统一身份管理,企业信息化统一身份认证应用案例

统一身份管理,企业信息化统一身份认证应用案例

近年来，互联网技术进入了前所未有的发展壮大阶段，大量传统业务系统逐渐开始采用网络化、信息化的处理方式。这就导致了越来越多的基于网络环境的应用系统的出现。系统的复杂性和业务的特点直接关系到多样化的需求。各种应用系统不断提升大型企业、高校、国家机构员工的办公效率，各种应用系统不断提升大型企业、高校、国家机构员工的办公效率，极大地方便了工作。商业管理。但是，随着需求的不断扩大，企业内部相对独立的系统越来越多。例如，在高校中，往往有选课系统、图书馆管理系统、一卡通系统、教务系统等；在大型企业中，都有办公自动化系统。 （OA）、ERP系统、绩效管理系统、员工管理系统、CRM系统等。但是，由于这些系统是独立部署和使用的，随着应用系统数量的增加，用户必须记住多组用户名和密码.

实践表明，过多的系统登录认证会增加用户出错的可能性。过多的登录错误会导致非法拦截和破坏。针对这些情况，应用系统管理员往往会增加更多的安全措施，增加了系统的复杂性，同时也导致系统的可用性不断下降。对于用户来说，为了尽量减少登录错误，提高工作效率，用户一般会降低密码的复杂度，甚至设置所有系统登录的最简单的密码，甚至多个业务系统使用相同的密码。这样就降低了系统的安全性，危及企业的安全。

为了解决这些安全问题，统一身份认证和单点登录技术被提出并逐渐被广泛认可。下面以企业内部统一身份认证管理系统为例，从整体上了解统一身份认证系统的原理和结构。

我们多年专注于企业信息化建设和安全管理，可以快速定制开发企业所需的生产管理、物料管理、车间看板、车辆管理、合同管理、流程审批等各种应用系统、一站式服务大厅等。自主研发的统一身份认证系统，深入企业身份信息安全管理。如果您有这方面的需求，请私信：交流

(一）统一身份认证管理和单点登录技术

统一身份认证管理的原则是将多个应用系统的用户身份管理与应用系统的业务分开。多个应用系统的身份管理统一到身份认证管理平台，负责用户的身份管理、用户权限管理和用户登录。这就是所谓的统一身份认证管理平台。当用户需要访问应用系统时，可以先登录统一身份认证管理平台，统一身份管理平台向目标应用系统颁发访问票据。用户只需通过统一的身份认证平台，由身份管理平台负责认证并与应用系统交互。在应用层面，用户一次登录即可无缝访问多个应用系统，大大降低了用户操作的复杂度。其优越性不言而喻。

图8是一个典型的使用统一身份管理和认证的分布式接入网络结构。应用系统1到应用系统n是独立的应用服务系统。全部 应用系统前面的统一认证平台，认证平台包括集中身份管理、集中身份认证、集中访问授权和集中审计管理。中心化身份管理的好处是可以实现系统内用户生命周期的统一管理，同时还可以与其他应用系统建立同步机制，管理员可以实现“一次修改，全部生效”。同样，集中式身份管理方式帮助用户摆脱记住多个用户名/密码的痛苦，降低用户操作的复杂性。此外，统一的身份管理平台有利于管理员实现集中访问授权管理，还可以达到“一次授权，随处可用”的目的。

图8统一身份认证和单点登录模型

在统一身份管理的基础上，用户可以以统一身份登录应用系统出具访问票证，让用户一次登录，随时随地无缝访问。当然，前提是应用系统完全信任认证管理系统。这种方法称为单点登录（SSO，Single Sign-On）。 .单点登录技术有很多优点。一是大大提高了用户的工作效率，用户不再需要记住大量的用户名和密码；其次，SSO 提供了系统安全性，简化了系统管理员的工作。用户的认证信息统一存储在认证平台中，方便管理员实现集中授权和集中身份管理。最后，SSO提供了一个比较完善的身份认证框架，具有很强的扩展性，可以在研发过程中提高系统的效率，同时也保证了系统的安全性能。

目前基于这种统一身份管理的单点登录技术大致可以分为以下几种。

(1）首先是本章介绍的Kerberos认证协议机制。Kerberos系统以KDC为信任中心访问多个服务器。用户首先通过Kerberos AS服务的认证。之后获取TGS服务器的ticket，用户在访问应用服务器时，无需重新登录，只需携带TGT访问TGS服务器即可获取访问目标服务器的ticket。票据来确定客户端的合法身份。Kerberos的特点是典型的，是一种中心化的身份管理方式，只有客户端发起票据请求后才能访问应用服务器，应用服务器不需要与认证中心。

(2）第二种是基于Web服务的单点登录技术，比如微软的Pass Port。这种单点登录技术的特点是它采用了Web技术的特点。当用户向应用服务器发送访问请求，在运行服务器上运行的访问控制请求 如果检查用户未登录，用户将被重定向到统一认证平台，用户认证通过后，认证服务器会生成一个cookie（包括用户认证ID）并发送一个ticket TGT（包括用户的唯一标识PUID和时间戳）。用户浏览器携带cookie和TGT访问应用服务器。如果应用服务器能够成功解密cookie并验证身份，则认为该用户是合法用户，访问成功。

(3）联盟模式，自由联盟由近30个组织于2001年11月创立，建立了开放、标准、易于实施的统一身份管理方式。自由联盟是一个完全开放的网络, 跨域 基于分布式认证方式的分布式统一认证方式，用户只需在任意域的任意设备上登录并通过联盟认证，即可访问多个网站，无需重复认证。一个联合站点，如果检测到没有登录，则该网站将用户重定向到本地联合服务器，如果本地服务器发现用户不存在，则将用户定向到用户所在域的联合服务器. 联合身份验证服务器将生成一个 SAML 断言返回给用户。用户将 SAML 断言提交给本地身份验证服务器，然后本地身份验证服务器创建一个 cookie 用于访问并将用户重定向到访问站点。

目前，统一认证平台已经被广泛使用，比较有名的有微软的.Net Passport、Pubcooie、Web Auth、基于J2EE架构的JOSSO（JAVA Open Single Sign-On）等商用统一身份认证平台市场上比比皆是。但总的来说，统一身份认证平台的基本原理和结构是比较相似的，具体的身份管理和认证方式的选择要视实际环境要求而定。

(二）UNIT认证系统的基本结构

图9是UNIT认证系统的整体结构，UNIT认证系统为大型企业内部的多个应用系统提供统一的身份管理和单点登录服务。 UNIT以PKI基础设施为基础，建立基于数字证书的身份管理系统，并集成集中授权、集中审计等功能，从而实现对内部系统用户的全面管控。当然，鉴于UNIT的架构特点，它也可以对外提供域认证服务。

图9统一身份认证平台结构

(1）统一用户管理。在统一身份认证体系中，核心数据是用户的身份数据，是认证管理和访问控制的基础。因为企业内部的应用子系统相对独立，且安全需求和实现架构不同，为满足松散、易兼容、易扩展的要求，UNIT系统采用主账户-多个子账户的身份映射特性，用户可以映射自己的子账户在各个应用系统中到统一身份认证平台的主账户。在UNIT系统中，每个用户都有一个唯一的身份数字证书与之对应，并为用户登录时提供双向认证服务。为了存储这种映射关系，方便单点登录时的快速查询，UNIT采用了LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）di教区长服务。存储用户信息。 LDAP目录以树状层次结构存储数据，非常符合企业系统的结构。通过LDAP映射关系，用户可以一次登录，拥有多项有效功能，也可以依靠LDAP来实现应用系统。访问权限控制和用户生命周期维护管理功能。

图10 账户映射关系

(2）统一的证书管理。以数字证书作为用户认证方式的统一身份管理系统，集成了证书管理服务，包括用户证书的申请、审批、颁发、更新、撤销等生命周期. 系统可能不会直接实现这一系列功能，并且有第三方CA机构有复杂的方法和管理证书，为了安全存储用户证书，用户一般都会配备一个USB Key。另外，对于在对保密性要求较高的环境下，可以使用 SSL 建立专用的秘密传输通道，提高平台的安全性。

(3）统一管理和认证。实现多业务系统的统一认证，为企业提供单点登录服务。用户只需登录一次，即可访问所有相互信任的应用系统。Point-of -sign-on涉及许多访问权限的授权，因此，确保单点认证过程的安全性非常重要。确保这一点的一种方法是用数字证书替换静态的用户名-密码对。数字证书生成每次登录使用不同的一次性密码，并通过网络安全地传输生成的密码，使攻击者几乎不可能发现可用密码。基于证书的身份验证还可以防止尝试绕过系统并直接登录二级系统，用户名密码对被加密，防止监控攻击，系统还可以支持二重或三重认证，使用组合密码、证书和生物特征认证工具。

(4）统一授权管理。根据企业安全策略，采用基于角色的访问控制技术，实现集中灵活的访问控制和授权管理功能，支持多应用系统，提高管理效率。

(三）UNIT认证系统身份认证

统一的身份认证平台是企业内部系统安全登录的基础。只有安全的认证机制，才能保证企业的大门不被非法人员进入。图11为用户访问UNIT认证系统中的应用系统的示意图。用户必须先通过统一身份认证平台的身份认证，才能获得访问令牌，无缝访问多个应用系统。

图11 统一身份认证平台登录及身份认证

为了提供便捷、多样化的身份认证方式，统一身份认证平台一般支持多种常用的认证方式，包括用户名/密码、数字证书、Windows域认证、密码等。当然，认证方式不限于这几种，还可以根据用户的具体需求定制认证方式。扩大。 UNIT身份认证系统采用多因素认证技术，保障用户安全登录。如图12所示，UNIT采用静态密码、智能卡、生物特征多因素强认证技术实现身份认证。

图12 强身份认证方式

(1）用户名/密码认证

用户名/密码认证 身份是目前最常见的认证方式。静态密码虽然是一种较弱的身份认证方式，但存在技术结构简单、成本较低等缺点，可用于安全性要求较低的资源访问。例如，在查看个人信息时，可能会要求用户输入密码。

(2）智能卡认证

UNIT使用数字证书作为身份信任统一身份管理,企业信息化统一身份认证应用案例，用户不仅可以通过数字证书完成身份认证，还可以进一步进行安全加密、数字签名等操作。在本系统中，使用智能卡作为存储介质，可以安全地存储用户的证书，并且可以在登录时要求对用户的数字证书进行验证，从而实现强身份认证。例如，用户在执行单张智能卡登录时，可以作为认证的前提条件。当涉及到业务交易时，可以使用数字证书进行签名和验证。

(3）生物识别

为了增强认证的安全性，UNIT还采用了指纹识别等生物识别技术，以进一步加强对用户的认证。

(四）UNIT系统单点登录

实现单点登录的方式有很多种，一般可以分为软件代理登录和硬件网关级登录。软件代理登录的方式是指使用插件类的软件模块自动为用户实现登录，如Web拦截器（Intercepting Web Agent），它是一种基于过滤技术（Filter）的应用防火墙。使用 Web 拦截器在请求到达之前拦截请求，并在应用程序外部提供身份验证和授权。如图 13(a) 所示，可以在 Web 服务器中安装 Web 拦截器，通过拦截入站请求并在 Web 服务器上执行访问控制策略来对入站请求进行身份验证和授权。

硬件网关和单点登录使用前置硬件网关系统来拦截和验证来自网络的用户身份，如图 13 (b) 所示。安全服务代理拦截来自客户端的所有请求，确定发出请求的服务，然后执行服务所需的安全策略，将请求从入站协议转换为目标服务所需的协议，最后将请求转发给目标服务。在返回路径上，安全服务代理将结果从服务使用的协议和格式转换为客户端所需的协议和格式。它还可以保留客户端会话中第一个请求创建的安全上下文，以供后续请求使用。

图 13 单点登录的两种方式

在UNIT系统中，采用web拦截方式实现单点登录。这种方法可以降低部署成本并简化网络部署的复杂性。在UNIT系统中，登录流程如图14所示。

当用户访问应用系统时，假设之前没有登录过，系统会进行如下的认证过程。

图 14 单点登录认证流程

(1）用户访问目标应用系统，web拦截器会拦截用户的访问请求，首先拦截器检查请求的URL是否在不受保护的列表中，如果是则释放请求通过拦截器，拦截器不再进行用户认证过程，用户访问正常。

(2）如果请求的资源需要认证和保护统一身份管理，web拦截器会检查请求中是否包含有效的cookie，如果有cookie，拦截器会通过与统一认证服务器建立的SSL通道。验证cookie是否有效。如果请求有效，则拦截器通过用户的访问请求。

(3）如果请求中没有携带cookie或者cookie存在但无效，拦截器会重定向到认证服务器的登录界面，并要求用户进行定期登录和认证根据系统要求。

(4）认证服务器对用户的登录请求进行验证，确认有效后，会为用户生成访问票据，存放在用户的cookie中，浏览器会保存cookie值。用户的请求也被重定向到发起请求的资源地址。

(5）用户携带一个有效cookie向应用系统发起访问请求。此时拦截器重复(2）步骤统一身份管理,企业信息化统一身份认证应用案例，确认用户身份，释放访问请求。

用户第一次登录时，Cookies会在本地保存一段时间，所以在有效期内，用户访问企业其他应用系统时，只需要提交一个有效的cookie值给web拦截器进行验证，无需重新登录即可直接访问资源。

在这个过程中，SSL用于用户、应用系统和应用服务器之间的通信，使得攻击者截获和窃取有效信息的可能性很小。一旦用户通过了系统的验证，就可以获得包括门票、用户信息和一个有效的cookie，其中包含与用户访问环境相关的参数。这个cookie数据是在SSL通道中传输的，所以cookie被截获的可能性非常低。由于 cookie 内容也被加密，攻击者在截获 cookie 后无法与应用服务器建立连接。安全访问通道。因此，整个身份认证过程是可靠和安全的。

九、数字证书申请案例

在传统的企业自有网络中，在企业中，公司的各个分支机构与客户之间通过专线连接，即企业的员工以及企业与客户之间通过专线相互连接。网络设备。随着互联网的应用和电子商务的不断发展，企业员工流动办公的现象越来越普遍，企业的营业网点和客户分布也越来越广泛。传统的网络连接方式越来越无法适应这种商业模式。因此，越来越多的企业正在使用基于互联网的办公系统，如图15所示。

图15基于Internet的企业办公网络

在这种环境下，企业面临着多种威胁，如企业员工通过互联网下载或上传企业敏感信息，信息未加密，被他人窃听；例如，入侵者试图在未经授权的情况下访问企业的敏感信息；例如病毒、间谍软件和其他不健康的软件试图入侵企业内部主机，这些入侵可能是通过受信任用户的日常通信行为，例如打开电子邮件附件或下载文件。

面对这些威胁，企业需要建立完善的网络安全管理体系，包括：

(1）企业需要制定网络用户及其访问的信息资源安全策略，即该用户或组用户可以读取、写入和执行操作的信息资源；安全策略，即，哪些信息需要加密，哪些信息需要防篡改，哪些信息需要防止被拒绝；系统、入侵检测系统、杀毒系统、应用系统、数据库系统等；

(4）企业还需要制定审计策略，即定期审计网络用户及其访问的资源，以便审计和跟踪安全事件的发生、运行和结果，可见，不可否认的强认证系统和信息 上述要求的保护是满足上述要求的基本条件，使用基于智能密码密钥的数字证书认证系统可以实现用户登录安全认证、保密传输数据的保护、完整性检查和不可否认性 保险公司的安全办公系统就足够了 尊重这些风险，采用 PKI 技术作为保障公司信息安全的方案，并使用某种类型的智能密码密钥作为保存和应用 RSA 密钥对和证书的基本设备。在安全办公系统中，智能密钥用于Windows域登录，支持SSL VPN客户端，支持Office Word文档签名系统。

保险公司安全办公系统由公文办公系统、证书认证系统、VPN服务器、VPN客户端、智能密码Key（含PKI支持工具包）组成。公司总部和各分支机构的每个员工都持有一个智能密码密钥，其中存储了自己的 X.509 数字证书及其相关的私钥。私钥在物理上被智能密码密钥所保护，不能被他人窃取和修改。员工使用智能密码密钥通过SSL VPN客户端登录安全办公系统，安全认证系统验证员工签名确认员工身份，建立员工关系。安全的数据传输通道保证了传输数据的机密性和完整性，使处理公文、报告等日常工作在安全的环境中进行，企业的敏感信息得到很好的保护。

发布官方文档时，发布者使用持有的智能密钥对官方文档进行签名，并将签名隐藏在签名图片中，验证者可以通过获取持有者的证书来验证签名。由于签名是用发布者持有的私钥对官方文档的摘要进行加密的结果，而发布者是私钥的唯一持有者，所以他不能否认官方文档的任何更改。另外，通过验证官方文档的摘要可以判断文档是否完整。

下载官方文档时，服务器获取下载者的证书，使用证书中的公钥对官方文档的加密密钥进行加密统一身份管理，并发送给下载者。由于下载者是对应私钥的唯一持有者，因此只有下载者才能解密并获得用于加密官方文档的密钥，从而解密官方文档的明文。同样，在上传公文时，首先获取服务器的证书，用证书中的公钥对加密公文的密钥进行加密，并发送给服务器。由于服务器是对应私钥的唯一持有者，因此只有持有者才能解密并获得用于加密文档的密钥，从而对文档进行解密。

用户在登录办公系统时，使用自己持有的智能密码密钥对办公系统生成的随机数进行签名。办公系统获得签名和持有人证书后，如果验证签名和证书都是合法的，由于持有人是私钥的唯一持有人，所以可以确认和授权持有人的身份信息。

数字证书和智能密码钥匙的应用是保障信息安全和访问控制的基础，为安全办公系统的成功运行提供坚实的支撑，使办公系统具有良好的安全性，有效保护公司信息资源。