1. 概述

　　1.1 現(xiàn)狀

　　開灤集團(tuán)現(xiàn)有財(cái)務(wù)、OA、電子郵局等多個(gè)應(yīng)用系統(tǒng)，各種應(yīng)用軟件都有自身的認(rèn)證管理模塊，用戶在使用不同的應(yīng)用系統(tǒng)都要進(jìn)行認(rèn)證，這樣系統(tǒng)用戶必須記憶多個(gè)用戶ID和密碼。同時(shí)系統(tǒng)管理員要給每個(gè)應(yīng)用系統(tǒng)設(shè)置一個(gè)安全策略，而且需要對(duì)每個(gè)應(yīng)用系統(tǒng)的用戶進(jìn)行單獨(dú)的授權(quán)以確保用戶不能訪問未被授權(quán)訪問的資源，這樣使得系統(tǒng)管理員的工作量大大增高，從企業(yè)整體的安全角度出發(fā)，多個(gè)業(yè)務(wù)系統(tǒng)之間存在安全隱患。

　　怎樣保證企業(yè)內(nèi)部各種應(yīng)用系統(tǒng)的整體安全成為亟待解決的重要問題。

　　1.2 需求與分析

　　開灤集團(tuán)的需求可以分為以下幾點(diǎn)：

　　統(tǒng)一的認(rèn)證門戶；

　　多個(gè)B/S結(jié)構(gòu)業(yè)務(wù)系統(tǒng)接入平臺(tái)；

　　接入系統(tǒng)信息的集中展示；

　　平臺(tái)對(duì)用戶統(tǒng)一授權(quán)和認(rèn)證；

　　用戶只使用一個(gè)USB-KEY訪問所有被授權(quán)的系統(tǒng)；

　　接入系統(tǒng)的原有認(rèn)證體系保留，與統(tǒng)一身分管理系統(tǒng)并行使用。

　　時(shí)代億信統(tǒng)一身份管理平臺(tái)（以下簡稱UAP平臺(tái)）即解決目前分散認(rèn)證系統(tǒng)的種種弊端所產(chǎn)生的一種產(chǎn)品。基于CA數(shù)字證書認(rèn)證的智能密鑰身份認(rèn)證方式，以PKI國際標(biāo)準(zhǔn)和公開密鑰理論為基礎(chǔ)，通過數(shù)字證書、數(shù)字簽名等機(jī)制充分保證了認(rèn)證過程的安全性，成為身份認(rèn)證技術(shù)的一個(gè)重要發(fā)展方向和趨勢(shì)，并已在政府、軍隊(duì)、銀行、證券、電信等領(lǐng)域得到了成熟應(yīng)用。平臺(tái)是以資源整合為目的，通過對(duì)用戶身份的統(tǒng)一認(rèn)證和訪問控制，實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)單點(diǎn)登錄（SSO）的服務(wù)平臺(tái)。所謂單點(diǎn)登錄就是通過一次認(rèn)證就能訪問所有授權(quán)的應(yīng)用系統(tǒng)，這樣提高了工作效率和整體安全性。

　　　　2. 系統(tǒng)總體結(jié)構(gòu)介紹

　　2.1 統(tǒng)一身份管理平臺(tái)概述

　　統(tǒng)一身份管理平臺(tái)是基于PKI（Public Key Infrastructure）理論體系， 利用CA、數(shù)字簽名和數(shù)字證書認(rèn)證機(jī)制，綜合應(yīng)用USB接口智能卡、安全通道等技術(shù)，為開灤集團(tuán)的財(cái)務(wù)、OA等多業(yè)務(wù)系統(tǒng)用戶提供統(tǒng)一身份認(rèn)證和安全服務(wù)的綜合平臺(tái)。認(rèn)證平臺(tái)整個(gè)系統(tǒng)的核心部分，控制所有遠(yuǎn)程用戶對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的訪問，提供全面的認(rèn)證、授權(quán)和審計(jì)服務(wù)。安全認(rèn)證服務(wù)器擁有完善的自身數(shù)據(jù)安全保護(hù)功能，所有用戶數(shù)據(jù)經(jīng)加密后存儲(chǔ)在數(shù)據(jù)庫中。

　　2.2 功能介紹

　　統(tǒng)一授權(quán)——證書作為用戶訪問平臺(tái)及各應(yīng)用系統(tǒng)的憑據(jù)，并對(duì)用戶訪問應(yīng)用系統(tǒng)的權(quán)限進(jìn)行授權(quán)。

　　身份認(rèn)證——用戶在訪問平臺(tái)及各應(yīng)用系統(tǒng)時(shí)，都使用相同的憑據(jù)（即包含用戶證書和私鑰的USB-KEY及其硬件保護(hù)口令PIN），并利用數(shù)字簽名技術(shù)在平臺(tái)進(jìn)行身份認(rèn)證，證明其身份的真實(shí)性。

　　單點(diǎn)登錄（SSO）——用戶在通過平臺(tái)認(rèn)證后，可直接訪問已授權(quán)的各應(yīng)用系統(tǒng)，實(shí)現(xiàn)不同應(yīng)用系統(tǒng)的身份認(rèn)證共享，從而達(dá)到多應(yīng)用系統(tǒng)的單點(diǎn)登錄。

　　數(shù)據(jù)共享——包括用戶資源與接入系統(tǒng)信息集中展示兩方面。認(rèn)證平臺(tái)存儲(chǔ)了用戶的基本信息和證書信息，所有應(yīng)用系統(tǒng)均可以充分利用這些信息，減少用戶信息的重復(fù)錄入。

　　安全通道——平臺(tái)提供兩種安全通道：一種是應(yīng)用層安全通道，一種是網(wǎng)絡(luò)層安全通道。它們?yōu)閮?nèi)網(wǎng)應(yīng)用之間或外網(wǎng)應(yīng)用之間提供安全的傳輸通道，保證其中傳輸?shù)臄?shù)據(jù)的安全性。

　　3. 技術(shù)細(xì)節(jié)

　　3.1 CA證書管理

　　在此次系統(tǒng)實(shí)施中，使用開灤集團(tuán)財(cái)務(wù)系統(tǒng)原有CA為統(tǒng)一身份管理平臺(tái)所有用戶頒發(fā)證書。 CA證書管理功能，含蓋：

　　CA初始化

　　證書申請(qǐng)

　　證書下載

　　證書作廢

　　應(yīng)用流程

　　1) 使用CA生成證書

　　2) 管理員將證書下載到本地，使用我公司提供的客戶端軟件灌制到Key當(dāng)中。

　　3) 管理員使用統(tǒng)一身份管理平臺(tái)管理系統(tǒng)將證書與用戶進(jìn)行關(guān)聯(lián)。

　　3.2 統(tǒng)一認(rèn)證門戶

　　平臺(tái)自帶認(rèn)證門戶，用戶需要使用USB-KEY登錄認(rèn)證成功后才能進(jìn)入，主要作為各B/S結(jié)構(gòu)應(yīng)用系統(tǒng)的統(tǒng)一訪問入口和平臺(tái)管理的入口。

　　該門戶可以進(jìn)一步擴(kuò)展為企業(yè)內(nèi)部信息的發(fā)布平臺(tái)，實(shí)現(xiàn)內(nèi)部信息的共享。實(shí)現(xiàn)時(shí)我公司提供接入系統(tǒng)標(biāo)準(zhǔn)的Web Service接口，完成信息的抓取。

　　平臺(tái)管理基于WEB方式來完成，主要包括：用戶管理、用戶證書和USB智能卡管理、業(yè)務(wù)系統(tǒng)及其配置管理、訪問控制管理、管理員管理、監(jiān)控與日志。

　　3.3 統(tǒng)一身份管理平臺(tái)管理系統(tǒng)

　　平臺(tái)管理系統(tǒng)充分體現(xiàn)人性化設(shè)計(jì)，功能強(qiáng)大、界面美觀、操作簡便易懂，為用戶提供認(rèn)證方式、權(quán)限配置及系統(tǒng)審計(jì)等多種管理功能。

　　功能結(jié)構(gòu)圖

　　3.3.1 系統(tǒng)配置管理

　　系統(tǒng)配置管理為用戶提供本管理系統(tǒng)各內(nèi)部配置信息的管理功能。

　　具體功能項(xiàng)如下：

　　系統(tǒng)配置總覽

　　認(rèn)證方式配置

　　認(rèn)證服務(wù)器配置

　　訪問控制器配置

　　管理員管理

　　注冊(cè)信息管理

　　3.3.2 用戶及權(quán)限管理

　　平臺(tái)用戶是一個(gè)大的用戶集合，通過平臺(tái)認(rèn)證的用戶并不一定能訪問所有接入平臺(tái)的業(yè)務(wù)系統(tǒng)。平臺(tái)用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問權(quán)限通過用戶分組和訪問控制策略進(jìn)行控制。例如：

　　按照用戶所屬單位或部門劃分組，該組可訪問相應(yīng)單位部門的業(yè)務(wù)系統(tǒng)；

　　按照用戶角色劃分組，例如：財(cái)務(wù)人員分組可以訪問財(cái)務(wù)相關(guān)的業(yè)務(wù)系統(tǒng)；

　　同時(shí)，平臺(tái)用戶與業(yè)務(wù)系統(tǒng)映射表中設(shè)置用戶訪問權(quán)限標(biāo)識(shí)，可針對(duì)單個(gè)用戶訪問某個(gè)業(yè)務(wù)的權(quán)限進(jìn)行停用/啟用。

　　3.3.3 業(yè)務(wù)系統(tǒng)配置管理

　　業(yè)務(wù)系統(tǒng)配置管理功能是對(duì)各業(yè)務(wù)系統(tǒng)各配置項(xiàng)，映射接口及相關(guān)訪問控制策略等信息的管理。

　　具體配置管理功能包括：

　　業(yè)務(wù)系統(tǒng)基本信息

　　業(yè)務(wù)系統(tǒng)映射接口配置

　　業(yè)務(wù)訪問接口配置

　　業(yè)務(wù)系統(tǒng)訪問控制策略

　　3.3.4 系統(tǒng)審計(jì)管理

　　系統(tǒng)支持日志備份及查找功能，可按時(shí)間范圍導(dǎo)出備份系統(tǒng)日志信息，并具實(shí)時(shí)監(jiān)控功能，可實(shí)時(shí)監(jiān)控用戶日志。

　　具體包括：

　　日志管理

　　實(shí)時(shí)監(jiān)控

　　3.4 認(rèn)證與SSO實(shí)現(xiàn)

　　3.4.1 系統(tǒng)結(jié)構(gòu)：

　　統(tǒng)一身份管理平臺(tái)的解決方案在基于原來的網(wǎng)絡(luò)體系架構(gòu)上，引入基于數(shù)字證書的Key智能卡認(rèn)證方式，來完成對(duì)整個(gè)系統(tǒng)的統(tǒng)一認(rèn)證，以及通過關(guān)鍵信息加密及SSL加密通道完成對(duì)各個(gè)獨(dú)立應(yīng)用系統(tǒng)的單點(diǎn)登錄，服務(wù)器端配置認(rèn)證程序，各獨(dú)立應(yīng)用系統(tǒng)需配置認(rèn)證前置及訪問和映射接口，從而完成對(duì)用戶身份的統(tǒng)一認(rèn)證及各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄。

　　3.4.2 認(rèn)證程序

　　認(rèn)證程序由SSL加密通道模塊和解密驗(yàn)證線程模塊（可選，用于支持采用關(guān)鍵信息加密簽名的認(rèn)證方式）組成。

　　SSL加密通道模塊：默認(rèn)監(jiān)聽443端口，接收用戶的登錄認(rèn)證請(qǐng)求，并中轉(zhuǎn)至平臺(tái)WEB/應(yīng)用服務(wù)器（80端口）。

　　用戶名/口令認(rèn)證：配置為單向SSL，客戶端不需要證書；

　　證書文件認(rèn)證和USB智能卡認(rèn)證：配置為雙向SSL，客戶端必須提供用戶證書；

　　如果三種認(rèn)證方式同時(shí)支持，則配置為自動(dòng)識(shí)別方式。

　　客戶端提供用戶證書的情況下，認(rèn)證程序需要通過SSL通道獲取用戶證書及其詳細(xì)信息，并將證書序列號(hào)提交至平臺(tái)WEB/應(yīng)用服務(wù)器。

　　解密驗(yàn)證線程模塊：默認(rèn)監(jiān)聽5555端口，如果平臺(tái)采用關(guān)鍵信息加密簽名的認(rèn)證方式，則平臺(tái)通過調(diào)用接口包（Java），將客戶端提交的加密簽名的認(rèn)證信息提交至解密驗(yàn)證線程模塊。

　　接入系統(tǒng)按客戶要求保留原有的認(rèn)證體系，與統(tǒng)一身份管理平臺(tái)并行使用。

　　具體實(shí)施細(xì)節(jié)：在接入系統(tǒng)中開放一個(gè)應(yīng)用端口（例如80端口），用于調(diào)用平臺(tái)的認(rèn)證程序，完成平臺(tái)的統(tǒng)一身份認(rèn)證，而這項(xiàng)改動(dòng)不會(huì)對(duì)原有認(rèn)證體系有任何影響。 

　　3.4.3 認(rèn)證數(shù)據(jù)庫

　　平臺(tái)的認(rèn)證數(shù)據(jù)庫主要功能為：存放平臺(tái)用戶數(shù)據(jù)、業(yè)務(wù)系統(tǒng)配置數(shù)據(jù)、平臺(tái)用戶與業(yè)務(wù)系統(tǒng)賬戶的映射（mapping）數(shù)據(jù)、訪問控制（ACL）數(shù)據(jù)、日志等數(shù)據(jù)。

　　所支持的數(shù)據(jù)庫包括Oracle、MS SQL Server、DB2、MySQL等。

　　3.4.4 訪問控制服務(wù)器

　　訪問控制服務(wù)器由加密簽名模塊組成，用戶在訪問業(yè)務(wù)系統(tǒng)時(shí)，無論是映射數(shù)據(jù)還是正常訪問數(shù)據(jù)，都需要經(jīng)過訪問控制服務(wù)器的加密簽名處理，然后再調(diào)轉(zhuǎn)至業(yè)務(wù)系統(tǒng)（客戶端瀏覽器調(diào)轉(zhuǎn)方式）。

　　3.4.5 業(yè)務(wù)系統(tǒng)認(rèn)證前置

　　業(yè)務(wù)系統(tǒng)訪問前置由SSL加密通道模塊和解密驗(yàn)證線程模塊組成。

　　SSL加密通道模塊：默認(rèn)監(jiān)聽443端口，配置為單向SSL，接收經(jīng)平臺(tái)加密簽名的用戶映射請(qǐng)求或訪問請(qǐng)求，并中轉(zhuǎn)至業(yè)務(wù)系統(tǒng)的WEB/應(yīng)用服務(wù)器。

　　解密驗(yàn)證線程模塊：默認(rèn)監(jiān)聽5555端口，業(yè)務(wù)系統(tǒng)通過調(diào)用接口包（Java或COM組件），將接收的加密簽名的用戶信息提交至解密驗(yàn)證線程模塊。

文章作者：汪洋