中国石油信息系统认证与授权管理方案规划

中国石油信息系统认证与授权管理中国石油信息系统认证与授权管理 方案设计方案设计 中国石油制订信息安全政策与标准项目组中国石油制订信息安全政策与标准项目组 2019 年年 6 月月 11 日日 目录 前 言 6 1概述 .7 1.1项目背景7 1.2项目目的8 2现状概述9 2.1身份管理9 2.1.1现状分析与改进推荐9 2.1.2解决方案15 2.2认证管理15 2.2.1现状概述15 2.2.2解决方案17 2.3访问管理17 2.3.1现状概述17 2.3.2解决方案18 3总体架构19 3.1认证与授权在信息技术总体架构中所处的位置19 3.2认证与授权管理设计原则 19 3.3认证与授权管理的概念模型.21 3.3.1中国石油认证与授权管理需求概述 21 3.3.2认证与授权管理概念模型.22 3.4总体架构26 4目录服务与身份管理27 4.1概述.27 4.2集成设计28 4.2.1概述.28 4.2.2集成的内容 29 4.2.3集成的模式 32 4.2.4数据流设计 33 4.3数据设计35 4.3.1概述.35 4.3.2组织和组织单元对象37 4.3.3人员对象38 4.3.4其它对象39 4.3.5附：Schema 设计介绍.39 4.4逻辑设计41 4.4.1概述.41 4.4.2后缀选择42 4.4.3目录分支结构.43 4.4.4条目 RDN 选择 46 4.5物理设计47 4.5.1概述.47 4.5.2数据划分48 4.5.3目录数据库的物理分布 49 4.6复制设计50 4.6.1概述.50 4.6.2复制的内容 51 4.6.3复制的模式 51 4.6.4复制的频度 53 4.7安全设计54 4.7.1概述.54 4.7.2密码政策55 4.7.3访问控制56 4.7.4加密.57 4.7.5审计跟踪57 5认证管理57 5.1概述.57 5.2PKI 设计 .58 5.2.1概述.58 5.2.2密钥的生成及存储 .59 5.2.3证书的生成 60 5.2.4证书的合法性验证 .61 5.2.5交叉认证62 5.2.6证书政策62 5.2.7PKI 实施策略63 5.3多认证体系65 6访问管理66 6.1概述.66 6.2对桌面资源的访问管理67 6.3对 Web 资源的访问管理67 6.3.1访问者描述 69 6.3.2资源描述69 6.3.3规则描述70 6.4对 C/S 应用的访问管理 .71 7产品技术分析.71 7.1认证与授权管理产品分类 71 7.1.1目录服务72 7.1.2身份管理72 7.1.3认证管理73 7.1.4访问管理74 7.2认证与授权产品市场分析 74 7.2.1目录服务74 7.2.2身份管理76 7.2.3认证管理77 7.2.4访问管理78 7.3认证和授权管理产品供应商简要分析 80 7.3.1IBM 80 7.3.2Microsoft81 7.3.3Sun 81 7.3.4Novell.82 7.3.5CA83 7.3.6PKI 供应商.83 8路标规划84 8.1实施风险分析 84 8.1.1风险分析84 8.1.2风险评估87 8.2分阶段路标规划.88 8.2.1阶段定义88 8.2.2实施路标91 8.3第一阶段实施计划.91 8.3.1第一阶段实现的功能91 8.3.2第一阶段技术架构 .92 8.3.3项目计划92 8.3.4所需资源97 8.3.5投资估算97 9附：认证与授权技术概述.98 9.1目录服务技术概述.98 9.1.1目录服务及发展简介98 9.1.2LDAP 的工作过程 98 9.1.3LDAP 模型.99 9.2认证管理技术概述.103 9.2.1认证方式103 9.2.2PKI 技术简介107 9.2.3国内 PKI 标准化现状 .113 9.3访问管理技术概述.114 9.3.1基于角色、基于政策的访问管理114 9.3.2X.509 PMI 简介114 9.3.3SAML 简介.114 前前 言言 中国石油天然气股份有限公司（以下简称“中国石油”）认证和授权系统设计由三部分组成： 1、现状报告 分析中国石油认证与授权的现状及存在的问题，为下一步方案设计提供参考。 2、需求分析报告 对中国石油认证与授权管理建设进行分析和展望，并提供可行的建设思路。 3、方案设计 提出中国石油认证与授权管理的总体技术架构，进行认证和授权产品的市场分析，并给出相应 的路标规划和实施计划。 本报告是系统设计的第三部分。 1 概述概述 本报告是中国石油制定信息安全政策与标准项目中认证与授权系统设计的第三部分，目的是提 出中国石油认证与授权管理的总体技术架构，进行认证和授权产品的市场分析，并给出相应的路标 规划和实施计划。报告包含以下内容： 现状与需求概述 总体逻辑架构 目录服务与身份管理逻辑架构 认证管理逻辑架构 访问管理逻辑架构 产品技术分析 路标规划 1.1项目背景项目背景 现代企业对信息的依赖越来越大，信息已成为现代企业的一种重要资产。 为保证中国石油信息系统的安全、健康、持续发展，降低信息技术给业务带来的威胁和风险， 保证信息建设取得最大化的效益，根据中国石油信息化建设总体规划，中国石油开始实施制订信息 安全政策和标准项目。 在中国石油众多的信息安全风险中，用户管理的安全风险尤为突出，如内部人员可随意访问重 要业务信息、无法有效控制外部人员未经授权的访问、对远程用户缺乏安全访问控制机制、多种应 用导致用户信息过多而难以记忆等。要合理地约束和消除这些风险，中国石油认证与授权管理建设 势在必行。其中，认证的目的是正确地识别用户的身份，授权的目的是为了使用户能且只能访问被 授权访问的资源。 1.2项目目的项目目的 认证和授权系统设计是中国石油制订信息安全政策和标准项目的一部分。其目的是通过对中国 石油认证和授权的现状进行评估，结合行业发展趋势和最佳实践为中国石油设计出既有可操作性， 又具备前瞻性的认证和授权的技术架构，并给出相应的投资预估和实施计划。 2 现状概述现状概述 2.1身份管理身份管理 2.1.1现状分析与改进推荐现状分析与改进推荐 标题标题中国石油现状中国石油现状主要影响与问题分析主要影响与问题分析改进推荐改进推荐 1. 信息存储电子邮件、企业信息门户公用 用户存储信息，其它系统各自 独立 2. 用户注册各系统进行独立的用户注册， 无统一开户流程，无统一的策 略和方法 由系统管理员根据使用需求开 户 存在公用帐号 用户注册 / 注销过程缺乏统一管理，围绕不同 的应用将形成若干安全孤岛。 管理成本增高管理成本增高 随着中国石油应用数量的增加，系统用户 维护工作量将急剧增大，管理成本将不断 增高。另一方面，各应用维护独立的用户 信息，将不利于用户信息的标准化，不利 于信息的共享。 用户使用不便用户使用不便 一名中国石油系统用户可能存在大量系统 用户名/密码，不易记忆。某些用户为了记 住不同系统的用户名和密码，往往将其写 在纸上，甚至放在桌面上，这将大大提高 安全风险。 缺乏统一的组织进行管理缺乏统一的组织进行管理 中国石油的不同应用往往是由不同的部门 进行维护。当应用维护各自的用户信息时， 将很难建立统一的组织进行用户信息的统 一管理，将很难保证用户信息的准确性、 建立用户信息的中心存储，将中国石油主 流应用的用户信息进行统一的管理。这是 集成认证和授权管理的基础。 进行统一的用户注册 / 注销。可以有两种 方式实现： 利用目前用户信息的主要入口（如电子邮 件系统）进行用户信息的控制；或 新建一个管理接口，对用户信息的中心存 储进行控制。 3. 用户注销无帐户取消的策略和控制措施 一致性和保密性。 安全风险加大安全风险加大 部分应用，如中油财务采用公用帐号，将 提高系统的安全风险。另一方面，缺乏帐 号取消 / 注销的策略和控制措施，用户离 职、换岗位后其系统用户信息往往未能及 时注销 / 更改， 也将提高系统的安全风险。 4. 分权管理电子邮件系统和企业信息门户 采用分权管理的方式 其它应用由于用户数较少，基 本采用中心管理的方式 大部分应用采取中心管理的方式，难以适应中 国石油业务和组织结构快速变革的现状。 灵活性、分布性差灵活性、分布性差 中国石油业务和组织结构快速变革，系统 管理的职责分布也在不断变化，中心管理 的方式将无法适应根据公司的政策对系统 管理职责进行灵活的调整的业务需求。 中心维护量大，可扩展性差中心维护量大，可扩展性差 中心管理的方式将所有的用户维护工作量 都落在了中心一侧，当用户数不断增加时， 中心将不堪重负。用户信息的分权管理， 即由最接近用户的管理员进行用户信息维 护将能有效减少中心的维护量，并提高系 统的可扩展性。 采取集中和分布管理的策略，进行用户信 息的分权管理。 5. 用户自管理大部分应用只提供用户密码修 改的自管理功能 系统维护压力大，用户自主能力弱。 数据缺失或难以保证数据的准确性数据缺失或难以保证数据的准确性 不提供用户自服务功能，则一些与用户密 切相关的个人信息，如手机号码、家庭住 址、备用电子邮件地址等将无法存储在系 提供充分的用户自服务，包括修改个人密 码、丢失密码查询（例如通过询问个人问 题找回丢失的密码）、订阅应用（例如在 企业信息门户中，用户自定义关注的 Web 部件）等，降低技术支持成本。 统中，或无法得到及时的维护。 对系统管理的依赖性大对系统管理的依赖性大 用户自服务功能的不足，将大大增加用户 技术支持的工作量。将部分用户管理的权 限（或某些信息的修改权限）交给用户自 身，是降低系统维护压力，提高用户满意 度的重要手段。 难以支持动态的应用难以支持动态的应用 应用的动态化是一种必然的趋势。企业信 息门户上的一个 Web 部件便是一个动态 的应用。每一个新的动态应用都需要确定 新的使用用户群，提供用户对部分应用自 订阅（即登记为该应用的用户）的功能将 能支持应用动态化的需求。 6.外部用户管 理 目前除电子商务外，其它系统 无外部用户 无法与外界进行快速的信息和应用集成，与外 界的沟通效率低下。 不利于与外界的信息快速集成不利于与外界的信息快速集成 中国石油有大量的合作伙伴、供应商和客 户。缺乏对外部用户的支持，将不利于与 外界进行的信息和应用的集成，影响中国 石油的核心竞争力。 将外部用户（合作伙伴、供应商、客户） 进行统一的管理，并放置在独立的安全子 域中。 7. 数据维护用户信息存储各自独立，无同 步和集成关系 系统各自独立，用户信息难以保持一致。 无中心存储，数据不一致无中心存储，数据不一致 缺乏用户信息的集中存储和统一管理，将 难以保证用户信息的一致性。缺乏用户信 息同步和集成的自动化的工具，目前只能 通过手动的方式，这将难以保证信息的准 进行动态的用户管理，实现中国石油主流 应用的用户信息的同步和集成，降低数据 维护成本，并提高数据质量。 确性。 管理成本高，效率低管理成本高，效率低 不同系统的用户信息无法实现同步和集成， 用户信息的管理成本将随着应用的增加而 迅速增高，而管理效率却将不断降低。 8. 数据质量保 证 数据准确性由管理员保证 无统一的帐号规则 电子邮件/企业信息门户已制订 密码政策 用户信息难以集成，难以管理。 易重复，难管理，难记忆易重复，难管理，难记忆 缺乏统一的帐号规则，使得系统管理、系 统集成难以进行。缺乏统一的帐号规则， 也使得用户难以记忆不同系统的帐号名。 用户信息难以与员工的真实身份相对应用户信息难以与员工的真实身份相对应 中国石油缺乏组织及员工个人的统一编码， 使得信息系统的帐号命名难以与员工的真 实身份相对应。建立中国石油全公司范围 的人力资源系统，建立中国石油组织及员 工的统一编码，将是设立中国石油统一帐 号规则的基础。 数据冗余，存在大量“垃圾”用户信息。 存在数据冗余存在数据冗余 各系统用户信息存储各自独立，无统一部 门管理，使得各系统存在大量的用户数据 冗余。数据冗余的存在将影响信息系统的 效率，并增加管理成本。 存在存在“垃圾垃圾”用户信息用户信息 由于各系统的用户信息的准确性难以得到 通过自动的管理流程及管理工具保证用户 信息数据的准确性和一致性，避免因为管 理员人为的因素造成的数据质量下降。 建立统一的中国石油信息系统用户名命名 规则，并确保用户命名的唯一性和稳定性 （即采用不易变化的信息如员工编码，作 为用户名的一部分）。 建立中国石油统一的密码政策，保证密码 的质量。并通过便利工具保证密码政策的 顺利执行。 保证，帐号与员工的真实身份难以对应， 系统存在大量“垃圾”用户信息。而缺乏 用户帐号注销的制度和手段，使这一问题 更为严重。这些“垃圾”用户信息的存在， 一方面增加了管理成本，另一方面也增加 了系统的安全风险。 “将大门的钥匙搁在门口”。 安全系统本身不安全安全系统本身不安全 密码是中国石油目前大多数应用系统的第 一道，甚至是唯一的一道安全关卡。密码 本身的质量和安全对于中国石油的信息安 全至关重要。 不易实施，推行阻力大不易实施，推行阻力大 好的密码政策需要得到好的推行。中国石 油电子邮件系统制订了完善的密码政策， 包括密码的长度、密码修改的频度、原始 密码的更改等，但由于缺乏相应的控制措 施，使得这些政策并没有得到实际执行。 提供便利的密码政策执行工具是确保密码 政策顺利推行的保障。 2.1.2解决方案解决方案 建立中心的用户存储，实现动态的用户管理。 2.2认证管理认证管理 2.2.1现状概述现状概述 标题标题中国石油现状中国石油现状主要影响与问题分析主要影响与问题分析改进推荐改进推荐 1. 认证申请未实施 PKI，各系统基本只提 供用户名-密码的方式进行基本 认证 目前各系统均只提供用户名-密 码的方式进行基本认证 电子商务和中油财务的密码分 发是通过电子邮件 电子邮件系统通过按一定规则 设立原始密码而实现变通的密 码分发 认证信息生成过程可信度差，认证信息易被窃 取。 认证信息易被窃认证信息易被窃 认证信息生成过程的安全是信息安全链中 的重要一环。认证信息生成过程不安全， 将导致认证信息（如证书、密钥等）被窃 取，从而从根本上动摇系统的安全。强认 证体系（如 PKI）能有效提高认证信息生 成过程的安全级别。 实施公钥体系（PKI 或 Kerberos），确保 认证信息生成全过程的安全可靠。 2. 信任状采集目前无多认证机制，各系统独 立进行单一的信任状采集 认证方式单一，缺乏强认证。 缺乏强认证缺乏强认证 目前中国石油各系统基本只采用用户名-密 码的基本认证，缺乏强认证手段，认证可 信度差。缺乏可信的认证，将无法在中国 石油内部及与合作伙伴、供应商、客户之 间进行安全的信息交互和协同工作（电子 商务），影响中国石油的核心竞争力。强 认证的方式包括公钥体系 （PKI、Kerberos）、动态口令（令牌）、 智能卡、生物特征（指纹、声音、视网膜） 认证等。 认证方式单一认证方式单一 支持根据中国石油的政策对多种认证方式 的进行灵活的切换。支持多种认证方式的 组合，实现多因素（n-factor）认证。 为根据公司安全政策的需求灵活切换用户 的认证方式、为实现不同应用之间的交叉 认证，系统应提供多认证机制，支持各种 通用的认证方式及认证方式的结合。另一 方面，采用多因素认证（如密码+令牌， 密码+证书+智能卡等）是加强认证可信度 的有效手段。 3. 身份信息移 交 无中心认证管理，各应用利用 各自的认证管理模块进行认证， 认证成功访问各自的资源，无 身份信息移交问题 无交叉认证，无登录联盟站点 的需求 在不同系统需进行多次登录，沟通效率低下。 沟通效率低下沟通效率低下 缺乏中心认证，在登录不同的系统时需要 不同的认证过程，这将影响系统间的沟通 效率，甚至完全无法在系统之间共享信息。 缺乏与供应商、客户的交叉认证，将影响 中国石油与外界的业务信息交互。 实施企业级认证服务，实现中心认证，建 立完整的中国石油信息安全信任体系。 提供对联盟站点的交叉认证，建立与外界 的高效沟通渠道。 2.2.2解决方案解决方案 建立企业级认证服务，提供强认证，实现多因素认证。 2.3访问管理访问管理 2.3.1现状概述现状概述 标题标题中国石油现状中国石油现状主要影响与问题分析主要影响与问题分析改进推荐改进推荐 1. 授权申请各系统独立进行访问管理 无统一访问管理机制，无 SSO “个人自扫门前雪”。 无法提高用户使用体验无法提高用户使用体验 缺乏单点登录，用户访问不同的系统资源 的时候可能需要进行多次的认证和授权。 随着中国石油应用数量不断增加、应用的 异构性不断增大，用户的使用体验将变得 很糟糕。提供单点登录，使后台认证和授 权过程对用户透明对于提供良好的用户体 验、降低技术支持成本至为重要。 实施单点登录（SSO），用户单次认证后 获取对主要桌面资源、Web 资源和 C/S 应用的相应的访问权限，提高用户生产效 率和使用体验。 2. 授权控制无统一的访问控制规则、群组 和角色的规划和设计 访问控制规则逻辑复杂，易产生安全漏洞。 维护复杂，开发、管理成本高维护复杂，开发、管理成本高 不同的系统需要各自的访问管理模块以进 行独立的访问授权，对访问控制规则的配 置和管理也无法统一。进行统一的访问控 制规则设置，将有效控制应用开发和系统 维护成本。另一方面，对访问控制的中心 和统一配置，也便于实现内容的个性化。 产生安全漏洞产生安全漏洞 当不同的系统对同一用户就同一系统资源 进行各自的访问授权时，很难保证彼此之 间的一致性，易产生逻辑安全漏洞。 进行统一的访问控制规则设置，降低应用 开发和系统维护成本，减少因访问控制规 则冲突及遗漏而产生的逻辑安全漏洞。 3. 资源访问无统一授权管理，各系统访问 各自的资源 对系统资源的保护方式不一致。 难以给系统资源提供全面的、一致的保护难以给系统资源提供全面的、一致的保护 对系统资源的全面和一致的保护是中国石 油信息安全面临的一大挑战。随着中国石 油应用的数量越来越多、用户数量越来越 大，这一问题变得更为突出。对系统资源 基于中国石油的政策，对中国石油主要的 系统资源进行全面和一致的保护，实现中 国石油信息安全的集成管理。 的访问控制应基于中国石油的信息安全政 策，提供统一访问管理平台以一致的方式 全面保护中国石油的各类关键系统资源是 实现中国石油信息安全的集成管理的有效 手段。 2.3.2解决方案解决方案 实现对桌面资源、Web 资源和 C/S 应用的统一访问管理。 3 总体架构总体架构 3.1认证与授权在信息技术总体架构中所处的位置认证与授权在信息技术总体架构中所处的位置 如下图所示，认证与授权作为一种安全服务，是系统服务的一种： 应用数据 操作环境 网络基础设施 系统服务 安全服务 认认证证与与授授权权 内容安全 审计跟踪 . 技术 基础 设施 图 1 认证与授权在信息技术总体架构中的所处的位置 如同许多其它系统服务，认证与授权的发展趋势是从应用中分离出来，独立成认证与授权服务 器产品，并在此基础上实现对不同应用的集成。 在所有的信息安全控制中，认证和授权是第一关，如下图所示： 响应与恢复认证与授权访问控制内容安全审计跟踪 身份管理认证管理访问管理 预预 防防保保 护护检检 测测响响应应与与恢恢复复 图 2 信息安全生命周期 由于人是信息系统的核心，所以确定用户的正确身份，并赋予正确的访问权限是信息安全的首 要问题。认证与授权已成为了信息安全的核心问题。 3.2认证与授权管理设计原则认证与授权管理设计原则 中国石油认证和授权管理的建设是一项系统工程，为确保其实施成功，应遵循以下设计原则： 总体设计，分步实施总体设计，分步实施 良好的规划是成功的一半。中国石油业务变革快速、人员分散、应用复杂，对认证和授权管理 的总体规划和集成设计至关重要。同时，认证和授权管理的建设工程庞大，需遵循分布实施的原则， 按阶段逐步实施，优先进行可快速见效（Quick-Win）的有关工作，并在一定范围内进行试点再加以 推广。 集中和分布相结合的体系结构集中和分布相结合的体系结构 集中进行规划、设计和配置，对于保证系统的一致性很重要。另一方面，分布部署并分布管理， 由最接近最终用户群的管理员进行用户信息的管理，将能提高系统管理的效率、保证数据的准确性 和可信度。 尽可能利用已有的技术基础设施和设计尽可能利用已有的技术基础设施和设计 保证中国石油已有的技术基础设施的投资是中国石油认证和授权管理的重要设计原则。方案设 计应充分考虑中国石油的网络现状，考虑操作环境、Web 服务器、数据库服务器的兼容性和支持度， 实现现有认证和授权服务的平滑迁移。 全面考虑内部和外部用户的使用需求全面考虑内部和外部用户的使用需求 方案应全面考虑内部员工、合作伙伴、供应商和客户的使用需求。提供与公司外部的交叉认证， 以实现信息集成，并实现高效的沟通。 易于实施，高效、可靠易于实施，高效、可靠 进行认证和授权管理建设，可选技术和可选产品众多。对中国石油而言，根据公司现状选择最 适宜的技术和产品，进行成功的实施最为重要。系统的高效和可靠性是衡量系统成功的重要指标。 可考虑借助外部服务商进行系统实施。 便于管理，易于扩展便于管理，易于扩展 好的系统需要好的管理。方案设计应易于管理，易于使用，易于推行。此外，需要提供对用户 认证和授权全过程的全面的审计和跟踪。 模块化设计模块化设计 方案应遵循开放的行业标准、平台独立，以支持模块化设计、分步式实施。 3.3认证与授权管理的概念模型认证与授权管理的概念模型 认证与授权管理的概念模型是对认证和授权管理功能的分解和定义，有助于我们就认证和授权 管理的基本模块及之间的相互关系达成共识。 3.3.1中国石油认证与授权管理需求概述中国石油认证与授权管理需求概述 中国石油认证与授权管理的概念模型，是业界通用认证和授权管理技术模型和中国石油的实际 业务需求结合的结果。 3.3.1.1功能需求 如本系统设计的第二部分（需求分析报告），中国石油认证与授权管理有以下的功能需求： 1、中心存储和管理用户信息 支持主要系统的用户信息集成，集成这些系统最主要的用户信息，并将管理成本控制在合理的 范围内。 支持各种类型的用户，提供灵活的管理模式，及时有效地获取正确的用户信息。 2、正确地识别所有的用户，并提供合适的身份信息 支持多种认证方式，实现认证的中心和集成管理，支持认证优先级、并发认证和多因子认证等， 认证过程对用户透明。 支持主要应用，并提供统一的认证管理接口，并实现 SSO。 不仅需支持对内部用户的认证，还需支持对外部用户的认证。保证认证过程本身是安全可靠的。 3、使用户能且只能访问正确的资源 提供灵活的访问控制机制，对基于 Windows 的桌面资源、Web 资源和 C/S 应用进行统一的访 问管理。 3.3.1.2非功能需求 如本系统设计的第二部分（需求分析报告），中国石油认证与授权管理有以下的非功能需求： 1、互操作性 （系统实施关注点） 支持有关国际标准，能与第三方产品（包括各种目录服务器、数据库、Web 服务器和应用服务 器等）很好地集成，与操作系统和硬件平台相独立。 可进行定制以对系统功能加以扩展，并能加入自己的认证算法和授权算法等。 2、可管理性 （系统管理、用户使用关注点） 支持对所有认证和授权行为的日志，支持日志过滤、日志备份、日志恢复和跟踪，可生成有关 的报表。 支持多语言（特别是中文），提供用户在线学习功能，并支持用户界面个性化。 3、可用性（系统性能关注点） 提供认证和授权管理基础设施 724 的高可用性，满足中国石油系统管理的服务水平承诺。 提供负载均衡与容错能力，提供基于软件和基于硬件的集群，提供高可靠的备份和恢复，提供 完善的运营维护和灾难恢复计划。 3.3.2认证与授权管理概念模型认证与授权管理概念模型 下面将对认证和授权管理的功能的进行分解。 3.3.2.1功能分解 认证和授权管理包括以下四个功能模块： 1、目录服务 存储多种不同来源的用户/资源信息。 实现的功能需求：中心存储用户信息 2、身份管理 管理用户身份信息，并提供自动工作流程和自服务、分权管理功能。 实现的功能需求：中心管理用户信息 3、认证管理 提供对多种认证方式的中心管理，提供强认证服务。 实现的功能需求：正确地识别所有的用户，并提供合适的身份信息 4、访问管理 进行访问规则定义，并进行访问规则的中心控制。 实现的功能需求：使用户能且只能访问正确的资源 如下图所示： 目录服务 访 问 管 理 应用 认证管理 身份管理 统 一 入 口 客户 合作伙伴 员工 图 3 认证与授权管理的四个功能模块 3.3.2.2目录服务与身份管理 目录服务可以提供对身份信息的中心存储，身份管理可以提供对身份信息的中心管理。部分产 商将目录服务和身份管理统称身份管理。 目录服务与身份管理的功能可以分为三个子块，即 1、存储子模块 即目录服务模块。 2、同步子模块 即元目录，或动态用户管理（User Provisioning）模块。 3、管理子模块 包括针对管理员的分权管理模块，针对用户的自服务模块，即基础的工作流模块。 如下图所示： 自服务 工作流 分权管理 信息同步 应用 目录 服务 用户 管理员 审计 服务 图 4 目录服务与身份管理的子功能模块 3.3.2.3认证管理 认证管理提供对认证信息和认证过程的统一管理。 认证管理的功能可以分为四个子块，即： 1、存储子模块 即认证信息（如证书、密码等）的存储，一般采用目录服务。 2、证书管理子模块 提供对证书的生成、存储、发放等功能。 3、认证子模块 即认证引擎，实现认证的核心功能通过查询认证信息存储并结合有关策略，验证认证申请的 合法性。 4、中心管理子模块 提供认证方式的切换、认证优先级设置、交叉认证等功能。 如下图所示： 认证 引擎 认证信息 存储 证书管理 服务 认证申请 中心认证 服务 用户 图 5 认证管理的子功能模块 3.3.2.4访问管理 访问管理提供对访问各类系统资源的统一管理。 访问管理的功能可以分为三个子块，即： 1、存储子模块 即政策信息（即访问控制规则）的统一存储，一般采用目录服务。 2、授权子模块 是访问管理的核心模块，受理授权申请，通过查阅政策信息存储并结合有关策略，决定访问者 应具有的访问权限，并将此信息传递给资源控制器（即代理子模块）。 3、代理子模块 即资源控制器。在不同的系统资源上设置代理控制，以实现对系统资源的访问管理。 如下图所示： 授权 服务 政策 存储 代理 控制 应用 / 信息 授权申请 图 6 访问管理的子功能模块 3.4总体架构总体架构 基于中国石油的实际需求和基本设计原则，结合认证与授权技术发展的趋势，可以给出以下中 国石油认证与授权管理总体架构： 防火墙 防火墙 认证管理系统 DMZ DMZ 审计服务器 元目录 身份管理系统 Intranet 用户 Extranet 用户 Internet 用户 主目录 OracleSybase活动目录LDAP 中心安全 日志 X.509 证书 X.509 证书 Web Server App Server Portal Server 访问管理系统 电子 商务 中油 财务 ERP 电子 邮件 EIP. DB 图 7 中国石油认证与授权管理总体架构 说明： 1、目录服务系统是架构的基础模块。缺乏目录服务，将无法有效支持身份管理、认证管理 和访问管理。 2、身份管理系统是实现不同应用的身份存储统一管理的基础。除非不实施身份信息的统一 管理，否则身份管理系统不可或缺。 3、认证管理系统并非必须，各系统往往自带认证模块。如果需实施 PKI，需要提供证书管 理服务。 4、由于系统资源的多样性，访问管理系统有多种，目前最为成熟的是对 Web 资源的访问 管理（称为 Web SSO）。 5、审计服务可以附加在各类系统（门户服务器、认证管理系统、访问管理系统等）中，也 可以是独立的产品。 6、采用以上架构，可以提供身份信息的统一存储和统一管理，并实现身份认证及资源访问 的集成管理，同时最大程度地保护中国石油现有的技术基础设施的投资。 以下章节，将围绕认证与授权管理的功能模块：目录服务、身份管理、认证管理和访问管理展 开。 4 目录服务与身份管理目录服务与身份管理 目录服务 目录服务与身份管理可实现身份信息的中心存储和中心管理。对其的设计是认证和授权管理的 基础。 4.1概述概述 中国石油的目录服务和身份管理设计应满足以下两大主要设计目标： 支持大量不同的应用支持大量不同的应用 可管理及经济合理可管理及经济合理 需要进行以下设计工作以实现以上目标： 集成设计，确定身份信息集成的需求和方式，确定身份信息的所有者和使用者； 数据设计，确定目录的数据结构； 逻辑设计，确定目录的逻辑结构（即目录信息树的分支及命名）； 物理设计，确定目录的物理结构（即目录数据的划分及分布）； 复制设计，确定目录数据的复制方式及目录服务器的地理分布； 安全设计，确定目录服务器和目录数据的安全保护框架。 如下图所示： 1.身身份份管管理理 2.认认证证管管理理 3.访访问问管管理理 1.1 集成设计 1.2 数据设计 1.3 逻辑设计 1.4 物理设计 1.5 复制设计 1.6 安全设计 4.2集成设计集成设计 4.2.1概述概述 目录服务与身份管理的集成设计，目的是通过确定身份信息的所有者和使用者，进行身份信息 的集成，并进行身份信息数据流的设计，降低身份信息的管理成本，提高身份信息数据的准确性和 一致性。 中国石油目录服务及身份管理的集成设计的设计目标是： 集成中国石油所有主要应用的用户身份信息 提供对身份信息的统一管理接口，降低用户身份信息的管理成本 提高用户身份信息数据的准确性和一致性 应满足以下设计原则： 易于管理和易于使用 基于开放的行业标准，独立于硬件平台 结构灵活，可扩展 需要进行以下设计工作： 确定需要集成至目录的信息 确定应用与目录集成的方式 确定目录信息的所有者 确定目录信息的使用者 如下图所示： 1.身身份份管管理理 2.认认证证管管理理 3.访访问问管管理理 1.1 集成设计 1.2 数据设计 1.3 逻辑设计 1.4 物理设计 1.5 复制设计 1.6 安全设计 1.1.1 集成的内容 1.1.2 集成的模式 1.1.3 数据流设计 4.2.2集成的内容集成的内容 4.2.2.1基础分析 目录与关系型数据库相比，有以下不同： RDBMSDirectory 为 SQL 操作优化（读、写操作相对均衡）为简单查询操作优化（支持大量的查询操作） 复杂关系数据模型（数据之间关系复杂）简单层次数据模型（数据之间关系简单） 格式与应用相关（不同的数据库格式不同）标准的、跨平台的格式（IETF 国际标准） 无标准的访问协议有标准的访问协议（LDAP） 适合放在目录中的数据应有以下特征： 对其的读操作远超过其写操作； 可以用“属性数据”的格式表达（如 cn=Raymond Yin）； 有多于一个的读者感兴趣； 将从多于一个的物理地点进行访问。 为提高搜索的效率，在目录中不适宜放置大量、非结构化的对象，例如图像或其它媒体文件。 这些文件应保存在文件系统中，目录中可以存储这些文件的指针。 对中国石油来说，采用目录服务的主要目的是进行身份信息的存储。中国石油的身份信息包括 包含以下三类： 1、人员信息。如用户名、用户真实姓名、E-mail 地址、电话号码、密码、X.509 证书等。 2、组织信息。如公司名、公司部门编码、服务器站点信息等。 3、权限信息。如群组、角色、访问控制列表（ACL）等。 4.2.2.2身份信息存储的模式 有三种身份信息存储的模式可以选择： 分散存储分散存储 单一存储单一存储 中心存储中心存储 以下依次给出三种模式的优缺点： 1、分散存储 各应用各自维护自己的用户信息，即现状： DBOracle活动目录 ERP 电子 商务 电子 邮件 EIP 主要优点：主要优点： （1） 集成工作量小； （2） 各系统身份管理自由度大。 主要缺点：主要缺点： （1） 管理成本高； （2） 用户使用不便，沟通效率低下； （3） 安全风险增大； （4） 不利于实现应用和信息集成。 2、单一存储 即所有应用采用唯一的用户存储，如下图所示： 用户存储 ERP 电子 商务 电子 邮件 EIP 主要优点：主要优点： （1） 应用访问效率高； （2） 用户管理成本低； （3） 易于实现应用和信息集成。 主要缺点：主要缺点： （1） 需重新开发各应用的用户管理接口； （2） 数据结构庞大，系统效率低。 3、中心存储 各应用仍采用各自的用户存储，采用中心存储（主目录）集成各应用的用户存储。主目录储存 的信息是各应用的主要信息需求的综合（但不是全部），应用独特的信息由各应用独立维护。如下 图所示： 主目录 OracleOracle活动目录LDAP ERP 电子 商务 电子 邮件 EIP. 图 8 中心目录存储 主要优点：主要优点： （1） 数据结构精简，系统效率高； （2） 无需改变各应用的用户管理接口； （3） 用户管理成本低； （4） 易于实现应用和信息集成。 主要缺点：主要缺点： （1） 结构相对复杂； （2） 技术难度高，集成成本高。 4.2.2.3设计推荐 采用中心存储，精简身份信息数据结构，提高系统效率。 4.2.3集成的模式集成的模式 4.2.3.1基础分析 根据用户信息管理的方式，中国石油的应用可以分为以下三类： 1、一类应用：目录使能的应用（Directory Enabled Applications） 可以采用 LDAP 目录作为用户信息存储的应用，如电子商务系统。 2、二类应用：目录可连接的应用（Directory Connected Applications） 不能使用 LDAP 目录作为用户信息存储，但可以与 LDAP 目录同步的应用。例如采用 Sybase 数据库的中油财务，采用 Active Directory 的企业信息门户、电子邮件系统等。 3、三类应用：目录不可连接的应用（Non-Directory Connected Applications） 不能使用 LDAP 作为用户信息存储，也不能与目录同步的独立的应用。 如下图所示： LDAP目录元目录二类应用一类应用三类应用 用户用户用户 认证认证认证 同步同步认证 图 9 目录信息集成（用户视图） 4.2.3.2设计推荐 中国石油身份信息集成的策略应如下： 对一类应用：直接利用 LDAP 目录进行中心存储； 对二类应用：利用元目录（Meta Directory）系统实现与 LDAP 目录的信息同步； 对三类应用：利用动态用户管理（User Provisioning）系统提供与 LDAP 目录的集成管理接口 （统一管理，但信息不同步）。 注：目前的一种趋势是各产商将各自的原元目录产品加上工作流等管理功能，包装成动态用户 管理产品。即元目录服务正逐渐成为动态用户管理系统的一部分。 如下图所示： LDAP目录 元目录二类应用 一类应用 三类应用 动态用户 管理系统 管理员 图 10 目录信息集成（管理视图） 4.2.4数据流设计数据流设计 4.2.4.1基础分析 身份管理的数据流设计，目的是找出身份信息的所有者（Owner）和使用者，并给出信息流转 的策略。 中国石油的中心目录信息来自于不同的权威数据源。这些数据源包括人力资源（HR）信息系统 （提供人员的基本信息）、电子邮件（E-mail）系统（提供人员的电子邮箱地址）等，还有用户自 身（通过自服务功能提供某些个人信息）。 中国石油的中心目录信息的使用者包括各类不同的应用、业务流程和终端用户，如下图所示： 目录服务器 HR E-mail 用户 信息的所有者信息的使用者中心存储 图 11 目录信息的所有者和使用者 4.2.4.2设计推荐 1、用户信息的一致性 建立中心组织，对用户信息进行负责。并建立统一的用户名编码规则，建立统一的用户身份信 息数据源。这一数据源可以是单一的系统（如人力资源系统），也可以是多个系统的集合。 2、密码的一致性 但密码同步是一件非常困难的工作。这是由于不同的系统采用不同加密算法存储密码，而且这 些算法大都是单向的，不能逆向解析。 统一密码的一种作法是所有系统都采用通用的加密算法，这种加密算法往往是弱加密算法。这 将提高安全风险。 另一种作法是在中心目录中生成和修改密码，然后将密码明文传送至不同的系统中进行存储， 这也将提高安全风险。 第三种作法是将各系统的密码备份在某一个存储中，当用户登录，输入一次密码的时候，自动 从存储中获取其它系统的登录密码，从而实现对这些系统的登录。这被称为“伪密码同步”，对于 系统安全没有实际价值。 以上集中作法都差强人意。已经有供应商开始着手解决这一问题，但目前尚未有能真正实现所 有系统密码同步的产品。 4.3数据设计数据设计 4.3.1概述概述 目录服务的数据结构设计即大纲（Schema）设计，目的是选择和决定表达目录中的不同类型的 条目需要用到的属性（Attribute）集合。 LDAP 目录一般有三种类型的条目，如下图所示： 组织 组织单元 地点地点 组织单元 人员人员人员设备设备设备 图 12 LDAP 目录的三种条目 即： 1、组织条目 包括组织 Organization、国家 Country、地点 Locality 等。 2、组织单元条目 即组织单元 Organizational Unit。 3、实体条目 包括人员 Person、群组 Group、设备 Device 等。 逐一定义条目的属性是一件繁杂的工作。为简化这一工作，LDAP 协议及各目录服务器产品给 出了一些标准的对象类（Object Class），如人员、组织等。一个对象类规定了这类对象可以有及必 须有的属性。 一个再好的大纲设计也无法预期今后所有的需求。所幸的是，LDAP 协议保证了目录服务的大 纲具有一定的灵活性，可以进行不断的扩展，且不影响现有系统的使用。 中国石油目录服务的数据设计的设计目标是： 设计和选择对象类，确定各类对象的数据结构 满足各类主要应用的使用需求 应满足以下设计原则： 数据结构尽量精简 尽可能使用标准的对象类 尽可能采用可选属性，最小化强制属性的数量 需要进行以下设计工作： 确定组织类对象（组织对象及组织单元对象）的大纲 确定人员对象的大纲 确定其它对象的大纲 如下图所示： 1.身身份份管管理理 2.认认证证管管理理 3.访访问问管管理理 1.1 集成设计 1.2 数据设计 1.3 逻辑设计 1.4 物理设计 1.5 复制设计 1.6 安全设计 1.2.1 组织类对象 1.2.2 人员对象 1.2.3 其它对象 4.3.2组织和组织单元对象组织和组织单元对象 4.3.2.1基础分析 标准的 LDAP 组织和组织单元对象类的继承关系如下： top countrylocalityorganization organizational Unit 图 13 标准组织和组织单元对象类继承关系 其中 Top 是所有对象类的一个抽象的根类。 organization 对象是在 X.521 Internet 标准（RFC 2256）中定义的对象类。organization 对象类 定义了通用意义上组织对象需要的最小化的属性，规定了组织对象必须有 o（组织名）属性及一些 附加的可选属性。 country 对象是在 X.521 Internet 标准（RFC 2256）中定义的对象类。country 对象类定义了通 用意义上国家（Country）对象需要的最小化的属性，规定了国家对象必须有 c（国家名）属性及一 些附加的可选属性。 locality 对象是在 X.521 Internet 标准（RFC 2256）中定义的对象类。locality 对象类定义了通 用意义上地点（Locality）对象需要的最小化的属性，规定了地点对象的可选属性。 organizationalUnit 对象是在 X.521 Internet 标准（RFC 2256）中定义的对象类。 organizationUnit 对象类定义了通用意义上组织单元（Organizational Unit）对象需要的最小化的属 性，规定了组织单元对象必须有 ou（组织单元名）属性及一些附加的可选属性。 4.3.2.2设计推荐 对于中国石油目前的设计需求，标准的 LDAP 组织和组织单元对象类已够用。 4.3.3人员对象人员对象 4.3.3.1基础分析 标准的 LDAP 人员对象的继承关系如下： top person orgPersonresidentialPersonliPerson inetOrgPerson 图 14 标准人员对象类继承关系 其中 Person 对象类是在 X.521 Internet 标准（RFC 2256）中定义的对象类。Person 对象类定 义了通用意义上人员对象需要的最小化的属性，即规定了人员对象必须有 commonname(cn，普通 名)和 surname(sn，姓)两个属性及一些附加的可选属性。 orgPerson 对象类是在 X.521 Internet 标准（RFC 2256）中定义的对象类。orgPerson 对象类 定义了与组织相关的人员的有关可选属性。 inetOrgPerson 对象类是由一份 Internet 标准草案（RFC 2798）定义的对象类。inetOrgPerson 对象类定义了典型的使用互联网或内部网目录服务的人员的有关可选属性。 residentialPerson 对象类是在 X.521 Internet 标准（RFC 2256）中定义的对象类。 residentialPerson 对象类定义了在一个 residential environment 的人员的有关可选属性。 liPerson (lightweight Internet person，轻量级 Internet 人员) 对象类是由 Network Applications Consortium 和 The Open Group 定义的对象类。liPerson 对象类定义了由业界大量公司广泛采用的 人员的属性。 许多基于目录的应用在 person 或 inetOrgPerson 对象类的基础上进一步扩展出新的人员对象类。 4.3.3.2设计推荐 中国石油可根据自身的需求，在 person 或 inetOrgPerson 对象类的基础上建立符合中国石油应 用需求的新的人员对象类，如 pcPerson。如下图所示： top person orgPersonresidentialPersonliPerson inetOrgPerson pcPerson 图 15 人员对象类设计推荐 4.3.4其它对象其它对象 4.3.4