衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案

衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 ii 目 錄 第 1 章 . 總論 . 4 1.1 背景 . 4 1.2 應(yīng)用現(xiàn)狀 . 4 第 2 章 . 平臺需求分析 . 6 2.1 現(xiàn)實的業(yè)務(wù)需求 . 6 2.1.1 統(tǒng)一身份管理 . 6 2.1.2 統(tǒng)一交互界面 . 6 2.1.3 集中授權(quán)和審計 . 6 2.1.4 高強度訪問控制 . 7 2.1.5 數(shù)據(jù)保全服務(wù) . 7 2.1.6 便捷客戶體驗 . 7 2.2 更高的管理要求 . 7 2.2.1 集中管理、統(tǒng)一配置 . 7 2.2.2 提升信息安全防護水平 . 7 2.2.3 強化業(yè)務(wù)操作責(zé)任認定 . 8 2.3 國內(nèi)統(tǒng)一 身份認證服務(wù)平臺應(yīng)用現(xiàn)狀 . 8 2.3.1 典型案例 . 8 2.3.2 其他行業(yè) . 9 第 3 章 . 統(tǒng)一身份認證服務(wù)平臺的建設(shè)目標(biāo) . 11 3.1 整體目標(biāo) . 11 3.2 業(yè)務(wù)目標(biāo) . 11 3.3 管理目標(biāo) . 12 3.4 技術(shù)目標(biāo) . 12 第 4 章 . 統(tǒng)一身份認證服務(wù)平臺安全解決方案 . 14 4.1 系統(tǒng)總體設(shè)計 . 14 4.1.1 總體設(shè)計思想 .14 4.1.2 平臺總體介紹 .14 4.1.3 平臺總體邏輯結(jié)構(gòu) .16 4.1.4 平臺總體部署 .16 4.2 平臺功能說明 . 17 4.3 集中用戶管理 . 17 4.3.1 管理服務(wù) 對象 .18 4.3.2 用戶身份信息設(shè)計 .19 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 iii 用戶類型 .19 身份信息模型 .20 身份信息的存儲 .21 4.3.3 用戶生命周期管理 .21 4.3.4 用戶身份信息的維護 .22 4.4 集中證書管理 . 22 4.4.1 集中證書管理功能特點 .22 4.5 集中授權(quán)管理 . 24 4.5.1 集中授權(quán)應(yīng)用背景 .24 4.5.2 集中授權(quán)管理對象 .25 4.5.3 集中授權(quán)的工作原理 .26 4.5.4 集中授權(quán)模式 .26 4.5.5 細粒度授權(quán) .27 4.5.6 角色的繼承 .27 4.6 集中認證管理 . 29 4.6.1 集中認證管理特點 .29 4.6.2 身份認證方式 .30 用 戶名 /口令認證 .30 數(shù)字證書認證 .30 Windows 域認證 .31 通行碼認證 .31 認證方式與安全等級 .32 4.6.3 身份認證相關(guān)協(xié)議 .32 SSL 協(xié)議 .32 Windows 域 .32 SAML 協(xié)議 .33 4.6.4 集中認證系統(tǒng)主要功能 .35 4.6.5 單點登錄 .35 單點登錄技術(shù) .35 單點登錄實現(xiàn)流程 .38 4.7 集中審計管理 . 41 4.7.1 集中審計總體架構(gòu) .41 第 5 章 . 統(tǒng)一身份認證服務(wù)平臺建設(shè)效益 . 43 5.1 極大強化了應(yīng)用系統(tǒng)信息審計 . 43 5.2 有效降低了運營成本，提升工作效率 . 43 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 4 第 1章 . 總論 1.1 背景 省 衛(wèi)生系統(tǒng) 信息技術(shù)的迅速發(fā)展使得信息化的程度不斷提高，在實施信息化過程中，諸如 HIS、 TIS、電子病歷等越來越多的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)設(shè)備應(yīng)用而生，提高 了 衛(wèi)生系統(tǒng) 的管理水平和運行效率。與此同時，隨著應(yīng)用系統(tǒng)的不斷增加，由于各個應(yīng)用系統(tǒng)帳戶管理和認證規(guī)則都不一致，導(dǎo)致用戶在使用和管理的過程中也面臨著越來越多的問題。 對整個 IT 管理提出了更高的要求，即對賬號（ Account）管理、統(tǒng)一認證（ Authentication） 管理、統(tǒng)一授權(quán)（ Authorization）管理和統(tǒng)一安全審計（ Audit）四項要求，也就是我們所說的 4A。因此針對已有應(yīng)用的 4A方面出現(xiàn)的問題，我們需要提出一整套的解決方案來有效的解決這些問題。 通過多年在賬號管理、統(tǒng)一認證管理、統(tǒng)一權(quán)限（ 授權(quán)）管理和安全審計積累的經(jīng)驗， 綜合 PKI/CA 基礎(chǔ)設(shè)施的安全理念和電子認證服務(wù)模式共同 提出了一整套解決方案，即 統(tǒng)一身份認證服務(wù)平臺 的解決方案，此方案在解決 4A 問題上具有極高的效果，能夠從人力、財力、物力上大大降低企業(yè)的成本，提高效率。下文 將 詳細 進行 系統(tǒng) 整體功能 的介紹 ，和 統(tǒng)一身份認證服務(wù)平臺 在省 衛(wèi)生系統(tǒng) 內(nèi)部實際應(yīng)用場景和需求解決方案介紹 。 在上述背景下，業(yè)務(wù)資源的協(xié)同、整合、綜合應(yīng)用逐步提上日程，在保證系統(tǒng)安全、穩(wěn)定的基礎(chǔ)上，如何發(fā)揮信息化系統(tǒng)資源豐富、處理高效的優(yōu)勢，正成為信息化建設(shè)中備受關(guān)注的焦點。 1.2 應(yīng) 用現(xiàn)狀 目前省 衛(wèi)生系統(tǒng) 信息化建設(shè)的目標(biāo)是：在基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、標(biāo)準(zhǔn)制度等相關(guān)信息化建設(shè)基礎(chǔ)上，和應(yīng)用集成平臺的建設(shè)，大力推進和加強業(yè)務(wù)、數(shù)據(jù)的集成與綜合應(yīng)用，實現(xiàn)不同區(qū)域、醫(yī)療機構(gòu)之間，甚至是不同組織間的業(yè)務(wù)協(xié)同運作，實現(xiàn)組織內(nèi)業(yè)務(wù)、數(shù)據(jù)、信息的有序、可控的流動與共享，充分挖掘和發(fā)揮數(shù)據(jù)資產(chǎn)的價值，最終成為一個協(xié)調(diào)發(fā)展的衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 5 有機整體。但是，現(xiàn)實的情況卻是： 隨著 衛(wèi)生系統(tǒng) 各項業(yè)務(wù)的不斷發(fā)展，各類 應(yīng)用系統(tǒng) 資產(chǎn)在數(shù)量上大幅度攀升，系統(tǒng)運維人員的工作量成倍增長。應(yīng)用運維人員在日常操作過程中不得不面對大量的帳號和系統(tǒng)口 令； 各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配訪問權(quán)限，缺乏統(tǒng)一的訪問控制平臺，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障； 個別賬號多人共用，擴散范圍難以控制，發(fā)生安全事故時更難以確定實際使用者； 對各個系統(tǒng)缺乏集中統(tǒng)一的訪問審計，無法進行綜合分析，因此不能及時發(fā)現(xiàn)入侵行為 ； 各應(yīng)用系統(tǒng)都有一套獨立的權(quán)限管理，管理員進入各應(yīng)用系統(tǒng)均需進行認證，且認證方式多為靜態(tài)口令，安全性較低；同時各應(yīng)用系統(tǒng)也都有一套獨立的授權(quán)管理，隨著用戶數(shù)據(jù)量的增多，角色定義的日益復(fù)雜，用戶授權(quán)的任務(wù)越來越重 ，為不影響工作效率，用戶往往會采用簡單口令或?qū)⒍鄠€系統(tǒng)的口令設(shè)置成相同的，造成對系統(tǒng)安全性的威脅；。 內(nèi)部安全管理的要求。為了保證生產(chǎn)、辦公系統(tǒng)的穩(wěn)定運行， 衛(wèi)生系統(tǒng) 及各 區(qū)域醫(yī)療機構(gòu) 制定了大量的安全管理規(guī)定，這些管理規(guī)定的執(zhí)行和落實與標(biāo)準(zhǔn)的制定初衷存在一定距離。 外部審計的要求。業(yè)務(wù)擴展和對應(yīng)用的靈活要求，經(jīng)常會提出從外部對內(nèi)部的各個系統(tǒng)進行審計，以便于隨時隨地掌握整個企業(yè)的各種情況。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 6 第 2章 . 平臺 需求分析 2.1 現(xiàn)實的業(yè)務(wù)需求 信息化建設(shè)的核心是保障應(yīng)用。但是，多個業(yè)務(wù)應(yīng)用系統(tǒng)訪問和操作過程難以管理，嚴(yán)重影響了 信息系統(tǒng)的應(yīng)用效率。要解決這個問題 ， 須 加強針對應(yīng)用層面的安全管控措施，提高系統(tǒng)的訪問控制強度， 并 針對數(shù)據(jù)進行完整性檢查、源發(fā)性檢查和抗抵賴保障 。同時，還應(yīng)注重客戶體驗 。 2.1.1 統(tǒng)一身份管理 以往信息系統(tǒng)的身份管理方式，各個業(yè)務(wù)系統(tǒng)的賬戶命名都有自己的規(guī)則，賬戶管理工作分散，維護工作繁瑣、用戶身份難以界定。而 統(tǒng)一身份認證服務(wù)平臺 可以結(jié)合現(xiàn)有的賬戶管理服務(wù)（ AD 目錄服務(wù)），針對不同賬戶應(yīng)用層面的信息安全基礎(chǔ)提供保障措施，可以創(chuàng)建統(tǒng)一的賬戶管理機制和平臺，面向不同的應(yīng)用系統(tǒng)和用戶，提供統(tǒng)一的、一致的身份管理和身份認證 服務(wù)。 2.1.2 統(tǒng)一交互界面 在跨系統(tǒng) 、跨部門、跨組織 的業(yè)務(wù)操作和信息查詢需求日益增多的情況下，從用戶使用的體驗角度來說，每一個業(yè)務(wù)應(yīng)用系統(tǒng)的操作界面、用戶認證彼此獨立，已經(jīng)成為業(yè)務(wù)過程中相關(guān)職能部門人員間相互協(xié)作的 巨大 障礙 。實現(xiàn)統(tǒng)一門戶，單次登錄功能。用戶登錄門戶后，多個業(yè)務(wù)系統(tǒng)間的訪問自行切換，極大改善用戶體驗感受。 2.1.3 集中授權(quán)和審計 跨系統(tǒng) 、跨區(qū)域、跨組織 的 用戶無法有效進行集中的授權(quán)管理和審計分析，有必要 通過 創(chuàng)建 統(tǒng)一身份認證服務(wù)平臺 ， 制定權(quán)限策略 、 系統(tǒng)訪問控制策略、審批權(quán)限流程等 ，加強內(nèi)部管控 和安全審計 ，對業(yè)務(wù) 流程和操作變更進行有效控制。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 7 2.1.4 高強度訪問控制 各業(yè)務(wù)系統(tǒng)有自己的認證規(guī)則，認證標(biāo)準(zhǔn)不一致、安全強度有高低。根據(jù)信息安全管理的木桶理論 “短板決定儲水量”，易出現(xiàn)安全短板。創(chuàng)建 統(tǒng)一身份認證服務(wù)平臺 ，跟據(jù)安全需求，采用數(shù)字證書、密鑰等的安全認證方式，可提高訪問控制安全強度。 2.1.5 數(shù)據(jù)保全服務(wù) 統(tǒng)一身份認證服務(wù)平臺 對業(yè)務(wù)系統(tǒng)涉及的重要數(shù)據(jù)提供數(shù)字簽名功能，使得任何非法的數(shù)據(jù)修改過程能夠被及時發(fā)現(xiàn)，保證數(shù)據(jù)從生成、流轉(zhuǎn)、共享到存儲整個生命周期內(nèi)的完整性和一致性；實現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全傳輸功能，通過采用 SSL 數(shù)據(jù)加密技術(shù)避 免數(shù)據(jù)傳輸過程中被竊取、盜用或篡改。 2.1.6 便捷客戶體驗 統(tǒng)一身份認證服務(wù)平臺 可以實現(xiàn)信息系統(tǒng)賬戶與實體的唯一綁定，每一個用戶在所有系統(tǒng)中以統(tǒng)一的身份進行各種業(yè)務(wù)操作，無須記憶大量的賬戶名和口令。同時，基于門戶平臺展示多個業(yè)務(wù)系統(tǒng)，實現(xiàn)單點登錄功能，使得用戶的業(yè)務(wù)操作更加便捷、高效。 2.2 更高的管理要求 2.2.1 集中管理、統(tǒng)一配置 省 衛(wèi)生系統(tǒng) 運作更加強調(diào)對資源的有效配置和管理，信息化建設(shè)也是以此為目標(biāo)開展的。醫(yī)療人員作為業(yè)務(wù)參與的主體，是 衛(wèi)生系統(tǒng) 重要的資源，同時又是其它各項資源的使用者和支配者 .但是分散的業(yè)務(wù)系統(tǒng)現(xiàn)狀、獨立的 賬號管理體制，人為的將本該統(tǒng)一、協(xié)同的各種資源隔離，無法滿足對人員實施動態(tài)管理的要求。信息化建設(shè)目標(biāo)應(yīng)適應(yīng)動態(tài)的人員管理機制的要求，實現(xiàn)對各種動態(tài)信息集中、實時的有效掌控，并以此為依據(jù)對各項企業(yè)資源進行統(tǒng)一、合理的配置，使企業(yè)運作更加高效有序。 2.2.2 提升信息安全防護水平 傳統(tǒng)的信息化安全防護只是針對系統(tǒng)層、網(wǎng)絡(luò)層，采用防火墻、防病衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 8 毒和入侵檢測等“老三樣”產(chǎn)品，已經(jīng)不能適應(yīng)當(dāng)前信息安全管理要求。傳統(tǒng)的技術(shù)方式缺乏針對應(yīng)用層和用戶行為管理的有效手段。作為信息安全基礎(chǔ)設(shè)施， 統(tǒng)一身份認證服務(wù)平臺 的實施能夠在防御外部入侵 和攻擊、防范內(nèi)部操作風(fēng)險方面有效提升信息安全保障水平。 2.2.3 強化業(yè)務(wù)操作責(zé)任認定 在當(dāng)今的信息管理中，更強調(diào)對參與人操作行為進行分析和控制，即：誰何時進入了哪些系統(tǒng)？訪問了哪些資源？做了哪些操作？產(chǎn)生了哪些后果？通過建立用戶信息的集中統(tǒng)一管理、用戶身份的統(tǒng)一認證、統(tǒng)一的用戶訪問控制以及集中的用戶行為審計，使用戶行為與實體身份形成關(guān)聯(lián)，便于實現(xiàn)用戶行為的有效責(zé)任認定，為系統(tǒng)應(yīng)用安全打下良好的基礎(chǔ)。 2.3 國內(nèi) 統(tǒng)一身份認證服務(wù)平臺 應(yīng)用現(xiàn)狀 目前，國內(nèi)信息化建設(shè)程度較高的行業(yè)紛紛啟動并實施了 統(tǒng)一身份認證服務(wù)平臺 的建設(shè)，下面 簡要介紹一下各個行業(yè) 統(tǒng)一身份認證服務(wù)平臺 的建設(shè)和使用情況。 2.3.1 典型案例 在保險領(lǐng)域，中國人民財產(chǎn)保險股份有限公司（ PICC）為了滿足業(yè)務(wù)的快速發(fā)展，在 2008 年底，開展了全集團統(tǒng)一賬戶管理、認證管理、授權(quán)管理和審計管理的系統(tǒng)建設(shè)工作。在該平臺建設(shè)中，全部采用了 統(tǒng)一身份認證服務(wù)平臺 產(chǎn)品，以 PKI/CA 技術(shù)為安全基礎(chǔ)依托，構(gòu)建起建覆蓋全國36 個省公司的 統(tǒng)一身份認證服務(wù)平臺 。 中國人民財產(chǎn)保險股份有限公司通過數(shù)字證書的應(yīng)用，建立起全公司的身份管理的統(tǒng)一標(biāo)準(zhǔn)，大力推進和加強數(shù)據(jù)、流程的集成與綜合應(yīng)用，實現(xiàn)不同部門、業(yè) 務(wù)間，甚至是不同分支機構(gòu)間的業(yè)務(wù)協(xié)同運作，實現(xiàn)全公司范圍內(nèi)數(shù)據(jù) /信息的有序、可控流動與共享，從而實現(xiàn)對人保財險信息系統(tǒng)的全面管控， 統(tǒng)一身份認證服務(wù)平臺 的建設(shè)內(nèi)容主要包括： 在人保財險總部部署（證書簽發(fā)系統(tǒng)），在全國 36 個省級分公司和集團部署（證書注冊系統(tǒng)），作為身份管理的基礎(chǔ)，通過 CA 為各業(yè)衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 9 務(wù)系統(tǒng)用戶簽發(fā)數(shù)字證書，并能夠通過系統(tǒng)實現(xiàn)各省對數(shù)字證書的獨立管理。 針對人保財險和 36 個省公司建立 LDAP 目錄服務(wù)系統(tǒng)，實現(xiàn)對人保財險各應(yīng)用系統(tǒng)用戶的統(tǒng)一管理。 對人保財險業(yè)務(wù)系統(tǒng)進行證書應(yīng)用集成工作，實現(xiàn) 基于 PKI 技術(shù)的身份認證、完整性檢查、抗抵賴、傳輸加密、數(shù)字簽名等安全功能。并確保在未來業(yè)務(wù)擴展中，能夠提供對新業(yè)務(wù)系統(tǒng)的應(yīng)用支撐。 制定完整的業(yè)務(wù)系統(tǒng)基于證書應(yīng)用的集成規(guī)范，作為保險公司身份管理、身份認證、授權(quán)管理和統(tǒng)一審計的標(biāo)準(zhǔn)。建立完整的運營管理規(guī)范，建設(shè)可靠的系統(tǒng)安全運營環(huán)境，制定完善的崗位管理制度、人員管理制度、數(shù)字證書鑒證、分發(fā)及安全管理策略。 建立 CA 系統(tǒng)及證書應(yīng)用審計監(jiān)控平臺。對 CA 的運行狀況和證書的使用情況進行監(jiān)控和審計，并支持與第三方審計平臺的集成。 為了滿足開展網(wǎng)上保險業(yè)務(wù)的法律保障需 求，制定證書信任體系的整體規(guī)劃，將基于數(shù)字證書的身份管理過程與電子簽名法中關(guān)于第三方認證的相關(guān)條款進行結(jié)合，為網(wǎng)上保險業(yè)務(wù)提供完整的法律保障環(huán)境。 建設(shè)基于數(shù)字證書的單點登錄系統(tǒng)，支撐包括賬戶管理、授權(quán)管理、認證管理和審計管理的 4A 應(yīng)用。 2.3.2 其他行業(yè) 銀行業(yè) 2004 年 5 月中國建設(shè)銀行在金融領(lǐng)域首先啟動了 統(tǒng)一身份認證服務(wù)平臺 項目，到 2006 年 1 月，完成了用戶身份的統(tǒng)一管理。身份管理產(chǎn)品采用了 HP 公司的 Select Identity、目錄服務(wù)器采用了 Novell 公司的 eDirectory、Web 中間件采用了 SUN 公司的 iPlanet。 建行 統(tǒng)一身份認證服務(wù)平臺 經(jīng)過三期項目實施，已完成了強認證系統(tǒng)、用戶統(tǒng)一身份管理、統(tǒng)一身份認證、統(tǒng)一訪問控制的項目目標(biāo)。建立起以身份管理、身份認證、訪問控制為核心的統(tǒng)一認證授權(quán)體系，以及規(guī)范的衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 10 用戶管理流程和授權(quán)管理機制。 建行 統(tǒng)一身份認證服務(wù)平臺 在 38 個一級分行的部署工作已經(jīng)完成，以目錄服務(wù)器、策略服務(wù)器、數(shù)據(jù)同步服務(wù)器、動態(tài)口令服務(wù)器構(gòu)成的分行設(shè)施延伸至一級分行。截止目前，建行 統(tǒng)一身份認證服務(wù)平臺 生產(chǎn)環(huán)境共接入應(yīng)用系統(tǒng) 78 個。 電信運營商 中國移動從 2007 年起，開始在全國各省 公司開展包括統(tǒng)一身份管理、統(tǒng)一認證管理、統(tǒng)一授權(quán)管理和統(tǒng)一審計管理在內(nèi)的 4A 建設(shè)。中國移動集團公司業(yè)務(wù)支撐部門和網(wǎng)絡(luò)部分別提出了 4A 建設(shè)規(guī)范。全國各省公司以規(guī)范為依據(jù)，結(jié)合自身業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)和信息系統(tǒng)（ OA、 MIS）的特點，建設(shè) 4A 統(tǒng)一管理平臺。 到目前為止，包括陜西、浙江、江蘇等多個省公司已經(jīng)建成了 4A 管理平臺，采用了數(shù)字證書等多種手段作為身份標(biāo)識、訪問控制和審計的基礎(chǔ)保障手段。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 11 第 3章 . 統(tǒng)一身份認證服務(wù)平臺的 建設(shè)目標(biāo) 3.1 整體目標(biāo) 在技術(shù)上，從根本上增強信息安全保障水平； 統(tǒng)一身份認證服務(wù)平臺作為信息 安全基礎(chǔ)設(shè)施，為上層業(yè)務(wù)應(yīng)用系統(tǒng)提供身份整合、身份認證、授權(quán)管理及決策和行為審計等安全服務(wù)。它能夠在廣度和深度兩個方面提供充分的安全保障：廣度上為網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、業(yè)務(wù)系統(tǒng)和管理信息系統(tǒng)提供認證、授權(quán)和審計服務(wù)；深度上為用戶提供身份整合、多種認證方式的支持，以及提供細粒度的統(tǒng)一授權(quán)、用戶行為的詳細審計分析服務(wù)； 在安全策略上，遵循信息安全等級保護的指導(dǎo)思想，按照信息安全等級保護基本要求，在身份管理、身份認證、訪問控制等方面形成適合實際情況的、可操作、便于執(zhí)行的一系列管理制度和操作規(guī)程，從管理上提 高信息安全保障水平； 在人員管理上，通過項目的實施、監(jiān)理、驗收等工程管理過程，按照信息系統(tǒng)安全保護等級實施指南和信息安全技術(shù)信息系統(tǒng)安全工程管理要求進行項目管理、監(jiān)理和驗收，培養(yǎng)一支既懂信息安全技術(shù)又懂信息安全項目管理的高素質(zhì)隊伍； 在標(biāo)準(zhǔn)上，針對身份管理、身份認證、訪問控制等方面形成適合實際的技術(shù)標(biāo)準(zhǔn)、接口規(guī)范。 3.2 業(yè)務(wù)目標(biāo) 通過 統(tǒng)一身份認證服務(wù)平臺 的建設(shè)，為應(yīng)用系統(tǒng)提供統(tǒng)一的身份管理、身份認證、訪問控制和安全審計服務(wù)。 建成內(nèi)部一致的、以用戶賬號為唯一標(biāo)識的用戶基本信息、關(guān)系信息等的單一用戶視圖 ； 實現(xiàn)基于用戶身份的高強度認證，提升系統(tǒng)安全性；支持單點登錄，衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 12 提升用戶訪問體驗； 加強對內(nèi)部用戶的管理操作和管理操作行為審計，強化內(nèi)部安全管控； 加強內(nèi)部操作風(fēng)險管控，降低系統(tǒng)管理復(fù)雜度，降低系統(tǒng)管理風(fēng)險； 強化用戶準(zhǔn)入管理，實現(xiàn)全系統(tǒng)用戶身份信息集中管理，為全體員工提供統(tǒng)一身份管理的工具，建立面向全體內(nèi)部用戶的訪問控制中心。 3.3 管理目標(biāo) 通過 統(tǒng)一身份認證服務(wù)平臺 的建設(shè)，利用綜合手段，形成標(biāo)準(zhǔn)管理流程，固化 IT 風(fēng)險管理成果： 建立立體的安全管理體系：根據(jù)實際安全需求，成立安全管理機構(gòu)，配備專職的安全管理人 員，落實各級領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任，對信息系統(tǒng)實現(xiàn)動態(tài)的安全管理機制； 實現(xiàn)標(biāo)識標(biāo)準(zhǔn)化：解決實體在網(wǎng)絡(luò)環(huán)境中標(biāo)識不一致的問題，完成管理機構(gòu)和員工代碼的標(biāo)準(zhǔn)化，實現(xiàn)“一證在手，暢行無憂 ”； 提高安全管控水平：使用 PKI/CA 技術(shù)作為基礎(chǔ)安全平臺，以業(yè)務(wù)系統(tǒng)改造為手段，加強員工身份和權(quán)限管理。 3.4 技術(shù)目標(biāo) 在信息化建設(shè)的過程中，為保證信息科技戰(zhàn)略規(guī)劃整體目標(biāo)的實現(xiàn)，加強各業(yè)務(wù)系統(tǒng)間的協(xié)同工作，有必要建設(shè) 統(tǒng)一身份認證服務(wù)平臺 ，實現(xiàn)以下技術(shù)目標(biāo)： 建立統(tǒng)一的用戶數(shù)據(jù)庫和系統(tǒng)管理員：通過 統(tǒng)一身份認證服務(wù)平臺 整合大部分業(yè)務(wù) 系統(tǒng)，建立統(tǒng)一的賬號、認證、授權(quán)和審計機制，并且由系統(tǒng)管理員統(tǒng)一負責(zé)該系統(tǒng)的維護和管理； 實現(xiàn)實體與業(yè)務(wù)系統(tǒng)賬號的統(tǒng)一：傳統(tǒng)應(yīng)用系統(tǒng)以賬號為單位進行用戶管理的業(yè)務(wù)系統(tǒng)，相同的實體在不同的系統(tǒng)中對應(yīng)不同的賬號，帶來了實體身份管理的混亂。為實現(xiàn)權(quán)限控制的準(zhǔn)確，有必要通過唯一的身份標(biāo)識，實現(xiàn)實體身份的統(tǒng)一； 統(tǒng)一的業(yè)務(wù)系統(tǒng)授權(quán)機制和管理：各業(yè)務(wù)系統(tǒng)間用戶權(quán)限管理分散，衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 13 缺乏集中統(tǒng)一的資源授權(quán)管理平臺，用戶工作變動時，需逐一調(diào)整每個系統(tǒng)中賬號的權(quán)限，由此易引發(fā)個別系統(tǒng)的遺漏，存在較大安全隱患。通過統(tǒng)一身份認證服務(wù)平臺 ，可進行集中高效的授權(quán)管理； 統(tǒng)一的審計和關(guān)聯(lián)分析：由于各業(yè)務(wù)系統(tǒng)間獨立、業(yè)務(wù)賬號的不一致，無法進行集中、有效的審計，更無法實現(xiàn)更深層次的關(guān)聯(lián)分析。既不能通過系統(tǒng)日志分析，避免安全隱患的發(fā)生，更不可能做到事后追溯，有必要建立統(tǒng)一的審計追溯機制； 實現(xiàn)單點登錄機制：登錄多業(yè)務(wù)系統(tǒng)之間時用戶經(jīng)常需要切換，用戶的操作不便，影響了工作效率。通過 統(tǒng)一身份認證服務(wù)平臺 ，用戶實現(xiàn)一次登錄，多系統(tǒng)自行切換； 統(tǒng)一接入標(biāo)準(zhǔn)：建立統(tǒng)一的訪問控制接口規(guī)范，簡化應(yīng)用系統(tǒng)接入復(fù)雜度。 通過以上分析 ， 為解決多應(yīng)用系統(tǒng)在使用、管理和技術(shù) 上的一系列問題，我們有必要規(guī)劃、開發(fā)、建設(shè)、運營一套統(tǒng)一身份認證服務(wù)平臺 ，實現(xiàn) 對全體員工的統(tǒng)一身份管理，實現(xiàn)多個 業(yè)務(wù)系統(tǒng)的統(tǒng)一登錄及身份認證，實現(xiàn)對業(yè)務(wù)系統(tǒng)訪問的集中授權(quán)和管控，實現(xiàn)對訪問過程的集中監(jiān)管和審計。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 14 第 4章 . 統(tǒng)一身份認證服務(wù)平臺 安全解決方案 4.1 系統(tǒng)總體設(shè)計 為了加強 衛(wèi)生系統(tǒng) 對業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)的安全管控，提高 衛(wèi)生系統(tǒng)信息化安全管理水平，我們?yōu)?衛(wèi)生系統(tǒng) 設(shè)計了基于 PKI/CA 技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認證服務(wù)平臺。 4.1.1 總體設(shè)計思想 為實現(xiàn) 衛(wèi)生系統(tǒng) 構(gòu)建針對人員帳戶管理層面和應(yīng)用層面的、全面完善的安全管控需要， 我們將按照如下設(shè)計思想為 衛(wèi)生系統(tǒng) 設(shè)計并實施統(tǒng)一身份認證服務(wù)平臺解決方案： 在 衛(wèi)生系統(tǒng) 內(nèi)部建設(shè)基于 PKI/CA 技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認證服務(wù)平臺，通過集中證書管理、集中賬戶管理、集中授權(quán)管理、集中認證管理和集中審計管理等應(yīng)用模塊實現(xiàn) 衛(wèi)生系統(tǒng) 所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標(biāo)。 提供 衛(wèi)生系統(tǒng) 現(xiàn)有統(tǒng)一門戶系統(tǒng)，通過集成單點登錄模塊和調(diào)用統(tǒng)一身份認證平臺服務(wù)，實現(xiàn)針對不同的用戶登錄，可以展示不同的內(nèi)容?？梢愿鶕?jù)用戶的關(guān)注點不同來為用戶提供定制桌面的功能。 建立統(tǒng)一身份認證服務(wù) 平臺，通過使用唯一身份標(biāo)識的數(shù)字證書即可登錄所有應(yīng)用系統(tǒng)，具有良好的擴展性和可集成性。 提供基于 LDAP 目錄服務(wù)的統(tǒng)一賬戶管理平臺，通過 LDAP 中主、從賬戶的映射關(guān)系，進行應(yīng)用系統(tǒng)級的訪問控制和用戶生命周期維護管理功能。 用戶證書保存在 USB KEY 中，保證證書和私鑰的安全，并滿足移動辦公的安全需求。 4.1.2 平臺總體介紹 以 PKI/CA 技術(shù)為核心，結(jié)合國內(nèi)外先進的產(chǎn)品架構(gòu)設(shè)計，實現(xiàn)集中的用戶管理、證書管理、認證管理、授權(quán)管理和審計等功能，為多業(yè)務(wù)系衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 15 統(tǒng)提供用戶身份、系統(tǒng)資源、權(quán)限策略、審計日志等統(tǒng)一、安全、有效的配 置和服務(wù)。 集中證書集中認證集中授權(quán)集中審計集中用戶身份管理單點登錄訪問控制責(zé)任界定 如圖所示，統(tǒng)一信任管理平臺各組件之間是松耦合關(guān)系，相互支撐又相互獨立，具體功能如下： 集中用戶管理系統(tǒng)：完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機制，簡化用戶及其賬號的管理復(fù)雜度，降低系統(tǒng)管理的安全風(fēng)險。 集中證書管理系統(tǒng)：集成證書注冊服務(wù)（ RA）和電子密鑰（ USB-Key）管理功能，實現(xiàn)用戶證書申請、審批、核發(fā)、更新、吊銷等生命周期管理功能，支持第三方電子認證服務(wù)。 集中認證管理系統(tǒng)：實現(xiàn)多業(yè)務(wù)系統(tǒng)的統(tǒng)一認證，支持數(shù)字證書、動態(tài)口令、靜態(tài)口令等多種 認證方式；為企業(yè)提供單點登錄服務(wù)，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。 集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問控制技術(shù)，實現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈活的訪問控制和授權(quán)管理功能，提高管理效率。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 16 集中審計管理系統(tǒng)：提供全方位的用戶管理、證書管理、認證管理和授權(quán)管理的審計信息，支持應(yīng)用系統(tǒng)、用戶登錄、管理操作等審計管理。 4.1.3 平臺總體邏輯結(jié)構(gòu) 臺總體邏輯結(jié)構(gòu)圖如下所示： 外部相關(guān)服務(wù)LDAPSever,Windows域服務(wù)等統(tǒng)一信任管理平臺 服務(wù)系統(tǒng)（身份管理、單點登錄、訪問控制、 責(zé)任 界 定 ）P K I基礎(chǔ)服務(wù)、加解密服務(wù)、 SA M L 協(xié)議統(tǒng)一信任管理平臺業(yè)務(wù)系統(tǒng)用戶管理認證管理授權(quán)管理審計管理郵 件財 務(wù) C R M證書管理 如圖所示，平臺以 PKI 基礎(chǔ)服務(wù)、加解密服務(wù)、 SAML 協(xié)議等國際成熟技術(shù)為基礎(chǔ)，架構(gòu)統(tǒng)一信任管理平臺的管理系統(tǒng)，通 過 WEB 過濾器、安全代理服務(wù)器等技術(shù)簡單、快捷實現(xiàn)各應(yīng)用系統(tǒng)集成，在保證系統(tǒng)安全性的前提下，更好的實現(xiàn)業(yè)務(wù)系統(tǒng)整合和內(nèi)容整合。 4.1.4 平臺總體部署 集中部署方式：所有模塊部署在同一臺服務(wù)器上，為企業(yè)提供統(tǒng)一信任管理服務(wù)。 部署方式主要是采用專有定制硬件服務(wù)設(shè)備，將集中帳戶管理、集中衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 17 授權(quán)管理、集中認證管理和集中審計管理等功能服務(wù)模塊統(tǒng)一部署和安裝在該硬件設(shè)備當(dāng)中，通過連接外部服務(wù)區(qū)域當(dāng)中的從 LDAP 目錄服務(wù)（ 衛(wèi)生系統(tǒng) 現(xiàn)有 AD 目錄服務(wù)）來完成對用戶帳戶的操作和管理。 4.2 平臺功能說明 平臺主要提供集中用戶管理、集中證書管理、集中認證管理、集中授權(quán)管理和集中審計等功能，總體功能模塊如下圖所示： 集 中 證 書注 冊 服 務(wù) 管 理電 子 密 鑰 管 理證 書 生 命 周 期 管 理過 程 管 理統(tǒng) 一 用 戶 接 口 用 戶 信 息 導(dǎo) 入 導(dǎo) 出 用 戶 信 息 映 射用 戶 信 息 同 步L D A P 身 份 源 系 統(tǒng) 數(shù) 據(jù)單 點 登 錄 系 統(tǒng) S S O集 中 用 戶用 戶 生 命 周 期 管 理用 戶 分 組 管 理角 色 管 理身 份 源 管 理集 中 認 證用 戶 身 份 認 證訪 問 策 略 管 理訪 問 資 源 管 理集 中 授 權(quán)集 中 審 計日 志 查 詢審 計 報 表 生 成業(yè) 務(wù) 審 計應(yīng) 用 系 統(tǒng) 授 權(quán)用 戶 授 權(quán) 管 理角 色 授 權(quán) 管 理組 策 略 授 權(quán) 管 理 總體功能模塊圖 4.3 集中用戶管理 隨著企業(yè)整體信息化的發(fā)展，大致都經(jīng)歷了網(wǎng)絡(luò)基礎(chǔ)建設(shè)階段、應(yīng)用系統(tǒng)建設(shè)階段，目前正面臨著實現(xiàn)納入到信息化環(huán)境中人員的統(tǒng)一管理和安全控制階段。隨著企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴展，在信息化促進業(yè)務(wù)加速發(fā)展的同時，企業(yè)信息化規(guī)模也在迅速擴大以滿足業(yè)務(wù)的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映的事件是無論是網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，其最終的 主體將是企業(yè)內(nèi)外的人員，每一為人員承擔(dān)著使用、管理、授權(quán)、應(yīng)用操作等角色。因此對于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中之重，只有加強人員的可信身份管理，才能做到大門的安全防護，才能為企業(yè)的管理、業(yè)務(wù)發(fā)展構(gòu)建可信的信息化環(huán)境，特別是采用數(shù)字證書認證和應(yīng)用后，完全可以做到全過程可信身份的管理，確保每個操作都是可信衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 18 得、可信賴的。 集中用戶管理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機制，簡化用戶及其賬號的管理復(fù)雜度，降低系統(tǒng)用戶管理的安全風(fēng) 險。 集中用戶管理功能示意圖 4.3.1 管理服務(wù)對象 集中用戶管理主要面向企業(yè)內(nèi)外部的人、資源等進行管理和提供服務(wù)，具體對象可以分為以下幾類： 最終用戶 自然人，包括自然人身份和相關(guān)信息 主賬號 與自然人唯一對應(yīng)的身份標(biāo)識，一個主賬號只能與一個自然人對應(yīng)，而一個自然人可能存在多個主賬號 從賬號 與具體角色對應(yīng)，每一個應(yīng)用系統(tǒng)內(nèi)部設(shè)置的用戶賬號，在統(tǒng)一信任管理平臺中每個主賬號可以擁有多個從帳號，也就是多種身份角色（即一個日然人在企業(yè)內(nèi)部具備多套應(yīng)用系統(tǒng)賬號） 資源 用戶使用或管理的對象，主要是指應(yīng)用系統(tǒng)及應(yīng) 用系統(tǒng)下具體功能 具體服務(wù)對象之間的映射對應(yīng)關(guān)系如下圖所示： 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 19 用戶賬號與資源映射圖 4.3.2 用戶身份信息設(shè)計 用戶類型 用戶是訪問資源的主體 ， 人是最主要的用戶類型：多數(shù)的業(yè)務(wù)由人發(fā)起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人控制。人又可再分為：員工、外部用戶。員工即企業(yè)的職員，是平臺主要的關(guān)注的用戶群體；外部用戶是指以獨立身分訪問企業(yè)應(yīng)用系統(tǒng)的一般個人客戶與企業(yè)客戶。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 20 身份信息模型 對各類用戶身份建立統(tǒng)一的用戶身份標(biāo)識。用戶身份標(biāo)識是統(tǒng)一用戶管理系統(tǒng)內(nèi)部使用的標(biāo)識，用于識別所有用戶的身份信息。用戶標(biāo)識不同于員 工號或身份證號，需要建立相應(yīng)的編碼規(guī)范。 為了保證用戶身份的真實、有效性，可以通過數(shù)字證書認證的方式進行身份鑒別并與用戶身份標(biāo)識進行唯一對應(yīng)。 用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如 HR中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的對照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢。 基于分權(quán)、分級的管理需要，用戶身份信息需要將用戶信息按照所屬機構(gòu)和崗位級別進行分類，便于劃分安全管理域，將用戶信息集中存儲在總部，以及管理域的劃分。 用戶認證信息管理用戶的認證方式 及各種認證方式對應(yīng)的認證信息，如用戶名 /口令，數(shù)字證書等。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號和相關(guān)口令，為了保證在平臺實施后可以使原有系統(tǒng)仍可以按照原有賬號方式操作，需要建立用戶標(biāo)識與應(yīng)用系統(tǒng)中賬號的對照關(guān)系。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 21 授權(quán)信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色和其它屬性。 身份信息的存儲 為了方便對人員身份的管理，集中用戶系統(tǒng)采用樹形架構(gòu)來進行人員組織架構(gòu)的維護，存儲方式主要采用 LDAP。可以通過企業(yè)內(nèi)部已有的人員信息管理系統(tǒng)當(dāng)中根據(jù)策略進行讀寫操作，目前主要支持以下數(shù)據(jù)源類型： Windows Active Directory（ AD） OpenLdap IBM Directory Server（ IDS） 4.3.3 用戶生命周期管理 用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份標(biāo)識（數(shù)字證書的頒發(fā)）、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的自動化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示： 由于要賦予用戶可信的身份標(biāo)識，所以需要通過數(shù)字證書認證的方式衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 22 來實現(xiàn)，在用戶生命周期管理過程中圍繞用戶包含了基于帳戶的生命周期和數(shù)字證書的生命周期管理的內(nèi)容。數(shù)字證書主要是與用戶的主 賬戶標(biāo)識進行唯一綁定，在用戶帳戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何改變，唯有在用戶帳戶進行注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進行吊銷和歸檔操作。 4.3.4 用戶身份信息的維護 目前集中用戶管理系統(tǒng)中對用戶身份信息的維護主要 以 企業(yè)已存在的AD 域 和 LDAP 作為基礎(chǔ)數(shù)據(jù)源，集中用戶 管理 系統(tǒng)作為用戶信息維護的主要入口， 可以 由人力資源部門的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)建、 修改、刪除、編輯 、查詢、 以及數(shù)字證書的發(fā)放。 AD 域 中的用戶信息變動通過 適配器 被平臺感知，并自動同步到平臺用戶身份信息存儲（目錄服務(wù) 器 ）中 ；平臺的用戶管理員也可以直接修改平臺中集中存儲的用戶身份信息，再由平臺同步到各個應(yīng)用系統(tǒng)中。 4.4 集中證書管理 集中證書管理功能主要是針對用戶的 CA 系統(tǒng) ， 包括： 1)證書申請 2)證書制作 3)證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸檔） 4)證書有效性檢查 集中證書管理功能集支持多種 CA 建設(shè)模式（自建和第三方服務(wù)）、多RA 集中管理、擴展性強等特性，從技術(shù)上及管理上以靈活的實現(xiàn)模式滿足用戶對證書集中管理的迫切需求，解決管理員對多平臺進行操作及維護困難的問題。 4.4.1 集中證書管理功能特點 集中證書 管理功能的實現(xiàn)就是通過集成證書注冊服務(wù)（ RA）和電子密鑰（ USB-Key）管理功能。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 23 1)集中制證 集中制證主要結(jié)合本地數(shù)據(jù)源中的數(shù)據(jù)為用戶進行集中制證，包括集中申請、自動審批。 通過 CA 的配置路徑，訪問指定的 CA 系統(tǒng)； CA 系統(tǒng)簽發(fā)數(shù)字證書并返回給管理員； 管理員將證書裝入 UBS Key,制證成功 .將數(shù)字證書發(fā)送給最終用戶。 2)證書生命周期管理 通過集中證書管理功能可實現(xiàn)對所制證書進行證書的生命周期管理，主要包括：證書的查詢、吊銷等，同時還可以實現(xiàn)對證書有效性的檢查。 證書有效性檢查，可支持與 CA 系統(tǒng) 的 CRL（證書掉銷列表）服務(wù)聯(lián)動及手動導(dǎo)入 CRL 列表 。 用戶通過證書認證方式登錄 “登錄門戶”； 將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模塊”； 服務(wù)檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無效將值返回“證書管理模塊”）； “證書管理模塊”將有效值返回“登錄門戶”，用戶通過認證。（若無效，用戶登錄失敗）； 用戶通過認證，正常進入應(yīng)用系統(tǒng)。 3)支持多種 CA 建設(shè)模式 4)多 RA 集中管理 在一個企業(yè)內(nèi)，根據(jù)證書應(yīng)用的需求，存在根 CA 下有多個子 CA，即存在多個 RA。通過平臺與 RA 的集成，可支持與企業(yè)內(nèi)的多 RA 進行集成，實現(xiàn)單平臺多 RA 的集中管理。 5)靈活擴展性 集中證書管理功能除了實現(xiàn)集中制證、證書生命周期管理功能，以及具有多 RA 管理、支持用戶 CA 系統(tǒng)的自建和服務(wù)模式的特點，還具有靈衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 24 活的擴展性?？蓪崿F(xiàn)與 RA 的完全集成，通過平臺實現(xiàn) RA 的完全接管，實現(xiàn)證書處理、證書生命周期管理、證書審批、支持多種申請模式、 RA 日志管理、密鑰管理、策略管理等。以滿足更多用戶對于集中證書管理的擴展性需求。 4.5 集中授權(quán)管理 4.5.1 集中授權(quán)應(yīng)用背景 分析一些大型企業(yè)，發(fā)現(xiàn)企業(yè)內(nèi)部各應(yīng)用系統(tǒng)自身授權(quán)非常完善，但是 從集中管理角度看，發(fā)現(xiàn)大企業(yè)中的傳統(tǒng)授權(quán)所存在如下問題： 1)系統(tǒng)權(quán)限分散：員工的流動及職位的變更，需要更改員工的系統(tǒng)使用權(quán)限，而多個系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來安全漏洞。 2)應(yīng)用系統(tǒng)的獨立性：各種應(yīng)用系統(tǒng)都使用獨立的登錄方式，員工需要記憶所有應(yīng)用系統(tǒng)的帳號、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率影響非常大，甚至簡化記憶問題，所有應(yīng)用系統(tǒng)統(tǒng)一使用相同的密碼，由此為黑客或者木馬程序提供機會，而對應(yīng)用系統(tǒng)的安全防護帶來極大地威脅。 集中授權(quán)的最大特點，就是集中在一個接口對組 /角色進行資源的合理分配。集中授權(quán)的過程，就是集中對用戶（組 /角色）通過何種方式（證書/口令）使用某種資源（應(yīng)用 /功能）的權(quán)限的分配。 員工入職，分配一個特定的原本已經(jīng)隸屬于某些角色 /組的身份賬戶，統(tǒng)一入口登錄，即可享有身份賬戶所屬角色 /組在公司應(yīng)用系統(tǒng)中的所有權(quán)限；當(dāng)職位變更時，只需更改身份賬戶所屬角色 /組，則所享有的權(quán)限也相應(yīng)變化，而對應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系統(tǒng)的安全性得到了極大提高，不會因為對應(yīng)的業(yè)務(wù)系統(tǒng)因為沒有中止用戶應(yīng)用權(quán)限而遭受安全風(fēng)險。 通過集中授權(quán)的管理模式，有效 地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營造一個安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 25 4.5.2 集中授權(quán)管理對象 集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角色屬性，進行對應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限關(guān)系，最終實現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng)和資源。 集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對象，然后針對該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進行權(quán)限關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣 的人、組織、角色進行訪問。 組：包括按照公司組織架構(gòu)或特定功能劃分的部門、工作組及個人用戶 通過以上兩種方模式，可以對企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進行合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理，最終實現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護企業(yè)的資產(chǎn)。 在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念： 角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進行角色定義?；谟脩艚M的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門下定義產(chǎn)品工程師 角色。目標(biāo)是在以后授權(quán)模式中通過對產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會一次性獲得授權(quán)，這樣方便管理，同時也是簡化了授權(quán)的操作。基于應(yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下的用戶職能進行定義。比如，針對 OA 應(yīng)用系統(tǒng)和結(jié)合人力資源架構(gòu)定義“總監(jiān)”，那么根據(jù) OA系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只要存在應(yīng)用系統(tǒng)對總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權(quán)后均可以按照總監(jiān)的角色進行應(yīng)用訪問。 資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，所有的功能模塊統(tǒng)稱為資源。資源的定義主要是方便人員、組織、角色授權(quán)時候的對象 指衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 26 定，最終經(jīng)過授權(quán)實現(xiàn)，什么樣的人員、組織、角色能訪問應(yīng)用系統(tǒng)的那些功能。也就是中細粒度授權(quán)所需要的涉及的內(nèi)容。 4.5.3 集中授權(quán)的工作原理 4.5.4 集中授權(quán)模式 1)基于組 /角色的訪問授權(quán)： 對于屬于某一組 /角色的用戶，管理員可以為其授權(quán)于可訪問的應(yīng)用系統(tǒng)和資源（應(yīng)用系統(tǒng)的功能）。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查看、分配的權(quán)限。 2)基于應(yīng)用系統(tǒng)和資源的授權(quán)： 對于某一選定應(yīng)用（或其包含的功能、功能組），管理員可以授權(quán)為其指派訪問資源（用戶、組 、角色） 授權(quán)管理模塊 角色模塊 組模塊 資源管理模塊 授權(quán) 訪問控制模塊 .定義權(quán)限（某些角色 /組享有系統(tǒng)應(yīng)用的哪些權(quán)限） .通過授權(quán)管理模塊的定義，對相應(yīng)權(quán)限進行調(diào)用 .系統(tǒng)中所有應(yīng)用資源的集合 . .通過口令、證書等執(zhí)行對權(quán)限的調(diào)用 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 27 4.5.5 細粒度授權(quán) 傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個授權(quán)于某一個人、某一機構(gòu)（組織）、某一類角色；而對于應(yīng)用系統(tǒng)下的模塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無法做到應(yīng)用系統(tǒng)的內(nèi)部授權(quán)機制，導(dǎo)致簡單的訪問控制授權(quán)無法滿足業(yè)務(wù)系統(tǒng)的精細化管理，為了滿足企業(yè)的細致化訪問控制，需要打破傳統(tǒng)授權(quán)模式，增加新的授權(quán)機制，即要實現(xiàn)細粒度的訪問控制授權(quán)。 而將資源管理模塊細粒度化，則是將應(yīng)用模塊拆分成單個的功能模塊，某幾個 功能模塊又可以組合成一個功能組，在授權(quán)時，針對某一應(yīng)用模塊中的功能或功能組模塊進行權(quán)限分配。 4.5.6 角色的繼承 提供了角色授權(quán)模型，在角色權(quán)限分配的管理過程中，角色之間可以實現(xiàn)多模式繼承，即單繼承、多繼承、動態(tài)繼承；多種模式的繼承由系統(tǒng)自動完成，但是當(dāng)繼承形成環(huán)路的時候，則繼承屬性自動中斷，保持獨立的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會因為角色繼承導(dǎo)致權(quán)限失去控制。針對繼承方式，如下定義： Function1 Function2 Function4 Function5 Function 功能組 功能組 用戶 1 用戶 2 角 色 1 角 色 2 角 色 應(yīng)用 系統(tǒng) 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 28 1)單繼承： 角色 A 繼承于角色 B ，則 A 擁有 B 所有的權(quán)限。 2)多繼承 角色 A 繼承于角色 B、角色 C、角色 D，則 A 同時擁有 B、 C、 D 所有的權(quán)限。 3)動態(tài)繼承： 角色 A 繼承于角色 B、角色 C、角色 D，用戶擁有角色 A； 角色 B 的登錄方式為口令；角色 C 的登錄方式為口令和證書；角色 D的登錄方式為證書。 4)循環(huán)繼承： 角色循環(huán)繼承時，系統(tǒng)內(nèi)部自行處理，在 循環(huán)處于環(huán)路，則繼承自動斷開。 角色 A 角色 B 角色 C 角色 D 角色 D 角 色 C 角色 B 角色 A 資源 繼承于 口 令 口令 /證書 證書 登 入 系 統(tǒng) 口令 證書 角色 A 角色 B 角色 C 角 色 A 角色 C 角色 D 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 29 4.6 集中認證管理 集中 認證 管理 為企業(yè)的 IT 系統(tǒng)提供 統(tǒng)一的身份 認證， 是企業(yè)安全門戶入口，只有安全的認證機制才可以保證企業(yè)大門不被非法人員進入；在整個認證系統(tǒng)中 其服務(wù)的 對象包括企業(yè)接入統(tǒng)一認證平臺的所有 業(yè)務(wù)系統(tǒng)、管理系統(tǒng) 和應(yīng)用系統(tǒng) 等，統(tǒng)一認證系統(tǒng)能夠提供快速、高效和安全的服務(wù) ，應(yīng)用 系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴展性、高可用性。 4.6.1 集中認證管理特點 1)提供多因素認證服務(wù) 集中認證管理 可以為多個不同種類、不同形式的應(yīng)用提供統(tǒng)一的認證服務(wù)，不需要應(yīng)用系統(tǒng)獨立開發(fā)、設(shè)計認證系統(tǒng)，為業(yè)務(wù)系統(tǒng) 快速推出新的業(yè)務(wù)和服務(wù)準(zhǔn)備了基礎(chǔ)條件 ，集中 認證 管理 為這些應(yīng)用提供了統(tǒng)一的接入形式。 2)提供多種認證方式 企業(yè)的不同業(yè)務(wù)系統(tǒng)的安全級別不同 ,使用環(huán)境不同，用戶的習(xí)慣和操作熟練程度不同， 集中 認證 管理 可以針對這些不同的應(yīng)用特點提供不同的認證手段。 3)提供統(tǒng)一和多樣化的認證策略 集中認證管理 針對不同的認證方式，提供了統(tǒng)一的策略控制，各個應(yīng)用系統(tǒng) 也 可以根據(jù)自身的需要進行個性化的策略設(shè)置，根據(jù) 應(yīng)用或用戶類型的需求，設(shè)置個性化的認證策略 ， 提高應(yīng)用系統(tǒng)的 分級管理 安全。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 30 4.6.2 身份認證方式 集中認證管理系統(tǒng)支持多種身份認證方式 ，包括： 1)用戶名 /口令 2)數(shù)字證書 3)Windows 域認證 4)通行碼 集中 認證 管理同時 支持上述 四 種認證方式， 也可以根據(jù)用戶的需求對用戶登錄認證方式進行擴展。 下面首先分別介紹這些認證方式，然后介紹認證方式與安全等級。 用戶名 /口令認證 用戶名 /口令是最傳統(tǒng)且最普遍的身份認證方法，通常采用如下形式：當(dāng)用戶需要訪問系統(tǒng)資源時，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認證中心。并和認證中心保存的用戶信息進行比對。如果驗證通過，系統(tǒng)允許該用戶進行隨后的訪問操作，否則拒絕用 戶的 下 一步的訪問操作。 靜態(tài)口令的優(yōu)點是簡單且成本低，但是如果用戶不去修改它，那么這個口令就是固定不變的、長期有效的，因此這種認證信息的靜態(tài)性，導(dǎo)致傳統(tǒng)口令在很多情況下都有著發(fā)生口令泄密的危險。在整體安全認證中，對于瀏覽非重要資源的用戶可以采用該方法。 數(shù)字證書認證 數(shù)字證書是目前最常用 一種比較安全的 身份認證技術(shù)。數(shù)字證書技術(shù)是衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 31 在 PKI 體系基礎(chǔ)上實現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認證，還可以進一步進行安全加密，數(shù)字簽名等操作。 依據(jù)自己多年的安全經(jīng)驗，提供完整的數(shù)字身份認證解決方案。 數(shù)字證書的存儲方 式非常靈活，數(shù)字證書可被直接存儲在 計算機中，也可 存儲在智能卡或 USB Key 中 。 Windows 域 認證 Windows 域是一種應(yīng)用層的用戶及權(quán)限集中管理技術(shù)。當(dāng)用戶通過Windows 系列操作系統(tǒng)的登錄界面成功登錄 Windows 域后，就可以充分使用域內(nèi)的各種共享資源，同時接受 Windows 域?qū)τ脩粼L問權(quán)限的管理與控制。目前，很多企業(yè)、機構(gòu)和學(xué)校都使用域來管理網(wǎng)絡(luò)資源，用于控制不同身份的用戶對網(wǎng)絡(luò)應(yīng)用及共享信息的使用權(quán)限。 集中 認證 管理 支持 Windows 域登錄， 對于已經(jīng)登錄到 Windows 域中的用戶，不需 要輸入用戶名、密碼而直接使用當(dāng)前登錄的域用戶信息進行驗證，如果驗證成功則進入，否則拒絕進入。 通行碼 認證 通行碼是集中認證管理支持的一種特有認證方式， 用戶忘記 其他認證信息時 ，可以向管理員申請一次性使用的口令進行身份認證。 主要滿足安全應(yīng)急服務(wù)，當(dāng)用戶安全認證的憑證遺忘或者丟失，通過后臺管理員生成通行碼的方式，幫助用戶解決認證登錄；通行碼具備時效性和一次性特點，當(dāng)使用過或者超出使用時間范圍，其認證效力自動失效，非常強大的保證了系統(tǒng)的安全性和可靠性；在有效地時間段范圍內(nèi)，能有效、快速的幫助用戶解決認證和系統(tǒng)準(zhǔn)入的 問題，為應(yīng)用提供了便利。 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 32 認證方式與安全等級 每種認證方式對應(yīng)安全等級的一個范圍，安全等級的范圍又是根據(jù)安全策略來界定的。認證方式（如用戶 名 /口令、 數(shù)字 證書 、 Windows 域等 ）僅僅是在認證系統(tǒng)內(nèi)部來管理和控制的，身份認證子系統(tǒng)與其他子系統(tǒng)之間的信息交換都是通過認證的安全等級來實現(xiàn)的。 4.6.3 身份認證相關(guān)協(xié)議 身份認證管理支持 的身份認證協(xié)議有： 1)SSL 協(xié)議。 2)Windows 域認證 3)SAML 協(xié)議 集中認證管理 同時支持上述三種認證協(xié)議 ， 下面詳細介紹這些認證協(xié)議。 SSL 協(xié)議 SSL（ Secure Socket Layer，安全套接層）協(xié)議最早由 Netscape 提出，是一種用于保護互聯(lián)網(wǎng)通信私密性的安全協(xié)議，現(xiàn)在已經(jīng)是該領(lǐng)域的工業(yè)標(biāo)準(zhǔn)。通過 SSL 協(xié)議，可以使通信不被惡意攻擊者竊聽，并且始終對服務(wù)端進行認證（也可以應(yīng)用可選的客戶端認證）。 SSL 可以使用 RC4、 DES 等多種加密算法，并應(yīng)用 X.509 數(shù)字證書標(biāo)準(zhǔn)進行認證，從保護機制上來講，是比較完善的。而且 SSL 的實現(xiàn)成本比較低，可以很容易的結(jié)合現(xiàn)有的應(yīng)用環(huán)境建立比較安全的傳輸，所以獲得了極為廣泛的應(yīng)用。 基于 SSL 協(xié)議的身份認證方式與用戶名 /口令方式相比， 最顯著的優(yōu)勢在于 SSL 提供雙向的身份認證，不僅可以驗證客戶端的身份同時也可以認證服務(wù)器的身份。 Windows 域 Windows 交互式登錄是我們平常常見的 一種登錄認證方式 ，交互式登衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 33 錄包括 “本地登錄 ”和 “域賬號登錄 ”，而 “本地登錄 ”僅限于 “本地賬號登錄 ”。 1)本地用戶賬號 采用本地用戶賬號登錄，系統(tǒng)會通過存儲在本機 SAM 數(shù)據(jù)庫中的信息進行驗證。用本地用戶賬號登錄后，只能訪問到具有訪問權(quán)限的本地資源。 2)域用戶賬號 采用域用戶賬號登錄，系統(tǒng)則通過存儲在域控制器的活動目錄中的數(shù)據(jù)進行驗證。如果該用戶賬號有 效，則登錄后可以訪問到整個域中具有訪問權(quán)限的資源。 用戶登錄域的過程即是活動目錄認證用戶的過程，具體過程如下 : 登錄到域的驗證過程，對于不同的驗證協(xié)議也有不同的驗證方法。如果域控制器是 Windows NT 4.0，那么使用的是 NTLM 驗證協(xié)議，其驗證過程和 “登錄到本機的過程 ”基本一致 ， 唯一 區(qū)別就在于驗證賬號的工作不是在本地SAM 數(shù)據(jù)庫中進行，而是在域控制器中進行；而對于 Windows 2000 和Windows 2003 域控制器來說，使用的一般為更安全可靠的 Kerberos V5 協(xié)議。通過這種協(xié)議登錄到域，向 域控制器證明自己的域賬號有效，用戶需先申請允許請求該域的 TGS(Ticket-Granting Service-票據(jù)授予服務(wù) )。獲準(zhǔn)之后，用戶就會為所要登錄的計算機申請一個會話票據(jù)，最后還需申請允許進入那臺計算機的本地系統(tǒng)服務(wù)。 SAML 協(xié)議 2003 年初， OASIS 小組批準(zhǔn)了安全性斷言標(biāo)記語言（ Security Assertion Markup Language， SAML）規(guī)范。由于來自 25 家公司的 55 名專家參與了該規(guī)范的制定。 SAML 是第一個可能成為多個認證協(xié)議的規(guī)范以利用 Web基礎(chǔ)結(jié)構(gòu)（在這種 Web 基礎(chǔ)結(jié)構(gòu)中， XML 數(shù)據(jù)在 TCP/IP 網(wǎng)絡(luò)上通過 HTTP協(xié)議傳送）。 OASIS 小組開發(fā) SAML 的目的是作為一種基于 XML 的框架，用于交換安全性信息。 SAML 與其它安全性方法的最大區(qū)別在于它以有關(guān)多個主體的斷言的形式來表述安全性。其它方法使用中央認證中心來發(fā)放證書，衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 34 這些證書保證了網(wǎng)絡(luò)中從一點到另一點的安全通信。利用 SAML，網(wǎng)絡(luò)中的任何點都可以斷言它知道用戶或數(shù)據(jù)塊的身份。然后由接收應(yīng)用程序做出決定，如果它信任該斷言，則接受該用戶或數(shù)據(jù)塊。任何符合 SAML 的軟件然后都可以斷言對用戶或數(shù)據(jù)的認證。對于即將出 現(xiàn)的業(yè)務(wù)工作流Web 服務(wù)標(biāo)準(zhǔn)（在該標(biāo)準(zhǔn)中，安全的數(shù)據(jù)需要流經(jīng)幾個系統(tǒng)才能完成對事務(wù)的處理）而言，這很重要。 SAML 是旨在減少構(gòu)建和操作信息系統(tǒng)（這些系統(tǒng)在許多服務(wù)提供者之間相互操作）所花費成本的眾多嘗試之一。在當(dāng)今競爭激烈且迅速發(fā)展的環(huán)境中，出現(xiàn)了通過瀏覽器和支持 Web 的應(yīng)用程序為用戶提供互操作性的企業(yè)聯(lián)合。例如，旅游網(wǎng)站允許用戶不必進行多次登錄即可預(yù)訂機票和租車。今天，一大群軟件開發(fā)人員、 QA 技術(shù)人員和 IT 經(jīng)理都需要處理復(fù)雜的和不可靠的后端系統(tǒng)，這些系統(tǒng)提供了企業(yè)之間的聯(lián)合安全性。 在典型的支持 Web 的 基礎(chǔ)結(jié)構(gòu)中，運行業(yè)界領(lǐng)先的企業(yè)系統(tǒng)的軟件需要處理權(quán)限服務(wù)器之間的瀏覽器重定向、服務(wù)器域之間的 HTTP post 命令、公鑰基礎(chǔ)結(jié)構(gòu)（ public key infrastructure， PKI）加密和數(shù)字證書，以及聲明任何給定用戶或組的信任級別的相互同意（ mutually agreed-upon）機制。SAML 向軟件開發(fā)人員展示了如何表示用戶、標(biāo)識所需傳送的數(shù)據(jù)，并且定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過程。 SAML 組件關(guān)系圖如下： 衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 35 SAML 組件關(guān)系圖 4.6.4 集中 認證系統(tǒng)主要功能 集中 認證系統(tǒng)的主要功能包括： 支持多種認 證方式，包括 用戶名 /口令、數(shù)字證書 、 Windows 域認證和通行碼 ，并且為 其他 認證技術(shù)留有接口； 支持多種認證協(xié)議，包括支持數(shù)字證書認證的 SSL 協(xié)議 ， Windows域認證 ， SAML 協(xié)議等 ； 支持單點登錄 支持會話管理 管理用戶的認證憑證信息，如數(shù)字證書等； 制定身份認證的安全策略，如定義認證模式和安全等級等 ； 認證系統(tǒng)模塊管理，如對應(yīng)用認證網(wǎng)關(guān)的管理等。 4.6.5 單點登錄 單點登錄是集中認證管理的主要功能，本部分從功能實現(xiàn)原理，系統(tǒng)硬件配置，單點登錄實現(xiàn)流程等方面進行說明。 單點登錄技術(shù) 軟件應(yīng)用插件式網(wǎng)關(guān)（ WEB 攔截器技術(shù)） Web 攔截器（ Intercepting Web Agent）是一種基于過濾技術(shù)（ Filter）的衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 36 應(yīng)用防火墻。使用 Web 攔截器在請求到達之前來攔截請求，并在應(yīng)用外部提供認證和授權(quán)。例如，對于沒有或有很少安全措施的應(yīng)用，必須提供合適的認證和授權(quán)。因此，可使用攔截 Web 代理提供適當(dāng)?shù)谋Ｗo，而不是修改代碼或重寫 Web 層。 Web 攔截器可以安裝在 Web 服務(wù)器中，通過在 Web服務(wù)器上攔截入站請求和執(zhí)行訪問控制策略，來對入站請求進行認證和授權(quán)。 對于本身不能實現(xiàn)安全或難以修改的應(yīng)用，通過將安全與應(yīng)用分離，提供 一種理想的安全保護方法，它還可以集中管理與安全相關(guān)的組件。安全策略及其實現(xiàn)細節(jié)是在應(yīng)用外部實施的，因此可以修改，而不會影響應(yīng)用。 攔截 Web 代理將安全邏輯與應(yīng)用邏輯分開，從而提高了可維護性。通常，攔截 Web 代理的實現(xiàn)制要求配置，而無需修改代碼。另外，通過將與安全相關(guān)的處理轉(zhuǎn)移到應(yīng)用之外（即服務(wù)器上），攔截 Web 代理還提高了應(yīng)用的性能。在 Web 服務(wù)器上，沒有通過認證和授權(quán)的請求將被拒絕，因此不會占用應(yīng)用的額外周期。 硬件應(yīng)用網(wǎng)關(guān) (安全代理服務(wù) ) 使用安全服務(wù)代理（ Secure Service Proxy）在應(yīng) 用外提供認證和驗證，這是通過攔截安全檢查請求，然后將其委派給合適的服務(wù)實現(xiàn)的。硬件網(wǎng)關(guān)系統(tǒng)邏輯架構(gòu)如下圖所示。 應(yīng)用網(wǎng)關(guān)功能邏輯圖 安全服務(wù)代理攔截來自客戶端的所有請求，確定請求服務(wù)，然后執(zhí)行服務(wù)要求的安全策略，并將請求從入站協(xié)議轉(zhuǎn)換為目標(biāo)服務(wù)要求的協(xié)議，最后將請求轉(zhuǎn)發(fā)給目標(biāo)服務(wù)。在返回路徑上，安全服務(wù)代理將結(jié)果從服務(wù)衛(wèi)生統(tǒng)一身份認證應(yīng)用解決方案 37 使用的協(xié)議和格式轉(zhuǎn)換為客戶要求的協(xié)議和格式。它也可以保留客戶會話中首次請求創(chuàng)建的安全上下文，供以后的請求使用。 可在企業(yè)外圍配置安全服務(wù)代理提供認證、授權(quán)和其他安全服務(wù)，為遺留的或缺少安 全機制的輕量級企業(yè)服務(wù)實施安全策略。安全服務(wù)代理模式與 Web 攔截器模式類似，但安全服務(wù)代理模式更高級，因為它不要求使用基于 HTTP 的 URL 訪問控制，也不要求使用任何傳輸協(xié)