信息中心
北京時(shí)代億信統(tǒng)一身份認(rèn)證平臺(tái)技術(shù)方案
北京時(shí)代億信EETrust統(tǒng)一身份認(rèn)證平臺(tái)是基于PKI(Public Key Infrastructure)理論體系, 利用CA、數(shù)字簽名和數(shù)字證書(shū)認(rèn)證機(jī)制,綜合應(yīng)用USB接口智能卡、安全通道、VPN等技術(shù),為門(mén)戶(hù)、OA等多業(yè)務(wù)系統(tǒng)用戶(hù)提供統(tǒng)一身份認(rèn)證和安全服務(wù)的綜合平臺(tái)。
1.1 統(tǒng)一身份認(rèn)證平臺(tái)主要功能
門(mén)戶(hù)系統(tǒng)(Portal)—— 各業(yè)務(wù)系統(tǒng)信息資源的綜合展示。
統(tǒng)一授權(quán)——平臺(tái)為用戶(hù)統(tǒng)一頒發(fā)數(shù)字證書(shū)和私鑰并存儲(chǔ)在USB-KEY中,作為用戶(hù)訪(fǎng)問(wèn)平臺(tái)及各應(yīng)用系統(tǒng)的憑據(jù),并對(duì)用戶(hù)訪(fǎng)問(wèn)應(yīng)用系統(tǒng)的權(quán)限進(jìn)行授權(quán)。
身份認(rèn)證——用戶(hù)在訪(fǎng)問(wèn)平臺(tái)及各應(yīng)用系統(tǒng)時(shí),都使用相同的憑據(jù)(即包含用戶(hù)證書(shū)和私鑰的USB-KEY及其硬件保護(hù)口令PIN),并利用數(shù)字簽名技術(shù)在平臺(tái)進(jìn)行身份認(rèn)證,證明其身份的真實(shí)性。
單點(diǎn)登錄(SSO)——用戶(hù)在通過(guò)平臺(tái)認(rèn)證后,可直接訪(fǎng)問(wèn)已授權(quán)的各應(yīng)用系統(tǒng),實(shí)現(xiàn)不同應(yīng)用系統(tǒng)的身份認(rèn)證共享,從而達(dá)到多應(yīng)用系統(tǒng)的單點(diǎn)登錄。
數(shù)據(jù)共享——認(rèn)證平臺(tái)存儲(chǔ)了用戶(hù)的基本信息和證書(shū)信息,所有應(yīng)用系統(tǒng)均可以充分利用這些信息,減少用戶(hù)信息的重復(fù)錄入。
移動(dòng)辦公——平臺(tái)提供基于SecureVPN?的移動(dòng)安全辦公方式,允許用戶(hù)在通過(guò)認(rèn)證后,通過(guò)Internet安全地訪(fǎng)問(wèn)內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)。
安全通道——平臺(tái)提供兩種安全通道:一種是應(yīng)用層安全通道,一種是網(wǎng)絡(luò)層安全通道。它們?yōu)閮?nèi)網(wǎng)應(yīng)用之間或外網(wǎng)應(yīng)用之間提供安全的傳輸通道,保證其中傳輸?shù)臄?shù)據(jù)的安全性。
安全辦公郵件——對(duì)內(nèi)部辦公的郵件實(shí)現(xiàn)簽名、加密傳輸和加密存儲(chǔ),目前支持的后臺(tái)郵件系統(tǒng)包括:Sun iPlanet、Lotus Notes、Qmail、SendMail以及所有支持IMAP協(xié)議的郵件服務(wù)器。
個(gè)人數(shù)據(jù)的安全管理——對(duì)個(gè)人計(jì)算機(jī)中密級(jí)較高的信息,依據(jù)USB-KEY中存儲(chǔ)的個(gè)人證書(shū),提供加密存儲(chǔ)和讀取。
1.2 統(tǒng)一認(rèn)證平臺(tái)主要優(yōu)勢(shì)
業(yè)務(wù)系統(tǒng)的實(shí)施工作量少
業(yè)務(wù)系統(tǒng)只需安裝配置訪(fǎng)問(wèn)前置,并按規(guī)范提供映射驗(yàn)證接口和訪(fǎng)問(wèn)驗(yàn)證接口即可。訪(fǎng)問(wèn)前置支持Windows、Linux、Unix等多種平臺(tái),充分滿(mǎn)足各種平臺(tái)上業(yè)務(wù)系統(tǒng)的需求。
充分兼顧系統(tǒng)安全與效率
在身份認(rèn)證和單點(diǎn)登錄這樣的高風(fēng)險(xiǎn)階段,采用多種技術(shù)保證安全性,而在正常訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)時(shí),可以綜合考慮安全與效率,可采用關(guān)鍵信息加密的方式,SSL加密通道可配置。
系統(tǒng)具有高可靠性和可用性
平臺(tái)支持軟件方式的負(fù)載均衡,充分滿(mǎn)足并發(fā)認(rèn)證的需求;同時(shí),平臺(tái)與業(yè)務(wù)系統(tǒng)之間采取松散耦合的方式,靈活滿(mǎn)足業(yè)務(wù)系統(tǒng)的調(diào)整和升級(jí)。
支持分認(rèn)證中心結(jié)構(gòu),實(shí)現(xiàn)本地認(rèn)證
用戶(hù)在進(jìn)行身份認(rèn)證時(shí),不需要到認(rèn)證平臺(tái)進(jìn)行認(rèn)證,而是在本地建立一個(gè)功能同認(rèn)證平臺(tái)的分認(rèn)證中心,負(fù)責(zé)本地用戶(hù)的身份認(rèn)證,保證認(rèn)證速度和效率。本地認(rèn)證中心需要建立用戶(hù)的數(shù)字證書(shū)數(shù)據(jù)庫(kù)和用戶(hù)信息數(shù)據(jù)庫(kù),數(shù)據(jù)的存儲(chǔ)需采用加密存儲(chǔ),防止用戶(hù)信息泄露。
和VPN系統(tǒng)進(jìn)行統(tǒng)一登錄
與VPN的認(rèn)證相結(jié)合,用戶(hù)通過(guò)VPN進(jìn)行認(rèn)證后,可直接進(jìn)入辦公門(mén)戶(hù)系統(tǒng),不需要二次認(rèn)證。
支持一次性口令認(rèn)證
支持用戶(hù)忘記攜帶USB-KEY,可以向管理員申請(qǐng)一次性使用的口令進(jìn)行身份認(rèn)證。解決沒(méi)有USB-KEY就不能辦公的弊端。
1.3 統(tǒng)一身份認(rèn)證平臺(tái)功能結(jié)構(gòu)
統(tǒng)一身份認(rèn)證平臺(tái)有效整合現(xiàn)有業(yè)務(wù)系統(tǒng),解決多個(gè)業(yè)務(wù)系統(tǒng)的用戶(hù)統(tǒng)一認(rèn)證問(wèn)題,實(shí)現(xiàn)單點(diǎn)登錄(SSO)、訪(fǎng)問(wèn)控制、并采用相關(guān)的安全機(jī)制,增強(qiáng)用戶(hù)身份認(rèn)證過(guò)程的安全性。
平臺(tái)由以下系統(tǒng)模塊構(gòu)成:
平臺(tái)門(mén)戶(hù)系統(tǒng)
平臺(tái)管理系統(tǒng)
認(rèn)證服務(wù)器
認(rèn)證數(shù)據(jù)庫(kù)
訪(fǎng)問(wèn)控制服務(wù)器
業(yè)務(wù)系統(tǒng)認(rèn)證前置程序
圖 統(tǒng)一身份認(rèn)證平臺(tái)功能結(jié)構(gòu)
1.4 業(yè)務(wù)系統(tǒng)的接入與認(rèn)證
統(tǒng)一認(rèn)證平臺(tái)要實(shí)現(xiàn)單點(diǎn)登錄(SSO),必須能夠?qū)⒏鱾€(gè)業(yè)務(wù)系統(tǒng)接入到平臺(tái)中,并解決不同業(yè)務(wù)系統(tǒng)之間用戶(hù)交叉和用戶(hù)帳戶(hù)不同的問(wèn)題。
1.5 信息資源接入U(xiǎn)AP邏輯關(guān)系圖
UAP整合各種信息資源,通過(guò)標(biāo)準(zhǔn)XML語(yǔ)言,方便的將信息資源進(jìn)行接入和使用。
圖:資源接入邏輯圖
業(yè)務(wù)系統(tǒng)分為B/S結(jié)構(gòu)和C/S結(jié)構(gòu)兩類(lèi),與平臺(tái)的連接都通過(guò)安全通道來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?/P>
對(duì)B/S結(jié)構(gòu)應(yīng)用系統(tǒng)的支持如下表:
| 操作系統(tǒng)平臺(tái) | Web及應(yīng)用服務(wù)器類(lèi)別 |
| Windows平臺(tái) | 支持ASP.Net/ J2EE(JSP/Servlet)/Notes |
| UNIX平臺(tái)(AIX/HP-UX/SOLARIS/LINUX) | 支持J2EE(JSP/Servlet)/Notes |
對(duì)C/S結(jié)構(gòu)應(yīng)用系統(tǒng)主要提供開(kāi)發(fā)接口包:
Windows平臺(tái)的非web方式提供COM組件;
Unix平臺(tái)的非web方式提供動(dòng)態(tài)庫(kù)。
1.5.1 業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)權(quán)限的控制
平臺(tái)用戶(hù)是一個(gè)大的用戶(hù)集合,通過(guò)平臺(tái)認(rèn)證的用戶(hù)并不一定能訪(fǎng)問(wèn)所有接入平臺(tái)的業(yè)務(wù)系統(tǒng)。平臺(tái)用戶(hù)對(duì)業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限通過(guò)用戶(hù)分組和訪(fǎng)問(wèn)控制策略進(jìn)行控制。例如:
按照用戶(hù)所屬單位或部門(mén)劃分組,該組可訪(fǎng)問(wèn)相應(yīng)單位部門(mén)的業(yè)務(wù)系統(tǒng);
按照用戶(hù)角色劃分組,例如:財(cái)務(wù)人員分組可以訪(fǎng)問(wèn)財(cái)務(wù)相關(guān)的業(yè)務(wù)系統(tǒng);
同時(shí),平臺(tái)用戶(hù)與業(yè)務(wù)系統(tǒng)映射表中設(shè)置用戶(hù)訪(fǎng)問(wèn)權(quán)限標(biāo)識(shí),可針對(duì)單個(gè)用戶(hù)訪(fǎng)問(wèn)某個(gè)業(yè)務(wù)的權(quán)限進(jìn)行停用/啟用。
文章作者:于凡
集成系統(tǒng)網(wǎng)絡(luò)情報(bào)信息數(shù)據(jù)庫(kù)
CIO頻道人物視窗
CIO頻道方案案例庫(kù)
大數(shù)據(jù)建設(shè)方案案例庫(kù)
電子政務(wù)建設(shè)方案案例庫(kù)
互聯(lián)集成系統(tǒng)構(gòu)建方案案例庫(kù)
商務(wù)智能建設(shè)方案案例庫(kù)
系統(tǒng)集成類(lèi)軟件信息研發(fā)企業(yè)名錄