《认证访问控制墙技术白皮书.doc》由会员分享,可在线阅读,更多相关《认证访问控制墙技术白皮书.doc(75页珍藏版)》请在三一办公上搜索。
1、时代亿信认证访问控制墙 技术白皮书 Version 2.3 北京时代亿信科技有限公司 目录1. 总述12. 系统架构与技术原理32.1 系统服务架构32.2 统一用户管理技术原理42.3 统一身份认证技术原理62.4 访问控制技术原理62.5 性能保障技术原理73. 产品分类93.1 应用版93.2 网络版93.3 无线认证版104. 认证访问控制墙应用版114.1 认证访问控制墙应用版概述114.1.1 认证访问控制墙应用版简介114.1.2 主要功能模块简介124.1.3 AWA支持哪些应用144.2 AWA的功能特点154.2.1 完全自主知识产权154.2.2 快速部署154.2.3
2、开放的接口164.2.4 高强度的安全性164.2.5 分立的管理角色164.2.6 完善的日志审计164.2.7 丰富的安全策略174.2.8 证书管理184.2.9 高可用性194.2.10 应急访问194.3 AWA能做什么?194.3.1 CA中心194.3.2 企业认证中心224.3.3 应用系统单点登录244.3.4 用户身份统一管理294.3.5 统一权限管理314.4 AWA的部署324.4.1 硬件设备部署324.4.2 网络部署图324.5 AWA应用场景344.5.1 多应用统一认证(SSO)344.5.2 企业认证中心354.5.3 统一用户管理中心355. 认证访问控
3、制墙网络版375.1 认证访问控制墙网络版概述375.1.1 认证访问控制墙网络版简介375.1.2 为什么需要AWN395.1.3 AWN支持哪些应用?405.2 AWN的功能特点405.2.1 完全自主知识产权415.2.2 业务无关性415.2.3 标准化425.2.4 高强度的安全性425.2.5 按资源安全等级保护425.2.6 可集成性435.2.7 可扩展性435.2.8 面向多种资源的授权机制445.2.9 面向会话的访问审计445.2.10 简单易用性445.2.11 快速部署455.2.12 高可用性455.3 AWN能做什么?455.3.1 网络访问的认证和授权455.3
4、.2 日志审计功能485.3.3 WEB资源的访问控制管理495.3.4 C/S资源的访问控制管理505.3.5 细粒度的文件访问控制515.4 AWN的部署525.4.1 硬件设备部署525.4.2 网络部署图525.5 AWN与应用系统的整合555.5.1 与WEB系统集成555.5.2 与其他系统集成555.6 AWN的应用场景565.6.1 场景1 核心数据保护565.6.2 场景2 集中账号管理585.6.3 场景3 访问控制+细粒度域授权596. 认证访问控制墙无线版636.1 认证访问控制墙无线版概述636.2 认证访问控制墙无线版的功能646.2.1 无线网络准入认证646.2
5、.2 多SSID集中认证646.2.3 来宾访客管理656.2.4 日志审计656.3 认证访问控制墙无线版的特点666.3.1 与AC设备无缝结合666.3.2 与企业目录无缝结合666.3.3 便捷的使用与管理676.3.4 快速的系统部署686.3.5 用户授权和审计686.4 认证访问控制墙无线版的部署686.4.1 部署结构686.4.2 配置697. 成功案例701. 总述时代亿信认证访问控制墙是一款提供认证和访问控制的硬件设备,为企业B/S和C/S业务系统、网络设备、主机、数据库等企业资源,提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。产品能够满足不同企业集中
6、认证、访问控制和安全管理的需求。认证访问控制墙通过网络层和应用层联动,采用网络层协议分析与应用层访问策略相结合的访问控制技术,形成用户信息、协议号、目的IP地址、目的端口的用户身份动态资源访问控制策略;在不改动用户应用的前提下,通过协议分析,实现资源的细粒度访问控制;使用流量限速的差异化访问技术,克服传统只能针对应用进行QoS设定的缺陷,实现了用户身份与应用绑定的流量控制功能,提高系统性能;同时,本产品可应用到WLAN无线网络,实现基于无线网络的统一认证与访问控制。本产品已在中国电信总部OA统一认证与访问控制工程、中央国债统一认证及访问控制工程等项目中成功使用。认证访问控制墙着眼于应用层和网络
7、层两个层面的认证与访问控制联动,为电信级企业或集团的各类用户和应用系统、主机、网络设备等资源提供高性能的安全认证服务、安全接入与访问控制服务、安全管理服务、安全审计服务,详见下图。图 时代亿信认证访问控制墙服务架构时代亿信推出的认证访问控制墙,是当前市场中唯一整合了CA、动态口令、短信认证等多种身份认证技术、应用动态加密通道、网络流量差异化服务、网络层访问控制、应用代理、信息中转和推送、协议分析、URL重写、内容过滤、内容重写、端到端加密通道、服务器插件信息提取等多项关键技术,综合提供身份统一管理、角色统一管理、资源统一管理、授权统一管理、身份统一认证、访问控制等功能的产品,能有效整合各种应用
8、系统用户资源,增强应用资源安全性,提高工作效率,降低沟通成本,是对多种信息安全技术、身份认证技术和访问控制技术的综合应用,可广泛满足用户的多种需求,而无须进行二次开发,快速部署和应用。2. 系统架构与技术原理2.1 系统服务架构认证与访问控制系统服务架构图:图认证与访问控制系统服务架构安全认证服务:整合现有网络系统的多种认证方式,如:用户名/口令、数字证书、动态令牌、短信认证、指纹认证等,在网络层和应用层针对不同用户采用差异化的认证方式。安全接入服务:通过安全的接入方式,整合各种异构的应用系统,实现全业务系统的统一认证和单点登录。访问控制服务:结合认证服务,在网络层和应用层实现用户对应用系统、
9、主机、网络设备的动态、差异化、细粒度访问控制。安全管理服务:系统的各类管理员通过安全管理服务完成对用户的统一管理、角色管理、资源管理、授权管理以及系统的管理维护,并能统一制定和下发访问控制策略。安全审计服务:通过系统的安全审计服务,实时监控系统的运行状况、用户认证和资源访问状况,对用户行为进行跟踪审计并形成各种审计报表。2.2 统一用户管理技术原理用户及组织机构分级管理技术:尽管很多企业用户会配置专门的系统管理员,但随着用户数量的增多和组织机构的增加,单一的系统管理员难以胜任大量繁杂的用户管理工作,使得系统难以维护,降低运行效率,造成系统用户开通的非必要延迟。通过采用分级管理机制,系统管理员可
10、以创建任意多个专门管理员,并授权其管理范围,从而符合企业现有组织架构管理模式,减轻系统管理工作量,提供系统效率和响应速度。用户信息订阅技术:统一用户管理需要维持各个应用系统用户的统一性和唯一性,同时又必须保证一定的灵活性,满足各个应用系统对用户信息的不同要求。通过采用信息订阅技术,统一用户管理系统可以根据业务系统不同的要求提供不同的用户信息。多种用户同步技术:由于企业应用系统的用户存储方式多种多样,要求统一用户管理系统也必须支持多种同步技术,主要有:基于SOAP协议的同步技术,可以广泛支持各种数据库、AD域系统和多种语言开发的应用系统,通过接口调用获取用户信息;基于SSL协议的同步技术,可以保
11、密地传输用户数据;LDAP复制技术,支持与LDAP V3标准的目录服务系统进行用户信息同步。多种用户同步技术类型:统一用户管理系统对用户信息的同步又可分为Push模式和Fetch模式,Push模式下统一用户管理系统首先将用户增量变化信息放置到临时存储区中,然后通过Web Service接口将增量的变化信息推送到各个应用系统,各个应用系统利用自身的业务处理逻辑完成对用户增量信息变化的处理。应用系统在完成处理之后向平台返回处理结果,平台根据各个系统的处理结果,最终完成对用户信息的变更;Fetch模式下统一用户管理系统首先将用户增量变化信息放置到临时存储区中,并完成自身用户信息变更的处理操作。各个应
12、用系统根据自身情况,定时的通过Web Service接口将用户的增量变化信息取回,利用自身处理逻辑完成用户信息的变更。用户同步安全技术:统一用户管理系统采用WS Security技术框架,保证系统在进行用户信息同步或用户数据传输过程中的安全。2.3 统一身份认证技术原理统一认证采用 SAML标准消息协议,通过对用户身份凭证的统一管理,实现在用户各系统和资源间的单点登入和单点登出。在系统认证过程中使用基于SOAP(简单对象访问)协议标准,实现登录请求的提交和认证结果的返回。采用SAML和SOAP协议,定义了用于安全服务之间传输安全信息的交换机制,实现不同安全服务系统之间的互操作性,提供了一种机制
13、,使得用户可以在不同的安全服务系统之间交换认证和授权信息。用户系统和资源的安全接入主要采用插件(Plug-in)和支持SSL协议的反向代理技术,插件(Plug-in)技术通过在用户系统或资源中部署安全插件,实现用户系统资源的单点接入和防护。反向代理技术实现对用户客户端主机访问受控系统和资源的代理,此方式无需修改用户系统就能实现用户系统和资源的安全接入。针对不同的应用场景,可灵活选用不同的安全接入方式。认证方式支持包括数字证书认证、动态令牌认证、短信认证、指纹认证和简单的用户名口令认证等主流方式,并实现同一用户可采用不同的认证方式获得不同访问权限,如访问一般系统使用口令认证,访问安全级别高的采用
14、数字证书认证。2.4 访问控制技术原理访问控制包括针对应用资源的实体访问控制和会话访问控制。实体访问控制是指控制用户能够访问哪些应用及资源,会话访问控制是指控制用户在应用会话过程中,能够执行哪些操作。认证墙产品在进行实体访问控制时,使用自主研发的协议分析系统,对用户与资源间会话进行分析,通过IP和端口控制技术,结合用户认证完成后的身份信息进行协议分析,根据身份信息、IP地址、端口等信息动态产生和删除包过滤规则,达到对设备的访问控制目的。认证墙产品针对受控资源使用的协议和提供的服务,可分别设置不同的访问控制策略。在进行会话访问控制时,认证墙产品会结合应用的会话协议进行分析。通过对应用协议的分析和
15、提取,甄别用户操作行为,结合设定的授权策略,达到访问控制的目的。例如当用户访问Windows文件共享时,认证墙产品不仅能够控制用户对文件共享服务器的连接访问,还能控制到用户能够访问哪个目录或者具体文件,并且能够控制用户能对这个目录或文件进行何种操作(读取、修改、重命名、删除、创建)。2.5 性能保障技术原理为构建高性能的统一认证和访问控制系统,本系统基于一个高性能的协议树分析处理引擎,通过定制协议树规则模板,实现对特定协议的匹配分析,通过对协议数据的替换和数据包重组,实现认证、访问控制多个环节上的性能要求。系统在流量整形和控制上使用了数据分类算法PRIO/CBQ,分类算法主要作用是可以对多种数
16、据流区别对待。一旦数据包进入一个分类的队列规定,它就得被送到某一个类中分类,对数据包进行分类的工具是过滤器。过滤器会返回一个决定,队列规定就根据这个决定把数据包送入相应的类进行排队。每个子类都可以再次使用它们的过滤器进行进一步的分类。直到不需要进一步分类时,数据包才进入该类包含的队列规定排队。除了能够包含其它队列规定之外,绝大多数分类的队列规定能够流量整形。3. 产品分类认证访问控制墙从产品形态上分为应用版、网络版和无线版。应用版主要应用于B/S、C/S系统的统一用户管理、认证和访问控制;网络版主要应用于数据库、主机和网络设备的访问控制;无线版主要应用于WLAN无线网络的准入。3.1 应用版应
17、用版(简称AWA)作为企业用户管理、应用系统管理、统一认证和权限管理中心,以企业用户、B/S和C/S系统为整合目标,实现统一认证、统一授权和访问控制。认证墙应用版管理员界面图3.2 网络版网络版认证墙(简称AWN)是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标,集成强身份认证、会话审计、集中管理功能的一体化硬件设备。可对企业内部用户应用访问、管理员维护等各类操作进行访问控制。AWN基于包过滤及代理技术,可实现对http、telnet、ssh、ftp、rdp远程桌面、cifs文件共享等应用协议的访问控制及会话审计。认证墙网络版管理界面图3.3 无线认证版无线认证版(简称Sp
18、otFront)为用户的WLAN接入提供安全、方便、灵活的身份认证功能,实现对无线网络的保护以及用户安全域的划分,有效满足企业对无线网络的安全管理需求。无线认证墙可以和无线厂商控制器紧密配合,支持对多SSID分别进行网络准入以及,形成从身份认证、VLAN划分、访客管理、日志审计、访问控制的综合解决方案。无线认证墙举例4. 认证访问控制墙应用版4.1 认证访问控制墙应用版概述4.1.1 认证访问控制墙应用版简介时代亿信认证访问控制墙应用版(以下简称AWA产品)是新一代的应用系统认证及资源整合产品,可作为企业用户管理、应用系统管理、统一认证和权限管理中心,为B/S、C/S架构应用系统提供统一认证与
19、单点登录功能,可配置多种认证方式,可管理各个应用系统用户账号,为应用系统提供账号管理、用户生命周期管理等功能。同时,内置的CA组件还可使AWA成为企业CA中心,为用户提供证书申请、证书审批、证书签发及证书认证等功能。AWA是一个针对B/S、C/S架构应用系统的强身份认证及资源整合解决方案,对各类信息系统均可提供统一认证、单点登录、用户授权和统一身份管理功能,可统一制定企业安全策略,有效降低企业应用系统管理维护量,提高系统安全水平。4.1.2 主要功能模块简介1) 身份认证服务AWA可提供口令认证、证书认证、USB智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式;支持LDAP、AD、R
20、ADIUS等外部认证源;2) 统一认证中心认证墙应用版作为企业统一认证中心,为企业应用、主机、设备等提供多种认证接口,实现企业内部用户的统一身份认证;提供基于SOAP、RADIUS、LDAP、NTLM、SOCKET等协议的认证接口;3) 统一用户管理提供组织机构和用户的统一管理,整合分散在各个应用系统的用户基本信息及账号信息,实现跨应用、跨部门的用户生命周期全过程管理。可在一点操作,实现对各应用系统用户的注册、变更和注销等同步管理; 支持用户的批量导入、导出服务;支持用户分级管理,用户可由本地管理员进行维护;支持用户属性扩展,可满足企业应用对用户属性的特定需求;4) 统一权限管理基于角色的统一
21、用户权限模型,兼容用户个人高级权限;整合企业内部资源,实现细粒度的权限划分和访问控制;支持角色的定义和管理;支持部门角色,方便以部门组织机构为单位,对所属用户进行统一授权;5) 单点登录服务支持API插件、反向代理、客户端代理、HTTP HEADER等多种方式,实现应用系统的单点接入;通过唯一的身份标识或用户身份关联映射,实现用户一次认证,即可自由访问有权限的应用系统;提供数据库适配器、LDAP适配器、HTTP适配器等方式实现用户身份关联映射信息的自动校验;提供应用系统WEB页面的内容过滤改写组件,自动修正页面中的无效链接,确保用户的有效访问;提供应用系统页面表单的自动分析组件,简化应用系统的
22、单点接入配置工作;6) 用户自服务提供用户自服务管理界面,方便用户自行完成应用系统相关关联映射、身份认证凭证(密码、用户证书)管理等操作,减少管理员负担;7) 日志审计提供对用户认证、访问、鉴权等操作,管理员各项维护管理操作的日志记录和实时监控。提供详尽的日志审计、报表分析及日志备份导出功能。 8) 企业级CA系统提供数字证书的申请、签发、下载、作废、更新等服务,遵循PKI/CA 国际标准;提供CRL、证书校验等服务;支持证书模版、证书扩展项定义;支持加密机/加密卡; 9) 公共服务为企业各类应用提供系统配置、组织机构、用户、证书、鉴权等相关的公共服务。4.1.3 AWA支持哪些应用AWA产品
23、支持对以下应用进行身份认证与资源整合:B/S模式应用系统AWA产品支持多种WEB服务器平台,如果只对业务系统进行身份认证或单点登录,WEB业务系统不需要做任何更改。C/S模式应用系统AWA支持C/S模式应用系统,可提供应用前置和插件API,方便的对目前大部分C/S模式的应用程序进行身份认证和单点登录接入。IT基础设施AWA提供对LDAP、AD和关系型数据库的支持,可与用户当前IT基础设施无缝结合,充分发挥现有投资价值。经过简单的配置,可方便的实现用户信息导入、用户账号配置、用户同步以及分级管理。CA中心AWA产品内置ETCA组件,可提供数字证书注册、审批、签发和认证功能,并具有分级管理能力。同
24、时,AWA提供对多种第三方CA系统的支持,包括CTCA、CFCA等。4.2 AWA的功能特点4.2.1 完全自主知识产权AWA产品是时代亿信多年信息安全技术和行业经验积累所形成的新一代身份认证与资源整合产品,全部功能自主研发,具有完全的自主知识产权。在许多核心技术上深入研究,如动态通道、应用代理、信息中转和推送、URL重写、内容过滤、端到端加密通道等,使这些技术成为行业领先技术。4.2.2 快速部署AWA产品为硬件产品,针对应用对象和应用场景进行功能优化,大幅度减少了应用系统二次开发工作量,增强了系统的友好性和易用性,缩短了企业部署时间和用户上手时间,为用户节省投资。4.2.3 开放的接口为了
25、支持技术的飞速发展,AWA产品采用开放且可扩展的设计,通过使用国际和国内信息技术标准、信息安全国家标准及行业标准,可与多种应用系统、LDAP、AD、数据库进行用户信息、认证信息交互,并可集中收集日志信息,满足统一管理的需要。4.2.4 高强度的安全性AWA产品能够提供完善的应用安全管理机制,通过高强度的密码策略或基于USB Token、PKI的认证机制、部件间的安全协议来保护应用系统的安全,在为用户提供完善的认证机制的同时,为了方便用户的认证,AWA产品也提供了短信认证等更为灵活方便的认证机制。4.2.5 分立的管理角色AWA产品在自身安全上也有着完善的措施,其后台管理角色采用三权分立的管理机
26、制,分为系统管理员、系统审计员和系统安全员,每种角色均具有初始默认用户,可分别根据实际情况再创建各自角色的管理员,实现分级管理。4.2.6 完善的日志审计AWA产品可记录系统范围内的安全和系统审计信息,有效地分析整个系统的日常操作与安全事件数据,通过归类、合并、关联、优化、直观呈现等方法,使管理员轻松识别应用系统环境中潜在的恶意威胁活动,可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。AWA产品具有实时监控功能,可随时了解用户当前操作的内容,监控用户的操作,及时发现潜在的危险操作或违法操作,便于第一时间处理。实时监控功能还避免了管理员对日志文件的操作,提供直观、清晰、易用的WEB监控页
27、面,增强了系统的友好性。AWA产品中关键事件可以得到过滤、标记,并被发送给指定的接收对象。这种能力可以使管理员接近实时地发现重要的事件,同时还可以实现Email告警、短信告警或其他形式的操作。AWA产品具有自动日志维护功能,简化了管理员操作,具备建立定期日志备份、日志转储、日志清理等多项功能,可以确保安全地保存使用日志,而不需人工参与。AWA产品内置了大量报表和图表功能,使管理员方便地制作多种类型的报告,可以细化到每个字段。报告功能可提供多种格式的报表,包括便于web 浏览和分发的HTML 格式。4.2.7 丰富的安全策略AWA产品通过将用户划分为用户组或角色,可以配置不同的安全策略,减轻管理
28、员的工作量。安全策略支持用户IP地址策略、管理IP地址策略、时间策略、口令策略设置,具体如下:(1)用户IP地址策略:限定用户访问AWA产品的客户端IP地址,阻止未授权的IP地址访问应用;(2)管理IP地址策略:限定管理员访问AWA产品后台管理功能的客户端IP地址,阻止未授权的IP地址访问管理功能;(3)时间策略:限定用户访问受AWA保护的应用系统的时间段,例如可设置只有上班8个小时允许访问,从而最大限度减少非法入侵的可能;(4)口令策略:可定义口令的复杂度策略,包括用户口令的长度、定义非重复口令、禁用的字符短语等;可定义口令的过期策略,使用户在一定周期过后就强制要求修改密码;可针对不同用户组
29、和角色应用不同的口令安全策略。4.2.8 证书管理AWA产品内置了企业级证书管理系统,可完成数字证书的综合管理工作,有着如下完备的功能:(1)丰富的证书业务功能(2)基于角色的授权管理(3)支持多级CA(4)强大的证书模板功能(5)所见即所得的自定义功能(自定义证书模板&自定义证书扩展域)(6)支持汉字证书(7)支持KMC(密钥管理中心)(8)支持OCSP(在线证书状态查询)(9)支持可替换的加密模块(10)以用户为中心的证书管理模式证书管理系统配有专门的证书管理员,通过使用优化后的管理页面,管理员只需在图形界面中点击鼠标,就可完成用户证书申请、审批、签发工作,到期的用户证书可以进行批量自动更
30、新。对于希望减轻管理负担的用户,证书自助服务可以直接面向最终用户提供证书申请与签发界面,缩短了实施时代亿信证书认证解决方案的时间。4.2.9 高可用性AWA产品为用户提供了双机热备、负载均衡等高可用性解决方案。4.2.10 应急访问通过使用应急访问功能,可以在用户遗失或忘带身份认证凭证的情况下,通过管理员临时赋予用户一个可用登录凭证,满足用户使用应用系统的需求。临时可用的登录凭证由管理员根据需要分发,可设置相应的审批流程,临时凭证可与安全策略配合使用,配置时间、IP地址设置限制,如可限制只有上班8小时才能使用等等。4.3 AWA能做什么?4.3.1 CA中心AWA产品内置一套综合的企业级证书管
31、理系统(ETCA),可用于数字证书的申请、审核、签发、注销、更新和查询,颁发的数字证书格式严格遵循X.509v3规范,具有广泛适用性和良好的扩展性。通过使用该系统,可以搭建出符合政府、行业、第三方、企业需求的CA中心。通过使用ETCA发行的数字证书可以为用户提供信息安全的全面服务:保密性 保证信息是秘密的完整性 能检验信息未被篡改身份鉴别 检验个人或机构的身份不可否定性 确保信息或操作不能被否认ETCA应用国际先进技术,采用高强度的加密算法、高可靠性的安全机制及完善的管理及配置策略来保障整个系统的安全、可靠的运行。ETCA系统完全遵循PKI及相关标准,这样有利于与其它厂商的产品实现互连,增大证
32、书的适用范围。该系统支持的技术标注列表如下:ETCA产品支持的标准类别标准标准内容1、密码算法和标准加密SSF33分组密码算法数字签名RSA 数字签名,符合PKCS#1 V2.0DSA,符合数字签名标准、美国 FIPS PUB 186 和 ANSIX9.30 (第一部分)散列函数SHA1,符合美国 FIPS PUB 1801 和 ANSI X9.30(第二部分)MD5 报文摘要算法,符合因特网 RFC 1321密钥管理RSA 密钥传输符合因特网RFC 1421 和 1423 (PEM) 和 PKCS#1 V2.0伪随机数生成符合 ANSIX9.1对称技术的完整性报文验证码 (MAC),符合美国
33、 FIPSPUB 113、ANSIX9.9 和 X9.19伪随机数生成符合 ANSIX9.172、数据格式和协议证书和证书注销列表格式第3版证书和证书扩展,符合 ITUTrec.X.509 (1997) 和公用标准 ISO/IEC 9594-8 (1997)证书注销表和证书注销表扩展,符合 IETF PKIX1概况表技术规范证书注销表和证书注销表扩展,符合 IETF PKIX1概况表技术规范RSA 算法标识符和公开密钥格式,符合PEM 和 PKCS #1 V2.0文件包封格式基于因特网 RFC 1421 (PEM) 的标准文件包封格式安全文件包封技术,符合 PKCS#7和S/MIME目录协议轻
34、量目录存取协议 (LDAP),符合 RFC 1777PKI 操作协议符合 PKIX2图 CA系统管理界面4.3.2 企业认证中心AWA产品利用其强大的身份认证功能,将用户的身份认证与企业的管理技术和业务流程密切结合,保证系统中的数据资源只能被有权限的用户访问,未经授权的用户无法访问数据;防止伪造身份认证手段、访问者身份等非法措施,从而有效保护信息资源的安全。传统身份认证只使用一种条件判断用户的身份,因此认证很容易被仿冒。而双因子认证或强认证是通过组合两种或多种不同条件(如通过密码和芯片组合)来证明一个人的身份,安全性有了明显提高。AWA产品支持对多种身份认证方式的混用,有效提高身份认证的安全性
35、。AWA支持的认证方式有:(1)USB智能卡认证(2)证书认证(3)动态令牌(4)短信认证(5)指纹认证(6)静态口令(7)一次性口令(8)第三方认证组件AWA产品还支持对认证方式的混用:(1)多种认证方式同时启用,即用户必须经过两种或两种以上认证方式的认证才能登录进入系统;(2)多种认证方式选择启用,即用户可以在系统给出的两种或两种以上认证方式中选择一个进行认证,认证通过就能登录进入系统;(3)强制认证方式,即系统根据用户或用户角色信息,给出指定的认证方式进行认证,用户只有在通过指定认证方式认证的情况下才能登录进入系统;即使用户使用其他认证方式登录进入系统,对需要进行强制认证的系统或应用场景
36、依然需要二次强制认证,可以充分保证系统的运行安全和操作维护安全。图 身份认证方式配置界面4.3.3 应用系统单点登录AWA产品具有完善的单点登录体系,可安全地在应用系统之间传递或共享用户身份认证凭证,用户不必重复输入凭证来确定身份。不仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。图 应用系统单点登录配置界面AWA产品具有多种单点登录实现方式,由下面章节详细介绍。6.3.3.1 主从账号管理AWA产品的用户信息数据独立于各应用系统,形成统一的用户唯一ID,并将其作为用户的主账号。如下图所示: (1)在通过AWA统一认证后,可以从登录认证结果中获取平台用户唯一ID(主账号);(2
37、)再由其关联不同应用系统的用户账号(从账号);(3)最后用关联后的账号访问相应的应用系统。当增加一个应用系统时,只需要增加用户唯一ID(主账号)与该应用系统账号(从账号)的一个关联信息即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账号不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。6.3.3.2 反向代理在完成客户端与认证服务器的交互认证后,用户先登录进入平台系统,然后利用反向代理技术完成服务器端代理用户认证,并将应用系统信息推送给客户端浏览器,从而实现用户对该应用系统的访问。这种方式下应用系统基本不需改动和开发,对于不能作改动或没有原厂商配
38、合改动的B/S架构应用系统,可以使用该方式接入AWA产品。实现上,采用SSO认证服务和SSO Agent进行交互验证用户信息,完成应用系统单点登录。反向代理方式下通过平台访问应用系统的流程如下:(1)用户在平台上点击访问的应用系统URL链接;(2)由平台验证用户权限,有权限则在平台数据库中查询用户和应用系统的关联表,无权限则提示用户无权访问;(3)如关联表中无相应记录,则浏览器弹出建立关联的页面;如关联表中有相应记录,则平台服务器提取用户和应用系统的关联信息,送至SSO服务加密签名形成数字信封后,返还给平台;(4)由平台将加密信息发送给应用系统前端的SSO Agent;(5)SSO Agent
39、收到加密信息后进行解密,并向应用系统提交用户关联信息;(6)应用系统收到用户关联信息后进行验证,验证成功则允许用户访问应用,失败则提示用户更新关联信息。在反向代理模式下,为了保证用户管理信息的正确,AWA产品还提供了数据库适配器、LDAP适配器、HTTP适配器等组件,实现用户身份关联映射信息的自动校验。6.3.3.3 API插件插件方式采用SSO认证服务和集成插件(SSO API)的方式进行交互验证用户信息,完成应用系统单点登录。插件方式提供多种API,通过简单调用即可实现SSO。J2EEJAR包ASP/.netCOM组件DominoDSAPI通常情况下,对于有原厂商配合开发的B/S架构、C/
40、S架构应用系统,推荐使用该方式接入AWA产品,以实现高效率高可靠的单点登录。插件方式下通过平台访问应用系统的流程如下:(1)用户在平台上点击访问的应用系统URL链接;(2)由平台验证用户权限,有权限则在平台数据库中查询用户和应用系统的关联表,无权限则提示用户无权访问;(3)如关联表中无相应记录,则该用户未授权,不允许访问;如关联表中有相应记录,则平台服务器提取用户在该应用系统中的身份信息,送至SSO服务加密签名形成数字信封后,返还给平台;(4)由平台将加密信息发送给相应的应用系统;(5)应用系统调用SSO API,对加密信息进行解密,得到用户身份信息并返回给应用系统;(6)应用系统收到用户身份
41、信息后通过信任机制允许用户访问应用系统。6.3.3.4 客户端代理对于部分应用场景中应用系统不能停机或开发商不能配合的情况,AWA产品可采用客户端代理技术,自动地完成应用系统单点登录。其具体认证登录过程如下:(1)在AWA产品管理功能中为应用系统激活客户端代理功能,由管理员配置好客户端代理所需要的用户认证参数;(2)用户登录单点登录平台;(3)用户点击应用系统访问链接;(4)客户端代理自动启动,并向应用系统服务器端传递用户认证参数;(5)应用系统服务器端接收到认证参数,按照自身的认证方式通过用户验证,进入系统;(6)用户使用应用系统而无需进行其他操作。6.3.3.5 HTTP HEADER当用
42、户访问应用系统时,AWA产品的认证登录功能将该用户信息加密后放在HTTP HEADER中传递给应用系统。应用系统接收后解析HTTP HEADER内容,获得用户信息,验证后进入应用系统。考虑到HTTP明文传输的因素,可考虑使用SSL加密通道或关键信息加密通道保护用户认证信息的安全。同时,AWA产品也可以在HTTP HEADER中置入经过加密的用户信息,需要对应用系统登录认证模块进行改造,使其识别加密后的用户信息,从而实现用户身份验证。6.3.3.6 Ticket票据在用户访问应用系统之前,由AWA产品生成一次性的访问Ticket票据,并将Ticket提交给应用系统,应用系统通过加密的方式回连AW
43、A,并验证Ticket有效性,之后返回认证结果和用户身份信息给应用系统。应用系统根据验证结果确认用户身份,并分配用户权限。此种认证登录方式下还可以配合IP地址绑定等方式,通过增加客户端可识别信息进一步加强系统间交互的安全性。4.3.4 用户身份统一管理AWA产品中的用户信息统一管理组件基于LDAP目录服务和关系型数据库,用于存储用户的基本信息和组织机构信息,接入平台的所有应用系统均可以共享这些信息,节省了用户投入,实现了资源利用最大化。图 统一用户管理界面6.3.4.1 身份统一管理AWA产品内置身份管理组件,可提供对用户身份生命周期管理的基础架构,具有较强的扩展性和开放性,支持与企业现有IT
44、基础设施无缝结合,支持多种类型的连接和互操作标准。其核心管理功能支持灵活的配置,可满足不同企业的需求,通过与现有应用的服务扩展结合起来,实现资源整合,对今后企业的应用系统扩展打下坚实基础。身份管理的特点如下:(1)与企业门户和目录相结合的集中用户管理;(2)跨应用、跨部门、跨业务的身份生命周期全过程管理;(3)基于角色的集中权限管理;(4)可在一点操作,实现对各应用系统用户身份的注册、变更和注销管理。当员工调离时,能立即禁止该用户账号;(5)保证用户身份唯一性,实现操作可追溯,可定责;(6)与LDAP、AD交互操作,自动同步;(7)可集成度高,部署方便快捷,最大化保护已有投资。6.3.4.2
45、账号同步AWA产品的用户管理功能可与企业现有用户管理基础设施无缝结合,通过标准的LDAP接口或Web Service接口,导入企业LDAP目录、AD、数据库中的用户信息,并实现定时自动同步。AWA产品提供两种用户同步接口:全部信息同步接口和增量信息同步接口。全部信息同步接口可向应用系统提供平台内的全部用户信息和组织机构信息,增量信息同步接口可向应用系统提供自上次同步以来全部用户信息的变更信息。增量信息同步接口实现有两种模式:Push模式和Fetch模式。(1)Push模式AWA产品采用Push模式进行用户增量信息同步时,首先将用户增量变化信息放置到临时存储区中,然后通过Web Service接
46、口将增量的变化信息推送到各个应用系统,各个应用系统利用自身的业务处理逻辑完成对用户增量信息变化的处理。应用系统在完成处理之后向平台返回处理结果,平台根据各个系统的处理结果,最终完成对用户信息的变更。(2)Fetch模式AWA产品采用Fetch模式进行用户增量信息同步时,首先将用户增量变化信息放置到临时存储区中,并完成自身用户信息变更的处理操作。各个应用系统根据自身情况,定时的通过Web Service接口将用户的增量变化信息取回,利用自身处理逻辑完成用户信息的变更。4.3.5 统一权限管理AWA产品通过统一授权功能,可对用户组与应用系统或资源的关联关系,角色与应用系统或资源的关联关系进行创建和维护,以此来完成用户对应用系统与资源访问的授权。图 统一授权管理界面6.3.5.1 实体级授权实体级授权主要指用户可以访问哪些资源(包括系统和应用)的授权。对于一般企业应用实体级授权主要为应用系统的实体级授权。应用的实体级授权主要通过统一用户管理、统一认证、统一授权功能的相互配合完成:(1)根据用户的权限策略制定相应的ACL(访问控制列表);(2)将制定的AC
