统一身份认证及访问控制解决方案

第5章身份认证与访问控制技术教学目标●理解身份认证的概念及常用认证方式方法●了解数字签名的概念、功能、原理和过程●掌握访问控制的概念、原理、类型、机制和策略●理解安全审计的概念、类型、跟踪与实施●了解访问列表与Telnet访问控制实验5.1 身份认证技术概述5.1.1 身份认证的概念身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。

1. 身份认证的概念认证（Authentication）是指对主客体身份进行确认的过程。

身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时，系统对用户身份的鉴别过程。

2. 认证技术的类型认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内容。

从鉴别对象上，分为消息认证和用户身份认证两种。

（1）消息认证：用于保证信息的完整性和不可否认性。

（2）身份认证：鉴别用户身份。

包括识别和验证两部分。

识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。

从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，5.1.2 常用的身份认证方式1. 静态密码方式静态密码方式是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。

2. 动态口令认证动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态1 / 14短信密码和动态口令牌（卡）两种方式，口令一次一密。

图5-1动态口令牌3. USB Key认证采用软硬件相结合、一次一密的强双因素（两种认证方法）认证模式。

其身份认证系统主要有两种认证模式：基于冲击/响应模式和基于PKI体系的认证模式。

常用的网银USB Key如图5-2所示。

图5-2 网银USB Key4. 生物识别技术生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。

认证系统测量的生物特征一般是用户唯一生理特征或行为方式。

生物特征分为身体特征和行为特征两类。

Identity and Access Manager身份访问管理系统简介概述Identity and Access Manager身份访问管理系统（以下简称IAM）能够将企业网络环境中的应用系统、数据库、主机、网络设备和安全设备等资源的账号、认证、访问控制、审计工作进行集中化的整合，通过账号同步、强认证、授权、访问控制和单点登录等技术手段，将使用资源的用户和各种资源上的账号纳入统一管理之下。

IAM为企业提供统一的账号管理视角，对所有基于账号的管理、认证、授权、审计进行集中的统一管理，提高了账号管理的安全，帮助系统管理员提高了工作效率，降低了管理负担，同时改善了普通用户在不同资源中登录认证的重复繁琐过程，为日常工作提供了更高的安全性。

解决方案企业账号管理最核心的问题是：目前普遍采用的是以应用或设备为中心的账号管理，认证、授权、审计全部是基于账号的模式，但是目前扁平授权的体系，使得账号与用户之间并无逻辑的关联，无法实现统一的认证、授权、审计以及账号管理。

要解决这个扁平授权的账号与用户脱离问题，我们需要安全管理平台完成的是人（自然人）与账号（资源）的分离，也就是自然人与各用系统的安全管理功能组成分离，新的横向模式是“人（自然人）→授权→角色→业务系统账号（资源）”，新模式下的有效的隔离，使得自然人的身份可以被集中管理；业务系统的账号可以被集中管理；提供统一登录门户以及强认证；集中管理对自然人的授权；自然人对资源的操作过程进行集中审计，使得用户与账号之间有机的建立逻辑联系。

平台总体架构图如下：功能特点❑集中账号管理IAM可以为企业所有的资源使用人员如普通用户、系统管理人员、驻场代维人员、合作伙伴、临时工作人员等定义主账号，按照公司的组织方式对人员进行管理。

通过一对一的主账号管理模式，可以在该平台实现对所有资源使用人员进行集中定义、集中维护等生命周期管理。

示意图如下：❑集中身份认证管理用户登录IAM可以采用静态口令、动态口令、第三方认证平台（AD域、RADIUS等）的用户身份认证方式。

高校数字化校园的统一身份认证解决方案作者：段海波来源：《中国教育信息化·高教职教》2010年第09期摘要:数字化校园的基础平台有用作全校统一的身份认证中心的统一身份认证平台,用作资源整合和应用集中展现的信息门户平台,还有用作数据集中和共享流转的共享数据平台。

本文对高校数字化校园中统一身份认证的体系结构、实现技术、认证集成、用户管理等整套解决方案进行了阐述。

关键词:数字化校园;统一身份认证;LDAP;认证接口;单点登录SSO中图分类号:G434文献标识码:A文章编号:1673-8454(2010)17-0043-04一、引言“数字化校园”的提法始于1990年由美国克莱蒙特大学教授凯尼斯·格林(Kenneth Green)发起并主持的一项名为“信息化校园”的大型科研项目,并由此逐步演变完善成为今天的“数字化校园”概念,即利用计算机技术、网络技术、通信技术对学校与教学科研、管理和生活服务等相关的信息资源进行全面的数字化,并用科学规范的管理对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制。

数字化校园即在传统校园之上构建一个数字化空间,以提升传统校园的效率,扩展传统校园的功能,最终实现校园各项活动的全面信息化。

随着信息技术的不断进步与普遍应用,校园网不断扩展和延伸,计算机处理领域不断扩展,高校校园中各种服务日益增多,各种服务的构架平台也都不尽相同。

应用系统建设缺乏统一的规划,难以建立统一的技术体系,每个不同的应用服务拥有各自独立的用户,互相分离的数据库系统和应用平台,这种各自为政的服务模式不仅大大增加了校园网管理的复杂性,而且也导致在信息交互处理时出现合作障碍。

大多数传统的应用系统都有各自的用户认证模块,使用各自独立的认证机制。

这种用户认证模式有如下几个弊端:(1)每个应用系统中都必须存储用户名和密码,并且每个应用系统不尽相同。

(2)用户认证信息的维护管理不方便。

一、项目背景1.概述统一身份认证并不是什么新概念，它在企业信息化建设过程中一直被提及，是企业不断发展的必然结果。

粗浅来说，统一身份认证是在企业多应用系统并存的环境下，减少用户在各个独立的应用系统中登录次数的技术。

但因各业务系统建设时间各不相同，再加上系统架构等技术实现问题，很难简单地做统一规划。

在企业高速发展阶段，考虑到耗资不小的系统集成和管理、数据改造、用户培训等方面的成本，企业往往选择暂时搁置统一身份认证问题，而是沿袭传统的系统建设模式，即各业务系统独立用户认证模块，并使用独立的认证机制在各自的数据库中进行用户认证，即便这种系统建设模式有很多弊端。

在企业发展进入稳定期后，各业务系统独立分散的局面所带来的弊端逐渐突出，用户身份分散隔离，用户账号管理不方便、用户资料不统一等等不一而足，造成企业身份管理成本和管控风险的几何倍增加、员工登录各业务系统操作繁琐。

为了能使用这些应用服务，同一用户必须申请多套账号和密码，这不仅登录麻烦而且容易出现账号密码丢失、泄露等安全问题。

且随着互联网发展，安全边界日益扩大，员工、外包、合作伙伴、供应商混杂，账号安全风险日益增加，业务系统身份安全要求越来越高。

而对于管理员来说，需要不断来维护所有系统中分散着的账号。

这意味着每当有新入职或岗位调动，就必须在对应的每个应用中分别创建/修改账号，分配用户权限，而企业应用系统还会增加，所带来的身份管理工作还会不断增加。

应用越多则账号创建和维护的成本就越高。

企业寻求能解决以上多应用系统并行、多账号源共存所带来的操作不便、账号安全、管理困难等一系列问题的有效方案。

统一身份认证和单点登录作为目前主流的业务整合解决方案，被企业正式提上了日程。

2.关键点统一身份管理将分散在各业务系统中的用户和权限资源进行统一、集中的管理，用户的统一认证和单点登录改变原本孤立化的身份认证及授权管理，方便管理员进行运维管理工作，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。

基础支撑层统一身份认证（SSO）统一身份认证解决用户在不同的应用之间需要多次登录的问题。

目前主要有两种方法，一种是建立在PKI，Kerbose和用户名/口令存储的基础上；一种是建立在cookie的基础上。

统一身份认证平台主要包括三大部分：统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库，具体方案如下图。

1、采用认证代理，加载到原有系统上，屏蔽或者绕过原有系统的认证。

2、认证代理对用户的认证在公共数据平台的认证服务器上进行，认证代理可以在认证服务器上取得用户的登录信息、权限信息等。

3、同时提供一个频道链接，用户登录后也可以直接访问系统，不需要二次认证。

4、对于认证代理无法提供的数据信息，可以通过访问Web Service接口来获得权限和数据信息。

单点登录认证的流程如下图所示：单点登录只解决用户登录和用户能否有进入某个应用的权限问题，而在每个业务系统的权限则由各自的业务系统进行控制，也就是二次鉴权的思想，这种方式减少了系统的复杂性。

统一身份认证系统架构如下图所示。

统一系统授权统一系统授权支撑平台环境中，应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册，将各应用系统的授权部分或全部地委托给支撑平台，从而实现统一权限管理，以及权限信息的共享，其注册原理如下图。

用户对各应用系统的访问权限存放在统一的权限信息库中。

用户在访问应用系统的时候，应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能，根据统一系统授权支撑平台返回的结果进行相应的处理，其原理如下图。

统一系统授权支撑平台的授权模型如下图所示。

在授权模型中采用了基于角色的授权方式，以满足权限管理的灵活性、可扩展性和可管理性的需求块统一系统授权支撑平台的系统结构如下图所示统一系统审计统一系统审计平台通过实时监控网络活动, 分析用户和系统的行为、审计系统、评估敏感系统和数据的完整性、对异常行为进行统计、跟踪识别违反安全法则的行为，使系统管理员可以有效地监控、评估系统。

工作时，您需要访问公司的多个业务系统，不同的用户名和密码，频繁的登录和切换，简易密码易遭盗用，复杂密码难以记忆。

您是否遭遇过因遗忘密码耽误工作，甚至丢失密码造成泄密……？如果您正巧是IT 系统管理者，维护公司各业务系统中庞大的、不断变化的用户信息，则足以让您精疲力尽。

关系管理系统等。

传统方式下，各业务系统分别为员工创建帐号和密码，拥有各自独立的用户信息；相对应的，每位员工则必须记住多个用户名和密码以访问不同的应用。

问题随之而来：1.用户使用不便。

用户必须设法记住若干个用户名和密码，并在登录每个业务系统时使用，要访问其他系统的资源则必须进行频繁的切换。

2.管理维护复杂。

It 部门需单独维护每套业务系统的用户身份和存取管理，每一次用户情况发生变化都必须逐一在各个业务系统中修改用户信息，分配角色权限，任务繁重且容易出错。

3.安全隐患严重。

造成极大的安全隐患。

由于维护工作头绪繁杂，管理员极有可能疏忽了在某业务系统中禁用离职员工的帐号，造成相应的商业信息被非法访问。

按照业务流程，新进员工会在人力资源中注册，注册员工帐户会自动在活动目录（AD ）中创建，并根据授权自动在其他业务系统中生成，用户信息统一从人力资源系统自动同步。

功能和特性东谷单点登录（SSO ）系统是一套企业级综合身份管理解决方案，帮助企业轻松应对上述难题，主要实现以下功能：1.统一用户管理（UUMS ）东谷SSO 系统中的统一用户管2.组织结构同步上规模的企业都拥有比较复杂的组织结构。

如果组织结构不能自动同步到其他系统，则维护工作将十分繁重。

在AD中，员工调动不仅是组织单位（OU）变动的问题，还涉及用户所属的部门安全组成员变动。

东谷SSO系统改进了AD的安全维护，充分为IT管理人员着想，实现组织结构自动与AD同步，并且自动调整安全组中的人员。

3.密码同步东谷SSO系统支持单点/多点密码修改。

单点密码修改实现起来比较简单，但一般要求用户改变自己修改密码的习惯。

EETrust统一身份管理及访问控制系统(UID System)1. 概述EETrust统一身份管理及访问控制系统（UID System）是通过构建企业级用户目录管理，实现不同用户群体之间统一认证，将大量分散的信息和系统进行整合和互联，形成整体企业的信息中心和应用中心。

UID System系统使企业员工通过单一的入口安全地访问企业内部全部信息与应用，为员工集中获取企业内部信息提供渠道，为员工集中处理企业内部IT系统应用提供统一窗口。

2. 面向服务（SOA）的体系结构2.1 系统架构系统采用先进的面向服务的体系架构，基于PKI理论体系，提供身份认证、单点登录、访问授权、策略管理等相关产品，这些产品以服务的形式展现在UID系统中，用户能方便的使用这些服务，形成企业一站式信息服务平台。

在各功能模块的实现和划分上，充分考虑各个功能之间的最少耦合性，对外提供的服务接口设计中，严格按照面向服务思想进行设计，在内部具体实现中，采用CORBA、DCOM、J2EE体系结构，保证各个模块的跨平台特性。

UID面向服务关系图根据上图，应用程序使用服务时，通过UID提供的服务定位器，配置相关服务接口实现，各服务之间通过服务代理，可以组合成新的服务供服务定位器调用。

各服务之间相对独立，任何一个安全功能的调整和增减，不会造成应用程序调用的修改和重复开发。

2.2 功能模块2.2.1 结构图说明：CA安全基础设施可以采用自建方式，也可以选择第三方CA。

具体包含以下主要功能模块："认证中心（AuthDB）存储企业用户目录，完成对用户身份、角色等信息的统一管理；"授权和访问管理系统（AAMS）用户的授权、角色分配；访问策略的定制和管理；用户授权信息的自动同步；用户访问的实时监控、安全审计；"身份认证服务（AuthService、AuthAgent）身份认证前置（AuthAgent）为应用系统提供安全认证服务接口，中转认证和访问请求；身份认证服务（AuthService）完成对用户身份的认证和角色的转换；"访问控制服务（AccsService、UIDPlugIn）应用系统插件（UIDPlugIn）从应用系统获取单点登录所需的用户信息；用户单点登录过程中，生成访问业务系统的请求，对敏感信息加密签名；" CA中心及数字证书网上受理系统用户身份认证和单点登录过程中所需证书的签发；用户身份认证凭证（USB智能密钥）的制作；2.2.2 系统（门户）互访模块调用关系图说明：1、黑色箭头描述了员工通过A系统访问B系统的模块调用逻辑关系；2、红箭头描述了员工通过B系统访问A系统的模块调用逻辑关系；2.2.3 角色管理和认证为了实现门户及相关系统的统一认证，建设统一的身份管理中心，身份管理中心集中对用户身份进行管理。

完整版)统一身份认证设计方案(最终版)统一身份认证设计方案日期：2016年2月目录1.1 系统总体设计1.1.1 总体设计思想本系统的总体设计思想是实现用户统一身份认证和授权管理，提供安全可靠的身份认证服务。

同时，该系统还要考虑到用户的便捷性和易用性。

1.1.2 平台总体介绍该平台是一个基于Web的身份认证和授权管理系统，采用B/S架构。

系统主要包括用户管理、证书管理、授权管理和认证管理四个模块。

1.1.3 平台总体逻辑结构该平台的总体逻辑结构分为客户端和服务器端两部分。

客户端包括浏览器和客户端应用程序，服务器端包括Web服务器、应用服务器和数据库服务器。

1.1.4 平台总体部署该平台可以在局域网内或互联网上进行部署。

部署时需要考虑服务器的性能和安全性。

1.2 平台功能说明该平台的主要功能包括用户管理、证书管理、授权管理和认证管理。

用户管理模块实现用户信息的录入、修改和删除等功能；证书管理模块实现数字证书的管理；授权管理模块实现对用户权限的管理和控制；认证管理模块实现用户身份认证功能。

1.3 集中用户管理1.3.1 管理服务对象该模块主要管理系统中的用户信息，包括用户的基本信息、身份信息和权限信息等。

1.3.2 用户身份信息设计1.3.2.1 用户类型系统中的用户分为内部用户和外部用户两种类型。

内部用户是指公司内部员工，外部用户是指公司的客户、供应商等。

1.3.2.2 身份信息模型身份信息模型包括用户的身份属性和身份认证方式。

用户的身份属性包括用户名、密码、证书等；身份认证方式包括口令认证、数字证书认证、Windows域认证和通行码认证等。

1.3.2.3 身份信息的存储用户的身份信息存储在数据库中，采用加密方式进行存储，保证用户信息的安全性。

1.3.3 用户生命周期管理用户生命周期管理主要包括用户注册、审核、激活和注销等过程。

在用户注销后，该用户的身份信息将被删除。

1.3.4 用户身份信息的维护用户身份信息的维护包括用户信息的修改、删除和查询等操作。

统一接入管理实施方案一、背景。

随着信息技术的快速发展和应用，企业内部系统和应用的数量不断增加，导致了接入管理的复杂性和困难度不断提高。

为了解决这一问题，我们制定了统一接入管理实施方案，旨在实现对企业内部系统和应用的统一管理和控制，提高安全性和效率。

二、目标。

1. 实现对企业内部系统和应用的统一接入管理，包括身份认证、权限控制等；2. 提高企业内部系统和应用的安全性，防范各类安全威胁；3. 提升企业内部系统和应用的管理效率，降低管理成本。

三、实施方案。

1. 统一身份认证。

通过引入统一身份认证系统，实现对企业内部系统和应用的统一身份认证，用户可以使用统一的账号和密码进行登录，避免了多重身份认证的麻烦和安全隐患。

2. 统一权限管理。

建立统一的权限管理平台，对用户的访问权限进行统一管理和控制，确保用户只能访问其具有权限的系统和应用，避免了权限混乱和滥用的问题。

3. 集中日志审计。

引入集中日志审计系统，对用户的操作行为进行全面记录和审计，及时发现和防范各类安全威胁，保障企业内部系统和应用的安全性。

4. 强化安全防护。

加强对企业内部系统和应用的安全防护，包括入侵检测、数据加密、安全补丁管理等措施，提高系统和应用的安全性。

5. 提升管理效率。

通过统一接入管理实施方案，实现对企业内部系统和应用的统一管理和控制，提高了管理效率，降低了管理成本，为企业带来了更好的运营效益。

四、实施步骤。

1. 制定统一接入管理实施计划，明确实施目标、范围和时间表；2. 进行现状分析，了解企业内部系统和应用的接入情况和存在的问题；3. 设计统一接入管理系统架构，包括统一身份认证、权限管理、日志审计和安全防护等模块；4. 进行系统开发和集成，确保各个模块的功能完善和协同工作；5. 进行系统测试和优化，确保系统的稳定性和安全性；6. 进行系统上线和推广，培训相关人员，确保系统的顺利运行和推广。

五、总结。

通过统一接入管理实施方案的实施，企业内部系统和应用的统一管理和控制得到了有效实现，安全性得到了提升，管理效率得到了提高，为企业的信息化建设和运营管理带来了重要的保障和支持。