1、统一身份认证及访问控制技术方案1. 方案概述1.1. 项目背景伴随信息化迅猛发展,政府、企业、机构等不停增加基于 Internet/Intranet 业务系统,如各类网上申报系统,网上审批系统, OA 系统等。系统业务性质,通常全部要求实现用户管理、身份认证、授权等必不可少安全方法;而新系统涌现,在和已经有系统集成或融合上,尤其是针对相同 用户群,会带来以下问题: 1)假如每个系统全部开发各自身份认证系统将造成资源浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时因为用户口令遗忘而造成支持费用不停上涨; 4
2、)无法实现统一认证和授权,多个身份认证系统使安全策略必需逐一在不一样系统内进行设置,所以造成修改策略进度可能跟不上策略改变; 5)无法统一分析用户应用行为;所以,对于有多个业务系统应用需求政府、企业或机构等,需要配置一套统一身份认证系统,以实现集中统一身份认证, 并降低整个系统成本。 单点登录系统目标就是为这么应用系统提供集中统一身份认证,实现“一点登录、多点漫游、即插即用、应用无关目标,方便用户使用。1.2. 系统概述针对上述情况,企业单位期望为用户提供统一信息资源认证访问入口,建立统一、基于角色和个性化信息访问、集成平台单点登录平台系统。该系统含有以下特点: 单点登录:用户只需登录一次,即
3、可经过单点登录系统(SSO)访问后台多个应用系统,无需重新登录后台各个应用系统。后台应用系统用户名和 口令能够各不相同,而且实现单点登录时,后台应用系统无需任何修改。 即插即用:经过简单配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。处理了目前其它SSO处理方案实施困难难题。 多样身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方法,可单独使用也可组合使用。 基于角色访问控制:依据用户角色和URL实现访问控制功效。 基于Web界面管理:系统全部管理功效全部经过Web方法实现。网络管理人员和系统管理员能够经过浏览器在任何地方进行远程访问管理。另外,能够使 用HTT
4、PS安全地进行管理。 全方面日志审计:正确地统计用户日志,可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果经过Web界面以图表形式展现 给管理员。 双机热备:经过双机热备功效,提升系统可用性,满足企业级用户需求。 集群:经过集群功效,为企业提供高效、可靠SSO服务。可实现分布式布署,提供灵活处理方案。 传输加密:支持多个对称和非对称加密算法,确保用户信息在传输过程中不被窃取和篡改。 防火墙:基于状态检测技术,支持NAT。关键用于加强SSO本身安全,也适适用于网络性能要求不高场所,以降低投资。 分布式安装:对物理上不在一个区域网络应用服务器能够进行分布式布署SSO系统。 后台
5、用户数据库支持:LDAP、Oracle、DB2、Win2k ADS、Sybase等。能够无缝集成现有应用系统统一用户数据库作为SSO应用软件系统用户数据库。 领先C/S单点登录处理方案:无需修改任何现有应用系统服务端和用户端即可实现C/S单点登录系统2. 总体方案设计2.1. 业务功效架构经过实施单点登录功效,使用户只需一次登录就能够依据相关规则去访问不一样应用系统,提升信息系统易用性、安全性、稳定性;在此 基础上深入实现用户在异构系统(不一样平台上建立不一样应用服务器业务系统),高速协同办公和企业知识管理功效。单点登录系统能够和统一权限管理系统实现无缝结合,签发正当用户权限票据,从而能够使正
6、当用户进入其权限范围内各应用系统,并完成符合其权限操作。单点登录系统同时能够采取基于数字证书加密和数字署名技术,对用户实施集中统一管理和身份认证,并作为各应用系统统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证相关应用操作。系统结构图说明:CA安全基础设施能够采取自建方法,也能够选择第三方CA。具体包含以下关键功效模块: 身份认证中心 存放企业用户目录,完成对用户身份、角色等信息统一管理; 授权和访问管理系统 用户授权、角色分配; 访问策略定制和管理; 用户授权信息自动同时; 用户访问实时监控、安全审计; 身份认证服务 身份认证前置为
7、应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务完成对用户身份认证和角色转换; 访问控制服务 应用系统插件从应用系统获取单点登录所需用户信息; 用户单点登录过程中,生成访问业务系统请求,对敏感信息加密署名; CA中心及数字证书网上受理系统 用户身份认证和单点登录过程中所需证书签发; 用户身份认证凭证(USB智能密钥)制作;2.2. 技术实现方案2.2.1. 技术原理基于数字证书单点登录技术,使各信息资源和本防护系统站成为一个有机整体。经过在各信息资源端安装访问控制代理中间件,和防护系统认证服务器通信,利用系统提供安全保障和信息服务,共享安全优势。系统交互图其原理以下:1)每个信
8、息资源配置一个访问代理,并为不一样代理分配不一样数字证书,用来确保和系统服务之间安全通信。2)用户登录中心后,依据用户提供数字证书确定用户身份。3)访问一个具体信息资源时,系统服务用访问代理对应数字证书,把用户身份信息机密后以数字信封形式传输给对应信息资源服务器。4)信息资源服务器在接收到数字信封后,经过访问代理,进行解密验证,得到用户身份。依据用户身份,进行内部权限认证。2.2.2. 统一身份认证2.2.2.1. 用户认证统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书用户来说,用户证书序列号平台中是唯一,对于非证书用户来说,平台用户ID(passport)是唯一,由其作为平
9、台用户统一标识。以下图所表示:(1)、在经过平台统一认证后,能够从登录认证结果中获取平台用户证书序列号或平台用户ID;(2)、再由其映射不一样应用系统用户账户;(3)、最终用映射后账户访问对应应用系统;当增加一个应用系统时,只需要增加平台用户证书序列号或平台用户ID和该应用系统账户一个映射关系即可,不会对其它应用系统产生任何影响,从而处理登录认证时不一样应用系统之间用户交叉和用户账户不一样问题。单点登录过程均经过安全通道来确保数据传输安全。2.2.2.2. 系统接入应用系统接入平台架构以下图所表示:系统提供两种应用系统接入方法,以快速实现单点登录:(1)反向代理(Reverse Proxy)方
10、法应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合应用系统,能够使用该方法接入统一用户管理平台。反向代理技术:实现方法为松耦合,采取反向代理模块和单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。 (2)Plug-in 方法Plug-in:实现方法为紧耦合,采取集成插件方法和单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。紧耦合方法提供多个API,经过简单调用即可实现单点登录(SSO)。2.2.3. 统一权限管理统一身份管理及访问控制系统经典授权管理模型以下图所表示:用户授权基础是对用户统一管理,对于在用户信息库中新注册用户,经过自动授权或手
11、工授权方法,为用户分配角色、对应用系统访问权限、应用系统操作权限,完成对用户授权。假如用户在用户信息库中被删除,则其对应授权信息也将被删除。完整用户授权步骤以下:1、用户信息统一管理,包含了用户注册、用户信息变更、用户注销;2、权限管理系统自动获取新增(或注销)用户信息,并依据设置自动分配(或删除)默认权限和用户角色;3、用户管理员能够基于角色调整用户授权(适适用于用户权限批量处理)或直接调整单个用户授权;4、授权信息统计到用户属性证书或用户信息库(关系型数据库、LDAP目录服务)中;5、用户登录到应用系统,由身份认证系统检验用户权限信息并返回给应用系统,满足应用系统权限要求能够进行操作,不然
12、拒绝操作;6、用户授权信息和操作信息均被统计到日志中,能够形成完整用户授权表、用户访问统计表。2.2.4. 安全通道提供安全通道是利用数字署名进行身份认证,采取数字信封进行信息加密基于SSL协议安全通道产品,实现了服务器端和用户端嵌入式数据安全隔离机制。图:使用前图:使用后安全通道关键用途是在两个通信应用程序之间提供私密性和可靠性,这个过程经过3个元素来完成: (1)握手协议:这个协议负责协商用于用户机和服务器之间会话加密参数。当一个SSL用户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方法,并使用公钥技术来生成共享密钥。 (2)统计协议:这个协议用于交换应用数据。应用程序消息被分割成可管理数据块,还能够压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接收方接收数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。 (3)警告协议:这个协议用于标示在什么时候发生了错误或两个主机之间会话在什么时候终止。
浙ICP备2021020529号-1 | 浙B2-20240490 
