1、 統(tǒng)一身份認(rèn)證設(shè)計(jì)方案目 錄1.1 系統(tǒng)總體設(shè)計(jì)41.1.1 總體設(shè)計(jì)思想41.1.2 平臺總體介紹41.1.3 平臺總體邏輯結(jié)構(gòu)61.1.4 平臺總體部署61.2 平臺功能說明71.3 集中用戶管理71.3.1 管理服務(wù)對象81.3.2 用戶身份信息設(shè)計(jì)91.3.2.1 用戶類型91.3.2.2 身份信息模型101.3.2.3 身份信息的存儲111.3.3 用戶生命周期管理111.3.4 用戶身份信息的維護(hù)121.4 集中證書管理121.4.1 集中證書管理功能特點(diǎn)121.5 集中授權(quán)管理141.5.1 集中授權(quán)應(yīng)用背景141.5.2 集中授權(quán)管理對象151.5.3 集中授權(quán)的工作原理161

2、.5.4 集中授權(quán)模式161.5.5 細(xì)粒度授權(quán)171.5.6 角色的繼承171.6 集中認(rèn)證管理191.6.1 集中認(rèn)證管理特點(diǎn)191.6.2 身份認(rèn)證方式201.6.2.1 用戶名/口令認(rèn)證201.6.2.2 數(shù)字證書認(rèn)證201.6.2.3 Windows域認(rèn)證211.6.2.4 通行碼認(rèn)證211.6.2.5 認(rèn)證方式與安全等級221.6.3 身份認(rèn)證相關(guān)協(xié)議221.6.3.1 SSL協(xié)議221.6.3.2 Windows 域221.6.3.3 SAML協(xié)議231.6.4 集中認(rèn)證系統(tǒng)主要功能251.6.5 單點(diǎn)登錄251.6.5.1 單點(diǎn)登錄技術(shù)251.6.5.2 單點(diǎn)登錄實(shí)現(xiàn)流程281

3、.7 集中審計(jì)管理3131 / 311.1 系統(tǒng)總體設(shè)計(jì)為了加強(qiáng)對業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)的安全管控，提高信息化安全管理水平，我們設(shè)計(jì)了基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺。1.1.1 總體設(shè)計(jì)思想為實(shí)現(xiàn)構(gòu)建針對人員管理層面和應(yīng)用層面的、全面完善的安全管控需要，我們將按照如下設(shè)計(jì)思想為設(shè)計(jì)并實(shí)施統(tǒng)一身份認(rèn)證服務(wù)平臺解決方案：在部建設(shè)基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺，通過集中證書管理、集中賬戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計(jì)管理等應(yīng)用模塊實(shí)現(xiàn)所提出的員工統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標(biāo)。提供現(xiàn)有統(tǒng)一門戶系統(tǒng)，通過集成單點(diǎn)登錄模塊和調(diào)

4、用統(tǒng)一身份認(rèn)證平臺服務(wù)，實(shí)現(xiàn)針對不同的用戶登錄，可以展示不同的容。可以根據(jù)用戶的關(guān)注點(diǎn)不同來為用戶提供定制桌面的功能。建立統(tǒng)一身份認(rèn)證服務(wù)平臺，通過使用唯一身份標(biāo)識的數(shù)字證書即可登錄所有應(yīng)用系統(tǒng)，具有良好的擴(kuò)展性和可集成性。提供基于LDAP目錄服務(wù)的統(tǒng)一賬戶管理平臺，通過LDAP中主、從賬戶的映射關(guān)系，進(jìn)行應(yīng)用系統(tǒng)級的訪問控制和用戶生命周期維護(hù)管理功能。用戶證書保存在USB KEY中，保證證書和私鑰的安全，并滿足移動(dòng)辦公的安全需求。1.1.2 平臺總體介紹以PKI/CA技術(shù)為核心，結(jié)合國外先進(jìn)的產(chǎn)品架構(gòu)設(shè)計(jì)，實(shí)現(xiàn)集中的用戶管理、證書管理、認(rèn)證管理、授權(quán)管理和審計(jì)等功能，為多業(yè)務(wù)系統(tǒng)提供用戶身份

5、、系統(tǒng)資源、權(quán)限策略、審計(jì)日志等統(tǒng)一、安全、有效的配置和服務(wù)。如圖所示，統(tǒng)一信任管理平臺各組件之間是松耦合關(guān)系，相互支撐又相互獨(dú)立，具體功能如下：集中用戶管理系統(tǒng)：完成各系統(tǒng)的用戶信息整合，實(shí)現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡化用戶與其賬號的管理復(fù)雜度，降低系統(tǒng)管理的安全風(fēng)險(xiǎn)。集中證書管理系統(tǒng)：集成證書注冊服務(wù)（RA）和電子密鑰（USB-Key）管理功能，實(shí)現(xiàn)用戶證書申請、審批、核發(fā)、更新、吊銷等生命周期管理功能，支持第三方電子認(rèn)證服務(wù)。集中認(rèn)證管理系統(tǒng)：實(shí)現(xiàn)多業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證，支持?jǐn)?shù)字證書、動(dòng)態(tài)口令、靜態(tài)口令等多種認(rèn)證方式；為企業(yè)提供單點(diǎn)登錄服務(wù)，用戶只需要登錄

6、一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問控制技術(shù)，實(shí)現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈活的訪問控制和授權(quán)管理功能，提高管理效率。集中審計(jì)管理系統(tǒng)：提供全方位的用戶管理、證書管理、認(rèn)證管理和授權(quán)管理的審計(jì)信息，支持應(yīng)用系統(tǒng)、用戶登錄、管理操作等審計(jì)管理。1.1.3 平臺總體邏輯結(jié)構(gòu)總體邏輯結(jié)構(gòu)圖如下所示：如圖所示，平臺以PKI基礎(chǔ)服務(wù)、加解密服務(wù)、SAML協(xié)議等國際成熟技術(shù)為基礎(chǔ)，架構(gòu)統(tǒng)一信任管理平臺的管理系統(tǒng)，通過WEB過濾器、安全代理服務(wù)器等技術(shù)簡單、快捷實(shí)現(xiàn)各應(yīng)用系統(tǒng)集成，在保證系統(tǒng)安全性的前提下，更好的實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)整合和容整合。1.1.4 平臺

7、總體部署集中部署方式：所有模塊部署在同一臺服務(wù)器上，為企業(yè)提供統(tǒng)一信任管理服務(wù)。部署方式主要是采用專有定制硬件服務(wù)設(shè)備，將集中管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計(jì)管理等功能服務(wù)模塊統(tǒng)一部署和安裝在該硬件設(shè)備當(dāng)中，通過連接外部服務(wù)區(qū)域當(dāng)中的從LDAP目錄服務(wù)（現(xiàn)有AD目錄服務(wù)）來完成對用戶的操作和管理。1.2 平臺功能說明平臺主要提供集中用戶管理、集中證書管理、集中認(rèn)證管理、集中授權(quán)管理和集中審計(jì)等功能，總體功能模塊如下圖所示：總體功能模塊圖1.3 集中用戶管理隨著企業(yè)整體信息化的發(fā)展，大致都經(jīng)歷了網(wǎng)絡(luò)基礎(chǔ)建設(shè)階段、應(yīng)用系統(tǒng)建設(shè)階段，目前正面臨著實(shí)現(xiàn)納入到信息化環(huán)境中人員的統(tǒng)一管理和安全控

8、制階段。隨著企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴(kuò)展，在信息化促進(jìn)業(yè)務(wù)加速發(fā)展的同時(shí)，企業(yè)信息化規(guī)模也在迅速擴(kuò)大以滿足業(yè)務(wù)的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映的事件是無論是網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè)外的人員，每一為人員承擔(dān)著使用、管理、授權(quán)、應(yīng)用操作等角色。因此對于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中之重，只有加強(qiáng)人員的可信身份管理，才能做到大門的安全防護(hù)，才能為企業(yè)的管理、業(yè)務(wù)發(fā)展構(gòu)建可信的信息化環(huán)境，特別是采用數(shù)字證書認(rèn)證和應(yīng)用后，完全可以做到全過程可信身份的管理，確保每個(gè)操作都是可信得、可信賴的。集中用戶管理系統(tǒng)主

9、要是完成各系統(tǒng)的用戶信息整合，實(shí)現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡化用戶與其賬號的管理復(fù)雜度，降低系統(tǒng)用戶管理的安全風(fēng)險(xiǎn)。集中用戶管理功能示意圖1.3.1 管理服務(wù)對象集中用戶管理主要面向企業(yè)外部的人、資源等進(jìn)行管理和提供服務(wù)，具體對象可以分為以下幾類：最終用戶自然人，包括自然人身份和相關(guān)信息主賬號與自然人唯一對應(yīng)的身份標(biāo)識，一個(gè)主賬號只能與一個(gè)自然人對應(yīng)，而一個(gè)自然人可能存在多個(gè)主賬號從賬號與具體角色對應(yīng)，每一個(gè)應(yīng)用系統(tǒng)部設(shè)置的用戶賬號，在統(tǒng)一信任管理平臺中每個(gè)主賬號可以擁有多個(gè)從，也就是多種身份角色（即一個(gè)日然人在企業(yè)部具備多套應(yīng)用系統(tǒng)賬號）資源用戶使用或管理的

10、對象，主要是指應(yīng)用系統(tǒng)與應(yīng)用系統(tǒng)下具體功能具體服務(wù)對象之間的映射對應(yīng)關(guān)系如下圖所示：用戶賬號與資源映射圖1.3.2 用戶身份信息設(shè)計(jì)1.3.2.1 用戶類型用戶是訪問資源的主體，人是最主要的用戶類型：多數(shù)的業(yè)務(wù)由人發(fā)起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人控制。人又可再分為：員工、外部用戶。員工即企業(yè)的職員，是平臺主要的關(guān)注的用戶群體；外部用戶是指以獨(dú)立身分訪問企業(yè)應(yīng)用系統(tǒng)的一般個(gè)人客戶與企業(yè)客戶。1.3.2.2 身份信息模型對各類用戶身份建立統(tǒng)一的用戶身份標(biāo)識。用戶身份標(biāo)識是統(tǒng)一用戶管理系統(tǒng)部使用的標(biāo)識，用于識別所有用戶的身份信息。用戶標(biāo)識不同于員工號或號，需要建立相應(yīng)的編碼規(guī)。為了保證用戶身

11、份的真實(shí)、有效性，可以通過數(shù)字證書認(rèn)證的方式進(jìn)行身份鑒別并與用戶身份標(biāo)識進(jìn)行唯一對應(yīng)。用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如HR中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的息的對照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢?；诜謾?quán)、分級的管理需要，用戶身份信息需要將用戶信息按照所屬機(jī)構(gòu)和崗位級別進(jìn)行分類，便于劃分安全管理域，將用戶信息集中存儲在總部，以與管理域的劃分。用戶認(rèn)證信息管理用戶的認(rèn)證方式與各種認(rèn)證方式對應(yīng)的認(rèn)證信息，如用戶名/口令，數(shù)字證書等。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號和相關(guān)口令，為了保證在平臺實(shí)施后可以使原有系統(tǒng)仍可以按照原有

12、賬號方式操作，需要建立用戶標(biāo)識與應(yīng)用系統(tǒng)中賬號的對照關(guān)系。授權(quán)信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色和其它屬性。1.3.2.3 身份信息的存儲為了方便對人員身份的管理，集中用戶系統(tǒng)采用樹形架構(gòu)來進(jìn)行人員組織架構(gòu)的維護(hù)，存儲方式主要采用LDAP?？梢酝ㄟ^企業(yè)部已有的人員信息管理系統(tǒng)當(dāng)中根據(jù)策略進(jìn)行讀寫操作，目前主要支持以下數(shù)據(jù)源類型：Windows Active Directory（AD）OpenLdapIBM Directory Server（IDS）1.3.3 用戶生命周期管理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份標(biāo)識（數(shù)字證書的頒發(fā)）、用戶屬性變更、

13、用戶賬戶注銷、用戶歸檔等流程的自動(dòng)化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示：由于要賦予用戶可信的身份標(biāo)識，所以需要通過數(shù)字證書認(rèn)證的方式來實(shí)現(xiàn)，在用戶生命周期管理過程中圍繞用戶包含了基于的生命周期和數(shù)字證書的生命周期管理的容。數(shù)字證書主要是與用戶的主賬戶標(biāo)識進(jìn)行唯一綁定，在用戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何改變，唯有在用戶進(jìn)行注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進(jìn)行吊銷和歸檔操作。1.3.4 用戶身份信息的維護(hù)目前集中用戶管理系統(tǒng)中對用戶身份信息的維護(hù)主要以企業(yè)已存在的AD域和LDAP作為基礎(chǔ)數(shù)據(jù)源，集中用戶 管理系統(tǒng)作為用戶信息維護(hù)的主要入口，可以由

14、人力資源部門的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)建、修改、刪除、編輯、查詢、以與數(shù)字證書的發(fā)放。AD域中的用戶信息變動(dòng)通過適配器被平臺感知，并自動(dòng)同步到平臺用戶身份信息存儲（目錄服務(wù)器）中；平臺的用戶管理員也可以直接修改平臺中集中存儲的用戶身份信息，再由平臺同步到各個(gè)應(yīng)用系統(tǒng)中。1.4 集中證書管理集中證書管理功能主要是針對用戶的CA系統(tǒng)，包括：1)證書申請2)證書制作3)證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸檔）4)證書有效性檢查集中證書管理功能集支持多種CA建設(shè)模式（自建和第三方服務(wù)）、多RA 集中管理、擴(kuò)展性強(qiáng)等特性，從技術(shù)上與管理上以靈活的實(shí)現(xiàn)模式滿足用戶對證書集中管理的迫切

15、需求，解決管理員對多平臺進(jìn)行操作與維護(hù)困難的問題。1.4.1 集中證書管理功能特點(diǎn)集中證書管理功能的實(shí)現(xiàn)就是通過集成證書注冊服務(wù)（RA）和電子密鑰（USB-Key）管理功能。 1)集中制證集中制證主要結(jié)合本地?cái)?shù)據(jù)源中的數(shù)據(jù)為用戶進(jìn)行集中制證，包括集中申請、自動(dòng)審批。通過CA的配置路徑，訪問指定的CA系統(tǒng)；CA系統(tǒng)簽發(fā)數(shù)字證書并返回給管理員；管理員將證書裝入U(xiǎn)BS Key,制證成功.將數(shù)字證書發(fā)送給最終用戶。2)證書生命周期管理通過集中證書管理功能可實(shí)現(xiàn)對所制證書進(jìn)行證書的生命周期管理，主要包括：證書的查詢、吊銷等，同時(shí)還可以實(shí)現(xiàn)對證書有效性的檢查。證書有效性檢查，可支持與CA系統(tǒng)的CRL（證書

16、掉銷列表）服務(wù)聯(lián)動(dòng)與手動(dòng)導(dǎo)入CRL列表。用戶通過證書認(rèn)證方式登錄 “登錄門戶”；將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模塊”；服務(wù)檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無效將值返回“證書管理模塊”）；“證書管理模塊”將有效值返回“登錄門戶”，用戶通過認(rèn)證。（若無效，用戶登錄失敗）；用戶通過認(rèn)證，正常進(jìn)入應(yīng)用系統(tǒng)。3)支持多種CA建設(shè)模式4)多RA集中管理在一個(gè)企業(yè)，根據(jù)證書應(yīng)用的需求，存在根CA下有多個(gè)子CA，即存在多個(gè)RA。通過平臺與RA的集成，可支持與企業(yè)的多RA進(jìn)行集成，實(shí)現(xiàn)單平臺多RA的集中管理。5)靈活擴(kuò)展性集中證書管理功能除了實(shí)現(xiàn)集中制證、證書生

17、命周期管理功能，以與具有多RA管理、支持用戶CA系統(tǒng)的自建和服務(wù)模式的特點(diǎn)，還具有靈活的擴(kuò)展性。可實(shí)現(xiàn)與RA的完全集成，通過平臺實(shí)現(xiàn)RA的完全接管，實(shí)現(xiàn)證書處理、證書生命周期管理、證書審批、支持多種申請模式、RA日志管理、密鑰管理、策略管理等。以滿足更多用戶對于集中證書管理的擴(kuò)展性需求。1.5 集中授權(quán)管理1.5.1 集中授權(quán)應(yīng)用背景分析一些大型企業(yè)，發(fā)現(xiàn)企業(yè)部各應(yīng)用系統(tǒng)自身授權(quán)非常完善，但是從集中管理角度看，發(fā)現(xiàn)大企業(yè)中的傳統(tǒng)授權(quán)所存在如下問題：1)系統(tǒng)權(quán)限分散：員工的流動(dòng)與職位的變更，需要更改員工的系統(tǒng)使用權(quán)限，而多個(gè)系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來安全漏洞。2)應(yīng)用系統(tǒng)的獨(dú)

18、立性：各種應(yīng)用系統(tǒng)都使用獨(dú)立的登錄方式，員工需要記憶所有應(yīng)用系統(tǒng)的、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率影響非常大，甚至簡化記憶問題，所有應(yīng)用系統(tǒng)統(tǒng)一使用一樣的密碼，由此為黑客或者木馬程序提供機(jī)會(huì)，而對應(yīng)用系統(tǒng)的安全防護(hù)帶來極威脅。集中授權(quán)的最大特點(diǎn)，就是集中在一個(gè)接口對組/角色進(jìn)行資源的合理分配。集中授權(quán)的過程，就是集中對用戶（組/角色）通過何種方式（證書/口令）使用某種資源（應(yīng)用/功能）的權(quán)限的分配。員工入職，分配一個(gè)特定的原本已經(jīng)隸屬于某些角色/組的身份賬戶，統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在公司應(yīng)用系統(tǒng)中的所有權(quán)限；當(dāng)職位變更時(shí)，只需更改身份賬戶所屬角色/

19、組，則所享有的權(quán)限也相應(yīng)變化，而對應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系統(tǒng)的安全性得到了極大提高，不會(huì)因?yàn)閷?yīng)的業(yè)務(wù)系統(tǒng)因?yàn)闆]有中止用戶應(yīng)用權(quán)限而遭受安全風(fēng)險(xiǎn)。通過集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營造一個(gè)安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。1.5.2 集中授權(quán)管理對象集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角色屬性，進(jìn)行對應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限關(guān)系，最終實(shí)現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng)和資源。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對象，然后針對該應(yīng)用系統(tǒng)給人、組織、角色授

20、予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)行權(quán)限關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進(jìn)行訪問。組：包括按照公司組織架構(gòu)或特定功能劃分的部門、工作組與個(gè)人用戶通過以上兩種方模式，可以對企業(yè)部的人員、應(yīng)用系統(tǒng)和資源進(jìn)行合理的管理和控制，有效地解決企業(yè)部信息資源的權(quán)限管理，最終實(shí)現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進(jìn)入企業(yè)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護(hù)企業(yè)的資產(chǎn)。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)行角色定義?；谟脩艚M的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部

21、門下定義產(chǎn)品工程師角色。目標(biāo)是在以后授權(quán)模式過對產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會(huì)一次性獲得授權(quán)，這樣方便管理，同時(shí)也是簡化了授權(quán)的操作。基于應(yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下的用戶職能進(jìn)行定義。比如，針對OA應(yīng)用系統(tǒng)和結(jié)合人力資源架構(gòu)定義“總監(jiān)”，那么根據(jù)OA系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只要存在應(yīng)用系統(tǒng)對總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權(quán)后均可以按照總監(jiān)的角色進(jìn)行應(yīng)用訪問。資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，所有的功能模塊統(tǒng)稱為資源。資源的定義主要是方便人員、組織、角色授權(quán)時(shí)候的對象指定，最終經(jīng)過授權(quán)實(shí)現(xiàn)，什么樣的人員、組織、角色能訪問應(yīng)用系統(tǒng)的那些功能。也

22、就是中細(xì)粒度授權(quán)所需要的涉與的容。.定義權(quán)限（某些角色/組享有系統(tǒng)應(yīng)用的哪些權(quán)限）1.5.3 集中授權(quán)的工作原理.通過口令、證書等執(zhí)行對權(quán)限的調(diào)用.通過授權(quán)管理模塊的定義，對相應(yīng)權(quán)限進(jìn)行調(diào)用.系統(tǒng)中所有應(yīng)用資源的集合授權(quán)管理模塊角色模塊組模塊資源管理模塊授權(quán)訪問控制模塊1.5.4 集中授權(quán)模式1)基于組/角色的訪問授權(quán)：對于屬于某一組/角色的用戶，管理員可以為其授權(quán)于可訪問的應(yīng)用系統(tǒng)和資源（應(yīng)用系統(tǒng)的功能）。授權(quán)后組的所有成員均具備該組編輯、查看、分配的權(quán)限。2)基于應(yīng)用系統(tǒng)和資源的授權(quán)：對于某一選定應(yīng)用（或其包含的功能、功能組），管理員可以授權(quán)為其指派訪問資源（用戶、組、角色）1.5.5 細(xì)

23、粒度授權(quán)Function1Function2Function4Function5Function 功能組功能組用戶1用戶2角色1角色2角色應(yīng)用系統(tǒng)傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個(gè)授權(quán)于某一個(gè)人、某一機(jī)構(gòu)（組織）、某一類角色；而對于應(yīng)用系統(tǒng)下的模塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無法做到應(yīng)用系統(tǒng)的部授權(quán)機(jī)制，導(dǎo)致簡單的訪問控制授權(quán)無法滿足業(yè)務(wù)系統(tǒng)的精細(xì)化管理，為了滿足企業(yè)的細(xì)致化訪問控制，需要打破傳統(tǒng)授權(quán)模式，增加新的授權(quán)機(jī)制，即要實(shí)現(xiàn)細(xì)粒度的訪問控制授權(quán)。而將資源管理模塊細(xì)粒度化，則是將應(yīng)用模塊拆分成單個(gè)的功能模塊，某幾個(gè)功能模塊又可以組合成一個(gè)功能

24、組，在授權(quán)時(shí)，針對某一應(yīng)用模塊中的功能或功能組模塊進(jìn)行權(quán)限分配。1.5.6 角色的繼承提供了角色授權(quán)模型，在角色權(quán)限分配的管理過程中，角色之間可以實(shí)現(xiàn)多模式繼承，即單繼承、多繼承、動(dòng)態(tài)繼承；多種模式的繼承由系統(tǒng)自動(dòng)完成，但是當(dāng)繼承形成環(huán)路的時(shí)候，則繼承屬性自動(dòng)中斷，保持獨(dú)立的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會(huì)因?yàn)榻巧^承導(dǎo)致權(quán)限失去控制。針對繼承方式，如下定義：1)單繼承： 角色A繼承于角色B ，則 A擁有B所有的權(quán)限。2)多繼承角色A繼承于角色B、角色C、角色D，則A同時(shí)擁有B、C、D所有的權(quán)限。3)動(dòng)態(tài)繼承：角色D角色C角色B角色A資源繼承于口令口令/證書證書登入系統(tǒng)口令證

25、書角色A角色B角色C角色A角色C角色D角色A繼承于角色B、角色C、角色D，用戶擁有角色A；角色B的登錄方式為口令；角色C的登錄方式為口令和證書；角色D的登錄方式為證書。4)循環(huán)繼承： 角色A 角色B 角色C 角色D 角色循環(huán)繼承時(shí)，系統(tǒng)部自行處理，在循環(huán)處于環(huán)路，則繼承自動(dòng)斷開。1.6 集中認(rèn)證管理集中認(rèn)證管理為企業(yè)的IT系統(tǒng)提供統(tǒng)一的身份認(rèn)證，是企業(yè)安全門戶入口，只有安全的認(rèn)證機(jī)制才可以保證企業(yè)大門不被非法人員進(jìn)入；在整個(gè)認(rèn)證系統(tǒng)中其服務(wù)的對象包括企業(yè)接入統(tǒng)一認(rèn)證平臺的所有業(yè)務(wù)系統(tǒng)、管理系統(tǒng)和應(yīng)用系統(tǒng)等，統(tǒng)一認(rèn)證系統(tǒng)能夠提供快速、高效和安全的服務(wù)，應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴(kuò)展性、高

26、可用性。1.6.1 集中認(rèn)證管理特點(diǎn)1)提供多因素認(rèn)證服務(wù)集中認(rèn)證管理可以為多個(gè)不同種類、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù)，不需要應(yīng)用系統(tǒng)獨(dú)立開發(fā)、設(shè)計(jì)認(rèn)證系統(tǒng)，為業(yè)務(wù)系統(tǒng)快速推出新的業(yè)務(wù)和服務(wù)準(zhǔn)備了基礎(chǔ)條件，集中認(rèn)證管理為這些應(yīng)用提供了統(tǒng)一的接入形式。2)提供多種認(rèn)證方式企業(yè)的不同業(yè)務(wù)系統(tǒng)的安全級別不同,使用環(huán)境不同，用戶的習(xí)慣和操作熟練程度不同，集中認(rèn)證管理可以針對這些不同的應(yīng)用特點(diǎn)提供不同的認(rèn)證手段。3)提供統(tǒng)一和多樣化的認(rèn)證策略集中認(rèn)證管理針對不同的認(rèn)證方式，提供了統(tǒng)一的策略控制，各個(gè)應(yīng)用系統(tǒng)也可以根據(jù)自身的需要進(jìn)行個(gè)性化的策略設(shè)置，根據(jù)應(yīng)用或用戶類型的需求，設(shè)置個(gè)性化的認(rèn)證策略，提高

27、應(yīng)用系統(tǒng)的分級管理安全。1.6.2 身份認(rèn)證方式集中認(rèn)證管理系統(tǒng)支持多種身份認(rèn)證方式，包括：1)用戶名/口令2)數(shù)字證書3)Windows域認(rèn)證4)通行碼集中認(rèn)證管理同時(shí)支持上述四種認(rèn)證方式，也可以根據(jù)用戶的需求對用戶登錄認(rèn)證方式進(jìn)行擴(kuò)展。下面首先分別介紹這些認(rèn)證方式，然后介紹認(rèn)證方式與安全等級。1.6.2.1 用戶名/口令認(rèn)證用戶名/口令是最傳統(tǒng)且最普遍的身份認(rèn)證方法，通常采用如下形式：當(dāng)用戶需要訪問系統(tǒng)資源時(shí)，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心。并和認(rèn)證中心保存的用戶信息進(jìn)行比對。如果驗(yàn)證通過，系統(tǒng)允許該用戶進(jìn)行隨后的訪問操作，否則拒絕用戶

28、的下一步的訪問操作。 靜態(tài)口令的優(yōu)點(diǎn)是簡單且成本低，但是如果用戶不去修改它，那么這個(gè)口令就是固定不變的、長期有效的，因此這種認(rèn)證信息的靜態(tài)性，導(dǎo)致傳統(tǒng)口令在很多情況下都有著發(fā)生口令泄密的危險(xiǎn)。在整體安全認(rèn)證中，對于瀏覽非重要資源的用戶可以采用該方法。1.6.2.2 數(shù)字證書認(rèn)證數(shù)字證書是目前最常用一種比較安全的身份認(rèn)證技術(shù)。數(shù)字證書技術(shù)是在PKI體系基礎(chǔ)上實(shí)現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認(rèn)證，還可以進(jìn)一步進(jìn)行安全加密，數(shù)字簽名等操作。依據(jù)自己多年的安全經(jīng)驗(yàn)，提供完整的數(shù)字身份認(rèn)證解決方案。數(shù)字證書的存儲方式非常靈活，數(shù)字證書可被直接存儲在計(jì)算機(jī)中，也可存儲在智能卡或USB Key中。1

29、.6.2.3 Windows域認(rèn)證Windows域是一種應(yīng)用層的用戶與權(quán)限集中管理技術(shù)。當(dāng)用戶通過Windows系列操作系統(tǒng)的登錄界面成功登錄Windows域后，就可以充分使用域的各種共享資源，同時(shí)接受Windows域?qū)τ脩粼L問權(quán)限的管理與控制。目前，很多企業(yè)、機(jī)構(gòu)和學(xué)校都使用域來管理網(wǎng)絡(luò)資源，用于控制不同身份的用戶對網(wǎng)絡(luò)應(yīng)用與共享信息的使用權(quán)限。集中認(rèn)證管理支持Windows 域登錄，對于已經(jīng)登錄到Windows 域中的用戶，不需要輸入用戶名、密碼而直接使用當(dāng)前登錄的域用戶信息進(jìn)行驗(yàn)證，如果驗(yàn)證成功則進(jìn)入，否則拒絕進(jìn)入。1.6.2.4 通行碼認(rèn)證通行碼是集中認(rèn)證管理支持的一種特有認(rèn)證方式，用

30、戶忘記其他認(rèn)證信息時(shí)，可以向管理員申請一次性使用的口令進(jìn)行身份認(rèn)證。主要滿足安全應(yīng)急服務(wù)，當(dāng)用戶安全認(rèn)證的憑證遺忘或者丟失，通過后臺管理員生成通行碼的方式，幫助用戶解決認(rèn)證登錄；通行碼具備時(shí)效性和一次性特點(diǎn)，當(dāng)使用過或者超出使用時(shí)間圍，其認(rèn)證效力自動(dòng)失效，非常強(qiáng)大的保證了系統(tǒng)的安全性和可靠性；在有效地時(shí)間段圍，能有效、快速的幫助用戶解決認(rèn)證和系統(tǒng)準(zhǔn)入的問題，為應(yīng)用提供了便利。1.6.2.5 認(rèn)證方式與安全等級每種認(rèn)證方式對應(yīng)安全等級的一個(gè)圍，安全等級的圍又是根據(jù)安全策略來界定的。認(rèn)證方式（如用戶名/口令、數(shù)字證書、Windows域等）僅僅是在認(rèn)證系統(tǒng)部來管理和控制的，身份認(rèn)證子系統(tǒng)與其他子系統(tǒng)

31、之間的信息交換都是通過認(rèn)證的安全等級來實(shí)現(xiàn)的。1.6.3 身份認(rèn)證相關(guān)協(xié)議身份認(rèn)證管理支持的身份認(rèn)證協(xié)議有：1)SSL協(xié)議。2)Windows 域認(rèn)證3)SAML協(xié)議集中認(rèn)證管理同時(shí)支持上述三種認(rèn)證協(xié)議，下面詳細(xì)介紹這些認(rèn)證協(xié)議。1.6.3.1 SSL協(xié)議SSL（Secure Socket Layer，安全套接層）協(xié)議最早由Netscape提出，是一種用于保護(hù)互聯(lián)網(wǎng)通信私密性的安全協(xié)議，現(xiàn)在已經(jīng)是該領(lǐng)域的工業(yè)標(biāo)準(zhǔn)。通過SSL協(xié)議，可以使通信不被惡意攻擊者竊聽，并且始終對服務(wù)端進(jìn)行認(rèn)證（也可以應(yīng)用可選的客戶端認(rèn)證）。 SSL可以使用RC4、DES等多種加密算法，并應(yīng)用X.509數(shù)字證書標(biāo)準(zhǔn)進(jìn)行認(rèn)

32、證，從保護(hù)機(jī)制上來講，是比較完善的。而且SSL的實(shí)現(xiàn)成本比較低，可以很容易的結(jié)合現(xiàn)有的應(yīng)用環(huán)境建立比較安全的傳輸，所以獲得了極為廣泛的應(yīng)用。基于SSL協(xié)議的身份認(rèn)證方式與用戶名/口令方式相比，最顯著的優(yōu)勢在于SSL提供雙向的身份認(rèn)證，不僅可以驗(yàn)證客戶端的身份同時(shí)也可以認(rèn)證服務(wù)器的身份。1.6.3.2 Windows 域Windows交互式登錄是我們平常常見的一種登錄認(rèn)證方式，交互式登錄包括“本地登錄”和“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄”。1)本地用戶賬號采用本地用戶賬號登錄，系統(tǒng)會(huì)通過存儲在本機(jī)SAM數(shù)據(jù)庫中的信息進(jìn)行驗(yàn)證。用本地用戶賬號登錄后，只能訪問到具有訪問權(quán)限的本地資

33、源。2)域用戶賬號 采用域用戶賬號登錄，系統(tǒng)則通過存儲在域控制器的活動(dòng)目錄中的數(shù)據(jù)進(jìn)行驗(yàn)證。如果該用戶賬號有效，則登錄后可以訪問到整個(gè)域中具有訪問權(quán)限的資源。用戶登錄域的過程即是活動(dòng)目錄認(rèn)證用戶的過程，具體過程如下: 登錄到域的驗(yàn)證過程，對于不同的驗(yàn)證協(xié)議也有不同的驗(yàn)證方法。如果域控制器是Windows NT 4.0，那么使用的是NTLM驗(yàn)證協(xié)議，其驗(yàn)證過程和“登錄到本機(jī)的過程”基本一致，唯一區(qū)別就在于驗(yàn)證賬號的工作不是在本地SAM數(shù)據(jù)庫中進(jìn)行，而是在域控制器中進(jìn)行；而對于Windows 2000和Windows 2003域控制器來說，使用的一般為更安全可靠的Kerberos V5協(xié)議。通過這

34、種協(xié)議登錄到域，向域控制器證明自己的域賬號有效，用戶需先申請?jiān)试S請求該域的TGS(Ticket-Granting Service-票據(jù)授予服務(wù))。獲準(zhǔn)之后，用戶就會(huì)為所要登錄的計(jì)算機(jī)申請一個(gè)會(huì)話票據(jù)，最后還需申請?jiān)试S進(jìn)入那臺計(jì)算機(jī)的本地系統(tǒng)服務(wù)。1.6.3.3 SAML協(xié)議2003年初，OASIS小組批準(zhǔn)了安全性斷言標(biāo)記語言（Security Assertion Markup Language，SAML）規(guī)。由于來自25家公司的55名專家參與了該規(guī)的制定。SAML 是第一個(gè)可能成為多個(gè)認(rèn)證協(xié)議的規(guī)以利用Web基礎(chǔ)結(jié)構(gòu)（在這種Web基礎(chǔ)結(jié)構(gòu)中，XML數(shù)據(jù)在TCP/IP網(wǎng)絡(luò)上通過 協(xié)議傳送）。OA

35、SIS小組開發(fā)SAML的目的是作為一種基于XML的框架，用于交換安全性信息。SAML與其它安全性方法的最大區(qū)別在于它以有關(guān)多個(gè)主體的斷言的形式來表述安全性。其它方法使用中央認(rèn)證中心來發(fā)放證書，這些證書保證了網(wǎng)絡(luò)中從一點(diǎn)到另一點(diǎn)的安全通信。利用SAML，網(wǎng)絡(luò)中的任何點(diǎn)都可以斷言它知道用戶或數(shù)據(jù)塊的身份。然后由接收應(yīng)用程序做出決定，如果它信任該斷言，則接受該用戶或數(shù)據(jù)塊。任何符合SAML的軟件然后都可以斷言對用戶或數(shù)據(jù)的認(rèn)證。對于即將出現(xiàn)的業(yè)務(wù)工作流Web服務(wù)標(biāo)準(zhǔn)（在該標(biāo)準(zhǔn)中，安全的數(shù)據(jù)需要流經(jīng)幾個(gè)系統(tǒng)才能完成對事務(wù)的處理）而言，這很重要。SAML是旨在減少構(gòu)建和操作信息系統(tǒng)（這些系統(tǒng)在許多服務(wù)提

36、供者之間相互操作）所花費(fèi)成本的眾多嘗試之一。在當(dāng)今競爭激烈且迅速發(fā)展的環(huán)境中，出現(xiàn)了通過瀏覽器和支持Web的應(yīng)用程序?yàn)橛脩籼峁┗ゲ僮餍缘钠髽I(yè)聯(lián)合。例如，旅游允許用戶不必進(jìn)行多次登錄即可預(yù)訂機(jī)票和租車。今天，一大群軟件開發(fā)人員、QA技術(shù)人員和IT經(jīng)理都需要處理復(fù)雜的和不可靠的后端系統(tǒng)，這些系統(tǒng)提供了企業(yè)之間的聯(lián)合安全性。在典型的支持Web的基礎(chǔ)結(jié)構(gòu)中，運(yùn)行業(yè)界領(lǐng)先的企業(yè)系統(tǒng)的軟件需要處理權(quán)限服務(wù)器之間的瀏覽器重定向、服務(wù)器域之間的 post命令、公鑰基礎(chǔ)結(jié)構(gòu)（public key infrastructure，PKI）加密和數(shù)字證書，以與聲明任何給定用戶或組的信任級別的相互同意（mutually

37、 agreed-upon）機(jī)制。SAML向軟件開發(fā)人員展示了如何表示用戶、標(biāo)識所需傳送的數(shù)據(jù)，并且定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過程。SAML組件關(guān)系圖如下：SAML組件關(guān)系圖1.6.4 集中認(rèn)證系統(tǒng)主要功能集中認(rèn)證系統(tǒng)的主要功能包括：支持多種認(rèn)證方式，包括用戶名/口令、數(shù)字證書、Windows域認(rèn)證和通行碼，并且為其他認(rèn)證技術(shù)留有接口；支持多種認(rèn)證協(xié)議，包括支持?jǐn)?shù)字證書認(rèn)證的SSL協(xié)議， Windows域認(rèn)證，SAML協(xié)議等；支持單點(diǎn)登錄支持會(huì)話管理管理用戶的認(rèn)證憑證信息，如數(shù)字證書等；制定身份認(rèn)證的安全策略，如定義認(rèn)證模式和安全等級等；認(rèn)證系統(tǒng)模塊管理，如對應(yīng)用認(rèn)證網(wǎng)關(guān)的管理等。1.6.5 單

38、點(diǎn)登錄單點(diǎn)登錄是集中認(rèn)證管理的主要功能，本部分從功能實(shí)現(xiàn)原理，系統(tǒng)硬件配置，單點(diǎn)登錄實(shí)現(xiàn)流程等方面進(jìn)行說明。1.6.5.1 單點(diǎn)登錄技術(shù)軟件應(yīng)用插件式網(wǎng)關(guān)（WEB攔截器技術(shù)）Web攔截器（Intercepting Web Agent）是一種基于過濾技術(shù)（Filter）的應(yīng)用防火墻。使用Web攔截器在請求到達(dá)之前來攔截請求，并在應(yīng)用外部提供認(rèn)證和授權(quán)。例如，對于沒有或有很少安全措施的應(yīng)用，必須提供合適的認(rèn)證和授權(quán)。因此，可使用攔截Web代理提供適當(dāng)?shù)谋Ｗo(hù)，而不是修改代碼或重寫Web層。Web攔截器可以安裝在Web服務(wù)器中，通過在Web服務(wù)器上攔截入站請求和執(zhí)行訪問控制策略，來對入站請求進(jìn)行認(rèn)證和

39、授權(quán)。對于本身不能實(shí)現(xiàn)安全或難以修改的應(yīng)用，通過將安全與應(yīng)用分離，提供一種理想的安全保護(hù)方法，它還可以集中管理與安全相關(guān)的組件。安全策略與其實(shí)現(xiàn)細(xì)節(jié)是在應(yīng)用外部實(shí)施的，因此可以修改，而不會(huì)影響應(yīng)用。攔截Web代理將安全邏輯與應(yīng)用邏輯分開，從而提高了可維護(hù)性。通常，攔截Web代理的實(shí)現(xiàn)制要求配置，而無需修改代碼。另外，通過將與安全相關(guān)的處理轉(zhuǎn)移到應(yīng)用之外（即服務(wù)器上），攔截Web代理還提高了應(yīng)用的性能。在Web服務(wù)器上，沒有通過認(rèn)證和授權(quán)的請求將被拒絕，因此不會(huì)占用應(yīng)用的額外周期。硬件應(yīng)用網(wǎng)關(guān)(安全代理服務(wù))使用安全服務(wù)代理（Secure Service Proxy）在應(yīng)用外提供認(rèn)證和驗(yàn)證，這是

40、通過攔截安全檢查請求，然后將其委派給合適的服務(wù)實(shí)現(xiàn)的。硬件網(wǎng)關(guān)系統(tǒng)邏輯架構(gòu)如下圖所示。應(yīng)用網(wǎng)關(guān)功能邏輯圖安全服務(wù)代理攔截來自客戶端的所有請求，確定請求服務(wù)，然后執(zhí)行服務(wù)要求的安全策略，并將請求從入站協(xié)議轉(zhuǎn)換為目標(biāo)服務(wù)要求的協(xié)議，最后將請求轉(zhuǎn)發(fā)給目標(biāo)服務(wù)。在返回路徑上，安全服務(wù)代理將結(jié)果從服務(wù)使用的協(xié)議和格式轉(zhuǎn)換為客戶要求的協(xié)議和格式。它也可以保留客戶會(huì)話中首次請求創(chuàng)建的安全上下文，供以后的請求使用?？稍谄髽I(yè)外圍配置安全服務(wù)代理提供認(rèn)證、授權(quán)和其他安全服務(wù)，為遺留的或缺少安全機(jī)制的輕量級企業(yè)服務(wù)實(shí)施安全策略。安全服務(wù)代理模式與Web攔截器模式類似，但安全服務(wù)代理模式更高級，因?yàn)樗灰笫褂没?的URL訪問控制，也不要求使用任何傳輸協(xié)議將服務(wù)請求交給任何服務(wù)。它可以在已實(shí)現(xiàn)和已部署的應(yīng)用外執(zhí)行額外安全邏輯，也可以與沒有實(shí)現(xiàn)安全的新應(yīng)用集成。硬件應(yīng)用網(wǎng)關(guān)代理工作原理瀏覽器發(fā)起 請求包數(shù)據(jù)采集模塊截獲請求包并轉(zhuǎn)發(fā)給數(shù)據(jù)解析模塊數(shù)據(jù)解析模塊解析數(shù)據(jù)包將解析后的數(shù)據(jù)包交由數(shù)據(jù)處理模塊處理處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給web appWeb app返回的數(shù)據(jù)