統(tǒng)一身份認證設計方案最終版

1、統(tǒng)一身份認證設計方案日期：2016年2月ii1.1系統(tǒng)總體設計541.1.1總體設計思想51.1.2平臺總體介紹61.1.3平臺總體邏輯結構71.1.4平臺總體部署81.2平臺功能說明81.3集中用戶管理1.3.1管理服務對象1.3.2用戶身份信息設計用戶類型身份信息模型身份信息的存儲1.3.3用戶生命周期管理1.3.4用戶身份信息的維護1.4集中證書管理1.4.1集中證書管理功能特點1.5集中授權管理1.5.1集中授權應用背景1.5.2集中授權管理對象1.5.3集中授權的工作原理1.5.4集中授權模式1.5.5細粒度授權1.5.6角色的繼承1.6集中

2、認證管理1.6.1集中認證管理特點1.6.2身份認證方式用戶名/口令認證數字證書認證 Windows 域認證通行碼認證認證方式與安全等級1.6.3身份認證相關協(xié)議 SSL 協(xié)議 Windows 域 SAML 協(xié)議1.6.4集中認證系統(tǒng)主要功能1.6.5單點登錄9101111111212131414161617181919202122222323242424252525262829165.1單點登錄技術165.2單點登錄實現流程311.7集中審計管理351.1系統(tǒng)總體設計為了加強對業(yè)務

3、系統(tǒng)和辦公系統(tǒng)的安全管控，提高信息化安全管理水 平，我們設計了基于PKI/CA技術為基礎架構的統(tǒng)一身份認證服務平臺。1.1.1總體設計思想為實現構建針對人員帳戶管理層面和應用層面的、全面完善的安全管 控需要，我們將按照如下設計思想為設計并實施統(tǒng)一身份認證服務平臺解 決方案：在內部建設基于 PKI/CA技術為基礎架構的統(tǒng)一身份認證服務平臺， 通過集中證書管理、集中賬戶管理、集中授權管理、集中認證管理和集中 審計管理等應用模塊實現所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應用數 據共享和全面集中管控的核心目標。提供現有統(tǒng)一門戶系統(tǒng)，通過集成單點登錄模塊和調用統(tǒng)一身份認證 平臺服務，實現針對不同的用戶登錄

4、，可以展示不同的內容。可以根據用 戶的關注點不同來為用戶提供定制桌面的功能。建立統(tǒng)一身份認證服務平臺，通過使用唯一身份標識的數字證書即可 登錄所有應用系統(tǒng)，具有良好的擴展性和可集成性。提供基于LDAP目錄服務的統(tǒng)一賬戶管理平臺，通過 LDAP中主、從 賬戶的映射關系，進行應用系統(tǒng)級的訪問控制和用戶生命周期維護管理功 能。用戶證書保存在USB KEY中，保證證書和私鑰的安全，并滿足移動 辦公的安全需求。1.1.2平臺總體介紹以PKI/CA技術為核心，結合國內外先進的產品架構設計，實現集中 的用戶管理、證書管理、認證管理、授權管理和審計等功能，為多業(yè)務系 統(tǒng)提供用戶身份、系統(tǒng)資源、權限策略、審計日

5、志等統(tǒng)一、安全、有效的 配置和服務。集中用戶集中證書集中審計集中授權身份管理 單點登錄 訪問控制 責任界定集中認證如圖所示，統(tǒng)一信任管理平臺各組件之間是松耦合關系，相互支撐又相互獨立，具體功能如下：集中用戶管理系統(tǒng)：完成各系統(tǒng)的用戶信息整合，實現用戶生命周期 的集中統(tǒng)一管理，并建立與各應用系統(tǒng)的同步機制，簡化用戶及其賬號的 管理復雜度，降低系統(tǒng)管理的安全風險。集中證書管理系統(tǒng)：集成證書注冊服務（RA）和電子密鑰（USB-Key） 管理功能，實現用戶證書申請、審批、核發(fā)、更新、吊銷等生命周期管理 功能，支持第三方電子認證服務。集中認證管理系統(tǒng)：實現多業(yè)務系統(tǒng)的統(tǒng)一認證，支持數字證書、動 態(tài)口令、

6、靜態(tài)口令等多種認證方式；為企業(yè)提供單點登錄服務，用戶只需 要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。集中授權管理系統(tǒng)：根據企業(yè)安全策略，采用基于角色的訪問控制技 術，實現支持多應用系統(tǒng)的集中、靈活的訪問控制和授權管理功能，提高 管理效率。集中審計管理系統(tǒng)：提供全方位的用戶管理、證書管理、認證管理和 授權管理的審計信息，支持應用系統(tǒng)、用戶登錄、管理操作等審計管理。1.1.3平臺總體邏輯結構總體邏輯結構圖如下所示: 如圖所示，平臺以PKI基礎服務、加解密服務、SAML協(xié)議等國際成LDAP外Se部r,相關郵件Windows域務服 務 等財務*111111ERP1 /統(tǒng)一信任管理平臺服務系統(tǒng)統(tǒng)一信任

7、管理平臺業(yè)務系統(tǒng)（身份管理、單點登錄、訪問控制、責任界定） kPKI基礎服務、加解密服務、SAML協(xié)議熟技術為基礎，架構統(tǒng)一信任管理平臺的管理系統(tǒng)， 通過WEB過濾器、安 全代理服務器等技術簡單、快捷實現各應用系統(tǒng)集成，在保證系統(tǒng)安全性 的前提下，更好的實現業(yè)務系統(tǒng)整合和內容整合。1.1.4平臺總體部署集中部署方式：所有模塊部署在同一臺服務器上，為企業(yè)提供統(tǒng)一信任管理服務。部署方式主要是采用專有定制硬件服務設備，將集中帳戶管理、集中授權管理、集中認證管理和集中審計管理等功能服務模塊統(tǒng)一部署和安裝在該硬件設備當中，通過連接外部服務區(qū)域當中的從LDAP目錄服務（現有AD目錄服務）來完成對用戶帳戶的

8、操作和管理。1.2平臺功能說明平臺主要提供集中用戶管理、集中證書管理、集中認證管理、集中授權管理和集中審計等功能，總體功能模塊如下圖所示:單點登錄集中用戶用戶生命周期管理系統(tǒng)SSO用戶分組管理角色管理身份源管理集中證書注冊服務管理電子密鑰管理 證書生命周期管理統(tǒng)一用戶接口集中授權應用系統(tǒng)授權用戶授權管理角色授權管理組策略授權管理集中認證 用戶身份認證 訪問策略管理 訪問資源管理集中審計用戶信息導入導出過程管理用戶信息映射用戶信息同步LDAP身份源系統(tǒng)數據總體功能模塊圖1.3集中用戶管理隨著企業(yè)整體信息化的發(fā)展，大致都經歷了網絡基礎建設階段、應用 系統(tǒng)建設階段，目前正面臨著實現納入到信息化環(huán)境中

9、人員的統(tǒng)一管理和 安全控制階段。隨著企業(yè)的網絡基礎建設的不斷完善和應用系統(tǒng)建設的不 斷擴展，在信息化促進業(yè)務加速發(fā)展的同時，企業(yè)信息化規(guī)模也在迅速擴 大以滿足業(yè)務的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映 的事件是無論是網絡系統(tǒng)、業(yè)務系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè) 內外的人員，每一為人員承擔著使用、管理、授權、應用操作等角色。因 此對于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中 之重，只有加強人員的可信身份管理，才能做到大門的安全防護，才能為 企業(yè)的管理、業(yè)務發(fā)展構建可信的信息化環(huán)境，特別是采用數字證書認證 和應用后，完全可以做到全過程可信身份的管理，確保每個操

10、作都是可信 得、可信賴的。集中用戶管理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實現用戶生命 周期的集中統(tǒng)一管理，并建立與各應用系統(tǒng)的同步機制，簡化用戶及其賬 號的管理復雜度，降低系統(tǒng)用戶管理的安全風險。集中用戶管理功能示意圖1.3.1管理服務對象集中用戶管理主要面向企業(yè)內外部的人、 資源等進行管理和提供服務, 具體對象可以分為以下幾類：最終用戶自然人，包括自然人身份和相關信息主賬號與自然人唯一對應的身份標識，一個主賬號只能與一個自然人對應，而一個自然人可能存在多個主賬號從賬號與具體角色對應，每一個應用系統(tǒng)內部設置的用戶賬號，在統(tǒng) 一信任管理平臺中每個主賬號可以擁有多個從帳號，也就是多 種身份角色（

11、即一個日然人在企業(yè)內部具備多套應用系統(tǒng)賬號）資源用戶使用或管理的對象，主要是指應用系統(tǒng)及應用系統(tǒng)下具體 功能具體服務對象之間的映射對應關系如下圖所示:用戶從戶從賬戶從戶從戶從戶丨從戶0A從賬戶從戶ERP3CRM主帳戶主帳戶用戶賬號與資源映射圖132用戶身份信息設計1.321用戶類型用戶是訪問資源的主體，人是最主要的用戶類型：多數的業(yè)務由人發(fā) 起，原始的數據由人輸入，關鍵的流程由人控制。人又可再分為：員工、 外部用戶。員工即企業(yè)的職員，是平臺主要的關注的用戶群體；外部用戶 是指以獨立身分訪問企業(yè)應用系統(tǒng)的一般個人客戶與企業(yè)客戶。身份信息模型可信用戶碗數字證書用戶栄型用戶基本信息員工

12、號姓名性別用戶身梅息機*k崗位職能用戶厲性信息電話工作地址穿粉證號用戶認證信息用戶名口令9 Bfi主默號.從賬號X從戦號r*用戶授權信息對各類用戶身份建立統(tǒng)一的用戶身份標識。用戶身份標識是統(tǒng)一用戶 管理系統(tǒng)內部使用的標識，用于識別所有用戶的身份信息。用戶標識不同 于員工號或身份證號，需要建立相應的編碼規(guī)范。為了保證用戶身份的真 實、有效性，可以通過數字證書認證的方式進行身份鑒別并與用戶身份標 識進行唯一對應。用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如hr中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的對照 關系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關聯查詢

13、。基于分權、分級的管理需要，用戶身份信息需要將用戶信息按照所屬 機構和崗位級別進行分類，便于劃分安全管理域，將用戶信息集中存儲在 總部，以及管理域的劃分。用戶認證信息管理用戶的認證方式及各種認證方式對應的認證信息，如用戶名/ 口令，數字證書等。由于用戶在各應用系統(tǒng)中各自具有賬號和相 關口令，為了保證在平臺實施后可以使原有系統(tǒng)仍可以按照原有賬號方式 操作，需要建立用戶標識與應用系統(tǒng)中賬號的對照關系。授權信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色 和其它屬性。1.323身份信息的存儲為了方便對人員身份的管理，集中用戶系統(tǒng)采用樹形架構來進行人員 組織架構的維護，存儲方式主要采用LDAP

14、?？梢酝ㄟ^企業(yè)內部已有的人員信息管理系統(tǒng)當中根據策略進行讀寫操作，目前主要支持以下數據源類 型：Windows Active Directory （AD）Open LdapIBM Directory Server （IDS）1.3.3用戶生命周期管理用戶生命周期，主要關注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份標識（數字證書的頒發(fā)）、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的自動化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示：由于要賦予用戶可信的身份標識，所以需要通過數字證書認證的方式 來實現，在用戶生命周期管理過程中圍繞用戶包含了基于帳戶的生命周期 和數字證書的生命周期管理的內

15、容。數字證書主要是與用戶的主賬戶標識 進行唯一綁定，在用戶帳戶的使用和屬性變更過程中數字證書不需要發(fā)生 任何改變，唯有在用戶帳戶進行注銷和歸檔過程中，與其相匹配的數字證 書也同樣需要進行吊銷和歸檔操作。134用戶身份信息的維護目前集中用戶管理系統(tǒng)中對用戶身份信息的維護主要以企業(yè)已存在的AD域和LDAP作為基礎數據源，集中用戶 管理系統(tǒng)作為用戶信息維護的 主要入口，可以由人力資源部門的相應人員執(zhí)行用戶賬戶的創(chuàng)建、修改、 刪除、編輯、查詢、以及數字證書的發(fā)放。AD域中的用戶信息變動通過適 配器被平臺感知，并自動同步到平臺用戶身份信息存儲（目錄服務器）中； 平臺的用戶管理員也可以直接修改平臺中集中存

16、儲的用戶身份信息，再由 平臺同步到各個應用系統(tǒng)中。1.4集中證書管理集中證書管理功能主要是針對用戶的 CA系統(tǒng)，包括：1）證書申請2）證書制作3）證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸 檔）4）證書有效性檢查集中證書管理功能集支持多種 CA建設模式（自建和第三方服務）、多 RA集中管理、擴展性強等特性，從技術上及管理上以靈活的實現模式滿 足用戶對證書集中管理的迫切需求，解決管理員對多平臺進行操作及維護 困難的問題。1.4.1集中證書管理功能特點集中證書管理功能的實現就是通過集成證書注冊服務（RA ）和電子密鑰（USB-Key）管理功能。1）集中制證集中制證主要結合本地數據源

17、中的數據為用戶進行集中制證，包括集 中申請、自動審批。通過CA的配置路徑，訪問指定的 CA系統(tǒng)；CA系統(tǒng)簽發(fā)數字證書并返回給管理員；管理員將證書裝入UBS Key,制證成功將數字證書發(fā)送給最終用戶。2）證書生命周期管理通過集中證書管理功能可實現對所制證書進行證書的生命周期管理， 主要包括：證書的查詢、吊銷等，同時還可以實現對證書有效性的檢查。證書有效性檢查，可支持與 CA系統(tǒng)的CRL （證書掉銷列表）服務聯 動及手動導入CRL列表。用戶通過證書認證方式登錄“登錄門戶”；將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模塊”；服務檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無

18、效將值返回“證書管理模塊”）；“證書管理模塊”將有效值返回“登錄門戶”，用戶通過認證。（若無 效，用戶登錄失?。?；用戶通過認證，正常進入應用系統(tǒng)。3）支持多種CA建設模式4）多RA集中管理在一個企業(yè)內，根據證書應用的需求，存在根 CA下有多個子CA，即 存在多個RA。通過平臺與RA的集成，可支持與企業(yè)內的多RA進行集成， 實現單平臺多RA的集中管理。5）靈活擴展性集中證書管理功能除了實現集中制證、證書生命周期管理功能，以及具有多RA管理、支持用戶CA系統(tǒng)的自建和服務模式的特點，還具有靈 活的擴展性?？蓪崿F與 RA的完全集成，通過平臺實現 RA的完全接管， 實現證書處理、證書生命周期管理、證書審

19、批、支持多種申請模式、RA日志管理、密鑰管理、策略管理等。以滿足更多用戶對于集中證書管理的擴 展性需求。1.5集中授權管理1.5.1 集中授權應用背景分析一些大型企業(yè)，發(fā)現企業(yè)內部各應用系統(tǒng)自身授權非常完善，但 是從集中管理角度看，發(fā)現大企業(yè)中的傳統(tǒng)授權所存在如下問題：1）系統(tǒng)權限分散：員工的流動及職位的變更，需要更改員工的系統(tǒng)使 用權限，而多個系統(tǒng)權限的分散，使管理員工作量增加，且容易帶來安全 漏洞。2）應用系統(tǒng)的獨立性：各種應用系統(tǒng)都使用獨立的登錄方式，員工需 要記憶所有應用系統(tǒng)的帳號、密碼等，逐一登錄，給工作帶來極大的困擾， 特別是對工作效率影響非常大，甚至簡化記憶問題，所有應用系統(tǒng)統(tǒng)一

20、使 用相同的密碼，由此為黑客或者木馬程序提供機會，而對應用系統(tǒng)的安全 防護帶來極大地威脅。集中授權的最大特點，就是集中在一個接口對組 /角色進行資源的合理 分配。集中授權的過程，就是集中對用戶（組 /角色）通過何種方式（證書 / 口令）使用某種資源（應用/功能）的權限的分配。員工入職，分配一個特定的原本已經隸屬于某些角色 /組的身份賬戶， 統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在公司應用系統(tǒng)中的所有權 限；當職位變更時，只需更改身份賬戶所屬角色 /組，則所享有的權限也相 應變化，而對應的應用系統(tǒng)資源的賬戶和權限不受任何影響，并且應用系 統(tǒng)的安全性得到了極大提高，不會因為對應的業(yè)務系統(tǒng)因為沒

21、有中止用戶 應用權限而遭受安全風險。通過集中授權的管理模式，有效地屏蔽了傳統(tǒng)授權中存在的弊端，提 高了管理效率，為企業(yè)營造一個安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。1.5.2集中授權管理對象集中授權主要是依賴于人，由授權系統(tǒng)管理者根據人的組織屬性、角 色屬性，進行對應應用系統(tǒng)和資源的授權分配，從保證人與應用系統(tǒng)之間 使用權限關系，最終實現，什么樣的人、組織、角色能訪問哪些應用系統(tǒng) 和資源。集中授權還可以依賴于應用系統(tǒng)為管理對象，然后針對該應用系統(tǒng)給 人、組織、角色授予相應訪問和操作權限，最終把應用系統(tǒng)和人進行權限 關聯，合理、有效地的訪問控制策略，保證了什么樣的應用系統(tǒng)和資源， 能讓怎樣的人、

22、組織、角色進行訪問。組：包括按照公司組織架構或特定功能劃分的部門、工作組及個人用戶通過以上兩種方模式，可以對企業(yè)內部的人員、應用系統(tǒng)和資源進行 合理的管理和控制，有效地解決企業(yè)內部信息資源的權限管理， 最終實現, 正確的人做正確的事情，而非授權人員不得進入企業(yè)內部任何系統(tǒng)，從而 保證企業(yè)應用系統(tǒng)數據的安全，保護企業(yè)的資產。在集中授權管理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應用系統(tǒng)角進行角色定義?；?用戶組的角色定義可理解為在組織結構下定義用戶角色，比如在技術部門 下定義產品工程師角色。目標是在以后授權模式中通過對產品工程師角色 授權，而包含產品工程師的角色就會一次性獲

23、得授權，這樣方便管理，同 時也是簡化了授權的操作。基于應用系統(tǒng)定義角色，即按照該應用系統(tǒng)下 的用戶職能進行定義。比如，針對 0A應用系統(tǒng)和結合人力資源架構定義 “總監(jiān)”，那么根據0A系統(tǒng)給總監(jiān)的工作操作權限，那么以后授權中，只 要存在應用系統(tǒng)對總監(jiān)所具備的功能，經過系統(tǒng)授權后均可以按照總監(jiān)的 角色進行應用訪問。資源定義，主要是應用系統(tǒng)下具備的每一功能模塊，所有的功能模塊 統(tǒng)稱為資源。資源的定義主要是方便人員、組織、角色授權時候的對象指 定，最終經過授權實現，什么樣的人員、組織、角色能訪問應用系統(tǒng)的那 些功能。也就是中細粒度授權所需要的涉及的內容。1.5.3集中授權的工作原理授權管理模塊授權組模

24、塊角色模塊r - 1iI111訪問控制模塊111r1資源管理模塊.通過授權管理模塊的定義, 對相應權限進行調用.通過口令、證書等執(zhí)行對權限的調用.系統(tǒng)中所有應用資源的集合定義權限（某些角色/組享有系統(tǒng)應用 的哪些權限）1.5.4集中授權模式1）基于組/角色的訪問授權：對于屬于某一組/角色的用戶，管理員可以為其授權于可訪問的應用系 統(tǒng)和資源（應用系統(tǒng)的功能）。授權后組內的所有成員均具備該組編輯、查 看、分配的權限。2）基于應用系統(tǒng)和資源的授權：對于某一選定應用（或其包含的功能、功能組），管理員可以授權為其 指派訪問資源（用戶、組、角色）1.5.5細粒度授權用戶2功 能 組用戶1功能組傳統(tǒng)意義中的

25、粗粒度授權是以某一應用系統(tǒng)為標準，將應用系統(tǒng)那個 授權于某一個人、某一機構（組織）、某一類角色；而對于應用系統(tǒng)下的模 塊無法做到授權，所以，粗粒度授權在統(tǒng)一信任系統(tǒng)中，無法做到應用系 統(tǒng)的內部授權機制，導致簡單的訪問控制授權無法滿足業(yè)務系統(tǒng)的精細化管理，為了滿足企業(yè)的細致化訪問控制，需要打破傳統(tǒng)授權模式，增加新 的授權機制，即要實現細粒度的訪問控制授權。而將資源管理模塊細粒度化，則是將應用模塊拆分成單個的功能模塊, 某幾個功能模塊又可以組合成一個功能組，在授權時，針對某一應用模塊 中的功能或功能組模塊進行權限分配。1.5.6角色的繼承提供了角色授權模型，在角色權限分配的管理過程中，角色之間可以

26、 實現多模式繼承，即單繼承、多繼承、動態(tài)繼承；多種模式的繼承由系統(tǒng) 自動完成，但是當繼承形成環(huán)路的時候，則繼承屬性自動中斷，保持獨立 的角色屬性。這樣可以保證應用系統(tǒng)權限合理管控，而不會因為角色繼承 導致權限失去控制。針對繼承方式，如下定義：1）單繼承：角色A繼承于角色B ,貝S A擁有B所有的權限。2）多繼承角色A繼承于角色B、角色C、角色D，則A同時擁有B、C、D所有的權限。3）動態(tài)繼承:資源口令證書 k角色A繼承于角色B、角色C、角色D，用戶擁有角色A ;角色B的登錄方式為口令；角色 C的登錄方式為口令和證書；角色 D的登錄方式為證書。4）循環(huán)繼承：角色循環(huán)繼承時，系統(tǒng)內部自行處理，在循

27、環(huán)處于環(huán)路，則繼承自動斷開。1.6集中認證管理集中認證管理為企業(yè)的IT系統(tǒng)提供統(tǒng)一的身份認證，是企業(yè)安全門戶 入口，只有安全的認證機制才可以保證企業(yè)大門不被非法人員進入；在整 個認證系統(tǒng)中其服務的對象包括企業(yè)接入統(tǒng)一認證平臺的所有業(yè)務系統(tǒng)、 管理系統(tǒng)和應用系統(tǒng)等，統(tǒng)一認證系統(tǒng)能夠提供快速、高效和安全的服務, 應用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴展性、高可用性。1.6.1集中認證管理特點1）提供多因素認證服務集中認證管理可以為多個不同種類、不同形式的應用提供統(tǒng)一的認證服 務，不需要應用系統(tǒng)獨立開發(fā)、設計認證系統(tǒng)，為業(yè)務系統(tǒng)快速推出新的 業(yè)務和服務準備了基礎條件，集中認證管理為這些應用提供了統(tǒng)一的

28、接入 形式。2）提供多種認證方式企業(yè)的不同業(yè)務系統(tǒng)的安全級別不同，使用環(huán)境不同，用戶的習慣和操 作熟練程度不同，集中認證管理可以針對這些不同的應用特點提供不同的 認證手段。3）提供統(tǒng)一和多樣化的認證策略集中認證管理針對不同的認證方式，提供了統(tǒng)一的策略控制，各個應用 系統(tǒng)也可以根據自身的需要進行個性化的策略設置，根據應用或用戶類型 的需求，設置個性化的認證策略，提高應用系統(tǒng)的分級管理安全。1.6.2身份認證方式集中認證管理系統(tǒng)支持多種身份認證方式，包括：1）用戶名/口令2）數字證書3）Wi ndows域認證 4）通行碼 集中認證管理同時支持上述四種認證方式，也可以根據用戶的需求對用戶登錄認證方式

29、進行擴展。下面首先分別介紹這些認證方式，然后介紹認證方式與安全等級。1.621用戶名/口令認證用戶名/ 口令是最傳統(tǒng)且最普遍的身份認證方法，通常采用如下形式： 當用戶需要訪問系統(tǒng)資源時，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用 加密方式或明文方式將用戶名和口令傳送到認證中心。并和認證中心保存 的用戶信息進行比對。如果驗證通過，系統(tǒng)允許該用戶進行隨后的訪問操 作，否則拒絕用戶的下一步的訪問操作。靜態(tài)口令的優(yōu)點是簡單且成本低，但是如果用戶不去修改它，那么這個口令就是固定不變的、長期有效的，因此這種認證信息的靜態(tài)性，導致傳 統(tǒng)口令在很多情況下都有著發(fā)生口令泄密的危險。在整體安全認證中，對 于瀏覽非重要

30、資源的用戶可以采用該方法。數字證書認證數字證書是目前最常用一種比較安全的身份認證技術。數字證書技術是在PKI體系基礎上實現的，用戶不但可以通過數字證書完成身份認證，還 可以進一步進行安全加密，數字簽名等操作。依據自己多年的安全經驗，提供完整的數字身份認證解決方案。 數字證 書的存儲方式非常靈活，數字證書可被直接存儲在計算機中，也可存儲在 智能卡或USB Key中。1.623 Windows 域認證Windows域是一種應用層的用戶及權限集中管理技術。當用戶通過Windows系列操作系統(tǒng)的登錄界面成功登錄 Windows域后，就可以充分使 用域內的各種共享資源，同時接受 Windo

31、ws域對用戶訪問權限的管理與控 制。目前，很多企業(yè)、機構和學校都使用域來管理網絡資源，用于控制不 同身份的用戶對網絡應用及共享信息的使用權限。集中認證管理支持 Windows域登錄，對于已經登錄到 Windows域中的 用戶，不需要輸入用戶名、密碼而直接使用當前登錄的域用戶信息進行驗 證，如果驗證成功則進入，否則拒絕進入。1.624 通行碼認證通行碼是集中認證管理支持的一種特有認證方式，用戶忘記其他認證信息時，可以向管理員申請一次性使用的口令進行身份認證。主要滿足安全 應急服務，當用戶安全認證的憑證遺忘或者丟失，通過后臺管理員生成通 行碼的方式，幫助用戶解決認證登錄；通行碼具備時效性和一次性特

32、點， 當使用過或者超出使用時間范圍，其認證效力自動失效，非常強大的保證 了系統(tǒng)的安全性和可靠性；在有效地時間段范圍內，能有效、快速的幫助 用戶解決認證和系統(tǒng)準入的問題，為應用提供了便利。1.625認證方式與安全等級每種認證方式對應安全等級的一個范圍，安全等級的范圍又是根據安全 策略來界定的。認證方式（如用戶名/口令、數字證書、Windows域等）僅 僅是在認證系統(tǒng)內部來管理和控制的，身份認證子系統(tǒng)與其他子系統(tǒng)之間的信息交換都是通過認證的安全等級來實現的 163身份認證相關協(xié)議身份認證管理支持的身份認證協(xié)議有：1）SSL協(xié)議。2）Wi ndows域認證3）SAML協(xié)議集中認證管理同時支持上述三種

33、認證協(xié)議，下面詳細介紹這些認證協(xié) 議。163.1 SSL 協(xié)議SSL（ Secure Socket Laye，安全套接層）協(xié)議最早由 Netscape提出， 是一種用于保護互聯網通信私密性的安全協(xié)議，現在已經是該領域的工業(yè) 標準。通過SSL協(xié)議，可以使通信不被惡意攻擊者竊聽，并且始終對服務 端進行認證（也可以應用可選的客戶端認證）。SSL可以使用RC4、DES等多種加密算法，并應用 X.509數字證書標 準進行認證，從保護機制上來講，是比較完善的。而且SSL的實現成本比較低，可以很容易的結合現有的應用環(huán)境建立比較安全的傳輸，所以獲得 了極為廣泛的應用?；赟SL協(xié)議的身份認證方式與用戶名/口令

34、方式相比，最顯著的優(yōu)勢 在于SSL提供雙向的身份認證，不僅可以驗證客戶端的身份同時也可以認 證服務器的身份。 Win dows 域Windows交互式登錄是我們平常常見的一種登錄認證方式，交互式登錄包括 本地登錄”和域賬號登錄”而 本地登錄”僅限于 本地賬號登錄”1）本地用戶賬號采用本地用戶賬號登錄，系統(tǒng)會通過存儲在本機SAM數據庫中的信息 進行驗證。用本地用戶賬號登錄后，只能訪問到具有訪問權限的本地資源。2）域用戶賬號采用域用戶賬號登錄，系統(tǒng)則通過存儲在域控制器的活動目錄中的數據進行驗證。如果該用戶賬號有效，則登錄后可以訪問到整個域中具有訪問權限的資源。用戶登錄域的過程即是活動

35、目錄認證用戶的過程，具體過程如下：登錄到域的驗證過程，對于不同的驗證協(xié)議也有不同的驗證方法。如果域控制器是Windows NT 4.0，那么使用的是NTLM驗證協(xié)議，其驗證過程和 登 錄到本機的過程”基本一致，唯一區(qū)別就在于驗證賬號的工作不是在本地SAM數據庫中進行，而是在域控制器中進行；而對于Windows 2000和Windows 2003域控制器來說，使用的一般為更安全可靠的Kerberos V5協(xié)議。通過這種協(xié)議登錄到域，向域控制器證明自己的域賬號有效，用戶需先申請允許請求該域的TGS（Ticket-Granting Service-票據授予服務）。獲準之后，用戶就會為所要登錄的計算機

36、申請一個會話票據，最后還需申請允許進入那臺計算機的本地系統(tǒng)服務。163.3 SAML 協(xié)議2003年初，OASIS小組批準了安全性斷言標記語言 （Security Assertion Markup Language，SAML ）規(guī)范。由于來自25家公司的55名專家參與了 該規(guī)范的制定。SAML是第一個可能成為多個認證協(xié)議的規(guī)范以利用Web 基礎結構（在這種 Web基礎結構中，XML數據在TCP/IP網絡上通過HTTP 協(xié)議傳送）。OASIS小組開發(fā)SAML的目的是作為一種基于 XML的框架，用于交 換安全性信息。SAML與其它安全性方法的最大區(qū)別在于它以有關多個主 體的斷言的形式來表述安全性。

37、其它方法使用中央認證中心來發(fā)放證書， 這些證書保證了網絡中從一點到另一點的安全通信。利用SAML，網絡中的任何點都可以斷言它知道用戶或數據塊的身份。然后由接收應用程序做 出決定，如果它信任該斷言，則接受該用戶或數據塊。任何符合SAML的軟件然后都可以斷言對用戶或數據的認證。對于即將出現的業(yè)務工作流 Web服務標準（在該標準中，安全的數據需要流經幾個系統(tǒng)才能完成對事 務的處理）而言，這很重要。SAML是旨在減少構建和操作信息系統(tǒng)（這些系統(tǒng)在許多服務提供者 之間相互操作）所花費成本的眾多嘗試之一。在當今競爭激烈且迅速發(fā)展 的環(huán)境中，出現了通過瀏覽器和支持 Web的應用程序為用戶提供互操作性 的企業(yè)

38、聯合。例如，旅游網站允許用戶不必進行多次登錄即可預訂機票和 租車。今天，一大群軟件開發(fā)人員、QA技術人員和IT經理都需要處理復雜的和不可靠的后端系統(tǒng)，這些系統(tǒng)提供了企業(yè)之間的聯合安全性。在典型的支持 Web的基礎結構中，運行業(yè)界領先的企業(yè)系統(tǒng)的軟件需 要處理權限服務器之間的瀏覽器重定向、服務器域之間的HTTP post命令、公鑰基礎結構（public key infrastructure, PKI）加密和數字證書，以及聲明 任何給定用戶或組的信任級別的相互同意（ mutually agreed-upon）機制。 SAML向軟件開發(fā)人員展示了如何表示用戶、標識所需傳送的數據，并且定義了發(fā)送和接收

39、權限數據的過程。SAML組件關系圖如下:ProlllesHow SAML protocols, bindings and/or asseiiions combineto wup卩urt a defined use ease.BindingsHow SAMI. Protocols map onto standard messagingand communication protocols.ProtocolsR cqucsts/Rc spun sc s p(iirs for obtainingAssertions and Federation ManagemeniAssertionsAuthent

40、ication, Altribute AivAuthorization infomaiionSAML組件關系圖164集中認證系統(tǒng)主要功能集中認證系統(tǒng)的主要功能包括:支持多種認證方式，包括用戶名/口令、數字證書、Windows域認證和 通行碼，并且為其他認證技術留有接口；支持多種認證協(xié)議，包括支持數字證書認證的SSL協(xié)議， Windows域認證，SAML協(xié)議等；支持單點登錄支持會話管理管理用戶的認證憑證信息，如數字證書等；制定身份認證的安全策略，如定義認證模式和安全等級等;認證系統(tǒng)模塊管理，如對應用認證網關的管理等。165單點登錄單點登錄是集中認證管理的主要功能，本部分從功能實現原理，系統(tǒng)硬件配

41、置，單點登錄實現流程等方面進行說明。165.1 單點登錄技術軟件應用插件式網關（WEB攔截器技術）Web攔截器（Intercepting Web Agen）是一種基于過濾技術 （Filter）的應用防火墻。使用 Web攔截器在請求到達之前來攔截請求，并在應用外部 提供認證和授權。例如，對于沒有或有很少安全措施的應用，必須提供合 適的認證和授權。因此，可使用攔截 Web代理提供適當的保護，而不是修 改代碼或重寫 Web層。Web攔截器可以安裝在 Web服務器中，通過在Web 服務器上攔截入站請求和執(zhí)行訪問控制策略，來對入站請求進行認證和授 權。對于本身不能實現安全或難以修改的應用，通過將安全與應

42、用分離，提供一種理想的安全保護方法，它還可以集中管理與安全相關的組件。安 全策略及其實現細節(jié)是在應用外部實施的，因此可以修改，而不會影響應 用。攔截Web代理將安全邏輯與應用邏輯分開，從而提高了可維護性。通 常，攔截Web代理的實現制要求配置，而無需修改代碼。另外，通過將與 安全相關的處理轉移到應用之外（即服務器上），攔截Web代理還提高了 應用的性能。在 Web服務器上，沒有通過認證和授權的請求將被拒絕，因 此不會占用應用的額外周期。硬件應用網關（安全代理服務）使用安全服務代理（Secure Service Proxy在應用外提供認證和驗證, 這是通過攔截安全檢查請求，然后將其委派給合適的服

43、務實現的。硬件網 關系統(tǒng)邏輯架構如下圖所示。應用網關功能邏輯圖安全服務代理攔截來自客戶端的所有請求，確定請求服務，然后執(zhí)行 服務要求的安全策略，并將請求從入站協(xié)議轉換為目標服務要求的協(xié)議， 最后將請求轉發(fā)給目標服務。在返回路徑上，安全服務代理將結果從服務 使用的協(xié)議和格式轉換為客戶要求的協(xié)議和格式。它也可以保留客戶會話 中首次請求創(chuàng)建的安全上下文，供以后的請求使用。可在企業(yè)外圍配置安全服務代理提供認證、授權和其他安全服務，為 遺留的或缺少安全機制的輕量級企業(yè)服務實施安全策略。安全服務代理模 式與Web攔截器模式類似，但安全服務代理模式更高級，因為它不要求使 用基于HTTP的URL訪問控制，也不

44、要求使用任何傳輸協(xié)議將服務請求交 給任何服務。它可以在已實現和已部署的應用外執(zhí)行額外安全邏輯，也可 以與沒有實現安全的新應用集成。硬件應用網關代理工作原理瀏覽器發(fā)起http請求包數據采集模塊截獲請求包并轉發(fā)給數據解析模塊數據解析模塊解析數據包將解析后的數據包交由數據處理模塊處理處理過的數據轉發(fā)給 web appWeb app返回的數據，經過數據處理模塊，返回瀏覽器應用網關負載均衡工作原理加入到網關集群中的所有硬件網關按照指定優(yōu)先級策略進行主/從協(xié)商，確定1個硬件網關為主設備，其他為從設備。主設備兼有交換機的功 能，所有來自客戶瀏覽器的請求包首先到達主設備 （不會直接到達從設備）， 主設備根據負載均衡策略分發(fā)請求包（可能分發(fā)給自己，也可能分發(fā)給從 設備），包分發(fā)到目標硬件網關后，開始后續(xù)處理，請求處理完成后經由主 設備返回給瀏覽器。165.2單點登錄實現流程基于門戶的單點登錄流程nrgfflU繼融議一認怔人口|J1IIJLIII詣亟冋須戶恂應用訪弭列表IJLI陽用戶點擊疸用修戕I訂：產牛 iil-ltis曲-i用遼応I ：. j-KkI.In臚櫛人ffsrvja.稈於厳n-I l- J- V.Ff. - 1