《EETrust统一身份管理及访问控制系统》由会员分享,可在线阅读,更多相关《EETrust统一身份管理及访问控制系统(18页珍藏版)》请在金锄头文库上搜索。
1、EETrust统一身份管理及访问控制系统 (UID System)1. 概述EETrust统一身份管理及访问控制系统(UID System)是通过构建企业级用户目录管理,实现不同用户群体之间统一认证,将大量分散的信息和系统进行整合和互联,形成整体企业的信息中心和应用中心。UID System系统使企业员工通过单一的入口安全地访问企业内部全部信息与应用,为员工集中获取企业内部信息提供渠道,为员工集中处理企业内部IT系统应用提供统一窗口。2. 面向服务(SOA)的体系结构2.1系统架构系统采用先进的面向服务的体系架构,基于PKI理论体系,提供身份认证、单点登录、访问授权、策略管理等相关产品,这些产
2、品以服务的形式展现在UID系统中,用户能方便的使用这些服务,形成企业一站式信息服务平台。在各功能模块的实现和划分上,充分考虑各个功能之间的最少耦合性,对外提供的服务接口设计中,严格按照面向服务思想进行设计,在内部具体实现中,采用CORBA、DCOM、J2EE体系结构,保证各个模块的跨平台特性。UID面向服务关系图根据上图,应用程序使用服务时,通过UID提供的服务定位器,配置相关服务接口实现,各服务之间通过服务代理,可以组合成新的服务供服务定位器调用。各服务之间相对独立,任何一个安全功能的调整和增减,不会造成应用程序调用的修改和重复开发。2.2 功能模块2.2.1 结构图说明:CA安全基础设施可
3、以采用自建方式,也可以选择第三方CA。具体包含以下主要功能模块: 认证中心(AuthDB)存储企业用户目录,完成对用户身份、角色等信息的统一管理; 授权和访问管理系统(AAMS)用户的授权、角色分配;访问策略的定制和管理;用户授权信息的自动同步;用户访问的实时监控、安全审计; 身份认证服务(AuthService、AuthAgent)身份认证前置(AuthAgent)为应用系统提供安全认证服务接口,中转认证和访问请求;身份认证服务(AuthService)完成对用户身份的认证和角色的转换; 访问控制服务(AccsService、UIDPlugIn)应用系统插件(UIDPlugIn)从应用系统获
4、取单点登录所需的用户信息;用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名; CA中心及数字证书网上受理系统用户身份认证和单点登录过程中所需证书的签发;用户身份认证凭证(USB智能密钥)的制作;2.2.2 系统(门户)互访模块调用关系图说明:1、黑色箭头描述了员工通过A系统访问B系统的模块调用逻辑关系;2、红箭头描述了员工通过B系统访问A系统的模块调用逻辑关系;2.2.3 角色管理和认证为了实现门户及相关系统的统一认证,建设统一的身份管理中心,身份管理中心集中对用户身份进行管理。目前存在以下几种身份管理情况:1、 统一采用密钥棒(CA证书)进行身份管理;2、 完全采用用户名+口令
5、进行身份管理;3、 部分用户采用密钥,部分用户采用用户名+口令。第一种情况,有统一的身份标识,只须授权就能实现各自门户和系统的统一认证。第二种情况,可以在本地系统依然采用用户名+口令认证认证,在互访其它系统时,将所有这些用户绑定到一个或几个特定权限的证书角色上,实现系统之间互访。第三重情况,可以采用两个登录入口,用户名+口令的走一个入口,有证书的走另一个入口,两个入口不能同时被一个用户使用,即有证书的不能用用户名+口令登录认证。在进行统一认证时,有证书的用户在授权后,可以直接进行系统间访问,没有证书的用户,在通过用户名+口令认证后,绑定到特定的角色证书上实现统一认证。2.3 统一身份凭证管理统
6、一身份凭证是UID实现SSO的基础,在结构上采用统一存储,分散管理。身份凭证在UID系统中主要选用数字证书+用户信息,用户名+口令+用户信息作为身份凭证的补充。当用户业务系统众多时,无论访问哪个系统,都采用统一的认证凭证,用户不需要记住各系统对应的用户名和口令。图:UID身份管理逻辑图1、证书受理采用集中受理模式,所有员工的数字证书通过网上受理中心统一提交到CA中心签发;2、所有员工证书统一存放在CA中心LDAP数据库中;3、建立企业认证体系,由总认证中心和分认证中心组成;4、总认证中心的证书库直接采用网上受理系统的证书库,总认证中心可负责所有员工的统一认证;、分认证中心的证书库采用同步定时分
7、发机制,从总LDAP数据库中获取证书信息;、各业务系统或门户需要认证时,采用就近原则,到离业务系统最近的认证中心进行认证;若认证失败,可以直接到总认证中心进行认证;、所有认证中心采用负载均衡技术,保证认证效率和速度;2.4 信息资源接入UID逻辑关系图UID整合各种信息资源,通过标准XML语言,方便的将信息资源进行接入和使用。图:UID资源接入逻辑图3. 技术原理3.1 数字证书身份认证原理3.1.1 身份认证原理数字证书身份认证系统,采用CA数字证书和数字签名等技术进行身份识别,将代表用户身份的数字证书和相应的私钥存储在密码钥匙(USB接口的智能卡)中,私钥不出卡,保证了唯一性和安全性。认证
8、时,由密码钥匙完成数字签名和加密,敏感信息以密文形式在网络中传输,具有更高的安全性,从而解决了网络环境中的用户身份认证问题。系统简单易用,将数字证书这一“复杂”的工具隐藏在系统后台,使用者不需要了解安全知识就能方便使用;同时,系统支持第三方CA(例如CTCA),可为政府、军队和企业提供集成的安全认证解决方案。 系统总体结构系统各组成部分的主要功能:客户端的SecureKey硬件:利用UID系统能提供的智能密码钥匙服务,完成客户端的数字签名和加解密工作,它是用户数字证书和私钥的载体。客户端软件:是UID提供的浏览器安全插件,和浏览器无缝结合,完成对SecureKey的驱动和访问。 身份认证系统服
9、务器:是整个认证系统的核心部分,控制所有远程用户对网络和应用系统的访问,提供全面的认证、授权和审计服务。安全认证服务器拥有完善的自身数据安全保护功能,所有用户数据经加密后存储在数据库中,并具有安全、完备的数据库管理、备份功能;安全认证服务器拥有功能强大的图形化管理界面,提供用户管理、网络服务器管理、审计管理等全部系统管理功能。安全认证服务器有五部件组成:系统认证模块、用户管理模块、授权管理模块、审计管理模块、数据库。n 系统认证模块 通过数字证书的校验和对用户数字签名的验证,实现对用户身份的识别。 用户管理模块n 具有强大的图形管理界面,完成SecureKey的制作、删除、恢复;完成Secur
10、eKey用户的基本信息查询。n 授权管理模块完成对用户的授权管理,控制用户对系统资源的访问权限。 审计管理模块n完成日志的查询、对用户的行为进行审计。n 数据库 存储用户信息、Key信息、管理员信息、系统设置、运行日志等系统信息, 其中关键信息(如用户密钥)以加密方式存储。3.2 统一用户管理统一用户管理平台的统一用户管理功能主要分为两部分:一部分是用户信息的导入;一部分是用户信息的同步。(一)用户信息导入平台用户信息可以采用手动或自动方式获取,对于少量用户信息的获取,可以采用手工输入的方式,对于大批量的用户信息获取则应采用自动方式。批量用户信息导入采用预先定义的接口,从事先选定好的用户信息最
11、全的应用系统中或人力资源系统中或AD、LDAP中导入用户信息。根据预先定义好的接口,可以实现用户信息字段的自动匹配,用户信息自动分类,用户角色信息匹配,用户权限信息自动分配等功能,方便对用户单点登录的授权和应用系统操作权限授权。用户信息导入流程:(1)、针对用户实际情况,选择人力资源系统或用户信息最全面的应用系统作为用户信息导入源;(2)、按照事先定义好的Web接口,向平台导入用户信息;(3)、平台会根据事先定义好的字段设置,将用户信息完整的建立起来,管理员可在此基础上对用户进行分组或自动分组,便于进行单点登录授权。(二)用户信息同步用户信息同步方式可分为两种:以外部信息为主,由系统自动同步到
12、各个应用系统的模式和以系统为主自动同步到各个应用系统的模式。以外部信息为主的模式适用于用户已经建立了人力资源或类似系统的情况,用户仍然使用人力资源系统统一管理所有用户信息,但信息的同步由平台自动完成;以平台为主的模式适用于用户的各个应用系统分散管理用户信息的情况,在这种模式下所有的用户信息由平台管理,信息的增删改自动同步到各个应用系统。用户信息同步流程:以外部信息为主模式(1)、根据事先定义好的Web接口,外部信息系统(通常为人力资源系统)在进行用户信息调整时(增加、删除用户和修改用户信息),自动通过Web接口将信息发送到系统中;(2)、系统根据发送过来的用户调整信息,相应的在本地数据库或目录
13、服务中调整用户信息,如果用户信息中还有证书信息,则平台将同时完成用户信息与用户证书信息的关联信息调整;(3)、系统将调整后的用户信息通过Web接口自动同步到各个应用系统,由各个应用完成用户信息的调整。以系统为主模式(1)、管理员通过管理界面在系统中进行用户信息调整时(增加、删除用户和修改用户信息),系统自动通过Web接口将调整后的用户信息发送到各个应用系统中;(2)、各个应用系统根据发送过来的用户调整信息,相应的在本地数据库或目录服务中调整用户信息。(三)用户信息统一管理的特点同步的实时性在平台上增删改用户时,平台立即同步,使应用系统即时响应用户信息的调整;容错机制强当用户或管理员在平台上对用
14、户信息进行编辑时,如系统发生故障和错误,平台系统会有一个自动提示并给应用系统管理员发送邮件;接口灵活针对不同的应用系统类型,平台提供相应的Web接口,并且接口规范定义清晰,可灵活扩展。安全性对用户信息传输和储存采用签名和加密等安全措施。3.3 统一权限管理3.3.1 基本原理用户授权的基础是对用户的统一管理,对于在用户信息库中新注册的用户,通过自动授权或手工授权方式,为用户分配角色、对应用系统的访问权限、应用系统操作权限,完成对用户的授权。如果用户在用户信息库中被删除,则其相应的授权信息也将被删除。完整的用户授权流程如下:1、用户信息统一管理,包括了用户的注册、用户信息变更、用户注销;2、权限
15、管理系统自动获取新增(或注销)用户信息,并根据设置自动分配(或删除)默认权限和用户角色;3、用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权;4、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP目录服务)中;5、用户登录到应用系统,由身份认证系统检验用户的权限信息并返回给应用系统,满足应用系统的权限要求可以进行操作,否则拒绝操作;6、用户的授权信息和操作信息均被记录到日志中,可以形成完整的用户授权表、用户访问统计表。3.3.2 授权管理统一身份管理及访问控制系统(UID)的典型授权管理模型如下图所示:3.4 单点登录原理基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。其原理如下:1) 每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保证和系统服务之间的安全通信。2) 用户登录中心后,根据用户提供的数字证书确认用户的身
