1. 概述
EETrust統一身份管理及訪問控制系統(UID System)是通過構建企業級用戶目錄管理,實現不同用戶羣體之間統一認證,將大量分散的信息和系統進行整合和互聯,形成整體企業的信息中心和應用中心。UID System系統使企業員工通過單一的入口安全地訪問企業內部全部信息與應用,爲員工集中獲取企業內部信息提供渠道,爲員工集中處理企業內部IT系統應用提供統一窗口。
2. 面向服務(SOA)的體系結構
2.1 系統架構
系統採用先進的面向服務的體系架構,基於PKI理論體系,提供身份認證、單點登錄、訪問授權、策略管理等相關產品,這些產品以服務的形式展現在UID系統中,用戶能方便的使用這些服務,形成企業一站式信息服務平臺。
在各功能模塊的實現和劃分上,充分考慮各個功能之間的最少耦合性,對外提供的服務接口設計中,嚴格按照面向服務思想進行設計,在內部具體實現中,採用CORBA、DCOM、J2EE體系結構,保證各個模塊的跨平臺特性。
UID面向服務關係圖
根據上圖,應用程序使用服務時,通過UID提供的服務定位器,配置相關服務接口實現,各服務之間通過服務代理,可以組合成新的服務供服務定位器調用。各服務之間相對獨立,任何一個安全功能的調整和增減,不會造成應用程序調用的修改和重複開發。
2.2 功能模塊
2.2.1 結構圖
說明:CA安全基礎設施可以採用自建方式,也可以選擇第三方CA。
具體包含以下主要功能模塊:
認證中心(AuthDB)
存儲企業用戶目錄,完成對用戶身份、角色等信息的統一管理;
授權和訪問管理系統(AAMS)
用戶的授權、角色分配;
訪問策略的定製和管理;
用戶授權信息的自動同步;
用戶訪問的實時監控、安全審計;
身份認證服務(AuthService、AuthAgent)
身份認證前置(AuthAgent)爲應用系統提供安全認證服務接口,中轉認證和訪問請求;
身份認證服務(AuthService)完成對用戶身份的認證和角色的轉換;
訪問控制服務(AccsService、UIDPlugIn)
應用系統插件(UIDPlugIn)從應用系統獲取單點登錄所需的用戶信息;
用戶單點登錄過程中,生成訪問業務系統的請求,對敏感信息加密簽名;
CA中心及數字證書網上受理系統
用戶身份認證和單點登錄過程中所需證書的簽發;
用戶身份認證憑證(USB智能密鑰)的製作;
2.2.2 系統(門戶)互訪模塊調用關係圖
說明:
1、黑色箭頭描述了員工通過A系統訪問B系統的模塊調用邏輯關係;
2、紅箭頭描述了員工通過B系統訪問A系統的模塊調用邏輯關係;
2.2.3 角色管理和認證
爲了實現門戶及相關係統的統一認證,建設統一的身份管理中心,身份管理中心集中對用戶身份進行管理。目前存在以下幾種身份管理情況:
1、 統一採用密鑰棒(CA證書)進行身份管理;
2、 完全採用用戶名+口令進行身份管理;
3、 部分用戶採用密鑰,部分用戶採用用戶名+口令。
第一種情況,有統一的身份標識,只須授權就能實現各自門戶和系統的統一認證。
第二種情況,可以在本地系統依然採用用戶名+口令認證認證,在互訪其它系統時,將所有這些用戶綁定到一個或幾個特定權限的證書角色上,實現系統之間互訪。
第三重情況,可以採用兩個登錄入口,用戶名+口令的走一個入口,有證書的走另一個入口,兩個入口不能同時被一個用戶使用,即有證書的不能用用戶名+口令登錄認證。在進行統一認證時,有證書的用戶在授權後,可以直接進行系統間訪問,沒有證書的用戶,在通過用戶名+口令認證後,綁定到特定的角色證書上實現統一認證。
2.3 統一身份憑證管理
統一身份憑證是UID實現SSO的基礎,在結構上採用統一存儲,分散管理。身份憑證在UID系統中主要選用數字證書+用戶信息,用戶名+口令+用戶信息作爲身份憑證的補充。當用戶業務系統衆多時,無論訪問哪個系統,都採用統一的認證憑證,用戶不需要記住各系統對應的用戶名和口令。
圖:UID身份管理邏輯圖
1、證書受理採用集中受理模式,所有員工的數字證書通過網上受理中心統一提交到CA中心簽發;
2、所有員工證書統一存放在CA中心LDAP數據庫中;
3、建立企業認證體系,由總認證中心和分認證中心組成;
4、總認證中心的證書庫直接採用網上受理系統的證書庫,總認證中心可負責所有員工的統一認證;
5、分認證中心的證書庫採用同步定時分發機制,從總LDAP數據庫中獲取證書信息;
6、各業務系統或門戶需要認證時,採用就近原則,到離業務系統最近的認證中心進行認證;若認證失敗,可以直接到總認證中心進行認證;
7、所有認證中心採用負載均衡技術,保證認證效率和速度;
2.4 信息資源接入UID邏輯關係圖
UID整合各種信息資源,通過標準XML語言,方便的將信息資源進行接入和使用。
圖:UID資源接入邏輯圖
3. 技術原理
3.1 數字證書身份認證原理
3.1.1 身份認證原理
數字證書身份認證系統,採用CA數字證書和數字簽名等技術進行身份識別,將代表用戶身份的數字證書和相應的私鑰存儲在密碼鑰匙(USB接口的智能卡)中,私鑰不出卡,保證了唯一性和安全性。認證時,由密碼鑰匙完成數字簽名和加密,敏感信息以密文形式在網絡中傳輸,具有更高的安全性,從而解決了網絡環境中的用戶身份認證問題。
系統簡單易用,將數字證書這一“複雜”的工具隱藏在系統後臺,使用者不需要了解安全知識就能方便使用;同時,系統支持第三方CA(例如CTCA),可爲政府、軍隊和企業提供集成的安全認證解決方案。
系統總體結構
系統各組成部分的主要功能:
客戶端的SecureKey硬件:利用UID系統能提供的智能密碼鑰匙服務,完成客戶端的數字簽名和加解密工作,它是用戶數字證書和私鑰的載體。
客戶端軟件:是UID提供的瀏覽器安全插件,和瀏覽器無縫結合,完成對SecureKey的驅動和訪問。
身份認證系統服務器:是整個認證系統的核心部分,控制所有遠程用戶對網絡和應用系統的訪問,提供全面的認證、授權和審計服務。
安全認證服務器擁有完善的自身數據安全保護功能,所有用戶數據經加密後存儲在數據庫中,並具有安全、完備的數據庫管理、備份功能;安全認證服務器擁有功能強大的圖形化管理界面,提供用戶管理、網絡服務器管理、審計管理等全部系統管理功能。安全認證服務器有五部件組成:系統認證模塊、用戶管理模塊、授權管理模塊、審計管理模塊、數據庫。
系統認證模塊
通過數字證書的校驗和對用戶數字簽名的驗證,實現對用戶身份的識別。
用戶管理模塊
具有強大的圖形管理界面,完成SecureKey的製作、刪除、恢復;完成SecureKey用戶的基本信息查詢。
授權管理模塊
完成對用戶的授權管理,控制用戶對系統資源的訪問權限。
審計管理模塊
完成日誌的查詢、對用戶的行爲進行審計。
數據庫
存儲用戶信息、Key信息、管理員信息、系統設置、運行日誌等系統信息, 其中關鍵信息(如用戶密鑰)以加密方式存儲。
3.2 統一用戶管理
統一用戶管理平臺的統一用戶管理功能主要分爲兩部分:一部分是用戶信息的導入;一部分是用戶信息的同步。
(一)用戶信息導入
平臺用戶信息可以採用手動或自動方式獲取,對於少量用戶信息的獲取,可以採用手工輸入的方式,對於大批量的用戶信息獲取則應採用自動方式。批量用戶信息導入採用預先定義的接口,從事先選定好的用戶信息最全的應用系統中或人力資源系統中或AD、LDAP中導入用戶信息。
根據預先定義好的接口,可以實現用戶信息字段的自動匹配,用戶信息自動分類,用戶角色信息匹配,用戶權限信息自動分配等功能,方便對用戶單點登錄的授權和應用系統操作權限授權。
用戶信息導入流程:
(1)、針對用戶實際情況,選擇人力資源系統或用戶信息最全面的應用系統作爲用戶信息導入源;
(2)、按照事先定義好的Web接口,向平臺導入用戶信息;
(3)、平臺會根據事先定義好的字段設置,將用戶信息完整的建立起來,管理員可在此基礎上對用戶進行分組或自動分組,便於進行單點登錄授權。
(二)用戶信息同步
用戶信息同步方式可分爲兩種:以外部信息爲主,由系統自動同步到各個應用系統的模式和以系統爲主自動同步到各個應用系統的模式。以外部信息爲主的模式適用於用戶已經建立了人力資源或類似系統的情況,用戶仍然使用人力資源系統統一管理所有用戶信息,但信息的同步由平臺自動完成;以平臺爲主的模式適用於用戶的各個應用系統分散管理用戶信息的情況,在這種模式下所有的用戶信息由平臺管理,信息的增刪改自動同步到各個應用系統。
用戶信息同步流程:
以外部信息爲主模式
(1)、根據事先定義好的Web接口,外部信息系統(通常爲人力資源系統)在進行用戶信息調整時(增加、刪除用戶和修改用戶信息),自動通過Web接口將信息發送到系統中;
(2)、系統根據發送過來的用戶調整信息,相應的在本地數據庫或目錄服務中調整用戶信息,如果用戶信息中還有證書信息,則平臺將同時完成用戶信息與用戶證書信息的關聯信息調整;
(3)、系統將調整後的用戶信息通過Web接口自動同步到各個應用系統,由各個應用完成用戶信息的調整。
以系統爲主模式
(1)、管理員通過管理界面在系統中進行用戶信息調整時(增加、刪除用戶和修改用戶信息),系統自動通過Web接口將調整後的用戶信息發送到各個應用系統中;
(2)、各個應用系統根據發送過來的用戶調整信息,相應的在本地數據庫或目錄服務中調整用戶信息。
(三)用戶信息統一管理的特點
同步的實時性——在平臺上增刪改用戶時,平臺立即同步,使應用系統即時響應用戶信息的調整;
容錯機制強——當用戶或管理員在平臺上對用戶信息進行編輯時,如系統發生故障和錯誤,平臺系統會有一個自動提示並給應用系統管理員發送郵件;
接口靈活——針對不同的應用系統類型,平臺提供相應的Web接口,並且接口規範定義清晰,可靈活擴展。
安全性——對用戶信息傳輸和儲存採用簽名和加密等安全措施。
3.3 統一權限管理
3.3.1 基本原理
用戶授權的基礎是對用戶的統一管理,對於在用戶信息庫中新註冊的用戶,通過自動授權或手工授權方式,爲用戶分配角色、對應用系統的訪問權限、應用系統操作權限,完成對用戶的授權。如果用戶在用戶信息庫中被刪除,則其相應的授權信息也將被刪除。
完整的用戶授權流程如下:
1、用戶信息統一管理,包括了用戶的註冊、用戶信息變更、用戶註銷;
2、權限管理系統自動獲取新增(或註銷)用戶信息,並根據設置自動分配(或刪除)默認權限和用戶角色;
3、用戶管理員可以基於角色調整用戶授權(適用於用戶權限批量處理)或直接調整單個用戶的授權;
4、授權信息記錄到用戶屬性證書或用戶信息庫(關係型數據庫、LDAP目錄服務)中;
5、用戶登錄到應用系統,由身份認證系統檢驗用戶的權限信息並返回給應用系統,滿足應用系統的權限要求可以進行操作,否則拒絕操作;
6、用戶的授權信息和操作信息均被記錄到日誌中,可以形成完整的用戶授權表、用戶訪問統計表。
3.3.2 授權管理
統一身份管理及訪問控制系統(UID)的典型授權管理模型如下圖所示:
3.4 單點登錄原理
基於數字證書的單點登錄技術,使各信息資源和本防護系統站成爲一個有機的整體。通過在各信息資源端安裝訪問控制代理中間件,和防護系統的認證服務器通信,利用系統提供的安全保障和信息服務,共享安全優勢。
其原理如下:
1) 每個信息資源配置一個訪問代理,併爲不同的代理分配不同的數字證書,用來保證和系統服務之間的安全通信。
2) 用戶登錄中心後,根據用戶提供的數字證書確認用戶的身份。
3) 訪問一個具體的信息資源時,系統服務用訪問代理對應的數字證書,把用戶的身份信息機密後以數字信封的形式傳遞給相應的信息資源服務器。
4) 信息資源服務器在接受到數字信封后,通過訪問代理,進行解密驗證,得到用戶身份。根據用戶身份,進行內部權限的認證。
3.4.1 唯一身份憑證
統一身份管理及訪問控制系統用戶數據獨立於各應用系統,對於數字證書的用戶來說,用戶證書的序列號平臺中是唯一的,對於非證書用戶來說,平臺用戶ID(passport)是唯一的,由其作爲平臺用戶的統一標識。如下圖所示:
(1)、在通過平臺統一認證後,可以從登錄認證結果中獲取平臺用戶證書的序列號或平臺用戶ID;
(2)、再由其映射不同應用系統的用戶賬戶;
(3)、最後用映射後的賬戶訪問相應的應用系統;
當增加一個應用系統時,只需要增加平臺用戶證書序列號或平臺用戶ID與該應用系統賬戶的一個映射關係即可,不會對其它應用系統產生任何影響,從而解決登錄認證時不同應用系統之間用戶交叉和用戶賬戶不同的問題。單點登錄過程均通過安全通道來保證數據傳輸的安全。
3.4.2 B/S應用系統接入
B/S結構應用系統用戶均採用瀏覽器登錄和訪問應用系統,因此採用統一認證門戶,在統一認證門戶登錄認證成功後,再訪問具體B/S應用應用系統。B/S應用系統接入平臺的架構如下圖所示:
UID系統提供兩種應用系統接入方式,以快速實現單點登錄:
(1)反向代理(Reverse Proxy)方式
應用系統無需開發、無需改動。對於不能作改動或沒有原廠商配合的應用系統,可以使用該方式接入統一用戶管理平臺。
反向代理技術:實現方式爲鬆耦合,採用反向代理模塊和UID的單點登錄(SSO)認證服務進行交互驗證用戶信息,完成應用系統單點登錄。
(2)Plug-in 方式
Plug-in:實現方式爲緊耦合,採用集成插件的方式與UID的單點登錄(SSO)認證服務進行交互驗證用戶信息,完成應用系統單點登錄。
緊耦合方式提供多種API,通過簡單調用即可實現單點登錄(SSO)。
對於J2EE環境,提供JAR包
對於ASP/.Net環境,提供COM組件
對於Domino環境,提供DSAPI
對於有原廠商配合開發的應用系統,可以使用該方式高效地接入UID系統中。
3.4.3 C/S應用系統接入
對於C/S應用系統的接入,實現方式是用戶在登錄系統門戶後,點擊相應的C/S應用系統圖標,然後啓用Windows的消息機制,將認證的請求發送到C/S應用服務器進行認證。認證通過後,在用戶端啓用相應的客戶端程序。
3.4.4 單點登錄特點
UID系統單點登錄功能特點如下:
提供多種環境的接口包,應用系統開發工作量小;
提供多種接入方式,系統實施靈活,接入週期較短;
認證過程中採用多種安全加密技術,保證認證信息的安全性;
單點登錄功能穩定可靠,爲多應用系統提供良好的登錄認證服務。
3.5 安全通道
UID提供的安全通道是利用數字簽名進行身份認證,採用數字信封進行信息加密的基於SSL協議的安全通道產品,實現了服務器端和客戶端嵌入式的數據安全隔離機制。
使用前
使用後
安全通道的主要用途是在兩個通信應用程序之間提供私密性和可靠性,這個過程通過3個元素來完成:
(1)握手協議:這個協議負責協商用於客戶機和服務器之間會話的加密參數。當一個SSL客戶機和服務器第一次開始通信時,它們在一個協議版本上達成一致,選擇加密算法和認證方式,並使用公鑰技術來生成共享密鑰。
(2)記錄協議:這個協議用於交換應用數據。應用程序消息被分割成可管理的數據塊,還可以壓縮,併產生一個MAC(消息認證代碼),然後結果被加密並傳輸。接受方接受數據並對它解密,校驗MAC,解壓並重新組合,把結果提供給應用程序協議。
(3)警告協議:這個協議用於標示在什麼時候發生了錯誤或兩個主機之間的會話在什麼時候終止。
3.6 業務系統訪問權限的控制
UID用戶是一個大的用戶集合,通過系統認證的用戶並不一定能訪問所有接入UID中心的業務系統。系統用戶對業務系統的訪問權限通過用戶分組和訪問控制策略進行控制。例如:
按照用戶所屬單位或部門劃分組,該組可訪問相應單位部門的業務系統;
按照用戶角色劃分組,例如:財務人員分組可以訪問財務相關的業務系統;
同時,中心用戶與業務系統映射表中設置用戶訪問權限標識,可針對單個用戶訪問某個業務的權限進行停用/啓用。