1、统一身份认证及访问控制技术方案1.方案概述1.1.项目背景随着信息化的迅猛发展,政府、企业、机构等不断增加基于 Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统, OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的 用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户 要 多个 户 , 用 不 ,同 于用户 而 的 费用不断上 ; 4) 实
2、现统一认证 授权,多个身份认证系统 安全 必 个在不同的系统 进 , 而造成 的进度可不上 的化; 5) 统一用户的用 ; ,对于有多个业务系统用 求的政府、企业或机构等, 要currency1 一统一的身份认证系统,以实现集“统一的身份认证, 并少整个系统的成本。 fifl系统的 的是 的用系统 集“统一的身份认证,实现一fifl、多、”用、用 “的 ,方 用户 用。1.2.系统概述针对上述 ,企业 用户 统一的信息资源认证访问 ,统一的、基于的 个性化的信息访问、集成的fifl系统。 系统如下特: fifl:用户 fifl一,可fifl系统SSO 访问 的多个用系统, 新fifl 的各个用
3、系统。 用系统的用户 可以各不相同,并 实现fifl , 用系统 。 ”用: 的currency1 , 用户 现有B/S、C/S用系统,可 用。 SSO 方案实施 的题。 多的身份认证机制:同 基于PKI/CA 证 用户 / 身份认证方 ,可 用 可合 用。 基于访问控制:用户的 URL实现访问控制。 基于Web 管理:系统 有管理都Web方 实现。网 管理 系统管理可以 在 方进 访问管理。,可以 用HTTPS安全进 管理。 全 的审: fl用户的,可 、址、用户、资源等信息对进 查询、统 。审结果Web 以图表的形 展现给管理。 双机热:双机热,高系统的可用性,满足企业级用户的 求。 集群
4、:集群, 企业 高效、可靠的SSO服务。可实现布部署, 灵活的 方案。 传输加密: 多种对称 非对称加密算 ,保证用户信息在传输“不被窃取 篡 。 防火墙:基于态检测技术, NAT。主要用于加强SSO本身的安全,适用于网 性要求不高的场合,以少投资。 布 安装:对物理上不在一个区域的网 用服务 可以进 布部署SSO系统。 用户 库 :LDAP、Oracle、DB2、Win2k ADS、Sybase等。可以缝集成现有的用系统的统一用户 库作 SSO用软件系统的用户 库。 领先的C/Sfifl 方案: 现有的用系统服务端 客户端可实现C/Sfifl系统2.总体方案 2.1.业务功能架构实施fifl
5、, 用户 一fifl可以相的规则去访问不同的用系统,高信息系统的易用性、安全性、稳定性;在 基础上进一步实现用户在异构系统不同上不同用服务 的业务系统 ,高速协同办公 企业知识管理。fifl系统够与统一权限管理系统实现 缝结合,签发合 用户的权限票,从而够 合 用户进 权限范围 的各用系统,并完成符合 权限的操作。fifl系统同 可以采用基于 证 的加密 签 技术,对用户实 集“统一的管理 身份认证,并作 各用系统的统一fifl 。fifl系统在增加系统安全性、降低管理成本方 有突出作用,不仅规避密码安全风险还 化用户认证的相用操作。用系统库 系统用户库 证 库 LDAP DB All DB
6、证 网上 受理服务 CA安全认证“心基础 施 OCSP CRL CA PMI 安全专用客户端完整信息加密道 键信息加密道 身份认证服务 门户用系统等 信息加密道 认证访问控制服务 fifl服务 身份管理服务 管理服务 智卡管理服务 安全审 服务 系统结构图说明:CA安全基础 施可以采用自方 , 可以选择第三方CA。体包含以下主要模块: 身份认证“心 存储企业用户 fl,完成对用户身份、等信息的统一管理; 授权 访问管理系统 用户的授权、currency1; 访问 的定制 管理; 用户授权信息的自动同步; 用户访问的实 监控、安全审; 身份认证服务 身份认证 用系统 安全认证服务接 ,“转认证
7、访问请求; 身份认证服务完成对用户身份的认证 的转换; 访问控制服务 用系统”件从用系统获取fifl 的用户信息; 用户fifl “,生成访问业务系统的请求,对敏感信息加密签 ; CA“心及 证 网上受理系统 用户身份认证 fifl “ 证 的签发; 用户身份认证凭证USB智密钥 的制作;2.2.技术实现方案2.2.1. 技术 理基于 证 的fifl技术, 各信息资源 本防 系统 成 一个有机的整体。在各信息资源端安装访问控制 理“ 件, 防 系统的认证服务 信, 用系统 的安全保 信息服务, 安全 。系统 图理如下:1) 每个信息资源currency1 一个访问 理,并 不同的 理curre
8、ncy1不同的 证 ,用来保证 系统服务 的安全信。2) 用户fifl“心 ,用户 的 证 认用户的身份。3) 访问一个体的信息资源 ,系统服务用访问 理对的 证 , 用户的身份信息机密 以 信 的形 传 给相的信息资源服务 。4) 信息资源服务 在接受 信 ,访问 理,进 密 证,用户身份。用户身份,进 部权限的认证。2.2.2. 统一身份认证2.2.2.1. 用户认证统一身份管理及访问控制系统用户 于各用系统,对于 证 的用户来说,用户证 的 “是 一的,对于非证 用户来说,用户 是 一的, 作 用户的统一识。如下图 :、在统一认证 ,可以从fifl认证结果“获取用户证 的或用户 ;、 不
9、同用系统的用户currency1户;、“ 用 的currency1户访问相的用系统;增加一个用系统 , 要增加用户证 或用户 与 用系统currency1户的一个系可,不会对 用系统生 fi,从而 fifl认证 不同用系统 用户 fl 用户currency1户不同的问题。fifl 安全道来保证 传输的安全。2.2.2.2. 系统接入用系统接的构如下图 :系统 种用系统接方 ,以速实现fifl: 理 ” 方 用系统 开发、 动。对于不作 动或有 currency1合的用系统,可以 用 方 接统一用户管理。 理技术:实现方 合,采用 理模块 fifl 认证服务进 证用户信息,完成用系统fifl。
10、方 :实现方 合,采用集成”件的方 与fifl 认证服务进 证用户信息,完成用系统fifl。合方 多种 , 用可实现fifl 。2.2.3. 统一权限管理统一身份管理及访问控制系统的 授权管理模如下图 :用户授权的基础是对用户的统一管理,对于在用户信息库“新的用户,自动授权或工授权方 , 用户currency1、对用系统的访问权限、用系统操作权限,完成对用户的授权。如果用户在用户信息库“被 ,则 相的授权信息 将被 。完整的用户授权 如下:、用户信息统一管理,包 用户的、用户信息 、用户 ;、权限管理系统自动获取新增或 用户信息,并 自动currency1或 认权限 用户;、用户管理可以基于整
11、用户授权适用于用户权限批 理 或接整个用户的授权;、授权信息 fl 用户 性证 或用户信息库系 库、 fl服务 “;、用户fifl 用系统, 身份认证系统检 用户的权限信息并 给用系统,满足用系统的权限要求可以进 操作,则 操作;、用户的授权信息 操作信息 被 fl “,可以形成完整的用户授权表、用户访问统表。2.2.4. 安全道 的安全道是 用 签 进 身份认证,采用 信 进 信息加密的基于SSL协 的安全道 ,实现 服务 端 客户端 的 安全机制。客户端 服务 TCP/IP 图: 用 客户端安全”件 SSL加密 服 务 服务 (Proxy) 客 户 端 TCP/IP TCP/IP SSL SSL 图: 用 安全道的主要用是在个信用 密性 可靠性,个 个 来完成: 协 :个协 协 用于客户机 服务 会的加密。 一个 客户机 服务 第一开 信 , 在一个协 本上 成一 ,选择加密算 认证方 ,并 用公钥技术来生成 密钥。 fl协 :个协 用于 换用 。用 消息被 成可管理的 块,还可以,并生一个消息认证 码 , 结果被加密并传输。接受方接受 并对 密, , 并 新合, 结果给用 协 。 协 :个协 用于 在什么 候发生 错误或个主机 的会在什么 候终止。
