計算機網絡和信息技術的迅速發展使得企業信息化的程度不斷提高,在企業信息化過程中,諸如OA、CRM、ERP、OSS等越來越多的業務系統應運而生,提高了企業的管理水平和運行效率。與此同時,各個應用系統都有自己的認證體系,隨著應用系統的不斷增加,一方面企業員工在業務系統的訪問過程中,不得不記憶大量的帳戶口令,而口令又極易遺忘或泄露,為企業帶來損失;另一方面,企業信息的獲取途徑不斷增多,但是缺乏對這些信息進行綜合展示的平臺。
在上述背景下,企業信息資源的整合逐步提上日程,并在此基礎上形成了各業務系統統一認證、單點登錄(SSO)和信息綜合展示的企業門戶(Portal)。現有的門戶產品多集中于口令方式的身份認證,如何更安全的進行統一認證,并保證業務系統訪問的安全性,成為關注的焦點。
時代億信推出的基于CA認證的統一身份管理平臺解決方案,以資源整合(業務系統整合和內容整合)為目標,以CA認證和PKI技術為基礎,通過對用戶身份的統一認證和訪問控制,更安全地實現各業務系統的單點登錄和信息資源的整合。
平臺兼容口令認證、PFX證書文件認證、USB智能卡認證等多種認證方式,并采用SSL加密通道、關鍵信息加密簽名、訪問控制策略等安全技術充分保證身份認證和業務系統訪問過程的安全性。
系統功能及架構
平臺的系統架構如圖1所示,主要包括以下部分:
◆門戶系統(Portal):各業務系統信息資源的綜合展現;
◆平臺管理系統:平臺用戶的注冊、授權、審計;各業務系統的配置;門戶管理;
◆CA系統:平臺用戶的數字證書申請、簽發和管理;
◆用戶統一認證:用戶身份的CA數字證書認證、認證過程的SSL加密通道;
◆單點登錄(SSO):業務系統關聯(mapping)、訪問控制、訪問業務系統時信息的加密簽名和SSL加密通道;
圖1 基于CA認證的統一身份管理平臺架構
系統的實現和安全機制
1 用戶注冊和授權
(1) 企業每一個用戶在平臺完成用戶注冊,得到自己的統一帳戶(passport);
(2) 如果采用證書文件或USB智能卡認證方式,則CA系統自動為平臺用戶簽發數字證書,并與用戶的統一帳戶對應。
(3) 注冊的用戶可以由管理員進行分組,并根據分組設定相應的業務系統訪問權限。
2 業務系統的配置
接受統一認證的業務系統必須完成以下工作:
(1) 安裝業務系統訪問前置并配置證書和私鑰,用以建立客戶端與業務系統之間的SSL加密通道,并接收處理平臺提供的加密簽名的用戶認證信息;
(2) 提供關聯(mapping)接口和訪問驗證接口,并在平臺進行配置。關聯信息主要是平臺統一帳戶與業務系統用戶信息(可能包括業務系統的用戶名和密碼)的對應關系。
圖2 系統的實現和安全機制
3 用戶統一認證
如圖2所示,用戶統一認證過程采用SSL加密通道保證安全性。認證服務器負責SSL加密通道的建立。
(1) 對于口令認證方式,認證服務器配置為單向SSL加密通道,客戶端不需要證書;
(2) 對于證書文件或USB智能卡認證方式,認證服務器配置為雙向SSL加密通道,客戶端必須提供用戶證書,并由認證服務器完成對用戶證書和用戶身份的校驗;
客戶端瀏覽器與認證服務器之間采用HTTPS協議,認證服務器與平臺應用服務器之間采用HTTP協議。在用戶認證完成后,可根據需要設定客戶端瀏覽器對平臺的訪問是否繼續走SSL加密通道,充分兼顧安全與效率。
4 用戶的業務系統關聯(mapping)
用戶通過平臺認證后,第一次訪問業務系統時,平臺根據業務系統的配置自動生成業務關聯頁面,要求用戶進行關聯:
(1) 用戶輸入業務系統的用戶信息(可能包括業務系統用戶名和密碼);
(2) 關聯信息連同時間戳被平臺的訪問控制服務器進行加密和簽名(業務系統證書加密,平臺私鑰簽名,時間戳用于防止重放攻擊);
(3) 加密簽名的關聯信息通過SSL加密通道,傳遞至業務系統訪問前置,并由其進行解密驗證后交給業務系統驗證;
(4) 關聯信息驗證通過,則平臺將用戶統一帳戶與業務系統用戶信息建立對應關系,以備正常訪問業務系統時使用。
5 用戶對業務系統的正常訪問
如圖2所示,如果用戶完成了平臺統一帳戶與業務系統用戶信息的關聯,則在通過平臺認證后訪問業務系統時:
(1) 平臺根據要訪問的業務系統ID和會話(session)中的用戶統一帳戶,查詢用戶的業務系統關聯信息;
(2) 將相應信息和時間戳由訪問控制服務器加密簽名并經由客戶端,通過SSL加密通道,傳遞至業務系統訪問前置,并由其進行解密驗證后交給業務系統驗證;
(3) 業務系統驗證通過后,自動跳轉進入業務系統。
在訪問業務系統時,相關信息的傳遞均結合時間戳、關鍵信息加密簽名和SSL加密通道技術,在自動認證完成后,業務系統可根據需要設定是否繼續走SSL加密通道。既保證了單點登錄過程中信息傳遞的保密性和真實性,有效防止了重放攻擊,又兼顧了業務系統訪問的安全與效率。
系統特點
時代億信基于CA認證的統一認證解決方案與傳統的門戶產品相比,在進行業務系統整合和內容整合的同時,更加注重資源整合的效果和統一認證的安全性,具有以下特點:
(1) 身份認證和單點登錄的高安全性
充分運用了CA認證、SSL加密通道、關鍵信息加密簽名、時間戳等技術,保證了信息傳遞的保密性,真實性,有效防止了重放攻擊。
(2) 業務系統的實施工作量少
業務系統只需安裝配置訪問前置,并按規范提供關聯接口和訪問驗證接口即可。訪問前置支持Windows、Linux、Unix平臺,充分滿足各種平臺下業務系統的需求。
(3) 充分兼顧系統安全與效率
在身份認證和單點登錄這樣的高風險階段,采用多種技術保證安全性,而在正常訪問業務系統數據時,可以綜合考慮安全與效率,靈活設置是否采用SSL加密通道。
(4) 系統具有高可靠性和可用性
平臺支持軟件方式的負載均衡,充分滿足并發認證的需求;同時,平臺與業務系統之間采取松散耦合的方式,靈活滿足業務系統的調整和升級。
