統(tǒng)一身份認(rèn)證設(shè)計方案

1 統(tǒng)一身份認(rèn)證設(shè)計方案 統(tǒng)總體設(shè)計 為了加強對業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)的安全管控，提高信息化安全管理水平，我們設(shè)計了基于 A 技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺。 總體設(shè)計思想 為實現(xiàn)構(gòu)建針對人員帳戶管理層面和應(yīng)用層面的、全面完善的安全管控需要，我們將按照如下設(shè)計思想為設(shè)計并實施統(tǒng)一身份認(rèn)證服務(wù)平臺解決方案： 在內(nèi)部建設(shè)基于 A 技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺，通過集中證書管理、集中賬戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計管理等應(yīng)用模塊實現(xiàn)所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標(biāo)。 提供現(xiàn)有統(tǒng)一門戶系統(tǒng)，通過集成單點登錄模塊和調(diào)用統(tǒng)一身份認(rèn)證平臺服務(wù)，實現(xiàn)針對不同的用戶登錄，可以展示不同的內(nèi)容?？梢愿鶕?jù)用戶的關(guān)注點不同來為用戶提供定制桌面的功能。 建立統(tǒng)一身份認(rèn)證服務(wù)平臺，通過使用唯一身份標(biāo)識的數(shù)字證書即可登錄所有應(yīng)用系統(tǒng)，具有良好的擴展性和可集成性。 提供基于 錄服務(wù)的統(tǒng)一賬戶管理平臺，通過 主、從賬戶的映射關(guān)系，進(jìn)行應(yīng)用系統(tǒng)級的訪問控制和用戶生命周期維護管理功能。 用戶證書保存在 ，保證證書和私鑰的安全，并滿足移動辦公 的安全需求。 2 平臺總體介紹 以 A 技術(shù)為核心，結(jié)合國內(nèi)外先進(jìn)的產(chǎn)品架構(gòu)設(shè)計，實現(xiàn)集中的用戶管理、證書管理、認(rèn)證管理、授權(quán)管理和審計等功能，為多業(yè)務(wù)系統(tǒng)提供用戶身份、系統(tǒng)資源、權(quán)限策略、審計日志等統(tǒng)一、安全、有效的配置和服務(wù)。 集中證書集中認(rèn)證集中授權(quán)集中審計集中用戶身份管理單點登錄訪問控制責(zé)任界定如圖所示，統(tǒng)一信任管理平臺各組件之間是松耦合關(guān)系，相互支撐又相互獨立，具體功能如下： 集中用戶管理系統(tǒng)：完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機制，簡化用戶及其賬號的管理復(fù)雜度，降低系統(tǒng)管理的安全風(fēng)險。 集中證書管理系統(tǒng)：集成證書 注冊服務(wù)（ 電子密鑰（ 理功能，實現(xiàn)用戶證書申請、審批、核發(fā)、更新、吊銷等生命周期管理功能，支持第三方電子認(rèn)證服務(wù)。 3 集中認(rèn)證管理系統(tǒng)：實現(xiàn)多業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證，支持?jǐn)?shù)字證書、動態(tài)口令、靜態(tài)口令等多種認(rèn)證方式；為企業(yè)提供單點登錄服務(wù)，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。 集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問控制技術(shù)，實現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈活的訪問控制和授權(quán)管理功能，提高管理效率。 集中審計管理系統(tǒng)：提供全方位的用戶管理、證書管理、認(rèn)證管理和授權(quán)管 理的審計信息，支持應(yīng)用系統(tǒng)、用戶登錄、管理操作等審計管理。 平臺總體邏輯結(jié)構(gòu) 總體邏輯結(jié)構(gòu)圖如下所示： 外部相關(guān)服務(wù)務(wù)系統(tǒng)（身份管理、單點登錄、訪問控制、 責(zé)任 界 定 ）P K 解密服務(wù)、 L 協(xié)議統(tǒng)一信任管理平臺業(yè)務(wù)系統(tǒng)用戶管理認(rèn)證管理授權(quán)管理審計管理郵 件財 務(wù) C R 如圖所示，平臺以 礎(chǔ)服務(wù)、加解密服務(wù)、 議等國際成熟技術(shù)為基礎(chǔ)，架構(gòu)統(tǒng)一信任管理平臺的管理系統(tǒng)，通過 濾器、安全代理服務(wù)器等技術(shù)簡單、快捷實現(xiàn)各應(yīng)用系統(tǒng)集成，在保證系統(tǒng)安全性的前提下，更好的實現(xiàn)業(yè)務(wù)系統(tǒng)整合和內(nèi)容整合。 平臺總體部署 集中部署方式：所有模塊部署在同一臺服務(wù)器上，為企業(yè)提供統(tǒng)一信任管理服務(wù)。 部署方式主要是采用專有定制硬件服務(wù)設(shè)備，將集中帳戶管理、集中授權(quán)管理、集中認(rèn) 證管理和集中審計管理等功能服務(wù)模塊統(tǒng)一部署和安裝在該硬件設(shè)備當(dāng)中，通過連接外部服務(wù)區(qū)域當(dāng)中的從 錄服務(wù)（現(xiàn)有 錄服務(wù)）來完成對用戶帳戶的操作和管理。 平臺功能說明 平臺主要提供集中用戶管理、集中證書管理、集中認(rèn)證管理、集中授權(quán)管理和集中審計等功能，總體功能模塊如下圖所示： 集 中 證 書注 冊 服 務(wù) 管 理電 子 密 鑰 管 理證 書 生 命 周 期 管 理過 程 管 理統(tǒng) 一 用 戶 接 口 用 戶 信 息 導(dǎo) 入 導(dǎo) 出 用 戶 信 息 映 射用 戶 信 息 同 步L D A P 身 份 源 系 統(tǒng) 數(shù) 據(jù)單 點 登 錄 系 統(tǒng) S S 用 戶用 戶 生 命 周 期 管 理用 戶 分 組 管 理角 色 管 理身 份 源 管 理集 中 認(rèn) 證用 戶 身 份 認(rèn) 證訪 問 策 略 管 理訪 問 資 源 管 理集 中 授 權(quán)集 中 審 計日 志 查 詢審 計 報 表 生 成業(yè) 務(wù) 審 計應(yīng) 用 系 統(tǒng) 授 權(quán)用 戶 授 權(quán) 管 理角 色 授 權(quán) 管 理組 策 略 授 權(quán) 管 理 總體功能模塊圖 5 集中用戶管理 隨著企業(yè)整體信息化的發(fā)展，大致都經(jīng)歷了網(wǎng)絡(luò)基礎(chǔ)建設(shè)階段、應(yīng)用系統(tǒng)建設(shè)階段，目前正面臨著實現(xiàn)納入到信息化環(huán)境中人員的統(tǒng)一管理和安全控制階段。隨著企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴 展，在信息化促進(jìn)業(yè)務(wù)加速發(fā)展的同時，企業(yè)信息化規(guī)模也在迅速擴大以滿足業(yè)務(wù)的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映的事件是無論是網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè)內(nèi)外的人員，每一為人員承擔(dān)著使用、管理、授權(quán)、應(yīng)用操作等角色。因此對于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中之重，只有加強人員的可信身份管理，才能做到大門的安全防護，才能為企業(yè)的管理、業(yè)務(wù)發(fā)展構(gòu)建可信的信息化環(huán)境，特別是采用數(shù)字證書認(rèn)證和應(yīng)用后，完全可以做到全過程可信身份的管理，確保每個操作都是可信得、 可信賴的。 集中用戶管理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機制，簡化用戶及其賬號的管理復(fù)雜度，降低系統(tǒng)用戶管理的安全風(fēng)險。 集中用戶管理功能示意圖 6 管理服務(wù)對象 集中用戶管理主要面向企業(yè)內(nèi)外部的人、資源等進(jìn)行管理和提供服務(wù)，具體對象可以分為以下幾類： 最終用戶 自然人，包括自然人身份和相關(guān)信息 主賬號 與自然人唯一對應(yīng)的身份標(biāo)識，一個主賬號只能與一個自然人對應(yīng)，而一個自然人可能存在多個主賬號 從賬號 與具體角色對應(yīng)，每一個應(yīng)用系統(tǒng)內(nèi)部設(shè)置的 用戶賬號，在統(tǒng)一信任管理平臺中每個主賬號可以擁有多個從帳號，也就是多種身份角色（即一個日然人在企業(yè)內(nèi)部具備多套應(yīng)用系統(tǒng)賬號） 資源 用戶使用或管理的對象，主要是指應(yīng)用系統(tǒng)及應(yīng)用系統(tǒng)下具體功能 具體服務(wù)對象之間的映射對應(yīng)關(guān)系如下圖所示： 7 用戶賬號與資源映射圖 用戶身份信息設(shè)計 用戶類型 用戶是訪問資源的主體 ， 人是最主要的用戶類型：多數(shù)的業(yè)務(wù)由人發(fā)起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人控制。人又可再分為：員工、外部用戶。員工即企業(yè)的職員，是平臺主要的關(guān)注的用戶群體；外部用戶是指以獨立身分訪問企業(yè)應(yīng)用系 統(tǒng)的一般個人客戶與企業(yè)客戶。 身份信息模型 對各類用戶身份建立統(tǒng)一的用戶身份標(biāo)識。用戶身份標(biāo)識是統(tǒng)一用戶管理系統(tǒng)內(nèi)部使用的標(biāo)識，用于識別所有用戶的身份信息。用戶標(biāo)識不同于員工號或身份證號，需要建立相應(yīng)的編碼規(guī)范。 為了保證用戶身份的真實、有效性，可以通過數(shù)字證書認(rèn)證的方式進(jìn)行身份鑒別并與用戶身份標(biāo)識進(jìn)行唯一對應(yīng)。 8 用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如 此需要建立與這些系統(tǒng)的中信息的對照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢。 基于 分權(quán)、分級的管理需要，用戶身份信息需要將用戶信息按照所屬機構(gòu)和崗位級別進(jìn)行分類，便于劃分安全管理域，將用戶信息集中存儲在總部，以及管理域的劃分。 用戶認(rèn)證信息管理用戶的認(rèn)證方式及各種認(rèn)證方式對應(yīng)的認(rèn)證信息，如用戶名 /口令，數(shù)字證書等。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號和相關(guān)口令，為了保證在平臺實施后可以使原有系統(tǒng)仍可以按照原有賬號方式操作，需要建立用戶標(biāo)識與應(yīng)用系統(tǒng)中賬號的對照關(guān)系。 授權(quán)信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色和其它屬性。 身份信息的存儲 為了方便對人員身份的管理，集中用戶 系統(tǒng)采用樹形架構(gòu)來進(jìn)行人員組織架構(gòu)的維護，存儲方式主要采用 以通過企業(yè)內(nèi)部已有的人員信息管理系統(tǒng)當(dāng)中根據(jù)策略進(jìn)行讀寫操作，目前主要支持以下數(shù)據(jù)源類型： 用戶生命周期管理 用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份 9 標(biāo)識（數(shù)字證書的頒發(fā)）、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的自動化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示： 由于 要賦予用戶可信的身份標(biāo)識，所以需要通過數(shù)字證書認(rèn)證的方式來實現(xiàn)，在用戶生命周期管理過程中圍繞用戶包含了基于帳戶的生命周期和數(shù)字證書的生命周期管理的內(nèi)容。數(shù)字證書主要是與用戶的主賬戶標(biāo)識進(jìn)行唯一綁定，在用戶帳戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何改變，唯有在用戶帳戶進(jìn)行注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進(jìn)行吊銷和歸檔操作。 用戶身份信息的維護 目前集中用戶管理系統(tǒng)中對用戶身份信息的維護主要 以 企業(yè)已存在的 和 為基礎(chǔ)數(shù)據(jù)源，集中用戶 管理 系統(tǒng)作為用戶信息維護的主要入口， 可以 由人 力資源部門的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)建、 修改、 10 刪除、編輯 、查詢、 以及數(shù)字證書的發(fā)放。 中的用戶信息變動通過 適配器 被平臺感知，并自動同步到平臺用戶身份信息存儲（目錄服務(wù) 器 ）中；平臺的用戶管理員也可以直接修改平臺中集中存儲的用戶身份信息，再由平臺同步到各個應(yīng)用系統(tǒng)中。 集中證書管理 集中證書管理功能主要是針對用戶的 統(tǒng)，包括： 1)證書申請 2)證書制作 3)證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸檔） 4)證書有效性檢查 集中證書管理功能集支持多種 設(shè)模式（自建和第三方服務(wù)）、 多中管理、擴展性強等特性，從技術(shù)上及管理上以靈活的實現(xiàn)模式滿足用戶對證書集中管理的迫切需求，解決管理員對多平臺進(jìn)行操作及維護困難的問題。 集中證書管理功能特點 集中證書管理功能的實現(xiàn)就是通過集成證書注冊服務(wù)（ 電子密鑰（ 理功能。 1)集中制證 集中制證主要結(jié)合本地數(shù)據(jù)源中的數(shù)據(jù)為用戶進(jìn)行集中制證，包括集中申請、自動審批。 通過 配置路徑，訪問指定的 統(tǒng)； 11 統(tǒng)簽發(fā)數(shù)字證書并返回給管理員； 管理員將證書裝入 證成功 2)證書生命周期管理 通過集中證書管理功能可實現(xiàn)對所制證書進(jìn)行證書的生命周期管理，主要包括：證書的查詢、吊銷等，同時還可以實現(xiàn)對證書有效性的檢查。 證書有效性檢查，可支持與 統(tǒng)的 書掉銷列表）服務(wù)聯(lián)動及手動導(dǎo)入 表。 用戶通過證書認(rèn)證方式登錄 “登錄門戶”； 將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模塊”； 服務(wù)檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無效將值返回“證書管理模塊”）； “證書管理模塊”將有效值返回“登錄門戶”，用戶通過認(rèn)證。（若無效，用戶登錄失敗 ）； 用戶通過認(rèn)證，正常進(jìn)入應(yīng)用系統(tǒng)。 3)支持多種 設(shè)模式 4)多 中管理 在一個企業(yè)內(nèi)，根據(jù)證書應(yīng)用的需求，存在根 有多個子 存在多個 過平臺與 集成，可支持與企業(yè)內(nèi)的多 行集成，實現(xiàn)單平臺多 集中管理。 5)靈活擴展性 集中證書管理功能除了實現(xiàn)集中制證、證書生命周期管理功能，以及 12 具有多 理、支持用戶 統(tǒng)的自建和服務(wù)模式的特點，還具有靈活的擴展性。可實現(xiàn)與 完全集成，通過平臺實現(xiàn) 完全接管，實現(xiàn)證書處理、證書生命周期管理、證書審批、支持多種申請模式、 志管理、密鑰管理、策略管理等。以滿足更多用戶對于集中證書管理的擴展性需求。 集中授權(quán)管理 集中授權(quán)應(yīng)用背景 分析一些大型企業(yè)，發(fā)現(xiàn)企業(yè)內(nèi)部各應(yīng)用系統(tǒng)自身授權(quán)非常完善，但是從集中管理角度看，發(fā)現(xiàn)大企業(yè)中的傳統(tǒng)授權(quán)所存在如下問題： 1)系統(tǒng)權(quán)限分散：員工的流動及職位的變更，需要更改員工的系統(tǒng)使用權(quán)限，而多個系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來安全漏洞。 2)應(yīng)用系統(tǒng)的獨立性：各種應(yīng)用系統(tǒng)都使用獨立的登錄方式，員工需要記憶所有應(yīng)用系統(tǒng)的帳號、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率 影響非常大，甚至簡化記憶問題，所有應(yīng)用系統(tǒng)統(tǒng)一使用相同的密碼，由此為黑客或者木馬程序提供機會，而對應(yīng)用系統(tǒng)的安全防護帶來極大地威脅。 集中授權(quán)的最大特點，就是集中在一個接口對組 /角色進(jìn)行資源的合理分配。集中授權(quán)的過程，就是集中對用戶（組 /角色）通過何種方式（證書/口令）使用某種資源（應(yīng)用 /功能）的權(quán)限的分配。 員工入職，分配一個特定的原本已經(jīng)隸屬于某些角色 /組的身份賬戶，統(tǒng)一入口登錄，即可享有身份賬戶所屬角色 /組在公司應(yīng)用系統(tǒng)中的所有權(quán) 13 限；當(dāng)職位變更時，只需更改身份賬戶所屬角色 /組，則所享有的權(quán)限也相應(yīng)變化 ，而對應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系統(tǒng)的安全性得到了極大提高，不會因為對應(yīng)的業(yè)務(wù)系統(tǒng)因為沒有中止用戶應(yīng)用權(quán)限而遭受安全風(fēng)險。 通過集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營造一個安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。 集中授權(quán)管理對象 集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角色屬性，進(jìn)行對應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限關(guān)系，最終實現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng)和資源。 集中授權(quán)還可以依賴于 應(yīng)用系統(tǒng)為管理對象，然后針對該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)行權(quán)限關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進(jìn)行訪問。 組：包括按照公司組織架構(gòu)或特定功能劃分的部門、工作組及個人用戶 通過以上兩種方模式，可以對企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進(jìn)行合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理，最終實現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進(jìn)入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護企業(yè)的資產(chǎn)。 在集中授 權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念： 14 角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)行角色定義?；谟脩艚M的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門下定義產(chǎn)品工程師角色。目標(biāo)是在以后授權(quán)模式中通過對產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會一次性獲得授權(quán)，這樣方便管理，同時也是簡化了授權(quán)的操作?；趹?yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下的用戶職能進(jìn)行定義。比如，針對 用系統(tǒng)和結(jié)合人力資源架構(gòu)定義“總監(jiān)”，那么根據(jù) 統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只要存在應(yīng)用系統(tǒng)對總監(jiān)所具備的功 能，經(jīng)過系統(tǒng)授權(quán)后均可以按照總監(jiān)的角色進(jìn)行應(yīng)用訪問。 資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，所有的功能模塊統(tǒng)稱為資源。資源的定義主要是方便人員、組織、角色授權(quán)時候的對象指定，最終經(jīng)過授權(quán)實現(xiàn)，什么樣的人員、組織、角色能訪問應(yīng)用系統(tǒng)的那些功能。也就是中細(xì)粒度授權(quán)所需要的涉及的內(nèi)容。 集中授權(quán)的工作原理 授權(quán)管理模塊 角色模塊 組模塊 資源管理模塊 授權(quán) 訪問控制模塊 .些角色 /組享有系統(tǒng)應(yīng)用的哪些權(quán)限） 相應(yīng)權(quán)限進(jìn)行調(diào)用 所有應(yīng)用資源的集合 . .書等執(zhí)行對權(quán)限的調(diào)用 15 集中授權(quán)模式 1)基于組 /角色的訪問授權(quán)： 對于屬于某一組 /角色的用戶，管理員可以為其授權(quán)于可訪問的應(yīng)用系統(tǒng)和資源（應(yīng)用系統(tǒng)的功能 ）。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查看、分配的權(quán)限。 2)基于應(yīng)用系統(tǒng)和資源的授權(quán)： 對于某一選定應(yīng)用（或其包含的功能、功能組），管理員可以授權(quán)為其指派訪問資源（用戶、組、角色） 細(xì)粒度授權(quán) 傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個授權(quán)于某一個人、某一機構(gòu)（組織）、某一類角色；而對于應(yīng)用系統(tǒng)下的模塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無法做到應(yīng)用系統(tǒng)的內(nèi)部授權(quán)機制，導(dǎo)致簡單的訪問控制授權(quán)無法滿足業(yè)務(wù)系統(tǒng)的精細(xì)化能組 功能組 用戶 1 用戶 2 角 色 1 角 色 2 角 色 應(yīng)用系統(tǒng) 16 管理，為了滿足企業(yè)的細(xì)致化訪問控制，需要打破傳統(tǒng)授權(quán)模式，增加新的授權(quán)機制，即要實現(xiàn)細(xì)粒度的訪問控制授權(quán)。 而將資源管理模塊細(xì)粒度化，則是將應(yīng)用模塊拆分成單個的功能模塊，某幾個功能模塊又可以組合成一個功能組，在授權(quán)時，針對某一應(yīng)用模塊中的功能或功能組模塊進(jìn)行權(quán)限分配。 角色的繼承 提供了角色授權(quán)模型，在角色權(quán)限分配的管理過程中，角色之間可以實現(xiàn)多模式繼承，即單繼承、多繼承、動態(tài)繼承；多種模式的繼承由系統(tǒng)自動完成，但是當(dāng)繼承形成環(huán)路的時候，則繼承屬性自動中斷，保持獨立的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管 控，而不會因為角色繼承導(dǎo)致權(quán)限失去控制。針對繼承方式，如下定義： 1)單繼承： 角色 A 繼承于角色 B ，則 A 擁有 B 所有的權(quán)限。 2)多繼承 角色 A 繼承于角色 B、角色 C、角色 D，則 A 同時擁有 B、 C、 D 所有的權(quán)限。 3)動態(tài)繼承： 角色 D 角色 C 角色 B 角色 A 資源 繼承于 口 令 口令 /證書 證書 登 入 系 統(tǒng) 口令 證書 角色 A 角色 B 角色 C 角色 A 角色 C 角色 D 17 角色 A 繼承于角色 B、角色 C、角色 D，用戶擁有角色 A； 角色 B 的登錄方式為口令；角色 C 的登錄方式為口令和證書；角色 4)循環(huán)繼承： 角色循環(huán)繼承時，系統(tǒng)內(nèi)部自行處理，在循環(huán)處于環(huán)路，則繼承自動斷開。 集中認(rèn)證管理 集中 認(rèn)證 管理 為企業(yè)的 統(tǒng)提供 統(tǒng)一的身份 認(rèn)證， 是企業(yè)安全門戶入口，只有安全的認(rèn)證機制才可以保證企業(yè)大門不被非法人員進(jìn)入；在整個認(rèn)證系統(tǒng)中 其服務(wù)的 對象包括企業(yè)接入統(tǒng)一認(rèn)證平臺的所有 業(yè)務(wù)系統(tǒng)、管理系統(tǒng) 和應(yīng)用系統(tǒng) 等，統(tǒng)一認(rèn)證系統(tǒng)能夠提供快速、高效和安全的服務(wù) ，應(yīng)用 系統(tǒng)接入改造小，系統(tǒng)具有靈活的 擴展性、高可用性。 角色 A 角色 B 角色 C 角色 D 18 集中認(rèn)證管理特點 1)提供多因素認(rèn)證服務(wù) 集中認(rèn)證管理 可以為多個不同種類、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù)，不需要應(yīng)用系統(tǒng)獨立開發(fā)、設(shè)計認(rèn)證系統(tǒng)，為業(yè)務(wù)系統(tǒng)快速推出新的業(yè)務(wù)和服務(wù)準(zhǔn)備了基礎(chǔ)條件 ，集中 認(rèn)證 管理 為這些應(yīng)用提供了統(tǒng)一的接入形式。 2)提供多種認(rèn)證方式 企業(yè)的不同業(yè)務(wù)系統(tǒng)的安全級別不同 ,使用環(huán)境不同，用戶的習(xí)慣和操作熟練程度不同， 集中 認(rèn)證 管理 可以針對這些不同的應(yīng)用特點提供不同的認(rèn)證手段。 3)提供統(tǒng)一和多樣化的認(rèn)證策略 集中認(rèn)證管理 針對不同的認(rèn)證方式，提供了統(tǒng)一的策略控制，各個應(yīng) 用系統(tǒng) 也 可以根據(jù)自身的需要進(jìn)行個性化的策略設(shè)置，根據(jù) 應(yīng)用或用戶類型的需求，設(shè)置個性化的認(rèn)證策略 ， 提高應(yīng)用系統(tǒng)的 分級管理 安全。 身份認(rèn)證方式 集中認(rèn)證管理系統(tǒng)支持多種身份認(rèn)證方式 ，包括： 1)用戶名 /口令 2)數(shù)字證書 3)認(rèn)證 4)通行碼 19 集中 認(rèn)證 管理同時 支持上述 四 種認(rèn)證方式， 也可以根據(jù)用戶的需求對用戶登錄認(rèn)證方式進(jìn)行擴展。 下面首先分別介紹這些認(rèn)證方式，然后介紹認(rèn)證方式與安全等級。 用戶名 /口令認(rèn)證 用戶名 /口令是最傳統(tǒng)且最普遍的身份認(rèn)證方法，通常采用如下形式：當(dāng)用戶需要訪問系統(tǒng)資源時，系統(tǒng) 提示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心。并和認(rèn)證中心保存的用戶信息進(jìn)行比對。如果驗證通過，系統(tǒng)允許該用戶進(jìn)行隨后的訪問操作，否則拒絕用戶的 下 一步的訪問操作。 靜態(tài)口令的優(yōu)點是簡單且成本低，但是如果用戶不去修改它，那么這個口令就是固定不變的、長期有效的，因此這種認(rèn)證信息的靜態(tài)性，導(dǎo)致傳統(tǒng)口令在很多情況下都有著發(fā)生口令泄密的危險。在整體安全認(rèn)證中，對于瀏覽非重要資源的用戶可以采用該方法。 數(shù)字證書認(rèn)證 數(shù)字證書是目前最常用 一種比較安全的 身份認(rèn)證技術(shù)。數(shù)字證書技術(shù)是在 系基礎(chǔ)上實現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認(rèn)證，還可以進(jìn)一步進(jìn)行安全加密，數(shù)字簽名等操作。 依據(jù)自己多年的安全經(jīng)驗，提供完整的數(shù)字身份認(rèn)證解決方案。 數(shù)字證書的存儲方式非常靈活，數(shù)字證書可被直接存儲在 計算機中，也可 存儲在智能卡或 。 20 認(rèn)證 是一種應(yīng)用層的用戶及權(quán)限集中管理技術(shù)。當(dāng)用戶通過列操作系統(tǒng)的登錄界面成功登錄 后，就可以充分使用域內(nèi)的各種共享資源，同時接受 對用戶訪問權(quán)限的管理與控制。目前，很多企業(yè)、 機構(gòu)和學(xué)校都使用域來管理網(wǎng)絡(luò)資源，用于控制不同身份的用戶對網(wǎng)絡(luò)應(yīng)用及共享信息的使用權(quán)限。 集中 認(rèn)證 管理 支持 登錄， 對于已經(jīng)登錄到 中的用戶，不需要輸入用戶名、密碼而直接使用當(dāng)前登錄的域用戶信息進(jìn)行驗證，如果驗證成功則進(jìn)入，否則拒絕進(jìn)入。 通行碼 認(rèn)證 通行碼是集中認(rèn)證管理支持的一種特有認(rèn)證方式， 用戶忘記 其他認(rèn)證信息時 ，可以向管理員申請一次性使用的口令進(jìn)行身份認(rèn)證。 主要滿足安全應(yīng)急服務(wù)，當(dāng)用戶安全認(rèn)證的憑證遺忘或者丟失，通過后臺管理員生成通行碼的方式，幫助用戶解決認(rèn)證登錄；通行碼 具備時效性和一次性特點，當(dāng)使用過或者超出使用時間范圍，其認(rèn)證效力自動失效，非常強大的保證了系統(tǒng)的安全性和可靠性；在有效地時間段范圍內(nèi)，能有效、快速的幫助用戶解決認(rèn)證和系統(tǒng)準(zhǔn)入的問題，為應(yīng)用提供了便利。 認(rèn)證方式與安全等級 每種認(rèn)證方式對應(yīng)安全等級的一個范圍，安全等級的范圍又是根據(jù)安全策略來界定的。認(rèn)證方式（如用戶 名 /口令、 數(shù)字 證書 、 等 ）僅僅是在認(rèn)證系統(tǒng)內(nèi)部來管理和控制的，身份認(rèn)證子系統(tǒng)與其他子系統(tǒng)之間 21 的信息交換都是通過認(rèn)證的安全等級來實現(xiàn)的。 身份認(rèn)證相關(guān)協(xié)議 身份認(rèn)證管理支持 的身份認(rèn)證協(xié)議 有： 1)議。 2)認(rèn)證 3)議 集中認(rèn)證管理 同時支持上述三種認(rèn)證協(xié)議 ， 下面詳細(xì)介紹這些認(rèn)證協(xié)議。 議 全套接層）協(xié)議最早由 出，是一種用于保護互聯(lián)網(wǎng)通信私密性的安全協(xié)議，現(xiàn)在已經(jīng)是該領(lǐng)域的工業(yè)標(biāo)準(zhǔn)。通過 議，可以使通信不被惡意攻擊者竊聽，并且始終對服務(wù)端進(jìn)行認(rèn)證（也可以應(yīng)用可選的客戶端認(rèn)證）。 以使用 多種加密算法，并應(yīng)用 字證書標(biāo)準(zhǔn)進(jìn)行認(rèn)證，從保護機制上來 講，是比較完善的。而且 實現(xiàn)成本比較低，可以很容易的結(jié)合現(xiàn)有的應(yīng)用環(huán)境建立比較安全的傳輸，所以獲得了極為廣泛的應(yīng)用。 基于 議的身份認(rèn)證方式與用戶名 /口令方式相比，最顯著的優(yōu)勢在于 供雙向的身份認(rèn)證，不僅可以驗證客戶端的身份同時也可以認(rèn)證服務(wù)器的身份。 互式登錄是我們平常常見的 一種登錄認(rèn)證方式 ，交互式登 22 錄包括 “本地登錄 ”和 “域賬號登錄 ”，而 “本地登錄 ”僅限于 “本地賬號登錄 ”。 1)本地用戶賬號 采用本地用戶賬號登錄，系統(tǒng)會通過存儲在本機 據(jù)庫中的信 息進(jìn)行驗證。用本地用戶賬號登錄后，只能訪問到具有訪問權(quán)限的本地資源。 2)域用戶賬號 采用域用戶賬號登錄，系統(tǒng)則通過存儲在域控制器的活動目錄中的數(shù)據(jù)進(jìn)行驗證。如果該用戶賬號有效，則登錄后可以訪問到整個域中具有訪問權(quán)限的資源。 用戶登錄域的過程即是活動目錄認(rèn)證用戶的過程，具體過程如下 : 登錄到域的驗證過程，對于不同的驗證協(xié)議也有不同的驗證方法。如果域控制器是 T 么使用的是 證協(xié)議，其驗證過程和 “登錄到本機的過程 ”基本一致 ， 唯一 區(qū)別就在于驗證賬號的工作不是在本地?fù)?jù)庫 中進(jìn)行，而是在域控制器中進(jìn)行；而對于 000 和003 域控制器來說，使用的一般為更安全可靠的 5 協(xié)議。通過這種協(xié)議登錄到域，向域控制器證明自己的域賬號有效，用戶需先申請允許請求該域的 。獲準(zhǔn)之后，用戶就會為所要登錄的計算機申請一個會話票據(jù)，最后還需申請允許進(jìn)入那臺計算機的本地系統(tǒng)服務(wù)。 議 2003 年初， 組批準(zhǔn)了安全性斷言標(biāo)記語言（ 范。由于來自 25 家公司的 55 名專家參與了該規(guī)范的制定。 第一個可能成為多個認(rèn)證協(xié)議的規(guī)范以利用 3 基礎(chǔ)結(jié)構(gòu)（在這種 礎(chǔ)結(jié)構(gòu)中， 據(jù)在 P 網(wǎng)絡(luò)上通過 組開發(fā) 目的是作為一種基于 框架，用于交換安全性信息。 其它安全性方法的最大區(qū)別在于它以有關(guān)多個主體的斷言的形式來表述安全性。其它方法使用中央認(rèn)證中心來發(fā)放證書，這些證書保證了網(wǎng)絡(luò)中從一點到另一點的安全通信。利用 絡(luò)中的 任何點都可以斷言它知道用戶或數(shù)據(jù)塊的身份。然后由接收應(yīng)用程序做出決定，如果它信任該斷言，則接受該用戶或數(shù)據(jù)塊。任何符合 軟件然后都可以斷言對用戶或數(shù)據(jù)的認(rèn)證。對于即將出現(xiàn)的業(yè)務(wù)工作流務(wù)標(biāo)準(zhǔn)（在該標(biāo)準(zhǔn)中，安全的數(shù)據(jù)需要流經(jīng)幾個系統(tǒng)才能完成對事務(wù)的處理）而言，這很重要。 旨在減少構(gòu)建和操作信息系統(tǒng)（這些系統(tǒng)在許多服務(wù)提供者之間相互操作）所花費成本的眾多嘗試之一。在當(dāng)今競爭激烈且迅速發(fā)展的環(huán)境中，出現(xiàn)了通過瀏覽器和支持 應(yīng)用程序為用戶提供互操作性的企業(yè)聯(lián)合。例如，旅游網(wǎng)站允許用戶不 必進(jìn)行多次登錄即可預(yù)訂機票和租車。今天，一大群軟件開發(fā)人員、 術(shù)人員和 理都需要處理復(fù)雜的和不可靠的后端系統(tǒng)，這些系統(tǒng)提供了企業(yè)之間的聯(lián)合安全性。 在典型的支持 基礎(chǔ)結(jié)構(gòu)中，運行業(yè)界領(lǐng)先的企業(yè)系統(tǒng)的軟件需要處理權(quán)限服務(wù)器之間的瀏覽器重定向、服務(wù)器域之間的 令、公鑰基礎(chǔ)結(jié)構(gòu)（ 密和數(shù)字證書，以及聲明任何給定用戶或組的信任級別的相互同意（ 制。軟件開發(fā)人員展示了如何表示 用戶、標(biāo)識所需傳送的數(shù)據(jù)，并且 24 定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過程。 件關(guān)系圖如下： 件關(guān)系圖 集中 認(rèn)證系統(tǒng)主要功能 集中 認(rèn)證系統(tǒng)的主要功能包括： 支持多種認(rèn)證方式，包括 用戶名 /口令、數(shù)字證書 、 認(rèn)證和通行碼 ，并且為 其他 認(rèn)證技術(shù)留有接口； 支持多種認(rèn)證協(xié)議，包括支持?jǐn)?shù)字證書認(rèn)證的 議 ， 議等 ； 支持單點登錄 支持會話管理 管理用戶的認(rèn)證憑證信息，如數(shù)字證書等； 制定身份認(rèn)證的安全策略，如定義認(rèn)證模式和安全等級等 ； 認(rèn)證系統(tǒng)模塊管理，如對應(yīng) 用認(rèn)證網(wǎng)關(guān)的管理等。 25 單點登錄 單點登錄是集中認(rèn)證管理的主要功能，本部分從功能實現(xiàn)原理，系統(tǒng)硬件配置，單點登錄實現(xiàn)流程等方面進(jìn)行說明。 單點登錄技術(shù) 軟件應(yīng)用插件式網(wǎng)關(guān)（ 截器技術(shù)） 截器（ 一種基于過濾技術(shù)（ 應(yīng)用防火墻。使用 截器在請求到達(dá)之前來攔截請求，并在應(yīng)用外部提供認(rèn)證和授權(quán)。例如，對于沒有或有很少安全措施的應(yīng)用，必須提供合適的認(rèn)證和授權(quán)。因此，可使用攔截 理提供適當(dāng)?shù)谋Ｗo，而不是修改代碼或重寫 。 截器可以安裝在 務(wù)器中，通過在 對入站請求進(jìn)行認(rèn)證和授權(quán)。 對于本身不能實現(xiàn)安全或難以修改的應(yīng)用，通過將安全與應(yīng)用分離，提供一種理想的安全保護方法，它還可以集中管理與安全相關(guān)的組件。安全策略及其實現(xiàn)細(xì)節(jié)是在應(yīng)用外部實施的，因此可以修改，而不會影響應(yīng)用。 攔截 理將安全邏輯與應(yīng)用邏輯分開，從而提高了可維護性。通常，攔截 理的實現(xiàn)制要求配置，而無需修改代碼。另外，通過將與安全相關(guān)的處理轉(zhuǎn)移到應(yīng)用之外（即服務(wù)器上），攔截 理還提高了應(yīng)用的性能。 在 務(wù)器上，沒有通過認(rèn)證和授權(quán)的請求將被拒絕，因此不會占用應(yīng)用的額外周期。 硬件應(yīng)用網(wǎng)關(guān) (安全代理服務(wù) ) 26 使用安全服務(wù)代理（ 應(yīng)用外提供認(rèn)證和驗證，這是通過攔截安全檢查請求，然后將其委派給合適的服務(wù)實現(xiàn)的。硬件網(wǎng)關(guān)系統(tǒng)邏輯架構(gòu)如下圖所示。 應(yīng)用網(wǎng)關(guān)功能邏輯圖 安全服務(wù)代理攔截來自客戶端的所有請求，確定請求服務(wù)，然后執(zhí)行服務(wù)要求的安全策略，并將請求從入站協(xié)議轉(zhuǎn)換為目標(biāo)服務(wù)要求的協(xié)議，最后將請求轉(zhuǎn)發(fā)給目標(biāo)服務(wù)。在返回路徑上，安全服務(wù)代理將結(jié)果從服務(wù)使用的協(xié)議 和格式轉(zhuǎn)換為客戶要求的協(xié)議和格式。它也可以保留客戶會話中首次請求創(chuàng)建的安全上下文，供以后的請求使用。 可在企業(yè)外圍配置安全服務(wù)代理提供認(rèn)證、授權(quán)和其他安全服務(wù)，為遺留的或缺少安全機制的輕量級企業(yè)服務(wù)實施安全策略。安全服務(wù)代理模式與 截器模式類似，但安全服務(wù)代理模式更高級，因為它不要求使用基于 問控制，也不要求使用任何傳輸協(xié)議將服務(wù)請求交給任何服務(wù)。它可以在已實現(xiàn)和已部署的應(yīng)用外執(zhí)行額外安全邏輯，也可以與沒有實現(xiàn)安全的新應(yīng)用集成。 硬件應(yīng)用網(wǎng)關(guān)代理工作原理 27 瀏覽器發(fā)起 求包 數(shù)據(jù)采集模塊截獲請求包并轉(zhuǎn)發(fā)給數(shù)據(jù)解析模塊 數(shù)據(jù)解析模塊解析數(shù)據(jù)包 將解析后的數(shù)據(jù)包交由數(shù)據(jù)處理模塊處理 處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給 eb 回的數(shù)據(jù)，經(jīng)過數(shù)據(jù)處理模塊，返回瀏覽器 應(yīng)用網(wǎng)關(guān)負(fù)載均衡工作原理 加入到網(wǎng)關(guān)集群中的所有硬件網(wǎng)關(guān)按照指定優(yōu)先級策略進(jìn)行主 /從協(xié)商，確定 1 個硬件網(wǎng)關(guān)為主設(shè)備，其他為從設(shè)備。主設(shè)備兼有交換機的功能，所有來自客戶瀏覽器的請求包首先到達(dá)主設(shè)備（不會直接到達(dá)從設(shè)備），主設(shè)備根據(jù)負(fù)載均衡策略分發(fā)請求包（可能分發(fā)給