电信统一认证平台解决方案.docx
《电信统一认证平台解决方案.docx》由会员分享,可在线阅读,更多相关《电信统一认证平台解决方案.docx(29页珍藏版)》请在冰豆网上搜索。
电信统一认证平台解决方案
文件编号:
密级:
项目ID:
总页数:
电信统一认证平台解决方案
版本V0.9
声明
本文件所有权和解释权广州吉海科技有限公司所有,未经广州吉海科技有限公司书面许可,不得复制或向第三方公开。
修订历史记录
(A-添加,M-修改,D-删除)
关键词:
统一认证,单点登录,SSO,统一授权,统一资源管理,统一展现
摘要:
电信统一认证平台。
包括统一登录认证,统一资源管理,统一信息展现
1项目概述
1.1项目背景
随着信息技术和互联网的蓬勃发展,电信业务系统的迅速发展,诸如OA、CRM、ERP、OSS、BSS、EOMS等越来越多的业务系统和网站应运而生。
同时,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,由于技术的需要,用户只有在每个系统的用户数据库中登记相应的个人信息并成为注册用户后,系统才能更好地为用户提供更为个性化的服务。
但这样会带来以下问题:
首先帐号密码的配置非常烦琐,需要在每一台网络设备、主机系统或应用系统上进行配置;由于采用了记忆口令的方式,为了保证口令的安全性,必须经常更改口令,每次口令的更改又要耗费大量的人力和时间;同时由于记忆口令不可能频繁更改,那么口令就存在着被窃听、盗用、滥用的危险,给企业的安全带来巨大的威胁。
其次,用户就需要在数十个系统/网站上进行枯燥重复的个人信息输入和登记过程,这个原因成了许多企业的商务网站用户注册的瓶颈;同时注册用户的信息通常也缺乏真实性,无法达到网站建立用户数据库的预期目的,也无法形成良好的在线商业环境。
再次,由于各个系统各自为政,缺乏集中的授权和审计的功能,无法根据用户级别进行分级授权,也无法记录用户访问设备的详细审计信息。
另外,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。
所以,原有的分散账号、静态口令管理模式已不能满足企业目前及未来业务发展的要求,会带来巨大的管理开销和安全隐患。
在上述背景下,电信企业信息资源的整合逐步提上日程,并在此基础上形成了各业务系统统一认证、单点登录(SSO)、统一资源管理和信息综合展示的企业门户。
用户只要通过统一认证系统的认证,即可自由地访问各业务系统的服务,而不需要再次进行其它身份验证;通过与统一认证系统的通讯,业务系统也可以确保该用户是合法用户,从而为之提供服务。
并且可使用统一的信息展示界面,使用各种业务系统时,不会因各业务系统不同的使用界面造成冗长的学习过程。
1.2项目建设目标
在充分了解了电信运营商的各种业务系统平台和各种上网需求的基础上,通过反复的论证、测试,成功研发并建设了一个电信级的企业业务统一认证平台。
旨在为电信企业提供一个集统一用户管理、集中访问控制、身份认证和应用授权、单点登录(singlesingon/SSO)、用户访问策略与保密、有效的身份管理和审计等核心服务,兼容各种已有的和未来新的业务系统和技术标准,能适应多种用户、角色及数据模型需求,符合多种应用管理策略的集成要求的统一认证平台解决方案。
它实现了“统一管理,共享资源;统一认证,灵活扩展;统一授权,运维安全;统一规划,降低风险”的目标,使电信员工、相关商家和用户在各种环境下均能方便、快捷地享受各种网上平台服务。
1.3项目建设内容
统一认证平台主要包括以下三个部分内容,分三期完成:
●统一登录认证平台:
为企业建设一个统一的用户账号、身份认证、访问授权和审计管理平台,在这个平台上逐步实现单点登录、统一认证,统一授权,统一审计和统一用户和账号管理。
用户只需成为电信统一认证平台的用户,就可以用此用户名登录整个联盟中的所有系统,享受注册用户的所有服务项目。
●统一资源管理平台:
统一资源管理平台将作为系统的资源管理支持平台,支撑整个企业各系统的访问策略管理,以及企业内部信息系统的资源管理,为用户访问企业内部信息与资源提供桥梁管理作用,使用户能够根据所用户的权限、角色迅速访问到其所关心的信息。
同时,统一资源管理平台也是企业门户系统展现层的策略管理应用的支撑平台,并为统一认证平台提供了认证管理手段。
●统一信息展示功能:
各应用系统可通过配置集成统一的信息综合展示界面,同时,也可为用户定制个性化的工作界面。
1.4项目建设原则
Ø实用性
平台必须具有实用性,用户通过单点登录,在使用便利性上有切实的提高。
同时,部署和升级要简单方便。
Ø安全性
平台管理人员可以通过统一认证系统对各个系统上用户信息进行集中的管理,控制用户的访问范围和权限,对用户的认证、在线日志进行审计,使整个系统的安全管理水平得到极大的提高,保证各个业务系统的安全,同时能够满足国家相关安全性规定,并且对于网络安全,数据安全等等方面有足够的保证措施。
Ø可扩展性
整个统一认证体系的设计核心在于和第三方系统的信息交互,因此必须考虑到未来第三方系统的横向扩充以及随着用户增长而造成的认证体系和第三方系统信息交互的纵向增长。
这些都要求整个系统需具有良好可扩展性,对于用户的增长以及接入子系统的增加等问题,可以由服务器的良好扩展性解决。
Ø可靠性
系统能够保证在长期的运行过程中有较高的可靠性,系统的故障率维持到一个较低的水平。
使得用户不会因为系统的故障而造成困扰。
Ø高性能
系统能够保证在运行过程中有良好的性能,用户在使用速度上有良好的体验。
Ø先进性
系统能够充分使用当前最先进,并且得到成熟应用的技术,架构,平台以及产品,确保系统能够在一定的时期内保持技术的先进性。
1.5系统为企业带来的好处
首先,安全性得到了极大的提高。
以前采用静态口令进行认证的方式,变成了采用静态口令+动态口令的双因素认证方式。
用户在进行登录时,除了输入用户名外,还要输入静态口令,以及由口令令牌产生或短信发送的一次性动态口令;口令被窃取盗用的情况,再也不可能出现,极大的提高安全性。
其次,用户使用更加方便。
以前用户在登录不同的系统时,可能需要使用不同用户名、口令;采用统一认证系统后,用户只需要使用同一个用户名、同一个口令令牌就可以登录所有允许他登录的系统。
在使用联创SSO安全网关后,用户更可以仅需要输入一次用户名、口令,就能对各个Web应用系统进行访问。
第三,安全控制力度得到了加强。
管理人员可以通过统一认证系统对各个系统上用户信息进行集中的管理,控制用户的访问范围和权限,对用户的认证、在线日志进行审计,使整个系统的安全管理水平得到极大的提高。
第四,减轻了管理人员的负担,提高工作效率。
管理人员不需要再象从前一样,必须登录各个系统上,才能进行用户帐户、口令的管理和维护;而是可以通过统一认证系统集中的完成,效率得到了提高,也减少由于在大量设备上进行操作,出现人为失误的可能。
第五,使用VPN远程接入认证,大大提高了企业办公效率。
作为电信企业,各部门之间各种信息如人员信息、帐务、计划、内部交流等的变化十分频繁,并要求能及时传达,因此对远程通讯的要求较高。
之前,江苏电信为了保障企业数据安全性,内外网是物理隔离的,远程用户访问内部网中的数据可以说是不可能的,这大大降低了人员的工作效率和对外提供服务的有效与及时性。
现在,在家或出差在外的公司职员只要能连接Internet公网,通过E-Securer的认证后就可以通过VPN安全可靠的访问企业内部资源,大大提高了办公效率。
第六,统一信息展示,大大提高了用户的使用休验满意度。
减少用户学习使用各种不同系统的学习时间。
1.6参考资料
2系统架构设计
2.1系统体系架构
采用B/S访问模式,通过J2EE工作流平台实现业务流转;提供强大的工作流处理能力,使得办公人员之间能够协同工作。
系统采用工作流技术,可以非常方便的修改应用系统的业务逻辑,甚至添加新的业务模块,从而适应需求的变化。
使用关系数据库(如:
Oracle)存储数据;提供强大的数据互连技术,能够很方便地实现与其他业务系统的集成。
*此版本OA系统适用于各种类型的企业应用,没有用户数的限制,随着用户数量的增加,硬件设备配置应适当提高。
•应用接入层提供信息浏览、服务定位、数据接入
•WEB用户界面,既提供了操作的方便性和灵活性,也降低了系统的维护成本。
•业务逻辑层是系统的核心,负责完成对系统操作的处理和业务逻辑的处理;实现业务逻辑处理、业务流程控制、消息通讯、业务管理等功能。
•数据访问层以统一/规范的接口形式为业务逻辑层、表示层提供访问和操作数据服务。
使系统在性能和功能方面都具有很好的扩充性。
2.2系统应用架构
Ø采用先进的三层体系,包括:
表现层、业务逻辑层、数据核心层(包括:
数据连接层和数据层)
Ø用户端采用零客户端方式,通过WEB浏览器进行访问;
Ø本系统采用J2EE技术,实现高性能、高扩展性、跨平台。
Ø采用开放式、跨平台技术,支持多种操作系统,例如WINDOWS/LINUX/UNIX等。
系统应用三层架构图
系统罗辑架构图
2.3系统网络架构
认证系统的核心网络是一个基于交换式的以太网络组成的高速网络。
系统部署在内网(LAN),内、外网间由防火墙保证系统的安全。
系统由两台服务器(数据库服务器+WEB服务器)组成.布署图如下:
3系统功能设计
3.1平台的总体框架
统一认证系统应定位为信息安全的基础平台,所以在制定实施方案时要充分考虑其总体架构的安全性、用户信息存储和访问的安全性、认证过程中认证信息传递的安全性。
统一认证系统是企业门户系统的其中一个支撑平台,所以在介绍统一认证系统前先介绍一下企业门户系统的总体框架和功能。
吉海统一认证平台在内容展现过程中,涉及用户访问策略管理、信息内容的个性化展示、跨系统单点登录等多方面内容。
我们可以将企业各系统的核心内容设计为三个支撑平台,即统一认证平台、统一资源管理平台和企业信息统一展示平台。
三个平台共同构成企业各系统及管理核心。
统一认证平台总体框架如下图所示:
统一认证平台总体框架图
总体框架图2
3.2统一认证平台
统一认证平台将为用户提供跨系统访问的单一认证服务功能。
统一认证平台在系统设计中,与企业各系统展现层的业务逻辑相对独立,其目的是为企业建立起完整的单点登录支撑平台。
将用户认证功能与企业各系统展现平台相分离的目的,是充分考虑用户的使用习惯以及未来的系统扩展。
用户在访问企业应用系统时,可以首先通过企业各系统的认证授权功能,获取访问其他应用系统的权限,实现单点登录;同时,用户也可以通过直接访问特定应用系统,由统一认证平台对用户进行认证,授予用户跨系统访问的权限。
通过统一认证平台,用户可以方便灵活的访问其所能访问的应用系统。
另外,将统一认证平台与企业门户系统相分离,可为今后的系统建设提供可扩展性,使新建系统能够方面的部署到企业门户系统访问体系中。
统一认证平台包括以统一用户管理、统一权限管理、统一认证管理、单点登录功能等几部分功能:
3.2.1统一用户管理
统一用户管理实现用户信息的集中管理,并提供标准接口。
统一用户管理的基本原理如下:
一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。
当用户需要使用多个应用系统时就会带来用户信息同步问题。
用户信息同步会增加系统的复杂性,增加管理的成本。
例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。
如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。
用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。
解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。
UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。
UUMS应具备以下基本功能:
1.用户信息规范命名、统一存储,用户ID全局惟一。
用户ID犹如身份证,区分和标识了不同的个体。
2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。
3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。
4.应用系统保留用户管理功能,如用户分组、用户授权等功能。
5.UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。
统一用户认证是以UUMS为基础,对所有应用系统提供统一的认证方式和认证策略,以识别用户身份的合法性。
统一用户认证应支持以下几种认证方式:
1.匿名认证方式:
用户不需要任何认证,可以匿名的方式登录系统。
2.用户名/密码认证:
这是最基本的认证方式。
3.PKI/CA数字证书认证:
通过数字证书的方式认证用户的身份。
4.IP地址认证:
用户只能从指定的IP地址或者IP地址段访问系统。
5.时间段认证:
用户只能在某个指定的时间段访问系统。
6.访问次数认证:
累计用户的访问次数,使用户的访问次数在一定的数值范围之内。
以上认证方式应采用模块化设计,管理员可灵活地进行装载和卸载,同时还可按照用户的要求方便地扩展新的认证模块。
认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。
管理员可以根据认证策略对认证方式进行增、删或组合,以满足各种认证的要求。
比如,某集团用户多人共用一个账户,用户通过用户名密码访问系统,访问必须限制在某个IP地址段上。
该认证策略可表示为:
用户名/密码“与”IP地址认证。
PKI/CA数字证书认证虽不常用,但却很有用,通常应用在安全级别要求较高的环境中。
PKI(PublicKeyInfrastructure)即公钥基础设施是利用公钥理论和数字证书来确保系统信息安全的一种体系。
在公钥体制中,密钥成对生成,每对密钥由一个公钥和一个私钥组成,公钥公布于众,私钥为所用者私有。
发送者利用接收者的公钥发送信息,称为数字加密,接收者利用自己的私钥解密;发送者利用自己的私钥发送信息,称为数字签名,接收者利用发送者的公钥解密。
PKI通过使用数字加密和数字签名技术,保证了数据在传输过程中的机密性(不被非法授权者偷看)、完整性(不能被非法篡改)和有效性(数据不能被签发者否认)。
数字证书有时被称为数字身份证,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。
身份验证机构的数字签名可以确保证书信息的真实性。
完整的PKI系统应具有权威认证机构CA(CertificateAuthority)、证书注册系统RA(RegistrationAuthority)、密钥管理中心KMC(KeyManageCenter)、证书发布查询系统和备份恢复系统。
CA是PKI的核心,负责所有数字证书的签发和注销;RA接受用户的证书申请或证书注销、恢复等申请,并对其进行审核;KMC负责加密密钥的产生、存贮、管理、备份以及恢复;证书发布查询系统通常采用OCSP(OnlineCertificateStatusProtocol,在线证书状态协议)协议提供查询用户证书的服务,用来验证用户签名的合法性;备份恢复系统负责数字证书、密钥和系统数据的备份与恢复。
3.2.2统一权限管理
通过平台对用户在各个业务系统的权限分配进行统一控制。
实现各业务系统对用户的权限控制、用户对各成员系统的权限控制。
用户向某业务系统申请分配权限时,需向该业务系统提供他的某些信息,这些信息就是用户提供给业务系统的权限,而成员站点通过统一身份认证后就可以查询用户信息,并给该用户分配权限,获得权限的用户通过统一身份认证后就可以以某种身份访问该业务系统。
在统一认证的前提下,按照指定的规则将用户划分为不同用户群,可以为相关业务系统提供会员鉴权服务,使各个子系统定制不同的会员服务等级。
3.2.3统一认证管理
用户认证是集中统一的,支持PKI、用户名/密码、B/S和C/S等多种身份认证方式。
统一身份认证是指多个系统的用户账号、密码等信息资源统一集中在网站统一认证鉴权中心,各个系统以中心数据作为用户认证的唯一依据。
用户可以通过相应接口来实现网站已有用户账号密码信息对于相关业务系统的共享,同时通过专有模块来进行各子系统权限控制
统一认证的两种方式
统一身份认证系统的核心思想是将用户统一存储,对应用系统统一授权,规范内容业务系统的用户认证方式,从而达到提高整个系统的整体性、可管理性和安全性的效果。
内容业务系统要想判断某一用户是否可以访问自己,必须和身份认证系统进行交互。
由身份认证系统负责对用户进行集中认证。
用户访问内容服务系统可以有两种方式:
通过宽带门户网站访问内容服务系统,或者是直接访问内容服务系统。
根据这两种访问方式身份认证系统要提供两种认证方式。
第一种认证方式:
用户直接登陆内容业务系统,内容业务系统将用户提供的用户名/密码等转发给统一身份认证服务以检验其是否通过授权。
流程如图1所示
图1第一种身份认证方式
第二种认证方式:
用户首先登录统一身份认证系统,验证其是否为合法注册用户,如果是合法用户可获取权限值。
由于合法用户不一定开通了所有的内容服务,所以使用这个权限值访问内容业务系统时,内容业务系统将根据该权限值与统一身份认证服务进行交互,以检验访问的合法性。
流程如图2所示
图2第二种身份认证方式
3.2.4单点登录功能
支持不同域内多个应用系统间的单点登录。
统一认证平台的SSO是指以平台的统一认证(鉴权信息集中)为基础,各个数据业务系统的用户认证采用单点登录认证模式,一次登录即可在各个业务子系统中完成相应的认证工作。
单点登录(SSO,SingleSign-on)是一种方便用户访问多个系统的技术,用户只需在登录时进行一次注册,就可以在多个系统间自由穿梭,不必重复输入用户名和密码来确定身份。
单点登录的实质就是安全上下文(SecurityContext)或凭证(Credential)在多个应用系统之间的传递或共享。
当用户登录系统时,客户端软件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文,安全上下文包含用于验证用户的安全信息,系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。
遗憾的是J2EE规范并没有规定安全上下文的格式,因此不能在不同厂商的J2EE产品之间传递安全上下文。
目前业界已有很多产品支持SSO,如IBM的WebSphere和BEA的WebLogic,但各家SSO产品的实现方式也不尽相同。
WebSphere通过Cookie记录认证信息,WebLogic则是通过Session共享认证信息。
Cookie是一种客户端机制,它存储的内容主要包括:
名字、值、过期时间、路径和域,路径与域合在一起就构成了Cookie的作用范围,因此用Cookie方式可实现SSO,但域名必须相同;Session是一种服务器端机制,当客户端访问服务器时,服务器为客户端创建一个惟一的SessionID,以使在整个交互过程中始终保持状态,而交互的信息则可由应用自行指定,因此用Session方式实现SSO,不能在多个浏览器之间实现单点登录,但却可以跨域。
3.3统一资源管理
3.3.1概述
统一资源管理平台将作为系统的资源管理支持平台,支撑整个企业各系统的访问策略管理,以及企业内部信息系统的资源管理,为用户访问企业内部信息与资源提供桥梁管理作用,使用户能够根据所用户的权限、角色迅速访问到其所关心的信息。
同时,统一资源管理平台也是企业门户系统展现层的策略管理应用的支撑平台,并为统一认证平台提供了认证管理手段。
3.3.2其它,二期描述
统一资源管理属二期实现内容,以后描述,但在项目规划初期,要充分考虑此部分内容在平台中的位置,及扩展性和兼容性。
3.4统一信息展现
3.4.1概述
应用系统可通过配置集成统一的信息综合展示界面,同时,也可为用户定制个性化的工作界面。
3.4.2其它,二期描述
统一信息展现属二期实现内容,以后描述,但在项目规划初期,要充分考虑此部分内容在平台中的位置,及扩展性和兼容性。
4实现技术方案
4.1统一认证实现技术
4.1.1认证流程
统一认证流程图如下:
1)用户登录统一认证系统;
2)统一认证系统显示成功登录;
3)用户通过统一认证系统上的链接连接到业务系统;
4)业务系统向统一认证系统提交认证请求;
5)统一认证系统验证用户已经登录;
6)统一认证系统生成该用户的BSToken,返回给业务系统;
7)业务系统向用户返回相应页面。
在上述流程中,要确保用户输入、提交帐号密码的过程必须在SSL通道上进行
4.1.2CA认证技术
通过CA技术实现平台用户的数字证书申请、签发和管理;
4.1.3BSToken和UserToken
统一认证系统通过使用BSToken和UserToken实现一点登录的功能。
其中,BSToken包含用户登录信息和在该BS(业务系统)上的授权信息,由业务系统负责保存;UserToken包含用户的登录信息,由统一认证系统负责保存。
在统一认证系统的用户有一个唯一的身份标识,统一认证系统通过该身份标识确定用户的身份。
当用户登录到统一认证系统后,统一认证系统根据用户信息生成UserToken,用于标识用户的身份。
当用户通过统一认证系统的链接访问业务系统时,业务系统通过重定向技术向网上客服中心提交身份验证请求,网上客服中心判断UserToken的合法性,通过,则生成BSToken并返回给业务系统,业务系统根据BSToken,可以得知用户的合法性,从而可以为之提供服务,同时保存BSToken。
当用户再次访问业务系统时,业务系统可以根据自身保存的BSToken进行判断,而不需要向网上客服中心提交身份验证请求。
4.1.4统一认证的有效期
为了提高安全性,BSToken具有有效期属性,当超过有效期后,BSToken不再有效。
此时业务系统需要在用户访问时再次通过重定向技术向网上客服中心提交身份验证请求,获得新的BSToken。
同样,UserToken也具有有效期属性,当超过有效期后,UserToken不再有效。
统一认证系统需要让用户再次输入帐号密码,进行身份验证,生成新的UserToken。
当统一认证系统接收到业务系统提交的身份验证请求时,除了返回验证结果,还需要延长相应UserToken的有效期。
4.2统一认证接口
4.2.1接口描述
统一认证平台的目的是通过统一认证的方式实现企业所属的全部系统的统一登录,而不用二次登录。
也就是说企业所属的全部系统都可以通过统一认证平台的统一认证方式登录,而不用对不同的系统进行分别登录。
统一认证接口可以分为B/S系统认证接口、C/S系统认证接口与数据接口三种接口。
4.2.2B/S系统认证接口
B/S系统的认证接口主要是指统一认证平台根据B/S系统的登录页面的用户帐号参数和密码参数自动授与用户帐号和密码直接调用B/S系统的登录验证页面进行B/S系统的登录,做到B/S系统的自动登录效果。
要求提供各个要进行统一认证系统的登录页面的用户帐号参数和密码参数,以及登录验证页面的URL。
统一认证系统根据其预先保存的业务系统IP地址以及颁发给业务系统的密钥来辨认业务系统的身份。
1)请求认证
接口采用重定向方式。
接口方法为:
http:
//www.****.com:
80/login?
BSTokenRequest=BSTokenRequestValue
BSTokenReques