sso-统一身份认证及访问控制解决方案.doc

1、统一身份认证及访问控制技术方案1.方案概述1.1.项目背景随着信息化的迅猛发展，政府、企业、机构等不断增加基于 Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统， OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的 用户群，会带来以下的问题： 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度； 2)多个身份认证系统会增加整个系统的管理工作成本； 3)用户 要 多个 户 ， 用 不 ，同 于用户 而 的 费用不断上 ； 4) 实

2、现统一认证 授权，多个身份认证系统 安全 必 个在不同的系统 进 ， 而造成 的进度可不上 的化； 5) 统一用户的用 ； ，对于有多个业务系统用 求的政府、企业或机构等， 要currency1 一统一的身份认证系统，以实现集“统一的身份认证， 并少整个系统的成本。 fifl系统的 的是 的用系统 集“统一的身份认证，实现一fifl、多、”用、用 “的 ，方 用户 用。1.2.系统概述针对上述 ，企业 用户 统一的信息资源认证访问 ，统一的、基于的 个性化的信息访问、集成的fifl系统。 系统如下特： fifl：用户 fifl一，可fifl系统SSO 访问 的多个用系统， 新fifl 的各个用

3、系统。 用系统的用户 可以各不相同，并 实现fifl ， 用系统 。 ”用： 的currency1 ， 用户 现有B/S、C/S用系统，可 用。 SSO 方案实施 的题。 多的身份认证机制：同 基于PKI/CA 证 用户 / 身份认证方 ，可 用 可合 用。 基于访问控制：用户的 URL实现访问控制。 基于Web 管理：系统 有管理都Web方 实现。网 管理 系统管理可以 在 方进 访问管理。，可以 用HTTPS安全进 管理。 全 的审： fl用户的，可 、址、用户、资源等信息对进 查询、统 。审结果Web 以图表的形 展现给管理。 双机热：双机热，高系统的可用性，满足企业级用户的 求。 集群

4、：集群， 企业 高效、可靠的SSO服务。可实现布部署， 灵活的 方案。 传输加密： 多种对称 非对称加密算 ，保证用户信息在传输“不被窃取 篡 。 防火墙：基于态检测技术， NAT。主要用于加强SSO本身的安全，适用于网 性要求不高的场合，以少投资。 布 安装：对物理上不在一个区域的网 用服务 可以进 布部署SSO系统。 用户 库 ：LDAP、Oracle、DB2、Win2k ADS、Sybase等。可以缝集成现有的用系统的统一用户 库作 SSO用软件系统的用户 库。 领先的C/Sfifl 方案： 现有的用系统服务端 客户端可实现C/Sfifl系统2.总体方案 2.1.业务功能架构实施fifl

5、， 用户 一fifl可以相的规则去访问不同的用系统，高信息系统的易用性、安全性、稳定性；在 基础上进一步实现用户在异构系统不同上不同用服务 的业务系统 ，高速协同办公 企业知识管理。fifl系统够与统一权限管理系统实现 缝结合，签发合 用户的权限票，从而够 合 用户进 权限范围 的各用系统，并完成符合 权限的操作。fifl系统同 可以采用基于 证 的加密 签 技术，对用户实 集“统一的管理 身份认证，并作 各用系统的统一fifl 。fifl系统在增加系统安全性、降低管理成本方 有突出作用，不仅规避密码安全风险还 化用户认证的相用操作。用系统库 系统用户库 证 库 LDAP DB All DB

6、证 网上 受理服务 CA安全认证“心基础 施 OCSP CRL CA PMI 安全专用客户端完整信息加密道 键信息加密道 身份认证服务 门户用系统等 信息加密道 认证访问控制服务 fifl服务 身份管理服务 管理服务 智卡管理服务 安全审 服务 系统结构图说明：CA安全基础 施可以采用自方 ， 可以选择第三方CA。体包含以下主要模块： 身份认证“心 存储企业用户 fl，完成对用户身份、等信息的统一管理； 授权 访问管理系统 用户的授权、currency1； 访问 的定制 管理； 用户授权信息的自动同步； 用户访问的实 监控、安全审； 身份认证服务 身份认证 用系统 安全认证服务接 ，“转认证

7、访问请求； 身份认证服务完成对用户身份的认证 的转换； 访问控制服务 用系统”件从用系统获取fifl 的用户信息； 用户fifl “，生成访问业务系统的请求，对敏感信息加密签 ； CA“心及 证 网上受理系统 用户身份认证 fifl “ 证 的签发； 用户身份认证凭证USB智密钥 的制作；2.2.技术实现方案2.2.1. 技术 理基于 证 的fifl技术， 各信息资源 本防 系统 成 一个有机的整体。在各信息资源端安装访问控制 理“ 件， 防 系统的认证服务 信， 用系统 的安全保 信息服务， 安全 。系统 图理如下：1) 每个信息资源currency1 一个访问 理，并 不同的 理curre

8、ncy1不同的 证 ，用来保证 系统服务 的安全信。2) 用户fifl“心 ，用户 的 证 认用户的身份。3) 访问一个体的信息资源 ，系统服务用访问 理对的 证 , 用户的身份信息机密 以 信 的形 传 给相的信息资源服务 。4) 信息资源服务 在接受 信 ，访问 理，进 密 证，用户身份。用户身份，进 部权限的认证。2.2.2. 统一身份认证2.2.2.1. 用户认证统一身份管理及访问控制系统用户 于各用系统，对于 证 的用户来说，用户证 的 “是 一的，对于非证 用户来说，用户 是 一的， 作 用户的统一识。如下图 ：、在统一认证 ，可以从fifl认证结果“获取用户证 的或用户 ；、 不

9、同用系统的用户currency1户；、“ 用 的currency1户访问相的用系统；增加一个用系统 ， 要增加用户证 或用户 与 用系统currency1户的一个系可，不会对 用系统生 fi，从而 fifl认证 不同用系统 用户 fl 用户currency1户不同的问题。fifl 安全道来保证 传输的安全。2.2.2.2. 系统接入用系统接的构如下图 ：系统 种用系统接方 ，以速实现fifl： 理 ” 方 用系统 开发、 动。对于不作 动或有 currency1合的用系统，可以 用 方 接统一用户管理。 理技术：实现方 合，采用 理模块 fifl 认证服务进 证用户信息，完成用系统fifl。

10、方 ：实现方 合，采用集成”件的方 与fifl 认证服务进 证用户信息，完成用系统fifl。合方 多种 ， 用可实现fifl 。2.2.3. 统一权限管理统一身份管理及访问控制系统的 授权管理模如下图 ：用户授权的基础是对用户的统一管理，对于在用户信息库“新的用户，自动授权或工授权方 ， 用户currency1、对用系统的访问权限、用系统操作权限，完成对用户的授权。如果用户在用户信息库“被 ，则 相的授权信息 将被 。完整的用户授权 如下：、用户信息统一管理，包 用户的、用户信息 、用户 ；、权限管理系统自动获取新增或 用户信息，并 自动currency1或 认权限 用户；、用户管理可以基于整

11、用户授权适用于用户权限批 理 或接整个用户的授权；、授权信息 fl 用户 性证 或用户信息库系 库、 fl服务 “；、用户fifl 用系统， 身份认证系统检 用户的权限信息并 给用系统，满足用系统的权限要求可以进 操作，则 操作；、用户的授权信息 操作信息 被 fl “，可以形成完整的用户授权表、用户访问统表。2.2.4. 安全道 的安全道是 用 签 进 身份认证，采用 信 进 信息加密的基于SSL协 的安全道 ，实现 服务 端 客户端 的 安全机制。客户端 服务 TCP/IP 图： 用 客户端安全”件 SSL加密 服 务 服务 (Proxy) 客 户 端 TCP/IP TCP/IP SSL SSL 图： 用 安全道的主要用是在个信用 密性 可靠性，个 个 来完成： 协 ：个协 协 用于客户机 服务 会的加密。 一个 客户机 服务 第一开 信 ， 在一个协 本上 成一 ，选择加密算 认证方 ，并 用公钥技术来生成 密钥。 fl协 ：个协 用于 换用 。用 消息被 成可管理的 块，还可以，并生一个消息认证 码 ， 结果被加密并传输。接受方接受 并对 密， ， 并 新合， 结果给用 协 。 协 ：个协 用于 在什么 候发生 错误或个主机 的会在什么 候终止。