GONE统一用户认证方案.docVIP

GONE统一身份管理及访问控制系统 (SSO System) 技术白皮书 北京中恒电国际信息技术有限公司 概述 GONE统一身份管理及访问控制系统（SSO System）是通过构建企业级用户目录管理，实现不同用户群体之间统一认证，将大量分散的信息和系统进行整合和互联，形成整体企业的信息中心和应用中心。SSO System系统使企业员工通过单一的入口安全地访问企业内部全部信息与应用，为员工集中获取企业内部信息提供渠道，为员工集中处理企业内部IT系统应用提供统一窗口。 面向服务（SOA）的体系结构 系统架构 系统采用先进的面向服务的体系架构，基于PKI理论体系，提供身份认证、单点登录、访问授权、策略管理等相关产品，这些产品以服务的形式展现在SSO系统中，用户能方便的使用这些服务，形成企业一站式信息服务平台。 在各功能模块的实现和划分上，充分考虑各个功能之间的最少耦合性，对外提供的服务接口设计中，严格按照面向服务思想进行设计，在内部具体实现中，采用CORBA、DCOM、J2EE体系结构，保证各个模块的跨平台特性。 图1：SSO面向服务关系图 根据上图，应用程序使用服务时，通过SSO提供的服务定位器，配置相关服务接口实现，各服务之间通过服务代理，可以组合成新的服务供服务定位器调用。各服务之间相对独立，任何一个安全功能的调整和增减，不会造成应用程序调用的修改和重复开发。 功能模块 结构图 说明：CA安全基础设施可以采用自建方式，也可以选择第三方CA。 具体包含以下主要功能模块： 认证中心（AuthDB） 存储企业用户目录，完成对用户身份、角色等信息的统一管理； 授权和访问管理系统（AAMS） 用户的授权、角色分配； 访问策略的定制和管理； 用户授权信息的自动同步； 用户访问的实时监控、安全审计； 身份认证服务（AuthService、AuthAgent） 身份认证前置（AuthAgent）为应用系统提供安全认证服务接口，中转认证和访问请求； 身份认证服务（AuthService）完成对用户身份的认证和角色的转换； 访问控制服务（AccsService、SSOPlugIn） 应用系统插件（SSOPlugIn）从应用系统获取单点登录所需的用户信息； 用户单点登录过程中，生成访问业务系统的请求，对敏感信息加密签名； CA中心及数字证书网上受理系统 用户身份认证和单点登录过程中所需证书的签发； 用户身份认证凭证（USB智能密钥）的制作； 系统（门户）互访模块调用关系图 说明： 1、黑色箭头描述了员工通过A系统访问B系统的模块调用逻辑关系； 2、红箭头描述了员工通过B系统访问A系统的模块调用逻辑关系； 角色管理和认证 为了实现门户及相关系统的统一认证，建设统一的身份管理中心，身份管理中心集中对用户身份进行管理。目前存在以下几种身份管理情况： 统一采用密钥棒（CA证书）进行身份管理； 完全采用用户名+口令进行身份管理； 部分用户采用密钥，部分用户采用用户名+口令。 第一种情况，有统一的身份标识，只须授权就能实现各自门户和系统的统一认证。 第二种情况，可以在本地系统依然采用用户名+口令认证认证，在互访其它系统时，将所有这些用户绑定到一个或几个特定权限的证书角色上，实现系统之间互访。 第三重情况，可以采用两个登录入口，用户名+口令的走一个入口，有证书的走另一个入口，两个入口不能同时被一个用户使用，即有证书的不能用用户名+口令登录认证。在进行统一认证时，有证书的用户在授权后，可以直接进行系统间访问，没有证书的用户，在通过用户名+口令认证后，绑定到特定的角色证书上实现统一认证。 图： 各种角色的系统互访图 统一身份凭证管理 统一身份凭证是实现SSO的基础，在结构上采用统一存储，分散管理。身份凭证在SSO系统中主要选用数字证书+用户信息，用户名+口令+用户信息作为身份凭证的补充。当用户业务系统众多时，无论访问哪个系统，都采用统一的认证凭证，用户不需要记住各系统对应的用户名和口令。 图：SSO身份管理逻辑图 1、证书受理采用集中受理模式，所有员工的数字证书通过网上受理中心统一提交到CA中心签发； 2、所有员工证书统一存放在CA中心LDAP数据库中； 3、建立企业认证体系，由总认证中心和分认证中心组成； 4、总认证中心的证书库直接采用网上受理系统的证书库，总认证中心可负责所有员工的统一认证； ５、分认证中心的证书库采用同步定时分发机制，从总LDAP数据库中获取证书信息； ６、各业务系统或门户需要认证时，采用就近原则，到离业务系统最近的认证中心进行认证；若认证失败，可以直接到总认证中心进行认证； ７、所有认证中心采用负载均衡技术，保证认证效率和速度； 信息资源接入SSO逻辑关系