统一认证系统设计方案

《统一认证系统设计方案》由会员分享，可在线阅读，更多相关《统一认证系统设计方案（27页珍藏版）》请在金锄头文库上搜索。

1、基础支撑平台 第一章 统一身份认证平台一、 概述建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能：为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展

2、以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。单点登录场景如下图所示： 一次登录认证、自由访问授权范围内的服务单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用

3、户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。二、 系统技术规范单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的

4、集成复杂度和高成本而伤脑筋。Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点：(1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点登录服务；(2). 联盟的应用系统无需大量改造，不需要用户信息大集中，不影响系统原有业务逻辑与性能；(3). 以用户为中心，保护用户信息安全和隐私；(4). 支持多种、多等级的、安全的用户登录认证方式等。 支持的认证技术联盟化单点登录原理与场景图示： 同域单点登录 跨域单点登录三、 单点登录系统功能1. 单点登录(1). 支持单点登录、单点登出(2). 支持平台安全域下用户的“一点认证，全网通行”和“

5、一点登出，整体退出”。(3). 支持多个IDP/SP间的联合互信(4). 支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度决定是否联盟。(5). 支持联盟信息的管理(6). 支持IDP联盟信息的管理或配置功能。(7). 不影响正常的业务逻辑与性能。2. 支持Liberty ID-FF v1.2规范 (1). 系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准Liberty ID-FF 1.2规范；(2). 支持Liberty规范中的所有功能，包括单点登录、整体退出、账号联盟和解盟、注册名重新注册(Account Li

6、nking)、联合互信等功能；(3). 系统本身提供了一个完整的Liberty Alliance联合互信平台，以部署在各个需要通过联合互信标准集成的SP方，以加快IDP和各SP的集成；(4). 提供扩展的站点转送功能，为客户提供更符合实际应用的功能；(5). 一个IDP服务器可以同时支持一个或多个SP服务器；(6). 一个SP服务器可以同时支持一个或多个IDP服务器；(7). 系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以支持方便和灵活的应用集成；3. 支持多种、多级别认证方式(1). 支持多种认证方式，已经支持的就包括LDAP认证、JDBC认证、S

7、ecurID认证等；(2). 系统具有标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证；(3). 支持分布式认证的部署方式：即将认证界面部署在任何一个Web应用服务器上，而实现多种认证支持的统一认证服务器部署在内网中，以保证认证的安全性和扩展性；(4). 系统本身支持session的互信机制；(5). 系统支持多级别认证方式：用户名/密码认证、数字证书认证、动态口令认证，等等。通过适配器的扩展，可以支持更多的认证方式；(6). 支持多种应用场景的认证请求(7). 门户认证：支持接收自服务门户的认证（个人用户门户、S

8、P门户、运营商门户）请求；(8). 支付认证：支持支付流程中需要用到的支付安全认证请求；(9). 业务认证：支持业务流程中需要用到的用户身份认证请求；(10). 单点登录认证：支持单点登录的认证请求；(11). 支持认证方式的生命周期管理；(12). 支持认证方式的注册、修改、删除；(13). 支持认证方式状态的变更（开通、暂停、恢复、注销）；(14). 支持认证方式相关参数的配置；(15). 支持认证等级的配置。4. 认证的安全控制主要保障身份认证的安全，基本要求如下：(1). 平台用户身份认证安全控制凡是输入用户名/密码的页面均由平台提供；凡是输入用户名/密码的地方均采用HTTPS的方式进

9、行通信；(2). 第三方系统用户身份认证安全控制对于第三方系统身份识别主要依赖于第三方系统，身份识别流程应综合考虑用户体验和流程安全性，所有传送过程中都对信息进行加密操作。(3). 其它认证安全手段控制服务器与服务器之间都采用数字证书认证，保障通讯双方的安全性，防止盗链等现象的发生。5. 兼顾灵活性和通用性(1). 单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器，不需要依赖其它的应用服务器；(2). 集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括：Apache, Microsoft IIS，Sun/Netscape Web Server；Tomcat，BEA Web

10、Logic, IBM WebSphere, Sun Java System Application Server；等等。(3). 单点登录支持保护型单点登录方式（即将应用通过Agent保护起来的安全方式），也支持代理单点登录方式；(4). 支持同域或跨域的联合互信、单点登录。6. 在一台机器上运行多个服务器(1). 在一个单点登录服务器上同时运行IDP和SP服务器；(2). 在一个单点登录服务器上同时运行多个SP服务器;(3). 在一个单点登录服务器上，就可以建立起一个完整的信任圈和联盟化商业网络；(4). 在学校内部运行一个单点登录服务器，可以支持所有的Web应用系统的单点登录；(5). 电

11、信或ASP只需一个单点登录，就可以为所有的SP提供基于Liberty的Web单点登录功能；(6). 强大的管理功能，可以独立管理单点登录中的每个服务器实例，包括IDP服务器和所有的SP服务器；7. 灵活的Web管理界面(1). 同一个管理界面，管理所有的IDP和SP服务器；(2). 管理界面根据服务器的角色（IDP、SP、或者同时是IDP和SP）而自动调整管理功能；(3). 统一管理所有合作伙伴的联盟信息；(4). 提供快速建立合作和联盟关系的功能；(5). 管理一个或多个数据源，包括关系数据库和LDAP目录的数据源，同时提供数据源连接测试的功能，以保证配置无误；(6). 可以为每个服务器独立

12、配置数据源；(7). 改动服务器配置而不需要重新启动服务器，为客户提供24x7的可用时间；8. 全方位的证书管理功能(1). 提供全方位的证书和密钥管理功能，包括签名密钥和证书、SSL服务器证书、SSL客户端密钥和证书等；(2). 生成新的公钥和私钥对，支持标准的算法（RSA和DSA），支持不同长度的密钥，包括1024位、2048位、4096位等；(3). 生成自己签发的证书，支持X.509 v3的证书格式；(4). 生成和导出证书请求信息；(5). 最容易使用的证书导出和导入的功能，包括导入从证书机构接到的、和从合作伙伴接到的证书。9. 易用的元数据交换功能(1). 提供快速建立合作和联盟关

13、系的功能；采用单点登录，建立联盟关系不再是复杂的事情，只需要点击几下就可以完成的工作；(2). 全方位的元数据导出和导入的功能，加快建立联盟关系的速度和避免无谓的错误；(3). 元数据导出和导入的功能，一步到位，一次性把所有建立联盟关系的工作完成；10. 强大的机群部署功能(1). 强大的机群部署功能，管理员通过一个Web管理界面，可以管理机群中的所有服务器节点； (2). 所有服务器节点都是平等的，没有主从的概念，任何一台服务器节点都可以独立运行；(3). 所有服务器配置和SSO会话信息在机群的节点上实时同步，自动提供故障转移（Fail Over）的功能；(4). 可横向扩展的机群部署，支持

14、最严格的容错（Fault Tolerance）需求；(5). 支持基于硬件或基于软件的负载均衡器。四、 系统功能特点单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范，同时与市场同类技术相比有着以下优点：(1). 全方位支持标准Liberty ID-FF v1.2规范，支持从中型到最大型的联盟化部署，支持规范中所有功能：单点登录、整体退出、账号联盟和解盟等功能； (2). 扩展站点转送功能，为客户提供更符合实际应用的功能；(3). 支持SAML（Secure Assertion Markup Language 安全性断言标记语言）规范、XML（Extensible Marku

15、p Language 扩展性标识语言）数字签名规范、SOAP（ Simple Object Access Protocol简单对象访问协议）和Web服务协议等；(4). 支持跨域部署模式，提供跨域单点登录功能；(5). 支持多种多级登录认证机制，如用户名/密码、动态口令、等等；(6). 支持现有的用户管理系统，包括LDAP（Light Directory Access Protocol，轻量级目录访问协议）目录、数据库，等等；(7). 支持多种多级认证方式：普通口令、数字证书、动态口令、指纹识别、IC智能卡等认证方式，支持第三方认证系统、权限管理系统；(8). 系统功能强大：单点登录的设计就是要能支持多服务器合为一体的身份联盟服务器，在同一个机器上同时支持身份提供方（统一身份管理与认证服务提供方）和 SP（Service Provider 应用服务提供方）的服务器角色，而同时又能在统一个机器上运行多个SP服务器。对于整个信息化平台只需要一个单点登录服务器就可以为所有的应用服务体统无论是同域还是跨域的提供单点登录功能，为用户提供全面的单点登录服务；(9). 基于应用场景的系统管理方式：基于 We