系统各组成部分的主要功能:
客户端的
SecureKey
硬件:利用UID系统能提供的智能密码钥匙服务,完成客户端的数字签名和加解密工作,它是用户数字证书和私钥的载体。
客户端软件:是UID提供的浏览器安全插件,和浏览器无缝结合,完成对
SecureKey
的驱动和访问。
ü
功能模块描述
身份认证系统
服务器:是整个认证系统的核心部分,控制所有远程用户对网络和应用系统的访问,提供全面的认证、授权和审计服务。
安全认证服务器拥有完善的自身数据安全保护功能,所有用户数据经加密后存储在数据库中,并具有安全、完备的数据库管理、备份功能;安全认证服务器拥有功能强大的图形化管理界面,提供用户管理、网络服务器管理、审计管理等全部系统管理功能。安全认证服务器有五部件组成:系统认证模块
、用户管理模块、授权
管理模块
、审计管理模块、数据库。
n
系统认证模块
通过数字证书的校验和对用户数字签名的验证,实现对用户身份的识别。
n
用户管理模块
具有强大的图形管理界面,完成
SecureKey
的制作
、删除、恢复;完成
SecureKey
用户的基本信息查询。
n
授权
管理模块
完成对用户的授权管理,控制用户对系统资源的访问权限。
n
审计管理
模块
完成日志的查询、对用户的行为进行审计。
n
数据库
存储用户信息、
Key
信息、管理员信息、系统设置、运行日志等系统信息,
其中关键信息(如用户密钥)以加密方式存储。
1.1 统一用户管理
统一用户管理平台的统一用户管理功能主要分为两部分:一部分是用户信息的导入;一部分是用户信息的同步。
(
一)用户信息导入
平台用户信息可以采用手动或自动方式获取,对于少量用户信息的获取,可以采用手工输入的方式,对于大批量的用户信息获取则应采用自动方式。批量用户信息导入采用预先定义的接口,从事先选定好的用户信息最全的应用系统中或人力资源系统中或AD、LDAP中导入用户信息。
根据预先定义好的接口,可以实现用户信息字段的自动匹配,用户信息自动分类,用户角色信息匹配,用户权限信息自动分配等功能,方便对用户单点登录的授权和应用系统操作权限授权。
用户信息导入流程:
(1)
、针对用户实际情况,选择人力资源系统或用户信息最全面的应用系统作为用户信息导入源;
(2)
、按照事先定义好的Web接口,向平台导入用户信息;
(3)
、平台会根据事先定义好的字段设置,将用户信息完整的建立起来,管理员可在此基础上对用户进行分组或自动分组,便于进行单点登录授权。
(
二)用户信息同步
用户信息同步方式可分为两种:以外部信息为主,由系统自动同步到各个应用系统的模式和以系统为主自动同步到各个应用系统的模式。以外部信息为主的模式适用于用户已经建立了人力资源或类似系统的情况,用户仍然使用人力资源系统统一管理所有用户信息,但信息的同步由平台自动完成;以平台为主的模式适用于用户的各个应用系统分散管理用户信息的情况,在这种模式下所有的用户信息由平台管理,信息的增删改自动同步到各个应用系统。
用户信息同步流程:
以外部信息为主模式
(1)
、根据事先定义好的Web接口,外部信息系统(通常为人力资源系统)在进行用户信息调整时(增加、删除用户和修改用户信息),自动通过Web接口将信息发送到系统中;
(2)
、系统根据发送过来的用户调整信息,相应的在本地数据库或目录服务中调整用户信息,如果用户信息中还有证书信息,则平台将同时完成用户信息与用户证书信息的关联信息调整;
(3)
、系统将调整后的用户信息通过Web接口自动同步到各个应用系统,由各个应用完成用户信息的调整。
以系统为主模式
(1)
、管理员通过管理界面在系统中进行用户信息调整时(增加、删除用户和修改用户信息),系统自动通过Web接口将调整后的用户信息发送到各个应用系统中;
(2)
、各个应用系统根据发送过来的用户调整信息,相应的在本地数据库或目录服务中调整用户信息。
(
三)用户信息统一管理的特点
同步的实时性――在平台上增删改用户时,平台立即同步,使应用系统即时响应用户信息的调整;
容错机制强――当用户或管理员在平台上对用户信息进行编辑时,如系统发生故障和错误,平台系统会有一个自动提示并给应用系统管理员发送邮件;
接口灵活――针对不同的应用系统类型,平台提供相应的Web接口,并且接口规范定义清晰,可灵活扩展。
安全性――对用户信息传输和储存采用签名和加密等安全措施。
1.2 统一权限管理
1.2.1 基本原理
用户授权的基础是对用户的统一管理,对于在用户信息库中新注册的用户,通过自动授权或手工授权方式,为用户分配角色、对应用系统的访问权限、应用系统操作权限,完成对用户的授权。如果用户在用户信息库中被删除,则其相应的授权信息也将被删除。
完整的用户授权流程如下:
1
、用户信息统一管理,包括了用户的注册、用户信息变更、用户注销;
2
、权限管理系统自动获取新增(或注销)用户信息,并根据设置自动分配(或删除)默认权限和用户角色;
3
、用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权;
4
、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP目录服务)中;
5
、用户登录到应用系统,由身份认证系统检验用户的权限信息并返回给应用系统,满足应用系统的权限要求可以进行操作,否则拒绝操作;
6
、用户的授权信息和操作信息均被记录到日志中,可以形成完整的用户授权表、用户访问统计表。
1.2.2 授权管理
统一身份管理及访问控制系统(UID)的典型授权管理模型如下图所示:
1.1 单点登录原理
基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。
其原理如下:
1)
每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保证和系统服务之间的安全通信。
2)
用户登录中心后,根据用户提供的数字证书确认用户的身份。
3)
访问一个具体的信息资源时,系统服务用访问代理对应的数字证书,把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器。
4)
信息资源服务器在接受到数字信封后,通过访问代理,进行解密验证,得到用户身份。根据用户身份,进行内部权限的认证。
1.1.1 唯一身份凭证
统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识。如下图所示:
(1)
、在通过平台统一认证后,可以从登录认证结果中获取平台用户证书的序列号或平台用户ID;
(2)
、再由其映射不同应用系统的用户账户;
(3)
、最后用映射后的账户访问相应的应用系统;
当增加一个应用系统时,只需要增加平台用户证书序列号或平台用户ID与该应用系统账户的一个映射关系即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。
1.1.1 B/S应用系统接入
B/S
结构应用系统用户均采用浏览器登录和访问应用系统,因此采用统一认证门户,在统一认证门户登录认证成功后,再访问具体B/S应用应用系统。B/S应用系统接入平台的架构如下图所示:
UID
系统提供两种应用系统接入方式,以快速实现单点登录:
(1)
反向代理(Reverse Proxy)方式
应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合的应用系统,可以使用该方式接入统一用户管理平台。
反向代理技术:实现方式为松耦合,采用反向代理模块和UID的单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
(2)Plug-in
方式
Plug-in
:实现方式为紧耦合,采用集成插件的方式与UID的单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
紧耦合方式提供多种API,通过简单调用即可实现单点登录(SSO)。
对于J2EE环境,提供JAR包
对于ASP/.Net环境,提供COM组件
对于Domino环境,提供DSAPI
对于有原厂商配合开发的应用系统,可以使用该方式高效地接入UID系统中。
1.1.1 C/S应用系统接入
对于C/S应用系统的接入,实现方式是用户在登录系统门户后,点击相应的C/S应用系统图标,然后启用Windows的消息机制,将认证的请求发送到C/S应用服务器进行认证。认证通过后,在用户端启用相应的客户端程序。
1.1.2 单点登录特点
UID
系统单点登录功能特点如下:
Ø
提供多种环境的接口包,应用系统开发工作量小;
Ø
提供多种接入方式,系统实施灵活,接入周期较短;
Ø
认证过程中采用多种安全加密技术,保证认证信息的安全性;
Ø
单点登录功能稳定可靠,为多应用系统提供良好的登录认证服务。
1.2 安全通道
UID
提供的安全通道
是利用数字签名进行身份认证,采用数字信封进行信息加密的基于SSL协议的安全通道产品,
实现了服务器端和客户端嵌入式的数据安全隔离机制。
图:使用前
图:使用后
安全通道的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成:
(1)握手协议:这个协议负责协商用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
(2)记录协议:这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
(3)警告协议:这个协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
1.1 业务系统访问权限的控制
UID
用户是一个大的用户集合,通过系统认证的用户并不一定能访问所有接入
UID
中心的业务系统。系统用户对业务系统的访问权限通过用户分组和访问控制策略进行控制。例如:
按照用户所属单位或部门划分组,该组可访问相应单位部门的业务系统;
按照用户角色划分组,例如:财务人员分组可以访问财务相关的业务系统;
同时,中心用户与业务系统映射表中设置用户访问权限标识,可针对单个用户访问某个业务的权限进行停用
/
启用。