统一身份认证平台讲解实用.docx
- 文档编号:13666581
- 上传时间:2023-06-16
- 格式:DOCX
- 页数:69
- 大小:427.06KB
统一身份认证平台讲解实用.docx
《统一身份认证平台讲解实用.docx》由会员分享,可在线阅读,更多相关《统一身份认证平台讲解实用.docx(69页珍藏版)》请在冰点文库上搜索。
统一身份认证平台讲解实用
一致身份认证平台设计方案
1)系统整体设计
为了加强对业务系统和办公室系统的安全控管,提高信息化安全
管理水平,我们设计了基于PKI/CA技术为基础架构的一致身份认证
服务平台。
1.1.设计思想
为实现成立针对人员帐户管理层面和应用层面的、全面完满的安全管控需要,我们将依照以下设计思想为设计并推行一致身份认证服务平台解决方案:
内部建设基于PKI/CA技术为基础架构的一致身份认证服务平台,经过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户一致、系统资源整合、应用数据共享和全面集中管控的核心目标。
供给现有一致门户系统,经过集成单点登录模块和调用一致身份认证平台服务,实现针对不同样的用户登录,能够显现不同样的内容。
能够依照用户的关注点不同样来为用户供给定制桌面的功能。
成立一致身份认证服务平台,经过使用唯一身份表记的数字证书即可登录所有应用系统,拥有优异的扩展性和可集成性。
供给基于LDAP目录服务的一致账户管理平台,经过LDAP中主、从账户的照射关系,进行应用系统级的接见控制和用户生命周期保护
管理功能。
用户证书保留在USBKEY中,保证证书和私钥的安全,并满足
搬动办公的安全需求。
1.2.平台介绍
以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统供给用户身份、系统资源、权限策略、审计日志等一致、安全、有效的配置和服务。
以以下图,一致相信管理平台各组件之间是松耦合关系,相互支撑又相互独立,详细功能以下:
a)集中用户管理系统:
完成各系统的用户信息整合,实现用户生命周期的集中一致管理,并成立与各应用系统的同步体系,简化用户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:
集成证书注册服务(RA)和电子密钥(USB-Key)管理功能,实现用户证书申请、审批、核发、更新、取消等生命周期管理功能,支持第三方电子认证服务。
c)集中认证管理系统:
实现多业务系统的一致认证,支持数字证书、动向口令、静态口令等多种认证方式;为企业供给单点登录服务,用户只要要登录一次就可以接见所有相互相信的应用系统。
d)集中授权管理系统:
依照企业安全策略,采用基于角色的接见控制技术,实现支持多应用系统的集中、灵便的接见控制和授权管理功能,提高管理效率。
e)集中审计管理系统:
供给全方向的用户管理、证书管理、认证管理和授权管理的审计信息,支持应用系统、用户登录、管理操作等审计管理。
1.3.功能整体架构
整体架构图以下所示:
说明:
CA安全基础设施能够采用自建方式,也能够选择第三方
CA。
详细包括以下主要功能模块:
身份认证中心
储藏企业用户目录,完成对用户身份、角色等信息的一致管理;
授权和接见管理系统;
用户的授权、角色分配;
接见策略的定制和管理;
用户授权信息的自动同步;
用户接见的实时监控、安全审计;
身份认证服务
身份认证前置为应用系统供给安全认证服务接口,中转认证和访
问央求;
身份认证服务完成对用户身份的认证和角色的变换;
接见控制服务
应用系统插件从应用系统获得单点登录所需的用户信息;
用户单点登录过程中,生成接见业务系统的央求,对敏感信息加
密签字;
CA中心及数字证书网上受理系统
用户身份认证和单点登录过程中所需证书的签发;
用户身份认证凭证(USB智能密钥)的制作。
1.4.平台整体部署
集中部署方式:
所有模块部署在同一台服务器上,为企业供给统
一相信管理服务。
部署方式主若是采用专有定制硬件服务设施,将集中帐户管理、
集中授权管理、集中认证管理和集中审计管理等功能服务模块一致部
署和安装在该硬件设施中间,经过连接外面服务地域中间的从LDAP
目录服务(现有AD目录服务)来完成对用户帐户的操作和管理。
2)技术实现方案
2.1.技术原理
基于数字证书的单点登录技术,使各信息资源和本防范系统站成
为一个有机的整体。
经过在各信息资源端安装接见控制代理中间件,
和防范系统的认证服务器通信,利用系统供给的安全保障和信息服
务,共享安全优势。
其原理以下:
a)每个信息资源配置一个接见代理,并为不同样的代理分配不同样的数字证书,用来保证和系统服务之间的安全通信。
b)用户登录中心后,依照用户供给的数字证书确认用户的身份。
c)接见一个详细的信息资源时,系统服务用接见代理对应的数字证书,把用户的身份信息机密后以数字信封的形式传达给相应的信息资源服务器。
d)信息资源服务器在接碰到数字信封后,经过接见代理,进行解密考据,获得用户身份。
依照用户身份,进行内部权限的认证。
2.2.一致身份认证
用户认证
一致身份管理及接见控制系统用户数据独立于各应用系统,对于
数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证
书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户
的一致表记。
以以下图所示:
a.在经过平台一致认证后,能够从登录认证结果中获得平台用户证书的序列号或平台用户ID;
b.再由其照射不同样应用系统的用户账户;
c.最后用照射后的账户接见相应的应用系统;
当增加一个应用系统时,只要要增加平台用户证书序列号或平台
用户ID与该应用系统账户的一个照射关系即可,不会对其他应用系统产生任何影响,从而解决登录认证时不同样应用系统之间用户交织和用户账户不同样的问题。
单点登录过程均经过安全通道来保证数据传输的安全。
系统接入
应用系统接入平台的架构以以下图所示:
系统供给两种应用系统接入方式,以迅速实现单点登录:
a.反向代理(ReverseProxy)方式
应用系统无需开发、无需变动。
对于不能够作变动或没有原厂商配合的
应用系统,能够使用该方式接入一致用户管理平台。
反向代理技术:
实现方式为松耦合,采用反向代理模块和单点登录
(SSO)认证服务进行交互考据用户信息,完成应用系统单点登录。
b.Plug-in方式
Plug-in:
实现方式为紧耦合,采用集成插件的方式与单点登录(SSO)
认证服务进行交互考据用户信息,完成应用系统单点登录。
紧耦合方式供给多种API,经过简单调用即可实现单点登录(SSO)。
一致权限管理
一致身份管理及接见控制系统的典型授权管理模型以以下图所示:
用户授权的基础是对用户的一致管理,对于在用户信息库中新注册的用户,经过自动授权或手工授权方式,为用户分配角色、对应用系统的接见权限、应用系统操作权限,完成对用户的授权。
若是用户在用户信息库中被删除,则其相应的授权信息也将被删除。
完满的用户授权流程以下:
1、用户信息一致管理,包括了用户的注册、用户信息更正、用户注销;2、权限管理系统自动获得新增(或注销)用户信息,并依照设
置自动分配(或删除)默认权限和用户角色;
3、用户管理员能够基于角色彩整用户授权(适用于用户权限批量处
理)或直接调整单个用户的授权;
4、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP
目录服务)中;
5、用户登录到应用系统,由身份认证系统检验用户的权限信息并返
回给应用系统,满足应用系统的权限要求能够进行操作,否则拒绝操
作;
6、用户的授权信息和操作信息均被记录到日志中,能够形成完满的
用户授权表、用户接见统计表。
安全通道
供给的安全通道是利用数字签字进行身份认证,采用数字信封进行信息加密的基于SSL协议的安全通道产品,实现了服务器端和客户端嵌入式的数据安全隔断体系。
安全通道的主要用途是在两个通信应用程序之间供给私密性和可靠性,这个过程经过3个元素来完成:
a.握手协议:
这个协议负责协商用于客户机和服务器之间会话的加密参数。
当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上完成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
b.记录协议:
这个协议用于交换应用数据。
应用程序信息被切割成
可管理的数据块,还可以够压缩,并产生一个MAC(信息认证代码),尔后结果被加密并传输。
接受方接受数据并对它解密,校验MAC,
解压并重新组合,把结果供给给应用程序协议。
c.警告协议:
这个协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候停止。
3)平台功能说明
平台主要供给集中用户管理、集中证书管理、集中认证管理、集
中授权管理和集中审计等功能,整体功能模块以以下图所示:
4)集中用户管理
随着企业整体信息化的发展,大体都经历了网络基础建设阶段、
应用系统建设阶段,当前正面对实在现纳入到信息化环境中人员的统
一管理和安全控制阶段。
随着企业的网络基础建设的不断完满和应用
系统建设的不断扩展,在信息化促进业务加速发展的同时,企业信息化规模也在迅速扩大以满足业务的发展需要,更多的人员被融入信息化环境,由此突出反响的事件是无论是网络系统、业务系统、办公系统,其最后的主体将是企业内外的人员,每一为人员肩负着使用、管理、授权、应用操作等角色。
因此对于人员的可信身份的管理显得特别重要,必然成为信息化发展的重中之重,只有加强者员的可信身份管理,才能做到大门的安全防范,才能为企业的管理、业务发展成立可信的信息化环境,特别是采用数字证书认证和应用后,完满能够做到全过程可信身份的管理,保证每个操作都是可信得、可相信的。
集中用户管理系统主若是完成各系统的用户信息整合,实现用户
生命周期的集中一致管理,并成立与各应用系统的同步体系,简化用户及其账号的管理复杂度,降低系统用户管理的安全风险。
4.1.管理服务对象
集中用户管理主要面向企业内外面的人、资源等进行管理和供给
服务,详细对象能够分为以下几类:
a)最后用户:
自然人,包括自然人身份和相关信息。
b)主账号:
与自然人唯一对应的身份表记,一个主账号只能与一个
自然人对应,而一个自然人可能存在多个主账号。
c)从账号:
与详细角色对应,每一个应用系统内部设置的用户账号,在一致相信管理平台中每个主账号能够拥有多个从帐号,也就是多种身份角色(即一个日然人在企业内部具备多套应用系统账
号)。
d)资源:
用户使用或管理的对象,主若是指应用系统及应用系统下详细功能。
详细服务对象之间的照射对应关系以以下图所示:
4.2.用户身份信息设计
用户种类
用户是接见资源的主体,人是最主要的用户种类:
多数的业务由
人倡导,原始的数据由人输入,要点的流程由人控制。
人又可再分为:
员工、外面用户。
员工即中心的职员,是平台主要的关注的用户集体;外面用户是指以独立身分接见中心应用系统的其他用户如招标人、招标人、招标代理等。
身份信息模型
身份信息模型以下:
对各种用户身份成立一致的用户身份表记。
用户身份表记是一致
用户管理系统内部使用的表记,用于鉴别所适用户的身份信息。
用户表记不同样于员工号或身份证号,需要成立相应的编码规范。
为了保证用户身份的真实、有效性,能够经过数字证书认证的方式进行身份鉴别并与用户身份表记进行唯一对应。
用户基本信息保留用户最主要的信息属性,由于其他系统中,如HR中还保留适用户更完满的信息,因此需要成立与这些系统的中信
息的比较关系,因此需要保留用户在这些系统中用户信息的索引,便
于关系盘问。
基于分权、分级的管理需要,用户身份信息需要将用户信息依照
所属机构和岗位级别进行分类,便于划分安全管理域,将用户信息集
中储藏在总部,以及管理域的划分。
用户认证信息管理用户的认证方式及各种认证方式对应的认证信息,如用户名/口令,数字证书等。
由于用户在各应用系统中各自拥有账号和相关口令,为了保证在平台推行后能够使原有系统还可以够依照原有账号方式操作,需要成立用户表记与应用系统中账号的比较关系。
授权信息是对用户使用各系统的接见策略,给用户赐予系统中的角色和其他属性。
身份信息储藏
为了方便对人员身份的管理,集中用户系统采用树形架构来进行
人员组织架构的保护,储藏方式主要采用LDAP。
能够经过中心内部
已有的人员信息管理系统中间依照策略进行读写操作,当前主要支持
以下数据源种类:
a)WindowsActiveDirectory(AD)
b)OpenLdap
c)IBMDirectoryServer(IDS)
4.3.用户生命周期管理
用户生命周期,主要关注的是用户的入职、用户账户创办、用户
身份表记(数字证书的颁发)、用户属性更正、用户账户注销、用户
帐户归档等流程的自动化管理,这一管理流程又可称为用户生命周期管理,以以下图所示:
由于要赐予用户可信的身份表记,因此需要经过数字证书认证的方式来实现,在用户生命周期管理过程中围绕用户包括了基于帐户的生命周期和数字证书的生命周期管理的内容。
数字证书主若是与用户的主账户表记进行唯一绑定,在用户帐户的使用和属性更正过程中数字证书不需要发生任何改变,唯有在用户帐户进行注销和归档过程中,与其相般配的数字证书也同样需要进行取消和归档操作。
4.4.用户身份信息的保护
当前集中用户管理系统中对用户身份信息的保护主要以企业已存
在的AD域和LDAP作为基础数据源,集中用户管理系统作为用户
信息保护的主要入口,能够由人力资源部门的相应人员执行用户账户
的创办、更正、删除、编写、盘问、以及数字证书的发放。
AD域中
的用户信息变动经过适配器被平台感知,并自动同步到平台用户身份
信息储藏(目录服务器)中;平台的用户管理员也能够直接更正平台
中集中储藏的用户身份信息,再由平台同步到各个应用系统中。
5)集中证书管理
集中证书管理功能主若是针对用户的CA系统,包括:
a)证书申请
b)证书制作
c)证书生命周期管理(有效期、审察、颁发、取消、更新、盘问、归档)
d)证书有效性检查
集中证书管理功能集支持多种CA建设模式(自建和第三方服务)、
多RA集中管理、扩展性强等特点,从技术上及管理上以灵便的实现模式满足用户对证书集中管理的迫切需求,解决管理员对多平台进行操作及保护困难的问题。
5.1.集中证书管理功能特点
集中证书管理功能的实现就是经过集成证书注册服务(RA)和电
子密钥(USB-Key)管理功能。
a.集中制证
集中制证主要结合当地数据源中的数据为用户进行集中制证,包
括集中申请、自动审批。
经过CA的配置路径,接见指定的CA系统;CA系统签发数字
证书并返回给管理员;
管理员将证书装入UBSKey,制证成功.将数字证书发送给最后用
户。
b.证书生命周期管理
经过集中证书管理功能可实现对所制证书进行证书的生命周期管
理,主要包括:
证书的盘问、取消等,同时还可以够实现对证书有效性的检查。
证书有效性检查,可支持与CA系统的CRL(证书掉销列表)服务联动及手动导入CRL列表。
用户经过证书认证方式登录“登录门户”;
将用户的证书信息(包括证书属性、有效期等)提交到“证书管理模块”;
服务检查证书信息,若有效,将有效值返回“证书管理模块”(若无效将值返回“证书管理模块”)
“证书管理模块”将有效值返回“登录门户”,用户经过认证。
(若无效,用户登录失败);
用户经过认证,正常进入应用系统。
c.支持多种CA建设模式
d.多RA集中管理
在一个企业内,依照证书应用的需求,存在根CA下有多个子CA,
即存在多个RA。
经过平台与RA的集成,可支持与企业内的多RA
进行集成,实现单平台多RA的集中管理。
e.灵便扩展性
集中证书管理功能除了实现集中制证、证书生命周期管理功能,以及拥有多RA管理、支持用户CA系统的自建和服务模式的特点,还拥有灵便的扩展性。
可实现与RA的完满集成,经过平台实现RA的完满接收,实现证书办理、证书生命周期管理、证书审批、支持多
种申请模式、RA日志管理、密钥管理、策略管理等。
以满足更多用
户对于集中证书管理的扩展性需求。
6)集中授权管理
6.1.集中授权管理应用背景
解析一些大型机构,发现机构内部各应用系统自己授权特别完满,但是从集中管理角度看,发现大型机构中的传统授权所存在以下问
题:
a)系统权限分别:
人员的流动及职位的更正,需要更正人员的系统使用权限,而多个系统权限的分别,使管理员工作量增加,且简单带来安全漏洞。
b)应用系统的独立性:
各种应用系统都使用独立的登录方式,员工需要记忆所有应用系统的帐号、密码等,逐一登录,给工作带来
极大的困扰,特别是对工作效率影响特别大,甚至简化记忆问题,所有应用系统统一使用同样的密码,由此为黑客也许木马程序提
供机遇,而对应用系统的安全防范带来极大地威胁。
集中授权的最大特点,就是集中在一个接口对组/角色进行资源的
合理分配。
集中授权的过程,就是集中对用户(组/角色)经过何种
方式(证书/口令)使用某种资源(应用/功能)的权限的分配。
员工入职,分配一个特定的原来已经隶属于某些角色/组的身份账
户,一致入口登录,即可享有身份账户所属角色/组在中心应用系统
中的所有权限;当职位更正时,只要更正身份账户所属角色/组,则
所享有的权限也相应变化,而对应的应用系统资源的账户和权限不受
任何影响,而且应用系统的安全性获得了极大提高,不会由于对应的
业务系统由于没有中止用户应用权限而受到安全风险。
经过集中授权的管理模式,有效地障蔽了传统授权中存在的弊端,
提高了管理效率,为企业创建一个安全、便利的系统安全、可信的办
公环境。
6.2.集中授权管理对象
集中授权主若是依赖于人,由授权系统管理者依照人的组织属性、角色属性,进行对应应用系统和资源的授权分配,从保证人与应用系统之间使用权限关系,最后实现,什么样的人、组织、角色能接见哪些应用系统和资源。
集中授权还可以够依赖于应用系统为管理对象,尔后针对该应用系统给人、组织、角色授予相应接见和操作权限,最后把应用系统和人进行权限关系,合理、有效地的接见控制策略,保证了什么样的应用系统和资源,能让怎样的人、组织、角色进行接见。
组:
包括依照组织架构或特定功能划分的部门、工作组及个人用户。
经过以上两种方模式,能够对企业内部的人员、应用系统和资源
进行合理的管理和控制,有效地解决企业内部信息资源的权限管理,最后实现,正确的人做正确的事情,而非授权人员不得进入企业内部任何系统,从而保证企业应用系统数据的安全,保护企业的财富。
在集中授权管理系统系统中需要明确以下看法:
角色定义,主若是基于用户组角色和应用系统角进行角色定义。
基于用户组的角色定义可理解为在组织结构下定义用户角色,比方在
技术部门下定义产品工程师角色。
目标是在今后授权模式中经过对产
品工程师角色授权,而包括产品工程师的角色就会一次性获得授权,
这样方便管理,同时也是简化了授权的操作。
基于应用系统定义角色,
即依照该应用系统下的用户职能进行定义。
比方,针对OA应用系统
和结合人力资源架构定义“总监”,那么依照OA系统给总监的工作
操作权限,那么今后授权中,只要存在应用系统对总监所具备的功能,
经过系统授权后均能够依照总监的角色进行应用接见。
资源定义,主若是应用系统下具备的每一功能模块,所有的功能模块统称为资源。
资源的定义主若是方便人员、组织、角色授权时候的对象指定,最后经过授权实现,什么样的人员、组织、角色能接见应用系统的那些功能。
也就是中细粒度授权所需要的涉及的内容。
6.3.集中授权管理原理
6.4.集中授权管理模式
a)基于组/角色的接见授权:
对于属于某一组/角色的用户,管理员能够为其授权于可接见
的应用系统和资源(应用系统的功能)。
授权后组内的所有成员均
具备该组编写、查察、分配的权限。
b)基于应用系统和资源的授权:
对于某一选定应用(或其包括的功能、功能组),管理员能够授权
为其指派接见资源(用户、组、角色)
细粒度授权:
传统意义中的粗粒度授权是以某一应用系统为标准,将应用系统那个授权于某一个人、某一机构(组织)、某一类角色;而对于应用系统下的模块无法做到授权,因此,粗粒度授权在一致相信系统中,无法做到应用系统的内部授权体系,以致简单的接见控制授权无法满足业务系统的精巧化管理,为了满足企业的认真化接见控制,需要打破传统授权模式,增加新的授权体系,即要实现细粒度的接见控制授权。
而将资源管理模块细粒度化,则是将应用模块拆分成单个的功能模块,某几个功能模块又能够组合成一个功能组,在授权时,针对某一应用模块中的功能或功能组模块进行权限分配。
6.5.角色继承
供给了角色授权模型,在角色权限分配的管理过程中,角色之间
能够实现多模式继承,即单继承、多继承、动向继承;多种模式的继
承由系统自动完成,但是当继承形成环路的时候,则继承属性自动中
断,保持独立的角色属性。
这样能够保证应用系统权限合理管控,而不会由于角色继承以致权限失去控制。
针对继承方式,以下定义:
a)单继承:
角色A继承于角色B,则A拥有B所有的权限。
b)多继承
角色A继承于角色B、角色C、角色D,则A同时拥有B、C、D所有的权限。
c)动向继承:
角色A继承于角色B、角色C、角色D,用户拥有角色A;角色B的登录方式为口令;
角色C的登录方式为口令和证书;
角色D的登录
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 统一 身份 认证 平台 讲解 实用