EETrust统一身份认证平台(UAP)技术方案.docx

《EETrust统一身份认证平台(UAP)技术方案.docx》由会员分享，可在线阅读，更多相关《EETrust统一身份认证平台(UAP)技术方案.docx（15页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、1. 概述统一身份认证平台是基于 PKIPublic Key Infrastructure理论体系， 利用 CA、数字签名和数字证书认证机制，综合应用 USB 接口智能卡、安全通道、VPN 等技术，为门户、OA 等多业务系统用户供给统一身份认证和安全效劳的综合平台。1.1 认证系统实现目标本方案是按本地用户需求规划构建的统一身份认证平台，为本地用户各业务系统供给统一的身份认证和综合安全效劳，以实现内联网、外联网及移动办公的统一认证：（1） 建立本地用户自己独立的 CA 数字证书受理系统n 基于 CA，为平台各系统用户统一颁发数字证书；n 支持数字证书的 USB-KEY 存储；（2） 实现多应用

2、的统一身份认证n 统一的认证门户；n 支持多个 B/S 构造、C/S 构造的业务系统接入平台；n 平台对用户统一授权和认证；n 每一用户只使用一个 USB-KEY 访问全部被授权的系统；（3） 移动办公安全n 使用同一种认证方式进展 VPN 接入认证；n 能够依据用户组授权访问不同的应用系统；n 完善的日志和报表，供给用户登录、退出的时间等信息；（4） 应用数据安全n 本地文件使用个人证书进展加密保存和读取；n OA 系统中隐秘文件的加密存储和加密传输；n OA 系统中电子邮件的签名和加密传输；1.2 统一身份认证平台主要功能门户系统Portal 各业务系统信息资源的综合展现。统一授权平台为用

3、户统一颁发数字证书和私钥并存储在 USB-KEY 中，作为用户访问平台及各应用系统的凭据，并对用户访问应用系统的权限进展授权。身份认证用户在访问平台及各应用系统时，都使用一样的凭据即包含用户证书和私钥的 USB-KEY 及其硬件保护口令 PIN，并利用数字签名技术在平台进展身份认证，证明其身份的真实性。单点登录SSO用户在通过平台认证后，可直接访问已授权的各应用系统， 实现不同应用系统的身份认证共享，从而到达多应用系统的单点登录。数据共享认证平台存储了用户的根本信息和证书信息，全部应用系统均可以充分利用这些信息，削减用户信息的重复录入。移动办公平台供给基于 SecureVPN的移动安全办公方式

4、，允许用户在通过认证后，通过 Internet 安全地访问内部网的应用系统。安全通道平台供给两种安全通道：一种是应用层安全通道，一种是网络层安全通道。它们为内网应用之间或外网应用之间供给安全的传输通道，保证其中传输的数据的安全性。安全办公邮件 对内部办公的邮件实现签名、加密传输和加密存储，目前支持的后台邮件系统包括：Sun iPlanet、Lotus Notes、Qmail、SendMail 以及全部支持 IMAP 协议的邮件效劳器。个人数据的安全治理 对个人计算机中密级较高的信息，依据 USB-KEY 中存储的个人证书，供给加密存储和读取。1.3 统一认证平台主要优势 业务系统的实施工作量少

5、业务系统只需安装配置访问前置，并按标准供给映射验证接口和访问验证接口即 可。访问前置支持Windows、Linux、Unix 等多种平台，充分满足各种平台上业务系统的需求。 充分兼顾系统安全与效率在身份认证和单点登录这样的高风险阶段，承受多种技术保证安全性，而在正常访问业务系统数据时，可以综合考虑安全与效率，可承受关键信息加密的方式，SSL 加密通道可配置。 系统具有高牢靠性和可用性平台支持软件方式的负载均衡，充分满足并发认证的需求；同时，平台与业务系统之间实行松散耦合的方式，敏捷满足业务系统的调整和升级。 支持分认证中心构造，实现本地认证用户在进展身份认证时，不需要到认证平台进展认证，而是在

6、本地建立一个功能同认证平台的分认证中心，负责本地用户的身份认证，保证认证速度和效率。本地认证中心需要建立用户的数字证书数据库和用户信息数据库，数据的存储需承受加密存储，防止用户信息泄露。 和 VPN 系统进展统一登录与 VPN 的认证相结合，用户通过 VPN 进展认证后，可直接进入办公门户系统， 不需要二次认证。 支持一次性口令认证支持用户遗忘携带 USB-KEY，可以向治理员申请一次性使用的口令进展身份认证。解决没有 USB-KEY 就不能办公的弊端。1.4 统一身份认证平台功能构造统一身份认证平台有效整合现有业务系统，解决多个业务系统的用户统一认证问题，实现单点登录SSO、访问掌握、并承受

7、相关的安全机制，增加用户身份认证过程的安全性。平台由以下系统模块构成： 平台门户系统 平台治理系统 认证效劳器 认证数据库 访问掌握效劳器 业务系统认证前置程序图 统一身份认证平台功能构造1.1 统一身份认证平台网络构造统一身份认证平台网络构造如以下图所示，由平台 WEB/应用效劳器、认证/接入效劳器、CTCA 数字证书网上受理效劳器、数据库效劳器、SecureVPN 效劳器组成。WEB/应用效劳器供给平台的统一认证门户和平台治理；认证/接入效劳器负责用户身份认证和业务系统接入；CTCA 数字证书网上受理效劳器负责用户证书的签发；数据库效劳器供给平台用户信息、证书信息等数据的存储。上述效劳器程

8、序安装在两台主机上，WEB/应用效劳器通过 Cluster 做负载均衡， 认证效劳器和数据库效劳器做主从热备。SecureVPN 是独立的硬件效劳器，负责为用户通过 Internet 访问内部网应用供给安全认证和接入。图 统一身份认证平台网络构造图中机器只表示规律关系 建议配置：主机：至强Xeon双 CPU 2.2G 以上，内存 2G 以上。应用效劳器：BEA WebLogic 8.1数据库：对于Windows 平台，建议数据库为SQL Server；对于 UNIX/Linux平台，建议数据库为 Oracle 或 DB2。1. 技术方案详述1.1 平台数据库平台数据库主要由用户数据、证书数据、

9、业务系统配置数据、平台用户与业务系统映射数据、访问掌握ACL数据、日志等数据组成。图 平台数据库的主要组成用户数据：通过平台治理系统统一录入，该用户数据独立于各个业务系统，主要用于用户证书申请、用户分组和日志记录。证书数据：平台用户的数字证书及证书信息，用于 USB-KEY 制作及相关应用； 业务系统配置数据：业务系统 ID、名称、业务系统 USB-KEY 登录认证的 URL、用户映射所需的参数、属性及业务系统验证 URL；平台用户与业务系统映射数据：平台用户的证书序列号与业务系统的用户、口令 等认证相关信息的对应关系，用于平台认证通过后，对业务系统的访问。访问掌握ACL数据：业务系统的访问掌

10、握策略、分组权限。日志数据：用户登录认证、访问业务系统等操作的日志记录。1.1 统一认证门户平台构建统一的认证门户，用户需要使用 USB-KEY 登录认证成功后才能进入， 主要作为各 B/S 构造应用系统的统一访问入口和平台治理的入口。该门户可以进一步扩展为企业内部信息的公布平台，实现内部信息的共享。图 统一认证门户例如平台治理基于 WEB 方式来完成，主要包括：用户治理、用户证书和 USB 智能卡治理、业务系统及其配置治理、访问掌握治理、治理员治理、监控与日志。用户治理：平台用户信息的录入、查询、修改、删除；证书和 USB 智能卡治理：证书状态的查询、证书的申请、下载、作废，USB-K EY

11、 制作。业务系统及其配置治理：业务系统的添加及其配置参数治理；访问掌握治理：用户分组、访问策略的治理；治理员治理：平台和各业务系统的治理员及其权限安排； 监控与日志：系统运行状况的实时监控、日志查询；1.1 CA 数字证书网上受理平台对用户的身份认证主要依据数字证书和 USB-KEY 来完成，首先必需解决数字证书的来源和 USB-KEY 的制作问题。CA 是数字证书签发和密钥治理的系统， 因此在平台依靠 CA 作为平台供给各种安全效劳的根底设施。CA 数字证书网上受理系统负责为统一身份认证平台用户供给数字证书申请、作废和 USB-KEY 制作等效劳，它由行业效劳器、网上受理效劳器、数据库、基于

12、WEB 的证书治理系统组成。图 CA 数字证书网上受理系统行业效劳器：定时提取平台数据库中需要申请证书的用户信息， 打包提交到网上受理效劳器；定时提取待作废证书的信息并提交作废恳求至网上受理效劳器； 从网上受理效劳器接收 CA 签发的数字证书并存储到平台数据库中。网上受理效劳器：接收行业效劳器提交的证书申请恳求和证书作废恳求，按CA的 RA 效劳器接口转换数据格式，并提交到 CA；接收 CA 签发的数字证书并返回给行业效劳器。基于 WEB 的证书治理系统：集成在平台的治理界面中，供给基于 WEB 的证书状态查询、证书下载、USB-KEY 制作、证书作废。1.1 业务系统的接入与认证统一认证平台

13、要实现单点登录SSO，必需能够将各个业务系统接入到平台中， 并解决不同业务系统之间用户穿插和用户帐户不同的问题。1.2 单点登录原理基于数字证书的单点登录技术，使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问掌握代理中间件，和防护系统的认证效劳器通信，利用系统供给的安全保障和信息效劳，共享安全优势。其原理如下：1) 每个信息资源配置一个访问代理，并为不同的代理安排不同的数字证书，用来保证和系统效劳之间的安全通信。2) 用户登录中心后，依据用户供给的数字证书确认用户的身份。3) 访问一个具体的信息资源时，系统效劳用访问代理对应的数字证书,把用户的身份信息机密后以数字信封的

14、形式传递给相应的信息资源效劳器。4) 信息资源效劳器在承受到数字信封后，通过访问代理，进展解密验证， 得到用户身份。依据用户身份，进展内部权限的认证。1.2.1 唯一身份凭证统一身份治理及访问掌握系统用户数据独立于各应用系统，对于数字证书的用户来说，用户证书的序列号平台中是唯一的，对于非证书用户来说，平台用户IDpassport是唯一的，由其作为平台用户的统一标识。如以下图所示：(1) 、在通过平台统一认证后，可以从登录认证结果中猎取平台用户证书的序列号或平台用户 ID；(2) 、再由其映射不同应用系统的用户账户；(3) 、最终用映射后的账户访问相应的应用系统；当增加一个应用系统时，只需要增加

15、平台用户证书序列号或平台用户 ID 与该应用系统账户的一个映射关系即可，不会对其它应用系统产生任何影响，从而解决登录认证时不同应用系统之间用户穿插和用户账户不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。1.1.1 B/S 应用系统接入B/S 构造应用系统用户均承受扫瞄器登录和访问应用系统，因此承受统一认证门户，在统一认证门户登录认证成功后，再访问具体 B/S 应用应用系统。B/S 应用系统接入平台的架构如以下图所示：UID 系统供给两种应用系统接入方式，以快速实现单点登录：(1)反向代理Reverse Proxy方式应用系统无需开发、无需改动。对于不能作改动或没有原厂商协作的应用

16、系统，可以使用该方式接入统一用户治理平台。反向代理技术：实现方式为松耦合，承受反向代理模块和 UID 的单点登录S SO认证效劳进展交互验证用户信息，完成应用系统单点登录。(2)Plug-in 方式Plug-in：实现方式为紧耦合，承受集成插件的方式与 UID 的单点登录SSO 认证效劳进展交互验证用户信息，完成应用系统单点登录。紧耦合方式供给多种 API，通过简洁调用即可实现单点登录SSO。对于 J2EE 环境，供给 JAR 包对于 ASP/.Net 环境，供给 COM 组件对于 Domino 环境，供给 DSAPI对于有原厂商协作开发的应用系统，可以使用该方式高效地接入 UID 系统中。1

17、.1.1 C/S 应用系统接入对于 C/S 应用系统的接入，实现方式是用户在登录系统门户后，点击相应的C/S 应用系统图标，然后启用Windows 的消息机制，将认证的恳求发送到C/S 应用效劳器进展认证。认证通过后，在用户端启用相应的客户端程序。1.1.2 单点登录特点UID 系统单点登录功能特点如下： 供给多种环境的接口包，应用系统开发工作量小； 供给多种接入方式，系统实施敏捷，接入周期较短； 认证过程中承受多种安全加密技术，保证认证信息的安全性； 单点登录功能稳定牢靠，为多应用系统供给良好的登录认证效劳。1.2 信息资源接入 UAP 规律关系图UAP 整合各种信息资源，通过标准 XML

18、语言，便利的将信息资源进展接入和使用。图：资源接入规律图业务系统分为 B/S 构造和 C/S 构造两类，与平台的连接都通过安全通道来保证数据传输的安全。对 B/S 构造应用系统的支持如下表：操作系统平台Windows 平台Unix 平台(Aix/HP-UX/Solaris/Linux)Web 及应用效劳器类别支持 ASP.Net/ J2EEJSP/Servlet/Notes支持 J2EEJSP/Servlet/Notes对 C/S 构造应用系统主要供给开发接口包：n Windows 平台的非 web 方式供给 COM 组件；n Unix 平台的非 web 方式供给动态库。1.1.1 业务系统访

19、问权限的掌握平台用户是一个大的用户集合，通过平台认证的用户并不肯定能访问全部接入平台的业务系统。平台用户对业务系统的访问权限通过用户分组和访问掌握策略进展掌握。例如：依据用户所属单位或部门划分组，该组可访问相应单位部门的业务系统；依据用户角色划分组，例如：财务人员分组可以访问财务相关的业务系统；同时，平台用户与业务系统映射表中设置用户访问权限标识，可针对单个用户访问某个业务的权限进展停用/启用。1.2 移动安全办公与 SceureVPNSecureVPN 安全移动办公接入设备是将 SSL VPN 和 SSLEX VPN类似于 IPSe c VPN进展有机融合，并支持多种认证模式动态令牌认证、数

20、字证书认证、智能卡认证，以及最根本的用户名口令认证的混合 VPN，它能依据不同用户权限，供给不同的 VPN 模式，并能在两种 VPN 模式之间进展相互切换。SecureVPN 供给了一项基于 Web 的解决方案，可支持企业将安全远程访问扩展到任何连接到互联网的用户 员工、客户和合作伙伴，同时无需在远程设备上安装任何特别软件或进展任何特别配置，也无需对要访问的后台资源进展任何添加或修改。这一方法大大减轻了客户支持负担，并增加了更多可通过标准 We b 扫瞄器进展的电子邮件、传统应用和台式机远程掌握的应用访问。1.2.1 SecureVPN 主要特点和优势两种 VPN 模式的结合 兼容 SSL V

21、PN 和 SSL EX VPN类似 IPSec VPN的优点，将两种模式VPN 有机的结合在一起。可依据用户访问权限承受不同的 VPN 模式，并能自动进展切换。降低总保有本钱TCO 降低支持开销；消退客户机系统的日程维护；减轻治理负担；无需修改网络资源、远程设备或网络体系构造；易于安装使用客户端无须用户安装快速完成安装；供给直观生疏的扫瞄器界面；基于 SSL 模式，直接使用扫瞄器即可；承受 SSLEX VPN 模式，通过效劳器”推”技术，自动完成客户端的 VPN 配置，无须用户参与安装。支持多种身份认证技术支持动态令牌认证、数字证书认证、智能卡认证，以及最根本的用户名口令认证集群技术牢靠性可对

22、多台 SecureVPN 进展堆叠，增加系统的负载力量可支持耦合效劳器对在线效劳器与备用效劳器之间整个状态的热故障切换，不会导致任何的会话中断或终止；可用性基于 web 的远程访问适用于全部 ISP 连接；在其它防火墙背后也可正常运行；完全运行在 S(安全应用层互联网协议)之上。1.2.2 SecureVPN 总体构造功能模块身份认证数据访问访问掌握后台治理细分模块数字证书认证电子令牌智能卡IC 卡Web 数据访问非 Web 数据访问私有客户端基于角色的访问掌握基于终端的访问掌握系统治理资源治理日志治理描述双向 SSL，使用数字证书登录支持动态口令认证支持基于智能卡身份认证为 Web 应用供给

23、远程接入为非 Web 应用邮件、文件共享等供给远程接入为 Notes 等私有客户端供给远程接入针对用户身份的访问掌握，访问权限可授予单个用户或用户群例如：“销售人员、“合作伙伴”、 “IT”针对用户所使用终端的访问掌握对效劳器网络地址、效劳器证书、SSL 属性等进展设置对第三方认证源等进展配置，可与 RADIUS 和LDAP 认证方法、基于表格的根本 认证以及负责认证与访问治理的 Windows Domain Server 联合运行汇总报告将按日期、时间、访问OS、使用特性、会话持续时间和会话终端类型来汇总供给网络 的使用报告1.1.1 SecureVPN 与统一认证平台统一认证平台主要负责对

24、内网用户的统一身份认证和内网应用系统的访问掌握； SecureVPN 主要负责从 Internet 对内网应用系统的身份认证和访问掌握，它是统一认证平台中实现移动安全办公的重要一局部。当用户从 Internet 对内网的应用系统进展访问时，首先通过 USB-KEY 数字证书和 S 访问 SecureVPN，由SecureVPN 对该用户进展认证，认证通过后可以直接跳转至统一认证平台，用户再凭借 USB-KEY 数字证书，通过统一认证平台访问内网中的各业务系统。1.2 安全办公邮件在现有邮件效劳器上增加一个邮件处理模块，对现有 Web Mail 页面稍加改动，即可实现 USB-KEY 登录的 WEB 安全邮件；也可供给 USB-KEY 登录的安全邮件客户端工具。同时，通过扫瞄器插件或客户端组件，可以实现对邮件内容的数字签名和加密。其实现的技术原理如以下图所示：图 安全办公邮件的实现原理图 WEB 安全邮件图 安全邮件客户端1.1 个人信息加密与存储1.1.1 文件加解密在用户机器上安装，使用方法：插入存有用户证书的 USB-KEY，在右键菜单中选择文件加密或文件解密。1.1.2 文件保险箱在用户机器上安装，使用方法：插入存有用户证书的 USB-KEY，启动文件保险箱，认证通过后自动安排一个空间，产生一个虚拟盘符，放入该文件保险箱的数据将可以自动加密存储、解密查看。