某軍工單位是我國規模最大、體系最完整、集軍民品生產(chǎn)科研為一體的特大型工業(yè)生產(chǎn)科研基地,目前已經(jīng)建設了多個(gè)業(yè)務(wù)系統為生產(chǎn)、科研任務(wù)服務(wù),形成了由大量的網(wǎng)絡(luò )設備、操作系統、數據庫系統、應用系統構成的信息系統運行環(huán)境,業(yè)務(wù)部門(mén)在業(yè)務(wù)開(kāi)展中對信息系統的依賴(lài)程度也日益增加,員工必須訪(fǎng)問(wèn)多個(gè)系統以完成必要的日常工作,信息系統在提高業(yè)務(wù)處理效率的同時(shí),也為員工的使用帶來(lái)了一些不便之處。
二、項目需求
為了解決當前業(yè)務(wù)系統使用上的實(shí)際問(wèn)題,時(shí)代億信認真分析公司系統現狀,提出了以下建設目標:
-
建立統一認證平臺,實(shí)現對業(yè)務(wù)系統的統一認證、單點(diǎn)登錄和訪(fǎng)問(wèn)控制。
-
統一認證平臺分兩級部署,以便分別管理各自范圍內的業(yè)務(wù)系統,實(shí)現與業(yè)務(wù)系統的帳號信息同步。
-
統一認證平臺實(shí)現管理員分級管理。
-
兩級統一認證平臺之間實(shí)現信息同步,兩級應用系統在任意一級平臺上都能進(jìn)行用戶(hù)認證;
-
對C/S業(yè)務(wù)系統提供認證、單點(diǎn)登錄接入;
-
實(shí)現用戶(hù)對業(yè)務(wù)系統的訪(fǎng)問(wèn)控制。
三、項目建設效果
3.1整體體系結構
體系組成說(shuō)明:
總部統一認證平臺
總部統一認證平臺基于CA數字證書(shū)認證的智能密鑰身份認證方式,通過(guò)數字證書(shū)、數字簽名等機制充分保證認證過(guò)程的安全性。平臺整合多個(gè)業(yè)務(wù)系統,通過(guò)對用戶(hù)身份的統一認證和訪(fǎng)問(wèn)控制,實(shí)現各個(gè)業(yè)務(wù)系統的單點(diǎn)登錄。
總部統一認證平臺負責集中簽發(fā)數字證書(shū),作為用戶(hù)登錄認證的唯一憑證。
下屬單位統一認證平臺
下屬單位統一認證平臺基于CA數字證書(shū)認證的智能密鑰身份認證方式,通過(guò)數字證書(shū)、數字簽名等機制充分保證認證過(guò)程的安全性。平臺整合多個(gè)業(yè)務(wù)系統,通過(guò)對用戶(hù)身份的統一認證和訪(fǎng)問(wèn)控制,實(shí)現各個(gè)業(yè)務(wù)系統的單點(diǎn)登錄。
下屬單位統一認證平臺負責收集用戶(hù)證書(shū)申請信息,提交到總部統一認證平臺進(jìn)行簽發(fā)。
3.2單點(diǎn)登錄
用戶(hù)在通過(guò)統一認證平臺認證后,可直接訪(fǎng)問(wèn)已授權的各應用系統,實(shí)現不同應用系統的身份認證共享,從而達到多應用系統的單點(diǎn)登錄。
公司現有的業(yè)務(wù)系統比較多,對業(yè)務(wù)系統的維護情況也各有差異,因此根據現有情況對進(jìn)行必要的改造。
在可以改造的業(yè)務(wù)系統使用插件方式的單點(diǎn)登錄。
不可以改造的業(yè)務(wù)系統使用反向代理方式的單點(diǎn)登錄。
插件方式
插件方式為緊耦合改造方式,采用集成插件的方式與統一認證平臺的SSO認證服務(wù)進(jìn)行交互驗證用戶(hù)信息,完成應用系統單點(diǎn)登錄。緊耦合方式提供多種API,通過(guò)簡(jiǎn)單調用即可實(shí)現SSO。
J2EE JAR包
ASP/.net COM組件
Domino DSAPI
對于有原廠(chǎng)商配合開(kāi)發(fā)的應用系統,可以使用該方式高效地接入統一認證平臺。
插件方式下通過(guò)平臺訪(fǎng)問(wèn)應用系統的流程如下:
(1)用戶(hù)在統一認證平臺上點(diǎn)擊訪(fǎng)問(wèn)的應用系統URL鏈接;
(2)由統一認證平臺驗證用戶(hù)權限,有權限則在平臺數據庫中查詢(xún)用戶(hù)和應用系統的關(guān)聯(lián)表,無(wú)權限則提示用戶(hù)無(wú)權訪(fǎng)問(wèn);
(3)如關(guān)聯(lián)表中無(wú)相應記錄,則該用戶(hù)未授權,不允許訪(fǎng)問(wèn);如關(guān)聯(lián)表中有相應記錄,則平臺服務(wù)器提取用戶(hù)在該應用系統中的身份信息,送至SSO服務(wù)加密簽名形成數字信封后,返還給統一認證平臺;
(4)由平臺將加密信息發(fā)送給相應的應用系統;
(5)應用系統調用SSO API,對加密信息進(jìn)行解密,得到用戶(hù)身份信息并返回給應用系統;
(6)應用系統收到用戶(hù)身份信息后通過(guò)信任機制允許用戶(hù)訪(fǎng)問(wèn)應用系統。
反向代理方式
用戶(hù)先登錄進(jìn)入統一認證平臺,然后利用反向代理技術(shù),使得通過(guò)認證后的用戶(hù)可以直接訪(fǎng)問(wèn)進(jìn)入有權限的業(yè)務(wù)系統。
這種方式下業(yè)務(wù)系統基本不需改動(dòng)和開(kāi)發(fā),對于不能作改動(dòng)或沒(méi)有原廠(chǎng)商配合的業(yè)務(wù)系統,可以使用該方式接入統一認證平臺。實(shí)現上,采用SSO服務(wù)和SSOAgent進(jìn)行交互驗證用戶(hù)信息,完成業(yè)務(wù)系統單點(diǎn)登錄。
反向代理登錄方式下通過(guò)統一認證平臺訪(fǎng)問(wèn)業(yè)務(wù)系統的流程如下:
(1)用戶(hù)在統一認證平臺提供的用戶(hù)頁(yè)面上點(diǎn)擊訪(fǎng)問(wèn)的業(yè)務(wù)系統URL鏈接;
(2)由統一認證平臺驗證用戶(hù)權限,有權限則在統一認證平臺數據庫中查詢(xún)用戶(hù)和業(yè)務(wù)系統的關(guān)聯(lián)表,無(wú)權限則提示用戶(hù)無(wú)權訪(fǎng)問(wèn);
(3)如關(guān)聯(lián)表中無(wú)相應記錄,則瀏覽器彈出建立關(guān)聯(lián)的頁(yè)面;如關(guān)聯(lián)表中有相應記錄,則平臺服務(wù)器提取用戶(hù)和業(yè)務(wù)系統的關(guān)聯(lián)信息,送至SSO服務(wù)加密簽名形成數字信封后,返還給平臺;
(4)由統一認證平臺將加密信息發(fā)送給業(yè)務(wù)系統前端的SSO Agent;
(5)SSO Agent收到加密信息后進(jìn)行解密,并向業(yè)務(wù)系統提交用戶(hù)關(guān)聯(lián)信息;
(6)業(yè)務(wù)系統收到用戶(hù)關(guān)聯(lián)信息后進(jìn)行驗證,驗證成功則允許用戶(hù)訪(fǎng)問(wèn)應用,失敗則提示用戶(hù)更新關(guān)聯(lián)信息。
3.3 帳號集中管理
公司統一認證平臺中的用戶(hù)帳號信息統一管理組件基于關(guān)系型數據庫,用于存儲用戶(hù)的帳號信息,并實(shí)現對接入平臺的所有應用系統均可以同步帳號信息,節省了用戶(hù)投入,實(shí)現了資源利用最大化。
帳號集中管理
統一認證平臺內置應用帳號管理組件,提供了對多個(gè)業(yè)務(wù)系統的用戶(hù)帳號信息集中管理,并與企業(yè)現有AD系統無(wú)縫結合,滿(mǎn)足多種類(lèi)型的連接和互操作標準。
帳號管理實(shí)現的功能如下:
(1)管理員可在一點(diǎn)操作,實(shí)現對各業(yè)務(wù)系統帳號的注冊、變更和注銷(xiāo)管理;
(2)保證用戶(hù)帳號唯一性,實(shí)現操作可追溯,可定責;
(3)集成AD帳號信息;
(4)提供兩級信息自動(dòng)同步功能,可實(shí)現用戶(hù)信息的分級管理。
帳號同步
統一認證平臺的帳號管理功能通過(guò)標準的Web Service接口,向各個(gè)業(yè)務(wù)系統自動(dòng)同步帳號信息。
3.4 統一授權
統一認證平臺通過(guò)統一授權功能,可對用戶(hù)組與業(yè)務(wù)系統或資源的關(guān)聯(lián)關(guān)系,角色與應用系統或資源的關(guān)聯(lián)關(guān)系進(jìn)行創(chuàng )建和維護,以此來(lái)完成用戶(hù)對應用系統與資源訪(fǎng)問(wèn)的授權。
公司根據系統現狀選擇了實(shí)體級授權方式。
實(shí)體級授權主要指用戶(hù)可以訪(fǎng)問(wèn)哪些資源(包括系統和應用)的授權。
業(yè)務(wù)系統的實(shí)體級授權主要通過(guò)統一用戶(hù)管理、統一認證、統一授權功能的相互配合完成:
(1)根據用戶(hù)的權限策略制定相應的ACL(訪(fǎng)問(wèn)控制列表);
(2)將制定的ACL通過(guò)附屬到組中形成一定顆粒度的授權單元;
(3)當一個(gè)用戶(hù)進(jìn)行實(shí)體級授權時(shí),可以通過(guò)在統一用戶(hù)管理功能中分配權限組的方式對用戶(hù)進(jìn)行授權。
四、經(jīng)驗總結
“軍工單位統一認證工程”的成功經(jīng)驗總結如下:
1.采用時(shí)代億信UAP統一認證與訪(fǎng)問(wèn)控制系統產(chǎn)品,擁有良好的產(chǎn)品成熟度,豐富的標準接口,可快速實(shí)施上線(xiàn)并滿(mǎn)足多種開(kāi)發(fā)語(yǔ)言、多種類(lèi)型的業(yè)務(wù)系統接入需求。
2.采用分級部署、分級管理模式,實(shí)現與業(yè)務(wù)系統現狀的無(wú)縫對接。
3.內置CA系統,與用戶(hù)管理功能直接集成,添加用戶(hù)自動(dòng)簽發(fā)證書(shū),提高了管理員工作效率,減少了維護工作量。
4.單點(diǎn)登錄接入方式完善,對公司已有的C/S架構業(yè)務(wù)系統提供了良好支撐,可以在業(yè)務(wù)系統不做改動(dòng)或少量改動(dòng)情況下,實(shí)現單點(diǎn)登錄與訪(fǎng)問(wèn)控制。
5.時(shí)代億信UAP統一認證與訪(fǎng)問(wèn)控制系統產(chǎn)品經(jīng)過(guò)國家保密局檢測,具備管理員三員分立、智能卡PIN碼安全策略、管理平臺安全防護等安全保護措施,并在源代碼層面進(jìn)行了安全加固與抗反向工程,有效保證了企業(yè)網(wǎng)絡(luò )的使用安全。
