安信天元多應用系統(tǒng)單點登錄安全身份認證系統(tǒng)解決方案(支持ECC CA認證中心)

安信天元多應用系統(tǒng)單點登錄安全身份認證系統(tǒng)解決方案 支安信天元多應用系統(tǒng)單點登錄安全身份認證系統(tǒng)解決方案 支 持持 ECCECC CACA 認證中心 認證中心 1 背景分析 良好的網絡環(huán)境使得教育網絡應用系統(tǒng)和用戶都達到了相當的規(guī)模 大部分都建立了自己 的對外宣傳網站以及各業(yè)務系統(tǒng)等 網上教學和網上服務 但是 在看到信息化可喜現狀 的同時 經過深入的分析 也可以發(fā)現不少問題 1 1 缺乏集中統(tǒng)一的用戶身份管理機制 統(tǒng)一的用戶管理與認證是實施單點登陸的基礎 如果各個應用的用戶管理不統(tǒng)一 一個用 戶在不同的系統(tǒng)中有不同的身份標識 或多個用戶在不同的系統(tǒng)中使用相同的用戶標識 則系統(tǒng)無法區(qū)分用戶在數字空間中的真實身份 即使將多個應用堆積在一起 也只能是一 堆無關的鏈接 無法給用戶提供統(tǒng)一的入口和個性化的服務 因此 必須建立統(tǒng)一的用戶 管理 并采用統(tǒng)一的認證接口 使得教育中每一個真實的用戶都在數字空間中有一個與其 對應的身份與標識 并且這個數字身份在各個應用系統(tǒng)中有相同的含義 1 2 缺乏單點登錄機制 由于系統(tǒng)各異 每個系統(tǒng)都有自己個性化的登錄界面 人體工學研究表明 如果一個人在 一天的工作中輸入用戶名及口令的次數超過 25 次 那么該工作被認為是無法忍受的 因而 對于用戶來說 在不同的系統(tǒng)中采用用戶名 口令的登錄模式 首要解決的便是統(tǒng)一認證 的問題 也就是將不同的用戶都集中在門戶中進行統(tǒng)一登錄 只要通過一次的登錄 便能 自動完成到其他應用系統(tǒng)登錄 1 3 缺乏集中統(tǒng)一的日志審計機制 需要利用安全日志記錄和審計 以保證在發(fā)生安全相關問題的時候能夠做到追蹤問責 通 過對安全日志記錄的查詢和分析以及相關的審計操作找到安全問題的根源所在 安全審計 和日志的范圍可以根據教育系統(tǒng)的實際需要進行設置 但是對于安全密切相關的用戶登錄 事件 訪問控制事件以及身份認證 訪問控制 數據加密 數字簽名等行為安全事件等應 該進行安全審計操作 并記錄系統(tǒng)安全日志 目前 教育網中對系統(tǒng)資源的關鍵操作審計 信息也是分散的 使得管理員對于系統(tǒng)安全事件的分析和追蹤變得十分復雜 2 解決方案 2 1 系統(tǒng)概述 安信天元單點登錄系統(tǒng)是一個集中的用戶認證管理和集成環(huán)境 可管理和分發(fā)用戶的權限 和身份 為不同的應用系統(tǒng)提供用戶和權限管理服務 能夠解決上面提到的傳統(tǒng)的開發(fā)模 式的諸多弊端 首先 系統(tǒng)實現了統(tǒng)一的用戶身份認證信息管理 可以實現用戶認證信息的統(tǒng)一管理 避 免了在各個應用系統(tǒng)的身份信息數據庫的數據同步更新 用戶只需要在統(tǒng)一身份認證系統(tǒng) 中注冊或更改自己的認證信息即可 這無疑方便了用戶使用 也保證了數據的完整性 減 少數據冗余 同時避免了各個應用系統(tǒng)的重復開發(fā) 其次 系統(tǒng)實現了基于多個應用系統(tǒng)的單點登錄 這將極大的方便用戶使用 提高系統(tǒng)的 易用性 另外 采用分布式的目錄信息樹結構 對用戶認證信息進行有效組織和管理 可以提供高 效安全的目錄訪問 目錄服務是一種特殊的數據庫 可以用來保存描述性的 基于屬性的 信息 并且支持復雜的過濾搜索能力 目錄被優(yōu)化為針對大量的查找或者搜索操作進行快 速的響應 它們可以具有大范圍復制信息的功能 以便提高可用性和可靠性 同時縮短響 應時間 通過實施建立單點登錄系統(tǒng)和安全防護系統(tǒng) 為用戶提供統(tǒng)一的信息資源認證訪問入口 建立統(tǒng)一的 基于角色的和個性化的信息訪問 集成平臺 通過實施單點登錄功能 使用 戶只需一次登錄就可以根據相關的規(guī)則去訪問不同的應用系統(tǒng) 提高信息系統(tǒng)的易用性 安全性 穩(wěn)定性 2 2 系統(tǒng)結構 以下是系統(tǒng)總體架構 安信天元單點登錄系統(tǒng)將涉及的所有應用集成起來 給不同層次的使用者提供信息服務 采用統(tǒng)一的用戶管理和身份認證 實現用戶單點登錄 single sign on SSO 用戶一次 登錄后就可以訪問數字教育的各個應用 通過統(tǒng)一的訪問控制管理 使得系統(tǒng)展現用戶有 權訪問的應用 新增的應用也能夠自動加入到系統(tǒng)中 系統(tǒng)能夠充分保證信息系統(tǒng)中的各種資源和業(yè)務系統(tǒng)的單點登錄的實現 并且能夠實現訪 問時的安全行為 為上層多種業(yè)務和多種設備提供統(tǒng)一的安全支撐服務 提高信息系統(tǒng)的 業(yè)務可擴展能力 根據安全需要 可為不同用戶選擇不同安全級別的認證方式 如普通用戶使用靜態(tài)用戶名 密碼認證 核心用戶使用數字證書認證 2 3 系統(tǒng)功能 從功能上看 系統(tǒng)主要包括四大邏輯組成部分 l 用戶認證管理 1 B S 的帳號密碼認證 2 單一應用系統(tǒng)的基本認證 3 多應用系統(tǒng)間切換的認證 2 用戶組織 管理 1 組織管理 2 用戶管理 角色管理 3 應用系統(tǒng)管理 1 提供應用系統(tǒng)信息 包括中文名 英文名 網絡地址 證書有效期 2 應用系統(tǒng)接入身份認證 生成服務器證書 3 添加應用系統(tǒng)的管理員 4 設置應用系統(tǒng)中的角色 5 設置可以訪問此應用系統(tǒng)的用戶 組織或角色 4 系統(tǒng)管理 1 日志管理 2 訪問策略 3 系統(tǒng)備份 4 操作員管理 2 4 系統(tǒng)工作過程 管理員首先完成單點登錄管理應用 用戶在其中注冊一個單點登錄賬號 然后針對每個應用系統(tǒng)綁定一個該應用系統(tǒng)中原有的 賬號 并維護這些注冊和綁定信息 綁定的過程需要單點登錄管理應用服務器到應用系統(tǒng) 服務器上驗證用戶提供的該應用系統(tǒng)中原有賬號和密碼 應用服務器均以相同的 Web Service 接口提供該功能支持 之后以用戶單點登錄管理應用和令牌傳輸識別的標準來實 現用戶單點登錄流程 1 用戶訪問應用系統(tǒng) 2 應用系統(tǒng)如果檢查到用戶沒有在自己的服務器登錄 則將用戶請求重定向到單點登錄服 務器上 使用重定向就可以處理各服務器跨域的情況 3 單點登錄服務器檢查到用戶已經單點登錄 如果用戶沒有單點登錄則要求用戶登錄 登 錄標志存儲為客戶端瀏覽器的 Cookie 找到該用戶在相應應用系統(tǒng)上綁定的賬號 4 單點登錄服務器根據第三步的結果生成用戶令牌 重定向回應用系統(tǒng) 5 應用系統(tǒng)接收統(tǒng)一格式的用戶令牌 取得用戶在本系統(tǒng)上的登錄賬號 將用戶在本系統(tǒng) 上狀態(tài)置為登錄 返回用戶請求訪問的頁面 如果用戶在訪問應用系統(tǒng)之前已經在單點登錄服務器上登錄過 第二步到第四步對用戶來 說就是透明的 用戶感覺只是向應用系統(tǒng)發(fā)出了訪問請求 然后得到了頁面反饋 2 5 系統(tǒng)特性 2 5 1 產品特點 1 真正實現了單點登錄 全網訪問 方便用戶的使用過程 2 各系統(tǒng)之間耦合度低 應用系統(tǒng)的改造不破壞其固有流程和結構 整個系統(tǒng)的實施過程 安全平滑 3 整合了過去分散在各應用系統(tǒng)中雖然有內在關聯卻難以判別的用戶信息資源 4 統(tǒng)一了應用服務器的用戶認證信息訪問標準 5 統(tǒng)一了令牌安全加密的傳輸和識別標準 為將來更多應用系統(tǒng)提供了統(tǒng)一的單點登錄框 架 6 統(tǒng)一了的日志審計機制 2 5 2 方案實施后的效果 1 帶來管理上的方便 1 靈活的用戶管理 2 用戶標識采用統(tǒng)一編碼規(guī)則 網內的所有用戶都采用統(tǒng)一的編碼規(guī)則 實現用戶身份的 唯一標識 3 用戶身份交換和同步 可以從用戶數據源的應用系統(tǒng)導入用戶數據 也可以批量導出用 戶數據供其他應用系統(tǒng)使用 并且提供數據同步機制 使得用戶數據可以自動與數據源中 的數據自動進行必要的同步 4 身份認證系統(tǒng)與數據中心實時聯動 用戶目前已存在數據中心 身份認證系統(tǒng)中用戶標 識從數據中心獲得 并能與數據中心實施聯動 5 用戶信息發(fā)布 發(fā)布用戶公開信息 6 身份管理設置方便 減少人工設置身份管理和資源權限分配策略所需人力資源 和重新 調配人力資源到更重要工作位置上 提高效率 2 帶來明顯的安全效益 1 縮短安全真空期 當用戶離開時 他們還可能具備原來身份和訪問資源的權限 2 有效管理長期不使用帳號名單 進行相應處理 以防止黑客利用這些帳號進行攻擊并節(jié) 省資源空間 3 在用戶身份和資源權限變更時自動進行相應調整 以降低運營風險 4 減少人工操作進行身份管理和資源權限分配造成的錯誤漏洞 偏私和工作量 3 方案總結 本方案結合信息網絡建設安全體系的具體需求 以合理的設計理念為基本原則 利用標準 先進的主流技術 引入先進的安全產品 充分滿足建設全網單點登陸和身份管理的安全體 系的建設目標 達到提高全網安全管理水平 為全網應用保駕護航的項目實施目的 1 創(chuàng)造新的教育和工作模式 單點登陸的建設不是一項單純的技術工作 而是一項人類工程 它將先進的信息技術引入 到各項活動中去 提高工作質量和效率 創(chuàng)造新的工作模式 完成傳統(tǒng)業(yè)務模式難以實現 的目標 信息化的過程是思想 觀念 模式轉變的過程 2 解決信息化孤島問題 本方案將信息內部的相對獨立分散的網絡系統(tǒng) 進行了統(tǒng)一整合 消除了育信息化孤島問 題 有效地實現數據共享 消除對數據的重復管理 數據冗余以及數據不同步的問題 各個部門分別管理自己業(yè)務的相關信息 數據采集入口唯一 所有信息實現共享 當某個 部門需要用到其他部門信息的時候 可以直接從網上獲得 這樣就避免了多部門的重復勞 動 節(jié)約了人力成本 保證了數據的標準化存儲 比如 當其他部門要用到人事處人員信 息的時候 其數據就是直接從人事處獲取 而無需再次錄入 并且可以保證信息的同步 不會發(fā)生諸如人員信息已經變動而其他部門很長時間還無法得知的混亂情況 3 系統(tǒng)安全設計 信息網是依賴于計算機和網絡技術而存在的 這就意味著應用不可避免地存在著信息安全 隱患 信息系統(tǒng)的安全需要從各個方面來保障 基于本方案 為業(yè)務提供統(tǒng)一的身份認證 和授權服務 授權服務采用了靈活的基于的訪問控制模型 通過對資源 應用程序模塊和 方法 進行不同粒度劃分 系統(tǒng)定義了具有不同訪問權限的角色 而用戶的權限則通過授 予相應的角色來體現 系統(tǒng)還采用了統(tǒng)一集中的權限管理模型 方便了系統(tǒng)管理員的工作 4 部署簡單 快速 本方案采用安信天元公司成熟的產品 部署簡單 方便 實施快速 高效 5 擴展性好 由于本方案是采用成熟產品進行適當裁減后得到的 產品本身除了支持設備集中管理 還 支持業(yè)務系統(tǒng) 數據庫 網絡設備等資源的集中管理 同時也支持 PKI PMI 的身份認證方 式和授權管理方式 因此 如果將來需要增加對這些資源的管理和訪問控制 可以通過組 件的增加平滑實現 6 支持多種認證方式 針對不同的安全性要求 身份認證提供多級安全認證方法 包括用戶名 口