统一身份认证设计方案(最终版)

1、统一身份认证设计方案日期：2016年2月内容1.1整体系统设计51.1.1总体设计理念51.1.2平台6概述1.1.3平台的整体逻辑结构71.1.4平台8的整体部署1.2平台功能描述81.3集中用户管理91.3.1服务对象管理101.3.2用户身份信息设计111.3.2.1用户类型111.3.2.2身份信息模型111.3.2.3身份信息的存储121.3.3用户生命周期管理121.3.4用户身份信息的维护131.4集中式证书管理141.4.1集中证书管理的特征141.5集中授权管理161.5.1集中授权的应用背景161.5.2集中授权管理对象171.5.3集中授权的工作原理181.5.4集中授权

2、模式191.5.5细粒度授权191.5.6角色的继承201.6集中认证管理211.6.1集中认证管理的特点221.6.2身份认证方法221.6.2.1用户名/密码认证231.6.2.2数字证书认证231.6.2.3视窗域认证241.6.2.4密码认证241.6.2.5认证方法和安全等级241.6.3身份认证相关协议251.6.3.1 SSL协议251.6.3.2 windows域25Saml议定书261.6.4集中认证系统的主要功能281.6.5单点登录291.6.5.1单点登录技术291.6.5.2单点登录实施流程311.7集中审计管理351.1整体系统设计为了加强对业务系统和办公系统的安全

3、控制，提高信息安全管理水平，我们设计了一个基于PKI/CA技术的统一身份认证服务平台。1.1.1总体设计理念为了满足建立全面完善的人员账户管理和应用安全管控的需求，我们将按照以下设计思路设计并实现统一的身份认证服务平台解决方案：内部构建基于PKI/CA技术的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块，实现员工账户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。提供了现有的统一门户系统。通过集成单点登录模块和调用统一身份认证平台服务，不同的用户可以登录并显示不同的内容。用户可以根据不同的需求定制桌面。建立统一的身份认证服务平

4、台，所有应用系统都可以使用具有唯一身份的数字证书登录，具有良好的可扩展性和集成性。它提供了一个基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户之间的映射关系，执行应用系统级的访问控制和用户生命周期维护管理功能。用户证书存储在u盘中，保证了证书和私钥的安全性，满足移动办公的安全需求。平台概述以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计，为多业务系统提供统一、安全、有效的用户身份、系统资源、权限策略和审计日志等配置和服务。如图所示，统一信任管理平台的组件松散耦合、相互支持、相互独立，具体功能如下：集中用户管理系统：完

5、成各系统用户信息的整合，实现用户生命周期的集中统一管理，并与各应用系统建立同步机制，简化用户及其账户的管理复杂度，降低系统管理的安全风险。集中式证书管理系统：集成证书注册服务和电子密钥管理功能，实现用户证书申请、审批、颁发、更新和撤销等生命周期管理功能，支持第三方电子集中授权管理系统：根据企业安全策略，采用基于角色的访问控制技术，实现支持多应用系统的集中灵活的访问控制和授权管理功能，提高管理效率。集中审计管理系统：提供用户管理、证书管理、认证管理和授权管理的全面审计信息，支持应用系统、用户登录和管理操作等审计管理。1.1.3平台的整体逻辑结构总体逻辑结构图如下：如图所示，该平台基于国际上成熟的

6、技术，如PKI基础服务、加密解密服务、SAML协议等。构建了统一的信任管理平台管理系统。它通过网络过滤器、安全代理服务器等技术，简单快速地集成各种应用系统，在保证系统安全的前提下，更好地实现业务系统集成和内容集成。1.1.4平台整体部署集中部署模式：所有模块部署在同一台服务器上，为企业提供统一的信任管理服务。该部署方法主要采用专有的定制硬件服务设备，在硬件设备中统一部署和安装集中账户管理、集中授权管理、集中认证管理和集中审计管理等功能服务模块，用户账户的操作和管理通过连接外部服务区的从LDAP目录服务(现有的AD目录服务)来完成。1.2平台功能描述该平台主要提供集中用户管理、集中证书管理、集中

7、认证管理、集中授权管理和集中审计等功能。整体功能模块如下图所示：总体功能模块图1.3集中用户管理随着企业信息化的发展，已经经历了网络基础设施建设和应用系统建设阶段，现在正面临着对进入信息化环境的人员实现统一管理和安全控制的阶段。随着企业网络基础设施的不断完善和应用系统建设的不断扩大，在信息化加速业务发展的同时，企业信息化的规模也在迅速扩大，以满足业务发展的需要，更多的人融入到信息环境中，这凸显出无论是网络系统、业务系统还是办公系统，最终的主体都将是企业的内部和外部人员，每个人都将承担使用、管理、授权和应用操作的角色。因此，对人员可信身份的管理尤为重要，这将成为信息发展的重中之重。只有加强对人员

8、可信身份的管理，才能实现门户的安全保护，为企业管理和业务发展营造可信的信息环境。特别是采用数字证书认证和应用后，可以完全管理可信身份的整个过程，保证每一个操作的可信和可靠。集中用户管理系统主要是整合各系统的用户信息，实现用户生命周期的集中统一管理，与各种应用系统建立同步机制，简化用户及其账户的管理复杂度，降低系统用户管理的安全风险。集中用户管理功能示意图1.3.1服务对象管理集中式用户管理主要为企业内外的人员和资源管理和提供服务。特定对象可分为以下几类：最终用户自然人，包括自然人身份及相关信息主账号身份唯一对应一个自然人，一个主账户只能对应一个自然人，一个自然人可以有多个主账户从账号与特定角色

9、相对应，应用系统内部的每个用户账户集，以及统一信任管理平台中的每个主账户可以有多个从账户，即多个身份角色(即一个日常人员在企业内部有多套应用系统账户)资源对象用户是访问资源的主要用户，人是最重要的用户类型：大多数业务是由人发起的，原始数据是由人输入的，关键过程是由人控制的。人员可以细分为员工和外部用户。员工是企业的员工，是平台关注的主要用户群体；外部用户是指以独立身份访问企业应用系统的一般个人客户和企业客户。1.3.2.2身份信息模型为所有类型的用户身份建立统一的用户身份。用户标识是统一用户管理系统中用于标识所有用户身份信息的标识。用户号与员工号或身份证号不同，因此有必要建立相应的编码标准。为

10、了保证用户身份的真实性和有效性，可以使用数字证书认证来认证身份，并且唯一地对应于用户的身份。用户基本信息保存了用户最重要的信息属性。由于人力资源等其他系统仍然保留着较为完整的用户信息，有必要与这些系统中的信息建立交叉引用关系，因此有必要在这些系统中保存用户信息的索引，便于关联查询。基于分散分级管理的需要，用户身份信息需要根据组织和岗位级别对用户信息进行分类，便于划分安全管理域，将用户信息集中存储在总部，划分管理域。用户认证信息管理用户认证方法和对应于各种认证方法的认证信息，例如用户名/密码和数字证书。由于用户在每个应用系统中都有自己的账户和相关密码，为了保证平台实施后原系统仍能按照原账户模式运

11、行，有必要在应用系统中建立用户标识和账号的对比关系。授权信息是用户使用每个系统的访问策略，为用户提供系统中的角色和其他属性。身份信息在1.3.2.3的存储为了便于对人员身份的管理，集中式用户系统采用树形结构维护人员组织结构，存储方式主要采用LDAP。您可以通过企业现有的人事信息管理系统根据政策进行读写。目前主要支持以下数据源类型：视窗活动目录OpenLdapIBM目录服务器1.3.3用户生命周期管理用户生命周期主要关注于用户雇佣、用户账户创建、用户身份识别(数字证书颁发)、用户属性变更、用户账户注销、用户账户备案等过程的自动化管理。这个管理过程也可以称为用户生命周期管理，如下图所示：因为需要给

12、用户一个可信的身份，所以需要通过数字证书认证的方式来实现。在用户生命周期管理的过程中，基于账户的生命周期和数字证书生命周期管理的内容都围绕着用户。数字证书主要与用户的主帐户ID唯一绑定。在用户帐户的使用和属性更改期间，不需要更改数字证书。只有在用户帐户取消和存档期间，匹配的数字证书也需要被撤销和存档。1.3.4用户身份信息的维护目前，集中式用户管理系统中用户身份信息的维护主要以现有的AD域和LDAP为基础数据源，集中式用户管理系统是用户信息维护的主要入口。人力资源部的相应人员可以创建、修改、删除、编辑和查询用户账户，并签发数字证书。平台通过适配器感知AD域中用户信息的变化，并自动同步到平台用户

13、身份信息存储器(目录服务器)；平台的用户管理员也可以直接修改集中存储在平台中的用户身份信息，然后平台与每个应用系统同步。1.4集中证书管理集中式证书管理功能主要针对用户的CA系统，包括：1)证书申请集中式证书管理的功能集支持多种CA构建模式(自建和第三方服务)、多RA集中管理、可扩展性强等特点。它从技术和管理上满足了用户对集中式证书管理的迫切需求，解决了管理员难以操作和维护多个平台的问题。1.4.1集中证书管理的特点通过集成证书注册服务和电子密钥管理功能，实现了集中的证书管理。1)集中证书集中证书主要是将本地数据源中的数据进行组合，为用户提供集中证书，包括集中申请和自动审批。通过认证中心配置路

14、径访问指定的认证中心系统；认证中心系统颁发一个数字证书并将其返回给管理员；管理员将证书加载到UBS密钥中，证书已成功准备好。数字证书已发送给最终用户。2)证书生命周期管理通过集中的证书管理功能，可以实现证书的生命周期管理，主要包括证书的查询和撤销，同时可以检查证书的有效性。证书有效性检查可以支持与认证中心系统的CRL服务的链接和CRL列表的手工导入。用户通过证书认证登录“登录门户”；提交用户的证书信息(包括证书属性、有效期等。)到“证书管理模块”；该服务检查证书信息，如果有效，则向“证书管理模块”返回有效值(如果无效，则向“证书管理模块”返回值)；“证书管理模块”向“登录门户”返回有效值，用户

15、通过身份验证。(如果无效，用户无法登录)；用户通过认证，正常进入应用系统。3)支持多种认证中心建设模式4)多RA集中管理在企业中，根据证书应用的要求，根ca下有多个子ca，即有多个RA。通过平台与风险评估的集成，可以支持企业内多个风险评估的集成，实现单个平台上多个风险评估的集中管理。5)灵活性和可扩展性集中式证书管理功能不仅实现了集中式证书和证书生命周期管理的功能，而且具有用户CA系统的多RA管理、自主构建和服务模式的特点，并具有灵活的可扩展性。它可以实现与RA的完全集成，通过平台、证书处理、证书生命周期管理、证书审批、支持多种应用模式、RA日志管理、密钥管理、策略管理等实现对RA的完全接管。从而满足更多用户对集中式证书管理的可扩展性要求。1.5集中授权管理1.5.1集中授权的应用背景通过对一些大型企业的分析，发现企业内部各应用系统的授权非常完善，但从集中管理的角度来看，发现传统的大型企业授权存在以下问题：1)系统权限的分散：员工的流动性和职位的变动要求改变员工的系统访问权限，而多个系统权限的分散增加了管理员的工作量，容易带来安全漏洞。2)应用系统的独立性：各种应用系统都使用独立的登录方式，因此员工需要记住所有应用系统的账号和密码，并逐一登录，给工作带来很大的麻烦，尤其是对工作效率影响很大，甚至