1、architecture,52(9):171-180.eaoweeea171-180.XIAO LiyangBI Yubing,LIU Xiao,et al.Group-level AAA system design and implementation based on zero trust引用本文格式肖力炀,毕玉冰,刘骁,等基于零信任架构的集团级AAA系统设计与实现 .热力发电,2 0 2 3,52(9):Sep.2023THERMALPOWERGENERATION2023年9 月No.9Vo1.52第9 期热力发电第52 卷D0I:10.19666/j.rlfd.202212109基于零
2、信任架构的集团级AAA系统设计与实现肖力炀,毕玉冰,刘骁,朱博迪,刘迪,刘超飞,崔逸群(西安热工研究院有限公司,陕西西安7 10 0 54)摘要为了解决目前集团信息系统中普遍存在的用户账号管理与安全防护的问题,提出了一种基于零信任架构的集账号、认证和审计于一体的AAA系统。首先,对AAA系统的用户管理、身份认证授权、用户审计等模块进行功能描述;然后,针对传统网络边界防护问题,采用基于零信任架构的认证授权方式对业务场景进行身份鉴别,以保障业务系统环境的可靠性;最后,对AAA子系统的逻辑及集团级系统开发平台配置进行说明。提出的AAA系统可有效提高集团级企业信息系统的业务安全,弥补零信任环境下用户登
3、录账号的安全问题,也进一步提高了集团级企业内网络设备、应用设备、系统和应用管理的安全防护能力。【关键词零信任;身份认证;账号安全;认证授权;网络安全Group-level AAAangnentation based on zero trust architectureXIAO Liyang,BI Yubing,LIU Xiao,ZHU Bodi,LIU Di,LIU Chaofei,CUI Yiqun(Xian Thermal Power Research Institute Co.,Ltd.,Xian 710054,China)Abstract:In order to solve the p
4、roblems of user account management and security protection in current groupinformation system,this paper proposes a three-in-one AAA system of account,authentication and audit based onzero-trust architecture.Firstly,it describes the function of user management,authentication authorization,user audit
5、and other modules of the AAA system.Secondly,in view of the conventional network boundary protection problem,the authentication authorization method based on zero trust architecture is applied to identify the business scenario,thus to ensure the reliability of the business system environment.Lastly,
6、it illustrates the logic of the AAA subsystemand group-level system development platform configuration.The proposed AAA system can effectively improvethe business security of group-level enterprise information system,compensate for the security issues of user loginaccount under zero-trust environmen
7、t,and further improve the security protection ability of network equipment,application equipment,system and application management in group-level enterprise.Key words:zero trust;identity authentication;account security;certification authorization;cyber security随着一些大型集团公司应用系统数量和用户的不断增加,员工因业务需要而使用多个应用
8、系统的情况也越来越多,异构系统、融合网络、多样设备的用户身份管理复杂度也达到前所未有的程度,弱口令、僵尸账户、穴余账户、账号冒用、钓鱼用户、重复登录、异地登录、异常登录、多样性访问、分散管理、审计弱化等网络安全问题层出不穷。因此,从安全角度来说,构建集团内全网络、全应用、全覆盖的统一用户身份管理系统,保障用户身份与账号在企业中的唯一性显得尤为重要 1-3。近年来,随着工业互联网和企业数字化的不断发展,以云计算、人工智能、大数据技术等为支撑修回日期:2 0 2 2-12-10基金项目:中国华能集团有限公司总部科技项目(HNKJ21-H29)Supported by:Science and Tec
9、hnology Project of China Huaneng Group Co.,Ltd.(HNKJ21-H29)第一作者简介:肖力炀(1996),女,硕士,助理工程师,主要研究方向为网络安全与信息安全,。http:/17220233年热力发电的信息系统日益增多,内外网络防护的安全边界也逐渐趋于模糊化,许多企业基于边界防护的网络安全架构难以应付身份、权限、系统漏洞等维度的攻击,安全架构函需升级。传统的网络架构通常被划分为外网、内网和“隔离区”(demilitarized zone,DMZ)等不同安全区域,并采用基于网络边界防护的方案,通过在网络的边界处部署防火墙、虚拟专用网络(virtua
10、l private network,VPN)、We b 应用防护系统(Webapplication firewall,WA F)等技术进行防护。但这种架构会存在“防外不防内”的问题,即默认内网更安全,对内网中的系统和设备完全信任,因此攻击者只要通过一些攻击手段绕过网络边界防护,渗透到企业内网中,内网安全就会轻易被瓦解,从而造成企业数据泄露问题 4-6 。2010年JohnKindervag首次提出了零信任的概念 7-8 ,认为“可信”的内部网络充满着威胁,“信任”被过度滥用。针对传统网络边界防护带来的弊端,零信任给出了一种“从来不信任,始终被校验”的思想,即不信任网络内外的任何用户、设备、系统
11、与应用,而是通过动态认证和授权的方式处理每一个访问请求,确保在持续访问过程中验证和评估真实访问上下文和访问预期的偏差,避免非法用户拿到合法授权 9-12 。这种方式使网络安全架构从网络中心化逐渐走向身份中心化,通过身份认证来实现对设备及系统的访问控制。2 0 17 年谷歌耗时6 年开发的BeyondCorp项目 13-14,通过引入零信任网络架构模式,消除了对网络信任的依赖,也使零信任网络逐渐被各大企业认可和普及 15-16 。2 0 2 0 年万振楠等 17 提出了一种边云一体化的身份认证平台,采用基于零信任思想的静态口令与CA数字证书相结合的方式,开发出一套用户身份认证平台并投入使用。2
12、0 2 1年李崇智等 18 为解决多个系统之间用户权限分散的问题,提出了一种基于零信任架构的统一身份认证平台,采用身份与设备的动态认证,实现了更为精细化的权限控制。基于以上研究现状,目前企业信息系统中账号管理仍然面临一些问题:1)存在大量的占用账户、长期不用账号(僵尸账号)、多次创建的穴余账户等,系统管理员梳理起来较为困难;2)账号缺乏统一集中管理,应用系统、VPN、网络准入等缺乏统一的账号管理标准;3)缺乏统一的认证,VPN、各应用系统、APP认证各自独立,存在大量的弱口令;4)缺乏统一的审计能力,现有业务系统审计日志过多,审计人员有限,无法有效落地审计能力。因此,本文提出了一种基于零信任架
13、构的集账号(a c c o u n t)、认证(authentication)与审计(audit)三位一体的AAA系统,进一步提高大型集团公司账号身份的认证管理与安全防护能力。1AAA系统介绍1.1基于零信任架构的集团级系统介绍零信任网络架构的核心思想包括:1)网络无时无刻不处于危险之中;2)网络始终存在内部威胁和外部威胁;3)网络位置不能决定网络访问的可信程度;4)所有设备和网络流量都需要通过认证和授权;5)安全策略是动态且可调整的,或是通过多源信任评估得到的。传统的企业信息管理系统属于孤岛式作业平台,即一套业务逻辑配合一套管理人员,每套系统都有单独的账号和密码,不同系统之间账号和数据互不相
14、通,导致运维管理较为复杂。为了更好地解决集团级企业内,即多层下属单位各种信息系统之间应用账号的管理与安全问题,建立一站式作业平台,实现应用系统及其他资源的统一认证与管理,本文引入零信任思想,并在此基础上设计了一种集账号、认证、审计功能为一体的AAA系统(图1)。AAA系统具备以下3种能力:1)集团级全网集中的账号管理能力,可对全网账号进行集中化、标准化和可视化的管理;2)集团级全网统一的认证能力,可对全网人员和业务认证提供标准化和服务化管理;3)集团级全网统一的审计能力,提升审计能力并落地审计管理,实现真正的有效审计。图1中,系统核心功能为用户管理、身份认证管理、审计管理等。1.2系统架构图2
15、 为基于零信任的AAA系统整体架构,共分为6 层,分别是数据层、业务层、中间层、服务层、接口层和展示层。图2 的展示层提供管理员和普通用户统一登录页面,并提供普通用户单点访问应用系统页面和管理员管理AAA系统的配置页面。接口层实现前端展示层与后端业务层的业务交互,除了对内提供接口调用,还可对外提供标准接口对接,通过接口层实现前后端分离,基于每个业务提供单独的业务库。业务层提供AAA系统业务管理功能,包括用户管理、认证管理、授权管理和审计管理等。http:/173肖力炀等基于零信任架构的集团级AAA系统设计与实现第9 期中间层提供中间件服务和缓存服务,用于业务层与服务层之间交互。服务层提供后台服
16、务,如配置服务、任务调度服务、升级服务、主备服务等。数据层提供业务数据和审计数据存储功能,各业务数据对应各自的业务库,数据之间不能直接访问,都需要通过业务层和接口层交互。集团多级单位业务管理安全管理平台管理身份惠计认证管理基于零信任架构的集团用户集团级AAA系统业务系统1业务系统2主机数据库网络设备VPN网络准入业务系统3堡垒机防火墙无线系统业务用户运维用户网络用户运维用户亚务角户图1AAA系统业务设计Fig.1 Business design diagram of the AAA system展示层用户平台管理平台接口层各类交互接口介服务层业务层中间层配置任务任务调度升级服务主备服务用户管理
17、认证管理中间件授权管理审计管理缓存数据层用户库认证库权限库审计库基础库图2 AAA系统整体架构Fig.2Overall structure of theAAA system1.3用户管理用户管理模块用来实现对用户账号的统一管理,通过同步、映射、关联等方案,形成用户统一登录身份,并对用户属性进行扩展。图3为用户管理模块示意。由图3可见:用户管理模块包含了用户的属性管理、用户口令策略、用户状态核查、用户信息同步等子功能;同时支持账号特殊状态管理,包括长期未用账号管理、异常时间登陆账号管理、异地登录账号管理、异地同时登录账号管理等。1.4身份认证管理用户身份认证管理是基于零信任架构的AAA系统的核心
18、功能 19-2 3。AAA系统需要通过支持标准协议实现如网络设备、安全设备、主机、应用等资源的统一认证功能,同时还要支持多种强身份认证方式,可以实现多种认证因子的身份认证、票据管理、认证转发,并基于Radius、L D A P、CA S、O A u t h 2、OIDC、JWT 等多种标准协议。认证授权管理功能包括认证和授权2 个部分。认证管理可通过可信API与内部其他业务模块进行交互,同时可与外部认证系统对接实现多种认证方式,通过标准认证协议实现资源认证接入。AAA系统提供认证服务的同时,还需要根据访问授权控制用户访问资源的权限,只有当用户授予了资源的访问权限,才能进行正常登录,否则即便认证
19、通过,也无法对资源进行登录访问。17420233年热力发电用户管理应用A用户属性管理组织机构管理HRHR数据源用户口令策略用户状态核查上游数据源用户类型核查动态令牌管理ActiveDirectory应用BAD数据源扩展属性管理用户信息同步介LDAPX可信API同步同步增删改查应用C初始化数据源内部其他模块图3用户管理模块示意Fig.3 Schematic diagram the user management module授权管理包括用户的权限设置,涉及用户拥有哪些应用访问权限、用户应用账号具备哪些权限。传统方法是由管理员给用户开通应用账号并分配权限,开通账号即代表用户拥有该应用访问权限,但这
20、种做法完全依靠人工,存在严重安全隐患以及较大管理工作量。另外,应用独立维护权限、权限与业务耦合、权限不断变化,也会导致第三方平台很难完全接管应用账号权限。因此,AAA系统支持用户应用账号权限可在应用账号同步时授予默认权限,特殊用户账号权限由应用管理员人工调整。零信任架构的核心思想在于,遵循“以人为核心的业务安全”核心理念,来解决企业全生命周期业务安全问题,通过对所有业务场景和资源的每一个访问请求进行强制身份鉴别和授权判定,实现按需分配资源。采用零信任的方式可以确保访问主体对资源的所有业务访问都以安全的方式进行,对所有访问请求和通信提供机密性、完整性保护和源身份验证。其中,可信代理、访问控制和信
21、任评估为零信任架构的3个核心组件,零信任模型下的身份认证管理如图4所示,本文从以下几方面进行说明。认证管理授权管理认证系统认证方式认证协议资源静态密码动态口令RadiuTacacs存量用户新增用户特殊用户人脸识别网络设备短信认证证书认证LDAPCAS导入授权自动授权人工授权声纹识别扫码认证微信认证SAML2OAuth2安全设备人脸识别声纹识别OIDCJWT短信网关服务器用户应用访问权限授权键推送钉钉认证SDKScheme数字证书数据库认证方式组合认证请求转发企业微信应用系统认证对接可信API、认证协议认证对接应用A应用B应用C认证接入统一Portal、能力组件零信任安全模型访问主体访问客体控制
22、平面信任评估引擎人设应系员备用统应接功数用口能据访问控制引擎数据平面不可信可信代理可信身份安全图4零信任模型下的身份认证管理Fig.4 Identity authentication management under zero-trust modelhttp:/http:/175肖力炀等基于零信任架构的集团级AAA系统设计与实现第9 期1)可信代理可信代理是确保业务安全访问的第一道关口,该组件拦截访问请求后,通过访问控制引擎可以对访问主体进行认证,对访问主体的权限进行动态判定,只有认证通过且具有访问权限的访问请求才能放行。2)访问控制为了确保访问主体对资源的所有业务访问都以安全的方式进行,对所
23、有访问请求和通信都提供机密性、完整性保护和源身份验证。访问控制引擎通过结合可信代理,可以对所有访问请求进行认证和动态授权,是零信任架构控制平面的策略判定点。该组件可以对所有的访问请求进行权限判定,且不再基于简单的静态规则,而是通过上下文属性、信任等级和安全策略进行动态判定,基于实时多源数据来开展持续评估,实现动态访问控制。实时多源数据包括访问主体身份、计算环境可信度、权限策略、访问行为等,用于分析和计算的数据种类、数据可靠性有效提升持续评估准确性,同时也会考虑数据安全性、可用性、成本效率之间的平衡。3)信任评估信任评估引擎可对特定的网络请求或活动进行风险分析,其职责是实现持续信任评估能力,该组
24、件可以持续接收可信代理、访问控制引擎的日志信息,再结合身份库、权限库等数据对用户身份进行持续画像,对访问行为进行持续分析,对信任进行持续评估,最终生成和维护信任库,为访问控制引擎提供决策依据,从而做到更准确的风险识别和信任评估。1.5审计管理由于AAA系统需要对用户的身份权限与登录访问控制进行管理,因此审计功能尤为重要。传统的审计范围包括管理员操作行为、用户登录认证行为、用户访问行为。本文基于零信任架构的AAA系统中,审计管理模块主要是针对AAA系统的认证及相关操作进行日志审计,并形成统计分析,根据行为基线刻画用户行为画像,发现用户异常行为。同时支持异常行为分析管理,依托行为基线,对用户行为动
25、作进行分析,发现登录行为异常、认证行为异常、操作行为异常、无账号异常、同一IP多个账号登录等,其使用场景可以分为用户登录AAA系统时、用户登录资源时和用户操作管理AAA系统时3种场景。AAA系统提供对审计事件、告警事件、用户账号管理事件和认证授权事件进行实时审计、告警和查询功能,以便管理员了解各资源和AAA系统自身的登录使用情况,并根据预警做出相关处理。图5为审计管理功能示意。审计管理系统操作审计登录认证审计申请审批审计异常行为分析用户行为画像审计报表统计外部系统可信API、Sy s l o g、FT P北增删改查外部系统内部其他模块图5审计管理示意Fig.5 Schematic diagra
26、m of audit management2 AAA系统方案设计与实现2.1整体功能设计整体功能设计框架如图6 所示。由图6 可见,该系统包括前端、可信API网关、业务层、中间件和后台服务5个部分。前端提供平台界面,实现系统登录、用户管理、资源管理、系统管理等功能。可信API网关为所有请求提供路由功能。业务层包括认证中心、用户管理、资源管理、系统管理和后台服务及数据层交互,为前端提供数据支撑。中间件包括消息中心和缓存中心,实现业务层和后台服务的事件和数据交互。后台服务包括系统配置、系统日志、数据同步、账号改密等后台业务服务功能,并通过守护进程来监控AAA系统所有服务的运行状态 2 4-2 5。
27、2.2逻辑架构设计AAA系统的逻辑架构设计框架如图7 所示。由图7 可见,该系统逻辑架构可分为视图层、业务逻辑层和数据层。视图层提供前端展示,支持浏览器、API、PC端、移动端等多种访问手段,并采用SM国密算法加密访问过程。业务逻辑层不仅实现认证、用户、系统的业务逻辑处理和控制,而且包括可信API网关、消息中心、缓存中心、后台服务及进程守护程序。数据层实现数据存取,认证中心、用户管理、资源管理和系统管理数据库相互独立,可以单独部署,也可以在同一个库上运行4个数据库实例。http:/1762023 年热力发电前端系统登录页面用户管理视图资源管理视图系统管理视图可信API网关认证中心用户管理资源管
28、理系统管理身份认证用户管理系统资源管理权限管理强认证因子用户组管理应用资源管理系统配置业务层认证转发用户口令策略账号管理系统信息票据管理用户检查账号改密接口管理单点登录登录/认证策略登录协议管理系统日志中间件消息中心缓存中心服务系统配置服务系统日志服务短信服务邮件服务账号改密服务升级服务守护进程图6 整体功能设计框架Fig.6 Overall functional design framework浏览器WindowsLinuxMacosAndroid视图IOS可信API网关系统配置服务业务逻辑升级服务认证用户资源系统消息中心进程守护一短信服务中心管理管理管理账号改密服务缓存中心数据同步服务系统
29、日志服务数据层数据库数据库数据库数据库图7 逻辑架构设计框架Fig.7Logic architecture designframework2.3零信任模块设计身份认证管理模块是整个零信任AAA系统的关键部分,通过将与身份相关的数据抽离出来单独做成身份中心,结合认证中心、权限中心、应用中心、资源中心等构成整个架构体系,从而实现与各类应用在不同层级之间的对接。图8 为身份认证管理模块整体流程。由图8 可见,首先进行用户身份认证,通过安全接入点将认证请求转发到认证中心的处理模块,认证处理模块根据请求上下文连接到对应的身份提供商,经过一系列交互完成认证并下发访问token。其次,用户携带相关访问tok
30、en发起相关资源请求,在安全接入点和信任评估引擎层认证中心校验token的合法性以及授权、鉴权等操作,若通过校验满足访问控制策略,则提交到相关应用的API执行。同时,在返回数据包中还需再次校验是否满足安全策略,以及进行相应的审计日志记录。其中,信任评估引擎是由信任评估组件、大数据计算平台、智能算法等组成,根据请求上下文、信任评估模型给出实时的评估结果。安全接入点用户身份认证发送认证请求完成认证信任评估引擎资源操作请求智能算法获得token安全接入点大数据计算平台访问控制策略信任评估组件校验、授权、鉴权满足执行API图8 身份认证管理模块整体流程Fig.8 Overall process of
31、identity authentication managementhttp:/177肖力等基于零信任架构的集团级AAA系统设计与实现第9 期2.4AAA子系统划分AAA子系统间的数据交互主要从业务数据、事件数据和缓存数据3个方面展开,具体描述如下。2.4.1业务数据AAA系统各服务之间通过可信API网关实现数据交互。可信API网关为所有内外部请求的入口,基于安全考虑,所有外部请求通过https协议请求可信API网关,由可信API网关转发请求给具体子系统,内部子系统之间的请求通过http协议请求API网关,由API网关转发请求给相应的子系统。可信API网关采用traefik实现。系统管理写入系
32、统权限和系统配置,其中系统权限管理需要读用户信息及读取资源信息。用户管理通过可信API网关输出用户信息,用户的权限视图需要输入系统权限。资源管理通过可信API网关输出资源、账号等信息,资源的协议功能需要输入系统配置。认证中心根据用户信息、资源信息和系统配置完成身份认证,输出认证结果。数据同步需要输入系统配置信息,并把用户、资源等信息同步给各能力组件。接口服务需要输入系统配置信息,并和外部系统交互实现用户、资源等信息的双向同步。2.4.2事件数据用户管理、系统管理、认证中心及数据同步、系统配置、系统升级等后台服务会产生数据变更、配置、升级、认证等事件,并把事件发送到消息中心,不同的后台服务通过订
33、阅相应的事件完成业务操作。图9为具体的事件数据示意。用户变更事件用户变更事件改密事件资源和账号变更事件用户管理数据同步服务资源变更事件账号变更事件发短信事件资源管理短信服务系系统配置事件统升级事件系绕告警事件消息中心发邮件事件系统管理邮件服务身份认证鉴权事件系统配置事件认证中心系统配置服务数据同步、业务操作日志、告警、操作结果等事件系统升级事件系统配置、升级服务升级等后台服务图9具体的事件数据示意Fig.9 Specific event data2.4.3缓存数据缓存中心把频繁读取及多个服务共用的数据缓存起来,提高数据读取的效率,减少对数据库的查询,同时多个服务可以共享缓存中心的数据,避免每个
34、服务各自缓存数据,缓存中心遵循的原则是“使用频繁或多服务公用的数据、变更不频繁的数据”。图10 为缓存数据处理流程,具体分为2 步:a)读缓存机制,b)清缓存机制。1、缓存查询系统管理3、写缓存缓存中心4、第二次缓存查询2、数据库查询数据库a)读缓存机制1、删缓存系统管理缓存中心2、写数据库数据库b)清缓存机制图10 缓存数据处理流程Fig.10o Processing flow of cache data1)读缓存机制以系统管理服务为例,服务查询数据时首先从缓存中读数据,第1次发现缓存中不存在相应数据,则从数据库查询,并把查询到的数据写入缓存中心。第2 次查询该数据时,缓存中心已存在该数据,
35、可从缓存中心直接读取到数据,减少了数据库访问。http:/17820233年热力发电2)清缓存机制为避免数据库和缓存中心数据不一致的问题,当数据库数据需要变更或删除时,先删除缓存中的数据,再执行数据库操作。当该数据被再次使用时遵循读缓存机制,先从数据库查询最新的数据,并把查询到的数据写入缓存,供后续使用。2.5环境配置及性能指标本文使用JAVASpringBoot微服务架构作为AAA系统的开发框架,前端采用Vue语言,相关环境设备及软件配置见表1,系统性能指标见表2。表1环境配置说明Tab.1 Environmental configuration instructions设备名称版本操作系统
36、Centos7.7标准版CPUARM 4核16 GJDK1.8.0Eclipse2021.9Maven3.8.1Tomcat9.0.46Redis5.0.14Mysql5.7表2 系统性能指标Tab.2 System performance indicators参数指标页面响应时间AVG3S,MAX5s全网账号数据同步阈值账号同步1min并发访问(单点设备)1000系统可靠性双机热备持续稳定运行系统可用率99.9%服务器CPU负荷率AVG30%,MAX60%2.6集团级及AAA系统部署集团级企业的组织体系庞大,涵盖的组织结构层次复杂、数量众多,具体可划分为集团、二级单位、三级单位等,不同层级均
37、需部署适用于当前业务需要的应用系统和设备,本文所提AAA系统将部署在集团总部和下辖二、三级单位,其他多级单位可以根据实际需求逐步进行细化,AAA系统集团部署如图11所示。采用多级认证场景,对于集团用户、二级单位、三级单位、本地用户,在本地完成认证;集团用户到二级单位,由二级单位先在本地查询,本地未有,由二级单位转发认证请求到集团,由集团完成认证;二级单位用户到三级单位,由三级单位用户转发认证请求到二级单位,由二级单位完成认证。集团账号身份审计业务系统1管理认证管理业务系统2集团AAA一级系统业务系统3账号同步认证策略认证转发日志上传二级单位身份审计业务系统1认证管理业务系统2AAA二级系统集团
38、地业务系统3角声认证策略认证转发用芦帐号同步日志上传三级单位身份車计业务系统1管理认证管理业务系统2AAA三级系统上级本地业务系统3甫芦芦图11AAA系统集团部署示意Fig.l1 Schematic diagram of group-level deployment of theAAAsystem2.7平台界面图12 为AAA系统平台入口界面,图13一图16 分别为用户管理、身份认证、认证方式和审计管理的部分展示界面。零信任AAA统控制仓品管理AA控制荐Q品用户管理身份认证M责源管理幸计警理二维单健2图12 AAA系统平台入口界面Fig.12 Entrance interface of the
39、 AAA system platform零信任AAA系统用户曾理用户新增管罐AA控制台入导出目&用户管理用户屏生从速方式用户新地一禁单价用户状态梳查新一本12348234567e160m兰绿单位用户脑性罐理电厂.11234567890正用户口令集略身份认诚回资源管理审计管理其4315条,布页5第图13用户管理界面Fig.13 User management interfacehttp:/179肖力炀等基于零信任架构的集团级AAA系统设计与实现第9 期零信任AAA系统认证香认证模极控制台人品用户禁理净号鲜身份认证CSCAS认证根板2CuthCASCBU认证方式及势议认证数据管理CASMT乐认证授
40、权难理tchongOa冰bchangeoud盗源理5ichangappisiAetiveireribik计管理图14身份认证管理界面Fig.14 Identity authentication management interface零信任AAA系统认证管罐认证方式及协议品管理热A控制台请能入从证方式神(家学始大安生级神超响)用户维理人储业费亲份认证2口认证模板认证方式及协议认证数据瓷理认证授权销理RaduOOCCASJWWT资源管理LDAP501审计管理SAM2图15认证方式管理界面Fig.15 Authentication method management interface海怡任AAA
41、系统审计管理 用户行为商像控制台王小军用户行为画像搭线配置&用户管理8请用户特力:【正地】2022/1/258:30,M人力2022/1/2713:00,用户滤河时网:0 0-2 4:0 02022/2/115:00身份认证82012.015:00用户名:王小军斑源管理用户洁网时间新牌工价零城出养审计管理国认证行力0-10 0人员类型:营通用户用户行为帝像创建时间:2 0 2 2-0 10 1812:0:11#通用户电约期入次费10-10 0野常行为分析审计报装认班行动审计售雪配置酷推码编出次款车请网#期0-50 0)图16 审计管理界面Fig.16Auditmanagement interf
42、ace3结语为了解决目前企业信息系统中用户账号管理与安全防护的问题,实现应用系统与其他资源的统一认证和统一管理,本文提出了一种基于零信任架构的集账号、认证和审计于一体的AAA系统,主要定位于解决集团级企业用户账号、身份认证、用户审计管理等方面的问题。AAA系统的核心是关注资源统一认证和多种认证方式组合,实现用户、认证、资源和账号等配置数据的集中统一管理,并通过数据同步组件实现与外部系统数据同步。该系统支持全面的标准协议,具备集团级全网集中的账号管理能力,能对全网账号进行集中化、标准化、可视化管理;具备集团级全网统一的认证能力,能对全网人员和业务认证提供标准化、服务化管理;具备集团级全网统一的审
43、计能力,实现真正的有效审计。该系统有助于提高集团级企业信息系统的业务安全,弥补了零信任环境下用户登录账号的安全问题,也进一步提高了集团级企业内网络设备、应用设备、系统和应用管理的安全防护能力。参考文献1方铁城,申彦龙北京燃气集团统一身份认证管理平台建设与实践 .城市燃气,2 0 2 0(5):39-44.FANG Tiecheng,SHEN Yanlong.The constructionand practice of unified identity authentication manage-ment platform of Beijing gas groupJ.Urban Gas,202
44、0(5):39-44.2王静.统一身份认证和用户管理平台在集团型电力企业的应用 .信息网络安全,2 0 16(12):8 1-8 5.WANG Jing.Application of the unified identityauthentication and user management platform in electricgroup enterpriseJj.Netinfo Security,2016(12):81-85.3高鹏,陈智雨,闫龙川,等面向零信任环境的新一代电力数据安全防护技术 电力信息与通信技术,2021,19(2):7-14.GAO Peng,CHEN Zhiyu,Y
45、AN Longchuan,et al.A newgeneration of power data security protection technologyfor zero-trust environmentJ.Power Information andCommunication Technology,2021,19(2):7-14.4李欢欢,徐小云,王红蕾。基于零信任的网络安全模型架构与应用研究 .科技资讯,2 0 2 1,19(17):7-9.LI Huanhuan,XU Xiaoyun,WANG Honglei.Research onarchitecture and applicati
46、on of network security modelbased on zero trustJ.Science and TechnologyInformation,2021,19(17):7-9.5王刚,张英涛,杨正权基于零信任打造封闭访问空间 .信息安全与通信保密,2 0 2 0(8):7 8-8 6.WANG Gang,ZHANG Yingtao,YANG Zhengquan.Building a closed access space based on zero trustJ.Information Security and Communication Confidentiality,
47、2020(8):78-86.6李俊,柴海新数字身份安全治理研究 信息安全研究,2 0 2 1,7(7):598-6 0 5.LI Jun,CHAI Haixin.Research on security governance ofdigital identityJ.Information Security Research,2021,7(7):598-605.7KINDERVAG J.Build security into your networks DNA:The zero trust network architectureJ.Forrester Research,2010,5:1-26.
48、8叶马力零信任安全模型在央企安全管理中的应用研究 .电子世界,2 0 19(11):16 4-16 5.YE Mali.Research on the application of zero trust securitymodel in the securitymanagement of centralenterprisesJ.Electronic World,2019(11):164-165.9VANICKIS R,JACOB P,DEHGHANZADEH S,et al.Access control policy enforcement for zero-trust-networkingC
49、J/2018 29th Irish Signals and SystemsConference(ISSC).Belfast:IEEE Press,2018:1-6.http:/杜亚勤)(责任编辑18020233年热力发电10 王军峰零信任架构构建安全网络环境 .网络安全和信息化,2 0 2 0(5):118-12 1.WANG Junfeng.Building a secure network environmentwith zero trust architecture Network Security andInformatization,2020(5):118-121.11王斯梁,冯喧,
50、蔡友保,等零信任安全模型解析及应用研究 .信息安全研究,2 0 2 0,6(11):96 6-97 1.WANG Siliang,FENG Xuan,CAI Youbao,et al.Application research of zero trust architecture.Information Security Research,2020,6(11):966-971.12 刘增明,崔雪璐,马靖,等.基于零信任框架的能源互联网安全防护架构设计 电力信息与通信技术,2020,18(3):15-20.LIU Zengming,CUI Xuelu,MA Jing,et al.Design of
浙ICP备2021020529号-1 | 浙B2-20240490 
