統(tǒng)一認(rèn)證課件

1、北京國富安電子商務(wù)安全認(rèn)證有限公司數(shù)字證書服務(wù)及4A產(chǎn)品介紹用戶分散缺乏監(jiān)管授權(quán)混亂數(shù)據(jù)分散重復(fù)建設(shè)多次登錄面臨的困境EC平臺發(fā)展4A產(chǎn)品的初衷賬號管理（Account）缺少帳號和自然人的邏輯關(guān)聯(lián)，一旦出現(xiàn)安全問題，很難定位到自然人各系統(tǒng)的帳號管理獨(dú)立且分散，管理員很難完成對帳號的有效管理賬號多人共用，難以實(shí)現(xiàn)帳號權(quán)限的有效監(jiān)督和審核 當(dāng)有人員或崗位變動時(shí)，管理員需要頻繁地登錄到各個(gè)系統(tǒng)中為相應(yīng)的用戶創(chuàng)建、刪除、修改帳號，工作量巨大用戶在各個(gè)系統(tǒng)上自主設(shè)定、修改密碼，密碼強(qiáng)度難以保證、定期修改的規(guī)定難以執(zhí)行 無效賬戶難以徹底刪除或者禁止帳號安全現(xiàn)狀認(rèn)證管理（Authentication）多樣的

2、身份認(rèn)證系統(tǒng)，每個(gè)系統(tǒng)都有一套獨(dú)立的認(rèn)證管理體系，給管理員帶來了很大負(fù)擔(dān)各信息系統(tǒng)都有一套獨(dú)立的認(rèn)證管理體系，無法貫徹統(tǒng)一的登錄控制策略登錄各系統(tǒng)都需要輸入用戶名和口令，用戶操作繁瑣現(xiàn)有系統(tǒng)中賬號級別與認(rèn)證方式不對應(yīng)安全現(xiàn)狀授權(quán)管理（Authorization）各應(yīng)用系統(tǒng)都有一套獨(dú)立的授權(quán)管理，缺乏集中統(tǒng)一的資源授權(quán)管理； 各系統(tǒng)分別管理所屬的系統(tǒng)資源，無法嚴(yán)格按照最小權(quán)限原則分配權(quán)限隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來越重用戶的權(quán)限和自己的工作職責(zé)是不一致的安全現(xiàn)狀審計(jì)管理（Audit）各應(yīng)用系統(tǒng)都有一套獨(dú)立的審計(jì)管理,并且審計(jì)內(nèi)容和強(qiáng)度不一致，無法貫徹統(tǒng)一的審計(jì)管理策略缺乏集中統(tǒng)一的設(shè)備審

3、計(jì)管理，無法有效完成對日志記錄的定期審閱。無法對日志進(jìn)行綜合分析，不能及時(shí)發(fā)現(xiàn)異常，對出現(xiàn)問題立即采取有效的防護(hù)措施安全現(xiàn)狀 GFA 4A集中管理平臺的最終目標(biāo)是建立一套信息安全的基礎(chǔ)設(shè)施，并通過它為各種應(yīng)用提供包括用戶信息、身份認(rèn)證、授權(quán)管理、審計(jì)與責(zé)任認(rèn)定等功能在內(nèi)的安全支撐服務(wù)。1安全賬號Account2身份認(rèn)證Authentication3授權(quán)管理Authorization4審計(jì)責(zé)任認(rèn)定AuditGFA 4A集中管理平臺目標(biāo)產(chǎn)品組成GFA 4A集中安全管理平臺將包含如下產(chǎn)品：序號產(chǎn)品名稱功能描述備注1GFA-SSO國富安單點(diǎn)登錄系統(tǒng)2GFA-Auth國富安身份認(rèn)證系統(tǒng)3GFA-ARA國

4、富安授權(quán)管理系統(tǒng)包括權(quán)限管理、查詢；屬性證書簽發(fā)4GFA-Account國富安賬號管理系統(tǒng)5GFA-Audit國富安審計(jì)系統(tǒng)包含強(qiáng)審計(jì)、責(zé)任認(rèn)定GFA 4A安全管理平臺系統(tǒng)組成GFA AuthGFA ARAGFA SSOGFA AuditGFA AccountAuth-ServiceAuth-GinaAuth-PamARA-UserInfoARA-ServiceSSO-Login SSO-Portal SSO-FilterAudit-Service Audit-Watch Audit-Monitor Audit-Report Audit-Filter Account-Admin Account

5、-Service 國富安4A集中安全管理平臺解決方案總體邏輯架構(gòu)功能介紹:主帳號創(chuàng)建、修改、刪除、鎖定/解鎖、同步（可以從現(xiàn)有的信息系統(tǒng)中導(dǎo)入，如OA系統(tǒng)等）；從帳號的搜集、創(chuàng)建、刪除、鎖定/解鎖；主帳號和從帳號的關(guān)聯(lián)；批量創(chuàng)建從帳號（用戶入職時(shí)）；批量刪除從帳號（用戶離職時(shí)）；主賬號/從賬號口令策略的管理，支持長度、頻度（使用多少次）、構(gòu)成、周期（使用多長時(shí)間）等口令策略。賬號分布報(bào)表功能4A安全管理平臺-帳號管理最終目標(biāo):管理員在一點(diǎn)上即可對不同系統(tǒng)中的賬號進(jìn)行管理，實(shí)現(xiàn)：賬號與人的關(guān)聯(lián)；網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、甚至應(yīng)用系統(tǒng)中已有賬號的收集；新建賬號并同步到各系統(tǒng)中去；實(shí)現(xiàn)集中的密碼策略，并按

6、照密碼策略的要求，自動、集中、定期修改系統(tǒng)賬號的口令；實(shí)現(xiàn)集中刪除一個(gè)自然人的所有或者部分系統(tǒng)賬號；保留賬號創(chuàng)建、分配、變更、刪除整個(gè)過程的信息，從而知道什么時(shí)間、哪些賬號給了哪些人，每個(gè)人擁有什么樣的賬號，便于審計(jì)。 4A安全管理平臺-帳號管理Agent賬號管理服務(wù)器（GFA Account）服務(wù)器主機(jī)服務(wù)器主機(jī)帳號同步服務(wù)User1 User2User nUser1 User2User nAgentAgent用戶系統(tǒng)用戶名密碼張三Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報(bào)銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB應(yīng)用系統(tǒng)Agen

7、t網(wǎng)絡(luò)設(shè)備User1User2.User n帳號同步服務(wù)User1User2.User n帳號管理員賬號搜集4A安全管理平臺-帳號管理用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報(bào)銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報(bào)銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB系統(tǒng)1A123456主機(jī)1A123456主機(jī)2A123456Agent賬號管理服務(wù)器（GFA Account）服務(wù)器主機(jī)服務(wù)器

8、主機(jī)帳號同步服務(wù)User1 User2User nUser1 User2User nAgentAgent應(yīng)用系統(tǒng)Agent網(wǎng)絡(luò)設(shè)備User1User2.User n帳號同步服務(wù)User1User2.User n帳號管理員User1AUser2.User nUser1A User2User nUser1 A User2User nUser1AUser2.User n賬號批量增加/刪除4A安全管理平臺-帳號管理統(tǒng)一認(rèn)證平臺服務(wù)器主機(jī)網(wǎng)絡(luò)設(shè)備應(yīng)用系統(tǒng)數(shù)據(jù)庫用 戶SSO：用戶在登錄帳號安全管理平臺后，在登錄他/她有權(quán)限訪問的信息系統(tǒng)時(shí)不需要再輸入口令，從而實(shí)現(xiàn)一處登錄，處處通行4A安全管理平臺統(tǒng)一認(rèn)證

9、模塊組成:SSO門戶（SSO Portal）Web過濾器(SSO-Filter)智能口令(SSO-Login )認(rèn)證服務(wù)器（ GFA Auth ）4A安全管理平臺統(tǒng)一認(rèn)證總體架構(gòu)4A安全管理平臺統(tǒng)一認(rèn)證支持的認(rèn)證方式 用戶名/密碼 動態(tài)口令 數(shù)字證書 指紋等生物特征 智能卡 短消息身份認(rèn)證方式選擇普通用戶選擇用戶名/口令關(guān)鍵用戶選擇證書等安全策略 密碼規(guī)則，長度、構(gòu)成、復(fù)雜度設(shè)置 時(shí)間限制、頻次限制、次數(shù)限制 定期更改4A安全管理平臺統(tǒng)一認(rèn)證集中的權(quán)限管理 采用RBAC（基于角色的訪問控制）的授權(quán)模式，對用戶能夠訪問的資源進(jìn)行授權(quán)，并集中保存再權(quán)限策略庫中。權(quán)限分布報(bào)表功能 支持按照用戶、信息

10、系統(tǒng)等條件出具權(quán)限分布的報(bào)表。操作控制功能 對用戶在信息系統(tǒng)中的具體操作按照相應(yīng)的授權(quán)策略進(jìn)行有效控制。4A安全管理平臺集中授權(quán)實(shí)現(xiàn)功能:4A安全管理平臺集中授權(quán)邏輯模型:訪問的設(shè)備地址以管理員身份進(jìn)行管理規(guī)定是特權(quán)用戶定制可用命令集 訪問的主機(jī)地址端口 應(yīng)用名消息字段菜單功能模塊 粗粒度/細(xì)粒度源IP地址源IP地址段限制端口定制用戶權(quán)限限制可用Shell命令/可執(zhí)行程序 主機(jī)地址 數(shù)據(jù)庫名賬號類別網(wǎng)絡(luò)設(shè)備應(yīng)用系統(tǒng)服務(wù)器主機(jī)數(shù)據(jù)庫4A安全管理平臺集中授權(quán)集中的安全審計(jì) 用戶從登錄4A平臺開始，到退出整個(gè)過程中的用戶在各個(gè)信息系統(tǒng)中的操作。審計(jì)內(nèi)容展示 按照用戶、時(shí)間等條件查詢出審計(jì)記錄，每條記

11、錄對應(yīng)一個(gè)會話，包括開始時(shí)間和退出時(shí)間，當(dāng)點(diǎn)擊相應(yīng)記錄時(shí)會出具在這個(gè)會話中該用戶的所有操作。審計(jì)報(bào)表 按照用戶、信息系統(tǒng)等條件出具詳盡的用戶操作審計(jì)報(bào)表。4A安全管理平臺集中審計(jì)實(shí)現(xiàn)功能:賬號管理審計(jì)主賬號與從賬號對應(yīng)關(guān)系主賬號的創(chuàng)建時(shí)間創(chuàng)建人主、從賬號的有限期密碼更改規(guī)則應(yīng)用系統(tǒng)網(wǎng)絡(luò)設(shè)備服務(wù)器主機(jī)數(shù)據(jù)庫管理員用戶賬號授權(quán)審計(jì)權(quán)限分配時(shí)間、分配者主、從賬號的訪問權(quán)限資源的授權(quán)訪問者登錄過程審計(jì)什么人用什么賬號登錄什么時(shí)間登錄什么系統(tǒng)什么時(shí)間退出身份認(rèn)證審計(jì)身份認(rèn)證統(tǒng)計(jì)失敗身份認(rèn)證統(tǒng)計(jì)登錄后行為審計(jì)用戶訪問了哪些資源對資源做了什么操作收集應(yīng)用系統(tǒng)日志記錄賬號管理授權(quán)管理用戶登錄用戶操作4A安全管

12、理平臺集中審計(jì)產(chǎn)品名稱簡要規(guī)格用途數(shù)量服務(wù)器Intel Xeon Processor 3.0GHz4；4G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)認(rèn)證服務(wù)器2服務(wù)器Intel Xeon Processor 3.0GHz4；8G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)授權(quán)管理服務(wù)器2服務(wù)器Intel Xeon Processor 3.0GHz4；4G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)賬號管理服務(wù)器2服務(wù)器Inte

13、l Xeon Processor 3.0GHz4；8G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)目錄服務(wù)器2服務(wù)器Intel Xeon Processor 3.0GHz4；4G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)審計(jì)服務(wù)器2服務(wù)器Intel Xeon Processor 3.0GHz4；8G Memory；73.4G2；三千兆網(wǎng)卡；光纖存儲卡*2； 40G-80G磁帶機(jī)；DVD-ROM；冗余電源；UNIX操作系統(tǒng)；集群管理軟件；支持oracle 10g RAC。 數(shù)據(jù)庫盤陣

14、需求：146G*10；雙活動2GB RAID控制器；光纖通道（FC）；存儲分區(qū)技術(shù)；支持RAID01用戶信息、權(quán)限信息數(shù)據(jù)庫24A集中管理平臺系統(tǒng)配置3國富安4A產(chǎn)品相關(guān)案例 -無錫財(cái)政局4A平臺建設(shè)項(xiàng)目背景 無錫市財(cái)政局擁有應(yīng)用系統(tǒng)10套以上，應(yīng)用形式同時(shí)包含B/S及C/S應(yīng)用，C/S結(jié)構(gòu)應(yīng)用系統(tǒng)使用pb/delphi開發(fā)，B/S系統(tǒng)服務(wù)器采用iis /weblogic 為主，數(shù)據(jù)庫有orale 、sqlserver 。信息系統(tǒng)用戶內(nèi)部數(shù)量為200人左右，外部用戶達(dá)到1000人以上。 系統(tǒng)環(huán)境系統(tǒng)名稱服務(wù)形式系統(tǒng)平臺WEB服務(wù)器類型及版本開發(fā)語言預(yù)算執(zhí)行系統(tǒng)B/SAIX 5.0Apache

15、2.0java C/SDelphi非稅收入系統(tǒng)B/SAIX 5.0weblogic 8.1J2EE契稅征管系統(tǒng)C/SAIX 5.0PB6.5建設(shè)資金管理系統(tǒng)B/SAIX 5.0IISC#票據(jù)管理系統(tǒng)C/SWindows 2000Delphi會計(jì)信息管理系統(tǒng)C/SWindows 預(yù)算級次核定系統(tǒng)C/SWindows 2000Delphi內(nèi)控管理系統(tǒng)B/SWindows 2003IISC#辦公自動化系統(tǒng)B/SWindows 2003IISC#財(cái)稅庫系統(tǒng)C/SWindows 2000DelphiB/SWindows 2003IISC#部門預(yù)算系統(tǒng)C/SWindows 2000土地出讓金C/SWind

16、ows 2000系統(tǒng)架構(gòu)Thank you!謝謝sso概述SSO英文全稱Single Sign On，單點(diǎn)登錄。SSO是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。實(shí)現(xiàn)SSO需要實(shí)現(xiàn)功能： 所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng) 所有應(yīng)用系統(tǒng)能夠識別和提取ticket信息認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對ticket進(jìn)行效驗(yàn)，判斷其有效性要實(shí)現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識別已經(jīng)登錄過的用戶。應(yīng)用系統(tǒng)應(yīng)該能對tick

17、et進(jìn)行識別和提取，通過與認(rèn)證系統(tǒng)的通訊，能自動判斷當(dāng)前用戶是否登錄過，從而完成單點(diǎn)登錄的功能單點(diǎn)登錄現(xiàn)有模型基于經(jīng)紀(jì)人(Broker-based)的單點(diǎn)登錄模型基于代理(Agent-based)的單點(diǎn)登錄模型基于網(wǎng)關(guān)(Gateway-Based)的單點(diǎn)登錄模型基于代理與經(jīng)紀(jì)人(Agent and Broker-based)的單點(diǎn)登錄模型此模型有一個(gè)集中認(rèn)證和用戶賬號管理的服務(wù)器，使用中央認(rèn)證服務(wù)器和中央數(shù)據(jù)庫，像一個(gè)經(jīng)紀(jì)人一樣，為認(rèn)證提供一個(gè)公共和獨(dú)立的第三方此模型有一個(gè)自動為不同應(yīng)用程序認(rèn)證用戶身份的代理程序，代理人在服務(wù)器的認(rèn)證系統(tǒng)和客戶端認(rèn)證方法之間充當(dāng)一個(gè)“翻譯”?；诖淼膯吸c(diǎn)登錄

18、模型保證了通道的安全和單點(diǎn)登錄，具有比較好的可實(shí)施性和靈活性。但是基于代理的單點(diǎn)登錄模型的用戶登錄憑證要在本地存儲，增加了口令泄露的危險(xiǎn)在這種單點(diǎn)登錄模型中提供一個(gè)類似像“門”一樣的網(wǎng)關(guān)。用以安全地接入到可信的網(wǎng)絡(luò)服務(wù)，網(wǎng)關(guān)可以是防火墻或者是專門用于通訊加密的服務(wù)器。這種方案，對企業(yè)中現(xiàn)有的網(wǎng)絡(luò)環(huán)境要求比較嚴(yán)格。也需要現(xiàn)有的企業(yè)應(yīng)用來適應(yīng)它，所以這種方案的應(yīng)用范圍并不廣泛將基于代理(Agent-Base)的單點(diǎn)登錄模型和基于經(jīng)紀(jì)人(Broker-Base)的單點(diǎn)登錄模型結(jié)合起來，充分利用了前者的靈話性、對現(xiàn)有系統(tǒng)改造小的優(yōu)點(diǎn)和后者的中央式管理優(yōu)勢基于經(jīng)紀(jì)人:（可實(shí)施性）對舊系統(tǒng)的改造量比較大。

19、 （可管理性）可實(shí)現(xiàn)集中式的管理。代理模型:需要為每個(gè)舊系統(tǒng)新添加一個(gè)代理，移植比較簡單。 管理比較難以控制。代理和經(jīng)紀(jì)人模型:把基于經(jīng)紀(jì)人的解決方案和基于代理的解決方案相結(jié)合?；诖砟Ｐ偷淖畲髢?yōu)點(diǎn)就是能減少對應(yīng)用程序的改造，而基于經(jīng)紀(jì)人模型的最大優(yōu)點(diǎn)就是認(rèn)證集中，基于以上兩點(diǎn)，AgentandBroker-based模型就兼具了前者集中管理和后者無需修改應(yīng)用服務(wù)程序的優(yōu)點(diǎn)。網(wǎng)關(guān)模型。需要通過一臺專用的網(wǎng)關(guān)才能訪問各種應(yīng)用。 易于管理，但不同網(wǎng)關(guān)之間的數(shù)據(jù)庫需要同步。一般來說，每個(gè)應(yīng)用系統(tǒng)都擁有獨(dú)立的用戶信息管理功能，用戶信息格式、命名與存儲方式多種多樣，當(dāng)用戶需要使用多個(gè)應(yīng)用系統(tǒng)時(shí)就會帶來

20、用戶信息同步問題。根本解決辦法是統(tǒng)一存儲所有應(yīng)用系統(tǒng)的用戶及權(quán)限信息，實(shí)現(xiàn)統(tǒng)一存儲、統(tǒng)一授權(quán)。統(tǒng)一用戶管理1用戶信息規(guī)范命名、統(tǒng)一存儲，用戶ID全局惟一。用戶ID猶如身份證，區(qū)分和標(biāo)識了不同的個(gè)體。2統(tǒng)一用戶管理向各應(yīng)用系統(tǒng)提供用戶屬性列表，如姓名、電話、地址、郵件等屬性，可以設(shè)置各應(yīng)用系統(tǒng)對應(yīng)的部分或全部操作權(quán)限。3應(yīng)用系統(tǒng)對用戶基本信息的增加、修改、刪除和查詢等請求由統(tǒng)一用戶管理統(tǒng)一處理。4應(yīng)用系統(tǒng)可保留用戶管理功能，如用戶分組、用戶授權(quán)等功能。統(tǒng)一用戶管理4AAgent賬號管理服務(wù)器服務(wù)器主機(jī)服務(wù)器主機(jī)帳號同步服務(wù)User1 User2User nUser1 User2User nAge

21、ntAgent用戶系統(tǒng)用戶名密碼張三Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報(bào)銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB應(yīng)用系統(tǒng)Agent網(wǎng)絡(luò)設(shè)備User1User2.User n帳號同步服務(wù)User1User2.User n帳號管理員賬號搜集4A安全管理平臺-帳號管理用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報(bào)銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報(bào)銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB系統(tǒng)1A123456主機(jī)1A123456主機(jī)2A123456Agent賬號管理服務(wù)器服務(wù)器主機(jī)服務(wù)器主機(jī)帳號同步服務(wù)User1 U