統(tǒng)一身份認(rèn)證設(shè)計(jì)方案版

1、統(tǒng)一身份認(rèn)證設(shè)計(jì)方案日期：2016年2月1.1系統(tǒng)總體設(shè)計(jì)41.1.1總體設(shè)計(jì)思想41.1.2平臺(tái)總體介紹51.1.3平臺(tái)總體邏輯結(jié)構(gòu) 61.1.4平臺(tái)總體部署71.2平臺(tái)功能說(shuō)明71.3集中用戶管理81.3.1管理服務(wù)對(duì)象91.3.2用戶身份信息設(shè)計(jì)用戶類(lèi)型身份信息模型身份信息的存儲(chǔ)111.3.3用戶生命周期管理111.3.4用戶身份信息的維護(hù) 121.4集中證書(shū)管理131.4.1集中證書(shū)管理功能特點(diǎn)131.5集中授權(quán)管理151.5.1集中授權(quán)應(yīng)用背景151.5.2集中授權(quán)管理對(duì)象161.5.3集中授權(quán)的工作原理171.5.4集中授權(quán)模式

2、181.5.5細(xì)粒度授權(quán)181.5.6角色的繼承191.6集中認(rèn)證管理201.6.1集中認(rèn)證管理特點(diǎn) 211.6.2身份認(rèn)證方式用戶名/口令認(rèn)證數(shù)字證書(shū)認(rèn)證 Windows 域認(rèn)證 通行碼認(rèn)證 23認(rèn)證方式與安全等級(jí)1.6.3身份認(rèn)證相關(guān)協(xié)議 SSL 協(xié)議 Windows 域 SAML 協(xié)議 254 / 35164集中認(rèn)證系統(tǒng)主要功能27165單點(diǎn)登錄28165.1單點(diǎn)登錄技術(shù)28 165.2單點(diǎn)登錄實(shí)現(xiàn)流程 301.7集中審計(jì)管理341.1系統(tǒng)

3、總體設(shè)計(jì)為了加強(qiáng)對(duì)業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)的安全管控，提高信息化安全管理水 平，我們?cè)O(shè)計(jì)了基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)。1.1.1總體設(shè)計(jì)思想為實(shí)現(xiàn)構(gòu)建針對(duì)人員帳戶管理層面和應(yīng)用層面的、全面完善的安全管 控需要，我們將按照如下設(shè)計(jì)思想為設(shè)計(jì)并實(shí)施統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)解 決方案：在內(nèi)部建設(shè)基于 PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)， 通過(guò)集中證書(shū)管理、集中賬戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中 審計(jì)管理等應(yīng)用模塊實(shí)現(xiàn)所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù) 據(jù)共享和全面集中管控的核心目標(biāo)。提供現(xiàn)有統(tǒng)一門(mén)戶系統(tǒng)，通過(guò)集成單點(diǎn)登錄模塊和調(diào)用統(tǒng)一身份認(rèn)證 平臺(tái)服務(wù)，

4、實(shí)現(xiàn)針對(duì)不同的用戶登錄，可以展示不同的內(nèi)容?？梢愿鶕?jù)用 戶的關(guān)注點(diǎn)不同來(lái)為用戶提供定制桌面的功能。建立統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)，通過(guò)使用唯一身份標(biāo)識(shí)的數(shù)字證書(shū)即可 登錄所有應(yīng)用系統(tǒng)，具有良好的擴(kuò)展性和可集成性。提供基于LDAP目錄服務(wù)的統(tǒng)一賬戶管理平臺(tái)，通過(guò) LDAP中主、從 賬戶的映射關(guān)系，進(jìn)行應(yīng)用系統(tǒng)級(jí)的訪問(wèn)控制和用戶生命周期維護(hù)管理功 能。用戶證書(shū)保存在USB KEY中，保證證書(shū)和私鑰的安全，并滿足移動(dòng) 辦公的安全需求。1.1.2平臺(tái)總體介紹以PKI/CA技術(shù)為核心，結(jié)合國(guó)內(nèi)外先進(jìn)的產(chǎn)品架構(gòu)設(shè)計(jì)，實(shí)現(xiàn)集中 的用戶管理、證書(shū)管理、認(rèn)證管理、授權(quán)管理和審計(jì)等功能，為多業(yè)務(wù)系 統(tǒng)提供用戶身份、系統(tǒng)

5、資源、權(quán)限策略、審計(jì)日志等統(tǒng)一、安全、有效的 配置和服務(wù)。37 / 35集中用戶集中證書(shū)集中審計(jì)集中認(rèn)證身份管理單點(diǎn)登錄訪問(wèn)控制責(zé)任界定集中授權(quán)如圖所示，統(tǒng)一信任管理平臺(tái)各組件之間是松耦合關(guān)系，相互支撐又相互獨(dú)立，具體功能如下：集中用戶管理系統(tǒng)：完成各系統(tǒng)的用戶信息整合，實(shí)現(xiàn)用戶生命周期 的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡(jiǎn)化用戶及其賬號(hào)的 管理復(fù)雜度，降低系統(tǒng)管理的安全風(fēng)險(xiǎn)。集中證書(shū)管理系統(tǒng)：集成證書(shū)注冊(cè)服務(wù)（RA）和電子密鑰（USB-Key） 管理功能，實(shí)現(xiàn)用戶證書(shū)申請(qǐng)、審批、核發(fā)、更新、吊銷(xiāo)等生命周期管理 功能，支持第三方電子認(rèn)證服務(wù)。集中認(rèn)證管理系統(tǒng)：實(shí)現(xiàn)多業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)

6、證，支持?jǐn)?shù)字證書(shū)、動(dòng) 態(tài)口令、靜態(tài)口令等多種認(rèn)證方式；為企業(yè)提供單點(diǎn)登錄服務(wù)，用戶只需 要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問(wèn)控制技 術(shù)，實(shí)現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈活的訪問(wèn)控制和授權(quán)管理功能，提高 管理效率。集中審計(jì)管理系統(tǒng)：提供全方位的用戶管理、證書(shū)管理、認(rèn)證管理和 授權(quán)管理的審計(jì)信息，支持應(yīng)用系統(tǒng)、用戶登錄、管理操作等審計(jì)管理。1.1.3平臺(tái)總體邏輯結(jié)構(gòu)總體邏輯結(jié)構(gòu)圖如下所示: 如圖所示，平臺(tái)以PKI基礎(chǔ)服務(wù)、加解密服務(wù)、SAML協(xié)議等國(guó)際成郵件LDAP統(tǒng)一信任管理平臺(tái)服務(wù)系統(tǒng)外Se部r,相關(guān)Windows域務(wù)服務(wù)等I統(tǒng)一信任管

7、理平臺(tái)業(yè)務(wù)系統(tǒng)（身份管理、單點(diǎn)登錄、訪問(wèn)控制、責(zé)任界定）<PKI基礎(chǔ)服務(wù)、加解密服務(wù)、SAML協(xié)議/熟技術(shù)為基礎(chǔ)，架構(gòu)統(tǒng)一信任管理平臺(tái)的管理系統(tǒng)， 通過(guò)WEB過(guò)濾器、安 全代理服務(wù)器等技術(shù)簡(jiǎn)單、快捷實(shí)現(xiàn)各應(yīng)用系統(tǒng)集成，在保證系統(tǒng)安全性 的前提下，更好的實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)整合和內(nèi)容整合。1.1.4平臺(tái)總體部署集中部署方式：所有模塊部署在同一臺(tái)服務(wù)器上，為企業(yè)提供統(tǒng)一信任管理服務(wù)。部署方式主要是采用專有定制硬件服務(wù)設(shè)備，將集中帳戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計(jì)管理等功能服務(wù)模塊統(tǒng)一部署和安裝在該硬件設(shè)備當(dāng)中，通過(guò)連接外部服務(wù)區(qū)域當(dāng)中的從LDAP目錄服務(wù)（現(xiàn)有AD目錄服務(wù)）來(lái)完成對(duì)用戶帳

8、戶的操作和管理。1.2平臺(tái)功能說(shuō)明平臺(tái)主要提供集中用戶管理、集中證書(shū)管理、集中認(rèn)證管理、集中授權(quán)管理和集中審計(jì)等功能，總體功能模塊如下圖所示:單點(diǎn)登錄集中用戶系統(tǒng)SSO用戶生命周期管理用戶分組管理角色管理身份源管理集中證書(shū)注冊(cè)服務(wù)管理電子密鑰管理證書(shū)生命周期管理統(tǒng)一用戶接口集中授權(quán)集中審計(jì)應(yīng)用系統(tǒng)授權(quán)日志查詢用戶授權(quán)管理審計(jì)報(bào)表生成角色授權(quán)管理組策略授權(quán)管理業(yè)務(wù)審計(jì)集中認(rèn)證用戶身份認(rèn)證訪問(wèn)策略管理訪問(wèn)資源管理用戶信息同步用戶信息導(dǎo)入導(dǎo)出過(guò)程管理用戶信息映射系統(tǒng)數(shù)據(jù)LDAP身份源總體功能模塊圖1.3集中用戶管理隨著企業(yè)整體信息化的發(fā)展，大致都經(jīng)歷了網(wǎng)絡(luò)基礎(chǔ)建設(shè)階段、應(yīng)用 系統(tǒng)建設(shè)階段，目前正面臨

9、著實(shí)現(xiàn)納入到信息化環(huán)境中人員的統(tǒng)一管理和 安全控制階段。隨著企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不 斷擴(kuò)展，在信息化促進(jìn)業(yè)務(wù)加速發(fā)展的同時(shí)，企業(yè)信息化規(guī)模也在迅速擴(kuò) 大以滿足業(yè)務(wù)的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映 的事件是無(wú)論是網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè) 內(nèi)外的人員，每一為人員承擔(dān)著使用、管理、授權(quán)、應(yīng)用操作等角色。因 此對(duì)于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中 之重，只有加強(qiáng)人員的可信身份管理，才能做到大門(mén)的安全防護(hù)，才能為 企業(yè)的管理、業(yè)務(wù)發(fā)展構(gòu)建可信的信息化環(huán)境，特別是采用數(shù)字證書(shū)認(rèn)證 和應(yīng)用后，完全可以做到全過(guò)程可

10、信身份的管理，確保每個(gè)操作都是可信 得、可信賴的。集中用戶管理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實(shí)現(xiàn)用戶生命 周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡(jiǎn)化用戶及其賬 號(hào)的管理復(fù)雜度，降低系統(tǒng)用戶管理的安全風(fēng)險(xiǎn)。集中用戶管理功能示意圖1.3.1管理服務(wù)對(duì)象集中用戶管理主要面向企業(yè)內(nèi)外部的人、 資源等進(jìn)行管理和提供服務(wù), 具體對(duì)象可以分為以下幾類(lèi)：最終用戶自然人，包括自然人身份和相關(guān)信息主賬號(hào)與自然人唯一對(duì)應(yīng)的身份標(biāo)識(shí)，一個(gè)主賬號(hào)只能與一個(gè)自然人對(duì)應(yīng)，而一個(gè)自然人可能存在多個(gè)主賬號(hào)從賬號(hào)與具體角色對(duì)應(yīng)，每一個(gè)應(yīng)用系統(tǒng)內(nèi)部設(shè)置的用戶賬號(hào)，在統(tǒng) 一信任管理平臺(tái)中每個(gè)主賬號(hào)可以擁有多個(gè)從帳號(hào)

11、，也就是多 種身份角色（即一個(gè)日然人在企業(yè)內(nèi)部具備多套應(yīng)用系統(tǒng)賬號(hào)）資源用戶使用或管理的對(duì)象，主要是指應(yīng)用系統(tǒng)及應(yīng)用系統(tǒng)下具體 功能具體服務(wù)對(duì)象之間的映射對(duì)應(yīng)關(guān)系如下圖所示:則I財(cái)務(wù)Y從賬出0AT從賬戶丫CRM .從賬戶王帳戶2L主帳戶k- 仃賬戸1l風(fēng)際廠I用戶賬號(hào)與資源映射圖132用戶身份信息設(shè)計(jì)1.321用戶類(lèi)型用戶是訪問(wèn)資源的主體，人是最主要的用戶類(lèi)型：多數(shù)的業(yè)務(wù)由人發(fā) 起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人控制。人又可再分為：?jiǎn)T工、 夕卜部用戶。員工即企業(yè)的職員，是平臺(tái)主要的關(guān)注的用戶群體；外部用戶 是指以獨(dú)立身分訪問(wèn)企業(yè)應(yīng)用系統(tǒng)的一般個(gè)人客戶與企業(yè)客戶。身份信息模型可

12、牯用戶標(biāo)訓(xùn)用戶類(lèi)型姓名 性M機(jī)構(gòu).Mfi職能用戶屬性信息電話工件地址身粉證號(hào)r r- - ri -用戶名口憐l-B«44+ + M主默號(hào)從St號(hào)1從贓號(hào)卄n角色資源列表對(duì)各類(lèi)用戶身份建立統(tǒng)一的用戶身份標(biāo)識(shí)。用戶身份標(biāo)識(shí)是統(tǒng)一用戶管理系統(tǒng)內(nèi)部使用的標(biāo)識(shí)，用于識(shí)別所有用戶的身份信息。用戶標(biāo)識(shí)不同 于員工號(hào)或身份證號(hào)，需要建立相應(yīng)的編碼規(guī)范。為了保證用戶身份的真 實(shí)、有效性，可以通過(guò)數(shù)字證書(shū)認(rèn)證的方式進(jìn)行身份鑒別并與用戶身份標(biāo)識(shí)進(jìn)行唯一對(duì)應(yīng)用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如hr中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的對(duì)照 關(guān)系，所以需要保存用戶在這

13、些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢?；诜謾?quán)、分級(jí)的管理需要，用戶身份信息需要將用戶信息按照所屬 機(jī)構(gòu)和崗位級(jí)別進(jìn)行分類(lèi)，便于劃分安全管理域，將用戶信息集中存儲(chǔ)在 總部，以及管理域的劃分。用戶認(rèn)證信息管理用戶的認(rèn)證方式及各種認(rèn)證方式對(duì)應(yīng)的認(rèn)證信息，如用戶名/ 口令，數(shù)字證書(shū)等。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號(hào)和相 關(guān)口令，為了保證在平臺(tái)實(shí)施后可以使原有系統(tǒng)仍可以按照原有賬號(hào)方式 操作，需要建立用戶標(biāo)識(shí)與應(yīng)用系統(tǒng)中賬號(hào)的對(duì)照關(guān)系。授權(quán)信息是對(duì)用戶使用各系統(tǒng)的訪問(wèn)策略，給用戶賦予系統(tǒng)中的角色 和其它屬性。1.323身份信息的存儲(chǔ)為了方便對(duì)人員身份的管理，集中用戶系統(tǒng)采用樹(shù)形架構(gòu)來(lái)進(jìn)行人員 組織

14、架構(gòu)的維護(hù)，存儲(chǔ)方式主要采用LDAP?？梢酝ㄟ^(guò)企業(yè)內(nèi)部已有的人員信息管理系統(tǒng)當(dāng)中根據(jù)策略進(jìn)行讀寫(xiě)操作，目前主要支持以下數(shù)據(jù)源類(lèi) 型：Windows Active Directory （AD）Open LdapIBM Directory Server （IDS）1.3.3用戶生命周期管理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份標(biāo)識(shí)（數(shù)字證書(shū)的頒發(fā)）、用戶屬性變更、用戶賬戶注銷(xiāo)、用戶帳戶歸檔等流程的自動(dòng)化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示：由于要賦予用戶可信的身份標(biāo)識(shí)，所以需要通過(guò)數(shù)字證書(shū)認(rèn)證的方式 來(lái)實(shí)現(xiàn)，在用戶生命周期管理過(guò)程中圍繞用戶包含了基于帳戶的生

15、命周期 和數(shù)字證書(shū)的生命周期管理的內(nèi)容。數(shù)字證書(shū)主要是與用戶的主賬戶標(biāo)識(shí) 進(jìn)行唯一綁定，在用戶帳戶的使用和屬性變更過(guò)程中數(shù)字證書(shū)不需要發(fā)生 任何改變，唯有在用戶帳戶進(jìn)行注銷(xiāo)和歸檔過(guò)程中，與其相匹配的數(shù)字證 書(shū)也同樣需要進(jìn)行吊銷(xiāo)和歸檔操作。134用戶身份信息的維護(hù)目前集中用戶管理系統(tǒng)中對(duì)用戶身份信息的維護(hù)主要以企業(yè)已存在的AD域和LDAP作為基礎(chǔ)數(shù)據(jù)源，集中用戶 管理系統(tǒng)作為用戶信息維護(hù)的 主要入口，可以由人力資源部門(mén)的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)建、修改、 刪除、編輯、查詢、以及數(shù)字證書(shū)的發(fā)放。AD域中的用戶信息變動(dòng)通過(guò)適 配器被平臺(tái)感知，并自動(dòng)同步到平臺(tái)用戶身份信息存儲(chǔ)（目錄服務(wù)器）中； 平臺(tái)的

16、用戶管理員也可以直接修改平臺(tái)中集中存儲(chǔ)的用戶身份信息，再由 平臺(tái)同步到各個(gè)應(yīng)用系統(tǒng)中。1.4集中證書(shū)管理集中證書(shū)管理功能主要是針對(duì)用戶的 CA系統(tǒng)，包括：1）證書(shū)申請(qǐng)2）證書(shū)制作3）證書(shū)生命周期管理（有效期、審核、頒發(fā)、吊銷(xiāo)、更新、查詢、歸 檔）4）證書(shū)有效性檢查集中證書(shū)管理功能集支持多種 CA建設(shè)模式（自建和第三方服務(wù)）、多 RA集中管理、擴(kuò)展性強(qiáng)等特性，從技術(shù)上及管理上以靈活的實(shí)現(xiàn)模式滿 足用戶對(duì)證書(shū)集中管理的迫切需求，解決管理員對(duì)多平臺(tái)進(jìn)行操作及維護(hù) 困難的問(wèn)題。1.4.1集中證書(shū)管理功能特點(diǎn)集中證書(shū)管理功能的實(shí)現(xiàn)就是通過(guò)集成證書(shū)注冊(cè)服務(wù)（RA ）和電子密鑰（USB-Key）管理功能。1

17、）集中制證集中制證主要結(jié)合本地?cái)?shù)據(jù)源中的數(shù)據(jù)為用戶進(jìn)行集中制證，包括集 中申請(qǐng)、自動(dòng)審批。通過(guò)CA的配置路徑，訪問(wèn)指定的 CA系統(tǒng)；CA系統(tǒng)簽發(fā)數(shù)字證書(shū)并返回給管理員；管理員將證書(shū)裝入U(xiǎn)BS Key,制證成功將數(shù)字證書(shū)發(fā)送給最終用戶。2）證書(shū)生命周期管理通過(guò)集中證書(shū)管理功能可實(shí)現(xiàn)對(duì)所制證書(shū)進(jìn)行證書(shū)的生命周期管理， 主要包括：證書(shū)的查詢、吊銷(xiāo)等，同時(shí)還可以實(shí)現(xiàn)對(duì)證書(shū)有效性的檢查。證書(shū)有效性檢查，可支持與 CA系統(tǒng)的CRL （證書(shū)掉銷(xiāo)列表）服務(wù)聯(lián) 動(dòng)及手動(dòng)導(dǎo)入CRL列表。用戶通過(guò)證書(shū)認(rèn)證方式登錄“登錄門(mén)戶”；將用戶的證書(shū)信息（包括證書(shū)屬性、有效期等）提交到“證書(shū)管理模塊”；服務(wù)檢查證書(shū)信息，若有效

18、，將有效值返回“證書(shū)管理模塊”（若無(wú)效將值返回“證書(shū)管理模塊”）；“證書(shū)管理模塊”將有效值返回“登錄門(mén)戶”，用戶通過(guò)認(rèn)證。（若無(wú) 效，用戶登錄失?。挥脩敉ㄟ^(guò)認(rèn)證，正常進(jìn)入應(yīng)用系統(tǒng)。3）支持多種CA建設(shè)模式4）多RA集中管理在一個(gè)企業(yè)內(nèi)，根據(jù)證書(shū)應(yīng)用的需求，存在根 CA下有多個(gè)子CA，即 存在多個(gè)RA。通過(guò)平臺(tái)與RA的集成，可支持與企業(yè)內(nèi)的多RA進(jìn)行集成， 實(shí)現(xiàn)單平臺(tái)多RA的集中管理。5）靈活擴(kuò)展性集中證書(shū)管理功能除了實(shí)現(xiàn)集中制證、證書(shū)生命周期管理功能，以及具有多RA管理、支持用戶CA系統(tǒng)的自建和服務(wù)模式的特點(diǎn)，還具有靈 活的擴(kuò)展性?？蓪?shí)現(xiàn)與 RA的完全集成，通過(guò)平臺(tái)實(shí)現(xiàn) RA的完全接管， 實(shí)

19、現(xiàn)證書(shū)處理、證書(shū)生命周期管理、證書(shū)審批、支持多種申請(qǐng)模式、RA日志管理、密鑰管理、策略管理等。以滿足更多用戶對(duì)于集中證書(shū)管理的擴(kuò) 展性需求。1.5集中授權(quán)管理1.5.1集中授權(quán)應(yīng)用背景分析一些大型企業(yè)，發(fā)現(xiàn)企業(yè)內(nèi)部各應(yīng)用系統(tǒng)自身授權(quán)非常完善，但 是從集中管理角度看，發(fā)現(xiàn)大企業(yè)中的傳統(tǒng)授權(quán)所存在如下問(wèn)題：1）系統(tǒng)權(quán)限分散：?jiǎn)T工的流動(dòng)及職位的變更，需要更改員工的系統(tǒng)使 用權(quán)限，而多個(gè)系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來(lái)安全 漏洞。2）應(yīng)用系統(tǒng)的獨(dú)立性：各種應(yīng)用系統(tǒng)都使用獨(dú)立的登錄方式，員工需 要記憶所有應(yīng)用系統(tǒng)的帳號(hào)、密碼等，逐一登錄，給工作帶來(lái)極大的困擾， 特別是對(duì)工作效率影響非常大，

20、甚至簡(jiǎn)化記憶問(wèn)題，所有應(yīng)用系統(tǒng)統(tǒng)一使 用相同的密碼，由此為黑客或者木馬程序提供機(jī)會(huì)，而對(duì)應(yīng)用系統(tǒng)的安全 防護(hù)帶來(lái)極大地威脅。集中授權(quán)的最大特點(diǎn)，就是集中在一個(gè)接口對(duì)組 /角色進(jìn)行資源的合理 分配。集中授權(quán)的過(guò)程，就是集中對(duì)用戶（組 /角色）通過(guò)何種方式（證書(shū) / 口令）使用某種資源（應(yīng)用/功能）的權(quán)限的分配。員工入職，分配一個(gè)特定的原本已經(jīng)隸屬于某些角色 /組的身份賬戶， 統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在公司應(yīng)用系統(tǒng)中的所有權(quán) 限；當(dāng)職位變更時(shí)，只需更改身份賬戶所屬角色 /組，則所享有的權(quán)限也相 應(yīng)變化，而對(duì)應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系 統(tǒng)的安全性得到了極大

21、提高，不會(huì)因?yàn)閷?duì)應(yīng)的業(yè)務(wù)系統(tǒng)因?yàn)闆](méi)有中止用戶 應(yīng)用權(quán)限而遭受安全風(fēng)險(xiǎn)。通過(guò)集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提 高了管理效率，為企業(yè)營(yíng)造一個(gè)安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。1.5.2集中授權(quán)管理對(duì)象集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角 色屬性，進(jìn)行對(duì)應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間 使用權(quán)限關(guān)系，最終實(shí)現(xiàn)，什么樣的人、組織、角色能訪問(wèn)哪些應(yīng)用系統(tǒng) 和資源。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對(duì)象，然后針對(duì)該應(yīng)用系統(tǒng)給 人、組織、角色授予相應(yīng)訪問(wèn)和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)行權(quán)限 關(guān)聯(lián)，合理、有效地的訪問(wèn)控制策略，保證了什么樣

22、的應(yīng)用系統(tǒng)和資源， 能讓怎樣的人、組織、角色進(jìn)行訪問(wèn)。組：包括按照公司組織架構(gòu)或特定功能劃分的部門(mén)、工作組及個(gè)人用戶通過(guò)以上兩種方模式，可以對(duì)企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進(jìn)行 合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理， 最終實(shí)現(xiàn), 正確的人做正確的事情，而非授權(quán)人員不得進(jìn)入企業(yè)內(nèi)部任何系統(tǒng)，從而 保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護(hù)企業(yè)的資產(chǎn)。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)行角色定義?；?用戶組的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門(mén) 下定義產(chǎn)品工程師角色。目標(biāo)是在以后授權(quán)模式中通過(guò)對(duì)產(chǎn)品工程師角色 授權(quán)，

23、而包含產(chǎn)品工程師的角色就會(huì)一次性獲得授權(quán)，這樣方便管理，同 時(shí)也是簡(jiǎn)化了授權(quán)的操作?；趹?yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下 的用戶職能進(jìn)行定義。比如，針對(duì) 0A應(yīng)用系統(tǒng)和結(jié)合人力資源架構(gòu)定義 “總監(jiān)”，那么根據(jù)0A系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只 要存在應(yīng)用系統(tǒng)對(duì)總監(jiān)所具備的功能，經(jīng)過(guò)系統(tǒng)授權(quán)后均可以按照總監(jiān)的 角色進(jìn)行應(yīng)用訪問(wèn)。資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，所有的功能模塊 統(tǒng)稱為資源。資源的定義主要是方便人員、組織、角色授權(quán)時(shí)候的對(duì)象指 定，最終經(jīng)過(guò)授權(quán)實(shí)現(xiàn)，什么樣的人員、組織、角色能訪問(wèn)應(yīng)用系統(tǒng)的那 些功能。也就是中細(xì)粒度授權(quán)所需要的涉及的內(nèi)容。1.5.3集中

24、授權(quán)的工作原理授權(quán)管理模塊授權(quán)組模塊角色模塊.通過(guò)授權(quán)管理模塊的定義, 對(duì)相應(yīng)權(quán)限進(jìn)行調(diào)用定義權(quán)限（某些角色/組享有系統(tǒng)應(yīng)用 的哪些權(quán)限）訪問(wèn)控制模塊資源管理模塊.通過(guò)口令、證書(shū)等執(zhí)行對(duì)權(quán)限的調(diào)用.系統(tǒng)中所有應(yīng)用資源的集合1.5.4集中授權(quán)模式1）基于組/角色的訪問(wèn)授權(quán)：對(duì)于屬于某一組/角色的用戶，管理員可以為其授權(quán)于可訪問(wèn)的應(yīng)用系 統(tǒng)和資源（應(yīng)用系統(tǒng)的功能）。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查 看、分配的權(quán)限。2）基于應(yīng)用系統(tǒng)和資源的授權(quán)：對(duì)于某一選定應(yīng)用（或其包含的功能、功能組），管理員可以授權(quán)為其 指派訪問(wèn)資源（用戶、組、角色）1.5.5細(xì)粒度授權(quán)用戶1用戶2功 能 組功能組傳統(tǒng)意義

25、中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個(gè) 授權(quán)于某一個(gè)人、某一機(jī)構(gòu)（組織）、某一類(lèi)角色；而對(duì)于應(yīng)用系統(tǒng)下的模 塊無(wú)法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無(wú)法做到應(yīng)用系 統(tǒng)的內(nèi)部授權(quán)機(jī)制，導(dǎo)致簡(jiǎn)單的訪問(wèn)控制授權(quán)無(wú)法滿足業(yè)務(wù)系統(tǒng)的精細(xì)化管理，為了滿足企業(yè)的細(xì)致化訪問(wèn)控制，需要打破傳統(tǒng)授權(quán)模式，增加新 的授權(quán)機(jī)制，即要實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制授權(quán)。而將資源管理模塊細(xì)粒度化，則是將應(yīng)用模塊拆分成單個(gè)的功能模塊, 某幾個(gè)功能模塊又可以組合成一個(gè)功能組，在授權(quán)時(shí)，針對(duì)某一應(yīng)用模塊 中的功能或功能組模塊進(jìn)行權(quán)限分配。1.5.6角色的繼承提供了角色授權(quán)模型，在角色權(quán)限分配的管理過(guò)程中，角色之間

26、可以 實(shí)現(xiàn)多模式繼承，即單繼承、多繼承、動(dòng)態(tài)繼承；多種模式的繼承由系統(tǒng) 自動(dòng)完成，但是當(dāng)繼承形成環(huán)路的時(shí)候，則繼承屬性自動(dòng)中斷，保持獨(dú)立 的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會(huì)因?yàn)榻巧^承 導(dǎo)致權(quán)限失去控制。針對(duì)繼承方式，如下定義：1）單繼承：角色A繼承于角色B ,貝S A擁有B所有的權(quán)限。2）多繼承角色A繼承于角色B、角色C、角色D，則A同時(shí)擁有B、C、D所有的權(quán)限。3）動(dòng)態(tài)繼承:角色A角色B角色C角色D口令口令/證書(shū)j證書(shū)繼承于資源角色A繼承于角色B、角色C、角色D，用戶擁有角色A ;角色B的登錄方式為口令；角色 C的登錄方式為口令和證書(shū)；角色 D的登錄方式為證書(shū)。4）循環(huán)繼

27、承：角色循環(huán)繼承時(shí)，系統(tǒng)內(nèi)部自行處理，在循環(huán)處于環(huán)路，則繼承自動(dòng)斷開(kāi)。1.6集中認(rèn)證管理集中認(rèn)證管理為企業(yè)的IT系統(tǒng)提供統(tǒng)一的身份認(rèn)證，是企業(yè)安全門(mén)戶 入口，只有安全的認(rèn)證機(jī)制才可以保證企業(yè)大門(mén)不被非法人員進(jìn)入；在整 個(gè)認(rèn)證系統(tǒng)中其服務(wù)的對(duì)象包括企業(yè)接入統(tǒng)一認(rèn)證平臺(tái)的所有業(yè)務(wù)系統(tǒng)、 管理系統(tǒng)和應(yīng)用系統(tǒng)等，統(tǒng)一認(rèn)證系統(tǒng)能夠提供快速、高效和安全的服務(wù), 應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴(kuò)展性、高可用性。1.6.1集中認(rèn)證管理特點(diǎn)1）提供多因素認(rèn)證服務(wù)集中認(rèn)證管理可以為多個(gè)不同種類(lèi)、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服 務(wù)，不需要應(yīng)用系統(tǒng)獨(dú)立開(kāi)發(fā)、設(shè)計(jì)認(rèn)證系統(tǒng)，為業(yè)務(wù)系統(tǒng)快速推出新的 業(yè)務(wù)和服務(wù)準(zhǔn)備了基

28、礎(chǔ)條件，集中認(rèn)證管理為這些應(yīng)用提供了統(tǒng)一的接入 形式。2）提供多種認(rèn)證方式企業(yè)的不同業(yè)務(wù)系統(tǒng)的安全級(jí)別不同，使用環(huán)境不同，用戶的習(xí)慣和操 作熟練程度不同，集中認(rèn)證管理可以針對(duì)這些不同的應(yīng)用特點(diǎn)提供不同的 認(rèn)證手段。3）提供統(tǒng)一和多樣化的認(rèn)證策略集中認(rèn)證管理針對(duì)不同的認(rèn)證方式，提供了統(tǒng)一的策略控制，各個(gè)應(yīng)用 系統(tǒng)也可以根據(jù)自身的需要進(jìn)行個(gè)性化的策略設(shè)置，根據(jù)應(yīng)用或用戶類(lèi)型 的需求，設(shè)置個(gè)性化的認(rèn)證策略，提高應(yīng)用系統(tǒng)的分級(jí)管理安全。1.6.2身份認(rèn)證方式集中認(rèn)證管理系統(tǒng)支持多種身份認(rèn)證方式，包括：1）用戶名/口令2）數(shù)字證書(shū)3）Wi ndows域認(rèn)證 4）通行碼 集中認(rèn)證管理同時(shí)支持上述四種認(rèn)證方

29、式，也可以根據(jù)用戶的需求對(duì)用戶登錄認(rèn)證方式進(jìn)行擴(kuò)展。下面首先分別介紹這些認(rèn)證方式，然后介紹認(rèn)證方式與安全等級(jí)。1.621用戶名/口令認(rèn)證用戶名/ 口令是最傳統(tǒng)且最普遍的身份認(rèn)證方法，通常采用如下形式： 當(dāng)用戶需要訪問(wèn)系統(tǒng)資源時(shí)，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用 加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心。并和認(rèn)證中心保存 的用戶信息進(jìn)行比對(duì)。如果驗(yàn)證通過(guò)，系統(tǒng)允許該用戶進(jìn)行隨后的訪問(wèn)操 作，否則拒絕用戶的下一步的訪問(wèn)操作。靜態(tài)口令的優(yōu)點(diǎn)是簡(jiǎn)單且成本低，但是如果用戶不去修改它，那么這個(gè)口令就是固定不變的、長(zhǎng)期有效的，因此這種認(rèn)證信息的靜態(tài)性，導(dǎo)致傳 統(tǒng)口令在很多情況下都有著發(fā)生口令泄密

30、的危險(xiǎn)。在整體安全認(rèn)證中，對(duì) 于瀏覽非重要資源的用戶可以采用該方法。數(shù)字證書(shū)認(rèn)證數(shù)字證書(shū)是目前最常用一種比較安全的身份認(rèn)證技術(shù)。數(shù)字證書(shū)技術(shù)是在PKI體系基礎(chǔ)上實(shí)現(xiàn)的，用戶不但可以通過(guò)數(shù)字證書(shū)完成身份認(rèn)證，還 可以進(jìn)一步進(jìn)行安全加密，數(shù)字簽名等操作。依據(jù)自己多年的安全經(jīng)驗(yàn)，提供完整的數(shù)字身份認(rèn)證解決方案。 數(shù)字證 書(shū)的存儲(chǔ)方式非常靈活，數(shù)字證書(shū)可被直接存儲(chǔ)在計(jì)算機(jī)中，也可存儲(chǔ)在 智能卡或USB Key中。1.623 Win dows 域認(rèn)證Windows域是一種應(yīng)用層的用戶及權(quán)限集中管理技術(shù)。當(dāng)用戶通過(guò)Windows系列操作系統(tǒng)的登錄界面成功登錄 Windows域后，就可以充分使

31、 用域內(nèi)的各種共享資源，同時(shí)接受 Windows域?qū)τ脩粼L問(wèn)權(quán)限的管理與控 制。目前，很多企業(yè)、機(jī)構(gòu)和學(xué)校都使用域來(lái)管理網(wǎng)絡(luò)資源，用于控制不 同身份的用戶對(duì)網(wǎng)絡(luò)應(yīng)用及共享信息的使用權(quán)限。集中認(rèn)證管理支持 Windows域登錄，對(duì)于已經(jīng)登錄到 Windows域中的 用戶，不需要輸入用戶名、密碼而直接使用當(dāng)前登錄的域用戶信息進(jìn)行驗(yàn) 證，如果驗(yàn)證成功則進(jìn)入，否則拒絕進(jìn)入。1.624通行碼認(rèn)證通行碼是集中認(rèn)證管理支持的一種特有認(rèn)證方式，用戶忘記其他認(rèn)證信息時(shí)，可以向管理員申請(qǐng)一次性使用的口令進(jìn)行身份認(rèn)證。主要滿足安全 應(yīng)急服務(wù)，當(dāng)用戶安全認(rèn)證的憑證遺忘或者丟失，通過(guò)后臺(tái)管理員生成通 行碼的方式，幫助用

32、戶解決認(rèn)證登錄；通行碼具備時(shí)效性和一次性特點(diǎn)， 當(dāng)使用過(guò)或者超出使用時(shí)間范圍，其認(rèn)證效力自動(dòng)失效，非常強(qiáng)大的保證 了系統(tǒng)的安全性和可靠性；在有效地時(shí)間段范圍內(nèi)，能有效、快速的幫助 用戶解決認(rèn)證和系統(tǒng)準(zhǔn)入的問(wèn)題，為應(yīng)用提供了便利。1.625認(rèn)證方式與安全等級(jí)每種認(rèn)證方式對(duì)應(yīng)安全等級(jí)的一個(gè)范圍，安全等級(jí)的范圍又是根據(jù)安全 策略來(lái)界定的。認(rèn)證方式（如用戶名/口令、數(shù)字證書(shū)、Windows域等）僅 僅是在認(rèn)證系統(tǒng)內(nèi)部來(lái)管理和控制的，身份認(rèn)證子系統(tǒng)與其他子系統(tǒng)之間的信息交換都是通過(guò)認(rèn)證的安全等級(jí)來(lái)實(shí)現(xiàn)的 163身份認(rèn)證相關(guān)協(xié)議身份認(rèn)證管理支持的身份認(rèn)證協(xié)議有：1）SSL協(xié)議。2）Wi ndows域認(rèn)證3

33、）SAML協(xié)議集中認(rèn)證管理同時(shí)支持上述三種認(rèn)證協(xié)議，下面詳細(xì)介紹這些認(rèn)證協(xié) 議。163.1 SSL 協(xié)議SSL（ Secure Socket Laye，安全套接層）協(xié)議最早由 Netscape提出， 是一種用于保護(hù)互聯(lián)網(wǎng)通信私密性的安全協(xié)議，現(xiàn)在已經(jīng)是該領(lǐng)域的工業(yè) 標(biāo)準(zhǔn)。通過(guò)SSL協(xié)議，可以使通信不被惡意攻擊者竊聽(tīng)，并且始終對(duì)服務(wù) 端進(jìn)行認(rèn)證（也可以應(yīng)用可選的客戶端認(rèn)證）。SSL可以使用RC4、DES等多種加密算法，并應(yīng)用 X.509數(shù)字證書(shū)標(biāo) 準(zhǔn)進(jìn)行認(rèn)證，從保護(hù)機(jī)制上來(lái)講，是比較完善的。而且SSL的實(shí)現(xiàn)成本比較低，可以很容易的結(jié)合現(xiàn)有的應(yīng)用環(huán)境建立比較安全的傳輸，所以獲得 了極為廣泛的應(yīng)用。

34、基于SSL協(xié)議的身份認(rèn)證方式與用戶名/口令方式相比，最顯著的優(yōu)勢(shì) 在于SSL提供雙向的身份認(rèn)證，不僅可以驗(yàn)證客戶端的身份同時(shí)也可以認(rèn) 證服務(wù)器的身份。 Win dows 域Windows交互式登錄是我們平常常見(jiàn)的一種登錄認(rèn)證方式，交互式登錄包括 本地登錄”和域賬號(hào)登錄”而 本地登錄”僅限于 本地賬號(hào)登錄”1）本地用戶賬號(hào)采用本地用戶賬號(hào)登錄，系統(tǒng)會(huì)通過(guò)存儲(chǔ)在本機(jī)SAM數(shù)據(jù)庫(kù)中的信息 進(jìn)行驗(yàn)證。用本地用戶賬號(hào)登錄后，只能訪問(wèn)到具有訪問(wèn)權(quán)限的本地資源。2）域用戶賬號(hào)采用域用戶賬號(hào)登錄，系統(tǒng)則通過(guò)存儲(chǔ)在域控制器的活動(dòng)目錄中的數(shù)據(jù)進(jìn)行驗(yàn)證。如果該用戶賬號(hào)有效，則登錄后可以訪問(wèn)到整個(gè)域中具

35、有訪問(wèn)權(quán)限的資源。用戶登錄域的過(guò)程即是活動(dòng)目錄認(rèn)證用戶的過(guò)程，具體過(guò)程如下：登錄到域的驗(yàn)證過(guò)程，對(duì)于不同的驗(yàn)證協(xié)議也有不同的驗(yàn)證方法。如果域控制器是Windows NT 4.0，那么使用的是NTLM驗(yàn)證協(xié)議，其驗(yàn)證過(guò)程和 登 錄到本機(jī)的過(guò)程”基本一致，唯一區(qū)別就在于驗(yàn)證賬號(hào)的工作不是在本地SAM數(shù)據(jù)庫(kù)中進(jìn)行，而是在域控制器中進(jìn)行；而對(duì)于Windows 2000和Windows 2003域控制器來(lái)說(shuō)，使用的一般為更安全可靠的Kerberos V5協(xié)議。通過(guò)這種協(xié)議登錄到域，向域控制器證明自己的域賬號(hào)有效，用戶需先申請(qǐng)?jiān)试S請(qǐng)求該域的TGS（Ticket-Granting Service-票據(jù)授予服

36、務(wù)）。獲準(zhǔn)之后，用戶就會(huì)為所要登錄的計(jì)算機(jī)申請(qǐng)一個(gè)會(huì)話票據(jù)，最后還需申請(qǐng)?jiān)试S進(jìn)入那臺(tái)計(jì)算機(jī)的本地系統(tǒng)服務(wù)。163.3 SAML 協(xié)議2003年初，OASIS小組批準(zhǔn)了安全性斷言標(biāo)記語(yǔ)言 （Security Assertion Markup Language，SAML ）規(guī)范。由于來(lái)自25家公司的55名專家參與了 該規(guī)范的制定。SAML是第一個(gè)可能成為多個(gè)認(rèn)證協(xié)議的規(guī)范以利用Web 基礎(chǔ)結(jié)構(gòu)（在這種 Web基礎(chǔ)結(jié)構(gòu)中，XML數(shù)據(jù)在TCP/IP網(wǎng)絡(luò)上通過(guò)HTTP 協(xié)議傳送）。OASIS小組開(kāi)發(fā)SAML的目的是作為一種基于 XML的框架，用于交 換安全性信息。SAML與其它安全性方法的最大區(qū)別在于它

37、以有關(guān)多個(gè)主 體的斷言的形式來(lái)表述安全性。其它方法使用中央認(rèn)證中心來(lái)發(fā)放證書(shū)， 這些證書(shū)保證了網(wǎng)絡(luò)中從一點(diǎn)到另一點(diǎn)的安全通信。利用SAML，網(wǎng)絡(luò)中的任何點(diǎn)都可以斷言它知道用戶或數(shù)據(jù)塊的身份。然后由接收應(yīng)用程序做 出決定，如果它信任該斷言，則接受該用戶或數(shù)據(jù)塊。任何符合SAML的軟件然后都可以斷言對(duì)用戶或數(shù)據(jù)的認(rèn)證。對(duì)于即將出現(xiàn)的業(yè)務(wù)工作流 Web服務(wù)標(biāo)準(zhǔn)（在該標(biāo)準(zhǔn)中，安全的數(shù)據(jù)需要流經(jīng)幾個(gè)系統(tǒng)才能完成對(duì)事 務(wù)的處理）而言，這很重要。SAML是旨在減少構(gòu)建和操作信息系統(tǒng)（這些系統(tǒng)在許多服務(wù)提供者 之間相互操作）所花費(fèi)成本的眾多嘗試之一。在當(dāng)今競(jìng)爭(zhēng)激烈且迅速發(fā)展 的環(huán)境中，出現(xiàn)了通過(guò)瀏覽器和支持

38、Web的應(yīng)用程序?yàn)橛脩籼峁┗ゲ僮餍?的企業(yè)聯(lián)合。例如，旅游網(wǎng)站允許用戶不必進(jìn)行多次登錄即可預(yù)訂機(jī)票和 租車(chē)。今天，一大群軟件開(kāi)發(fā)人員、QA技術(shù)人員和IT經(jīng)理都需要處理復(fù)雜的和不可靠的后端系統(tǒng)，這些系統(tǒng)提供了企業(yè)之間的聯(lián)合安全性。在典型的支持 Web的基礎(chǔ)結(jié)構(gòu)中，運(yùn)行業(yè)界領(lǐng)先的企業(yè)系統(tǒng)的軟件需 要處理權(quán)限服務(wù)器之間的瀏覽器重定向、服務(wù)器域之間的HTTP post命令、公鑰基礎(chǔ)結(jié)構(gòu)（public key infrastructure, PKI）加密和數(shù)字證書(shū)，以及聲明 任何給定用戶或組的信任級(jí)別的相互同意（ mutually agreed-upon）機(jī)制。 SAML向軟件開(kāi)發(fā)人員展示了如何表示用戶

39、、標(biāo)識(shí)所需傳送的數(shù)據(jù)，并且定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過(guò)程。SAML組件關(guān)系圖如下:ProfilesHum SAML pujttxols, bijuJuigs uiuuinbinetu >up（x）n 3 Ueliiwal useBindingsHlav SAV1L Prtnnup un© standard messaging uiid comiTHuiicaiiun prviocok.SAML組件關(guān)系圖164集中認(rèn)證系統(tǒng)主要功能集中認(rèn)證系統(tǒng)的主要功能包括:支持多種認(rèn)證方式，包括用戶名/口令、數(shù)字證書(shū)、Windows域認(rèn)證和 通行碼，并且為其他認(rèn)證技術(shù)留有接口；支持多種認(rèn)證協(xié)議，

40、包括支持?jǐn)?shù)字證書(shū)認(rèn)證的SSL協(xié)議， Windows域認(rèn)證，SAML協(xié)議等；支持單點(diǎn)登錄 支持會(huì)話管理管理用戶的認(rèn)證憑證信息，如數(shù)字證書(shū)等；制定身份認(rèn)證的安全策略，如定義認(rèn)證模式和安全等級(jí)等;認(rèn)證系統(tǒng)模塊管理，如對(duì)應(yīng)用認(rèn)證網(wǎng)關(guān)的管理等。165單點(diǎn)登錄單點(diǎn)登錄是集中認(rèn)證管理的主要功能，本部分從功能實(shí)現(xiàn)原理，系統(tǒng)硬件配置，單點(diǎn)登錄實(shí)現(xiàn)流程等方面進(jìn)行說(shuō)明。165.1單點(diǎn)登錄技術(shù)軟件應(yīng)用插件式網(wǎng)關(guān)（WEB攔截器技術(shù)）Web攔截器（Intercepting Web Agen）是一種基于過(guò)濾技術(shù) （Filter）的應(yīng)用防火墻。使用 Web攔截器在請(qǐng)求到達(dá)之前來(lái)攔截請(qǐng)求，并在應(yīng)用外部 提供認(rèn)證和授權(quán)。例如，對(duì)

41、于沒(méi)有或有很少安全措施的應(yīng)用，必須提供合 適的認(rèn)證和授權(quán)。因此，可使用攔截 Web代理提供適當(dāng)?shù)谋Ｗo(hù)，而不是修 改代碼或重寫(xiě) Web層。Web攔截器可以安裝在 Web服務(wù)器中，通過(guò)在Web 服務(wù)器上攔截入站請(qǐng)求和執(zhí)行訪問(wèn)控制策略，來(lái)對(duì)入站請(qǐng)求進(jìn)行認(rèn)證和授 權(quán)。對(duì)于本身不能實(shí)現(xiàn)安全或難以修改的應(yīng)用，通過(guò)將安全與應(yīng)用分離，提供一種理想的安全保護(hù)方法，它還可以集中管理與安全相關(guān)的組件。安 全策略及其實(shí)現(xiàn)細(xì)節(jié)是在應(yīng)用外部實(shí)施的，因此可以修改，而不會(huì)影響應(yīng) 用。攔截Web代理將安全邏輯與應(yīng)用邏輯分開(kāi)，從而提高了可維護(hù)性。通 常，攔截Web代理的實(shí)現(xiàn)制要求配置，而無(wú)需修改代碼。另外，通過(guò)將與 安全相關(guān)的處

42、理轉(zhuǎn)移到應(yīng)用之外（即服務(wù)器上），攔截Web代理還提高了 應(yīng)用的性能。在 Web服務(wù)器上，沒(méi)有通過(guò)認(rèn)證和授權(quán)的請(qǐng)求將被拒絕，因 此不會(huì)占用應(yīng)用的額外周期。硬件應(yīng)用網(wǎng)關(guān)（安全代理服務(wù)）使用安全服務(wù)代理（Secure Service Proxy在應(yīng)用外提供認(rèn)證和驗(yàn)證, 這是通過(guò)攔截安全檢查請(qǐng)求，然后將其委派給合適的服務(wù)實(shí)現(xiàn)的。硬件網(wǎng) 關(guān)系統(tǒng)邏輯架構(gòu)如下圖所示。UTS硬件網(wǎng)關(guān)數(shù)據(jù)采集/分發(fā)服務(wù)硬件網(wǎng)關(guān)管理控制臺(tái)負(fù)載均衛(wèi)服務(wù)硬件網(wǎng)關(guān)代理服務(wù)應(yīng)用網(wǎng)關(guān)功能邏輯圖安全服務(wù)代理攔截來(lái)自客戶端的所有請(qǐng)求，確定請(qǐng)求服務(wù)，然后執(zhí)行 服務(wù)要求的安全策略，并將請(qǐng)求從入站協(xié)議轉(zhuǎn)換為目標(biāo)服務(wù)要求的協(xié)議， 最后將請(qǐng)求轉(zhuǎn)發(fā)給目標(biāo)

43、服務(wù)。在返回路徑上，安全服務(wù)代理將結(jié)果從服務(wù) 使用的協(xié)議和格式轉(zhuǎn)換為客戶要求的協(xié)議和格式。它也可以保留客戶會(huì)話 中首次請(qǐng)求創(chuàng)建的安全上下文，供以后的請(qǐng)求使用?？稍谄髽I(yè)外圍配置安全服務(wù)代理提供認(rèn)證、授權(quán)和其他安全服務(wù)，為 遺留的或缺少安全機(jī)制的輕量級(jí)企業(yè)服務(wù)實(shí)施安全策略。安全服務(wù)代理模 式與Web攔截器模式類(lèi)似，但安全服務(wù)代理模式更高級(jí)，因?yàn)樗灰笫?用基于HTTP的URL訪問(wèn)控制，也不要求使用任何傳輸協(xié)議將服務(wù)請(qǐng)求交 給任何服務(wù)。它可以在已實(shí)現(xiàn)和已部署的應(yīng)用外執(zhí)行額外安全邏輯，也可 以與沒(méi)有實(shí)現(xiàn)安全的新應(yīng)用集成。硬件應(yīng)用網(wǎng)關(guān)代理工作原理瀏覽器發(fā)起http請(qǐng)求包數(shù)據(jù)采集模塊截獲請(qǐng)求包并轉(zhuǎn)發(fā)給數(shù)

44、據(jù)解析模塊數(shù)據(jù)解析模塊解析數(shù)據(jù)包將解析后的數(shù)據(jù)包交由數(shù)據(jù)處理模塊處理處理過(guò)的數(shù)據(jù)轉(zhuǎn)發(fā)給 web appWeb app返回的數(shù)據(jù)，經(jīng)過(guò)數(shù)據(jù)處理模塊，返回瀏覽器應(yīng)用網(wǎng)關(guān)負(fù)載均衡工作原理加入到網(wǎng)關(guān)集群中的所有硬件網(wǎng)關(guān)按照指定優(yōu)先級(jí)策略進(jìn)行主/從協(xié)商，確定1個(gè)硬件網(wǎng)關(guān)為主設(shè)備，其他為從設(shè)備。主設(shè)備兼有交換機(jī)的功 能，所有來(lái)自客戶瀏覽器的請(qǐng)求包首先到達(dá)主設(shè)備 （不會(huì)直接到達(dá)從設(shè)備）， 主設(shè)備根據(jù)負(fù)載均衡策略分發(fā)請(qǐng)求包（可能分發(fā)給自己，也可能分發(fā)給從 設(shè)備），包分發(fā)到目標(biāo)硬件網(wǎng)關(guān)后，開(kāi)始后續(xù)處理，請(qǐng)求處理完成后經(jīng)由主 設(shè)備返回給瀏覽器。165.2單點(diǎn)登錄實(shí)現(xiàn)流程基于門(mén)戶的單點(diǎn)登錄流程(7t ；i門(mén)nr帖塞世應(yīng)訶點(diǎn)訥自口H時(shí)誑脊錄皓耳Iill 鑒:.j;.：P. Inih件譏止.川間：丫訃也；Gi|j 陽(yáng)避理常期Hl Ij吐凋耳弋!口!陽(yáng)孕JUMJJ=<r - iibA i£ II' 2)-:、rB<id M哼隹 i I £ 111 -1J 1B ' - £信息<1&g