應用背景
計算機網絡和信息技術的迅速發展使得企業信息化的程度不斷提高,在企業信息化過程中,諸如 OA 、 CRM 、 ERP 、 OSS 等越來越多的業務系統應運而生,提高了企業的管理水平和運行效率。與此同時,各個應用系統都有自己的認證體系,隨著應用系統的不斷增加,一方面企業員工在業務系統的訪問過程中,不得不記憶大量的帳戶口令,而口令又極易遺忘或泄露,為企業帶來損失;另一方面,企業信息的獲取途徑不斷增多,但是缺乏對這些信息進行綜合展示的平臺。
在上述背景下,企業信息資源的整合逐步提上日程,并在此基礎上形成了各業務系統統一認證、單點登錄( SSO )和信息綜合展示的企業門戶。現有的門戶產品多集中于口令方式的身份認證,如何更安全地進行統一認證,并保證業務系統訪問的安全性,成為關注的焦點。
基于 CA 的統一身份管理平臺
時代億信推出的基于 CA 的 UAP 統一身份管理平臺產品,以資源整合為目標,以 PKI 技術為基礎,通過對用戶身份的統一認證和訪問控制,更安全地實現各業務系統的單點登錄和信息資源的整合。
平臺兼容口令認證、 PFX 證書文件認證、 USB 智能卡認證等多種認證方式,并采用 SSL 加密通道、關鍵信息加密簽名、訪問控制策略等安全技術充分保證身份認證和業務系統訪問過程的安全性。
架構和組件
UAP 統一身份管理平臺的系統架構
![]("http://www.eetrust.com/products/s3_2_whitebook_clip_image002.jpg")
基于 CA 認證的統一身份管理平臺架構
用戶走 SSL 加密通道經過統一的身份認證進入門戶系統,門戶系統與業務系統之間通過訪問和映射,實現單點登錄,用戶按權限進入接入平臺的業務系統。
認證、門戶和 SSO 的配置由管理員在圖右側的平臺管理系統中完成。
平臺管理系統由用戶管理、平臺管理、授權管理、業務系統管理、審計管理、 CA 管理 6 個模塊組成。
用戶管理主要完成對業務系統注冊用戶的相關信息及對已注冊用戶信息的管理。
平臺管理主要實現為用戶提供平臺管理系統各內部配置信息的管理功能。
授權管理主要實現用戶權限管理功能。
業務系統管理主要完成對各業務系統各配置項,映射接口及相關訪問控制策略等信息的管理。
審計管理主要完成平臺系統日志備份及查找功能,可按時間范圍導出備份系統日志信息,并具實時監控功能,可實時監控用戶日志。
系統自帶 CA 管理主要完成對 CA 證書管理功能。
UAP 統一身份管理平臺的組件主要包括以下部分:
• 門戶系統 :各個業務系統信息資源的綜合展現;
• 平臺管理系統 :平臺用戶的注冊、授權、審計;各業務系統的配置;門戶管理;
• CA 系統 :平臺用戶的數字證書申請、簽發和管理;
• 用戶統一認證 :用戶身份的 CA 數字證書認證、認證過程的 SSL 加密通道;
• 單點登錄( SSO ) :業務系統關聯映射、訪問控制、訪問業務系統時信息的加密簽名和 SSL 加密通道;
安全機制的實現
用戶注冊和授權
• 企業每一個用戶在平臺完成用戶注冊,得到自己的統一帳戶;
• 如果采用證書文件或 USB 智能卡認證方式,則 CA 系統自動為平臺用戶簽發數字證書,并與用戶的統一帳戶對應。
• 注冊的用戶可以由管理員進行分組,并根據分組設定相應的業務系統訪問權限。
業務系統配置
• 安裝業務系統訪問代理并配置證書和私鑰,用以建立客戶端與業務系統之間的 SSL 加密通道,并接收處理平臺提供的加密簽名的用戶認證信息;
• 提供關聯映射接口和訪問驗證接口,并在平臺進行配置。關聯信息主要是平臺統一帳戶與業務系統用戶信息(可能包括業務系統的用戶名和密碼)的對應關系。
![]("http://www.eetrust.com/products/s3_2_whitebook_clip_image004.jpg")
平臺實現和安全機制
系統特點
時代億信基于 CA 的統一認證解決方案,在進行業務系統整合和內容整合的同時,更加注重資源整合的效果和統一認證的安全性,具有以下特點:
• 身份認證和單點登錄的高安全性
充分運用了 CA 認證、 SSL 加密通道、關鍵信息加密簽名、時間戳等技術,保證了信息傳遞的保密性,真實性,有效防止了重放攻擊。
• 系統構建的實施工作量少
業務系統只需安裝配置訪問前置,并按規范提供關聯接口和訪問驗證接口即可。訪問代理支持 Windows 、 Linux 、 Unix 等平臺,充分滿足各種平臺下業務系統的需求。
• 充分兼顧系統安全與運行效率
在身份認證和單點登錄這樣的高風險階段,采用多種技術保證安全性,而在正常訪問業務系統數據時,可以綜合考慮安全與效率,靈活設置是否采用 SSL 加密通道。
• 具有高可靠性和可用性
平臺產品支持負載均衡部署方式,充分滿足并發認證的需求;同時,平臺與業務系統之間采取松散耦合的方式,靈活滿足業務系統的調整和升級。
應用范圍
時代億信 UAP 統一身份管理平臺即解決目前分散認證系統的種種弊端所產生的一種產品通過數字證書、數字簽名等機制充分保證了認證過程的安全性,成為身份認證技術的一個重要發展方向和趨勢,并已在政府、軍隊、銀行、證券、電信等領域得到了成熟應用。
