(完整版)統(tǒng)一身份認(rèn)證設(shè)計方案(最終版)

1、統(tǒng)一身份認(rèn)證設(shè)計方案日期： 2016年2月ii目錄1.1系統(tǒng)總體設(shè)計 . .51.1.1總體設(shè)計思想51.1.2平臺總體介紹61.1.3平臺總體邏輯結(jié)構(gòu)71.1.4平臺總體部署81.2平臺功能說明 . .81.3集中用戶管理 . .91.3.1管理服務(wù)對象101.3.2用戶身份信息設(shè)計用戶類型身份信息模型身份信息的存儲121.3.3用戶生命周期管理121.3.4用戶身份信息的維護131.4集中證書管理 . .141.4.1集中證書管理功能特點141.5集中授權(quán)管理 . .161.5.1集中授權(quán)應(yīng)用背景161.5.2集中授權(quán)管理對象171.5

2、.3集中授權(quán)的工作原理181.5.4集中授權(quán)模式191.5.5細(xì)粒度授權(quán)191.5.6角色的繼承201.6集中認(rèn)證管理 . .211.6.1集中認(rèn)證管理特點221.6.2身份認(rèn)證方式 用戶名 /口令認(rèn)證數(shù)字證書認(rèn)證 Windows 域認(rèn)證通行碼認(rèn)證認(rèn)證方式與安全等級241.6.3身份認(rèn)證相關(guān)協(xié)議 SSL 協(xié)議 Windows 域 SAML 協(xié)議261.6.4集中認(rèn)證系統(tǒng)主要功能281.6.5單點登錄29iii單點登錄技術(shù)29單點登錄實現(xiàn)流程311.7集

3、中審計管理.35iv1.1 系統(tǒng)總體設(shè)計為了加強對業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)的安全管控，提高信息化安全管理水平，我們設(shè)計了基于 PKI/CA 技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺?？傮w設(shè)計思想為實現(xiàn)構(gòu)建針對人員帳戶管理層面和應(yīng)用層面的、全面完善的安全管控需要，我們將按照如下設(shè)計思想為設(shè)計并實施統(tǒng)一身份認(rèn)證服務(wù)平臺解決方案：在內(nèi)部建設(shè)基于 PKI/CA 技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺，通過集中證書管理、集中賬戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計管理等應(yīng)用模塊實現(xiàn)所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標(biāo)。提供現(xiàn)有統(tǒng)一門戶系統(tǒng)，通過集成單點登錄模塊和調(diào)用統(tǒng)一身份

4、認(rèn)證平臺服務(wù)，實現(xiàn)針對不同的用戶登錄，可以展示不同的內(nèi)容?？梢愿鶕?jù)用戶的關(guān)注點不同來為用戶提供定制桌面的功能。建立統(tǒng)一身份認(rèn)證服務(wù)平臺，通過使用唯一身份標(biāo)識的數(shù)字證書即可登錄所有應(yīng)用系統(tǒng)，具有良好的擴展性和可集成性。提供基于 LDAP 目錄服務(wù)的統(tǒng)一賬戶管理平臺，通過 LDAP 中主、從賬戶的映射關(guān)系，進行應(yīng)用系統(tǒng)級的訪問控制和用戶生命周期維護管理功能。用戶證書保存在USB KEY 中，保證證書和私鑰的安全，并滿足移動辦公的安全需求。5平臺總體介紹以 PKI/CA 技術(shù)為核心，結(jié)合國內(nèi)外先進的產(chǎn)品架構(gòu)設(shè)計，實現(xiàn)集中的用戶管理、證書管理、認(rèn)證管理、授權(quán)管理和審計等功能，為多業(yè)務(wù)系統(tǒng)提供用戶身份、

5、系統(tǒng)資源、權(quán)限策略、審計日志等統(tǒng)一、安全、有效的配置和服務(wù)。集中用戶集中證書身份管理單點登錄集中審計訪問控制集中認(rèn)證責(zé)任界定集中授權(quán)如圖所示，統(tǒng)一信任管理平臺各組件之間是松耦合關(guān)系，相互支撐又相互獨立，具體功能如下：集中用戶管理系統(tǒng)：完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機制，簡化用戶及其賬號的管理復(fù)雜度，降低系統(tǒng)管理的安全風(fēng)險。集中證書管理系統(tǒng)： 集成證書注冊服務(wù) （RA ）和電子密鑰（USB-Key ）管理功能，實現(xiàn)用戶證書申請、審批、核發(fā)、更新、吊銷等生命周期管理功能，支持第三方電子認(rèn)證服務(wù)。6集中認(rèn)證管理系統(tǒng)：實現(xiàn)多業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證，支持?jǐn)?shù)

6、字證書、動態(tài)口令、靜態(tài)口令等多種認(rèn)證方式；為企業(yè)提供單點登錄服務(wù)，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問控制技術(shù)，實現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈活的訪問控制和授權(quán)管理功能，提高管理效率。集中審計管理系統(tǒng)：提供全方位的用戶管理、證書管理、認(rèn)證管理和授權(quán)管理的審計信息，支持應(yīng)用系統(tǒng)、用戶登錄、管理操作等審計管理。平臺總體邏輯結(jié)構(gòu)總體邏輯結(jié)構(gòu)圖如下所示：郵件財務(wù)CRMLDAP統(tǒng)一信任管理平臺服務(wù)系統(tǒng)（身份管理、單點登錄、訪問控制、責(zé)任界定）外Sever,部相關(guān)Windows服域 務(wù)服務(wù)等用證認(rèn)授審戶書證權(quán)計管管管管管理理理理理統(tǒng)一信任

7、管理平臺業(yè)務(wù)系統(tǒng)PKI基礎(chǔ)服務(wù)、加解密服務(wù)、SAML 協(xié)議7如圖所示，平臺以PKI 基礎(chǔ)服務(wù)、加解密服務(wù)、SAML 協(xié)議等國際成熟技術(shù)為基礎(chǔ)， 架構(gòu)統(tǒng)一信任管理平臺的管理系統(tǒng)，通過 WEB 過濾器、安全代理服務(wù)器等技術(shù)簡單、快捷實現(xiàn)各應(yīng)用系統(tǒng)集成，在保證系統(tǒng)安全性的前提下，更好的實現(xiàn)業(yè)務(wù)系統(tǒng)整合和內(nèi)容整合。平臺總體部署集中部署方式：所有模塊部署在同一臺服務(wù)器上，為企業(yè)提供統(tǒng)一信任管理服務(wù)。部署方式主要是采用專有定制硬件服務(wù)設(shè)備，將集中帳戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計管理等功能服務(wù)模塊統(tǒng)一部署和安裝在該硬件設(shè)備當(dāng)中，通過連接外部服務(wù)區(qū)域當(dāng)中的從LDAP 目錄服務(wù)（現(xiàn)有 AD 目錄服

8、務(wù)）來完成對用戶帳戶的操作和管理。1.2 平臺功能說明平臺主要提供集中用戶管理、集中證書管理、集中認(rèn)證管理、集中授權(quán)管理和集中審計等功能，總體功能模塊如下圖所示：單點登錄集中用戶集中證書集中認(rèn)證集中授權(quán)集中審計用戶生命周期管理注冊服務(wù)管理用戶身份認(rèn)證應(yīng)用系統(tǒng)授權(quán)日志查詢用戶分組管理用戶授權(quán)管理審計報表生成系統(tǒng) SSO角色管理電子密鑰管理訪問策略管理角色授權(quán)管理身份源管理證書生命周期管理訪問資源管理組策略授權(quán)管理業(yè)務(wù)審計過程管理統(tǒng)一用戶接口用戶信息導(dǎo)入導(dǎo)出用戶信息映射用戶信息同步LDAP 身份源系統(tǒng)數(shù)據(jù)總體功能模塊圖81.3 集中用戶管理隨著企業(yè)整體信息化的發(fā)展，大致都經(jīng)歷了網(wǎng)絡(luò)基礎(chǔ)建設(shè)階段、應(yīng)

9、用系統(tǒng)建設(shè)階段，目前正面臨著實現(xiàn)納入到信息化環(huán)境中人員的統(tǒng)一管理和安全控制階段。隨著企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴展，在信息化促進業(yè)務(wù)加速發(fā)展的同時，企業(yè)信息化規(guī)模也在迅速擴大以滿足業(yè)務(wù)的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映的事件是無論是網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè)內(nèi)外的人員，每一為人員承擔(dān)著使用、管理、授權(quán)、應(yīng)用操作等角色。因此對于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中之重，只有加強人員的可信身份管理，才能做到大門的安全防護，才能為企業(yè)的管理、業(yè)務(wù)發(fā)展構(gòu)建可信的信息化環(huán)境，特別是采用數(shù)字證書認(rèn)證和應(yīng)用后，完全可以做到

10、全過程可信身份的管理，確保每個操作都是可信得、可信賴的。集中用戶管理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機制，簡化用戶及其賬號的管理復(fù)雜度，降低系統(tǒng)用戶管理的安全風(fēng)險。集中用戶管理功能示意圖9管理服務(wù)對象集中用戶管理主要面向企業(yè)內(nèi)外部的人、資源等進行管理和提供服務(wù)，具體對象可以分為以下幾類：最終用戶自然人，包括自然人身份和相關(guān)信息與自然人唯一對應(yīng)的身份標(biāo)識，一個主賬號只能與一個自然人主賬號對應(yīng)，而一個自然人可能存在多個主賬號與具體角色對應(yīng)，每一個應(yīng)用系統(tǒng)內(nèi)部設(shè)置的用戶賬號，在統(tǒng)從賬號一信任管理平臺中每個主賬號可以擁有多個從帳號，也就是多種

11、身份角色（即一個日然人在企業(yè)內(nèi)部具備多套應(yīng)用系統(tǒng)賬號）用戶使用或管理的對象，主要是指應(yīng)用系統(tǒng)及應(yīng)用系統(tǒng)下具體資源功能具體服務(wù)對象之間的映射對應(yīng)關(guān)系如下圖所示：10用戶賬號與資源映射圖用戶身份信息設(shè)計用戶類型用戶是訪問資源的主體，人是最主要的用戶類型：多數(shù)的業(yè)務(wù)由人發(fā)起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人控制。人又可再分為：員工、外部用戶。員工即企業(yè)的職員，是平臺主要的關(guān)注的用戶群體；外部用戶是指以獨立身分訪問企業(yè)應(yīng)用系統(tǒng)的一般個人客戶與企業(yè)客戶。身份信息模型對各類用戶身份建立統(tǒng)一的用戶身份標(biāo)識。用戶身份標(biāo)識是統(tǒng)一用戶管理系統(tǒng)內(nèi)部使用的標(biāo)識，用于識別所有用戶的身份信息。用戶標(biāo)識不同于員工號或身份

12、證號，需要建立相應(yīng)的編碼規(guī)范。為了保證用戶身份的真實、有效性，可以通過數(shù)字證書認(rèn)證的方式進行身份鑒別并與用戶身份標(biāo)識進行唯一對應(yīng)。11用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如 HR 中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的對照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢。基于分權(quán)、分級的管理需要，用戶身份信息需要將用戶信息按照所屬機構(gòu)和崗位級別進行分類，便于劃分安全管理域，將用戶信息集中存儲在總部，以及管理域的劃分。用戶認(rèn)證信息管理用戶的認(rèn)證方式及各種認(rèn)證方式對應(yīng)的認(rèn)證信息，如用戶名 /口令，數(shù)字證書等。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號和

13、相關(guān)口令，為了保證在平臺實施后可以使原有系統(tǒng)仍可以按照原有賬號方式操作，需要建立用戶標(biāo)識與應(yīng)用系統(tǒng)中賬號的對照關(guān)系。授權(quán)信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色和其它屬性。身份信息的存儲為了方便對人員身份的管理，集中用戶系統(tǒng)采用樹形架構(gòu)來進行人員組織架構(gòu)的維護，存儲方式主要采用 LDAP ?？梢酝ㄟ^企業(yè)內(nèi)部已有的人員信息管理系統(tǒng)當(dāng)中根據(jù)策略進行讀寫操作，目前主要支持以下數(shù)據(jù)源類型：Windows Active Directory （AD ）OpenLdapIBM Directory Server （IDS）用戶生命周期管理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶

14、身份12標(biāo)識（數(shù)字證書的頒發(fā)）、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的自動化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示：由于要賦予用戶可信的身份標(biāo)識，所以需要通過數(shù)字證書認(rèn)證的方式來實現(xiàn)，在用戶生命周期管理過程中圍繞用戶包含了基于帳戶的生命周期和數(shù)字證書的生命周期管理的內(nèi)容。數(shù)字證書主要是與用戶的主賬戶標(biāo)識進行唯一綁定，在用戶帳戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何改變，唯有在用戶帳戶進行注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進行吊銷和歸檔操作。用戶身份信息的維護目前集中用戶管理系統(tǒng)中對用戶身份信息的維護主要以企業(yè)已存在的AD 域和 LDAP 作為基礎(chǔ)數(shù)

15、據(jù)源，集中用戶管理系統(tǒng)作為用戶信息維護的主要入口，可以由人力資源部門的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)建、修改、13刪除、編輯、查詢、以及數(shù)字證書的發(fā)放。 AD 域中的用戶信息變動通過適配器被平臺感知，并自動同步到平臺用戶身份信息存儲（目錄服務(wù)器）中；平臺的用戶管理員也可以直接修改平臺中集中存儲的用戶身份信息，再由平臺同步到各個應(yīng)用系統(tǒng)中。1.4 集中證書管理集中證書管理功能主要是針對用戶的CA 系統(tǒng)，包括：1)證書申請2)證書制作3)證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸檔）4)證書有效性檢查集中證書管理功能集支持多種CA 建設(shè)模式（自建和第三方服務(wù)） 、多RA 集中管理、擴展性

16、強等特性，從技術(shù)上及管理上以靈活的實現(xiàn)模式滿足用戶對證書集中管理的迫切需求，解決管理員對多平臺進行操作及維護困難的問題。集中證書管理功能特點集中證書管理功能的實現(xiàn)就是通過集成證書注冊服務(wù)（RA）和電子密鑰（ USB-Key）管理功能。1)集中制證集中制證主要結(jié)合本地數(shù)據(jù)源中的數(shù)據(jù)為用戶進行集中制證，包括集中申請、自動審批。通過 CA 的配置路徑，訪問指定的CA 系統(tǒng)；14CA 系統(tǒng)簽發(fā)數(shù)字證書并返回給管理員；管理員將證書裝入UBS Key,制證成功 .將數(shù)字證書發(fā)送給最終用戶。2)證書生命周期管理通過集中證書管理功能可實現(xiàn)對所制證書進行證書的生命周期管理，主要包括：證書的查詢、吊銷等，同時還可

17、以實現(xiàn)對證書有效性的檢查。證書有效性檢查，可支持與 CA 系統(tǒng)的 CRL（證書掉銷列表）服務(wù)聯(lián)動及手動導(dǎo)入 CRL 列表。用戶通過證書認(rèn)證方式登錄“登錄門戶”；將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模塊”；服務(wù)檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無效將值返回“證書管理模塊” ）；“證書管理模塊”將有效值返回“登錄門戶”，用戶通過認(rèn)證。（若無效，用戶登錄失敗）；用戶通過認(rèn)證，正常進入應(yīng)用系統(tǒng)。3)支持多種 CA 建設(shè)模式4)多 RA 集中管理在一個企業(yè)內(nèi)，根據(jù)證書應(yīng)用的需求，存在根CA 下有多個子 CA，即存在多個 RA。通過平臺與 RA 的集成，可支持與企

18、業(yè)內(nèi)的多RA 進行集成，實現(xiàn)單平臺多 RA 的集中管理。5) 靈活擴展性集中證書管理功能除了實現(xiàn)集中制證、證書生命周期管理功能，以及15具有多 RA 管理、支持用戶 CA 系統(tǒng)的自建和服務(wù)模式的特點，還具有靈活的擴展性?？蓪崿F(xiàn)與 RA 的完全集成，通過平臺實現(xiàn) RA 的完全接管，實現(xiàn)證書處理、證書生命周期管理、證書審批、支持多種申請模式、 RA 日志管理、密鑰管理、策略管理等。以滿足更多用戶對于集中證書管理的擴展性需求。1.5 集中授權(quán)管理集中授權(quán)應(yīng)用背景分析一些大型企業(yè)，發(fā)現(xiàn)企業(yè)內(nèi)部各應(yīng)用系統(tǒng)自身授權(quán)非常完善，但是從集中管理角度看，發(fā)現(xiàn)大企業(yè)中的傳統(tǒng)授權(quán)所存在如下問題：1)系統(tǒng)權(quán)限分散：員工

19、的流動及職位的變更，需要更改員工的系統(tǒng)使用權(quán)限，而多個系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來安全漏洞。2)應(yīng)用系統(tǒng)的獨立性：各種應(yīng)用系統(tǒng)都使用獨立的登錄方式，員工需要記憶所有應(yīng)用系統(tǒng)的帳號、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率影響非常大，甚至簡化記憶問題，所有應(yīng)用系統(tǒng)統(tǒng)一使用相同的密碼，由此為黑客或者木馬程序提供機會，而對應(yīng)用系統(tǒng)的安全防護帶來極大地威脅。集中授權(quán)的最大特點，就是集中在一個接口對組/角色進行資源的合理分配。集中授權(quán)的過程，就是集中對用戶（組/角色）通過何種方式（證書/口令）使用某種資源（應(yīng)用/功能）的權(quán)限的分配。員工入職，分配一個特定的原本已經(jīng)隸屬于

20、某些角色/組的身份賬戶，統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在公司應(yīng)用系統(tǒng)中的所有權(quán)16限；當(dāng)職位變更時，只需更改身份賬戶所屬角色 /組，則所享有的權(quán)限也相應(yīng)變化，而對應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系統(tǒng)的安全性得到了極大提高，不會因為對應(yīng)的業(yè)務(wù)系統(tǒng)因為沒有中止用戶應(yīng)用權(quán)限而遭受安全風(fēng)險。通過集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營造一個安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。集中授權(quán)管理對象集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角色屬性，進行對應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限關(guān)系，最終實

21、現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng)和資源。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對象，然后針對該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進行權(quán)限關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進行訪問。組：包括按照公司組織架構(gòu)或特定功能劃分的部門、工作組及個人用戶通過以上兩種方模式，可以對企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進行合理的管理和控制， 有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理， 最終實現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護企業(yè)的資產(chǎn)。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需

22、要明確以下概念：17角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進行角色定義。基于用戶組的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門下定義產(chǎn)品工程師角色。目標(biāo)是在以后授權(quán)模式中通過對產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會一次性獲得授權(quán)，這樣方便管理，同時也是簡化了授權(quán)的操作?；趹?yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下的用戶職能進行定義。比如，針對 OA 應(yīng)用系統(tǒng)和結(jié)合人力資源架構(gòu)定義“總監(jiān)”，那么根據(jù) OA 系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只要存在應(yīng)用系統(tǒng)對總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權(quán)后均可以按照總監(jiān)的角色進行應(yīng)用訪問。資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊

23、，所有的功能模塊統(tǒng)稱為資源。資源的定義主要是方便人員、組織、角色授權(quán)時候的對象指定，最終經(jīng)過授權(quán)實現(xiàn)，什么樣的人員、組織、角色能訪問應(yīng)用系統(tǒng)的那些功能。也就是中細(xì)粒度授權(quán)所需要的涉及的內(nèi)容。集中授權(quán)的工作原理授權(quán)管理模塊.定義權(quán)限（某些角色 /組享有系統(tǒng)應(yīng)用的哪些權(quán)限）授權(quán)組模塊角色模塊.通過授權(quán)管理模塊的定義，對相應(yīng)權(quán)限進行調(diào)用訪問控制模塊.通過口令、證書等執(zhí)行對權(quán)限的調(diào)用資源管理模塊.系統(tǒng)中所有應(yīng)用資源的集合18集中授權(quán)模式1)基于組 /角色的訪問授權(quán)：對于屬于某一組 /角色的用戶，管理員可以為其授權(quán)于可訪問的應(yīng)用系統(tǒng)和資源（應(yīng)用系統(tǒng)的功能） 。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查看、分

24、配的權(quán)限。2)基于應(yīng)用系統(tǒng)和資源的授權(quán)：對于某一選定應(yīng)用（或其包含的功能、功能組），管理員可以授權(quán)為其指派訪問資源（用戶、組、角色）細(xì)粒度授權(quán)角色Functio1Functio功用戶 1能組角Functio色Functio2功用戶 2能組Functio應(yīng)用系統(tǒng)角色傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個授權(quán)于某一個人、某一機構(gòu)（組織） 、某一類角色；而對于應(yīng)用系統(tǒng)下的模塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無法做到應(yīng)用系統(tǒng)的內(nèi)部授權(quán)機制，導(dǎo)致簡單的訪問控制授權(quán)無法滿足業(yè)務(wù)系統(tǒng)的精細(xì)化19管理，為了滿足企業(yè)的細(xì)致化訪問控制，需要打破傳統(tǒng)授權(quán)模式，增加新的授權(quán)機制，

25、即要實現(xiàn)細(xì)粒度的訪問控制授權(quán)。而將資源管理模塊細(xì)粒度化， 則是將應(yīng)用模塊拆分成單個的功能模塊，某幾個功能模塊又可以組合成一個功能組，在授權(quán)時，針對某一應(yīng)用模塊中的功能或功能組模塊進行權(quán)限分配。角色的繼承提供了角色授權(quán)模型，在角色權(quán)限分配的管理過程中，角色之間可以實現(xiàn)多模式繼承，即單繼承、多繼承、動態(tài)繼承；多種模式的繼承由系統(tǒng)自動完成，但是當(dāng)繼承形成環(huán)路的時候，則繼承屬性自動中斷，保持獨立的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會因為角色繼承導(dǎo)致權(quán)限失去控制。針對繼承方式，如下定義：1)單繼承：角色 A 繼承于角色 B ，則 A 擁有 B 所有的權(quán)限。2)多繼承角色 A 繼承于角色 B

26、、角色 C、角色 D，則 A 同時擁有 B、C、D 所有的權(quán)限。3)動態(tài)繼承：角色 A口令角色 B角色 A登角色 C入繼承于系角色 A角色B角色 C角色D統(tǒng)角色 C證書口令口令 /證書證書資源角色 D20角色 A 繼承于角色 B、角色 C、角色 D，用戶擁有角色A ；角色 B 的登錄方式為口令；角色 C 的登錄方式為口令和證書；角色 D 的登錄方式為證書。4)循環(huán)繼承：角色 A角色D角色B角色 C角色循環(huán)繼承時，系統(tǒng)內(nèi)部自行處理，在循環(huán)處于環(huán)路，則繼承自動斷開。1.6 集中認(rèn)證管理集中認(rèn)證管理為企業(yè)的IT 系統(tǒng)提供統(tǒng)一的身份認(rèn)證，是企業(yè)安全門戶入口，只有安全的認(rèn)證機制才可以保證企業(yè)大門不被非法

27、人員進入；在整個認(rèn)證系統(tǒng)中其服務(wù)的對象包括企業(yè)接入統(tǒng)一認(rèn)證平臺的所有業(yè)務(wù)系統(tǒng)、管理系統(tǒng)和應(yīng)用系統(tǒng)等， 統(tǒng)一認(rèn)證系統(tǒng)能夠提供快速、高效和安全的服務(wù)，應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴展性、高可用性。21集中認(rèn)證管理特點1)提供多因素認(rèn)證服務(wù)集中認(rèn)證管理可以為多個不同種類、 不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù)，不需要應(yīng)用系統(tǒng)獨立開發(fā)、設(shè)計認(rèn)證系統(tǒng)，為業(yè)務(wù)系統(tǒng)快速推出新的業(yè)務(wù)和服務(wù)準(zhǔn)備了基礎(chǔ)條件，集中認(rèn)證管理為這些應(yīng)用提供了統(tǒng)一的接入形式。2)提供多種認(rèn)證方式企業(yè)的不同業(yè)務(wù)系統(tǒng)的安全級別不同 ,使用環(huán)境不同，用戶的習(xí)慣和操作熟練程度不同，集中認(rèn)證管理可以針對這些不同的應(yīng)用特點提供不同的認(rèn)證手段。3)

28、提供統(tǒng)一和多樣化的認(rèn)證策略集中認(rèn)證管理針對不同的認(rèn)證方式， 提供了統(tǒng)一的策略控制， 各個應(yīng)用系統(tǒng)也可以根據(jù)自身的需要進行個性化的策略設(shè)置，根據(jù)應(yīng)用或用戶類型的需求，設(shè)置個性化的認(rèn)證策略，提高應(yīng)用系統(tǒng)的分級管理安全。身份認(rèn)證方式集中認(rèn)證管理系統(tǒng)支持多種身份認(rèn)證方式，包括：1)用戶名 /口令2)數(shù)字證書3)Windows 域認(rèn)證4)通行碼22集中認(rèn)證管理同時支持上述四種認(rèn)證方式， 也可以根據(jù)用戶的需求對用戶登錄認(rèn)證方式進行擴展。下面首先分別介紹這些認(rèn)證方式，然后介紹認(rèn)證方式與安全等級。用戶名 /口令認(rèn)證用戶名 /口令是最傳統(tǒng)且最普遍的身份認(rèn)證方法，通常采用如下形式：當(dāng)用戶需要訪問系統(tǒng)資源時，系統(tǒng)提

29、示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心。并和認(rèn)證中心保存的用戶信息進行比對。如果驗證通過，系統(tǒng)允許該用戶進行隨后的訪問操作，否則拒絕用戶的下一步的訪問操作。靜態(tài)口令的優(yōu)點是簡單且成本低， 但是如果用戶不去修改它， 那么這個口令就是固定不變的、長期有效的，因此這種認(rèn)證信息的靜態(tài)性，導(dǎo)致傳統(tǒng)口令在很多情況下都有著發(fā)生口令泄密的危險。在整體安全認(rèn)證中，對于瀏覽非重要資源的用戶可以采用該方法。數(shù)字證書認(rèn)證數(shù)字證書是目前最常用一種比較安全的身份認(rèn)證技術(shù)。數(shù)字證書技術(shù)是在 PKI 體系基礎(chǔ)上實現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認(rèn)證，還可以進一步進行安全加密，數(shù)字

30、簽名等操作。依據(jù)自己多年的安全經(jīng)驗， 提供完整的數(shù)字身份認(rèn)證解決方案。 數(shù)字證書的存儲方式非常靈活，數(shù)字證書可被直接存儲在計算機中，也可存儲在智能卡或 USB Key 中。23域認(rèn)證Windows 域是一種應(yīng)用層的用戶及權(quán)限集中管理技術(shù)。當(dāng)用戶通過Windows 系列操作系統(tǒng)的登錄界面成功登錄 Windows 域后，就可以充分使用域內(nèi)的各種共享資源，同時接受 Windows 域?qū)τ脩粼L問權(quán)限的管理與控制。目前，很多企業(yè)、機構(gòu)和學(xué)校都使用域來管理網(wǎng)絡(luò)資源，用于控制不同身份的用戶對網(wǎng)絡(luò)應(yīng)用及共享信息的使用權(quán)限。集中認(rèn)證管理支持 Windows 域登錄，對于已經(jīng)登錄到 Windows 域中的用戶，不

31、需要輸入用戶名、密碼而直接使用當(dāng)前登錄的域用戶信息進行驗證，如果驗證成功則進入，否則拒絕進入。通行碼認(rèn)證通行碼是集中認(rèn)證管理支持的一種特有認(rèn)證方式， 用戶忘記其他認(rèn)證信息時，可以向管理員申請一次性使用的口令進行身份認(rèn)證。主要滿足安全應(yīng)急服務(wù)，當(dāng)用戶安全認(rèn)證的憑證遺忘或者丟失，通過后臺管理員生成通行碼的方式，幫助用戶解決認(rèn)證登錄；通行碼具備時效性和一次性特點，當(dāng)使用過或者超出使用時間范圍，其認(rèn)證效力自動失效，非常強大的保證了系統(tǒng)的安全性和可靠性；在有效地時間段范圍內(nèi)，能有效、快速的幫助用戶解決認(rèn)證和系統(tǒng)準(zhǔn)入的問題，為應(yīng)用提供了便利。認(rèn)證方式與安全等級每種認(rèn)證方式對應(yīng)安全等級的一個范圍，安全等級的

32、范圍又是根據(jù)安全策略來界定的。認(rèn)證方式（如用戶名/口令、數(shù)字證書、 Windows 域等）僅僅是在認(rèn)證系統(tǒng)內(nèi)部來管理和控制的，身份認(rèn)證子系統(tǒng)與其他子系統(tǒng)之間24的信息交換都是通過認(rèn)證的安全等級來實現(xiàn)的。身份認(rèn)證相關(guān)協(xié)議身份認(rèn)證管理支持的身份認(rèn)證協(xié)議有：1)SSL 協(xié)議。2)Windows 域認(rèn)證3)SAML 協(xié)議集中認(rèn)證管理同時支持上述三種認(rèn)證協(xié)議，下面詳細(xì)介紹這些認(rèn)證協(xié)議。協(xié)議SSL（Secure Socket Layer，安全套接層）協(xié)議最早由Netscape提出，是一種用于保護互聯(lián)網(wǎng)通信私密性的安全協(xié)議，現(xiàn)在已經(jīng)是該領(lǐng)域的工業(yè)標(biāo)準(zhǔn)。通過 SSL 協(xié)議，可以使通信不被惡意攻擊者竊聽，并且始

33、終對服務(wù)端進行認(rèn)證（也可以應(yīng)用可選的客戶端認(rèn)證）。SSL 可以使用 RC4、DES 等多種加密算法，并應(yīng)用X.509 數(shù)字證書標(biāo)準(zhǔn)進行認(rèn)證，從保護機制上來講，是比較完善的。而且SSL 的實現(xiàn)成本比較低，可以很容易的結(jié)合現(xiàn)有的應(yīng)用環(huán)境建立比較安全的傳輸，所以獲得了極為廣泛的應(yīng)用?；?SSL 協(xié)議的身份認(rèn)證方式與用戶名/口令方式相比，最顯著的優(yōu)勢在于 SSL 提供雙向的身份認(rèn)證，不僅可以驗證客戶端的身份同時也可以認(rèn)證服務(wù)器的身份。域Windows 交互式登錄是我們平常常見的一種登錄認(rèn)證方式，交互式登25錄包括 “本地登錄 ”和“域賬號登錄 ”，而 “本地登錄 ”僅限于 “本地賬號登錄 ”。1)本

34、地用戶賬號采用本地用戶賬號登錄， 系統(tǒng)會通過存儲在本機SAM 數(shù)據(jù)庫中的信息進行驗證。用本地用戶賬號登錄后， 只能訪問到具有訪問權(quán)限的本地資源。2)域用戶賬號采用域用戶賬號登錄，系統(tǒng)則通過存儲在域控制器的活動目錄中的數(shù)據(jù)進行驗證。如果該用戶賬號有效，則登錄后可以訪問到整個域中具有訪問權(quán)限的資源。用戶登錄域的過程即是活動目錄認(rèn)證用戶的過程，具體過程如下: 登錄到域的驗證過程，對于不同的驗證協(xié)議也有不同的驗證方法。如果域控制器是 Windows NT 4.0，那么使用的是 NTLM 驗證協(xié)議，其驗證過程和 “登錄到本機的過程 ”基本一致，唯一區(qū)別就在于驗證賬號的工作不是在本地SAM 數(shù)據(jù)庫中進行，

35、而是在域控制器中進行；而對于Windows 2000 和Windows 2003 域控制器來說，使用的一般為更安全可靠的Kerberos V5 協(xié)議。通過這種協(xié)議登錄到域，向域控制器證明自己的域賬號有效，用戶需先申請允許請求該域的TGS(Ticket-Granting Service-票據(jù)授予服務(wù) )。獲準(zhǔn)之后，用戶就會為所要登錄的計算機申請一個會話票據(jù)，最后還需申請允許進入那臺計算機的本地系統(tǒng)服務(wù)。SAML 協(xié)議2003 年初，OASIS 小組批準(zhǔn)了安全性斷言標(biāo)記語言 （Security Assertion Markup Language，SAML ）規(guī)范。由于來自 25 家公司的 55 名

36、專家參與了該規(guī)范的制定。 SAML 是第一個可能成為多個認(rèn)證協(xié)議的規(guī)范以利用 Web26基礎(chǔ)結(jié)構(gòu)（在這種 Web 基礎(chǔ)結(jié)構(gòu)中，XML 數(shù)據(jù)在 TCP/IP 網(wǎng)絡(luò)上通過 HTTP協(xié)議傳送）。OASIS 小組開發(fā) SAML 的目的是作為一種基于XML 的框架，用于交換安全性信息。 SAML 與其它安全性方法的最大區(qū)別在于它以有關(guān)多個主體的斷言的形式來表述安全性。其它方法使用中央認(rèn)證中心來發(fā)放證書，這些證書保證了網(wǎng)絡(luò)中從一點到另一點的安全通信。利用SAML ，網(wǎng)絡(luò)中的任何點都可以斷言它知道用戶或數(shù)據(jù)塊的身份。然后由接收應(yīng)用程序做出決定，如果它信任該斷言，則接受該用戶或數(shù)據(jù)塊。任何符合SAML 的軟件

37、然后都可以斷言對用戶或數(shù)據(jù)的認(rèn)證。對于即將出現(xiàn)的業(yè)務(wù)工作流Web 服務(wù)標(biāo)準(zhǔn)（在該標(biāo)準(zhǔn)中，安全的數(shù)據(jù)需要流經(jīng)幾個系統(tǒng)才能完成對事務(wù)的處理）而言，這很重要。SAML 是旨在減少構(gòu)建和操作信息系統(tǒng)（這些系統(tǒng)在許多服務(wù)提供者之間相互操作）所花費成本的眾多嘗試之一。在當(dāng)今競爭激烈且迅速發(fā)展的環(huán)境中，出現(xiàn)了通過瀏覽器和支持Web 的應(yīng)用程序為用戶提供互操作性的企業(yè)聯(lián)合。例如，旅游網(wǎng)站允許用戶不必進行多次登錄即可預(yù)訂機票和租車。今天，一大群軟件開發(fā)人員、QA 技術(shù)人員和 IT 經(jīng)理都需要處理復(fù)雜的和不可靠的后端系統(tǒng)，這些系統(tǒng)提供了企業(yè)之間的聯(lián)合安全性。在典型的支持Web 的基礎(chǔ)結(jié)構(gòu)中，運行業(yè)界領(lǐng)先的企業(yè)系統(tǒng)

38、的軟件需要處理權(quán)限服務(wù)器之間的瀏覽器重定向、服務(wù)器域之間的HTTP post 命令、公鑰基礎(chǔ)結(jié)構(gòu)（ public key infrastructure，PKI ）加密和數(shù)字證書，以及聲明任何給定用戶或組的信任級別的相互同意（mutually agreed-upon）機制。SAML 向軟件開發(fā)人員展示了如何表示用戶、標(biāo)識所需傳送的數(shù)據(jù)，并且27定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過程。SAML 組件關(guān)系圖如下：SAML組件關(guān)系圖集中認(rèn)證系統(tǒng)主要功能集中認(rèn)證系統(tǒng)的主要功能包括：支持多種認(rèn)證方式，包括用戶名/口令、數(shù)字證書、 Windows 域認(rèn)證和通行碼，并且為其他認(rèn)證技術(shù)留有接口；支持多種認(rèn)證協(xié)議，包括支

39、持?jǐn)?shù)字證書認(rèn)證的SSL 協(xié)議，Windows域認(rèn)證， SAML 協(xié)議等；支持單點登錄支持會話管理管理用戶的認(rèn)證憑證信息，如數(shù)字證書等；制定身份認(rèn)證的安全策略，如定義認(rèn)證模式和安全等級等；認(rèn)證系統(tǒng)模塊管理，如對應(yīng)用認(rèn)證網(wǎng)關(guān)的管理等。28單點登錄單點登錄是集中認(rèn)證管理的主要功能，本部分從功能實現(xiàn)原理，系統(tǒng)硬件配置，單點登錄實現(xiàn)流程等方面進行說明。單點登錄技術(shù)軟件應(yīng)用插件式網(wǎng)關(guān)（WEB 攔截器技術(shù)）Web 攔截器（Intercepting Web Agent）是一種基于過濾技術(shù) （Filter ）的應(yīng)用防火墻。使用Web 攔截器在請求到達之前來攔截請求，并在應(yīng)用外部提供認(rèn)證和授權(quán)。例如，對于沒有或有

40、很少安全措施的應(yīng)用，必須提供合適的認(rèn)證和授權(quán)。因此，可使用攔截Web 代理提供適當(dāng)?shù)谋Ｗo，而不是修改代碼或重寫 Web 層。Web 攔截器可以安裝在Web 服務(wù)器中，通過在 Web服務(wù)器上攔截入站請求和執(zhí)行訪問控制策略，來對入站請求進行認(rèn)證和授權(quán)。對于本身不能實現(xiàn)安全或難以修改的應(yīng)用，通過將安全與應(yīng)用分離，提供一種理想的安全保護方法，它還可以集中管理與安全相關(guān)的組件。安全策略及其實現(xiàn)細(xì)節(jié)是在應(yīng)用外部實施的，因此可以修改，而不會影響應(yīng)用。攔截 Web 代理將安全邏輯與應(yīng)用邏輯分開，從而提高了可維護性。通常，攔截 Web 代理的實現(xiàn)制要求配置，而無需修改代碼。另外，通過將與安全相關(guān)的處理轉(zhuǎn)移到應(yīng)用

41、之外（即服務(wù)器上），攔截 Web 代理還提高了應(yīng)用的性能。在 Web 服務(wù)器上，沒有通過認(rèn)證和授權(quán)的請求將被拒絕，因此不會占用應(yīng)用的額外周期。硬件應(yīng)用網(wǎng)關(guān) (安全代理服務(wù) )29使用安全服務(wù)代理（ Secure Service Proxy）在應(yīng)用外提供認(rèn)證和驗證，這是通過攔截安全檢查請求，然后將其委派給合適的服務(wù)實現(xiàn)的。硬件網(wǎng)關(guān)系統(tǒng)邏輯架構(gòu)如下圖所示。應(yīng)用網(wǎng)關(guān)功能邏輯圖安全服務(wù)代理攔截來自客戶端的所有請求，確定請求服務(wù)，然后執(zhí)行服務(wù)要求的安全策略，并將請求從入站協(xié)議轉(zhuǎn)換為目標(biāo)服務(wù)要求的協(xié)議，最后將請求轉(zhuǎn)發(fā)給目標(biāo)服務(wù)。在返回路徑上，安全服務(wù)代理將結(jié)果從服務(wù)使用的協(xié)議和格式轉(zhuǎn)換為客戶要求的協(xié)議和格

42、式。它也可以保留客戶會話中首次請求創(chuàng)建的安全上下文，供以后的請求使用?？稍谄髽I(yè)外圍配置安全服務(wù)代理提供認(rèn)證、授權(quán)和其他安全服務(wù)，為遺留的或缺少安全機制的輕量級企業(yè)服務(wù)實施安全策略。安全服務(wù)代理模式與 Web 攔截器模式類似，但安全服務(wù)代理模式更高級，因為它不要求使用基于 HTTP 的 URL 訪問控制，也不要求使用任何傳輸協(xié)議將服務(wù)請求交給任何服務(wù)。它可以在已實現(xiàn)和已部署的應(yīng)用外執(zhí)行額外安全邏輯，也可以與沒有實現(xiàn)安全的新應(yīng)用集成。硬件應(yīng)用網(wǎng)關(guān)代理工作原理30瀏覽器發(fā)起 http 請求包數(shù)據(jù)采集模塊截獲請求包并轉(zhuǎn)發(fā)給數(shù)據(jù)解析模塊數(shù)據(jù)解析模塊解析數(shù)據(jù)包將解析后的數(shù)據(jù)包交由數(shù)據(jù)處理模塊處理處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給web appWeb app返回的數(shù)據(jù)，經(jīng)過數(shù)據(jù)處理模塊，返回瀏覽器應(yīng)用網(wǎng)關(guān)負(fù)載均衡工作原理加入到網(wǎng)關(guān)集群中的所有硬件網(wǎng)關(guān)按照指定優(yōu)先級策略進行主 / 從協(xié)商，