1. 概述
统一身份认证平台是基于PKI(Public Key Infrastructure)理论体系, 利用CA、数字签名和数字证书认证机制,综合应用USB接口智能卡、安全通道、VPN等技术,为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。
1.1 认证系统实现目标
本方案是按本地用户需求规划构建的统一身份认证平台,为本地用户各业务系统提供统一的身份认证和综合安全服务,以实现内联网、外联网及移动办公的统一认证:
(1) 建立本地用户自己独立的CA数字证书受理系统
n 基于CA,为平台各系统用户统一颁发数字证书;
n 支持数字证书的USB-KEY存储;
(2) 实现多应用的统一身份认证
n 统一的认证门户;
n 支持多个B/S结构、C/S结构的业务系统接入平台;
n 平台对用户统一授权和认证;
n 每一用户只使用一个USB-KEY访问所有被授权的系统;
(3) 移动办公安全
n 使用同一种认证方式进行VPN接入认证;
n 能够根据用户组授权访问不同的应用系统;
n 完善的日志和报表,提供用户登录、退出的时间等信息;
(4) 应用数据安全
n 本地文件使用个人证书进行加密保存和读取;
n OA系统中秘密文件的加密存储和加密传输;
n OA系统中电子邮件的签名和加密传输;
1.2 统一身份认证平台主要功能
门户系统(Portal)—— 各业务系统信息资源的综合展示。
统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中,作为用户访问平台及各应用系统的凭据,并对用户访问应用系统的权限进行授权。
身份认证——用户在访问平台及各应用系统时,都使用相同的凭据(即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN),并利用数字签名技术在平台进行身份认证,证明其身份的真实性。
单点登录(SSO)——用户在通过平台认证后,可直接访问已授权的各应用系统,实现不同应用系统的身份认证共享,从而达到多应用系统的单点登录。
数据共享——认证平台存储了用户的基本信息和证书信息,所有应用系统均可以充分利用这些信息,减少用户信息的重复录入。
移动办公——平台提供基于SecureVPN®的移动安全办公方式,允许用户在通过认证后,通过Internet安全地访问内部网的应用系统。
安全通道——平台提供两种安全通道:一种是应用层安全通道,一种是网络层安全通道。它们为内网应用之间或外网应用之间提供安全的传输通道,保证其中传输的数据的安全性。
安全办公邮件——对内部办公的邮件实现签名、加密传输和加密存储,目前支持的后台邮件系统包括:Sun iPlanet、Lotus Notes、Qmail、SendMail以及所有支持IMAP协议的邮件服务器。
个人数据的安全管理——对个人计算机中密级较高的信息,依据USB-KEY中存储的个人证书,提供加密存储和读取。
1.3 统一认证平台主要优势
Ø 业务系统的实施工作量少
业务系统只需安装配置访问前置,并按规范提供映射验证接口和访问验证接口即可。访问前置支持Windows、Linux、Unix等多种平台,充分满足各种平台上业务系统的需求。
Ø 充分兼顾系统安全与效率
在身份认证和单点登录这样的高风险阶段,采用多种技术保证安全性,而在正常访问业务系统数据时,可以综合考虑安全与效率,可采用关键信息加密的方式,SSL加密通道可配置。
Ø 系统具有高可靠性和可用性
平台支持软件方式的负载均衡,充分满足并发认证的需求;同时,平台与业务系统之间采取松散耦合的方式,灵活满足业务系统的调整和升级。
Ø 支持分认证中心结构,实现本地认证
用户在进行身份认证时,不需要到认证平台进行认证,而是在本地建立一个功能同认证平台的分认证中心,负责本地用户的身份认证,保证认证速度和效率。本地认证中心需要建立用户的数字证书数据库和用户信息数据库,数据的存储需采用加密存储,防止用户信息泄露。
Ø 和VPN系统进行统一登录
与VPN的认证相结合,用户通过VPN进行认证后,可直接进入办公门户系统,不需要二次认证。
Ø 支持一次性口令认证
支持用户忘记携带USB-KEY,可以向管理员申请一次性使用的口令进行身份认证。解决没有USB-KEY就不能办公的弊端。
1.4 统一身份认证平台功能结构
统一身份认证平台有效整合现有业务系统,解决多个业务系统的用户统一认证问题,实现单点登录(SSO)、访问控制、并采用相关的安全机制,增强用户身份认证过程的安全性。
平台由以下系统模块构成:
Ø 平台门户系统
Ø 平台管理系统
Ø 认证服务器
Ø 认证数据库
Ø 访问控制服务器
Ø 业务系统认证前置程序
图 统一身份认证平台功能结构
1.1 统一身份认证平台网络结构
统一身份认证平台网络结构如下图所示,由平台WEB/应用服务器、认证/接入服务器、CTCA数字证书网上受理服务器、数据库服务器、SecureVPN服务器组成。
WEB/应用服务器提供平台的统一认证门户和平台管理;认证/接入服务器负责用户身份认证和业务系统接入;CTCA数字证书网上受理服务器负责用户证书的签发;数据库服务器提供平台用户信息、证书信息等数据的存储。
上述服务器程序安装在两台主机上,WEB/应用服务器通过Cluster做负载均衡,认证服务器和数据库服务器做主从热备。
SecureVPN是独立的硬件服务器,负责为用户通过Internet访问内部网应用提供安全认证和接入。
图 统一身份认证平台网络结构(图中机器只表示逻辑关系)
建议配置:
主机:至强(Xeon)双CPU 2.2G以上,内存2G以上。
应用服务器:BEA WebLogic 8.1
数据库:对于Windows平台,建议数据库为SQL Server;对于UNIX/Linux平台,建议数据库为Oracle或DB2。
1. 技术方案详述
1.1 平台数据库
平台数据库主要由用户数据、证书数据、业务系统配置数据、平台用户与业务系统映射数据、访问控制(ACL)数据、日志等数据组成。
图 平台数据库的主要组成
用户数据:通过平台管理系统统一录入,该用户数据独立于各个业务系统,主要用于用户证书申请、用户分组和日志记录。
证书数据:平台用户的数字证书及证书信息,用于USB-KEY制作及相关应用;
业务系统配置数据:业务系统ID、名称、业务系统USB-KEY登录认证的URL、用户映射所需的参数、属性及业务系统验证URL;
平台用户与业务系统映射数据:平台用户的证书序列号与业务系统的用户、口令等认证相关信息的对应关系,用于平台认证通过后,对业务系统的访问。
访问控制(ACL)数据:业务系统的访问控制策略、分组权限。
日志数据:用户登录认证、访问业务系统等操作的日志记录。
1.1 统一认证门户
平台构建统一的认证门户,用户需要使用USB-KEY登录认证成功后才能进入,主要作为各B/S结构应用系统的统一访问入口和平台管理的入口。
该门户可以进一步扩展为企业内部信息的发布平台,实现内部信息的共享。
图 统一认证门户示例
平台管理基于WEB方式来完成,主要包括:用户管理、用户证书和USB智能卡管理、业务系统及其配置管理、访问控制管理、管理员管理、监控与日志。
用户管理:平台用户信息的录入、查询、修改、删除;
证书和USB智能卡管理:证书状态的查询、证书的申请、下载、作废,USB-KEY制作。
业务系统及其配置管理:业务系统的添加及其配置参数管理;
访问控制管理:用户分组、访问策略的管理;
管理员管理:平台和各业务系统的管理员及其权限分配;
监控与日志:系统运行状况的实时监控、日志查询;
1.1 CA数字证书网上受理
平台对用户的身份认证主要依据数字证书和USB-KEY来完成,首先必须解决数字证书的来源和USB-KEY的制作问题。CA是数字证书签发和密钥管理的系统,因此在平台依赖CA作为平台提供各种安全服务的基础设施。
CA数字证书网上受理系统负责为统一身份认证平台用户提供数字证书申请、作废和USB-KEY制作等服务,它由行业服务器、网上受理服务器、数据库、基于WEB的证书管理系统组成。
图 CA数字证书网上受理系统
行业服务器:定时提取平台数据库中需要申请证书的用户信息, 打包提交到网上受理服务器;定时提取待作废证书的信息并提交作废请求至网上受理服务器;从网上受理服务器接收CA签发的数字证书并存储到平台数据库中。
网上受理服务器:接收行业服务器提交的证书申请请求和证书作废请求,按CA的RA服务器接口转换数据格式,并提交到CA;接收CA签发的数字证书并返回给行业服务器。
基于WEB的证书管理系统:集成在平台的管理界面中,提供基于WEB的证书状态查询、证书下载、USB-KEY制作、证书作废。
1.1 业务系统的接入与认证
统一认证平台要实现单点登录(SSO),必须能够将各个业务系统接入到平台中,并解决不同业务系统之间用户交叉和用户帐户不同的问题。
1.2 单点登录原理
基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。
其原理如下:
1) 每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保证和系统服务之间的安全通信。
2) 用户登录中心后,根据用户提供的数字证书确认用户的身份。
3) 访问一个具体的信息资源时,系统服务用访问代理对应的数字证书,把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器。
4) 信息资源服务器在接受到数字信封后,通过访问代理,进行解密验证,得到用户身份。根据用户身份,进行内部权限的认证。
1.2.1 唯一身份凭证
统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识。如下图所示:
(1)、在通过平台统一认证后,可以从登录认证结果中获取平台用户证书的序列号或平台用户ID;
(2)、再由其映射不同应用系统的用户账户;
(3)、最后用映射后的账户访问相应的应用系统;
当增加一个应用系统时,只需要增加平台用户证书序列号或平台用户ID与该应用系统账户的一个映射关系即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。
1.1.1 B/S应用系统接入
B/S结构应用系统用户均采用浏览器登录和访问应用系统,因此采用统一认证门户,在统一认证门户登录认证成功后,再访问具体B/S应用应用系统。B/S应用系统接入平台的架构如下图所示:
UID系统提供两种应用系统接入方式,以快速实现单点登录:
(1)反向代理(Reverse Proxy)方式
应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合的应用系统,可以使用该方式接入统一用户管理平台。
反向代理技术:实现方式为松耦合,采用反向代理模块和UID的单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
(2)Plug-in 方式
Plug-in:实现方式为紧耦合,采用集成插件的方式与UID的单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
紧耦合方式提供多种API,通过简单调用即可实现单点登录(SSO)。
对于J2EE环境,提供JAR包
对于ASP/.Net环境,提供COM组件
对于Domino环境,提供DSAPI
对于有原厂商配合开发的应用系统,可以使用该方式高效地接入UID系统中。
1.1.1 C/S应用系统接入
对于C/S应用系统的接入,实现方式是用户在登录系统门户后,点击相应的C/S应用系统图标,然后启用Windows的消息机制,将认证的请求发送到C/S应用服务器进行认证。认证通过后,在用户端启用相应的客户端程序。
1.1.2 单点登录特点
UID系统单点登录功能特点如下:
Ø 提供多种环境的接口包,应用系统开发工作量小;
Ø 提供多种接入方式,系统实施灵活,接入周期较短;
Ø 认证过程中采用多种安全加密技术,保证认证信息的安全性;
单点登录功能稳定可靠,为多应用系统提供良好的登录认证服务。
1.2 信息资源接入UAP逻辑关系图
UAP整合各种信息资源,通过标准XML语言,方便的将信息资源进行接入和使用。
图:资源接入逻辑图
业务系统分为B/S结构和C/S结构两类,与平台的连接都通过安全通道来保证数据传输的安全。
对B/S结构应用系统的支持如下表:
| 操作系统平台 | Web及应用服务器类别 |
| Windows平台 | 支持ASP.Net/ J2EE(JSP/Servlet)/Notes |
| Unix平台(Aix/HP-UX/Solaris/Linux) | 支持J2EE(JSP/Servlet)/Notes |
对C/S结构应用系统主要提供开发接口包:
n Windows平台的非web方式提供COM组件;
n Unix平台的非web方式提供动态库。
1.1.1 业务系统访问权限的控制
平台用户是一个大的用户集合,通过平台认证的用户并不一定能访问所有接入平台的业务系统。平台用户对业务系统的访问权限通过用户分组和访问控制策略进行控制。例如:
按照用户所属单位或部门划分组,该组可访问相应单位部门的业务系统;
按照用户角色划分组,例如:财务人员分组可以访问财务相关的业务系统;
同时,平台用户与业务系统映射表中设置用户访问权限标识,可针对单个用户访问某个业务的权限进行停用/启用。
1.2 移动安全办公与SceureVPN
SecureVPN安全移动办公接入设备是将SSL VPN和SSLEX VPN(类似于IPSec VPN)进行有机融合,并支持多种认证模式(动态令牌认证、数字证书认证、智能卡认证,以及最基本的用户名口令认证)的混合VPN,它能根据不同用户权限,提供不同的VPN模式,并能在两种VPN模式之间进行互相切换。
SecureVPN提供了一项基于Web的解决方案,可支持企业将安全远程访问扩展到任何连接到互联网的用户—— 员工、客户和合作伙伴,同时无需在远程设备上安装任何特殊软件或进行任何特别配置,也无需对要访问的后台资源进行任何添加或修改。这一方法大大减轻了客户支持负担,并增加了更多可通过标准Web浏览器进行的电子邮件、传统应用和台式机远程控制的应用访问。
1.2.1 SecureVPN主要特点和优势
| 两种VPN模式的结合 | 兼容SSL VPN和SSL EX VPN(类似IPSec VPN)的优点,将两种模式VPN有机的结合在一起。可根据用户访问权限采用不同的VPN模式,并能自动进行切换。 |
| 降低总保有成本(TCO) | 降低支持开销;消除客户机系统的日程维护;减轻管理负担;无需修改网络资源、远程设备或网络体系结构; |
| 易于安装使用 | 快速完成安装;提供直观熟悉的浏览器界面; |
| 客户端无须用户安装 | 基于SSL模式,直接使用浏览器即可;采用SSLEX VPN模式,通过服务器”推”技术,自动完成客户端的VPN配置,无须用户参与安装。 |
| 支持多种身份认证技术 | 支持动态令牌认证、数字证书认证、智能卡认证,以及最基本的用户名口令认证 |
| 集群技术 | 可对多台SecureVPN进行堆叠,增加系统的负载能力 |
| 可靠性 | 可支持耦合服务器对(在线服务器与备用服务器)之间整个状态的热故障切换,不会导致任何的会话中断或终止; |
| 可用性 | 基于web的远程访问适用于所有ISP连接;在其它防火墙背后也可正常运行;完全运行在HTTPS(安全应用层互联网协议)之上。 |
1.2.2 SecureVPN总体结构
| 功能模块 | 细分模块 | 描述 |
| 身份认证 | 数字证书认证 | 双向SSL,使用数字证书登录 |
| 电子令牌 | 支持动态口令认证 | |
| 智能卡(IC卡) | 支持基于智能卡身份认证 | |
| 数据访问 | Web数据访问 | 为Web应用提供远程接入 |
| 非Web数据访问 | 为非Web应用(邮件、文件共享等)提供远程接入 | |
| 私有客户端 | 为Notes等私有客户端提供远程接入 | |
| 访问控制 | 基于角色的访问控制 | 针对用户身份的访问控制,访问权限可授予单个用户或用户群(例如:“销售人员、“合作伙伴”、“IT”) |
| 基于终端的访问控制 | 针对用户所使用终端的访问控制 | |
| 后台管理 | 系统管理 | 对服务器网络地址、服务器证书、SSL属性等进行设置 |
| 资源管理 | 对第三方认证源等进行配置,可与RADIUS和LDAP认证方法、基于表格的基本HTTP认证以及负责认证与访问管理的Windows Domain Server联合运行 | |
| 日志管理 | 汇总报告将按日期、时间、访问OS、使用特性、会话持续时间和会话终端类型来汇总提供网络的使用报告 |
1.1.1 SecureVPN与统一认证平台
统一认证平台主要负责对内网用户的统一身份认证和内网应用系统的访问控制;SecureVPN主要负责从Internet对内网应用系统的身份认证和访问控制,它是统一认证平台中实现移动安全办公的重要一部分。
当用户从Internet对内网的应用系统进行访问时,首先通过USB-KEY数字证书和HTTPS访问SecureVPN,由SecureVPN对该用户进行认证,认证通过后可以直接跳转至统一认证平台,用户再凭借USB-KEY数字证书,通过统一认证平台访问内网中的各业务系统。
1.2 安全办公邮件
在现有邮件服务器上增加一个邮件处理模块,对现有Web Mail页面稍加改动,即可实现USB-KEY登录的WEB安全邮件;也可提供USB-KEY登录的安全邮件客户端工具。同时,通过浏览器插件或客户端组件,可以实现对邮件内容的数字签名和加密。其实现的技术原理如下图所示:
图 安全办公邮件的实现原理
图 WEB安全邮件
图 安全邮件客户端
1.1 个人信息加密与存储
1.1.1 文件加解密
在用户机器上安装,使用方法:插入存有用户证书的USB-KEY,在右键菜单中选择文件加密或文件解密。
1.1.2 文件保险箱
在用户机器上安装,使用方法:插入存有用户证书的USB-KEY,启动文件保险箱,认证通过后自动分配一个空间,产生一个虚拟盘符,放入该文件保险箱的数据将可以自动加密存储、解密查看。
1556
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
