统一身份认证平台白皮书.docx
- 文档编号:12579365
- 上传时间:2023-04-20
- 格式:DOCX
- 页数:55
- 大小:2.72MB
统一身份认证平台白皮书.docx
《统一身份认证平台白皮书.docx》由会员分享,可在线阅读,更多相关《统一身份认证平台白皮书.docx(55页珍藏版)》请在冰豆网上搜索。
统一身份认证平台白皮书
统一身份认证平台
产品白皮书
1.产品简介
统一身份认证平台可为企业办公网络中的B/S和C/S业务系统、网络设备、主机、数据库等企业资源,提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。
统一身份认证平台分为两个型号:
平台-S和平台-G,分别具有不同侧重:
平台-S作为应用帐号管理、统一认证、单点登录和权限管理中心,以企业用户、B/S和C/S系统为整合目标,实现统一认证、统一授权和访问控制。
平台-G是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标,集成强身份认证、会话审计、集中管理功能的一体化硬件设备。
可对企业内部用户应用访问、管理员维护等各类操作进行访问控制。
平台-G基于包过滤及代理技术,可实现对HTTP、Telnet、SSH、FTP、RDP远程桌面、CIFS文件共享等应用协议的访问控制及会话审计。
列表说明平台-S与平台-G的区别:
平台-S
平台-G
部署方式
旁路
主路、旁路
产品形态
软件
硬件
多应用系统统一认证
√
√
用户名口令、USB智能卡、数字证书、短信、动态令牌等多种认证方式
√
√
基于SOAP、RADIUS、LDAP、NTLM、SOCKET等协议的认证接口
√
√
统一帐号管理与同步
√
√
AD域帐号集成
√
√
基于角色的授权管理
√
√
B/S、C/S架构应用系统单点登录
√
√
API插件、反向代理、客户端代理、HTTPHeader等多种单点登录机制
√
√
用户、管理员等访问日志、操作日志
√
√
应用系统级访问控制
√
√
自带企业CA模块
√
√
基于IP、IP+端口的访问控制
╳
√
B/S应用URL级细粒度访问控制
╳
√
1.1产品可解决的问题
统一身份认证平台能够满足不同企业集中认证、访问控制和安全管理的需求。
1、安全身份认证服务。
提供口令认证、证书认证、USB智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式;同时支持LDAP、AD、RADIUS等外部认证源。
2、联邦身份认证中心。
为企业应用、主机、设备等提供多种认证接口,实现企业内部用户的统一身份认证,将统一身份认证平台作为企业内所有业务系统的认证入口,用户登录统一身份认证平台后,由统一身份认证平台对登录用户进行集中授权。
3、应用系统(B/S、C/S)的安全单点登录。
通过统一身份认证平台认证并授权的用户,可在统一身份认证平台中通过单点登录的方式访问B/S、C/S应用,方便用户使用,提高工作效率。
4、网络访问控制。
在网络设备和服务器资源管理中指定用户可以访问的网络资源,从网络层限制了用户的网络访问权限,可用多种可选方式对维护人员的身份进行认证,可以有效避免非法用户的假冒。
5、访问审计。
记录系统范围内的安全和系统审计信息,有效地分析整个系统的日常操作与安全事件数据,通过归类、合并、关联、优化、直观呈现等方法,使管理员轻松识别应用系统环境中潜在的恶意威胁活动,可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。
1.2功能组成
图1-1:
统一身份认证平台功能组成图
如图1-1所示,统一身份认证平台主要分为:
管理员平台,ETCA证书中心,用户Portal、外部系统认证接口、底层服务四部分组成。
用户Portal:
包括用户认证入口与自服务平台两部分。
用户在认证入口完成身份认证后,系统根据其身份进行业务系统或网络资源的访问授权;用户在自服务管理平台,方便用户自行完成应用系统相关关联映射、身份认证凭证(密码、用户证书)管理等操作,减少管理员负担;
管理员平台:
统一身份认证平台的管理平台为用户提供基于三员分立的管理员管理规范,为使用户可以更明确的、更便捷的管理统一身份认证平台,本系统还提供分级管理员管理功能。
管理员可以在本平台可以进行下列工作:
a)系统管理员主要负责配置系统基本参数、用户帐户和组织机构的管理、业务系统管理以及用户日志审计。
b)安全管理员:
管理用户证书、配置业务系统接入信息以及制定其他安全策略。
c)系统审计员:
审计系统管理员操作日志、审计安全管理员操作日志。
安全认证服务:
统一身份认证平台可提供口令认证、证书认证、USB智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式;
支持LDAP、AD、RADIUS等外部认证源;
联邦身份认证中心:
统一身份认证平台作为企业统一认证中心,为企业应用、主机、设备等提供多种认证接口,实现企业内部用户的统一身份认证;
提供基于SOAP、RADIUS、LDAP、NTLM、SOCKET等协议的认证接口;
帐号管理:
提供对应用系统帐号的统一管理;
具有主从帐号管理功能;
支持帐号信息的批量导入服务;
权限管理:
基于角色的用户权限模型,兼容用户个人高级权限;
整合企业内部资源,实现细粒度的权限划分和访问控制;
支持角色的定义和管理;
支持部门角色,方便以部门组织机构为单位,对所属用户进行批量授权;
单点登录服务:
支持B/S架构、C/S架构应用系统单点登录;
提供API插件单点登录方式;
提供反向代理单点登录方式;
提供客户端代理单点登录方式;
提供HTTPHEADER单点登录方式;
支持应用系统零改动实现单点登录;
网络访问控制:
在主路部署情况将受控资源与访问者物理隔离;
对所有访问请求进行协议分析并应用访问控制规则;
可基于IP或IP+端口设置访问控制规则;
ETCA证书中心:
作为企业级CA证书中心,为用户提供数字证书的申请、签发、下载、作废、更新等服务,遵循PKI/CA国际标准;
提供CRL、证书校验等服务;
支持证书模版、证书扩展项定义;
支持加密机/加密卡。
1.3工作原理
1.3.1应用层访问控制原理
图1-2:
平台-S统一认证及访问控制系统应用层工作原理
如图1-2所示,统一身份认证平台在应用层为用户提供两种认证方式:
✧业务系统插件认证。
✧平台门户认证。
二者的区别主要在于当业务系统实现“认证插件”后,用户可直接访问该业务系统的认证页面,并在该系统中完成身份授权,认证插件只将用户的认证信息提交到平台的外部认证接口,并获取认证结果。
采用平台门户认证时,用户需要在统一身份认证平台的用户门户中完成身份认证、访问授权,在完成认证和授权后,用户只需要在平台的用户门户中选择有权限访问的业务系统链接,即可单点登录到该业务系统中。
通过平台门户认证后,用户可以凭借统一身份认证平台提供的“联邦认证”服务,单点登录到任何被授权访问的业务系统,凭借优秀的单点登录模块、灵活的从帐号机制,即使是CS客户端也可实现单点登录。
1.3.2网络层访问控制原理
图1-3:
平台-G统一认证及访问控制系统网络层工作原理
如图1-3所示,统一身份认证平台在主路部署模式下,为用户提供了类似透明代理的网络访问控制服务。
用户通过平台访问网络资源时,平台底层包的数据过滤器首先会分析数据包的协议、源、目标等信息,并与“访问策略服务”下发的受控资源进行匹配,判断当前通讯是否访问受控资源。
若用户访问的是受控资源,则验证当前用户是否已通过身份认证,若未认证,则丢弃当前数据包。
若已完成认证,则将数据包转发到底层“协议代理”服务中,使用户通过协议代理服务访问受控资源,并在用户访问过程中记录访问过程与信息。
若用户访问的是非受控资源,数据包过滤器会将数据包转发到“数据转发”服务,使用户真正使用透明代理进行访问。
1.3.3统一身份认证技术原理
统一认证采用SAML标准消息协议,通过对用户身份凭证的统一管理,实现在用户各系统和资源间的单点登入和单点登出。
在系统认证过程中使用基于SOAP(简单对象访问)协议标准,实现登录请求的提交和认证结果的返回。
采用SAML和SOAP协议,定义了用于安全服务之间传输安全信息的交换机制,实现不同安全服务系统之间的互操作性,提供了一种机制,使得用户可以在不同的安全服务系统之间交换认证和授权信息。
用户系统和资源的安全接入主要采用插件(Plug-in)和支持SSL协议的反向代理技术,插件(Plug-in)技术通过在用户系统或资源中部署安全插件,实现用户系统资源的单点接入和防护。
反向代理技术实现对用户客户端主机访问受控系统和资源的代理,此方式无需修改用户系统就能实现用户系统和资源的安全接入。
针对不同的应用场景,可灵活选用不同的安全接入方式。
认证方式支持包括数字证书认证、动态令牌认证、短信认证、指纹认证和简单的用户名口令认证等主流方式,并实现同一用户可采用不同的认证方式获得不同访问权限,如访问一般系统使用口令认证,访问安全级别高的采用数字证书认证。
1.3.4访问控制技术原理
访问控制包括针对应用资源的实体访问控制和会话访问控制。
实体访问控制是指控制用户能够访问哪些应用及资源,会话访问控制是指控制用户在应用会话过程中,能够执行哪些操作。
统一身份认证平台在进行实体访问控制时,使用自主研发的协议分析系统,对用户与资源间会话进行分析,通过IP和端口控制技术,结合用户认证完成后的身份信息进行协议分析,根据身份信息、IP地址、端口等信息动态产生和删除包过滤规则,达到对设备的访问控制目的。
统一身份认证平台针对受控资源使用的协议和提供的服务,可分别设置不同的访问控制策略。
在进行会话访问控制时,统一身份认证平台会结合应用的会话协议进行分析。
通过对应用协议的分析和提取,甄别用户操作行为,结合设定的授权策略,达到访问控制的目的。
1.3.5性能保障技术原理
为构建高性能的统一认证和访问控制系统,本系统基于一个高性能的协议树分析处理引擎,通过定制协议树规则模板,实现对特定协议的匹配分析,通过对协议数据的替换和数据包重组,实现认证、访问控制多个环节上的性能要求。
系统在流量整形和控制上使用了数据分类算法PRIO/CBQ,分类算法主要作用是可以对多种数据流区别对待。
一旦数据包进入一个分类的队列规定,它就得被送到某一个类中分类,对数据包进行分类的工具是过滤器。
过滤器会返回一个决定,队列规定就根据这个决定把数据包送入相应的类进行排队。
每个子类都可以再次使用它们的过滤器进行进一步的分类。
直到不需要进一步分类时,数据包才进入该类包含的队列规定排队。
除了能够包含其它队列规定之外,绝大多数分类的队列规定能够流量整形。
1.4产品优势
与同类产品相比,统一身份认证平台具有以下优势:
1)产品设计从国家政策法规、标准规范、行业特色等多个层面出发,融入了多年专业经验和多个大规模项目实施经验,能够有效地满足不同用户的个性化需求;
2)符合《国家信息安全等级保护管理办法》和《中华人民共和国电子签名法》等相关法律法规要求;
3)经过国家密码管理局产品检测,采用SM1、SM2、SM3国产密码算法,并具有统一认证类产品唯一商用密码产品型号证书;
4)经过国家保密局产品检测,具备管理员三员分立、智能卡PIN码安全策略、管理平台安全防护等安全保护措施,并在源代码层面进行了安全加固与抗反向工程;
5)内置多种强身份认证技术,可安全、稳定的支持动态口令、指纹、短信动态码等多种认证方式;
6)支持LDAP、AD、Radius等多种外部认证源;
7)内置企业级CA证书中心,可为用户集中签发与制作证书;
8)统一管理用户帐号与身份认证凭证(证书信息、动态令牌信息、指纹信息,取决于用户当前使用的强身份认证方式);
9)提供API、客户端代理、反向代理、应用适配器多种接入方式,适应应用系统的多种开发语言和开发环境,降低接入难度,实现异构系统集成;
10)支持多访问控制方式和细粒度访问授权;
11)系统采用Java语言进行开发实现,并遵循J2EE规范,能够对系统进行灵活配置,独立性强,适合多种操作系统平台;
12)提供多种数据加密通道服务,SSL加密通道和关键信息加密通道,关键信息加密通道还可选用国密算法,用户可根据实际需要灵活选用;
13)性能稳定,支持集群和负载均衡部署。
2.
产品功能特点
2.1完全自主知识产权
统一身份认证平台是时代亿信多年信息安全技术和行业经验积累所形成的新一代身份认证与资源整合产品,全部功能自主研发,具有完全的自主知识产权。
在许多核心技术上深入研究,如动态通道、应用代理、信息中转和推送、URL重写、内容过滤、端到端加密通道等,使这些技术成为行业领先技术。
2.2成熟领先
统一身份认证平台设计从国家政策法规、标准规范、行业特色等多个层面出发,融入了多年专业经验和多个大规模项目实施经验,可以满足B/S架构应用系统、C/S架构应用系统、数据库、主机、网络设备等各种资源统一认证、单点登录、访问控制的需求。
统一身份认证平台符合《国家信息安全等级保护管理办法》和《中华人民共和国电子签名法》等相关法律法规要求;统一身份认证平台经过国家密码管理局产品检测,采用SM1、SM2、SM3国产密码算法,并具有统一认证类产品唯一商用密码产品型号证书;统一身份认证平台经过国家保密局产品检测,具备管理员三员分立、智能卡PIN码安全策略、管理平台安全防护等安全保护措施,并在源代码层面进行了安全加固与抗反向工程。
2.3统一管理解决方案
认证墙系列产品致力于企业集中管理领域,为企业提供的一套集“用户”、“应用”、“资源”、“审计”为一体的企业集中管理整体解决方案。
它为企业级用户提供下列服务:
✧统一用户管理
✧统一身份认证
✧统一用户授权
✧统一应用接入
✧统一日志审计
✧集中访问控制
作为成熟完整的企业统一用户管理解决方案,统一身份认证平台在认证墙产品体系中,基于SmartCOM(时代亿信开发的一套基于信息安全标准开发框架。
它为不同类型的产品提供了一套统一的结合标准,使用此框架开发的信息安全产品间可以根据需要快速结合)框架进行功能组合,与统一用户管理系统紧密配合,在规范用户管理的基础上,利用主从帐号管理体系,实现用户访问应用系统的帐号统一管理、应用统一认证、安全单点登录、统一用户授权、集中访问控制、统一日志审计。
图2-1整体解决方案
如上图所示,内网中的所有业务系统均与平台-U集成,加入统一用户管理体系中,每个业务系统都将认证请求提交到统一身份认证平台进行认证,从平台-U中获得访问授权,真正的将企业目录作为企业内部唯一的认证源。
同时,在根据需求部署平台-S或平台-G(平台-S只对应用进行访问控制,平台-G则可对网络进行访问控制),利用产品间的SmartCOM接口,将平台-U统一用户管里和统一身份认证平台融为一体,使用户经过一次认证,便可获得全网的授权。
2.4领先的身份认证方式
统一身份认证平台利用其领先的身份认证功能,将用户的身份认证与企业的管理技术和业务流程密切结合,保证系统中的数据资源只能被有权限的用户访问,XX的用户无法访问数据;防止伪造身份认证手段、访问者身份等非法措施,从而有效保护信息资源的安全。
传统身份认证只使用一种条件判断用户的身份,因此认证很容易被仿冒。
而双因子认证或强认证是通过组合两种或多种不同条件(如通过密码和芯片组合)来证明一个人的身份,安全性有了明显提高。
统一身份认证平台支持对多种身份认证方式的混用,有效提高身份认证的安全性。
统一身份认证平台的认证方式有:
✧USB智能卡认证
✧证书认证
✧动态令牌
✧短信认证
✧指纹认证
✧静态口令
✧一次性口令
✧第三方认证组件
除此之外,统一身份认证平台还为用户提供了基于SOAP、Radius、LDAP、SOCKET等协议的认证接口,并可通过NTLM与kerborse实现微软AD域集成认证;
双重认证方式
多种认证方式同时启用,即用户必须经过两种或两种以上认证方式的认证才能登录进入系统;
强制认证方式,即系统根据用户或用户角色信息,给出指定的认证方式进行认证,用户只有在通过指定认证方式认证的情况下才能登录进入系统;即使用户使用其他认证方式登录进入系统,对需要进行强制认证的系统或应用场景依然需要二次强制认证,可以充分保证系统的运行安全和操作维护安全。
作为统一认证及访问控制的一部分,统一身份认证平台为用户提供了“联邦身份认证中心”,通过让业务系统实现联邦认证(单点认证)接口的方式,实现用户在统一身份认证平台完成认证后,可自由单点到其他被授权访问的业务系统中。
2.5完善的单点登录机制
统一身份认证平台具有完善的单点登录体系,可安全地在应用系统之间传递或共享用户身份认证凭证,用户不必重复输入凭证来确定身份。
不仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。
图2-2应用系统单点登录配置界面
统一身份认证平台具有多种单点登录实现方式,由下面章节详细介绍。
2.5.1应用系统帐号传递机制——主从帐号管理
统一身份认证平台的用户信息数据独立于各应用系统,形成统一的用户唯一ID,并将其作为用户的主帐号。
如下图所示:
图2-3主从帐号管理机制
(1)在通过平台统一认证后,可以从登录认证结果中获取平台用户唯一ID(主帐号);
(2)再由其关联不同应用系统的用户帐号(从帐号);
(3)最后用关联后的帐号访问相应的应用系统。
当增加一个应用系统时,只需要增加用户唯一ID(主帐号)与该应用系统帐号(从帐号)的一个关联信息即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户帐号不同的问题。
单点登录过程均通过安全通道来保证数据传输的安全。
2.5.2应用系统帐号传递机制——Ticket票据
在用户访问应用系统之前,由统一身份认证平台生成一次性的访问Ticket票据,并将Ticket提交给应用系统,应用系统通过加密的方式回连平台,并验证Ticket有效性,之后返回认证结果和用户身份信息给应用系统。
应用系统根据验证结果确认用户身份,并分配用户权限。
此种认证登录方式下还可以配合IP地址绑定等方式,通过增加客户端可识别信息进一步加强系统间交互的安全性。
2.5.3B/S应用单点登录实现方式——API插件
插件方式采用SSO认证服务和集成插件(SSOAPI)的方式进行交互验证用户信息,完成应用系统单点登录。
插件方式提供多种API,通过简单调用即可实现SSO。
开发语言
API形式
J2EE
JAR包
ASP/DotNet
COM组件
Domino
DSAPI
通常情况下,对于有原厂商配合开发的B/S架构、C/S架构应用系统,推荐使用该方式接入统一身份认证平台,以实现高效率高可靠的单点登录。
图2-4插件机制
插件方式下通过平台访问应用系统的流程如下:
(1)用户在平台上点击访问的应用系统URL链接;
(2)由平台验证用户权限,有权限则在平台数据库中查询用户和应用系统的关联表,无权限则提示用户无权访问;
(3)如关联表中无相应记录,则该用户未授权,不允许访问;如关联表中有相应记录,则平台服务器提取用户在该应用系统中的身份信息,送至SSO服务加密签名形成数字信封后,返还给平台;
(4)由平台将加密信息发送给相应的应用系统;
(5)应用系统调用SSOAPI,对加密信息进行解密,得到用户身份信息并返回给应用系统;
(6)应用系统收到用户身份信息后通过信任机制允许用户访问应用系统。
2.5.4B/S应用单点登录实现方式——反向代理
在完成客户端与认证服务器的交互认证后,用户先登录进入平台系统,然后利用反向代理技术完成服务器端代理用户认证,并将应用系统信息推送给客户端浏览器,从而实现用户对该应用系统的访问。
这种方式下应用系统基本不需改动和开发,对于不能作改动或没有原厂商配合改动的B/S架构应用系统,可以使用该方式接入统一身份认证平台。
实现上,采用SSO认证服务和SSOAgent进行交互验证用户信息,完成应用系统单点登录。
图2-5反向代理机制
反向代理方式下通过平台访问应用系统的流程如下:
(1)用户在平台上点击访问的应用系统URL链接;
(2)由平台验证用户权限,有权限则在平台数据库中查询用户和应用系统的关联表,无权限则提示用户无权访问;
(3)如关联表中无相应记录,则浏览器弹出建立关联的页面;如关联表中有相应记录,则平台服务器提取用户和应用系统的关联信息,送至SSO服务加密签名形成数字信封后,返还给平台;
(4)由平台将加密信息发送给应用系统前端的SSOAgent;
(5)SSOAgent收到加密信息后进行解密,并向应用系统提交用户关联信息;
(6)应用系统收到用户关联信息后进行验证,验证成功则允许用户访问应用,失败则提示用户更新关联信息。
在反向代理模式下,为了保证用户管理信息的正确,统一身份认证平台还提供了数据库适配器、LDAP适配器、HTTP适配器等组件,实现用户身份关联映射信息的自动校验。
2.5.5B/S应用单点登录实现方式——客户端代理
对于部分应用场景中应用系统不能停机或开发商不能配合的情况,统一身份认证平台可采用客户端代理技术,自动地完成应用系统单点登录。
其具体认证登录过程如下:
(1)在统一身份认证平台管理功能中为应用系统激活客户端代理功能,由管理员配置好客户端代理所需要的用户认证参数;
(2)用户登录单点登录平台;
(3)用户点击应用系统访问链接;
(4)客户端代理自动启动,并向应用系统服务器端传递用户认证参数;
(5)应用系统服务器端接收到认证参数,按照自身的认证方式通过用户验证,进入系统;
(6)用户使用应用系统而无需进行其他操作。
2.5.6B/S应用单点登录实现方式——HTTPHEADER
当用户访问应用系统时,统一身份认证平台的认证登录功能将该用户信息加密后放在HTTPHEADER中传递给应用系统。
应用系统接收后解析HTTPHEADER内容,获得用户信息,验证后进入应用系统。
考虑到HTTP明文传输的因素,可考虑使用SSL加密通道或关键信息加密通道保护用户认证信息的安全。
同时,统一身份认证平台也可以在HTTPHEADER中置入经过加密的用户信息,需要对应用系统登录认证模块进行改造,使其识别加密后的用户信息,从而实现用户身份验证。
2.5.7C/S应用单点登录实现方式
统一身份认证平台支持C/S模式应用系统,可提供应用系统插件API,方便的对目前大部分C/S模式的应用程序进行身份认证和单点登录接入。
一般的应用程序在登录时都包括如下内容:
✧程序名称
✧用户名框
✧密码框
✧登录按钮
✧服务器地址
✧服务器端口
许多客户端的服务器地址和端口利用配置文件存储在客户端安装目录中,所以服务器地址和端口属于可选组件。
统一身份认证平台支持CS客户端单点登录的方式主要是利用“单点登录配置助手”分析客户端登录窗口,通过配置,使统一身份认证平台可以在用户门户页面中通过用户点击链接调用客户端,并填写登录信息、点击登录按钮进行单点登录。
图2-6单点登录配置助手
管理员利用配置助手工具分析CS客户端登录窗口后,按照分析结果,填写配置信息及访问策略后,用户即可在平台用户门户页面通过点击链接的方式使用。
图2-7C/S应用单点登录后台配置
图2-8平台用户Portal页面
2.5.8单点退出
与单点登录相对应,单点退出功能可以解决“单点登录”功能在方便用户的同时留下的安全隐患,用户在平台中主动下线或超时下线时,统一身份认证平台会向业务系统发起用户下线通知,告知业务系统,某用户已经下线,请销毁相关Session会话。
2.6灵活的授权方式
统一身份认证平台同为企业用户提供了多种灵活的授权方式:
角色授权
部门组织机构授权
动态授权
图2-9组织机构
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 统一 身份 认证 平台 白皮书