IBM Security Access Manager：通过基于上下文的访问保护网站

IBM Security Access Manager for Mobile（ISAM for Mobile）允许安全设计师通过IBM Security Access Manager for Web（ISAM for Web）对Web访问执行基于上下文的授权（CBA）决策（也称为基于风险的访问决策）。或WebSEAL）安全设备。 此设计中的一个重要考虑因素是，开发了一种Web安全体系结构，该体系结构在保持上下文相关的Web环境的同时最大程度地减少了风险计算的次数。

身份和访问情报

身份和访问管理基础结构正成为安全情报信息的主要来源。 EMA分析师发布了一份新报告，该报告描述了身份和访问情报的性质以及驱动安全演进这一方面的因素。 要了解IT安全性的这一方面，请下载并阅读“ 身份和访问智能：转变企业安全性” 。

在本文中，我们描述了将ISAM for Web和ISAM for Mobile一起配置所需的体系结构和配置，以允许用户身份验证的CBA风险决定来保护Web资源（或整个站点）的集合。 该体系结构确保仅在必要时执行风险计算，而不是为每个后续访问请求执行风险计算。

图1概述了此体系结构。

图1.此解决方案的体系结构

解决方案设计

IBM Mobile Security Access Manager

IBMTivoli®Federated Identity Manager是我们基于风险的访问和一次性密码功能的早期交付平台。 随着IBM Security Access Manager for Mobile的发布 ，这些功能现在可以通过硬件和虚拟设备形式获得。

为了配置此解决方案，必须具有以下组件：

• Web设备的IBM Security Access Manager。 可以是硬件设备也可以是软件设备，最低要求是V8.0 Fixpack 1。 该设备应安装有配置有可用的运行WebSEAL反向代理实例的网络接口。
• 用于移动设备的IBM Security Access Manager。 这可以是硬件或软件设备。 应在配置了网络接口的情况下安装和激活设备，而不进行进一步的配置。
• 运行您要保护的站点的应用程序服务器。 该应用程序服务器还应具有某种形式的活动服务器页面，因为它将用作集成的一部分。 WebSphere，Tomcat或IIS是合适的。
• 客户端浏览器和智能手机。 能够运行HMAC OTP生成器（例如Google Authenticator）以生成一次性密码的一种。

在这种情况下，我们有一个需要强身份验证的Web应用程序。 该Web应用程序将受到ISAM设备上的WebSEAL的保护。

样品申请

本文中使用的示例应用程序是一个名为Your Bank的模拟互联网银行网站。 该站点内有一个页面设计用于未经身份验证的访问，而页面仅用于身份验证的访问。 此设计在许多联机Web应用程序中很常见，并且使其成为适当的示例应用程序，以展示ISAM for Mobile的更强身份验证功能。

图2.银行网站首页

图3.银行保护页面

该网站的URL结构大致如表1所示。

表1.示例应用程序站点的URL结构

网址格式	目的
/银行/*	此文件夹下的URL设计用于常规银行客户的经过身份验证的访问。
/ *	网站核心的URL通常设计用于未经身份验证的用户访问。

浏览器指纹

浏览器指纹识别是一种从浏览器以及托管计算机或设备中寻找识别位的技术。 这可以与浏览器提供的用户代理标头一样简单，但可以扩展到系统信息，例如字体列表，已安装的浏览器插件等。 甚至有可能利用其他设备功能（例如地理位置和IP信息）来提供更完整的信息。

电子前沿基金会提供了浏览器指纹识别功能的一个示例。

演示：示例应用程序

成绩单

在“ 下载”部分中，我们包括了两页等效的银行业务示例Web应用程序。 它适合在Tomcat上运行，也可以部署到WebSphere环境。

样本安全策略

您的银行具有以下安全政策要求：

• 所有希望访问在线互联网银行功能的银行客户都必须使用用户名和密码进行身份验证。
• 如果客户以前从未从注册的设备/浏览器访问该站点，则他们还必须使用一次性密码进行身份验证。
• 用户通过OTP进行身份验证后，便会注册浏览器实例。

从本质上讲，此安全策略始终提高了银行客户的安全性，因为它始终需要使用二次身份验证的形式登录。在用户与站点的首次交互中，要求用户输入用户名和密码。一次性密码。

在此初始交互过程中，将对用户的浏览器进行指纹识别并注册。

在后续交互中，在用户输入用户名和密码之后，ISAM for Mobile中的CBA模块将用户的浏览器指纹与以前的交互进行比较。 如果指纹相同，则为用户提供第二因素身份验证。

这种方法为客户提供了更大的易用性，在这种情况下，他们只需要在注册新的浏览器或设备时提供OTP。 此步骤可以通过减少管理和交付OTP SMS策略的成本来节省组织资金。

配置步骤

现在，我们将详细介绍配置ISAM设备以满足安全方案所采取的步骤。

网络接口

使用这些设备，我们介绍了管理接口和应用程序网络接口的概念。 管理任务通过管理界面执行，而运行时通信通过应用程序界面执行。 这会在设备上创建逻辑网络隔离，并通过网络隔离提供更好的安全状态。

图4.网络接口端点

ISAM设备

配置ISAM设备以使用本地策略服务器和本地注册表。 您可以使用远程LDAP和策略服务器，但是本文提供的示例假定使用的是本地服务器。

图5.配置了本地策略服务器和LDAP目录的ISAM设备

使用在应用程序网络接口上侦听的活动反向代理实例为ISAM设备配置。

图6.配置了WebSEAL反向代理实例的ISAM设备

CBA Web服务easuser

用户easuser是用于验证CBA服务的现有用户名和密码。

WebSEAL外部授权服务（EAS）在CBA授权决策中使用这些凭证。 默认情况下，密码为passw0rd ，但是可以在ISAM for Mobile管理界面上更改密码。

单击安全移动设置>用户注册表，然后在用户列表中，单击easuser和设置密码 。

如果在运行配置工具后更改密码，则还必须在WebSEAL配置文件中更改密码。 它位于[rtss-cluster:cluster1]节中，参数名称为basic-auth-passwd 。

ISAM for Mobile基本配置

在本节中，我们将提供配置ISAM设备（外部授权服务插件）和ISAM移动设备（授权服务）之间连接的步骤。

主机名解析

由于此示例使用虚拟主机联结，因此需要使ISAM设备的应用程序接口的主机名localhost在网络DNS中可用，或者在MGA设备的主机文件中进行设置以进行配置。 为了在主机文件中设置值，请在MGA设备上导航至“ 管理系统设置”>“主机文件”并添加以下值：

• 地址：10.166.1.14
• 主机名：bank.test

图7.主机文件配置

isamcfg配置工具

第二个配置步骤需要运行isamcfg工具。 该工具可以从ISAM移动设备运行，也可以从/ mga / tools / isamcfg下的“ 管理系统设置”>“文件下载”页面下载 。 对于此配置，我们将通过SSH命令行在ISAM for Mobile设备上本地运行它。

首先，使用PuTTY或等效于ISAM for Mobile管理界面的SSH。

图8.移动设备到ISAM的PuTTY终端会话

接下来，一旦出现菜单提示，请导航至配置工具：