加强型身份认证系统的对接方式研究.docxVIP

加强型身份认证系统的对接方式研究 tcp（安全级）是一项为网络安全提供安全和数据完整性的安全协议。SSL在传输层对网络连接进行加密, 具备很强灵活性, 几乎所有终端主流浏览器都内建有SSL功能, 因此成为企业应用、无线接入设备、Web服务以及安全接入管理的关键协议。SSL VPN (虚拟专用网) 即指采用SSL协议实现远程接入的一种新型VPN技术, 使用SSL VPN技术构建基于Internet连接的、可延伸的企业虚拟专用网络无疑是个不错的选择。 由于远程用户SSL VPN连入内网后, 会涉及到对企业应用、重要业务数据等资源的访问, 显然仅依赖SSL的网络连接传输层加密处理这一安全措施是不够的, 还需要重点探讨如何融合各种技术, 实现SSL VPN用户身份的强认证、细致化地授权和访问控制的解决方案。此外, SSL VPN系统还要对业务资源的访问过程进行细致的记录和数据分析。 1 rss安全机制 SSL是Netscape (网景公司) 提出的基于Web应用的安全协议, 包括服务器认证、客户认证 (可选) 、SSL链路上的数据完整性及SSL链路上的数据保密性。SSL协议层包含两类子协议:SSL握手协议和SSL记录协议, 它们共同为应用访问连接提供认证、加密和防篡改功能。SSL能在TCP/IP与应用层间无缝实现Internet协议栈处理, 不会对其他协议层产生任何影响。SSL的这种无缝嵌入功能还可运用于Internet应用, 如Intranet和Extranet接入、应用程序安全访问、无线应用以及Web服务。 使用SSL协议进行认证和数据加密的SSL VPN直接使用网页浏览器即可完成操作, 可免于安装客户端, 相对于传统的IPSec (Internet协议安全性) VPN而言, SSL VPN具有标准化、部署简单、无客户端、维护成本低以及网络和终端适应强等特点。 2 企业内部it统一身份认证平台 上海电信企业内部IT统一认证平台自投入使用至今, 已经有超过30个MBOSS (管理/业务/运营/支撑系统) 应用系统纳入了统一认证中心, 进行统一、完善的用户身份管理、账号管理、认证管理、访问授权管理、访问会话管理等, 其中包括CRM (客户关系管理) 系统、计费系统、门户系统、OA (办公自动化) 、财务辅助系统等与公司业务发展及员工日常工作密切相关的重要IT系统。统一身份认证平台构建并维护用户基本信息和账号信息, 为每个用户提供唯一的企业电子身份。 企业内部IT统一身份认证平台包括两个逻辑部分:a) 统一身份管理。将分布在信息门户及各个应用系统中或设备上的用户信息进行集中管理;统一用户权限管理, 用户可以简便快捷地访问经授权的、相应的企业应用服务和信息资源。b) 统一认证管理。采用单点登录技术, 实现用户访问信息门户及各个应用系统的统一认证;用户只要通过认证一次, 即可访问相应的企业应用服务和信息资源。 企业统一认证平台具备完善的用户账号管理功能, 包括用户帐号的创建、删除、修改。支持密码策略灵活设置, 如密码强度、更改周期、密码字典。SSL VPN用户接入账号认证与管理若纳入企业统一认证平台, 不仅省时省事, 还可继承其完善合规的账号管理功能, 用户VPN接入时不必另外记一组账号, 可谓一举多得。 另外, 用户SSL VPN接入若仅依靠统一认证平台做静态的账号密码验证, 容易被冒用和盗用, 因此在此基础上, 叠加手机短信令牌挑战认证不失为一种好办法, 可进一步强化验证账号使用者身份, 是很有必要的。 3 基于android应用程序的技术访问机制 结合本企业实际使用典型案例, SSL VPN用户远程接入纳入IT统一身份认证平台。对SSL VPN网关设备而言, 它只需与标准的RADIUS (远程认证拨号用户服务) AAA (认证、授权、记帐) 服务器交互, RADIUS AAA除了最基本的用户名和分组信息外, 不保存账号口令和其他信息, SSL VPN网关设备将用户的账号/口令认证交给RADUIS AAA服务器, 再由其转交给统一身份认证平台 (LDAP) 进行验证。通过验证后, RADUIS AAA服务器将该用户绑定的手机短信动态令牌通过短信网关发送到用户本人手机, 同时通过SSL VPN网关设备向用户推送填写短信随机码的页面, 用户输入手机接收到的短信令牌, 完成最终的身份验证, 并得到授权与SSL VPN网关设备建立SSL VPN隧道连接。SSL VPN网络远程用户接入认证流程图如图1所示。 SSL VPN用户接入的身份统一认证与短信动态码挑战认证过程: (0) 远程用户通过PC终端、各类移动终端发起SSL VPN访问请求。 (1) VPN网关设备作为NAS (网络接入服务器) 向RADIUS AAA服务器发送认证请求。 (2)