統(tǒng)一身份認證平臺參考模板

1、統(tǒng)一身份認證平臺設(shè)計方案1） 系統(tǒng)總體設(shè)計為了加強對業(yè)務系統(tǒng)和辦公室系統(tǒng)的安全控管，提高信息化安全管理水平，我們設(shè)計了基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認證服務平臺。1.1. 設(shè)計思想為實現(xiàn)構(gòu)建針對人員帳戶管理層面和應用層面的、全面完善的安全管控需要，我們將按照如下設(shè)計思想為設(shè)計并實施統(tǒng)一身份認證服務平臺解決方案：內(nèi)部建設(shè)基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認證服務平臺，通過集中證書管理、集中賬戶管理、集中授權(quán)管理、集中認證管理和集中審計管理等應用模塊實現(xiàn)所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應用數(shù)據(jù)共享和全面集中管控的核心目標。提供現(xiàn)有統(tǒng)一門戶系統(tǒng)，通過集成單點登錄模塊和調(diào)用統(tǒng)一身份

2、認證平臺服務，實現(xiàn)針對不同的用戶登錄，可以展示不同的內(nèi)容?？梢愿鶕?jù)用戶的關(guān)注點不同來為用戶提供定制桌面的功能。建立統(tǒng)一身份認證服務平臺，通過使用唯一身份標識的數(shù)字證書即可登錄所有應用系統(tǒng)，具有良好的擴展性和可集成性。 提供基于LDAP目錄服務的統(tǒng)一賬戶管理平臺，通過LDAP中主、從賬戶的映射關(guān)系，進行應用系統(tǒng)級的訪問控制和用戶生命周期維護管理功能。2 / 52 用戶證書保存在USB KEY中，保證證書和私鑰的安全，并滿足移動辦公的安全需求。1.2. 平臺介紹以PKI/CA技術(shù)為核心，結(jié)合國內(nèi)外先進的產(chǎn)品架構(gòu)設(shè)計，實現(xiàn)集中的用戶管理、證書管理、認證管理、授權(quán)管理和審

3、計等功能，為多業(yè)務系統(tǒng)提供用戶身份、系統(tǒng)資源、權(quán)限策略、審計日志等統(tǒng)一、安全、有效的配置和服務。如圖所示，統(tǒng)一信任管理平臺各組件之間是松耦合關(guān)系，相互支撐又相互獨立，具體功能如下： a) 集中用戶管理系統(tǒng)：完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應用系統(tǒng)的同步機制，簡化用戶及其賬號的管理復雜度，降低系統(tǒng)管理的安全風險。 b) 集中證書管理系統(tǒng)：集成證書注冊服務（RA）和電子密鑰（USB-Key）管理功能，實現(xiàn)用戶證書申請、審批、核發(fā)、更新、吊銷等生命周期管理功能，支持第三方電子認證服務。 c) 集中認證管理系統(tǒng)：實現(xiàn)多業(yè)務系統(tǒng)的統(tǒng)一認證

4、，支持數(shù)字證書、動態(tài)口令、靜態(tài)口令等多種認證方式；為企業(yè)提供單點登錄服務，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。 d) 集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問控制技術(shù)，實現(xiàn)支持多應用系統(tǒng)的集中、靈活的訪問控制和授權(quán)管理功能，提高管理效率。 e) 集中審計管理系統(tǒng)：提供全方位的用戶管理、證書管理、認證管理和授權(quán)管理的審計信息，支持應用系統(tǒng)、用戶登錄、管理操作等審計管理。1.3. 功能總體架構(gòu)總體架構(gòu)圖如下所示：說明：CA安全基礎(chǔ)設(shè)施可以采用自建方式，也可以選擇第三方CA。具體包含以下主要功能模塊：u 身份認證中心u 存儲企業(yè)用戶目錄，完成對用戶身

5、份、角色等信息的統(tǒng)一管理；u 授權(quán)和訪問管理系統(tǒng)；u 用戶的授權(quán)、角色分配；u 訪問策略的定制和管理；u 用戶授權(quán)信息的自動同步；u 用戶訪問的實時監(jiān)控、安全審計；u 身份認證服務u 身份認證前置為應用系統(tǒng)提供安全認證服務接口，中轉(zhuǎn)認證和訪問請求；u 身份認證服務完成對用戶身份的認證和角色的轉(zhuǎn)換；u 訪問控制服務u 應用系統(tǒng)插件從應用系統(tǒng)獲取單點登錄所需的用戶信息；u 用戶單點登錄過程中，生成訪問業(yè)務系統(tǒng)的請求，對敏感信息加密簽名；u CA中心及數(shù)字證書網(wǎng)上受理系統(tǒng)u 用戶身份認證和單點登錄過程中所需證書的簽發(fā)；u 用戶身份認證憑證（USB智能密鑰）的制作。1.4. 平臺總體部署集中部署方式：

6、所有模塊部署在同一臺服務器上，為企業(yè)提供統(tǒng)一信任管理服務。 部署方式主要是采用專有定制硬件服務設(shè)備，將集中帳戶管理、集中授權(quán)管理、集中認證管理和集中審計管理等功能服務模塊統(tǒng)一部署和安裝在該硬件設(shè)備當中，通過連接外部服務區(qū)域當中的從LDAP目錄服務（現(xiàn)有AD目錄服務）來完成對用戶帳戶的操作和管理。2） 技術(shù)實現(xiàn)方案2.1. 技術(shù)原理基于數(shù)字證書的單點登錄技術(shù)，使各信息資源和本防護系統(tǒng)站成為一個有機的整體。通過在各信息資源端安裝訪問控制代理中間件，和防護系統(tǒng)的認證服務器通信，利用系統(tǒng)提供的安全保障和信息服務，共享安全優(yōu)勢。其原理如下：a) 每個信息資源配置一個訪問代理，并為不同的代理分配

7、不同的數(shù)字證書，用來保證和系統(tǒng)服務之間的安全通信。b) 用戶登錄中心后，根據(jù)用戶提供的數(shù)字證書確認用戶的身份。c) 訪問一個具體的信息資源時，系統(tǒng)服務用訪問代理對應的數(shù)字證書,把用戶的身份信息機密后以數(shù)字信封的形式傳遞給相應的信息資源服務器。d) 信息資源服務器在接受到數(shù)字信封后，通過訪問代理，進行解密驗證，得到用戶身份。根據(jù)用戶身份，進行內(nèi)部權(quán)限的認證。2.2. 統(tǒng)一身份認證2.2.1. 用戶認證統(tǒng)一身份管理及訪問控制系統(tǒng)用戶數(shù)據(jù)獨立于各應用系統(tǒng)，對于數(shù)字證書的用戶來說，用戶證書的序列號平臺中是唯一的，對于非證書用戶來說，平臺用戶ID（passport）是唯一的，由其作為平臺用戶的統(tǒng)一標識。

8、如下圖所示：a. 在通過平臺統(tǒng)一認證后，可以從登錄認證結(jié)果中獲取平臺用戶證書的序列號或平臺用戶ID；b. 再由其映射不同應用系統(tǒng)的用戶賬戶；c. 最后用映射后的賬戶訪問相應的應用系統(tǒng)；當增加一個應用系統(tǒng)時，只需要增加平臺用戶證書序列號或平臺用戶ID與該應用系統(tǒng)賬戶的一個映射關(guān)系即可，不會對其它應用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認證時不同應用系統(tǒng)之間用戶交叉和用戶賬戶不同的問題。單點登錄過程均通過安全通道來保證數(shù)據(jù)傳輸?shù)陌踩?.2.2. 系統(tǒng)接入應用系統(tǒng)接入平臺的架構(gòu)如下圖所示：系統(tǒng)提供兩種應用系統(tǒng)接入方式，以快速實現(xiàn)單點登錄：a. 反向代理（ReverseProxy）方式應用系統(tǒng)無需開發(fā)、無

9、需改動。對于不能作改動或沒有原廠商配合的應用系統(tǒng)，可以使用該方式接入統(tǒng)一用戶管理平臺。反向代理技術(shù)：實現(xiàn)方式為松耦合，采用反向代理模塊和單點登錄（SSO）認證服務進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。b. Plug-in方式Plug-in：實現(xiàn)方式為緊耦合，采用集成插件的方式與單點登錄（SSO）認證服務進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。緊耦合方式提供多種API，通過簡單調(diào)用即可實現(xiàn)單點登錄（SSO）。2.2.3. 統(tǒng)一權(quán)限管理統(tǒng)一身份管理及訪問控制系統(tǒng)的典型授權(quán)管理模型如下圖所示：用戶授權(quán)的基礎(chǔ)是對用戶的統(tǒng)一管理，對于在用戶信息庫中新注冊的用戶，通過自動授權(quán)或手工授權(quán)方式，為用

10、戶分配角色、對應用系統(tǒng)的訪問權(quán)限、應用系統(tǒng)操作權(quán)限，完成對用戶的授權(quán)。如果用戶在用戶信息庫中被刪除，則其相應的授權(quán)信息也將被刪除。完整的用戶授權(quán)流程如下：1、用戶信息統(tǒng)一管理，包括了用戶的注冊、用戶信息變更、用戶注銷；2、權(quán)限管理系統(tǒng)自動獲取新增（或注銷）用戶信息，并根據(jù)設(shè)置自動分配（或刪除）默認權(quán)限和用戶角色；3、用戶管理員可以基于角色調(diào)整用戶授權(quán)（適用于用戶權(quán)限批量處理）或直接調(diào)整單個用戶的授權(quán)；4、授權(quán)信息記錄到用戶屬性證書或用戶信息庫（關(guān)系型數(shù)據(jù)庫、LDAP目錄服務）中；5、用戶登錄到應用系統(tǒng)，由身份認證系統(tǒng)檢驗用戶的權(quán)限信息并返回給應用系統(tǒng)，滿足應用系統(tǒng)的權(quán)限要求可以進行操作，否則拒

11、絕操作；6、用戶的授權(quán)信息和操作信息均被記錄到日志中，可以形成完整的用戶授權(quán)表、用戶訪問統(tǒng)計表。2.2.4. 安全通道提供的安全通道是利用數(shù)字簽名進行身份認證，采用數(shù)字信封進行信息加密的基于SSL協(xié)議的安全通道產(chǎn)品，實現(xiàn)了服務器端和客戶端嵌入式的數(shù)據(jù)安全隔離機制。安全通道的主要用途是在兩個通信應用程序之間提供私密性和可靠性，這個過程通過3個元素來完成：a. 握手協(xié)議：這個協(xié)議負責協(xié)商用于客戶機和服務器之間會話的加密參數(shù)。當一個SSL客戶機和服務器第一次開始通信時，它們在一個協(xié)議版本上達成一致，選擇加密算法和認證方式，并使用公鑰技術(shù)來生成共享密鑰。b. 記錄協(xié)議：這個協(xié)議用于交換應用數(shù)據(jù)。應用程

12、序消息被分割成可管理的數(shù)據(jù)塊，還可以壓縮，并產(chǎn)生一個MAC（消息認證代碼），然后結(jié)果被加密并傳輸。接受方接受數(shù)據(jù)并對它解密，校驗MAC，解壓并重新組合，把結(jié)果提供給應用程序協(xié)議。c. 警告協(xié)議：這個協(xié)議用于標示在什么時候發(fā)生了錯誤或兩個主機之間的會話在什么時候終止。3） 平臺功能說明平臺主要提供集中用戶管理、集中證書管理、集中認證管理、集中授權(quán)管理和集中審計等功能，總體功能模塊如下圖所示：4） 集中用戶管理隨著企業(yè)整體信息化的發(fā)展，大致都經(jīng)歷了網(wǎng)絡基礎(chǔ)建設(shè)階段、應用系統(tǒng)建設(shè)階段，目前正面臨著實現(xiàn)納入到信息化環(huán)境中人員的統(tǒng)一管理和安全控制階段。隨著企業(yè)的網(wǎng)絡基礎(chǔ)建設(shè)的不斷完善和應用系統(tǒng)建設(shè)的不斷

13、擴展，在信息化促進業(yè)務加速發(fā)展的同時，企業(yè)信息化規(guī)模也在迅速擴大以滿足業(yè)務的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映的事件是無論是網(wǎng)絡系統(tǒng)、業(yè)務系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè)內(nèi)外的人員，每一為人員承擔著使用、管理、授權(quán)、應用操作等角色。因此對于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中之重，只有加強人員的可信身份管理，才能做到大門的安全防護，才能為企業(yè)的管理、業(yè)務發(fā)展構(gòu)建可信的信息化環(huán)境，特別是采用數(shù)字證書認證和應用后，完全可以做到全過程可信身份的管理，確保每個操作都是可信得、可信賴的。 集中用戶管理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期

14、的集中統(tǒng)一管理，并建立與各應用系統(tǒng)的同步機制，簡化用戶及其賬號的管理復雜度，降低系統(tǒng)用戶管理的安全風險。4.1. 管理服務對象集中用戶管理主要面向企業(yè)內(nèi)外部的人、資源等進行管理和提供服務，具體對象可以分為以下幾類： a) 最終用戶 ：自然人，包括自然人身份和相關(guān)信息 。b) 主賬號 ：與自然人唯一對應的身份標識，一個主賬號只能與一個自然人對應，而一個自然人可能存在多個主賬號 。c) 從賬號 ：與具體角色對應，每一個應用系統(tǒng)內(nèi)部設(shè)置的用戶賬號，在統(tǒng)一信任管理平臺中每個主賬號可以擁有多個從帳號，也就是多種身份角色（即一個日然人在企業(yè)內(nèi)部具

15、備多套應用系統(tǒng)賬號） 。d) 資源 ：用戶使用或管理的對象，主要是指應用系統(tǒng)及應用系統(tǒng)下具體功能 。具體服務對象之間的映射對應關(guān)系如下圖所示：4.2. 用戶身份信息設(shè)計4.2.1. 用戶類型用戶是訪問資源的主體，人是最主要的用戶類型：多數(shù)的業(yè)務由人發(fā)起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人控制。人又可再分為：員工、外部用戶。員工即中心的職員，是平臺主要的關(guān)注的用戶群體；外部用戶是指以獨立身分訪問中心應用系統(tǒng)的其他用戶如投標人、招標人、招標代理等。 4.2.2. 身份信息模型身份信息模型如下：對各類用戶身份建立統(tǒng)一的用戶身份標識。用戶身份標識是統(tǒng)一用戶管理系

16、統(tǒng)內(nèi)部使用的標識，用于識別所有用戶的身份信息。用戶標識不同于員工號或身份證號，需要建立相應的編碼規(guī)范。為了保證用戶身份的真實、有效性，可以通過數(shù)字證書認證的方式進行身份鑒別并與用戶身份標識進行唯一對應。 用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如HR中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的對照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢。 基于分權(quán)、分級的管理需要，用戶身份信息需要將用戶信息按照所屬機構(gòu)和崗位級別進行分類，便于劃分安全管理域，將用戶信息集中存儲在總部，以及管理域的劃分。 用戶認證信息管理用戶的認證

17、方式及各種認證方式對應的認證信息，如用戶名/口令，數(shù)字證書等。由于用戶在各應用系統(tǒng)中各自具有賬號和相關(guān)口令，為了保證在平臺實施后可以使原有系統(tǒng)仍可以按照原有賬號方式操作，需要建立用戶標識與應用系統(tǒng)中賬號的對照關(guān)系。授權(quán)信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色和其它屬性。4.2.3. 身份信息存儲為了方便對人員身份的管理，集中用戶系統(tǒng)采用樹形架構(gòu)來進行人員組織架構(gòu)的維護，存儲方式主要采用LDAP?？梢酝ㄟ^中心內(nèi)部已有的人員信息管理系統(tǒng)當中根據(jù)策略進行讀寫操作，目前主要支持以下數(shù)據(jù)源類型： a) Windows Active Directory（AD）

18、 b) OpenLdap c) IBM Directory Server（IDS）4.3. 用戶生命周期管理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份標識（數(shù)字證書的頒發(fā)）、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的自動化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示：由于要賦予用戶可信的身份標識，所以需要通過數(shù)字證書認證的方式來實現(xiàn)，在用戶生命周期管理過程中圍繞用戶包含了基于帳戶的生命周期和數(shù)字證書的生命周期管理的內(nèi)容。數(shù)字證書主要是與用戶的主賬戶標識進行唯一綁定，在用戶帳戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何改

19、變，唯有在用戶帳戶進行注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進行吊銷和歸檔操作。4.4. 用戶身份信息的維護目前集中用戶管理系統(tǒng)中對用戶身份信息的維護主要以企業(yè)已存在的AD域和LDAP作為基礎(chǔ)數(shù)據(jù)源，集中用戶 管理系統(tǒng)作為用戶信息維護的主要入口，可以由人力資源部門的相應人員執(zhí)行用戶賬戶的創(chuàng)建、修改、刪除、編輯、查詢、以及數(shù)字證書的發(fā)放。AD域中的用戶信息變動通過適配器被平臺感知，并自動同步到平臺用戶身份信息存儲（目錄服務器）中；平臺的用戶管理員也可以直接修改平臺中集中存儲的用戶身份信息，再由平臺同步到各個應用系統(tǒng)中。5） 集中證書管理集中證書管理功能主要是針對用戶的CA系統(tǒng)

20、，包括：a) 證書申請 b) 證書制作 c) 證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸檔） d) 證書有效性檢查  集中證書管理功能集支持多種CA建設(shè)模式（自建和第三方服務）、多RA 集中管理、擴展性強等特性，從技術(shù)上及管理上以靈活的實現(xiàn)模式滿足用戶對證書集中管理的迫切需求，解決管理員對多平臺進行操作及維護困難的問題。5.1. 集中證書管理功能特點集中證書管理功能的實現(xiàn)就是通過集成證書注冊服務（RA）和電子密鑰（USB-Key）管理功能。a. 集中制證 集中制證主要結(jié)合本地數(shù)據(jù)源中的數(shù)據(jù)為用戶進行集中制證，

21、包括集中申請、自動審批。 通過CA的配置路徑，訪問指定的CA系統(tǒng)； CA系統(tǒng)簽發(fā)數(shù)字證書并返回給管理員； 管理員將證書裝入UBS Key,制證成功.將數(shù)字證書發(fā)送給最終用戶。b.  證書生命周期管理 通過集中證書管理功能可實現(xiàn)對所制證書進行證書的生命周期管理，主要包括：證書的查詢、吊銷等，同時還可以實現(xiàn)對證書有效性的檢查。 證書有效性檢查，可支持與CA系統(tǒng)的CRL（證書掉銷列表）服務聯(lián)動及手動導入CRL列表。 用戶通過證書認證方式登錄 “登錄門戶”； 將用戶的證書信息（包括證書屬性、有效期等）提

22、交到“證書管理模塊”； 服務檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無效將值返回“證書管理模塊”）“證書管理模塊”將有效值返回“登錄門戶”，用戶通過認證。（若無效，用戶登錄失?。?； 用戶通過認證，正常進入應用系統(tǒng)。c.  支持多種CA建設(shè)模式 d. 多RA集中管理 在一個企業(yè)內(nèi)，根據(jù)證書應用的需求，存在根CA下有多個子CA，即存在多個RA。通過平臺與RA的集成，可支持與企業(yè)內(nèi)的多RA進行集成，實現(xiàn)單平臺多RA的集中管理。 e. 靈活擴展性 集中證書管理功能除了實現(xiàn)集中制證、證書生命周期管理功能，以及具有多RA管

23、理、支持用戶CA系統(tǒng)的自建和服務模式的特點，還具有靈活的擴展性?？蓪崿F(xiàn)與RA的完全集成，通過平臺實現(xiàn)RA的完全接管，實現(xiàn)證書處理、證書生命周期管理、證書審批、支持多種申請模式、RA日志管理、密鑰管理、策略管理等。以滿足更多用戶對于集中證書管理的擴展性需求。6） 集中授權(quán)管理6.1. 集中授權(quán)管理應用背景分析一些大型機構(gòu)，發(fā)現(xiàn)機構(gòu)內(nèi)部各應用系統(tǒng)自身授權(quán)非常完善，但是從集中管理角度看，發(fā)現(xiàn)大型機構(gòu)中的傳統(tǒng)授權(quán)所存在如下問題： a) 系統(tǒng)權(quán)限分散：人員的流動及職位的變更，需要更改人員的系統(tǒng)使用權(quán)限，而多個系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來安全漏洞。 b) 應用系統(tǒng)的獨

24、立性：各種應用系統(tǒng)都使用獨立的登錄方式，員工需要記憶所有應用系統(tǒng)的帳號、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率影響非常大，甚至簡化記憶問題，所有應用系統(tǒng)統(tǒng)一使用相同的密碼，由此為黑客或者木馬程序提供機會，而對應用系統(tǒng)的安全防護帶來極大地威脅。 集中授權(quán)的最大特點，就是集中在一個接口對組/角色進行資源的合理分配。集中授權(quán)的過程，就是集中對用戶（組/角色）通過何種方式（證書/口令）使用某種資源（應用/功能）的權(quán)限的分配。 員工入職，分配一個特定的原本已經(jīng)隸屬于某些角色/組的身份賬戶，統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在中心應用系統(tǒng)中的所有權(quán)限；當職位變

25、更時，只需更改身份賬戶所屬角色/組，則所享有的權(quán)限也相應變化，而對應的應用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應用系統(tǒng)的安全性得到了極大提高，不會因為對應的業(yè)務系統(tǒng)因為沒有中止用戶應用權(quán)限而遭受安全風險。 通過集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營造一個安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。 6.2. 集中授權(quán)管理對象集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角色屬性，進行對應應用系統(tǒng)和資源的授權(quán)分配，從保證人與應用系統(tǒng)之間使用權(quán)限關(guān)系，最終實現(xiàn)，什么樣的人、組織、角色能訪問哪些應用系統(tǒng)和資源。 集中授權(quán)還

26、可以依賴于應用系統(tǒng)為管理對象，然后針對該應用系統(tǒng)給人、組織、角色授予相應訪問和操作權(quán)限，最終把應用系統(tǒng)和人進行權(quán)限關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應用系統(tǒng)和資源，能讓怎樣的人、組織、角色進行訪問。 組：包括按照組織架構(gòu)或特定功能劃分的部門、工作組及個人用戶 。通過以上兩種方模式，可以對企業(yè)內(nèi)部的人員、應用系統(tǒng)和資源進行合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理，最終實現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應用系統(tǒng)數(shù)據(jù)的安全，保護企業(yè)的資產(chǎn)。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念： 角色定義，主要是

27、基于用戶組角色和應用系統(tǒng)角進行角色定義。基于用戶組的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門下定義產(chǎn)品工程師角色。目標是在以后授權(quán)模式中通過對產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會一次性獲得授權(quán)，這樣方便管理，同時也是簡化了授權(quán)的操作?；趹孟到y(tǒng)定義角色，即按照該應用系統(tǒng)下的用戶職能進行定義。比如，針對OA應用系統(tǒng)和結(jié)合人力資源架構(gòu)定義“總監(jiān)”，那么根據(jù)OA系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只要存在應用系統(tǒng)對總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權(quán)后均可以按照總監(jiān)的角色進行應用訪問。 資源定義，主要是應用系統(tǒng)下具備的每一功能模塊，所有的功能模塊統(tǒng)稱為資源。資源

28、的定義主要是方便人員、組織、角色授權(quán)時候的對象指定，最終經(jīng)過授權(quán)實現(xiàn)，什么樣的人員、組織、角色能訪問應用系統(tǒng)的那些功能。也就是中細粒度授權(quán)所需要的涉及的內(nèi)容。6.3. 集中授權(quán)管理原理6.4. 集中授權(quán)管理模式a) 基于組/角色的訪問授權(quán)： 對于屬于某一組/角色的用戶，管理員可以為其授權(quán)于可訪問的應用系統(tǒng)和資源（應用系統(tǒng)的功能）。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查看、分配的權(quán)限。 b) 基于應用系統(tǒng)和資源的授權(quán)： 對于某一選定應用（或其包含的功能、功能組），管理員可以授權(quán)為其指派訪問資源（用戶、組、角色）細粒度授權(quán)：傳統(tǒng)意義中的粗粒度授權(quán)是以某一應用系統(tǒng)為標準

29、，將應用系統(tǒng)那個授權(quán)于某一個人、某一機構(gòu)（組織）、某一類角色；而對于應用系統(tǒng)下的模塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無法做到應用系統(tǒng)的內(nèi)部授權(quán)機制，導致簡單的訪問控制授權(quán)無法滿足業(yè)務系統(tǒng)的精細化管理，為了滿足企業(yè)的細致化訪問控制，需要打破傳統(tǒng)授權(quán)模式，增加新的授權(quán)機制，即要實現(xiàn)細粒度的訪問控制授權(quán)。 而將資源管理模塊細粒度化，則是將應用模塊拆分成單個的功能模塊，某幾個功能模塊又可以組合成一個功能組，在授權(quán)時，針對某一應用模塊中的功能或功能組模塊進行權(quán)限分配。6.5. 角色繼承提供了角色授權(quán)模型，在角色權(quán)限分配的管理過程中，角色之間可以實現(xiàn)多模式繼承，即單繼承、多繼承、

30、動態(tài)繼承；多種模式的繼承由系統(tǒng)自動完成，但是當繼承形成環(huán)路的時候，則繼承屬性自動中斷，保持獨立的角色屬性。這樣可以保證應用系統(tǒng)權(quán)限合理管控，而不會因為角色繼承導致權(quán)限失去控制。針對繼承方式，如下定義： a) 單繼承：  角色A繼承于角色B ，則 A擁有B所有的權(quán)限。b)  多繼承 角色A繼承于角色B、角色C、角色D，則A同時擁有B、C、D所有的權(quán)限。 c) 動態(tài)繼承：n 角色A繼承于角色B、角色C、角色D，用戶擁有角色A；n 角色B的登錄方式為口令；n 角色C的登錄方式為口令和證書；n 角色D的登錄方式為證書。d)

31、 循環(huán)繼承：角色循環(huán)繼承時，系統(tǒng)內(nèi)部自行處理，在循環(huán)處于環(huán)路，則繼承自動斷開。7） 集中認證管理集中認證管理為企業(yè)的IT系統(tǒng)提供統(tǒng)一的身份認證，是企業(yè)安全門戶入口，只有安全的認證機制才可以保證機構(gòu)大門不被非法人員進入；在整個認證系統(tǒng)中其服務的對象包括企業(yè)接入統(tǒng)一認證平臺的所有業(yè)務系統(tǒng)、管理系統(tǒng)和應用系統(tǒng)等，統(tǒng)一認證系統(tǒng)能夠提供快速、高效和安全的服務，應用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴展性、高可用性。7.1. 集中認證管理特點a) 提供多因素認證服務 集中認證管理可以為多個不同種類、不同形式的應用提供統(tǒng)一的認證服務，不需要應用系統(tǒng)獨立開發(fā)、設(shè)計認證系統(tǒng)，為業(yè)務系統(tǒng)快速推出新的業(yè)務和服

32、務準備了基礎(chǔ)條件，集中認證管理為這些應用提供了統(tǒng)一的接入形式。 b) 提供多種認證方式 企業(yè)的不同業(yè)務系統(tǒng)的安全級別不同,使用環(huán)境不同，用戶的習慣和操作熟練程度不同，集中認證管理可以針對這些不同的應用特點提供不同的認證手段。 c) 提供統(tǒng)一和多樣化的認證策略集中認證管理針對不同的認證方式，提供了統(tǒng)一的策略控制，各個應用系統(tǒng)也可以根據(jù)自身的需要進行個性化的策略設(shè)置，根據(jù)應用或用戶類型的需求，設(shè)置個性化的認證策略，提高應用系統(tǒng)的分級管理安全。7.2. 身份認證方式集中認證管理系統(tǒng)支持多種身份認證方式，包括： 1) 用戶名/口令2)  數(shù)字證書

33、60;3) Windows域認證 4) 通行碼 集中認證管理同時支持上述四種認證方式，也可以根據(jù)用戶的需求對用戶登錄認證方式進行擴展。下面首先分別介紹這些認證方式，然后介紹認證方式與安全等級。7.2.1. 用戶名/口令認證用戶名/口令是最傳統(tǒng)且最普遍的身份認證方法，通常采用如下形式：當用戶需要訪問系統(tǒng)資源時，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認證中心。并和認證中心保存的用戶信息進行比對。如果驗證通過，系統(tǒng)允許該用戶進行隨后的訪問操作，否則拒絕用戶的下一步的訪問操作。  靜態(tài)口令的優(yōu)點是簡單且成本低，但是如果用戶不

34、去修改它，那么這個口令就是固定不變的、長期有效的，因此這種認證信息的靜態(tài)性，導致傳統(tǒng)口令在很多情況下都有著發(fā)生口令泄密的危險。在整體安全認證中，對于瀏覽非重要資源的用戶可以采用該方法。7.2.2. 數(shù)字證書認證數(shù)字證書是目前最常用一種比較安全的身份認證技術(shù)。數(shù)字證書技術(shù)是在PKI體系基礎(chǔ)上實現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認證，還可以進一步進行安全加密，數(shù)字簽名等操作。 依據(jù)自己多年的安全經(jīng)驗，提供完整的數(shù)字身份認證解決方案。數(shù)字證書的存儲方式非常靈活，數(shù)字證書可被直接存儲在計算機中，也可存儲在智能卡或USB Key中。7.2.3. Windows域認證Windows

35、域是一種應用層的用戶及權(quán)限集中管理技術(shù)。當用戶通過Windows系列操作系統(tǒng)的登錄界面成功登錄Windows域后，就可以充分使用域內(nèi)的各種共享資源，同時接受Windows域?qū)τ脩粼L問權(quán)限的管理與控制。目前，很多企業(yè)、機構(gòu)和學校都使用域來管理網(wǎng)絡資源，用于控制不同身份的用戶對網(wǎng)絡應用及共享信息的使用權(quán)限。 集中認證管理支持Windows 域登錄，對于已經(jīng)登錄到Windows 域中的用戶，不需要輸入用戶名、密碼而直接使用當前登錄的域用戶信息進行驗證，如果驗證成功則進入，否則拒絕進入。7.2.4. 通行碼認證通行碼是集中認證管理支持的一種特有認證方式，用戶忘記其他認證信

36、息時，可以向管理員申請一次性使用的口令進行身份認證。主要滿足安全應急服務，當用戶安全認證的憑證遺忘或者丟失，通過后臺管理員生成通行碼的方式，幫助用戶解決認證登錄；通行碼具備時效性和一次性特點，當使用過或者超出使用時間范圍，其認證效力自動失效，非常強大的保證了系統(tǒng)的安全性和可靠性；在有效地時間段范圍內(nèi)，能有效、快速的幫助用戶解決認證和系統(tǒng)準入的問題，為應用提供了便利。7.2.5. 認證方式與安全等級每種認證方式對應安全等級的一個范圍，安全等級的范圍又是根據(jù)安全策略來界定的。認證方式（如用戶名/口令、數(shù)字證書、Windows域等）僅僅是在認證系統(tǒng)內(nèi)部來管理和控制的，身份認證子系統(tǒng)與其他子系統(tǒng)之間的

37、信息交換都是通過認證的安全等級來實現(xiàn)的。7.3. 身份認證相關(guān)協(xié)議身份認證管理支持的身份認證協(xié)議有： a) SSL協(xié)議。b)  Windows 域認證c)  SAML協(xié)議 集中認證管理同時支持上述三種認證協(xié)議，下面詳細介紹這些認證協(xié)議。7.3.1. SSL協(xié)議SSL（Secure Socket Layer，安全套接層）協(xié)議最早由Netscape提出，是一種用于保護互聯(lián)網(wǎng)通信私密性的安全協(xié)議，現(xiàn)在已經(jīng)是該領(lǐng)域的工業(yè)標準。通過SSL協(xié)議，可以使通信不被惡意攻擊者竊聽，并且始終對服務端進行認證（也可以應用可選的客戶端認證）。

38、60; SSL可以使用RC4、DES等多種加密算法，并應用X.509數(shù)字證書標準進行認證，從保護機制上來講，是比較完善的。而且SSL的實現(xiàn)成本比較低，可以很容易的結(jié)合現(xiàn)有的應用環(huán)境建立比較安全的傳輸，所以獲得了極為廣泛的應用。 基于SSL協(xié)議的身份認證方式與用戶名/口令方式相比，最顯著的優(yōu)勢在于SSL提供雙向的身份認證，不僅可以驗證客戶端的身份同時也可以認證服務器的身份。7.3.2. Windows域Windows交互式登錄是我們平常常見的一種登錄認證方式，交互式登錄包括“本地登錄”和“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄”。 a) 本地用戶賬號

39、60;采用本地用戶賬號登錄，系統(tǒng)會通過存儲在本機SAM數(shù)據(jù)庫中的信息進行驗證。用本地用戶賬號登錄后，只能訪問到具有訪問權(quán)限的本地資源。 b) 域用戶賬號  采用域用戶賬號登錄，系統(tǒng)則通過存儲在域控制器的活動目錄中的數(shù)據(jù)進行驗證。如果該用戶賬號有效，則登錄后可以訪問到整個域中具有訪問權(quán)限的資源。 用戶登錄域的過程即是活動目錄認證用戶的過程，具體過程如下: 登錄到域的驗證過程，對于不同的驗證協(xié)議也有不同的驗證方法。如果域控制器是Windows NT 4.0，那么使用的是NTLM驗證協(xié)議，其驗證過程和“登錄到本機的過程”基本一致，

40、唯一區(qū)別就在于驗證賬號的工作不是在本地SAM數(shù)據(jù)庫中進行，而是在域控制器中進行；而對于Windows 2000和Windows 2003域控制器來說，使用的一般為更安全可靠的Kerberos V5協(xié)議。通過這種協(xié)議登錄到域，向域控制器證明自己的域賬號有效，用戶需先申請允許請求該域的TGS(Ticket-Granting Service-票據(jù)授予服務)。獲準之后，用戶就會為所要登錄的計算機申請一個會話票據(jù)，最后還需申請允許進入那臺計算機的本地系統(tǒng)服務。7.3.3. SAML協(xié)議2003年初，OASIS小組批準了安全性斷言標記語言（Security 

41、;Assertion Markup Language，SAML）規(guī)范。由于來自25家公司的55名專家參與了該規(guī)范的制定。SAML 是第一個可能成為多個認證協(xié)議的規(guī)范以利用Web基礎(chǔ)結(jié)構(gòu)（在這種Web基礎(chǔ)結(jié)構(gòu)中，XML數(shù)據(jù)在TCP/IP網(wǎng)絡上通過HTTP協(xié)議傳送）。 OASIS小組開發(fā)SAML的目的是作為一種基于XML的框架，用于交換安全性信息。SAML與其它安全性方法的最大區(qū)別在于它以有關(guān)多個主體的斷言的形式來表述安全性。其它方法使用中央認證中心來發(fā)放證書，這些證書保證了網(wǎng)絡中從一點到另一點的安全通信。利用SAML，網(wǎng)絡中的任何點都可以斷言它知道用戶或數(shù)

42、據(jù)塊的身份。然后由接收應用程序做出決定，如果它信任該斷言，則接受該用戶或數(shù)據(jù)塊。任何符合SAML的軟件然后都可以斷言對用戶或數(shù)據(jù)的認證。對于即將出現(xiàn)的業(yè)務工作流Web服務標準（在該標準中，安全的數(shù)據(jù)需要流經(jīng)幾個系統(tǒng)才能完成對事務的處理）而言，這很重要。SAML是旨在減少構(gòu)建和操作信息系統(tǒng)（這些系統(tǒng)在許多服務提供者之間相互操作）所花費成本的眾多嘗試之一。在當今競爭激烈且迅速發(fā)展的環(huán)境中，出現(xiàn)了通過瀏覽器和支持Web的應用程序為用戶提供互操作性的企業(yè)聯(lián)合。例如，旅游網(wǎng)站允許用戶不必進行多次登錄即可預訂機票和租車。今天，一大群軟件開發(fā)人員、QA技術(shù)人員和IT經(jīng)理都需要處理復雜的和不可靠的后端系統(tǒng)，這

43、些系統(tǒng)提供了企業(yè)之間的聯(lián)合安全性。 在典型的支持Web的基礎(chǔ)結(jié)構(gòu)中，運行業(yè)界領(lǐng)先的企業(yè)系統(tǒng)的軟件需要處理權(quán)限服務器之間的瀏覽器重定向、服務器域之間的HTTP post命令、公鑰基礎(chǔ)結(jié)構(gòu)（public key infrastructure，PKI）加密和數(shù)字證書，以及聲明任何給定用戶或組的信任級別的相互同意（mutually agreed-upon）機制。SAML向軟件開發(fā)人員展示了如何表示用戶、標識所需傳送的數(shù)據(jù)，并且定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過程。 7.4. 身份認證系統(tǒng)主要功能集中認證系統(tǒng)的主要功能包括： 支持多種認證方

44、式，包括用戶名/口令、數(shù)字證書、Windows域認證和通行碼，并且為其他認證技術(shù)留有接口； 支持多種認證協(xié)議，包括支持數(shù)字證書認證的SSL協(xié)議， Windows域認證，SAML協(xié)議等； 支持單點登錄 支持會話管理 管理用戶的認證憑證信息，如數(shù)字證書等； 制定身份認證的安全策略，如定義認證模式和安全等級等； 認證系統(tǒng)模塊管理，如對應用認證網(wǎng)關(guān)的管理等。7.5. 單點登錄單點登錄是集中認證管理的主要功能，本部分從功能實現(xiàn)原理，系統(tǒng)硬件配置，單點登錄實現(xiàn)流程等方面進行說明。7.5.1. 單點登錄技術(shù)軟件應用插件式網(wǎng)關(guān)（WEB攔截器

45、技術(shù)） Web攔截器（Intercepting Web Agent）是一種基于過濾技術(shù)（Filter）的應用防火墻。使用Web攔截器在請求到達之前來攔截請求，并在應用外部提供認證和授權(quán)。例如，對于沒有或有很少安全措施的應用，必須提供合適的認證和授權(quán)。因此，可使用攔截Web代理提供適當?shù)谋Ｗo，而不是修改代碼或重寫Web層。Web攔截器可以安裝在Web服務器中，通過在Web服務器上攔截入站請求和執(zhí)行訪問控制策略，來對入站請求進行認證和授權(quán)。對于本身不能實現(xiàn)安全或難以修改的應用，通過將安全與應用分離，提供一種理想的安全保護方法，它還可以集中管理與安全相關(guān)的組件。安全策略

46、及其實現(xiàn)細節(jié)是在應用外部實施的，因此可以修改，而不會影響應用。 攔截Web代理將安全邏輯與應用邏輯分開，從而提高了可維護性。通常，攔截Web代理的實現(xiàn)制要求配置，而無需修改代碼。另外，通過將與安全相關(guān)的處理轉(zhuǎn)移到應用之外（即服務器上），攔截Web代理還提高了應用的性能。在Web服務器上，沒有通過認證和授權(quán)的請求將被拒絕，因此不會占用應用的額外周期。 硬件應用網(wǎng)關(guān)(安全代理服務) 使用安全服務代理（Secure Service Proxy）在應用外提供認證和驗證，這是通過攔截安全檢查請求，然后將其委派給合適的服務實現(xiàn)的。硬件網(wǎng)關(guān)系統(tǒng)邏輯架構(gòu)如下圖所示。安全服務代理攔截來自客戶端的所有請求，確定請求服務，然后執(zhí)行服務要求的安全策略，并將請求從入站協(xié)議轉(zhuǎn)換為目標服務要求的協(xié)議，最后將請求轉(zhuǎn)發(fā)給目標服務。在返回路徑上，安全服務代理將結(jié)果從服務使用的協(xié)議和格式轉(zhuǎn)換為客戶要求的協(xié)議和格式。它也可以保留客戶會話中首次請求創(chuàng)建的安全上下文，供以后的請求使用。 可在企業(yè)外圍配置安全服務代理提供認證、授權(quán)和其他安全服務，為遺留的或缺少安全機制的輕量級企業(yè)服