IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

建立安全的认证机制——

2007年10月24日
时代亿信/佚名

应用背景

计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,在企业信息化过程中,诸如 OA 、 CRM 、 ERP 、 OSS 等越来越多的业务系统应运而生,提高了企业的管理水平和运行效率。与此同时,各个应用系统都有自己的认证体系,随着应用系统的不断增加,一方面企业员工在业务系统的访问过程中,不得不记忆大量的帐户口令,而口令又极易遗忘或泄露,为企业带来损失;另一方面,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。

在上述背景下,企业信息资源的整合逐步提上日程,并在此基础上形成了各业务系统统一认证、单点登录( SSO )和信息综合展示的企业门户。现有的门户产品多集中于口令方式的身份认证,如何更安全地进行统一认证,并保证业务系统访问的安全性,成为关注的焦点。

基于 CA 的统一身份管理平台

时代亿信推出的基于 CA 的 UAP 统一身份管理平台产品,以资源整合为目标,以 PKI 技术为基础,通过对用户身份的统一认证和访问控制,更安全地实现各业务系统的单点登录和信息资源的整合。

平台兼容口令认证、 PFX 证书文件认证、 USB 智能卡认证等多种认证方式,并采用 SSL 加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。

架构和组件

UAP 统一身份管理平台的系统架构

基于 CA 认证的统一身份管理平台架构

用户走 SSL 加密通道经过统一的身份认证进入门户系统,门户系统与业务系统之间通过访问和映射,实现单点登录,用户按权限进入接入平台的业务系统。

认证、门户和 SSO 的配置由管理员在图右侧的平台管理系统中完成。

平台管理系统由用户管理、平台管理、授权管理、业务系统管理、审计管理、 CA 管理 6 个模块组成。

用户管理主要完成对业务系统注册用户的相关信息及对已注册用户信息的管理。

平台管理主要实现为用户提供平台管理系统各内部配置信息的管理功能。

授权管理主要实现用户权限管理功能。

业务系统管理主要完成对各业务系统各配置项,映射接口及相关访问控制策略等信息的管理。

审计管理主要完成平台系统日志备份及查找功能,可按时间范围导出备份系统日志信息,并具实时监控功能,可实时监控用户日志。

系统自带 CA 管理主要完成对 CA 证书管理功能。

UAP 统一身份管理平台的组件主要包括以下部分:

门户系统 :各个业务系统信息资源的综合展现;

平台管理系统 :平台用户的注册、授权、审计;各业务系统的配置;门户管理;

CA 系统 :平台用户的数字证书申请、签发和管理;

用户统一认证 :用户身份的 CA 数字证书认证、认证过程的 SSL 加密通道;

单点登录( SSO ) :业务系统关联映射、访问控制、访问业务系统时信息的加密签名和 SSL 加密通道;

安全机制的实现

用户注册和授权

• 企业每一个用户在平台完成用户注册,得到自己的统一帐户;

• 如果采用证书文件或 USB 智能卡认证方式,则 CA 系统自动为平台用户签发数字证书,并与用户的统一帐户对应。

• 注册的用户可以由管理员进行分组,并根据分组设定相应的业务系统访问权限。

业务系统配置

• 安装业务系统访问代理并配置证书和私钥,用以建立客户端与业务系统之间的 SSL 加密通道,并接收处理平台提供的加密签名的用户认证信息;

• 提供关联映射接口和访问验证接口,并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息(可能包括业务系统的用户名和密码)的对应关系。

平台实现和安全机制

系统特点

时代亿信基于 CA 的统一认证解决方案,在进行业务系统整合和内容整合的同时,更加注重资源整合的效果和统一认证的安全性,具有以下特点:

• 身份认证和单点登录的高安全性

充分运用了 CA 认证、 SSL 加密通道、关键信息加密签名、时间戳等技术,保证了信息传递的保密性,真实性,有效防止了重放攻击。

• 系统构建的实施工作量少

业务系统只需安装配置访问前置,并按规范提供关联接口和访问验证接口即可。访问代理支持 Windows 、 Linux 、 Unix 等平台,充分满足各种平台下业务系统的需求。

• 充分兼顾系统安全与运行效率

在身份认证和单点登录这样的高风险阶段,采用多种技术保证安全性,而在正常访问业务系统数据时,可以综合考虑安全与效率,灵活设置是否采用 SSL 加密通道。

• 具有高可靠性和可用性

平台产品支持负载均衡部署方式,充分满足并发认证的需求;同时,平台与业务系统之间采取松散耦合的方式,灵活满足业务系统的调整和升级。

应用范围

时代亿信 UAP 统一身份管理平台即解决目前分散认证系统的种种弊端所产生的一种产品通过数字证书、数字签名等机制充分保证了认证过程的安全性,成为身份认证技术的一个重要发展方向和趋势,并已在政府、军队、银行、证券、电信等领域得到了成熟应用。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

以不变应万变 网络虚拟化应对园区网新挑战
以不变应万变 网络虚拟化应对园区网新挑战Forrester Research的分析师Robert Whiteley认为: “十年以来,虚拟化技术与网络...
OpenShift加入更多新元素 友好面对开发者
OpenShift加入更多新元素 友好面对开发者通过网络进行程序提供的服务称之为SaaS(Software as a Service),而将服务器平台...

本类热点