★統一身份管理平臺系統

 　　應用背景

　　計算(suan)機(ji)網絡和信(xin)息技術(shu)的(de)(de)迅速發展(zhan)使得企(qi)(qi)業信(xin)息化(hua)的(de)(de)程(cheng)度不(bu)斷提高(gao)，在企(qi)(qi)業信(xin)息化(hua)過程(cheng)中，諸如OA、CRM、ERP、OSS等越(yue)來(lai)越(yue)多(duo)的(de)(de)業務系統應運(yun)而(er)生，提高(gao)了企(qi)(qi)業的(de)(de)管理水平(ping)和運(yun)行效率(lv)。與此同時(shi)，各(ge)個應用系統都有自己的(de)(de)認(ren)證體系，隨著應用系統的(de)(de)不(bu)斷增(zeng)加(jia)，一方(fang)面企(qi)(qi)業員(yuan)工在業務系統的(de)(de)訪問(wen)過程(cheng)中，不(bu)得不(bu)記憶大量(liang)的(de)(de)帳戶口令，而(er)口令又極易(yi)遺忘或泄露，為企(qi)(qi)業帶來(lai)損失;另一方(fang)面，企(qi)(qi)業信(xin)息的(de)(de)獲取途徑(jing)不(bu)斷增(zeng)多(duo)，但是缺乏對這些(xie)信(xin)息進行綜合展(zhan)示的(de)(de)平(ping)臺。

　　在上述背景下，企業(ye)信息資源的(de)(de)整合(he)逐(zhu)步提上日程，并(bing)在此基礎上形成了各(ge)業(ye)務(wu)系(xi)統(tong)統(tong)一認證(zheng)、單點登錄(SSO)和信息綜合(he)展示的(de)(de)企業(ye)門(men)(men)戶。現有的(de)(de)門(men)(men)戶產品多集中于口令方式的(de)(de)身份認證(zheng)，如(ru)何更安(an)全地進(jin)行統(tong)一認證(zheng)，并(bing)保(bao)證(zheng)業(ye)務(wu)系(xi)統(tong)訪(fang)問的(de)(de)安(an)全性，成為關注(zhu)的(de)(de)焦點。

　　基于CA的統一身份管理平臺

　　的(de)(de)基(ji)于CA的(de)(de)UAP統(tong)一(yi)(yi)身份管理平臺(tai)產品，以資源(yuan)整(zheng)(zheng)合(he)為(wei)目標，以PKI技(ji)術為(wei)基(ji)礎，通過對用戶(hu)身份的(de)(de)統(tong)一(yi)(yi)認證(zheng)和(he)訪(fang)問控制，更安全(quan)地實現各(ge)業(ye)務系(xi)統(tong)的(de)(de)單點登(deng)錄和(he)信息資源(yuan)的(de)(de)整(zheng)(zheng)合(he)。

　　平臺兼容(rong)口令認(ren)證(zheng)(zheng)(zheng)、PFX證(zheng)(zheng)(zheng)書文(wen)件認(ren)證(zheng)(zheng)(zheng)、USB智能卡認(ren)證(zheng)(zheng)(zheng)等(deng)多種認(ren)證(zheng)(zheng)(zheng)方式，并采用SSL加密(mi)通道(dao)、關鍵信(xin)息加密(mi)簽名、訪(fang)問控制(zhi)策略等(deng)安(an)全技術充分保證(zheng)(zheng)(zheng)身份認(ren)證(zheng)(zheng)(zheng)和業(ye)務系統訪(fang)問過程的安(an)全性。

　　架構和組件

　　UAP統一身份管理平(ping)臺的系(xi)統架構(gou)

　　用(yong)戶(hu)走SSL加密通道經過(guo)統(tong)一的身份認證(zheng)進入(ru)(ru)門戶(hu)系統(tong)，門戶(hu)系統(tong)與(yu)業務系統(tong)之間通過(guo)訪問和映(ying)射，實現(xian)單點登錄，用(yong)戶(hu)按權限進入(ru)(ru)接入(ru)(ru)平臺的業務系統(tong)。

　　認證、門戶和(he)SSO的配(pei)置由管理員在圖右側(ce)的平臺管理系統中完成。

　　平(ping)臺(tai)管(guan)(guan)(guan)理(li)系統(tong)由用(yong)戶管(guan)(guan)(guan)理(li)、平(ping)臺(tai)管(guan)(guan)(guan)理(li)、授權管(guan)(guan)(guan)理(li)、業(ye)務系統(tong)管(guan)(guan)(guan)理(li)、審計管(guan)(guan)(guan)理(li)、CA管(guan)(guan)(guan)理(li)6個模塊組成。

　　用(yong)戶管理主要(yao)完成對業務系統注冊用(yong)戶的相關信息及對已注冊用(yong)戶信息的管理。

　　平臺管理主(zhu)要實現為用(yong)戶提供平臺管理系統各內部配置信(xin)息(xi)的管理功能。

　　授權管理主(zhu)要實現用(yong)戶(hu)權限管理功能(neng)。

　　業務系統(tong)管(guan)理主(zhu)要完成(cheng)對各(ge)業務系統(tong)各(ge)配置(zhi)項，映射接(jie)口及相關訪問控制(zhi)策略等信息的管(guan)理。

　　審計管理主要完(wan)成平(ping)臺系統日志(zhi)備份及查找功能，可按時(shi)(shi)間范圍導(dao)出備份系統日志(zhi)信息，并具(ju)實時(shi)(shi)監控(kong)功能，可實時(shi)(shi)監控(kong)用戶日志(zhi)。

　　系統自帶CA管理主要完成(cheng)對(dui)CA證書管理功能。

　　UAP統一(yi)身份管理平臺的(de)組件主要(yao)包括以下部分：

　　Ø 門戶(hu)系統：各個業務系統信息(xi)資源的(de)綜合展(zhan)現(xian);

　　Ø 平(ping)(ping)臺(tai)管(guan)理系統：平(ping)(ping)臺(tai)用(yong)戶的注冊、授權(quan)、審(shen)計(ji);各業務系統的配置;門戶管(guan)理;

　　Ø CA系統：平(ping)臺(tai)用(yong)戶的數字證(zheng)書申(shen)請、簽(qian)發和管理;

　　Ø 用戶(hu)統一認證(zheng)：用戶(hu)身份(fen)的CA數(shu)字(zi)證(zheng)書認證(zheng)、認證(zheng)過程的SSL加密通道;

　　Ø 單點(dian)登(deng)錄(lu)(SSO)：業務系統關聯映射、訪(fang)問控制(zhi)、訪(fang)問業務系統時信息(xi)的(de)加(jia)(jia)密(mi)簽(qian)名(ming)和SSL加(jia)(jia)密(mi)通道;

　　安全機制的實現

　　用戶注冊和授權

　　(1) 企業每一個用戶在平臺完成(cheng)用戶注冊，得到自己的(de)統(tong)一帳(zhang)戶;

　　(2) 如果采用(yong)證書文件或USB智(zhi)能卡認(ren)證方(fang)式，則CA系統(tong)自(zi)動為(wei)平臺(tai)用(yong)戶簽發數字(zi)證書，并與用(yong)戶的(de)統(tong)一(yi)帳(zhang)戶對應。

　　(3) 注(zhu)冊的用戶可以由管理員進行分組，并根據分組設定相應的業(ye)務系統訪問(wen)權限(xian)。

　　業務系統配置

　　(1) 安裝(zhuang)業務系統訪問(wen)代理并(bing)配(pei)置證書和私鑰，用以(yi)建(jian)立客戶(hu)(hu)端與業務系統之間的(de)SSL加密通道，并(bing)接(jie)收(shou)處理平臺提供的(de)加密簽(qian)名的(de)用戶(hu)(hu)認證信息;

　　(2) 提供關(guan)聯映射(she)接口和(he)訪問驗證接口，并(bing)在(zai)平臺(tai)進行(xing)配(pei)置。關(guan)聯信息主要是平臺(tai)統(tong)(tong)一帳戶與業(ye)務系統(tong)(tong)用戶信息(可能包括業(ye)務系統(tong)(tong)的(de)用戶名和(he)密碼(ma))的(de)對(dui)應關(guan)系。

　　系統特點

　　基于CA的(de)統一(yi)(yi)認證解決方案，在進行業務系統整(zheng)(zheng)合和內容整(zheng)(zheng)合的(de)同時，更加注重資源整(zheng)(zheng)合的(de)效果和統一(yi)(yi)認證的(de)安全性，具有以下特點：

　　(1) 身(shen)份認(ren)證和單點登錄的(de)高安全性充分(fen)運用(yong)了CA認(ren)證、SSL加密(mi)通道(dao)、關鍵信(xin)息加密(mi)簽名、時(shi)間戳等(deng)技術，保證了信(xin)息傳(chuan)遞的(de)保密(mi)性，真實性，有(you)效防止了重放(fang)攻擊。

　　(2) 系(xi)統(tong)構建的(de)實施工作量少業(ye)務系(xi)統(tong)只需安裝配置訪問前(qian)置，并按規范提供關聯(lian)接口(kou)(kou)和訪問驗證接口(kou)(kou)即可。訪問代理支持Windows、Linux、Unix等(deng)平臺，充分(fen)滿足各種平臺下業(ye)務系(xi)統(tong)的(de)需求。

　　(3) 充分兼顧系(xi)統安(an)全(quan)與運行(xing)效率(lv)在身(shen)份(fen)認(ren)證(zheng)(zheng)和單點(dian)登(deng)錄(lu)這樣的高風險階(jie)段，采用多種(zhong)技術保證(zheng)(zheng)安(an)全(quan)性，而在正(zheng)常訪(fang)問業務系(xi)統數據時，可(ke)以(yi)綜合考慮安(an)全(quan)與效率(lv)，靈(ling)活(huo)設置(zhi)是否采用SSL加密通道。

　　(4) 具有高可(ke)靠(kao)性和可(ke)用(yong)性平臺產品支持負載均衡部署(shu)方式，充分滿足并發認證的需(xu)求;同時(shi)，平臺與業務(wu)(wu)系統之間采取松散(san)耦(ou)合的方式，靈活滿足業務(wu)(wu)系統的調整和升級。

　　應用范圍

　　UAP統一(yi)身(shen)份管理平(ping)臺即解決目前分散(san)認(ren)證(zheng)(zheng)系(xi)統的種種弊端所產(chan)生的一(yi)種產(chan)品通過數字證(zheng)(zheng)書、數字簽名等機(ji)制充分保證(zheng)(zheng)了(le)認(ren)證(zheng)(zheng)過程的安全性(xing)，成(cheng)為身(shen)份認(ren)證(zheng)(zheng)技術的一(yi)個重要發(fa)展方向(xiang)和趨勢，并已(yi)在政府、軍隊、銀行、證(zheng)(zheng)券、電(dian)信等領(ling)域(yu)得到了(le)成(cheng)熟應用。