應用背景
計算機網路和資訊科技的迅速發展使得企業資訊化的程度不斷提高,在企業資訊化過程中,諸如oa、crm、erp、oss等越來越多的業務系統應運而生,提 高了企業的管理水平和執行效率。與此同時,各個應用系統都有自己的認證體系,隨著應用系統的不斷增加,一方面企業員工在業務系統的訪問過程中,不得不記憶 大量的帳戶口令,而口令又極易遺忘或洩露,為企業帶來損失;另一方面,企業資訊的獲取途徑不斷增多,但是缺乏對這些資訊進行綜合展示的平台。
在上述背景下,企業資訊資源的整合逐步提上日程,並在此基礎上形成了各業務系統統一認證、單點登入(sso)和資訊綜合展示的企業門戶。現有的門戶產品多集中於口令方式的身份認證,如何更安全地進行統一認證,並保證業務系統訪問的安全性,成為關注的焦點。
基於ca的統一身份管理平台
時代億信推出的基於ca的uap統一身份管理平台產品,以資源集成為目標,以pki技術為基礎,通過對使用者身份的統一認證和訪問控制,更安全地實現各業務系統的單點登入和資訊資源的整合。
平台相容口令認證、pfx證書檔案認證、usb智慧卡認證等多種認證方式,並採用ssl加密通道、關鍵資訊加密簽名、訪問控制策略等安全技術充分保證身份認證和業務系統訪問過程的安全性。
架構和元件
uap統一身份管理平台的系統架構
基於ca認證的統一身份管理平台架構
使用者走ssl加密通道經過統一的身份認證進入門戶系統,門戶系統與業務系統之間通過訪問和對映,實現單點登入,使用者按許可權進入接入平台的業務系統。
認證、門戶和sso的配置由管理員在圖右側的平台管理系統中完成。
平台管理系統由使用者管理、平台管理、授權管理、業務系統管理、審計管理、ca管理6個模組組成。
使用者管理主要完成對業務系統註冊使用者的相關資訊及對已註冊使用者資訊的管理。
平台管理主要實現為使用者提供平台管理系統各內部配置資訊的管理功能。
授權管理主要實現使用者許可權管理功能。
業務系統管理主要完成對各業務系統各配置項,對映介面及相關訪問控制策略等資訊的管理。
審計管理主要完成平台系統日誌備份及查詢功能,可按時間範圍匯出備份系統日誌資訊,並具實時監控功能,可實時監控使用者日誌。
系統自帶ca管理主要完成對ca證書管理功能。
uap統一身份管理平台的元件主要包括以下部分:
ø 門戶系統:各個業務系統資訊資源的綜合展現;
ø 平台管理系統:平台使用者的註冊、授權、審計;各業務系統的配置;門戶管理;
ø ca系統:平台使用者的數字證書申請、簽發和管理;
ø 使用者統一認證:使用者身份的ca數字證書認證、認證過程的ssl加密通道;
ø 單點登入(sso):業務系統關聯對映、訪問控制、訪問業務系統時資訊的加密簽名和ssl加密通道;
安全機制的實現
使用者註冊和授權
(1) 企業每乙個使用者在平台完成使用者註冊,得到自己的統一帳戶;
(2) 如果採用證書檔案或usb智慧卡認證方式,則ca系統自動為平台使用者簽發數字證書,並與使用者的統一帳戶對應。
(3) 註冊的使用者可以由管理員進行分組,並根據分組設定相應的業務系統訪問許可權。
業務系統配置
(1) 安裝業務系統訪問**並配置證書和私鑰,用以建立客戶端與業務系統之間的ssl加密通道,並接收處理平台提供的加密簽名的使用者認證資訊;
(2) 提供關聯對映介面和訪問驗證介面,並在平台進行配置。關聯資訊主要是平台統一帳戶與業務系統使用者資訊(可能包括業務系統的使用者名稱和密碼)的對應關係。
平台實現和安全機制
系統特點
時代億信基於ca的統一認證解決方案,在進行業務系統整合和內容整合的同時,更加注重資源整合的效果和統一認證的安全性,具有以下特點:
(1) 身份認證和單點登入的高安全性充分運用了ca認證、ssl加密通道、關鍵資訊加密簽名、時間戳等技術,保證了資訊傳遞的保密性,真實性,有效防止了重放攻擊。
(2) 系統構建的實施工作量少業務系統只需安裝配置訪問前置,並按規範提供關聯介面和訪問驗證介面即可。訪問**支援windows、linux、unix等平台,充分滿足各種平台下業務系統的需求。
(3) 充分兼顧系統安全與執行效率在身份認證和單點登入這樣的高風險階段,採用多種技術保證安全性,而在正常訪問業務系統資料時,可以綜合考慮安全與效率,靈活設定是否採用ssl加密通道。
(4) 具有高可靠性和可用性平台產品支援負載均衡部署方式,充分滿足併發認證的需求;同時,平台與業務系統之間採取鬆散耦合的方式,靈活滿足業務系統的調整和公升級。
應用範圍
時代億信uap統一身份管理平台即解決目前分散認證系統的種種弊端所產生的一種產品通過數字證書、數字簽名等機制充分保證了認證過程的安全性,成為身份認證技術的乙個重要發展方向和趨勢,並已在**、軍隊、銀行、**、電信等領域得到了成熟應用。
統一身份管理系統
1 什麼是sso 單點登入的英文名叫做 single sign on 簡稱sso cas central authentication service 2 oauth 2.0 oauth 2.0介紹 oauth 2.0 的乙個簡單解釋 oauth 2.0 的四種方式 2 平台級 saas 架構的基礎...
統一身份管理平台開發規劃
總結期 任務 對之前的東西做出相應的總結。1.整理出完善的整合方案,分發給實施人員,以後系統整合的工作不用認證組來完成,認證組只提供相應的技術支援。2.整理之前對cas,做的擴充套件修改整理出來。3.整理出以前收集的資料,方便重用和共享。定位期 任務 主要完成產品的定位。通過對現有業務的理解,對國內...
統一身份,漫遊雲端
隨著資訊化的發展,企業基於it 環境的業務系統越來越多 越來越大,如各類網上申報系統 審批系統 oa 系統,每個業務系統都包含身份認證 許可權管理 賬戶管理,當使用者同時登入多個系統時,系統要對其進行多次身份認證,這對於合法使用者來說無疑是重複 冗餘的操作。同時,越來越多的企業由傳統的idc機房轉移...