1、統(tǒng)一身份認證設(shè)計方案日期：2016年2月內(nèi)容1.1整體系統(tǒng)設(shè)計51.1.1總體設(shè)計理念51.1.2平臺6概述1.1.3平臺的整體邏輯結(jié)構(gòu)71.1.4平臺8的整體部署1.2平臺功能描述81.3集中用戶管理91.3.1服務(wù)對象管理101.3.2用戶身份信息設(shè)計111.3.2.1用戶類型111.3.2.2身份信息模型111.3.2.3身份信息的存儲121.3.3用戶生命周期管理121.3.4用戶身份信息的維護131.4集中式證書管理141.4.1集中證書管理的特征141.5集中授權(quán)管理161.5.1集中授權(quán)的應(yīng)用背景161.5.2集中授權(quán)管理對象171.5.3集中授權(quán)的工作原理181.5.4集中授權(quán)

2、模式191.5.5細粒度授權(quán)191.5.6角色的繼承201.6集中認證管理211.6.1集中認證管理的特點221.6.2身份認證方法221.6.2.1用戶名/密碼認證231.6.2.2數(shù)字證書認證231.6.2.3視窗域認證241.6.2.4密碼認證241.6.2.5認證方法和安全等級241.6.3身份認證相關(guān)協(xié)議251.6.3.1 SSL協(xié)議251.6.3.2 windows域25Saml議定書261.6.4集中認證系統(tǒng)的主要功能281.6.5單點登錄291.6.5.1單點登錄技術(shù)291.6.5.2單點登錄實施流程311.7集中審計管理351.1整體系統(tǒng)設(shè)計為了加強對業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)的安全

3、控制，提高信息安全管理水平，我們設(shè)計了一個基于PKI/CA技術(shù)的統(tǒng)一身份認證服務(wù)平臺。1.1.1總體設(shè)計理念為了滿足建立全面完善的人員賬戶管理和應(yīng)用安全管控的需求，我們將按照以下設(shè)計思路設(shè)計并實現(xiàn)統(tǒng)一的身份認證服務(wù)平臺解決方案：內(nèi)部構(gòu)建基于PKI/CA技術(shù)的統(tǒng)一身份認證服務(wù)平臺，通過集中證書管理、集中賬戶管理、集中授權(quán)管理、集中認證管理和集中審計管理等應(yīng)用模塊，實現(xiàn)員工賬戶統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標。提供了現(xiàn)有的統(tǒng)一門戶系統(tǒng)。通過集成單點登錄模塊和調(diào)用統(tǒng)一身份認證平臺服務(wù)，不同的用戶可以登錄并顯示不同的內(nèi)容。用戶可以根據(jù)不同的需求定制桌面。建立統(tǒng)一的身份認證服務(wù)平

4、臺，所有應(yīng)用系統(tǒng)都可以使用具有唯一身份的數(shù)字證書登錄，具有良好的可擴展性和集成性。它提供了一個基于LDAP目錄服務(wù)的統(tǒng)一賬戶管理平臺，通過LDAP中主、從賬戶之間的映射關(guān)系，執(zhí)行應(yīng)用系統(tǒng)級的訪問控制和用戶生命周期維護管理功能。用戶證書存儲在u盤中，保證了證書和私鑰的安全性，滿足移動辦公的安全需求。平臺概述以PKI/CA技術(shù)為核心，結(jié)合國內(nèi)外先進的產(chǎn)品架構(gòu)設(shè)計，實現(xiàn)集中的用戶管理、證書管理、認證管理、授權(quán)管理和審計，為多業(yè)務(wù)系統(tǒng)提供統(tǒng)一、安全、有效的用戶身份、系統(tǒng)資源、權(quán)限策略和審計日志等配置和服務(wù)。如圖所示，統(tǒng)一信任管理平臺的組件松散耦合、相互支持、相互獨立，具體功能如下：集中用戶管理系統(tǒng)：完

5、成各系統(tǒng)用戶信息的整合，實現(xiàn)用戶生命周期的集中統(tǒng)一管理，并與各應(yīng)用系統(tǒng)建立同步機制，簡化用戶及其賬戶的管理復(fù)雜度，降低系統(tǒng)管理的安全風(fēng)險。集中式證書管理系統(tǒng)：集成證書注冊服務(wù)和電子密鑰管理功能，實現(xiàn)用戶證書申請、審批、頒發(fā)、更新和撤銷等生命周期管理功能，支持第三方電子集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問控制技術(shù)，實現(xiàn)支持多應(yīng)用系統(tǒng)的集中靈活的訪問控制和授權(quán)管理功能，提高管理效率。集中審計管理系統(tǒng)：提供用戶管理、證書管理、認證管理和授權(quán)管理的全面審計信息，支持應(yīng)用系統(tǒng)、用戶登錄和管理操作等審計管理。1.1.3平臺的整體邏輯結(jié)構(gòu)總體邏輯結(jié)構(gòu)圖如下：如圖所示，該平臺基于國際上成熟的

6、技術(shù)，如PKI基礎(chǔ)服務(wù)、加密解密服務(wù)、SAML協(xié)議等。構(gòu)建了統(tǒng)一的信任管理平臺管理系統(tǒng)。它通過網(wǎng)絡(luò)過濾器、安全代理服務(wù)器等技術(shù)，簡單快速地集成各種應(yīng)用系統(tǒng)，在保證系統(tǒng)安全的前提下，更好地實現(xiàn)業(yè)務(wù)系統(tǒng)集成和內(nèi)容集成。1.1.4平臺整體部署集中部署模式：所有模塊部署在同一臺服務(wù)器上，為企業(yè)提供統(tǒng)一的信任管理服務(wù)。該部署方法主要采用專有的定制硬件服務(wù)設(shè)備，在硬件設(shè)備中統(tǒng)一部署和安裝集中賬戶管理、集中授權(quán)管理、集中認證管理和集中審計管理等功能服務(wù)模塊，用戶賬戶的操作和管理通過連接外部服務(wù)區(qū)的從LDAP目錄服務(wù)(現(xiàn)有的AD目錄服務(wù))來完成。1.2平臺功能描述該平臺主要提供集中用戶管理、集中證書管理、集中

7、認證管理、集中授權(quán)管理和集中審計等功能。整體功能模塊如下圖所示：總體功能模塊圖1.3集中用戶管理隨著企業(yè)信息化的發(fā)展，已經(jīng)經(jīng)歷了網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和應(yīng)用系統(tǒng)建設(shè)階段，現(xiàn)在正面臨著對進入信息化環(huán)境的人員實現(xiàn)統(tǒng)一管理和安全控制的階段。隨著企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴大，在信息化加速業(yè)務(wù)發(fā)展的同時，企業(yè)信息化的規(guī)模也在迅速擴大，以滿足業(yè)務(wù)發(fā)展的需要，更多的人融入到信息環(huán)境中，這凸顯出無論是網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)還是辦公系統(tǒng)，最終的主體都將是企業(yè)的內(nèi)部和外部人員，每個人都將承擔(dān)使用、管理、授權(quán)和應(yīng)用操作的角色。因此，對人員可信身份的管理尤為重要，這將成為信息發(fā)展的重中之重。只有加強對人員

8、可信身份的管理，才能實現(xiàn)門戶的安全保護，為企業(yè)管理和業(yè)務(wù)發(fā)展營造可信的信息環(huán)境。特別是采用數(shù)字證書認證和應(yīng)用后，可以完全管理可信身份的整個過程，保證每一個操作的可信和可靠。集中用戶管理系統(tǒng)主要是整合各系統(tǒng)的用戶信息，實現(xiàn)用戶生命周期的集中統(tǒng)一管理，與各種應(yīng)用系統(tǒng)建立同步機制，簡化用戶及其賬戶的管理復(fù)雜度，降低系統(tǒng)用戶管理的安全風(fēng)險。集中用戶管理功能示意圖1.3.1服務(wù)對象管理集中式用戶管理主要為企業(yè)內(nèi)外的人員和資源管理和提供服務(wù)。特定對象可分為以下幾類：最終用戶自然人，包括自然人身份及相關(guān)信息主賬號身份唯一對應(yīng)一個自然人，一個主賬戶只能對應(yīng)一個自然人，一個自然人可以有多個主賬戶從賬號與特定角色

9、相對應(yīng)，應(yīng)用系統(tǒng)內(nèi)部的每個用戶賬戶集，以及統(tǒng)一信任管理平臺中的每個主賬戶可以有多個從賬戶，即多個身份角色(即一個日常人員在企業(yè)內(nèi)部有多套應(yīng)用系統(tǒng)賬戶)資源對象用戶是訪問資源的主要用戶，人是最重要的用戶類型：大多數(shù)業(yè)務(wù)是由人發(fā)起的，原始數(shù)據(jù)是由人輸入的，關(guān)鍵過程是由人控制的。人員可以細分為員工和外部用戶。員工是企業(yè)的員工，是平臺關(guān)注的主要用戶群體；外部用戶是指以獨立身份訪問企業(yè)應(yīng)用系統(tǒng)的一般個人客戶和企業(yè)客戶。1.3.2.2身份信息模型為所有類型的用戶身份建立統(tǒng)一的用戶身份。用戶標識是統(tǒng)一用戶管理系統(tǒng)中用于標識所有用戶身份信息的標識。用戶號與員工號或身份證號不同，因此有必要建立相應(yīng)的編碼標準。為

10、了保證用戶身份的真實性和有效性，可以使用數(shù)字證書認證來認證身份，并且唯一地對應(yīng)于用戶的身份。用戶基本信息保存了用戶最重要的信息屬性。由于人力資源等其他系統(tǒng)仍然保留著較為完整的用戶信息，有必要與這些系統(tǒng)中的信息建立交叉引用關(guān)系，因此有必要在這些系統(tǒng)中保存用戶信息的索引，便于關(guān)聯(lián)查詢?；诜稚⒎旨壒芾淼男枰?，用戶身份信息需要根據(jù)組織和崗位級別對用戶信息進行分類，便于劃分安全管理域，將用戶信息集中存儲在總部，劃分管理域。用戶認證信息管理用戶認證方法和對應(yīng)于各種認證方法的認證信息，例如用戶名/密碼和數(shù)字證書。由于用戶在每個應(yīng)用系統(tǒng)中都有自己的賬戶和相關(guān)密碼，為了保證平臺實施后原系統(tǒng)仍能按照原賬戶模式運

11、行，有必要在應(yīng)用系統(tǒng)中建立用戶標識和賬號的對比關(guān)系。授權(quán)信息是用戶使用每個系統(tǒng)的訪問策略，為用戶提供系統(tǒng)中的角色和其他屬性。身份信息在1.3.2.3的存儲為了便于對人員身份的管理，集中式用戶系統(tǒng)采用樹形結(jié)構(gòu)維護人員組織結(jié)構(gòu)，存儲方式主要采用LDAP。您可以通過企業(yè)現(xiàn)有的人事信息管理系統(tǒng)根據(jù)政策進行讀寫。目前主要支持以下數(shù)據(jù)源類型：視窗活動目錄OpenLdapIBM目錄服務(wù)器1.3.3用戶生命周期管理用戶生命周期主要關(guān)注于用戶雇傭、用戶賬戶創(chuàng)建、用戶身份識別(數(shù)字證書頒發(fā))、用戶屬性變更、用戶賬戶注銷、用戶賬戶備案等過程的自動化管理。這個管理過程也可以稱為用戶生命周期管理，如下圖所示：因為需要給

12、用戶一個可信的身份，所以需要通過數(shù)字證書認證的方式來實現(xiàn)。在用戶生命周期管理的過程中，基于賬戶的生命周期和數(shù)字證書生命周期管理的內(nèi)容都圍繞著用戶。數(shù)字證書主要與用戶的主帳戶ID唯一綁定。在用戶帳戶的使用和屬性更改期間，不需要更改數(shù)字證書。只有在用戶帳戶取消和存檔期間，匹配的數(shù)字證書也需要被撤銷和存檔。1.3.4用戶身份信息的維護目前，集中式用戶管理系統(tǒng)中用戶身份信息的維護主要以現(xiàn)有的AD域和LDAP為基礎(chǔ)數(shù)據(jù)源，集中式用戶管理系統(tǒng)是用戶信息維護的主要入口。人力資源部的相應(yīng)人員可以創(chuàng)建、修改、刪除、編輯和查詢用戶賬戶，并簽發(fā)數(shù)字證書。平臺通過適配器感知AD域中用戶信息的變化，并自動同步到平臺用戶

13、身份信息存儲器(目錄服務(wù)器)；平臺的用戶管理員也可以直接修改集中存儲在平臺中的用戶身份信息，然后平臺與每個應(yīng)用系統(tǒng)同步。1.4集中證書管理集中式證書管理功能主要針對用戶的CA系統(tǒng)，包括：1)證書申請集中式證書管理的功能集支持多種CA構(gòu)建模式(自建和第三方服務(wù))、多RA集中管理、可擴展性強等特點。它從技術(shù)和管理上滿足了用戶對集中式證書管理的迫切需求，解決了管理員難以操作和維護多個平臺的問題。1.4.1集中證書管理的特點通過集成證書注冊服務(wù)和電子密鑰管理功能，實現(xiàn)了集中的證書管理。1)集中證書集中證書主要是將本地數(shù)據(jù)源中的數(shù)據(jù)進行組合，為用戶提供集中證書，包括集中申請和自動審批。通過認證中心配置路

14、徑訪問指定的認證中心系統(tǒng)；認證中心系統(tǒng)頒發(fā)一個數(shù)字證書并將其返回給管理員；管理員將證書加載到UBS密鑰中，證書已成功準備好。數(shù)字證書已發(fā)送給最終用戶。2)證書生命周期管理通過集中的證書管理功能，可以實現(xiàn)證書的生命周期管理，主要包括證書的查詢和撤銷，同時可以檢查證書的有效性。證書有效性檢查可以支持與認證中心系統(tǒng)的CRL服務(wù)的鏈接和CRL列表的手工導(dǎo)入。用戶通過證書認證登錄“登錄門戶”；提交用戶的證書信息(包括證書屬性、有效期等。)到“證書管理模塊”；該服務(wù)檢查證書信息，如果有效，則向“證書管理模塊”返回有效值(如果無效，則向“證書管理模塊”返回值)；“證書管理模塊”向“登錄門戶”返回有效值，用戶

15、通過身份驗證。(如果無效，用戶無法登錄)；用戶通過認證，正常進入應(yīng)用系統(tǒng)。3)支持多種認證中心建設(shè)模式4)多RA集中管理在企業(yè)中，根據(jù)證書應(yīng)用的要求，根ca下有多個子ca，即有多個RA。通過平臺與風(fēng)險評估的集成，可以支持企業(yè)內(nèi)多個風(fēng)險評估的集成，實現(xiàn)單個平臺上多個風(fēng)險評估的集中管理。5)靈活性和可擴展性集中式證書管理功能不僅實現(xiàn)了集中式證書和證書生命周期管理的功能，而且具有用戶CA系統(tǒng)的多RA管理、自主構(gòu)建和服務(wù)模式的特點，并具有靈活的可擴展性。它可以實現(xiàn)與RA的完全集成，通過平臺、證書處理、證書生命周期管理、證書審批、支持多種應(yīng)用模式、RA日志管理、密鑰管理、策略管理等實現(xiàn)對RA的完全接管。從而滿足更多用戶對集中式證書管理的可擴展性要求。1.5集中授權(quán)管理1.5.1集中授權(quán)的應(yīng)用背景通過對一些大型企業(yè)的分析，發(fā)現(xiàn)企業(yè)內(nèi)部各應(yīng)用系統(tǒng)的授權(quán)非常完善，但從集中管理的角度來看，發(fā)現(xiàn)傳統(tǒng)的大型企業(yè)授權(quán)存在以下問題：1)系統(tǒng)權(quán)限的分散：員工的流動性和職位的變動要求改變員工的系統(tǒng)訪問權(quán)限，而多個系統(tǒng)權(quán)限的分散增加了管理員的工作量，容易帶來安全漏洞。2)應(yīng)用系統(tǒng)的獨立性：各種應(yīng)用系統(tǒng)都使用獨立的登錄方式，因此員工需要記住所有應(yīng)用系統(tǒng)的賬號和密碼，并逐一登錄，給工作帶來很大的麻煩，尤其是對工作效率影響很大，甚至