1、專業(yè)技術(shù)資料整理統(tǒng)一身份認(rèn)證及訪問控制技術(shù)方案WORD格式可編輯專業(yè)技術(shù)資料整理WORD格式可編輯專業(yè)技術(shù)資料整理.方案概述項(xiàng)目背景隨著信息化的迅猛發(fā)展，政府、企業(yè)、機(jī)構(gòu)等斷增加基于 Internet/Intranet的業(yè)務(wù)系統(tǒng)，如各類網(wǎng)上申報(bào)系統(tǒng)，網(wǎng)上審批系統(tǒng)，OA 系 統(tǒng)等。系統(tǒng)的業(yè)務(wù)性質(zhì)，一般要求實(shí)現(xiàn)用戶管、身份認(rèn)證、授權(quán)等必可少 的安全措施；而新系統(tǒng)的涌現(xiàn)，在與已有系統(tǒng)的集成或融合上，特別是針對相同 的用戶群，會帶來以下的問題：1）如果每個(gè)系統(tǒng)開發(fā)各自的身份認(rèn)證系統(tǒng)將造成資嫄的費(fèi)， 消耗開 發(fā)成本，并延緩開發(fā)進(jìn)；2）多個(gè)身份認(rèn)證系統(tǒng)會增加整個(gè)系統(tǒng)的管工作成本；3）用戶需要記憶多個(gè)帳戶和

2、口 ，使用極為，同時(shí)由于用戶口造 忘而導(dǎo)致的支持費(fèi)用斷上漲；4）無法實(shí)現(xiàn)統(tǒng)一認(rèn)證和授權(quán)，多個(gè)身份認(rèn)證系統(tǒng)使安全策必須逐個(gè)在 同的系統(tǒng)內(nèi)進(jìn)設(shè)置，因而造成修改策的進(jìn)可能跟上策的變化；5）無法統(tǒng)一分析用戶的應(yīng)用為；因此，對于有多個(gè)業(yè)務(wù)系統(tǒng)應(yīng)用需求 的政府、企業(yè)或機(jī)構(gòu)等，需要配置一套統(tǒng)一的身份認(rèn)證系統(tǒng)，以實(shí)現(xiàn)集中統(tǒng)一的 身份認(rèn)證，并減少整個(gè)系統(tǒng)的成本。單點(diǎn)登錄系統(tǒng)的目的就是為這樣的應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證，實(shí) 現(xiàn)“一點(diǎn)登錄、多點(diǎn)漫游、即插即用、應(yīng)用無關(guān)的目標(biāo)，方用戶使用。WORD格式可編輯專業(yè)技術(shù)資料整理系統(tǒng)概述針對上述狀況，企業(yè)單位希望為用戶提供統(tǒng)一的信息資嫄認(rèn)證訪問入口， 建統(tǒng)一的、基于角色

3、的和個(gè)性化的信息訪問、集成平臺的單點(diǎn)登錄平臺系統(tǒng)。 該系統(tǒng)具備如下特點(diǎn)：單點(diǎn)登錄：用戶只需登錄一次，即可通過單點(diǎn)登錄系統(tǒng)（sso）訪問后 臺的多個(gè)應(yīng)用系統(tǒng)，無需重新登錄后臺的各個(gè)應(yīng)用系統(tǒng)。后臺應(yīng)用系統(tǒng)的用戶名 和口可以各相同，并且實(shí)現(xiàn)單點(diǎn)登錄時(shí)，后臺應(yīng)用系統(tǒng)無需任何修改。即插即用：通過簡單的配置，無須用戶修改任何現(xiàn)有B/S、C/S應(yīng)用系 統(tǒng)，即可使用。解決當(dāng)前其他 SSO解決方案實(shí)施困難的難題。多樣的身份認(rèn)證機(jī)制：同時(shí)支持基于PKI/CA數(shù)字證書和用戶名/口 身份認(rèn)證方式，可單獨(dú)使用也可組合使用。基于角色訪問控制：根據(jù)用戶的角色和URL實(shí)現(xiàn)訪問控制功能。基于Web界面管：系統(tǒng)所有管功能通過 W

4、eb方式實(shí)現(xiàn)。網(wǎng)絡(luò)管 人員和系統(tǒng)管員可以通過瀏覽器在任何地方進(jìn)遠(yuǎn)程訪問管。此外，可以使用HTTPS安全地進(jìn)管。全面的日志審計(jì)：確地記錄用戶的日志，可按日期、地址、用戶、 資嫄等信息對日志進(jìn)查詢、 統(tǒng)計(jì)和分析。審計(jì)結(jié)果通過Web界面以圖表的形式 展現(xiàn)給營員。雙機(jī)熱備：通過雙機(jī)熱備功能，提高系統(tǒng)的可用性，滿足企業(yè)級用戶 的需求。WORD格式可編輯專業(yè)技術(shù)資料整理集群：通過集群功能，為企業(yè)提供高效、可靠的SSO服務(wù)。可實(shí)現(xiàn)分 布式部署，提供靈活的解決方案。傳輸加密：支持多種對稱和非對稱加密算法，保證用戶信息在傳輸過 程中被竊取和篡改。防火墻：基于狀態(tài)檢測技術(shù)，支持NAT。主要用于加強(qiáng)SSO本身的安全

5、， 也適用于網(wǎng)絡(luò)性能要求高的場合，以減少投資。分布式安裝：對物在一個(gè)區(qū)域的網(wǎng)絡(luò)應(yīng)用服務(wù)器可以進(jìn)分布 式部署SSO系統(tǒng)。后臺用戶數(shù)據(jù)庫支持：LDAP、Oracle、DB2、Win2k ADS、Sybase 等。 可以無縫集成現(xiàn)有的應(yīng)用系統(tǒng)的統(tǒng)一用戶數(shù)據(jù)庫作為SSO應(yīng)用軟件系統(tǒng)的用戶 數(shù)據(jù)庫。領(lǐng)先的C/S單點(diǎn)登錄解決方案：無需修改任何現(xiàn)有的應(yīng)用系統(tǒng)服務(wù)端 和客戶端即可實(shí)現(xiàn)C/S單點(diǎn)登錄系統(tǒng).總體方案設(shè)計(jì)業(yè)務(wù)功能架構(gòu)通過實(shí)施單點(diǎn)登錄功能，使用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪 問同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的用性、安全性、穩(wěn)定性；在此基礎(chǔ)上進(jìn)一步實(shí)現(xiàn)用戶在異杓系統(tǒng)（同平臺上建同應(yīng)用服務(wù)器的業(yè)務(wù)系統(tǒng)

6、） ，高速 協(xié)同辦公和企業(yè)知識管功能。WORD格式可編輯專業(yè)技術(shù)資料整理單點(diǎn)登錄系統(tǒng)能夠與統(tǒng)一權(quán)限管系統(tǒng)實(shí)現(xiàn)無縫結(jié)合，簽發(fā)合法用戶的權(quán) 限票據(jù)，從而能夠使合法用戶進(jìn)入其權(quán)限范圍內(nèi)的各應(yīng)用系統(tǒng)，并完成符合其權(quán) 限的操作。單點(diǎn)登錄系統(tǒng)同時(shí)可以采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù)，對用戶 實(shí)集中統(tǒng)一的管和身份認(rèn)證， 并作為各應(yīng)用系統(tǒng)的統(tǒng)一登錄入口。單點(diǎn)登錄 系統(tǒng)在增加系統(tǒng)安全性、低管成本方面有突出作用，僅規(guī)避密碼安全風(fēng)險(xiǎn)，還簡化用戶認(rèn)證的相關(guān)應(yīng)用操作。專用客戶端安全瀏覽器門戶 應(yīng)用 系統(tǒng)CA安全認(rèn)證中心基礎(chǔ)設(shè)施身份認(rèn)證服務(wù)訪問控制服務(wù)單點(diǎn)登錄服務(wù)身份管理服務(wù)角色管理服務(wù)智能卡管理服務(wù)安全審記服務(wù)認(rèn)證

7、前置 H數(shù)字證書網(wǎng)上 受理服務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫All DB系統(tǒng)用戶 數(shù)據(jù)庫DB數(shù)字證書 望據(jù)庫,LDAPII It專用客戶端安全瀏覽器門戶 應(yīng)用 系統(tǒng)CA安全認(rèn)證中心基礎(chǔ)設(shè)施身份認(rèn)證服務(wù)訪問控制服務(wù)單點(diǎn)登錄服務(wù)身份管理服務(wù)角色管理服務(wù)智能卡管理服務(wù)安全審記服務(wù)認(rèn)證前置 H數(shù)字證書網(wǎng)上 受理服務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫All DB系統(tǒng)用戶 數(shù)據(jù)庫DB數(shù)字證書 望據(jù)庫,LDAPII It系統(tǒng)結(jié)構(gòu)圖說明：CA安全基礎(chǔ)設(shè)施可以采用自建方式，也可以選擇第三方CA。具體包含以下主要功能模塊：令身份認(rèn)證中心令 存儲企業(yè)用戶目錄，完成對用戶身份、角色等信息的統(tǒng)一管；WORD格式可編輯專業(yè)技術(shù)資料整理令授權(quán)和訪問管系統(tǒng)令用

8、戶的授權(quán)、角色分配；令訪問策的定制和管；令用戶授權(quán)信息的自動同步；令 用戶訪問的實(shí)時(shí)監(jiān)控、安全審計(jì)；令身份認(rèn)證服務(wù)令 身份認(rèn)證前置為應(yīng)用系統(tǒng)提供安全認(rèn)證服務(wù)接口，中轉(zhuǎn)認(rèn)證和訪問 請求；令 身份認(rèn)證服務(wù)完成對用戶身份的認(rèn)證和角色的轉(zhuǎn)換；令訪問控制服務(wù)令 應(yīng)用系統(tǒng)插件從應(yīng)用系統(tǒng)獲取單點(diǎn)登錄所需的用戶信息；令 用戶單點(diǎn)登錄過程中，生成訪問業(yè)務(wù)系統(tǒng)的請求，對敏感信息加密 簽名；令CA中心及數(shù)字證書網(wǎng)上受系統(tǒng)令用戶身份認(rèn)證和單點(diǎn)登錄過程中所需證書的簽發(fā)；令用戶身份認(rèn)證憑證（USB智能密鑰）的制作；WORD格式可編輯專業(yè)技術(shù)資料整理專業(yè)技術(shù)資料整理按術(shù)實(shí)現(xiàn)方案A -i技術(shù)原A -i基于數(shù)字證書的單點(diǎn)登錄技

9、術(shù)，使各信息資嫄和人防護(hù)系統(tǒng)站成為機(jī)的整體。通過在各信息資嫄端安裝訪問控制代中間件， 和防護(hù)系統(tǒng)的認(rèn)證服內(nèi)詠;問第系統(tǒng)交互圖務(wù)器通信，用系統(tǒng)提供的安全保障和信息服務(wù)，共享安全優(yōu)勢。內(nèi)詠;問第系統(tǒng)交互圖務(wù)器通信，用系統(tǒng)提供的安全保障和信息服務(wù)，共享安全優(yōu)勢。其原如下：1）每個(gè)信息資嫄配置一個(gè)訪問代，并為同的代分配同的數(shù)字證書， 用來保證和系統(tǒng)服務(wù)之間的安全通信。2）用戶登錄中心后，根據(jù)用戶提供的數(shù)字證書確認(rèn)用戶的身份。WORD格式可編輯專業(yè)技術(shù)資料整理3)訪問一個(gè)具體的信息資嫄時(shí)，系統(tǒng)服務(wù)用訪問代對應(yīng)的數(shù)字證書，把用 戶的身份信息機(jī)密后以數(shù)字信封的形式傳遞給相應(yīng)的信息資嫄服務(wù)器。4)信息資嫄服務(wù)

10、器在接受到數(shù)字信封后，通過訪問代，進(jìn)解密驗(yàn)證， 得到用戶身份。根據(jù)用戶身份，進(jìn)內(nèi)部權(quán)限的認(rèn)證。鈍一身份認(rèn)證用戶認(rèn)證統(tǒng)一身份管及訪問控制系統(tǒng)用戶數(shù)據(jù)獨(dú)于各應(yīng)用系統(tǒng)，對于數(shù)字證書 的用戶來說，用戶證書的序號平臺中是唯一的， 對于非證書用戶來說，平臺用 戶ID (passport)是唯一的，由其作為平臺用戶的統(tǒng)一標(biāo)識。如下圖所示：(1)、在通過平臺統(tǒng)一認(rèn)證后，可以從登錄認(rèn)證結(jié)果中獲取平臺用戶證書的序號或平臺用戶 ID ；(2)、再由其映射同應(yīng)用系統(tǒng)的用戶賬戶；(3)、最后用映射后的賬戶訪問相應(yīng)的應(yīng)用系統(tǒng)；WORD格式可編輯專業(yè)技術(shù)資料整理當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí)，只需要增加平臺用戶證書序號或平臺用戶 I

11、D與 該應(yīng)用系統(tǒng)賬戶的一個(gè)映射關(guān)系即可，會對其它應(yīng)用系統(tǒng)產(chǎn)生任何影響， 從而 解決登錄認(rèn)證時(shí)同應(yīng)用系統(tǒng)之間用戶交叉和用戶賬戶同的問題。 單點(diǎn)登錄過 程均通過安全通道來保證數(shù)據(jù)傳輸?shù)陌踩Ｏ到y(tǒng)接入應(yīng)用系統(tǒng)接入平臺的架構(gòu)如下圖所示：系統(tǒng)提供兩種應(yīng)用系統(tǒng)接入方式，以快速實(shí)現(xiàn)單點(diǎn)登錄：(1)反向代(Reverse Proxy)方式應(yīng)用系統(tǒng)無需開發(fā)、無需改動。對于能作改動或沒有原廠商配合的應(yīng)用系統(tǒng)，可以使用該方式接入統(tǒng)一用戶管平臺。反向代技術(shù)：實(shí)現(xiàn)方式為松耦合，采用反向代模塊和單點(diǎn)登錄（ SSO）認(rèn)證服務(wù)進(jìn)交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。WORD格式可編輯專業(yè)技術(shù)資料整理Plug-in :實(shí)現(xiàn)方

12、式為緊耦合，采用集成插件的方式與單點(diǎn)登錄（SSO）認(rèn)證服務(wù)進(jìn)交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。緊耦合方式提供多種API，通過簡單調(diào)用即可實(shí)現(xiàn)單點(diǎn)登錄（SSO）。鈍一和氣管統(tǒng)一身份管及訪問控制系統(tǒng)的典型授權(quán)管模型如下圖所示：二川口.，用戶密碼.，本Intern st上花松;utlook就料第取尸需自關(guān)釜.，焦色與恒治美宗.，甲.士里與信息集海關(guān)莢.，年口分組關(guān)急.，年片業(yè)獎(jiǎng)操作日志.，二川口.，用戶密碼.，本Intern st上花松;utlook就料第取尸需自關(guān)釜.，焦色與恒治美宗.，甲.士里與信息集海關(guān)莢.，年口分組關(guān)急.，年片業(yè)獎(jiǎng)操作日志.，羯色昔年分阻、首垣,生,士快號用戶包私廝屆甲

13、戶組目志 H巨塾忙日立.，信息點(diǎn)色機(jī)器管理,用戶授權(quán)的基礎(chǔ)是對用戶的統(tǒng)一管，對于在用戶信息庫中新注冊的用戶，用戶授權(quán)的基礎(chǔ)是對用戶的統(tǒng)一管，對于在用戶信息庫中新注冊的用戶，通過自動授權(quán)或手工授權(quán)方式，為用戶分配角色、對應(yīng)用系統(tǒng)的訪問權(quán)限、應(yīng)用WORD格式可編輯專業(yè)技術(shù)資料整理系統(tǒng)操作權(quán)限，完成對用戶的授權(quán)。如果用戶在用戶信息庫中被刪除，則其相應(yīng) 的授權(quán)信息也將被刪除。完整的用戶授權(quán)程如下：1、用戶信息統(tǒng)一管，包括用戶的注冊、用戶信息交、用戶注銷；2、權(quán)限管系統(tǒng)自動獲取新增（或注銷）用戶信息，并根據(jù)設(shè)置自動分配（或刪除）默認(rèn)權(quán)限和F用戶角色3、用戶管員可以基于角色調(diào)整用戶授權(quán)（適用于用戶權(quán)限批處

14、）或直接調(diào)整單個(gè)用戶的授權(quán)；4、授權(quán)信息記錄到用戶屬性證書或用戶信息庫（關(guān)系型數(shù)據(jù)庫、LDAP目錄服務(wù)）中；5、用戶登錄到應(yīng)用系統(tǒng)，由身份認(rèn)證系統(tǒng)檢驗(yàn)用戶的權(quán)限信息并返回給應(yīng) 用系統(tǒng)，滿足應(yīng)用系統(tǒng)的權(quán)限要求可以進(jìn)操作，否則拒絕操作；6、用戶的授權(quán)信息和操作信息均被記錄到日志中，可以形成完整的用戶授 權(quán)表、用戶訪問統(tǒng)計(jì)表。安全通道提供的安全通道是用數(shù)字簽名進(jìn)身份認(rèn)證，采用數(shù)字信封進(jìn)信息加 密的基于SSL協(xié)議的安全通道產(chǎn)品，實(shí)現(xiàn)服務(wù)器端和客戶端嵌入式的數(shù)據(jù)安全 隔離機(jī)制。r. TCP/IP務(wù)圖：使用前WORD格式可編輯專業(yè)技術(shù)資料整理客 戶 端TCP/IP客戶端 安全插 件SSL服務(wù)器 前置 (Proxy)TCP/IP月艮 務(wù) 器也SSL加密(:圖：使用后安全通道的主要用途是在兩個(gè)通信應(yīng)用程序之間提供私密性和可靠性，這個(gè) 過程通過3個(gè)元素來完成：(1)握手協(xié)議：這個(gè)協(xié)議負(fù)責(zé)協(xié)商用于客戶機(jī)和服務(wù)器之間會話的加密參 數(shù)。當(dāng)一個(gè)SSL