卫生统一身份认证应用解决方案

卫生统一身份认证应用解决方案 卫生统一身份认证应用解决方案 ii 目 录 第 1 章 . 总论 . 4 1.1 背景 . 4 1.2 应用现状 . 4 第 2 章 . 平台需求分析 . 6 2.1 现实的业务需求 . 6 2.1.1 统一身份管理 . 6 2.1.2 统一交互界面 . 6 2.1.3 集中授权和审计 . 6 2.1.4 高强度访问控制 . 7 2.1.5 数据保全服务 . 7 2.1.6 便捷客户体验 . 7 2.2 更高的管理要求 . 7 2.2.1 集中管理、统一配置 . 7 2.2.2 提升信息安全防护水平 . 7 2.2.3 强化业务操作责任认定 . 8 2.3 国内统一 身份认证服务平台应用现状 . 8 2.3.1 典型案例 . 8 2.3.2 其他行业 . 9 第 3 章 . 统一身份认证服务平台的建设目标 . 11 3.1 整体目标 . 11 3.2 业务目标 . 11 3.3 管理目标 . 12 3.4 技术目标 . 12 第 4 章 . 统一身份认证服务平台安全解决方案 . 14 4.1 系统总体设计 . 14 4.1.1 总体设计思想 .14 4.1.2 平台总体介绍 .14 4.1.3 平台总体逻辑结构 .16 4.1.4 平台总体部署 .16 4.2 平台功能说明 . 17 4.3 集中用户管理 . 17 4.3.1 管理服务 对象 .18 4.3.2 用户身份信息设计 .19 卫生统一身份认证应用解决方案 iii 用户类型 .19 身份信息模型 .20 身份信息的存储 .21 4.3.3 用户生命周期管理 .21 4.3.4 用户身份信息的维护 .22 4.4 集中证书管理 . 22 4.4.1 集中证书管理功能特点 .22 4.5 集中授权管理 . 24 4.5.1 集中授权应用背景 .24 4.5.2 集中授权管理对象 .25 4.5.3 集中授权的工作原理 .26 4.5.4 集中授权模式 .26 4.5.5 细粒度授权 .27 4.5.6 角色的继承 .27 4.6 集中认证管理 . 29 4.6.1 集中认证管理特点 .29 4.6.2 身份认证方式 .30 用 户名 /口令认证 .30 数字证书认证 .30 Windows 域认证 .31 通行码认证 .31 认证方式与安全等级 .32 4.6.3 身份认证相关协议 .32 SSL 协议 .32 Windows 域 .32 SAML 协议 .33 4.6.4 集中认证系统主要功能 .35 4.6.5 单点登录 .35 单点登录技术 .35 单点登录实现流程 .38 4.7 集中审计管理 . 41 4.7.1 集中审计总体架构 .41 第 5 章 . 统一身份认证服务平台建设效益 . 43 5.1 极大强化了应用系统信息审计 . 43 5.2 有效降低了运营成本，提升工作效率 . 43 卫生统一身份认证应用解决方案 4 第 1章 . 总论 1.1 背景 省 卫生系统 信息技术的迅速发展使得信息化的程度不断提高，在实施信息化过程中，诸如 HIS、 TIS、电子病历等越来越多的业务系统和网络设备应用而生，提高 了 卫生系统 的管理水平和运行效率。与此同时，随着应用系统的不断增加，由于各个应用系统帐户管理和认证规则都不一致，导致用户在使用和管理的过程中也面临着越来越多的问题。 对整个 IT 管理提出了更高的要求，即对账号（ Account）管理、统一认证（ Authentication） 管理、统一授权（ Authorization）管理和统一安全审计（ Audit）四项要求，也就是我们所说的 4A。因此针对已有应用的 4A方面出现的问题，我们需要提出一整套的解决方案来有效的解决这些问题。 通过多年在账号管理、统一认证管理、统一权限（ 授权）管理和安全审计积累的经验， 综合 PKI/CA 基础设施的安全理念和电子认证服务模式共同 提出了一整套解决方案，即 统一身份认证服务平台 的解决方案，此方案在解决 4A 问题上具有极高的效果，能够从人力、财力、物力上大大降低企业的成本，提高效率。下文 将 详细 进行 系统 整体功能 的介绍 ，和 统一身份认证服务平台 在省 卫生系统 内部实际应用场景和需求解决方案介绍 。 在上述背景下，业务资源的协同、整合、综合应用逐步提上日程，在保证系统安全、稳定的基础上，如何发挥信息化系统资源丰富、处理高效的优势，正成为信息化建设中备受关注的焦点。 1.2 应 用现状 目前省 卫生系统 信息化建设的目标是：在基础设施、应用系统、标准制度等相关信息化建设基础上，和应用集成平台的建设，大力推进和加强业务、数据的集成与综合应用，实现不同区域、医疗机构之间，甚至是不同组织间的业务协同运作，实现组织内业务、数据、信息的有序、可控的流动与共享，充分挖掘和发挥数据资产的价值，最终成为一个协调发展的卫生统一身份认证应用解决方案 5 有机整体。但是，现实的情况却是： 随着 卫生系统 各项业务的不断发展，各类 应用系统 资产在数量上大幅度攀升，系统运维人员的工作量成倍增长。应用运维人员在日常操作过程中不得不面对大量的帐号和系统口 令； 各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障； 个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者； 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为 ； 各应用系统都有一套独立的权限管理，管理员进入各应用系统均需进行认证，且认证方式多为静态口令，安全性较低；同时各应用系统也都有一套独立的授权管理，随着用户数据量的增多，角色定义的日益复杂，用户授权的任务越来越重 ，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的威胁；。 内部安全管理的要求。为了保证生产、办公系统的稳定运行， 卫生系统 及各 区域医疗机构 制定了大量的安全管理规定，这些管理规定的执行和落实与标准的制定初衷存在一定距离。 外部审计的要求。业务扩展和对应用的灵活要求，经常会提出从外部对内部的各个系统进行审计，以便于随时随地掌握整个企业的各种情况。 卫生统一身份认证应用解决方案 6 第 2章 . 平台 需求分析 2.1 现实的业务需求 信息化建设的核心是保障应用。但是，多个业务应用系统访问和操作过程难以管理，严重影响了 信息系统的应用效率。要解决这个问题 ， 须 加强针对应用层面的安全管控措施，提高系统的访问控制强度， 并 针对数据进行完整性检查、源发性检查和抗抵赖保障 。同时，还应注重客户体验 。 2.1.1 统一身份管理 以往信息系统的身份管理方式，各个业务系统的账户命名都有自己的规则，账户管理工作分散，维护工作繁琐、用户身份难以界定。而 统一身份认证服务平台 可以结合现有的账户管理服务（ AD 目录服务），针对不同账户应用层面的信息安全基础提供保障措施，可以创建统一的账户管理机制和平台，面向不同的应用系统和用户，提供统一的、一致的身份管理和身份认证 服务。 2.1.2 统一交互界面 在跨系统 、跨部门、跨组织 的业务操作和信息查询需求日益增多的情况下，从用户使用的体验角度来说，每一个业务应用系统的操作界面、用户认证彼此独立，已经成为业务过程中相关职能部门人员间相互协作的 巨大 障碍 。实现统一门户，单次登录功能。用户登录门户后，多个业务系统间的访问自行切换，极大改善用户体验感受。 2.1.3 集中授权和审计 跨系统 、跨区域、跨组织 的 用户无法有效进行集中的授权管理和审计分析，有必要 通过 创建 统一身份认证服务平台 ， 制定权限策略 、 系统访问控制策略、审批权限流程等 ，加强内部管控 和安全审计 ，对业务 流程和操作变更进行有效控制。 卫生统一身份认证应用解决方案 7 2.1.4 高强度访问控制 各业务系统有自己的认证规则，认证标准不一致、安全强度有高低。根据信息安全管理的木桶理论 “短板决定储水量”，易出现安全短板。创建 统一身份认证服务平台 ，跟据安全需求，采用数字证书、密钥等的安全认证方式，可提高访问控制安全强度。 2.1.5 数据保全服务 统一身份认证服务平台 对业务系统涉及的重要数据提供数字签名功能，使得任何非法的数据修改过程能够被及时发现，保证数据从生成、流转、共享到存储整个生命周期内的完整性和一致性；实现业务数据的安全传输功能，通过采用 SSL 数据加密技术避 免数据传输过程中被窃取、盗用或篡改。 2.1.6 便捷客户体验 统一身份认证服务平台 可以实现信息系统账户与实体的唯一绑定，每一个用户在所有系统中以统一的身份进行各种业务操作，无须记忆大量的账户名和口令。同时，基于门户平台展示多个业务系统，实现单点登录功能，使得用户的业务操作更加便捷、高效。 2.2 更高的管理要求 2.2.1 集中管理、统一配置 省 卫生系统 运作更加强调对资源的有效配置和管理，信息化建设也是以此为目标开展的。医疗人员作为业务参与的主体，是 卫生系统 重要的资源，同时又是其它各项资源的使用者和支配者 .但是分散的业务系统现状、独立的 账号管理体制，人为的将本该统一、协同的各种资源隔离，无法满足对人员实施动态管理的要求。信息化建设目标应适应动态的人员管理机制的要求，实现对各种动态信息集中、实时的有效掌控，并以此为依据对各项企业资源进行统一、合理的配置，使企业运作更加高效有序。 2.2.2 提升信息安全防护水平 传统的信息化安全防护只是针对系统层、网络层，采用防火墙、防病卫生统一身份认证应用解决方案 8 毒和入侵检测等“老三样”产品，已经不能适应当前信息安全管理要求。传统的技术方式缺乏针对应用层和用户行为管理的有效手段。作为信息安全基础设施， 统一身份认证服务平台 的实施能够在防御外部入侵 和攻击、防范内部操作风险方面有效提升信息安全保障水平。 2.2.3 强化业务操作责任认定 在当今的信息管理中，更强调对参与人操作行为进行分析和控制，即：谁何时进入了哪些系统？访问了哪些资源？做了哪些操作？产生了哪些后果？通过建立用户信息的集中统一管理、用户身份的统一认证、统一的用户访问控制以及集中的用户行为审计，使用户行为与实体身份形成关联，便于实现用户行为的有效责任认定，为系统应用安全打下良好的基础。 2.3 国内 统一身份认证服务平台 应用现状 目前，国内信息化建设程度较高的行业纷纷启动并实施了 统一身份认证服务平台 的建设，下面 简要介绍一下各个行业 统一身份认证服务平台 的建设和使用情况。 2.3.1 典型案例 在保险领域，中国人民财产保险股份有限公司（ PICC）为了满足业务的快速发展，在 2008 年底，开展了全集团统一账户管理、认证管理、授权管理和审计管理的系统建设工作。在该平台建设中，全部采用了 统一身份认证服务平台 产品，以 PKI/CA 技术为安全基础依托，构建起建覆盖全国36 个省公司的 统一身份认证服务平台 。 中国人民财产保险股份有限公司通过数字证书的应用，建立起全公司的身份管理的统一标准，大力推进和加强数据、流程的集成与综合应用，实现不同部门、业 务间，甚至是不同分支机构间的业务协同运作，实现全公司范围内数据 /信息的有序、可控流动与共享，从而实现对人保财险信息系统的全面管控， 统一身份认证服务平台 的建设内容主要包括： 在人保财险总部部署（证书签发系统），在全国 36 个省级分公司和集团部署（证书注册系统），作为身份管理的基础，通过 CA 为各业卫生统一身份认证应用解决方案 9 务系统用户签发数字证书，并能够通过系统实现各省对数字证书的独立管理。 针对人保财险和 36 个省公司建立 LDAP 目录服务系统，实现对人保财险各应用系统用户的统一管理。 对人保财险业务系统进行证书应用集成工作，实现 基于 PKI 技术的身份认证、完整性检查、抗抵赖、传输加密、数字签名等安全功能。并确保在未来业务扩展中，能够提供对新业务系统的应用支撑。 制定完整的业务系统基于证书应用的集成规范，作为保险公司身份管理、身份认证、授权管理和统一审计的标准。建立完整的运营管理规范，建设可靠的系统安全运营环境，制定完善的岗位管理制度、人员管理制度、数字证书鉴证、分发及安全管理策略。 建立 CA 系统及证书应用审计监控平台。对 CA 的运行状况和证书的使用情况进行监控和审计，并支持与第三方审计平台的集成。 为了满足开展网上保险业务的法律保障需 求，制定证书信任体系的整体规划，将基于数字证书的身份管理过程与电子签名法中关于第三方认证的相关条款进行结合，为网上保险业务提供完整的法律保障环境。 建设基于数字证书的单点登录系统，支撑包括账户管理、授权管理、认证管理和审计管理的 4A 应用。 2.3.2 其他行业 银行业 2004 年 5 月中国建设银行在金融领域首先启动了 统一身份认证服务平台 项目，到 2006 年 1 月，完成了用户身份的统一管理。身份管理产品采用了 HP 公司的 Select Identity、目录服务器采用了 Novell 公司的 eDirectory、Web 中间件采用了 SUN 公司的 iPlanet。 建行 统一身份认证服务平台 经过三期项目实施，已完成了强认证系统、用户统一身份管理、统一身份认证、统一访问控制的项目目标。建立起以身份管理、身份认证、访问控制为核心的统一认证授权体系，以及规范的卫生统一身份认证应用解决方案 10 用户管理流程和授权管理机制。 建行 统一身份认证服务平台 在 38 个一级分行的部署工作已经完成，以目录服务器、策略服务器、数据同步服务器、动态口令服务器构成的分行设施延伸至一级分行。截止目前，建行 统一身份认证服务平台 生产环境共接入应用系统 78 个。 电信运营商 中国移动从 2007 年起，开始在全国各省 公司开展包括统一身份管理、统一认证管理、统一授权管理和统一审计管理在内的 4A 建设。中国移动集团公司业务支撑部门和网络部分别提出了 4A 建设规范。全国各省公司以规范为依据，结合自身业务支撑系统、网管系统和信息系统（ OA、 MIS）的特点，建设 4A 统一管理平台。 到目前为止，包括陕西、浙江、江苏等多个省公司已经建成了 4A 管理平台，采用了数字证书等多种手段作为身份标识、访问控制和审计的基础保障手段。 卫生统一身份认证应用解决方案 11 第 3章 . 统一身份认证服务平台的 建设目标 3.1 整体目标 在技术上，从根本上增强信息安全保障水平； 统一身份认证服务平台作为信息 安全基础设施，为上层业务应用系统提供身份整合、身份认证、授权管理及决策和行为审计等安全服务。它能够在广度和深度两个方面提供充分的安全保障：广度上为网络设备、安全设备、操作系统、业务系统和管理信息系统提供认证、授权和审计服务；深度上为用户提供身份整合、多种认证方式的支持，以及提供细粒度的统一授权、用户行为的详细审计分析服务； 在安全策略上，遵循信息安全等级保护的指导思想，按照信息安全等级保护基本要求，在身份管理、身份认证、访问控制等方面形成适合实际情况的、可操作、便于执行的一系列管理制度和操作规程，从管理上提 高信息安全保障水平； 在人员管理上，通过项目的实施、监理、验收等工程管理过程，按照信息系统安全保护等级实施指南和信息安全技术信息系统安全工程管理要求进行项目管理、监理和验收，培养一支既懂信息安全技术又懂信息安全项目管理的高素质队伍； 在标准上，针对身份管理、身份认证、访问控制等方面形成适合实际的技术标准、接口规范。 3.2 业务目标 通过 统一身份认证服务平台 的建设，为应用系统提供统一的身份管理、身份认证、访问控制和安全审计服务。 建成内部一致的、以用户账号为唯一标识的用户基本信息、关系信息等的单一用户视图 ； 实现基于用户身份的高强度认证，提升系统安全性；支持单点登录，卫生统一身份认证应用解决方案 12 提升用户访问体验； 加强对内部用户的管理操作和管理操作行为审计，强化内部安全管控； 加强内部操作风险管控，降低系统管理复杂度，降低系统管理风险； 强化用户准入管理，实现全系统用户身份信息集中管理，为全体员工提供统一身份管理的工具，建立面向全体内部用户的访问控制中心。 3.3 管理目标 通过 统一身份认证服务平台 的建设，利用综合手段，形成标准管理流程，固化 IT 风险管理成果： 建立立体的安全管理体系：根据实际安全需求，成立安全管理机构，配备专职的安全管理人 员，落实各级领导及相关人员的责任，对信息系统实现动态的安全管理机制； 实现标识标准化：解决实体在网络环境中标识不一致的问题，完成管理机构和员工代码的标准化，实现“一证在手，畅行无忧 ”； 提高安全管控水平：使用 PKI/CA 技术作为基础安全平台，以业务系统改造为手段，加强员工身份和权限管理。 3.4 技术目标 在信息化建设的过程中，为保证信息科技战略规划整体目标的实现，加强各业务系统间的协同工作，有必要建设 统一身份认证服务平台 ，实现以下技术目标： 建立统一的用户数据库和系统管理员：通过 统一身份认证服务平台 整合大部分业务 系统，建立统一的账号、认证、授权和审计机制，并且由系统管理员统一负责该系统的维护和管理； 实现实体与业务系统账号的统一：传统应用系统以账号为单位进行用户管理的业务系统，相同的实体在不同的系统中对应不同的账号，带来了实体身份管理的混乱。为实现权限控制的准确，有必要通过唯一的身份标识，实现实体身份的统一； 统一的业务系统授权机制和管理：各业务系统间用户权限管理分散，卫生统一身份认证应用解决方案 13 缺乏集中统一的资源授权管理平台，用户工作变动时，需逐一调整每个系统中账号的权限，由此易引发个别系统的遗漏，存在较大安全隐患。通过统一身份认证服务平台 ，可进行集中高效的授权管理； 统一的审计和关联分析：由于各业务系统间独立、业务账号的不一致，无法进行集中、有效的审计，更无法实现更深层次的关联分析。既不能通过系统日志分析，避免安全隐患的发生，更不可能做到事后追溯，有必要建立统一的审计追溯机制； 实现单点登录机制：登录多业务系统之间时用户经常需要切换，用户的操作不便，影响了工作效率。通过 统一身份认证服务平台 ，用户实现一次登录，多系统自行切换； 统一接入标准：建立统一的访问控制接口规范，简化应用系统接入复杂度。 通过以上分析 ， 为解决多应用系统在使用、管理和技术 上的一系列问题，我们有必要规划、开发、建设、运营一套统一身份认证服务平台 ，实现 对全体员工的统一身份管理，实现多个 业务系统的统一登录及身份认证，实现对业务系统访问的集中授权和管控，实现对访问过程的集中监管和审计。 卫生统一身份认证应用解决方案 14 第 4章 . 统一身份认证服务平台 安全解决方案 4.1 系统总体设计 为了加强 卫生系统 对业务系统和办公系统的安全管控，提高 卫生系统信息化安全管理水平，我们为 卫生系统 设计了基于 PKI/CA 技术为基础架构的统一身份认证服务平台。 4.1.1 总体设计思想 为实现 卫生系统 构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要， 我们将按照如下设计思想为 卫生系统 设计并实施统一身份认证服务平台解决方案： 在 卫生系统 内部建设基于 PKI/CA 技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现 卫生系统 所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供 卫生系统 现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务 平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。 提供基于 LDAP 目录服务的统一账户管理平台，通过 LDAP 中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在 USB KEY 中，保证证书和私钥的安全，并满足移动办公的安全需求。 4.1.2 平台总体介绍 以 PKI/CA 技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系卫生统一身份认证应用解决方案 15 统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配 置和服务。 集中证书集中认证集中授权集中审计集中用户身份管理单点登录访问控制责任界定 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下： 集中用户管理系统：完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统管理的安全风险。 集中证书管理系统：集成证书注册服务（ RA）和电子密钥（ USB-Key）管理功能，实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能，支持第三方电子认证服务。 集中认证管理系统：实现多业务系统的统一认证，支持数字证书、动态口令、静态口令等多种 认证方式；为企业提供单点登录服务，用户只需要登录一次就可以访问所有相互信任的应用系统。 集中授权管理系统：根据企业安全策略，采用基于角色的访问控制技术，实现支持多应用系统的集中、灵活的访问控制和授权管理功能，提高管理效率。 卫生统一身份认证应用解决方案 16 集中审计管理系统：提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息，支持应用系统、用户登录、管理操作等审计管理。 4.1.3 平台总体逻辑结构 台总体逻辑结构图如下所示： 外部相关服务LDAPSever,Windows域服务等统一信任管理平台 服务系统（身份管理、单点登录、访问控制、 责任 界 定 ）P K I基础服务、加解密服务、 SA M L 协议统一信任管理平台业务系统用户管理认证管理授权管理审计管理邮 件财 务 C R M证书管理 如图所示，平台以 PKI 基础服务、加解密服务、 SAML 协议等国际成熟技术为基础，架构统一信任管理平台的管理系统，通 过 WEB 过滤器、安全代理服务器等技术简单、快捷实现各应用系统集成，在保证系统安全性的前提下，更好的实现业务系统整合和内容整合。 4.1.4 平台总体部署 集中部署方式：所有模块部署在同一台服务器上，为企业提供统一信任管理服务。 部署方式主要是采用专有定制硬件服务设备，将集中帐户管理、集中卫生统一身份认证应用解决方案 17 授权管理、集中认证管理和集中审计管理等功能服务模块统一部署和安装在该硬件设备当中，通过连接外部服务区域当中的从 LDAP 目录服务（ 卫生系统 现有 AD 目录服务）来完成对用户帐户的操作和管理。 4.2 平台功能说明 平台主要提供集中用户管理、集中证书管理、集中认证管理、集中授权管理和集中审计等功能，总体功能模块如下图所示： 集 中 证 书注 册 服 务 管 理电 子 密 钥 管 理证 书 生 命 周 期 管 理过 程 管 理统 一 用 户 接 口 用 户 信 息 导 入 导 出 用 户 信 息 映 射用 户 信 息 同 步L D A P 身 份 源 系 统 数 据单 点 登 录 系 统 S S O集 中 用 户用 户 生 命 周 期 管 理用 户 分 组 管 理角 色 管 理身 份 源 管 理集 中 认 证用 户 身 份 认 证访 问 策 略 管 理访 问 资 源 管 理集 中 授 权集 中 审 计日 志 查 询审 计 报 表 生 成业 务 审 计应 用 系 统 授 权用 户 授 权 管 理角 色 授 权 管 理组 策 略 授 权 管 理 总体功能模块图 4.3 集中用户管理 随着企业整体信息化的发展，大致都经历了网络基础建设阶段、应用系统建设阶段，目前正面临着实现纳入到信息化环境中人员的统一管理和安全控制阶段。随着企业的网络基础建设的不断完善和应用系统建设的不断扩展，在信息化促进业务加速发展的同时，企业信息化规模也在迅速扩大以满足业务的发展需要，更多的人员被融入信息化环境，由此突出反映的事件是无论是网络系统、业务系统、办公系统，其最终的 主体将是企业内外的人员，每一为人员承担着使用、管理、授权、应用操作等角色。因此对于人员的可信身份的管理显得尤为重要，必将成为信息化发展的重中之重，只有加强人员的可信身份管理，才能做到大门的安全防护，才能为企业的管理、业务发展构建可信的信息化环境，特别是采用数字证书认证和应用后，完全可以做到全过程可信身份的管理，确保每个操作都是可信卫生统一身份认证应用解决方案 18 得、可信赖的。 集中用户管理系统主要是完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统用户管理的安全风 险。 集中用户管理功能示意图 4.3.1 管理服务对象 集中用户管理主要面向企业内外部的人、资源等进行管理和提供服务，具体对象可以分为以下几类： 最终用户 自然人，包括自然人身份和相关信息 主账号 与自然人唯一对应的身份标识，一个主账号只能与一个自然人对应，而一个自然人可能存在多个主账号 从账号 与具体角色对应，每一个应用系统内部设置的用户账号，在统一信任管理平台中每个主账号可以拥有多个从帐号，也就是多种身份角色（即一个日然人在企业内部具备多套应用系统账号） 资源 用户使用或管理的对象，主要是指应用系统及应 用系统下具体功能 具体服务对象之间的映射对应关系如下图所示： 卫生统一身份认证应用解决方案 19 用户账号与资源映射图 4.3.2 用户身份信息设计 用户类型 用户是访问资源的主体 ， 人是最主要的用户类型：多数的业务由人发起，原始的数据由人输入，关键的流程由人控制。人又可再分为：员工、外部用户。员工即企业的职员，是平台主要的关注的用户群体；外部用户是指以独立身分访问企业应用系统的一般个人客户与企业客户。 卫生统一身份认证应用解决方案 20 身份信息模型 对各类用户身份建立统一的用户身份标识。用户身份标识是统一用户管理系统内部使用的标识，用于识别所有用户的身份信息。用户标识不同于员 工号或身份证号，需要建立相应的编码规范。 为了保证用户身份的真实、有效性，可以通过数字证书认证的方式进行身份鉴别并与用户身份标识进行唯一对应。 用户基本信息保存用户最主要的信息属性，由于其它系统中，如 HR中还保留有用户更完整的信息，因此需要建立与这些系统的中信息的对照关系，所以需要保存用户在这些系统中用户信息的索引，便于关联查询。 基于分权、分级的管理需要，用户身份信息需要将用户信息按照所属机构和岗位级别进行分类，便于划分安全管理域，将用户信息集中存储在总部，以及管理域的划分。 用户认证信息管理用户的认证方式 及各种认证方式对应的认证信息，如用户名 /口令，数字证书等。由于用户在各应用系统中各自具有账号和相关口令，为了保证在平台实施后可以使原有系统仍可以按照原有账号方式操作，需要建立用户标识与应用系统中账号的对照关系。 卫生统一身份认证应用解决方案 21 授权信息是对用户使用各系统的访问策略，给用户赋予系统中的角色和其它属性。 身份信息的存储 为了方便对人员身份的管理，集中用户系统采用树形架构来进行人员组织架构的维护，存储方式主要采用 LDAP。可以通过企业内部已有的人员信息管理系统当中根据策略进行读写操作，目前主要支持以下数据源类型： Windows Active Directory（ AD） OpenLdap IBM Directory Server（ IDS） 4.3.3 用户生命周期管理 用户生命周期，主要关注的是用户的入职、用户账户创建、用户身份标识（数字证书的颁发）、用户属性变更、用户账户注销、用户帐户归档等流程的自动化管理，这一管理流程又可称为用户生命周期管理，如下图所示： 由于要赋予用户可信的身份标识，所以需要通过数字证书认证的方式卫生统一身份认证应用解决方案 22 来实现，在用户生命周期管理过程中围绕用户包含了基于帐户的生命周期和数字证书的生命周期管理的内容。数字证书主要是与用户的主 账户标识进行唯一绑定，在用户帐户的使用和属性变更过程中数字证书不需要发生任何改变，唯有在用户帐户进行注销和归档过程中，与其相匹配的数字证书也同样需要进行吊销和归档操作。 4.3.4 用户身份信息的维护 目前集中用户管理系统中对用户身份信息的维护主要 以 企业已存在的AD 域 和 LDAP 作为基础数据源，集中用户 管理 系统作为用户信息维护的主要入口， 可以 由人力资源部门的相应人员执行用户账户的创建、 修改、删除、编辑 、查询、 以及数字证书的发放。 AD 域 中的用户信息变动通过 适配器 被平台感知，并自动同步到平台用户身份信息存储（目录服务 器 ）中 ；平台的用户管理员也可以直接修改平台中集中存储的用户身份信息，再由平台同步到各个应用系统中。 4.4 集中证书管理 集中证书管理功能主要是针对用户的 CA 系统 ， 包括： 1)证书申请 2)证书制作 3)证书生命周期管理（有效期、审核、颁发、吊销、更新、查询、归档） 4)证书有效性检查 集中证书管理功能集支持多种 CA 建设模式（自建和第三方服务）、多RA 集中管理、扩展性强等特性，从技术上及管理上以灵活的实现模式满足用户对证书集中管理的迫切需求，解决管理员对多平台进行操作及维护困难的问题。 4.4.1 集中证书管理功能特点 集中证书 管理功能的实现就是通过集成证书注册服务（ RA）和电子密钥（ USB-Key）管理功能。 卫生统一身份认证应用解决方案 23 1)集中制证 集中制证主要结合本地数据源中的数据为用户进行集中制证，包括集中申请、自动审批。 通过 CA 的配置路径，访问指定的 CA 系统； CA 系统签发数字证书并返回给管理员； 管理员将证书装入 UBS Key,制证成功 .将数字证书发送给最终用户。 2)证书生命周期管理 通过集中证书管理功能可实现对所制证书进行证书的生命周期管理，主要包括：证书的查询、吊销等，同时还可以实现对证书有效性的检查。 证书有效性检查，可支持与 CA 系统 的 CRL（证书掉销列表）服务联动及手动导入 CRL 列表 。 用户通过证书认证方式登录 “登录门户”； 将用户的证书信息（包括证书属性、有效期等）提交到“证书管理模块”； 服务检查证书信息，若有效，将有效值返回“证书管理模块”（若无效将值返回“证书管理模块”）； “证书管理模块”将有效值返回“登录门户”，用户通过认证。（若无效，用户登录失败）； 用户通过认证，正常进入应用系统。 3)支持多种 CA 建设模式 4)多 RA 集中管理 在一个企业内，根据证书应用的需求，存在根 CA 下有多个子 CA，即存在多个 RA。通过平台与 RA 的集成，可支持与企业内的多 RA 进行集成，实现单平台多 RA 的集中管理。 5)灵活扩展性 集中证书管理功能除了实现集中制证、证书生命周期管理功能，以及具有多 RA 管理、支持用户 CA 系统的自建和服务模式的特点，还具有灵卫生统一身份认证应用解决方案 24 活的扩展性。可实现与 RA 的完全集成，通过平台实现 RA 的完全接管，实现证书处理、证书生命周期管理、证书审批、支持多种申请模式、 RA 日志管理、密钥管理、策略管理等。以满足更多用户对于集中证书管理的扩展性需求。 4.5 集中授权管理 4.5.1 集中授权应用背景 分析一些大型企业，发现企业内部各应用系统自身授权非常完善，但是 从集中管理角度看，发现大企业中的传统授权所存在如下问题： 1)系统权限分散：员工的流动及职位的变更，需要更改员工的系统使用权限，而多个系统权限的分散，使管理员工作量增加，且容易带来安全漏洞。 2)应用系统的独立性：各种应用系统都使用独立的登录方式，员工需要记忆所有应用系统的帐号、密码等，逐一登录，给工作带来极大的困扰，特别是对工作效率影响非常大，甚至简化记忆问题，所有应用系统统一使用相同的密码，由此为黑客或者木马程序提供机会，而对应用系统的安全防护带来极大地威胁。 集中授权的最大特点，就是集中在一个接口对组 /角色进行资源的合理分配。集中授权的过程，就是集中对用户（组 /角色）通过何种方式（证书/口令）使用某种资源（应用 /功能）的权限的分配。 员工入职，分配一个特定的原本已经隶属于某些角色 /组的身份账户，统一入口登录，即可享有身份账户所属角色 /组在公司应用系统中的所有权限；当职位变更时，只需更改身份账户所属角色 /组，则所享有的权限也相应变化，而对应的应用系统资源的账户和权限不受任何影响，并且应用系统的安全性得到了极大提高，不会因为对应的业务系统因为没有中止用户应用权限而遭受安全风险。 通过集中授权的管理模式，有效 地屏蔽了传统授权中存在的弊端，提高了管理效率，为企业营造一个安全、便捷的系统安全、可信的办公环境。 卫生统一身份认证应用解决方案 25 4.5.2 集中授权管理对象 集中授权主要是依赖于人，由授权系统管理者根据人的组织属性、角色属性，进行对应应用系统和资源的授权分配，从保证人与应用系统之间使用权限关系，最终实现，什么样的人、组织、角色能访问哪些应用系统和资源。 集中授权还可以依赖于应用系统为管理对象，然后针对该应用系统给人、组织、角色授予相应访问和操作权限，最终把应用系统和人进行权限关联，合理、有效地的访问控制策略，保证了什么样的应用系统和资源，能让怎样 的人、组织、角色进行访问。 组：包括按照公司组织架构或特定功能划分的部门、工作组及个人用户 通过以上两种方模式，可以对企业内部的人员、应用系统和资源进行合理的管理和控制，有效地解决企业内部信息资源的权限管理，最终实现，正确的人做正确的事情，而非授权人员不得进入企业内部任何系统，从而保证企业应用系统数据的安全，保护企业的资产。 在集中授权管理系统系统中需要明确以下概念： 角色定义，主要是基于用户组角色和应用系统角进行角色定义。基于用户组的角色定义可理解为在组织结构下定义用户角色，比如在技术部门下定义产品工程师 角色。目标是在以后授权模式中通过对产品工程师角色授权，而包含产品工程师的角色就会一次性获得授权，这样方便管理，同时也是简化了授权的操作。基于应用系统定义角色，即按照该应用系统下的用户职能进行定义。比如，针对 OA 应用系统和结合人力资源架构定义“总监”，那么根据 OA系统给总监的工作操作权限，那么以后授权中，只要存在应用系统对总监所具备的功能，经过系统授权后均可以按照总监的角色进行应用访问。 资源定义，主要是应用系统下具备的每一功能模块，所有的功能模块统称为资源。资源的定义主要是方便人员、组织、角色授权时候的对象 指卫生统一身份认证应用解决方案 26 定，最终经过授权实现，什么样的人员、组织、角色能访问应用系统的那些功能。也就是中细粒度授权所需要的涉及的内容。 4.5.3 集中授权的工作原理 4.5.4 集中授权模式 1)基于组 /角色的访问授权： 对于属于某一组 /角色的用户，管理员可以为其授权于可访问的应用系统和资源（应用系统的功能）。授权后组内的所有成员均具备该组编辑、查看、分配的权限。 2)基于应用系统和资源的授权： 对于某一选定应用（或其包含的功能、功能组），管理员可以授权为其指派访问资源（用户、组 、角色） 授权管理模块 角色模块 组模块 资源管理模块 授权 访问控制模块 .定义权限（某些角色 /组享有系统应用的哪些权限） .通过授权管理模块的定义，对相应权限进行调用 .系统中所有应用资源的集合 . .通过口令、证书等执行对权限的调用 卫生统一身份认证应用解决方案 27 4.5.5 细粒度授权 传统意义中的粗粒度授权是以某一应用系统为标准，将应用系统那个授权于某一个人、某一机构（组织）、某一类角色；而对于应用系统下的模块无法做到授权，所以，粗粒度授权在统一信任系统中，无法做到应用系统的内部授权机制，导致简单的访问控制授权无法满足业务系统的精细化管理，为了满足企业的细致化访问控制，需要打破传统授权模式，增加新的授权机制，即要实现细粒度的访问控制授权。 而将资源管理模块细粒度化，则是将应用模块拆分成单个的功能模块，某几个 功能模块又可以组合成一个功能组，在授权时，针对某一应用模块中的功能或功能组模块进行权限分配。 4.5.6 角色的继承 提供了角色授权模型，在角色权限分配的管理过程中，角色之间可以实现多模式继承，即单继承、多继承、动态继承；多种模式的继承由系统自动完成，但是当继承形成环路的时候，则继承属性自动中断，保持独立的角色属性。这样可以保证应用系统权限合理管控，而不会因为角色继承导致权限失去控制。针对继承方式，如下定义： Function1 Function2 Function4 Function5 Function 功能组 功能组 用户 1 用户 2 角 色 1 角 色 2 角 色 应用 系统 卫生统一身份认证应用解决方案 28 1)单继承： 角色 A 继承于角色 B ，则 A 拥有 B 所有的权限。 2)多继承 角色 A 继承于角色 B、角色 C、角色 D，则 A 同时拥有 B、 C、 D 所有的权限。 3)动态继承： 角色 A 继承于角色 B、角色 C、角色 D，用户拥有角色 A； 角色 B 的登录方式为口令；角色 C 的登录方式为口令和证书；角色 D的登录方式为证书。 4)循环继承： 角色循环继承时，系统内部自行处理，在 循环处于环路，则继承自动断开。 角色 A 角色 B 角色 C 角色 D 角色 D 角 色 C 角色 B 角色 A 资源 继承于 口 令 口令 /证书 证书 登 入 系 统 口令 证书 角色 A 角色 B 角色 C 角 色 A 角色 C 角色 D 卫生统一身份认证应用解决方案 29 4.6 集中认证管理 集中 认证 管理 为企业的 IT 系统提供 统一的身份 认证， 是企业安全门户入口，只有安全的认证机制才可以保证企业大门不被非法人员进入；在整个认证系统中 其服务的 对象包括企业接入统一认证平台的所有 业务系统、管理系统 和应用系统 等，统一认证系统能够提供快速、高效和安全的服务 ，应用 系统接入改造小，系统具有灵活的扩展性、高可用性。 4.6.1 集中认证管理特点 1)提供多因素认证服务 集中认证管理 可以为多个不同种类、不同形式的应用提供统一的认证服务，不需要应用系统独立开发、设计认证系统，为业务系统 快速推出新的业务和服务准备了基础条件 ，集中 认证 管理 为这些应用提供了统一的接入形式。 2)提供多种认证方式 企业的不同业务系统的安全级别不同 ,使用环境不同，用户的习惯和操作熟练程度不同， 集中 认证 管理 可以针对这些不同的应用特点提供不同的认证手段。 3)提供统一和多样化的认证策略 集中认证管理 针对不同的认证方式，提供了统一的策略控制，各个应用系统 也 可以根据自身的需要进行个性化的策略设置，根据 应用或用户类型的需求，设置个性化的认证策略 ， 提高应用系统的 分级管理 安全。 卫生统一身份认证应用解决方案 30 4.6.2 身份认证方式 集中认证管理系统支持多种身份认证方式 ，包括： 1)用户名 /口令 2)数字证书 3)Windows 域认证 4)通行码 集中 认证 管理同时 支持上述 四 种认证方式， 也可以根据用户的需求对用户登录认证方式进行扩展。 下面首先分别介绍这些认证方式，然后介绍认证方式与安全等级。 用户名 /口令认证 用户名 /口令是最传统且最普遍的身份认证方法，通常采用如下形式：当用户需要访问系统资源时，系统提示用户输入用户名和口令。系统采用加密方式或明文方式将用户名和口令传送到认证中心。并和认证中心保存的用户信息进行比对。如果验证通过，系统允许该用户进行随后的访问操作，否则拒绝用 户的 下 一步的访问操作。 静态口令的优点是简单且成本低，但是如果用户不去修改它，那么这个口令就是固定不变的、长期有效的，因此这种认证信息的静态性，导致传统口令在很多情况下都有着发生口令泄密的危险。在整体安全认证中，对于浏览非重要资源的用户可以采用该方法。 数字证书认证 数字证书是目前最常用 一种比较安全的 身份认证技术。数字证书技术是卫生统一身份认证应用解决方案 31 在 PKI 体系基础上实现的，用户不但可以通过数字证书完成身份认证，还可以进一步进行安全加密，数字签名等操作。 依据自己多年的安全经验，提供完整的数字身份认证解决方案。 数字证书的存储方 式非常灵活，数字证书可被直接存储在 计算机中，也可 存储在智能卡或 USB Key 中 。 Windows 域 认证 Windows 域是一种应用层的用户及权限集中管理技术。当用户通过Windows 系列操作系统的登录界面成功登录 Windows 域后，就可以充分使用域内的各种共享资源，同时接受 Windows 域对用户访问权限的管理与控制。目前，很多企业、机构和学校都使用域来管理网络资源，用于控制不同身份的用户对网络应用及共享信息的使用权限。 集中 认证 管理 支持 Windows 域登录， 对于已经登录到 Windows 域中的用户，不需 要输入用户名、密码而直接使用当前登录的域用户信息进行验证，如果验证成功则进入，否则拒绝进入。 通行码 认证 通行码是集中认证管理支持的一种特有认证方式， 用户忘记 其他认证信息时 ，可以向管理员申请一次性使用的口令进行身份认证。 主要满足安全应急服务，当用户安全认证的凭证遗忘或者丢失，通过后台管理员生成通行码的方式，帮助用户解决认证登录；通行码具备时效性和一次性特点，当使用过或者超出使用时间范围，其认证效力自动失效，非常强大的保证了系统的安全性和可靠性；在有效地时间段范围内，能有效、快速的帮助用户解决认证和系统准入的 问题，为应用提供了便利。 卫生统一身份认证应用解决方案 32 认证方式与安全等级 每种认证方式对应安全等级的一个范围，安全等级的范围又是根据安全策略来界定的。认证方式（如用户 名 /口令、 数字 证书 、 Windows 域等 ）仅仅是在认证系统内部来管理和控制的，身份认证子系统与其他子系统之间的信息交换都是通过认证的安全等级来实现的。 4.6.3 身份认证相关协议 身份认证管理支持 的身份认证协议有： 1)SSL 协议。 2)Windows 域认证 3)SAML 协议 集中认证管理 同时支持上述三种认证协议 ， 下面详细介绍这些认证协议。 SSL 协议 SSL（ Secure Socket Layer，安全套接层）协议最早由 Netscape 提出，是一种用于保护互联网通信私密性的安全协议，现在已经是该领域的工业标准。通过 SSL 协议，可以使通信不被恶意攻击者窃听，并且始终对服务端进行认证（也可以应用可选的客户端认证）。 SSL 可以使用 RC4、 DES 等多种加密算法，并应用 X.509 数字证书标准进行认证，从保护机制上来讲，是比较完善的。而且 SSL 的实现成本比较低，可以很容易的结合现有的应用环境建立比较安全的传输，所以获得了极为广泛的应用。 基于 SSL 协议的身份认证方式与用户名 /口令方式相比， 最显著的优势在于 SSL 提供双向的身份认证，不仅可以验证客户端的身份同时也可以认证服务器的身份。 Windows 域 Windows 交互式登录是我们平常常见的 一种登录认证方式 ，交互式登卫生统一身份认证应用解决方案 33 录包括 “本地登录 ”和 “域账号登录 ”，而 “本地登录 ”仅限于 “本地账号登录 ”。 1)本地用户账号 采用本地用户账号登录，系统会通过存储在本机 SAM 数据库中的信息进行验证。用本地用户账号登录后，只能访问到具有访问权限的本地资源。 2)域用户账号 采用域用户账号登录，系统则通过存储在域控制器的活动目录中的数据进行验证。如果该用户账号有 效，则登录后可以访问到整个域中具有访问权限的资源。 用户登录域的过程即是活动目录认证用户的过程，具体过程如下 : 登录到域的验证过程，对于不同的验证协议也有不同的验证方法。如果域控制器是 Windows NT 4.0，那么使用的是 NTLM 验证协议，其验证过程和 “登录到本机的过程 ”基本一致 ， 唯一 区别就在于验证账号的工作不是在本地SAM 数据库中进行，而是在域控制器中进行；而对于 Windows 2000 和Windows 2003 域控制器来说，使用的一般为更安全可靠的 Kerberos V5 协议。通过这种协议登录到域，向 域控制器证明自己的域账号有效，用户需先申请允许请求该域的 TGS(Ticket-Granting Service-票据授予服务 )。获准之后，用户就会为所要登录的计算机申请一个会话票据，最后还需申请允许进入那台计算机的本地系统服务。 SAML 协议 2003 年初， OASIS 小组批准了安全性断言标记语言（ Security Assertion Markup Language， SAML）规范。由于来自 25 家公司的 55 名专家参与了该规范的制定。 SAML 是第一个可能成为多个认证协议的规范以利用 Web基础结构（在这种 Web 基础结构中， XML 数据在 TCP/IP 网络上通过 HTTP协议传送）。 OASIS 小组开发 SAML 的目的是作为一种基于 XML 的框架，用于交换安全性信息。 SAML 与其它安全性方法的最大区别在于它以有关多个主体的断言的形式来表述安全性。其它方法使用中央认证中心来发放证书，卫生统一身份认证应用解决方案 34 这些证书保证了网络中从一点到另一点的安全通信。利用 SAML，网络中的任何点都可以断言它知道用户或数据块的身份。然后由接收应用程序做出决定，如果它信任该断言，则接受该用户或数据块。任何符合 SAML 的软件然后都可以断言对用户或数据的认证。对于即将出 现的业务工作流Web 服务标准（在该标准中，安全的数据需要流经几个系统才能完成对事务的处理）而言，这很重要。 SAML 是旨在减少构建和操作信息系统（这些系统在许多服务提供者之间相互操作）所花费成本的众多尝试之一。在当今竞争激烈且迅速发展的环境中，出现了通过浏览器和支持 Web 的应用程序为用户提供互操作性的企业联合。例如，旅游网站允许用户不必进行多次登录即可预订机票和租车。今天，一大群软件开发人员、 QA 技术人员和 IT 经理都需要处理复杂的和不可靠的后端系统，这些系统提供了企业之间的联合安全性。 在典型的支持 Web 的 基础结构中，运行业界领先的企业系统的软件需要处理权限服务器之间的浏览器重定向、服务器域之间的 HTTP post 命令、公钥基础结构（ public key infrastructure， PKI）加密和数字证书，以及声明任何给定用户或组的信任级别的相互同意（ mutually agreed-upon）机制。SAML 向软件开发人员展示了如何表示用户、标识所需传送的数据，并且定义了发送和接收权限数据的过程。 SAML 组件关系图如下： 卫生统一身份认证应用解决方案 35 SAML 组件关系图 4.6.4 集中 认证系统主要功能 集中 认证系统的主要功能包括： 支持多种认 证方式，包括 用户名 /口令、数字证书 、 Windows 域认证和通行码 ，并且为 其他 认证技术留有接口； 支持多种认证协议，包括支持数字证书认证的 SSL 协议 ， Windows域认证 ， SAML 协议等 ； 支持单点登录 支持会话管理 管理用户的认证凭证信息，如数字证书等； 制定身份认证的安全策略，如定义认证模式和安全等级等 ； 认证系统模块管理，如对应用认证网关的管理等。 4.6.5 单点登录 单点登录是集中认证管理的主要功能，本部分从功能实现原理，系统硬件配置，单点登录实现流程等方面进行说明。 单点登录技术 软件应用插件式网关（ WEB 拦截器技术） Web 拦截器（ Intercepting Web Agent）是一种基于过滤技术（ Filter）的卫生统一身份认证应用解决方案 36 应用防火墙。使用 Web 拦截器在请求到达之前来拦截请求，并在应用外部提供认证和授权。例如，对于没有或有很少安全措施的应用，必须提供合适的认证和授权。因此，可使用拦截 Web 代理提供适当的保护，而不是修改代码或重写 Web 层。 Web 拦截器可以安装在 Web 服务器中，通过在 Web服务器上拦截入站请求和执行访问控制策略，来对入站请求进行认证和授权。 对于本身不能实现安全或难以修改的应用，通过将安全与应用分离，提供 一种理想的安全保护方法，它还可以集中管理与安全相关的组件。安全策略及其实现细节是在应用外部实施的，因此可以修改，而不会影响应用。 拦截 Web 代理将安全逻辑与应用逻辑分开，从而提高了可维护性。通常，拦截 Web 代理的实现制要求配置，而无需修改代码。另外，通过将与安全相关的处理转移到应用之外（即服务器上），拦截 Web 代理还提高了应用的性能。在 Web 服务器上，没有通过认证和授权的请求将被拒绝，因此不会占用应用的额外周期。 硬件应用网关 (安全代理服务 ) 使用安全服务代理（ Secure Service Proxy）在应 用外提供认证和验证，这是通过拦截安全检查请求，然后将其委派给合适的服务实现的。硬件网关系统逻辑架构如下图所示。 应用网关功能逻辑图 安全服务代理拦截来自客户端的所有请求，确定请求服务，然后执行服务要求的安全策略，并将请求从入站协议转换为目标服务要求的协议，最后将请求转发给目标服务。在返回路径上，安全服务代理将结果从服务卫生统一身份认证应用解决方案 37 使用的协议和格式转换为客户要求的协议和格式。它也可以保留客户会话中首次请求创建的安全上下文，供以后的请求使用。 可在企业外围配置安全服务代理提供认证、授权和其他安全服务，为遗留的或缺少安 全机制的轻量级企业服务实施安全策略。安全服务代理模式与 Web 拦截器模式类似，但安全服务代理模式更高级，因为它不要求使用基于 HTTP 的 URL 访问控制，也不要求使用任何传输协