到了頁面反饋。2.5系統(tǒng)特性2.5.1產(chǎn)品特點1)真正實現(xiàn)了單點登錄、全網(wǎng)訪問,方便用戶的使用過程。 2)各系統(tǒng)之間耦合度低,應(yīng)用系統(tǒng)的改造不破壞其固有流程和結(jié)構(gòu),整個系統(tǒng)的實施過程安全平滑。 3)整合了過去分散在各應(yīng)用系統(tǒng)中雖然有內(nèi)在關(guān)聯(lián)卻難以判別的用戶信息資源。4)統(tǒng)一了應(yīng)用服務(wù)器的用戶認(rèn)證信息訪問標(biāo)準(zhǔn)。5)統(tǒng)一了令牌安全加密的傳輸和識別標(biāo)準(zhǔn),為將來更多應(yīng)用系統(tǒng)提供了統(tǒng)一的單點登錄框架。 6)統(tǒng)一了的日志審計機(jī)制。2.5.2方案實施后的效果1、帶來管理上的方便1)靈活的用戶管理2)
10、用戶標(biāo)識采用統(tǒng)一編碼規(guī)則:網(wǎng)內(nèi)的所有用戶都采用統(tǒng)一的編碼規(guī)則,實現(xiàn)用戶身份的唯一標(biāo)識。3)用戶身份交換和同步:可以從用戶數(shù)據(jù)源的應(yīng)用系統(tǒng)導(dǎo)入用戶數(shù)據(jù),也可以批量導(dǎo)出用戶數(shù)據(jù)供其他應(yīng)用系統(tǒng)使用,并且提供數(shù)據(jù)同步機(jī)制,使得用戶數(shù)據(jù)可以自動與數(shù)據(jù)源中的數(shù)據(jù)自動進(jìn)行必要的同步;4)身份認(rèn)證系統(tǒng)與數(shù)據(jù)中心實時聯(lián)動:用戶目前已存在數(shù)據(jù)中心,身份認(rèn)證系統(tǒng)中用戶標(biāo)識從數(shù)據(jù)中心獲得,并能與數(shù)據(jù)中心實施聯(lián)動。5)用戶信息發(fā)布:發(fā)布用戶公開信息6)身份管理設(shè)置方便:減少人工設(shè)置身份管理和資源權(quán)限分配策略所需人力資源,和重新調(diào)配人力資源到更重要工作位置上,提高效率。2、帶來明顯的安全效益1)縮短安全真空期(當(dāng)用戶離開
11、時,他們還可能具備原來身份和訪問資源的權(quán)限);2)有效管理長期不使用帳號名單,進(jìn)行相應(yīng)處理,以防止黑客利用這些帳號進(jìn)行攻擊并節(jié)省資源空間;3)在用戶身份和資源權(quán)限變更時自動進(jìn)行相應(yīng)調(diào)整,以降低運營風(fēng)險;4)減少人工操作進(jìn)行身份管理和資源權(quán)限分配造成的錯誤漏洞、偏私和工作量;3 方案總結(jié)本方案結(jié)合信息網(wǎng)絡(luò)建設(shè)安全體系的具體需求,以合理的設(shè)計理念為基本原則,利用標(biāo)準(zhǔn)先進(jìn)的主流技術(shù),引入先進(jìn)的安全產(chǎn)品,充分滿足建設(shè)全網(wǎng)單點登陸和身份管理的安全體系的建設(shè)目標(biāo),達(dá)到提高全網(wǎng)安全管理水平,為全網(wǎng)應(yīng)用保駕護(hù)航的項目實施目的。1)創(chuàng)造新的教育和工作模式單點登陸的建設(shè)不是一項單純的技術(shù)工作,而是一項人類工程,它
12、將先進(jìn)的信息技術(shù)引入到各項活動中去,提高工作質(zhì)量和效率,創(chuàng)造新的工作模式,完成傳統(tǒng)業(yè)務(wù)模式難以實現(xiàn)的目標(biāo)。信息化的過程是思想、觀念、模式轉(zhuǎn)變的過程。2)解決信息化孤島問題本方案將信息內(nèi)部的相對獨立分散的網(wǎng)絡(luò)系統(tǒng),進(jìn)行了統(tǒng)一整合,消除了育信息化孤島問題,有效地實現(xiàn)數(shù)據(jù)共享,消除對數(shù)據(jù)的重復(fù)管理、數(shù)據(jù)冗余以及數(shù)據(jù)不同步的問題。各個部門分別管理自己業(yè)務(wù)的相關(guān)信息,數(shù)據(jù)采集入口唯一。所有信息實現(xiàn)共享,當(dāng)某個部門需要用到其他部門信息的時候,可以直接從網(wǎng)上獲得,這樣就避免了多部門的重復(fù)勞動,節(jié)約了人力成本,保證了數(shù)據(jù)的標(biāo)準(zhǔn)化存儲。比如:當(dāng)其他部門要用到人事處人員信息的時候,其數(shù)據(jù)就是直接從人事處獲取,而無
13、需再次錄入,并且可以保證信息的同步,不會發(fā)生諸如人員信息已經(jīng)變動而其他部門很長時間還無法得知的混亂情況。3)系統(tǒng)安全設(shè)計信息網(wǎng)是依賴于計算機(jī)和網(wǎng)絡(luò)技術(shù)而存在的,這就意味著應(yīng)用不可避免地存在著信息安全隱患,信息系統(tǒng)的安全需要從各個方面來保障?;诒痉桨?,為業(yè)務(wù)提供統(tǒng)一的身份認(rèn)證和授權(quán)服務(wù)。授權(quán)服務(wù)采用了靈活的基于的訪問控制模型:通過對資源(應(yīng)用程序模塊和方法)進(jìn)行不同粒度劃分,系統(tǒng)定義了具有不同訪問權(quán)限的角色,而用戶的權(quán)限則通過授予相應(yīng)的角色來體現(xiàn)。系統(tǒng)還采用了統(tǒng)一集中的權(quán)限管理模型,方便了系統(tǒng)管理員的工作。4)部署簡單、快速本方案采用安信天元公司成熟的產(chǎn)品,部署簡單、方便,實施快速、高效。5)擴(kuò)展性好由于本方案是采用成熟產(chǎn)品進(jìn)行適當(dāng)裁減后得到的,產(chǎn)品本身除了支持設(shè)備集中管理,還支持業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等資源的集中管理,同時也支持PKI/PMI的身份認(rèn)證方式和授權(quán)管理方式。因此,如果將來需要增加對這些資源的管理和訪問控制,可以通過組件的增加平滑實現(xiàn)。6)支持多種認(rèn)證方式針對不同的安全性要求,身份認(rèn)證提供多級安全認(rèn)證方法,包括用戶名/口令、教
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 財務(wù)成本管理中數(shù)據(jù)分析的應(yīng)用試題及答案
- 人力職業(yè)服務(wù)合同協(xié)議書
- 2025年Web考試學(xué)習(xí)方法尋求試題及答案
- 關(guān)注發(fā)展2025年二級ACCESS試題及答案
- 裝修保修合同協(xié)議書范本
- 邏輯思維訓(xùn)練手冊試題及答案
- 嵌入式設(shè)計中的系統(tǒng)架構(gòu)試題及答案
- 解除流轉(zhuǎn)合同協(xié)議書范本
- 敏捷環(huán)境下的缺陷管理試題及答案
- 學(xué)校智能維保合同協(xié)議書
- 無障礙改造設(shè)備投標(biāo)方案(技術(shù)標(biāo))
- 500畝果園規(guī)劃設(shè)計方案
- 陣發(fā)性室上性心動過速臨床路徑
- 工序交接記錄表
- IT項目周報模板
- 圖紙會審記錄SG-007
- 院外藥品使用告知書
- (完整版)土的參數(shù)換算(計算飽和重度)
- 化工原理課程設(shè)計-吸收塔
- 2023年云南省中考地理試卷和答案
- 中國文化傳承與科技創(chuàng)新-北京郵電大學(xué)中國大學(xué)mooc課后章節(jié)答案期末考試題庫2023年
評論
0/150
提交評論