安信天元多應(yīng)用系統(tǒng)單點登錄安全身份認(rèn)證系統(tǒng)解決方案(支持ECC CA認(rèn)證中心)

安信天元多應(yīng)用系統(tǒng)單點登錄安全身份認(rèn)證系統(tǒng)解決方案 支安信天元多應(yīng)用系統(tǒng)單點登錄安全身份認(rèn)證系統(tǒng)解決方案 支 持持 ECCECC CACA 認(rèn)證中心 認(rèn)證中心 1 背景分析 良好的網(wǎng)絡(luò)環(huán)境使得教育網(wǎng)絡(luò)應(yīng)用系統(tǒng)和用戶都達(dá)到了相當(dāng)?shù)囊?guī)模 大部分都建立了自己 的對外宣傳網(wǎng)站以及各業(yè)務(wù)系統(tǒng)等 網(wǎng)上教學(xué)和網(wǎng)上服務(wù) 但是 在看到信息化可喜現(xiàn)狀 的同時 經(jīng)過深入的分析 也可以發(fā)現(xiàn)不少問題 1 1 缺乏集中統(tǒng)一的用戶身份管理機(jī)制 統(tǒng)一的用戶管理與認(rèn)證是實施單點登陸的基礎(chǔ) 如果各個應(yīng)用的用戶管理不統(tǒng)一 一個用 戶在不同的系統(tǒng)中有不同的身份標(biāo)識 或多個用戶在不同的系統(tǒng)中使用相同的用戶標(biāo)識 則系統(tǒng)無法區(qū)分用戶在數(shù)字空間中的真實身份 即使將多個應(yīng)用堆積在一起 也只能是一 堆無關(guān)的鏈接 無法給用戶提供統(tǒng)一的入口和個性化的服務(wù) 因此 必須建立統(tǒng)一的用戶 管理 并采用統(tǒng)一的認(rèn)證接口 使得教育中每一個真實的用戶都在數(shù)字空間中有一個與其 對應(yīng)的身份與標(biāo)識 并且這個數(shù)字身份在各個應(yīng)用系統(tǒng)中有相同的含義 1 2 缺乏單點登錄機(jī)制 由于系統(tǒng)各異 每個系統(tǒng)都有自己個性化的登錄界面 人體工學(xué)研究表明 如果一個人在 一天的工作中輸入用戶名及口令的次數(shù)超過 25 次 那么該工作被認(rèn)為是無法忍受的 因而 對于用戶來說 在不同的系統(tǒng)中采用用戶名 口令的登錄模式 首要解決的便是統(tǒng)一認(rèn)證 的問題 也就是將不同的用戶都集中在門戶中進(jìn)行統(tǒng)一登錄 只要通過一次的登錄 便能 自動完成到其他應(yīng)用系統(tǒng)登錄 1 3 缺乏集中統(tǒng)一的日志審計機(jī)制 需要利用安全日志記錄和審計 以保證在發(fā)生安全相關(guān)問題的時候能夠做到追蹤問責(zé) 通 過對安全日志記錄的查詢和分析以及相關(guān)的審計操作找到安全問題的根源所在 安全審計 和日志的范圍可以根據(jù)教育系統(tǒng)的實際需要進(jìn)行設(shè)置 但是對于安全密切相關(guān)的用戶登錄 事件 訪問控制事件以及身份認(rèn)證 訪問控制 數(shù)據(jù)加密 數(shù)字簽名等行為安全事件等應(yīng) 該進(jìn)行安全審計操作 并記錄系統(tǒng)安全日志 目前 教育網(wǎng)中對系統(tǒng)資源的關(guān)鍵操作審計 信息也是分散的 使得管理員對于系統(tǒng)安全事件的分析和追蹤變得十分復(fù)雜 2 解決方案 2 1 系統(tǒng)概述 安信天元單點登錄系統(tǒng)是一個集中的用戶認(rèn)證管理和集成環(huán)境 可管理和分發(fā)用戶的權(quán)限 和身份 為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理服務(wù) 能夠解決上面提到的傳統(tǒng)的開發(fā)模 式的諸多弊端 首先 系統(tǒng)實現(xiàn)了統(tǒng)一的用戶身份認(rèn)證信息管理 可以實現(xiàn)用戶認(rèn)證信息的統(tǒng)一管理 避 免了在各個應(yīng)用系統(tǒng)的身份信息數(shù)據(jù)庫的數(shù)據(jù)同步更新 用戶只需要在統(tǒng)一身份認(rèn)證系統(tǒng) 中注冊或更改自己的認(rèn)證信息即可 這無疑方便了用戶使用 也保證了數(shù)據(jù)的完整性 減 少數(shù)據(jù)冗余 同時避免了各個應(yīng)用系統(tǒng)的重復(fù)開發(fā) 其次 系統(tǒng)實現(xiàn)了基于多個應(yīng)用系統(tǒng)的單點登錄 這將極大的方便用戶使用 提高系統(tǒng)的 易用性 另外 采用分布式的目錄信息樹結(jié)構(gòu) 對用戶認(rèn)證信息進(jìn)行有效組織和管理 可以提供高 效安全的目錄訪問 目錄服務(wù)是一種特殊的數(shù)據(jù)庫 可以用來保存描述性的 基于屬性的 信息 并且支持復(fù)雜的過濾搜索能力 目錄被優(yōu)化為針對大量的查找或者搜索操作進(jìn)行快 速的響應(yīng) 它們可以具有大范圍復(fù)制信息的功能 以便提高可用性和可靠性 同時縮短響 應(yīng)時間 通過實施建立單點登錄系統(tǒng)和安全防護(hù)系統(tǒng) 為用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口 建立統(tǒng)一的 基于角色的和個性化的信息訪問 集成平臺 通過實施單點登錄功能 使用 戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的應(yīng)用系統(tǒng) 提高信息系統(tǒng)的易用性 安全性 穩(wěn)定性 2 2 系統(tǒng)結(jié)構(gòu) 以下是系統(tǒng)總體架構(gòu) 安信天元單點登錄系統(tǒng)將涉及的所有應(yīng)用集成起來 給不同層次的使用者提供信息服務(wù) 采用統(tǒng)一的用戶管理和身份認(rèn)證 實現(xiàn)用戶單點登錄 single sign on SSO 用戶一次 登錄后就可以訪問數(shù)字教育的各個應(yīng)用 通過統(tǒng)一的訪問控制管理 使得系統(tǒng)展現(xiàn)用戶有 權(quán)訪問的應(yīng)用 新增的應(yīng)用也能夠自動加入到系統(tǒng)中 系統(tǒng)能夠充分保證信息系統(tǒng)中的各種資源和業(yè)務(wù)系統(tǒng)的單點登錄的實現(xiàn) 并且能夠?qū)崿F(xiàn)訪 問時的安全行為 為上層多種業(yè)務(wù)和多種設(shè)備提供統(tǒng)一的安全支撐服務(wù) 提高信息系統(tǒng)的 業(yè)務(wù)可擴(kuò)展能力 根據(jù)安全需要 可為不同用戶選擇不同安全級別的認(rèn)證方式 如普通用戶使用靜態(tài)用戶名 密碼認(rèn)證 核心用戶使用數(shù)字證書認(rèn)證 2 3 系統(tǒng)功能 從功能上看 系統(tǒng)主要包括四大邏輯組成部分 l 用戶認(rèn)證管理 1 B S 的帳號密碼認(rèn)證 2 單一應(yīng)用系統(tǒng)的基本認(rèn)證 3 多應(yīng)用系統(tǒng)間切換的認(rèn)證 2 用戶組織 管理 1 組織管理 2 用戶管理 角色管理 3 應(yīng)用系統(tǒng)管理 1 提供應(yīng)用系統(tǒng)信息 包括中文名 英文名 網(wǎng)絡(luò)地址 證書有效期 2 應(yīng)用系統(tǒng)接入身份認(rèn)證 生成服務(wù)器證書 3 添加應(yīng)用系統(tǒng)的管理員 4 設(shè)置應(yīng)用系統(tǒng)中的角色 5 設(shè)置可以訪問此應(yīng)用系統(tǒng)的用戶 組織或角色 4 系統(tǒng)管理 1 日志管理 2 訪問策略 3 系統(tǒng)備份 4 操作員管理 2 4 系統(tǒng)工作過程 管理員首先完成單點登錄管理應(yīng)用 用戶在其中注冊一個單點登錄賬號 然后針對每個應(yīng)用系統(tǒng)綁定一個該應(yīng)用系統(tǒng)中原有的 賬號 并維護(hù)這些注冊和綁定信息 綁定的過程需要單點登錄管理應(yīng)用服務(wù)器到應(yīng)用系統(tǒng) 服務(wù)器上驗證用戶提供的該應(yīng)用系統(tǒng)中原有賬號和密碼 應(yīng)用服務(wù)器均以相同的 Web Service 接口提供該功能支持 之后以用戶單點登錄管理應(yīng)用和令牌傳輸識別的標(biāo)準(zhǔn)來實 現(xiàn)用戶單點登錄流程 1 用戶訪問應(yīng)用系統(tǒng) 2 應(yīng)用系統(tǒng)如果檢查到用戶沒有在自己的服務(wù)器登錄 則將用戶請求重定向到單點登錄服 務(wù)器上 使用重定向就可以處理各服務(wù)器跨域的情況 3 單點登錄服務(wù)器檢查到用戶已經(jīng)單點登錄 如果用戶沒有單點登錄則要求用戶登錄 登 錄標(biāo)志存儲為客戶端瀏覽器的 Cookie 找到該用戶在相應(yīng)應(yīng)用系統(tǒng)上綁定的賬號 4 單點登錄服務(wù)器根據(jù)第三步的結(jié)果生成用戶令牌 重定向回應(yīng)用系統(tǒng) 5 應(yīng)用系統(tǒng)接收統(tǒng)一格式的用戶令牌 取得用戶在本系統(tǒng)上的登錄賬號 將用戶在本系統(tǒng) 上狀態(tài)置為登錄 返回用戶請求訪問的頁面 如果用戶在訪問應(yīng)用系統(tǒng)之前已經(jīng)在單點登錄服務(wù)器上登錄過 第二步到第四步對用戶來 說就是透明的 用戶感覺只是向應(yīng)用系統(tǒng)發(fā)出了訪問請求 然后得到了頁面反饋 2 5 系統(tǒng)特性 2 5 1 產(chǎn)品特點 1 真正實現(xiàn)了單點登錄 全網(wǎng)訪問 方便用戶的使用過程 2 各系統(tǒng)之間耦合度低 應(yīng)用系統(tǒng)的改造不破壞其固有流程和結(jié)構(gòu) 整個系統(tǒng)的實施過程 安全平滑 3 整合了過去分散在各應(yīng)用系統(tǒng)中雖然有內(nèi)在關(guān)聯(lián)卻難以判別的用戶信息資源 4 統(tǒng)一了應(yīng)用服務(wù)器的用戶認(rèn)證信息訪問標(biāo)準(zhǔn) 5 統(tǒng)一了令牌安全加密的傳輸和識別標(biāo)準(zhǔn) 為將來更多應(yīng)用系統(tǒng)提供了統(tǒng)一的單點登錄框 架 6 統(tǒng)一了的日志審計機(jī)制 2 5 2 方案實施后的效果 1 帶來管理上的方便 1 靈活的用戶管理 2 用戶標(biāo)識采用統(tǒng)一編碼規(guī)則 網(wǎng)內(nèi)的所有用戶都采用統(tǒng)一的編碼規(guī)則 實現(xiàn)用戶身份的 唯一標(biāo)識 3 用戶身份交換和同步 可以從用戶數(shù)據(jù)源的應(yīng)用系統(tǒng)導(dǎo)入用戶數(shù)據(jù) 也可以批量導(dǎo)出用 戶數(shù)據(jù)供其他應(yīng)用系統(tǒng)使用 并且提供數(shù)據(jù)同步機(jī)制 使得用戶數(shù)據(jù)可以自動與數(shù)據(jù)源中 的數(shù)據(jù)自動進(jìn)行必要的同步 4 身份認(rèn)證系統(tǒng)與數(shù)據(jù)中心實時聯(lián)動 用戶目前已存在數(shù)據(jù)中心 身份認(rèn)證系統(tǒng)中用戶標(biāo) 識從數(shù)據(jù)中心獲得 并能與數(shù)據(jù)中心實施聯(lián)動 5 用戶信息發(fā)布 發(fā)布用戶公開信息 6 身份管理設(shè)置方便 減少人工設(shè)置身份管理和資源權(quán)限分配策略所需人力資源 和重新 調(diào)配人力資源到更重要工作位置上 提高效率 2 帶來明顯的安全效益 1 縮短安全真空期 當(dāng)用戶離開時 他們還可能具備原來身份和訪問資源的權(quán)限 2 有效管理長期不使用帳號名單 進(jìn)行相應(yīng)處理 以防止黑客利用這些帳號進(jìn)行攻擊并節(jié) 省資源空間 3 在用戶身份和資源權(quán)限變更時自動進(jìn)行相應(yīng)調(diào)整 以降低運營風(fēng)險 4 減少人工操作進(jìn)行身份管理和資源權(quán)限分配造成的錯誤漏洞 偏私和工作量 3 方案總結(jié) 本方案結(jié)合信息網(wǎng)絡(luò)建設(shè)安全體系的具體需求 以合理的設(shè)計理念為基本原則 利用標(biāo)準(zhǔn) 先進(jìn)的主流技術(shù) 引入先進(jìn)的安全產(chǎn)品 充分滿足建設(shè)全網(wǎng)單點登陸和身份管理的安全體 系的建設(shè)目標(biāo) 達(dá)到提高全網(wǎng)安全管理水平 為全網(wǎng)應(yīng)用保駕護(hù)航的項目實施目的 1 創(chuàng)造新的教育和工作模式 單點登陸的建設(shè)不是一項單純的技術(shù)工作 而是一項人類工程 它將先進(jìn)的信息技術(shù)引入 到各項活動中去 提高工作質(zhì)量和效率 創(chuàng)造新的工作模式 完成傳統(tǒng)業(yè)務(wù)模式難以實現(xiàn) 的目標(biāo) 信息化的過程是思想 觀念 模式轉(zhuǎn)變的過程 2 解決信息化孤島問題 本方案將信息內(nèi)部的相對獨立分散的網(wǎng)絡(luò)系統(tǒng) 進(jìn)行了統(tǒng)一整合 消除了育信息化孤島問 題 有效地實現(xiàn)數(shù)據(jù)共享 消除對數(shù)據(jù)的重復(fù)管理 數(shù)據(jù)冗余以及數(shù)據(jù)不同步的問題 各個部門分別管理自己業(yè)務(wù)的相關(guān)信息 數(shù)據(jù)采集入口唯一 所有信息實現(xiàn)共享 當(dāng)某個 部門需要用到其他部門信息的時候 可以直接從網(wǎng)上獲得 這樣就避免了多部門的重復(fù)勞 動 節(jié)約了人力成本 保證了數(shù)據(jù)的標(biāo)準(zhǔn)化存儲 比如 當(dāng)其他部門要用到人事處人員信 息的時候 其數(shù)據(jù)就是直接從人事處獲取 而無需再次錄入 并且可以保證信息的同步 不會發(fā)生諸如人員信息已經(jīng)變動而其他部門很長時間還無法得知的混亂情況 3 系統(tǒng)安全設(shè)計 信息網(wǎng)是依賴于計算機(jī)和網(wǎng)絡(luò)技術(shù)而存在的 這就意味著應(yīng)用不可避免地存在著信息安全 隱患 信息系統(tǒng)的安全需要從各個方面來保障 基于本方案 為業(yè)務(wù)提供統(tǒng)一的身份認(rèn)證 和授權(quán)服務(wù) 授權(quán)服務(wù)采用了靈活的基于的訪問控制模型 通過對資源 應(yīng)用程序模塊和 方法 進(jìn)行不同粒度劃分 系統(tǒng)定義了具有不同訪問權(quán)限的角色 而用戶的權(quán)限則通過授 予相應(yīng)的角色來體現(xiàn) 系統(tǒng)還采用了統(tǒng)一集中的權(quán)限管理模型 方便了系統(tǒng)管理員的工作 4 部署簡單 快速 本方案采用安信天元公司成熟的產(chǎn)品 部署簡單 方便 實施快速 高效 5 擴(kuò)展性好 由于本方案是采用成熟產(chǎn)品進(jìn)行適當(dāng)裁減后得到的 產(chǎn)品本身除了支持設(shè)備集中管理 還 支持業(yè)務(wù)系統(tǒng) 數(shù)據(jù)庫 網(wǎng)絡(luò)設(shè)備等資源的集中管理 同時也支持 PKI PMI 的身份認(rèn)證方 式和授權(quán)管理方式 因此 如果將來需要增加對這些資源的管理和訪問控制 可以通過組 件的增加平滑實現(xiàn) 6 支持多種認(rèn)證方式 針對不同的安全性要求 身份認(rèn)證提供多級安全認(rèn)證方法 包括用戶名 口