安信天元多應(yīng)用系統(tǒng)單點(diǎn)登錄安全身份認(rèn)證系統(tǒng)解決方案(支持ECC CA認(rèn)證中心)

1、安信天元多應(yīng)用系統(tǒng)單點(diǎn)登錄安全身份認(rèn)證系統(tǒng)解決方案（支持ECC CA認(rèn)證中心）1 背景分析良好的網(wǎng)絡(luò)環(huán)境使得教育網(wǎng)絡(luò)應(yīng)用系統(tǒng)和用戶(hù)都達(dá)到了相當(dāng)?shù)囊?guī)模，大部分都建立了自己的對(duì)外宣傳網(wǎng)站以及各業(yè)務(wù)系統(tǒng)等、網(wǎng)上教學(xué)和網(wǎng)上服務(wù)。但是，在看到信息化可喜現(xiàn)狀的同時(shí)，經(jīng)過(guò)深入的分析，也可以發(fā)現(xiàn)不少問(wèn)題：1.1缺乏集中統(tǒng)一的用戶(hù)身份管理機(jī)制統(tǒng)一的用戶(hù)管理與認(rèn)證是實(shí)施單點(diǎn)登陸的基礎(chǔ)，如果各個(gè)應(yīng)用的用戶(hù)管理不統(tǒng)一，一個(gè)用戶(hù)在不同的系統(tǒng)中有不同的身份標(biāo)識(shí)，或多個(gè)用戶(hù)在不同的系統(tǒng)中使用相同的用戶(hù)標(biāo)識(shí)，則系統(tǒng)無(wú)法區(qū)分用戶(hù)在數(shù)字空間中的真實(shí)身份，即使將多個(gè)應(yīng)用堆積在一起，也只能是一堆無(wú)關(guān)的鏈接，無(wú)法給用戶(hù)提供統(tǒng)一的入口和

2、個(gè)性化的服務(wù)。因此，必須建立統(tǒng)一的用戶(hù)管理，并采用統(tǒng)一的認(rèn)證接口，使得教育中每一個(gè)真實(shí)的用戶(hù)都在數(shù)字空間中有一個(gè)與其對(duì)應(yīng)的身份與標(biāo)識(shí)，并且這個(gè)數(shù)字身份在各個(gè)應(yīng)用系統(tǒng)中有相同的含義。1.2缺乏單點(diǎn)登錄機(jī)制由于系統(tǒng)各異，每個(gè)系統(tǒng)都有自己個(gè)性化的登錄界面。人體工學(xué)研究表明，如果一個(gè)人在一天的工作中輸入用戶(hù)名及口令的次數(shù)超過(guò)25次，那么該工作被認(rèn)為是無(wú)法忍受的。因而對(duì)于用戶(hù)來(lái)說(shuō)，在不同的系統(tǒng)中采用用戶(hù)名、口令的登錄模式，首要解決的便是統(tǒng)一認(rèn)證的問(wèn)題，也就是將不同的用戶(hù)都集中在門(mén)戶(hù)中進(jìn)行統(tǒng)一登錄，只要通過(guò)一次的登錄，便能自動(dòng)完成到其他應(yīng)用系統(tǒng)登錄。 1.3缺乏集中統(tǒng)一的日志審計(jì)機(jī)制需要利用安全日志記錄和

3、審計(jì)，以保證在發(fā)生安全相關(guān)問(wèn)題的時(shí)候能夠做到追蹤問(wèn)責(zé)，通過(guò)對(duì)安全日志記錄的查詢(xún)和分析以及相關(guān)的審計(jì)操作找到安全問(wèn)題的根源所在。安全審計(jì)和日志的范圍可以根據(jù)教育系統(tǒng)的實(shí)際需要進(jìn)行設(shè)置，但是對(duì)于安全密切相關(guān)的用戶(hù)登錄事件、訪問(wèn)控制事件以及身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、數(shù)字簽名等行為安全事件等應(yīng)該進(jìn)行安全審計(jì)操作，并記錄系統(tǒng)安全日志。目前，教育網(wǎng)中對(duì)系統(tǒng)資源的關(guān)鍵操作審計(jì)信息也是分散的，使得管理員對(duì)于系統(tǒng)安全事件的分析和追蹤變得十分復(fù)雜。2 解決方案2.1系統(tǒng)概述安信天元單點(diǎn)登錄系統(tǒng)是一個(gè)集中的用戶(hù)認(rèn)證管理和集成環(huán)境，可管理和分發(fā)用戶(hù)的權(quán)限和身份，為不同的應(yīng)用系統(tǒng)提供用戶(hù)和權(quán)限管理服務(wù)，能夠解決上面

4、提到的傳統(tǒng)的開(kāi)發(fā)模式的諸多弊端。首先，系統(tǒng)實(shí)現(xiàn)了統(tǒng)一的用戶(hù)身份認(rèn)證信息管理，可以實(shí)現(xiàn)用戶(hù)認(rèn)證信息的統(tǒng)一管理，避免了在各個(gè)應(yīng)用系統(tǒng)的身份信息數(shù)據(jù)庫(kù)的數(shù)據(jù)同步更新，用戶(hù)只需要在統(tǒng)一身份認(rèn)證系統(tǒng)中注冊(cè)或更改自己的認(rèn)證信息即可，這無(wú)疑方便了用戶(hù)使用，也保證了數(shù)據(jù)的完整性，減少數(shù)據(jù)冗余，同時(shí)避免了各個(gè)應(yīng)用系統(tǒng)的重復(fù)開(kāi)發(fā)。其次，系統(tǒng)實(shí)現(xiàn)了基于多個(gè)應(yīng)用系統(tǒng)的單點(diǎn)登錄，這將極大的方便用戶(hù)使用，提高系統(tǒng)的易用性。另外，采用分布式的目錄信息樹(shù)結(jié)構(gòu)，對(duì)用戶(hù)認(rèn)證信息進(jìn)行有效組織和管理，可以提供高效安全的目錄訪問(wèn)。目錄服務(wù)是一種特殊的數(shù)據(jù)庫(kù)，可以用來(lái)保存描述性的，基于屬性的信息，并且支持復(fù)雜的過(guò)濾搜索能力。目錄被優(yōu)化為

5、針對(duì)大量的查找或者搜索操作進(jìn)行快速的響應(yīng)。它們可以具有大范圍復(fù)制信息的功能，以便提高可用性和可靠性，同時(shí)縮短響應(yīng)時(shí)間。通過(guò)實(shí)施建立單點(diǎn)登錄系統(tǒng)和安全防護(hù)系統(tǒng)，為用戶(hù)提供統(tǒng)一的信息資源認(rèn)證訪問(wèn)入口，建立統(tǒng)一的、基于角色的和個(gè)性化的信息訪問(wèn)、集成平臺(tái)；通過(guò)實(shí)施單點(diǎn)登錄功能，使用戶(hù)只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問(wèn)不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性。2.2系統(tǒng)結(jié)構(gòu)以下是系統(tǒng)總體架構(gòu)：安信天元單點(diǎn)登錄系統(tǒng)將涉及的所有應(yīng)用集成起來(lái)，給不同層次的使用者提供信息服務(wù)，采用統(tǒng)一的用戶(hù)管理和身份認(rèn)證，實(shí)現(xiàn)用戶(hù)單點(diǎn)登錄（single sign-on，SSO），用戶(hù)一次登錄后就可以訪問(wèn)數(shù)字教育

6、的各個(gè)應(yīng)用；通過(guò)統(tǒng)一的訪問(wèn)控制管理，使得系統(tǒng)展現(xiàn)用戶(hù)有權(quán)訪問(wèn)的應(yīng)用，新增的應(yīng)用也能夠自動(dòng)加入到系統(tǒng)中。系統(tǒng)能夠充分保證信息系統(tǒng)中的各種資源和業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄的實(shí)現(xiàn)。并且能夠?qū)崿F(xiàn)訪問(wèn)時(shí)的安全行為，為上層多種業(yè)務(wù)和多種設(shè)備提供統(tǒng)一的安全支撐服務(wù)，提高信息系統(tǒng)的業(yè)務(wù)可擴(kuò)展能力。根據(jù)安全需要，可為不同用戶(hù)選擇不同安全級(jí)別的認(rèn)證方式，如普通用戶(hù)使用靜態(tài)用戶(hù)名/密碼認(rèn)證，核心用戶(hù)使用數(shù)字證書(shū)認(rèn)證。2.3系統(tǒng)功能從功能上看，系統(tǒng)主要包括四大邏輯組成部分：l 用戶(hù)認(rèn)證管理1）B/S的帳號(hào)密碼認(rèn)證2）單一應(yīng)用系統(tǒng)的基本認(rèn)證3）多應(yīng)用系統(tǒng)間切換的認(rèn)證2 用戶(hù)組織/管理1）組織管理2）用戶(hù)管理Ø 角色管

7、理3 應(yīng)用系統(tǒng)管理1）提供應(yīng)用系統(tǒng)信息，包括中文名、英文名、網(wǎng)絡(luò)地址、證書(shū)有效期。2）應(yīng)用系統(tǒng)接入身份認(rèn)證，生成服務(wù)器證書(shū)。3）添加應(yīng)用系統(tǒng)的管理員。4）設(shè)置應(yīng)用系統(tǒng)中的角色。5）設(shè)置可以訪問(wèn)此應(yīng)用系統(tǒng)的用戶(hù)、組織或角色。4 系統(tǒng)管理1）日志管理2）訪問(wèn)策略3）系統(tǒng)備份4）操作員管理2.4系統(tǒng)工作過(guò)程管理員首先完成單點(diǎn)登錄管理應(yīng)用：用戶(hù)在其中注冊(cè)一個(gè)單點(diǎn)登錄賬號(hào)，然后針對(duì)每個(gè)應(yīng)用系統(tǒng)綁定一個(gè)該應(yīng)用系統(tǒng)中原有的賬號(hào)，并維護(hù)這些注冊(cè)和綁定信息。綁定的過(guò)程需要單點(diǎn)登錄管理應(yīng)用服務(wù)器到應(yīng)用系統(tǒng)服務(wù)器上驗(yàn)證用戶(hù)提供的該應(yīng)用系統(tǒng)中原有賬號(hào)和密碼，應(yīng)用服務(wù)器均以相同的Web Service接口提供該功能支持

8、。之后以用戶(hù)單點(diǎn)登錄管理應(yīng)用和令牌傳輸識(shí)別的標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)用戶(hù)單點(diǎn)登錄流程。1、用戶(hù)訪問(wèn)應(yīng)用系統(tǒng)。2、應(yīng)用系統(tǒng)如果檢查到用戶(hù)沒(méi)有在自己的服務(wù)器登錄，則將用戶(hù)請(qǐng)求重定向到單點(diǎn)登錄服務(wù)器上。（使用重定向就可以處理各服務(wù)器跨域的情況）3、單點(diǎn)登錄服務(wù)器檢查到用戶(hù)已經(jīng)單點(diǎn)登錄（如果用戶(hù)沒(méi)有單點(diǎn)登錄則要求用戶(hù)登錄，登錄標(biāo)志存儲(chǔ)為客戶(hù)端瀏覽器的Cookie），找到該用戶(hù)在相應(yīng)應(yīng)用系統(tǒng)上綁定的賬號(hào)。4、單點(diǎn)登錄服務(wù)器根據(jù)第三步的結(jié)果生成用戶(hù)令牌，重定向回應(yīng)用系統(tǒng)。 5、應(yīng)用系統(tǒng)接收統(tǒng)一格式的用戶(hù)令牌，取得用戶(hù)在本系統(tǒng)上的登錄賬號(hào)，將用戶(hù)在本系統(tǒng)上狀態(tài)置為登錄，返回用戶(hù)請(qǐng)求訪問(wèn)的頁(yè)面。 如果用戶(hù)在訪問(wèn)應(yīng)用系統(tǒng)之前

9、已經(jīng)在單點(diǎn)登錄服務(wù)器上登錄過(guò)，第二步到第四步對(duì)用戶(hù)來(lái)說(shuō)就是透明的，用戶(hù)感覺(jué)只是向應(yīng)用系統(tǒng)發(fā)出了訪問(wèn)請(qǐng)求，然后得到了頁(yè)面反饋。2.5系統(tǒng)特性2.5.1產(chǎn)品特點(diǎn)1）真正實(shí)現(xiàn)了單點(diǎn)登錄、全網(wǎng)訪問(wèn)，方便用戶(hù)的使用過(guò)程。 2）各系統(tǒng)之間耦合度低，應(yīng)用系統(tǒng)的改造不破壞其固有流程和結(jié)構(gòu)，整個(gè)系統(tǒng)的實(shí)施過(guò)程安全平滑。 3）整合了過(guò)去分散在各應(yīng)用系統(tǒng)中雖然有內(nèi)在關(guān)聯(lián)卻難以判別的用戶(hù)信息資源。4）統(tǒng)一了應(yīng)用服務(wù)器的用戶(hù)認(rèn)證信息訪問(wèn)標(biāo)準(zhǔn)。5）統(tǒng)一了令牌安全加密的傳輸和識(shí)別標(biāo)準(zhǔn)，為將來(lái)更多應(yīng)用系統(tǒng)提供了統(tǒng)一的單點(diǎn)登錄框架。 6）統(tǒng)一了的日志審計(jì)機(jī)制。2.5.2方案實(shí)施后的效果1、帶來(lái)管理上的方便1)靈活的用戶(hù)管理2）

10、用戶(hù)標(biāo)識(shí)采用統(tǒng)一編碼規(guī)則：網(wǎng)內(nèi)的所有用戶(hù)都采用統(tǒng)一的編碼規(guī)則，實(shí)現(xiàn)用戶(hù)身份的唯一標(biāo)識(shí)。3）用戶(hù)身份交換和同步：可以從用戶(hù)數(shù)據(jù)源的應(yīng)用系統(tǒng)導(dǎo)入用戶(hù)數(shù)據(jù)，也可以批量導(dǎo)出用戶(hù)數(shù)據(jù)供其他應(yīng)用系統(tǒng)使用，并且提供數(shù)據(jù)同步機(jī)制，使得用戶(hù)數(shù)據(jù)可以自動(dòng)與數(shù)據(jù)源中的數(shù)據(jù)自動(dòng)進(jìn)行必要的同步；4）身份認(rèn)證系統(tǒng)與數(shù)據(jù)中心實(shí)時(shí)聯(lián)動(dòng)：用戶(hù)目前已存在數(shù)據(jù)中心，身份認(rèn)證系統(tǒng)中用戶(hù)標(biāo)識(shí)從數(shù)據(jù)中心獲得，并能與數(shù)據(jù)中心實(shí)施聯(lián)動(dòng)。5）用戶(hù)信息發(fā)布：發(fā)布用戶(hù)公開(kāi)信息6）身份管理設(shè)置方便：減少人工設(shè)置身份管理和資源權(quán)限分配策略所需人力資源，和重新調(diào)配人力資源到更重要工作位置上，提高效率。2、帶來(lái)明顯的安全效益1)縮短安全真空期（當(dāng)用戶(hù)離開(kāi)

11、時(shí)，他們還可能具備原來(lái)身份和訪問(wèn)資源的權(quán)限）；2)有效管理長(zhǎng)期不使用帳號(hào)名單，進(jìn)行相應(yīng)處理，以防止黑客利用這些帳號(hào)進(jìn)行攻擊并節(jié)省資源空間；3)在用戶(hù)身份和資源權(quán)限變更時(shí)自動(dòng)進(jìn)行相應(yīng)調(diào)整，以降低運(yùn)營(yíng)風(fēng)險(xiǎn)；4)減少人工操作進(jìn)行身份管理和資源權(quán)限分配造成的錯(cuò)誤漏洞、偏私和工作量；3 方案總結(jié)本方案結(jié)合信息網(wǎng)絡(luò)建設(shè)安全體系的具體需求，以合理的設(shè)計(jì)理念為基本原則，利用標(biāo)準(zhǔn)先進(jìn)的主流技術(shù)，引入先進(jìn)的安全產(chǎn)品，充分滿(mǎn)足建設(shè)全網(wǎng)單點(diǎn)登陸和身份管理的安全體系的建設(shè)目標(biāo)，達(dá)到提高全網(wǎng)安全管理水平，為全網(wǎng)應(yīng)用保駕護(hù)航的項(xiàng)目實(shí)施目的。1）創(chuàng)造新的教育和工作模式單點(diǎn)登陸的建設(shè)不是一項(xiàng)單純的技術(shù)工作，而是一項(xiàng)人類(lèi)工程，它

12、將先進(jìn)的信息技術(shù)引入到各項(xiàng)活動(dòng)中去，提高工作質(zhì)量和效率，創(chuàng)造新的工作模式，完成傳統(tǒng)業(yè)務(wù)模式難以實(shí)現(xiàn)的目標(biāo)。信息化的過(guò)程是思想、觀念、模式轉(zhuǎn)變的過(guò)程。2）解決信息化孤島問(wèn)題本方案將信息內(nèi)部的相對(duì)獨(dú)立分散的網(wǎng)絡(luò)系統(tǒng)，進(jìn)行了統(tǒng)一整合，消除了育信息化孤島問(wèn)題，有效地實(shí)現(xiàn)數(shù)據(jù)共享，消除對(duì)數(shù)據(jù)的重復(fù)管理、數(shù)據(jù)冗余以及數(shù)據(jù)不同步的問(wèn)題。各個(gè)部門(mén)分別管理自己業(yè)務(wù)的相關(guān)信息，數(shù)據(jù)采集入口唯一。所有信息實(shí)現(xiàn)共享，當(dāng)某個(gè)部門(mén)需要用到其他部門(mén)信息的時(shí)候，可以直接從網(wǎng)上獲得，這樣就避免了多部門(mén)的重復(fù)勞動(dòng)，節(jié)約了人力成本，保證了數(shù)據(jù)的標(biāo)準(zhǔn)化存儲(chǔ)。比如：當(dāng)其他部門(mén)要用到人事處人員信息的時(shí)候，其數(shù)據(jù)就是直接從人事處獲取，而無(wú)

13、需再次錄入，并且可以保證信息的同步，不會(huì)發(fā)生諸如人員信息已經(jīng)變動(dòng)而其他部門(mén)很長(zhǎng)時(shí)間還無(wú)法得知的混亂情況。3）系統(tǒng)安全設(shè)計(jì)信息網(wǎng)是依賴(lài)于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)而存在的，這就意味著應(yīng)用不可避免地存在著信息安全隱患，信息系統(tǒng)的安全需要從各個(gè)方面來(lái)保障?；诒痉桨福瑸闃I(yè)務(wù)提供統(tǒng)一的身份認(rèn)證和授權(quán)服務(wù)。授權(quán)服務(wù)采用了靈活的基于的訪問(wèn)控制模型：通過(guò)對(duì)資源（應(yīng)用程序模塊和方法）進(jìn)行不同粒度劃分，系統(tǒng)定義了具有不同訪問(wèn)權(quán)限的角色，而用戶(hù)的權(quán)限則通過(guò)授予相應(yīng)的角色來(lái)體現(xiàn)。系統(tǒng)還采用了統(tǒng)一集中的權(quán)限管理模型，方便了系統(tǒng)管理員的工作。4）部署簡(jiǎn)單、快速本方案采用安信天元公司成熟的產(chǎn)品，部署簡(jiǎn)單、方便，實(shí)施快速、高效。5）擴(kuò)展性好由于本方案是采用成熟產(chǎn)品進(jìn)行適當(dāng)裁減后得到的，產(chǎn)品本身除了支持設(shè)備集中管理，還支持業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等資源的集中管理，同時(shí)也支持PKI/PMI的身份認(rèn)證方式和授權(quán)管理方式。因此，如果將來(lái)需要增加對(duì)這些資源的管理和訪問(wèn)控制，可以通過(guò)組件的增加平滑實(shí)現(xiàn)。6）支持多種認(rèn)證方式針對(duì)不同的安全性要求，身份認(rèn)證提供多級(jí)安全認(rèn)證方法，包括用戶(hù)名/口令、教