★統一身份管理平臺技術

 　　應用背景

　　計算(suan)機網絡和信息技術的(de)(de)(de)(de)迅速發(fa)展使得企(qi)(qi)業(ye)信息化的(de)(de)(de)(de)程度不斷提高，在企(qi)(qi)業(ye)信息化過程中，諸如OA、CRM、ERP、OSS等越(yue)(yue)來越(yue)(yue)多(duo)(duo)的(de)(de)(de)(de)業(ye)務(wu)系統應運而生，提高了企(qi)(qi)業(ye)的(de)(de)(de)(de)管理水平(ping)和運行效率(lv)。與此(ci)同時，各個應用系統都有自己(ji)的(de)(de)(de)(de)認證體(ti)系，隨著(zhu)應用系統的(de)(de)(de)(de)不斷增加(jia)，一方面(mian)企(qi)(qi)業(ye)員工在業(ye)務(wu)系統的(de)(de)(de)(de)訪問(wen)過程中，不得不記憶大量(liang)的(de)(de)(de)(de)帳(zhang)戶口令，而口令又(you)極(ji)易遺忘或(huo)泄露，為企(qi)(qi)業(ye)帶來損(sun)失(shi);另一方面(mian)，企(qi)(qi)業(ye)信息的(de)(de)(de)(de)獲取(qu)途徑不斷增多(duo)(duo)，但(dan)是缺乏對這些信息進(jin)行綜合展示的(de)(de)(de)(de)平(ping)臺。

　　在上(shang)述背(bei)景下，企(qi)業信息(xi)資源的(de)整合逐步提上(shang)日程，并(bing)在此基礎上(shang)形成了各業務系統統一(yi)認證(zheng)、單(dan)點(dian)登(deng)錄(SSO)和信息(xi)綜合展(zhan)示的(de)企(qi)業門戶(hu)。現(xian)有(you)的(de)門戶(hu)產品多(duo)集(ji)中于(yu)口令方式(shi)的(de)身(shen)份認證(zheng)，如何更安(an)全地(di)進行統一(yi)認證(zheng)，并(bing)保證(zheng)業務系統訪(fang)問的(de)安(an)全性，成為關注的(de)焦點(dian)。

　　基于CA的統一身份管(guan)理平臺

　　的基于CA的UAP統(tong)一(yi)身份(fen)管理平臺產品，以資源整合(he)(he)為(wei)目標，以PKI技術為(wei)基礎，通過(guo)對用戶身份(fen)的統(tong)一(yi)認證和(he)訪問控制，更安全地實現(xian)各業(ye)務系統(tong)的單點登錄和(he)信息資源的整合(he)(he)。

　　平臺兼容(rong)口令認證、PFX證書(shu)文件認證、USB智能卡認證等多種認證方式，并采用SSL加(jia)密通道、關鍵(jian)信息加(jia)密簽名、訪問(wen)控(kong)制策略等安(an)全(quan)(quan)技術充(chong)分保證身(shen)份認證和業務系統訪問(wen)過程的安(an)全(quan)(quan)性(xing)。

　　架構和組件

　　用戶(hu)走SSL加密通道經過(guo)統(tong)一(yi)的身份認證進入(ru)門(men)戶(hu)系(xi)(xi)統(tong)，門(men)戶(hu)系(xi)(xi)統(tong)與業務(wu)系(xi)(xi)統(tong)之間通過(guo)訪問和映(ying)射，實現(xian)單點登(deng)錄，用戶(hu)按權限進入(ru)接入(ru)平臺(tai)的業務(wu)系(xi)(xi)統(tong)。

　　認證、門戶和SSO的(de)配置由管理員在(zai)圖(tu)右側(ce)的(de)平(ping)臺(tai)管理系(xi)統中(zhong)完成。

　　平(ping)臺管(guan)(guan)理(li)(li)系(xi)統由用(yong)戶管(guan)(guan)理(li)(li)、平(ping)臺管(guan)(guan)理(li)(li)、授權管(guan)(guan)理(li)(li)、業務系(xi)統管(guan)(guan)理(li)(li)、審(shen)計管(guan)(guan)理(li)(li)、CA管(guan)(guan)理(li)(li)6個模塊(kuai)組(zu)成。

　　用戶(hu)(hu)管理(li)(li)主要完成對業(ye)務系(xi)統注冊(ce)(ce)用戶(hu)(hu)的(de)相關信息及對已注冊(ce)(ce)用戶(hu)(hu)信息的(de)管理(li)(li)。

　　平臺管理(li)主要實現為用(yong)戶提供平臺管理(li)系統各內部(bu)配(pei)置信息的管理(li)功(gong)能。

　　授權管(guan)理主要實現用戶權限管(guan)理功(gong)能(neng)。

　　業(ye)務系(xi)統管(guan)理(li)主(zhu)要完(wan)成對各業(ye)務系(xi)統各配(pei)置項，映射接口(kou)及相關訪問控(kong)制(zhi)策略(lve)等信息的管(guan)理(li)。

　　審計管理(li)主要完成平臺系統日(ri)志備份(fen)及查(cha)找(zhao)功能，可按時間范圍導出備份(fen)系統日(ri)志信(xin)息，并具實時監控功能，可實時監控用戶日(ri)志。

　　UAP統一身(shen)份管理(li)平臺的組件主要包括以下部分：

　　門戶系統：各個業務系統信息(xi)資(zi)源的綜合(he)展現(xian);

　　平臺管理系統：平臺用戶(hu)的注冊、授(shou)權(quan)、審計;各業(ye)務系統的配置;門(men)戶(hu)管理;

　　CA系(xi)統(tong)：平臺(tai)用戶的數字證書申請、簽(qian)發和管理;

　　用(yong)戶統一認(ren)證(zheng)：用(yong)戶身(shen)份的CA數字證(zheng)書認(ren)證(zheng)、認(ren)證(zheng)過程的SSL加密通(tong)道;

　　單點登錄(SSO)：業(ye)務系統關聯(lian)映(ying)射、訪問(wen)控制、訪問(wen)業(ye)務系統時信息的(de)加密(mi)簽名和SSL加密(mi)通(tong)道;

　　安全機制的實現

　　用戶注冊和授權

　　(1) 企業(ye)每一(yi)個(ge)用戶(hu)在平臺(tai)完成用戶(hu)注(zhu)冊，得到(dao)自己的統(tong)一(yi)帳戶(hu);

　　(2) 如果采用(yong)證書文件或(huo)USB智能(neng)卡認證方式，則CA系統自(zi)動為平臺用(yong)戶簽(qian)發數字證書，并與(yu)用(yong)戶的統一帳戶對應(ying)。

　　(3) 注冊的用戶可(ke)以由管(guan)理員進(jin)行(xing)分(fen)(fen)組(zu)，并(bing)根(gen)據分(fen)(fen)組(zu)設(she)定(ding)相應(ying)的業務系(xi)統(tong)訪問權限。

　　業務系統配置

　　(1) 安裝(zhuang)業務系統訪問代理(li)并配置證書和(he)私鑰，用以建立客戶端與業務系統之(zhi)間的SSL加(jia)密(mi)通道(dao)，并接收處理(li)平臺提供的加(jia)密(mi)簽名(ming)的用戶認證信息;

　　(2) 提供關聯映射(she)接口和(he)訪問驗證接口，并在平(ping)臺進(jin)行配(pei)置。關聯信息(xi)主要是平(ping)臺統(tong)一帳戶與業(ye)務系(xi)(xi)統(tong)用戶信息(xi)(可能包括業(ye)務系(xi)(xi)統(tong)的用戶名和(he)密碼)的對應關系(xi)(xi)。

　　系統特點

　　基于CA的統一認證解決方(fang)案，在進行(xing)業務系統整(zheng)合和內容(rong)整(zheng)合的同時(shi)，更加注(zhu)重資源整(zheng)合的效果和統一認證的安全性(xing)，具有以下(xia)特點：

　　(1) 身份認(ren)證(zheng)和單點登錄的高安(an)全(quan)性(xing)充分運用了CA認(ren)證(zheng)、SSL加(jia)密通道、關鍵信息加(jia)密簽名、時間戳等技術，保證(zheng)了信息傳遞的保密性(xing)，真實(shi)性(xing)，有效防止(zhi)了重放攻擊。

　　(2) 系(xi)統構建的實施工(gong)作量少業(ye)務(wu)系(xi)統只需安裝配置(zhi)訪問(wen)前置(zhi)，并按規范提供關(guan)聯接口和(he)訪問(wen)驗(yan)證接口即可。訪問(wen)代理支(zhi)持(chi)Windows、Linux、Unix等平臺，充分滿足各種(zhong)平臺下業(ye)務(wu)系(xi)統的需求。

　　(3) 充分(fen)兼顧系(xi)統安全與(yu)運(yun)行效(xiao)率(lv)在(zai)身份(fen)認證和單(dan)點登錄這樣(yang)的(de)高風險階段，采用(yong)多種(zhong)技術(shu)保證安全性(xing)，而在(zai)正(zheng)常訪問業務系(xi)統數據時，可以綜合考(kao)慮(lv)安全與(yu)效(xiao)率(lv)，靈活設置是(shi)否采用(yong)SSL加密通(tong)道(dao)。

　　(4) 具(ju)有高可靠性(xing)和可用性(xing)平臺(tai)產(chan)品支持負(fu)載(zai)均衡部署(shu)方(fang)式(shi)(shi)，充分滿足并發(fa)認證的需(xu)求;同時(shi)，平臺(tai)與(yu)業(ye)務(wu)(wu)系統(tong)之間(jian)采取(qu)松散耦(ou)合的方(fang)式(shi)(shi)，靈活滿足業(ye)務(wu)(wu)系統(tong)的調整和升級(ji)。

　　應用范圍

　　UAP統(tong)一(yi)身份(fen)管理平(ping)臺(tai)即解決(jue)目前(qian)分散(san)認證系統(tong)的種種弊(bi)端所產生(sheng)的一(yi)種產品通過數字證書、數字簽名等機制充分保證了(le)認證過程的安全(quan)性，成為身份(fen)認證技術的一(yi)個重要發展(zhan)方向和趨勢，并已在政府、軍隊(dui)、銀(yin)行、證券(quan)、電(dian)信等領域得到(dao)了(le)成熟(shu)應用。