某军工单位是我国规模最大、体系最完整、集军民品生产科研为一体的特大型工业生产科研基地,目前已经建设了多个业务系统为生产、科研任务服务,形成了由大量的网络设备、操作系统、数据库系统、应用系统构成的信息系统运行环境,业务部门在业务开展中对信息系统的依赖程度也日益增加,员工必须访问多个系统以完成必要的日常工作,信息系统在提高业务处理效率的同时,也为员工的使用带来了一些不便之处。
二、项目需求
为了解决当前业务系统使用上的实际问题,时代亿信认真分析公司系统现状,提出了以下建设目标:
-
建立统一认证平台,实现对业务系统的统一认证、单点登录和访问控制。
-
统一认证平台分两级部署,以便分别管理各自范围内的业务系统,实现与业务系统的帐号信息同步。
-
统一认证平台实现管理员分级管理。
-
两级统一认证平台之间实现信息同步,两级应用系统在任意一级平台上都能进行用户认证;
-
对C/S业务系统提供认证、单点登录接入;
-
实现用户对业务系统的访问控制。
三、项目建设效果
3.1整体体系结构
体系组成说明:
总部统一认证平台
总部统一认证平台基于CA数字证书认证的智能密钥身份认证方式,通过数字证书、数字签名等机制充分保证认证过程的安全性。平台整合多个业务系统,通过对用户身份的统一认证和访问控制,实现各个业务系统的单点登录。
总部统一认证平台负责集中签发数字证书,作为用户登录认证的唯一凭证。
下属单位统一认证平台
下属单位统一认证平台基于CA数字证书认证的智能密钥身份认证方式,通过数字证书、数字签名等机制充分保证认证过程的安全性。平台整合多个业务系统,通过对用户身份的统一认证和访问控制,实现各个业务系统的单点登录。
下属单位统一认证平台负责收集用户证书申请信息,提交到总部统一认证平台进行签发。
3.2单点登录
用户在通过统一认证平台认证后,可直接访问已授权的各应用系统,实现不同应用系统的身份认证共享,从而达到多应用系统的单点登录。
公司现有的业务系统比较多,对业务系统的维护情况也各有差异,因此根据现有情况对进行必要的改造。
在可以改造的业务系统使用插件方式的单点登录。
不可以改造的业务系统使用反向代理方式的单点登录。
插件方式
插件方式为紧耦合改造方式,采用集成插件的方式与统一认证平台的SSO认证服务进行交互验证用户信息,完成应用系统单点登录。紧耦合方式提供多种API,通过简单调用即可实现SSO。
J2EE JAR包
ASP/.net COM组件
Domino DSAPI
对于有原厂商配合开发的应用系统,可以使用该方式高效地接入统一认证平台。
插件方式下通过平台访问应用系统的流程如下:
(1)用户在统一认证平台上点击访问的应用系统URL链接;
(2)由统一认证平台验证用户权限,有权限则在平台数据库中查询用户和应用系统的关联表,无权限则提示用户无权访问;
(3)如关联表中无相应记录,则该用户未授权,不允许访问;如关联表中有相应记录,则平台服务器提取用户在该应用系统中的身份信息,送至SSO服务加密签名形成数字信封后,返还给统一认证平台;
(4)由平台将加密信息发送给相应的应用系统;
(5)应用系统调用SSO API,对加密信息进行解密,得到用户身份信息并返回给应用系统;
(6)应用系统收到用户身份信息后通过信任机制允许用户访问应用系统。
反向代理方式
用户先登录进入统一认证平台,然后利用反向代理技术,使得通过认证后的用户可以直接访问进入有权限的业务系统。
这种方式下业务系统基本不需改动和开发,对于不能作改动或没有原厂商配合的业务系统,可以使用该方式接入统一认证平台。实现上,采用SSO服务和SSOAgent进行交互验证用户信息,完成业务系统单点登录。
反向代理登录方式下通过统一认证平台访问业务系统的流程如下:
(1)用户在统一认证平台提供的用户页面上点击访问的业务系统URL链接;
(2)由统一认证平台验证用户权限,有权限则在统一认证平台数据库中查询用户和业务系统的关联表,无权限则提示用户无权访问;
(3)如关联表中无相应记录,则浏览器弹出建立关联的页面;如关联表中有相应记录,则平台服务器提取用户和业务系统的关联信息,送至SSO服务加密签名形成数字信封后,返还给平台;
(4)由统一认证平台将加密信息发送给业务系统前端的SSO Agent;
(5)SSO Agent收到加密信息后进行解密,并向业务系统提交用户关联信息;
(6)业务系统收到用户关联信息后进行验证,验证成功则允许用户访问应用,失败则提示用户更新关联信息。
3.3 帐号集中管理
公司统一认证平台中的用户帐号信息统一管理组件基于关系型数据库,用于存储用户的帐号信息,并实现对接入平台的所有应用系统均可以同步帐号信息,节省了用户投入,实现了资源利用最大化。
帐号集中管理
统一认证平台内置应用帐号管理组件,提供了对多个业务系统的用户帐号信息集中管理,并与企业现有AD系统无缝结合,满足多种类型的连接和互操作标准。
帐号管理实现的功能如下:
(1)管理员可在一点操作,实现对各业务系统帐号的注册、变更和注销管理;
(2)保证用户帐号唯一性,实现操作可追溯,可定责;
(3)集成AD帐号信息;
(4)提供两级信息自动同步功能,可实现用户信息的分级管理。
帐号同步
统一认证平台的帐号管理功能通过标准的Web Service接口,向各个业务系统自动同步帐号信息。
3.4 统一授权
统一认证平台通过统一授权功能,可对用户组与业务系统或资源的关联关系,角色与应用系统或资源的关联关系进行创建和维护,以此来完成用户对应用系统与资源访问的授权。
公司根据系统现状选择了实体级授权方式。
实体级授权主要指用户可以访问哪些资源(包括系统和应用)的授权。
业务系统的实体级授权主要通过统一用户管理、统一认证、统一授权功能的相互配合完成:
(1)根据用户的权限策略制定相应的ACL(访问控制列表);
(2)将制定的ACL通过附属到组中形成一定颗粒度的授权单元;
(3)当一个用户进行实体级授权时,可以通过在统一用户管理功能中分配权限组的方式对用户进行授权。
四、经验总结
“军工单位统一认证工程”的成功经验总结如下:
1.采用时代亿信UAP统一认证与访问控制系统产品,拥有良好的产品成熟度,丰富的标准接口,可快速实施上线并满足多种开发语言、多种类型的业务系统接入需求。
2.采用分级部署、分级管理模式,实现与业务系统现状的无缝对接。
3.内置CA系统,与用户管理功能直接集成,添加用户自动签发证书,提高了管理员工作效率,减少了维护工作量。
4.单点登录接入方式完善,对公司已有的C/S架构业务系统提供了良好支撑,可以在业务系统不做改动或少量改动情况下,实现单点登录与访问控制。
5.时代亿信UAP统一认证与访问控制系统产品经过国家保密局检测,具备管理员三员分立、智能卡PIN码安全策略、管理平台安全防护等安全保护措施,并在源代码层面进行了安全加固与抗反向工程,有效保证了企业网络的使用安全。
