统一身份管理(精选八篇)
统一身份管理 篇1
关键词:身份管理,单点登录,功能设计
广义地说, 身份管理可描述为企业能够建立并管理IT系统使用人员的数字身份, 定义谁进入哪个系统并保护私人和业务机密信息的一套业务流程、政策和技术。过去, 身份管理主要是防止未获得授权的用户访问特定数据。如今, 身份管理正在朝着让可以信任的、经过认证的用户访问Web服务和应用这样的模式发展。随着信息化水平的提高, 信息系统的数量逐渐增多, 用户身份和访问管理也变得越来越复杂, 企业需要在授予用户IT资源访问权限的同时, 有效而精确地管理用户。
1 系统建设背景
近年来, 燕山石化紧紧围绕自身的发展战略和主营业务开展信息化工作, 积极推进以ERP为主线的信息化建设与深化应用工作, 基本建成了以ERP为核心的经营管理平台、以MES为核心的生产执行平台、以及其他信息基础设施与运维平台。但随着IT应用的不断深化与拓展, 应用系统逐渐增多, 涉及的业务范围不断扩大, 用户对应用系统的依赖程度越来越高, 用户因业务需要而使用多个应用系统的情况也越来越多。信息化应用的高速发展在为燕山石化在企业管理和生产经营方面带来巨大收益的同时, 也为应用系统的建设、管理和运维带来了更多的挑战, 提出更高的要求。同时, 随着企业的发展, 各种业务不断调整, 人员调动频繁, 导致企业信息系统用户信息越来越复杂, 这也极大增加了IT用户管理的成本, 并可能产生诸多安全风险, 客观上对实现用户统一身份管理的需求越来越迫切。
2 系统功能设计
燕山石化统一身份管理系统的功能主要包括用户管理、审计管理、认证和访问管理三部分。其中, 用户管理主要实现用户身份管理、组织管理、账号管理、角色管理、口令管理等, 认证和访问管理主要实现统一认证和单点登录功能, 审计管理部分主要实现系统账号管理审计、用户行为审计、合规账号审计, 日志分析等功能。统一身份系统功能设计图如图1所示。
2.1 用户管理。
用户管理是用户统一身份管理系统建设的重要组成部分。用户统一身份管理系统的管理原则是: (1) 集中部署:用户身份信息、组织信息等集中在集团总部中心系统内, 作为中国石化权威的人员信息库。 (2) 统一管理:用户信息的梳理、配置、维护等操作管理部分, 由集团总部中心集中提供服务, 委托区域中心管理。 (3) 分散应用:用户信息由集团总部中心系统以子集或全集的方式同步到企业, 使企业享有本地用户信息资源。
2.2 访问管理。
访问管理是用户统一身份管理系统建设的重要组成部分。本系统核心技术采用单点登录 (SSO) 技术实现统一的安全认证, 用户只需要进行一次登录, 就可以访问到所有已授权信息系统。访问管理主要组成要素有:统一访问、用户统一身份认证、授权管理、单点登录、访问控制。SSO系统包括了统一的访问系统、集中身份认证系统, 实现对各个信息系统的一站式登录。
2.3 审计管理。
实现对统一身份系统的审计管理, 为安全审计平台提供必要接口。审计管理包含审计日志管理、账号管理审计、用户行为审计、审计报表等功能。
3 系统实现
统一身份系统组件主要包括:身份管理服务、数据同步和账号管理接口服务、统一认证服务云、统一接入服务和身份管理系统核心数据存储服务 (统一目录服务LDAP) 。
3.1 统一身份子节点。
(1) 在燕山石化建设统一身份管理子节点, 部署基础信息LDAP服务, 存储用户及组织机构、角色等, 提供统一认证功能。 (2) 燕山石化统一身份管理子节点用户数据和组织机构等数据完全与总部HR系统中的数据保持一致。 (3) 燕山石化各应用系统的账号由应用系统管理员统一开设, 通过统一接口服务向燕山石化各应用推送数据。 (4) 燕山石化统一认证服务基于燕山石化本地LDAP服务, 提供燕山石化各应用统一认证及单点登录服务。
3.2 账号管理。
统一身份管理系统的账号管理功能根据应用系统类型的不同提供了两种接入方式: (1) 适配器模式。 (2) 消息模式。
3.3 应急管理。
为保证各应用系统认证服务的可靠性, 燕山石化统一身份管理系统进行了系统容错冗余设计, 当本地认证服务失败时, 自动寻找中石化总部的认证服务。当总部与燕山石化统一身份管理子节点同时失效或发生异常情况时, 燕山石化各应用系统立即切换到应急模式, 按照应用的不同, 应急方式也不完全相同。
4 应用效果
燕山石化统一身份管理系统于2013年5月启动, 同年10月18日上线试运行。系统运行以来, 在身份管理、单点登录等方面取得了较好的运行效果。
结语
燕山石化公司率先在中石化炼化企业范围内建设并使用了统一身份管理系统, 实现了信息系统用户实名制和全生命周期管理;使用证书认证, 提高了系统登录安全等级;实现系统单点登录, 用户只需记录一套密码, 提高了用户使用信息系统的满意度。
参考文献
[1]陈志德, 黄欣沂, 许力.身份认证安全协议理论与应用[M].北京:电子工业出版社, 2015.
统一身份管理 篇2
面临的威胁:
各种应用系统都使用独立的用户名和密码,员工职位变更给管理员带来很大的工作量,并容易造成安全漏洞;
计算机的使用难以控制,经常发生不同部门计算机串用的情况,需要增强对计算机的授权使用;
各种单位的信息资源,包括外设、网络和应用等资源的使用无法进行授权管理,造成资料浪费或者管理出现漏洞;
口令认证方式容易被攻击,尤其是领导管理人员,通常使用简单的口令,容易被员工冒充身份,
Chinasec解决之道:
提供基于硬件USB Key、数字证书或者指纹的高强度多种认证方式,支持用户注册、挂起、授权和注销等整个生命周期的集中管理;
提供基于Windows系统增强的认证,可以对计算机的使用权限进行集中授权,只有被授权的用户才能够登录指定的计算机;
通过Chinasec安全网关,可以对不同的应用系统服务器进行统一的认证授权,方便快捷;
可以对各种类型的计算机外设进行授权,根据不同用户和不同的计算机设置不同的权限;
可以对各种应用程序使用进行授权,根据不同用户和不同的计算机设置不同的权限;
可以对各种网络应用协议、网络地址和网络端口等进行授权,根据不同用户和不同的计算机设置不同的权限;
可以对打印、移动存储介质使用以及文件权限等进行授权;
提供详细的审计记录,并对试图违反授权规则的行为进行记录。
统一身份管理 篇3
关键词:基于HR流程,身份管理,授权管理
引言
秦山核电做为国内最大的核电基地, 在信息化建设过程中, 逐步形成了目前以3E (ERP、EAM、ECM) 系统为核心, 辅以决策支持系统、技术支持系统、应急指挥系统、管理支持平台以及综合信息系统的八大信息系统架构, 信息化的不断深入, 不仅在生产运行和经营管理方面为秦山核电提供了巨大的助益, 同时也在信息系统运维、用户身份管理、授权管理、安全管理方面提出了更高的要求, 对实现统一身份管理的需求越发迫切。秦山核电在借鉴身份管理经典方法论的基础上, 结合自身管理特点, 将员工入职、调岗、晋升、离退休、离职等HR流程融入信息系统授权流程中, 将HR流程贯穿于整个用户身份生命周期管理中, 设计并实现了一套基于HR流程的统一身份授权管理平台。
一、平台功能设计与实现
1.1统一身份授权管理平台设计思路。用户身份信息来源于HR人事信息, 用户身份管理自员工入职开始, 用户身份信息根据HR流程变化, HR流程也是用户授权流程, 信息系统授权调整是HR流程的一个组成部分, 用户身份、HR流程、信息系统授权紧密相关, 完成HR流程的同时完成所有相关变更, 统一身份授权管理平台是HR流程在IT管理层面的延伸。
1.2主要功能。统一身份授权管理平台具有统一认证中心和统一身份管理两大功能主件, 包括用户管理、组织管理、应用管理、认证和访问管理、流程管理、任务管理、接口管理、审计管理、用户工作台9大功能, 其详细说明如下:
用户管理:包含用户基础信息管理、组织关系管理、账号管理、角色管理, 是身份管理的基础。用户身份信息来源于人事管理系统, 执行员工入职流程时, 进入统一身份授权管理平台起开始纳入身份管理范围。用户管理明确描述用户是谁、是什么类型的用户、属于哪个组织机构、已开通哪些系统账号以及与之对应的账号是什么、属于什么角色、现有授权有效期、状态等信息。
组织管理:将组织机构按类型分为:行政、党委、工会、团委4类进行管理, 4类组织机构信息分别来源于不同的管理系统, 统一身份授权管理平台将4类组织机构信息汇总做为信息系统组织机构主数据, 其它信息系统组织机构信息均与统一身份授权管理平台进行同步, 考虑到很多套装软件有其单独定义的组织机构编码规则, 组织管理还具备定义标准组织机构代码与其它信息系统组织机构代码映射功能。组织管理明确描述组织机构名称、代码、层级关系、类型、状态、负责人、主管领导等信息。
应用管理:用于接入统一身份授权管理平台管理的信息系统管理, 管理其账号管理接口、组织机构同步接口、单点登录访问方式、账号命名规则配置、授权流程配置、系统管理员配置、账号自动开通策略、组织机构同步类型配置。
认证和访问管理:用于配置认证方式、密码复杂度以及实现接入统一身份授权管理平台管理的信息系统单点登录, 支持3种单点登录访问方式:LTPA、Oauth、SAML。
流程管理:用于接入系统授权流程定义, 包括账号开通流程、授权变更流程。
任务管理:为HR流程执行提供辅助服务, 用于调岗、离职等场景下用户所承担未完结工作的交接, 任务数据来源于各信息系统。
接口管理:接口均通过ESB平台接入, 支持诸如websevice、http、MQ等多种接入方式, 结合ESB监控系统, 对统一身份授权管理平台与各系统间接口运行状况进行监控。
审计管理:具有用户管理审计、账号管理审计、登录访问审计、应用访问审计、接口调用审计功能。
用户工作台:具有修改密码及设置找回密码方式、提供各接入系统单点登录访问入口、系统授权申请入口等功能。
1.3高可靠性设计。平台部署采用了冗余设计, 并通过F5负载均衡设备以及WAS应用集群实现负载均衡, 保证平台高可用性同时, 使平台具备横向扩展能力, 以便在需要时能通过新增加应用节点的方式快速提升平台负载能力。同时平台在设计时也采用应急管理机制, 各接入系统均具有独立的账号模块和登录入口, 密码与统一身份授权管理平台保持同步, 在平台不可能状态下, 各接入系统可通过启用自身的登录入口, 快速恢复使用, 不影响正常业务处理。
二、结语
秦山核电统一身份授权管理平台于2015年12月上线使用, 平台在经典身份管理方法论基础上结合秦山核电实际管理特点, 将HR流程融入身份管理、授权管理中, 实现了信息系统账号实名制管理以及用户身份的全生命周期管理, 实现了信息系统单点登录, 实现了执行HR流程同时完成信息系统账号开通、授权流程, 实现了账号信息和组织机构信息的同步, 用户只需记忆一套账号密码, 方便用户使用, 提升了用户满意度, 系统管理员可以从原本繁琐的账号、组织机构创建调整停用工作中摆脱出来, 降低了管理维护成本, 系统管理员可以将更多的精力投入到系统运行维护中来, 也有助于系统的稳定运行。将HR流程融入身份管理、授权管理中, 固化入职-创建账号-增加授权以及离职-停用账号-取消授权管理流程, 可以有效避免人员再次入职时获得非正式授权权限, 提升了授权管理的缜密性, 促进了秦山核电信息化管理水平。
参考文献
统一身份认证系统的实现 篇4
随着科学技术及信息化量的不断提高, 应用在各政府机构、企业单位中的信息系统数量也越来越多, 这些应用系统在实现的功能、技术、范围等方面都有不同, 但它们都需要有一个鉴别使用者身份的数据和信息。但由于各个应用系统的架构均不同, 所以, 系统的认证工作都是要通过各系统本身的认证模块得以实现。这种认证方式存在着许多不足之处, 如:有多个系统就会有多个用户名及密码, 容易造成多个用户密码及口令的混乱;另外, 在数据信息共享方面也很难得以统一;还有就是各应用系统的信息安全性从总体的角度考虑存在安全隐患;在系统维护方面, 会出现重复开发, 代价大等等不足的现象。从以上情况来看, 各个应用系统需要有一个集中的统一身份认证来解决这些问题。建立了这样的一个统一身份认证后就可以在各应用系统之间建立数据交换, 使得应用系统和统一身份认证系统能较好地共享和使用信息资源, 真正为各应用系统架起一架桥梁, 这样的一种模型就是统一身份认证应用模型。
2 统一身份认证系统的功能实现
2.1 用户注册
用户注册是每个用户首先要做的一个事情, 就是用户在系统当中写入用户的基本的信息资料, 这个资料是用户在使用统一身份认证系统中的唯一的凭证, 也是进行相关操作的依据, 因此非常重要。用户注册功能实际上包括了用户信息存储和用户信息的修改二个功能, 用户信息存储就是说新增加的用户将用户的基本的信息资料写入到系统中去, 具体的详细过程如下:
首先, 用户通过合适的系统定位器进入到系统用户信息注册的界面;新用户在这个界面当中向系统提出用户注册请求;系统接收到用户请求后对这个请求进行处理, 在用户注册服务查询系统中对用户注册数据库的信息进行比对, 如果用户不存在就将请求的用户注册信息存储到用户注册库当中, 如果存在就拒绝用户的请求, 并将处理的结果返回用户。
接着, 系统首先判断用户提交的输入信息是否合法, 也就是数据类型是否正确, 如果输入的用户信息合法, 那么系统会将用户的输入信息添加到数据库中。如果数据库操作成功, 那么系统会将该用户信息添加到轻量访问协议LDAP (Lightweight Directory Access Protocol) 服务器上。如果数据库操作失败, 那么直接跳转到错误画面;如果输入的用户信息不合法, 那么直接返回到用户注册画面。
2.2 账号关联
账号关联中的账号指的是用户在不同应用系统之间已经存在的用户账号, 而且这些账号在不同的系统里面所拥有的权限各不相同, 账号关联就可以实现统一身份认证系统与各个应用系统之间的账号的对应以及操作权限的服务。在进行完账号关联之后用户在登录系统通过身份认证之后就可以根据用户所在各自系统的权限进行访问和操作。账号关联在统一身份认证系统中的过程如下:
1) 用户登录统一身份认证系统向系统发出账号关联的请求, 在这个过程中用户在系统中的标识为A, 也包括了用户的用户基本信息例如用户的用户名和密码等;
2) 统一身份认证系统在接收到用户的请求后, 对这个请求进行处理, 将用户的信息发给应用系统A, 询问这个用户的信息是否存在, 如果这个用户不存在, 则中止整个过程。
3) 应用系统A收到统一身份认证系统发过来的用户信息, 进行验证完后就将合法的用户信息返回统一身份认证系统, 这样这个用户就可以在统一身份认证系统中进行应用系统A的信息注册, 以后就可以访问相应的应用系统的服务。
4) 经过上面的步骤完成后, 就完成了用户信息在统一身份认证系统的注册。生成证书。
2.3 用户认证
用户认证为应用系统提供用户统一身份认证。包括统一身份认证组件模式和统一认证模式。为了实现统一身份认证, 必须兼顾系统原有的应用系统和新建的应用系统。我们采用账号关联的方式使原有应用系统的账号信息与认证系统中的账户信息进行相关联, 这样做的好处是, 用户在使用原有应用系统的账户登录之后, 自动关联至相关的系统进行访问, 而无需登录第二次。而对于新建的应用系统, 它的用户管理部分由认证中心来完成, 自身不需要有用户系统。它的统一身份认证可以采用组件模式。在统一身份认证组件模式中, 用户可以很方便的使用一个账户信息登录不同的应用系统, 但如果要同时使用不同的应用系统, 我们仍然需要经常登录系统, 为了解决这个问题, 我们将组件模式调整为统一认证模式。统一认证模式的特点在于使用了一个全局login session, 它在每一个已经登录的用户中创建, 并且生成相应的权限令牌再返回给用户。如图1所示。
3 统一身份认证系统的安全性实现
所谓系统的技术安全性就是用技术手段来防止对系统资源的非法使用和对信息资源的非法存取操作, 保证系统运行期间的安全性。考虑到系统的数据的重要性以及操作的安全性, 本系统采用用户身份的确认和校验以及存取控制来保证数据的安全性。
用户身份的确认和校验:本系统要能识别使用者口令、使用者名称。本系统采用密码登录, 每一位合法使用者都有与其使用权限相对应的密码。使用者进入本系统时, 只需输入使用者编号和密码即可。如果是合法使用者, 立即登录系统主界面;如果第一次口令输入不正确, 可以输入第二次, 第二次输入不正确还可输入第三次;如果第三次输入仍然不正确, 第四次再输入时则弹出警告窗口显示“输入次数过多”, 然后退出登录系统。
存取控制:存取控制的基本方法是对用户授权, 即授予特定的用户以一定的操作权限。可以在操作系统级上进行相应的级别设定, 来确保存取控制的安全。
网络防火墙:随着网络时代的到来, Internet或者Intranet的安全自然成为系统安全考虑的一部分。防火墙的作用是用来防止来自“外部”未经授权的交互式登录。设计精巧的防火墙应该是既可以防止来自外部的非法数据流入网络内部, 但又允许内部的用户自由地与外部通信。
当然, 除了以上的方法外, 为了防止存储介质的非法拷贝、被窃以及信息传输线路的被窃听而造成特别机密的信息 (如部分职工的个人信息等) 的泄密, 在系统中还可以对机要数据采取加密存储和加密传输等安全保密技术措施。数据加密的基本方法是利用密码学原理, 把机密而敏感的明码信息和数据加以转换, 使得信息窃取者无法认识或理解其意思。
所谓系统的可靠性是指在满足一定条件的应用环境中系统能够正常工作的能力。提高系统可靠性的主要途径是使系统具有容错能力, 能在系统产生错误、发生故障的情况下, 仍然具有继续运行的能力。由于对可靠性的需求, 本系统采用了系统重新组合技术:RAID-5技术, 保证系统硬件的可靠。RAID-5不是把所有的校验块集中保存在一个专门的校验盘中, 而是分散到所有的数据盘中。RAID-5使用了一种特殊的算法, 可以计算出任何一个带区校验块的存放位置。例如, 在一个由4块硬盘构成的RAID-5系统中, 3块硬盘将被用来保存数据, 第4块硬盘则专门用于校验。这种配置方式可以用3+1的形式表示。同时采用每周按时备份数据文件的方法, 以保证系统数据的可靠。在发生数据因各种原因丢失后, 可以及时的恢复。用户可以选择在任一台机器上安装此数据库备份工具, 以实现对巡检数据的备份操作。本数据备份工具可分为自动备份与手动备份。自动备份会根据用户制定的备份计划与周期定时备份巡检数据到特定的文件目录中。手动备份则会在人为操作下立即备份当时的巡检数据到指定文件中。当然, 当巡检数据丢失时, 用户可选择指定的文件进行数据恢复。
参考文献
[1]李金库, 张德运.张勇.身份认证机制及其安全性分析[J].计算机应用研究, 2001, 18 (2) :126-128.
[2]叶锡钧, 吴国新.一次口令认证技术的分析与改进[J].计算机工程, 2000 (9) :56-59.
电信企业信息系统统一身份认证平台 篇5
关键词:信息,统一身份认证,平台
1. 引言
随着电信业的快速发展, 各电信运营商进行了大量的信息系统建设, 仅常用的MSS、BSS及OSS域的系统多达几十上百个, 使用这些系统的终端多达几千上万台。通过建设统一身份认证平台, 可以解决使用过程中存在多系统切换、多套账号密码带来的信息共享程度低、工作效率低、安全性低等问题。
2. 平台背景
目前信息化系统在电信运营商得到了广泛应用, 但各系统在身份认证主要存在以下问题:
1) 各系统均有独立的认证管理, 用户在使用不同的应用系统都要进行认证, 因此必须记忆多个用户账号和密码;
2) 系统管理员需要为每个用户在各应用系统的用户进行账号权限配置, 这样使得系统管理员的工作量大大增高;
3) 各系统分散管理账号, 身份信息修改很难统一管控, 容易导致遗漏;
4) 部分系统密码简单加密, 容易受攻击, 存在安全隐患。
如何提供一个面向企业信息系统的安全的统一身份认证平台, 提高企业内部各种应用系统的整体安全成为亟待解决的重要问题
3. 平台规划
统一身份认证平台平台是基于微软AD域及企业人力资源管理系统 (HR) , 建立统一的身份、权限管理平台, 通过LDAP SASL (Simple Authentication and Secure Layer) 实现C/S、B/S应用的安全认证, 从而为整合各种应用系统服务提供统一的身份认证平台。
3.1 平台系统功能架构
统一身份认证平台系统功能架构图如图1所示, 主要包含以下几部分:
人力资源管理系统 (HR) :人员的添加、变动、删除;
门户系统 (portal) :各业务系统信息资源的综合展现、用户账号的生成、权限控制
单点登录 (SSO) :业务系统关联 (mapping) 、访问控制、访问业务系统时信息的加密签名和SSL加密通道;
域 (AD) :计算机管理、域认证;
其他应用系统 (OA、ERP、CRM、BI、OSS) :各专业应用。
统一身份认证平台账号同步关系如下:
1) 人力资源管理人员在人力资源管理系统 (HR) 进行人员维护, 如新增人员, 修改人员或删除人员;
2) 人员信息通过系统接口由人力资源管理系统 (HR) 同步到门户系统 (portal) , 同时生成用户账号及初始密码;
3) 账号信息通过系统接口由门户系统 (portal) 同步到域 (AD) 及其他应用系统 (OA、ERP、CRM、BI、OSS) ;
统一身份认证平台应用认证关系如下:
1) 用户首先登陆门户系统, 进行认证, 通过后进入门户首页;
2) 用户点击首页的其他应用链接, 通过单点登录 (SSO) 使用其他应用系统。
统一身份认证平台接入认证关系如下:
1) 内网终端加入AD管理域, 开机后, 输入域账号密码, 进行认证, 通过后进入终端域系统界面;
2) 外网终端通过打开SSL VPN界面, 输入域账号密码, 进行认证, 通过后获得访问内网权限。
3.2 平台系统拓扑
统一身份认证平台系统系统拓扑图如图2所示, 主要部署情况如下:
1) 人力资源管理系统 (HR) 、门户系统 (portal) 、域 (AD) 及其他应用系统 (OA、ERP、CRM、BI、OSS) 均接入企业承载网 (DCN) ;
2) 内网用户终端接入企业承载网 (DCN) 并加入AD管理域;
3) 企业承载网 (DCN) 通过防火墙与internet链接;
4) 部署VPN系统进行外网终端接入内网的访问控制。
3.3 平台系统技术架构
统一身份认证平台系统技术架构图如图3所示, 主要技术要点如下:
1) LDAP目录服务器
LDAP (Lightweight Directory Access Protocol) 轻量目录访问协议是是个用来发布目录信息到许多不同资源的协议, 它可以在任何计算机平台上, 用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。LDAP协议是跨平台的和标准的协议, 因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。实际上, LDAP得到了业界的广泛认可, 因为它是Internet的标准。厂商都很愿意在产品中加入对LDAP的支持, 因为他们根本不用考虑另一端 (客户端或服务端) 是怎么样的。LDAP服务器可以是任何一个开放源代码或商用的LDAP目录服务器 (或者还可能是具有LDAP界面的关系型数据库) , 因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。
LDAP是整个统一身份认证系统的基础, 采用标准的LDAP目录服务器产品, 通过LDAP目录服务将系统内的用户信息以层次结构, 面向对象的数据库的方式加以收集和管理, 对用户信息进行统一管理, 保证了数据一致性和完整性, 为企业各类应用系统包括AD域系统、OA系统、ERP系统等提供用户信息共享和使用。
2) SSO单点登录
SSO单点登录是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中, 用户只需要登录一次就可以访问所有相互信任的应用系统。SSO单点登录技术实现机制是:
当用户第一次访问应用系统1的时候, 因为还没有登录, 会被引导到认证系统中进行登录;根据用户提供的登录信息, 认证系统进行身份效验, 如果通过效验, 应该返回给用户一个认证的凭据-ticket;用户再访问别的应用的时候, 就会将这个ticket带上, 作为自己认证的凭据, 应用系统接受到请求之后会把ticket送到认证系统进行效验, 检查ticket的合法性。如果通过效验, 用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
4. 平台特点
1) 集中统一的用户管理
通过LDAP目录服务器统一存储管理企业IT系统的用户, 提供单一可靠的用户身份管理和用户资料管理, 供各个业务系统和管理系统使用。在此基础上形成企业的通讯录和组织结构管理。
2) 自动和可定制的用户流程管理
通过自动化、可定制的用户管理流程提供对用户的统一管理, 提供对用户各项信息进行增、删、改等操作维护功能。通过流程对用户进行授权管理, 加强企业信息系统的安全性保障。
3) 应用集成和统一的访问控制
通过集中的用户授权和认证, 实现各个应用系统集成的访问控制、单点登陆。方便用户同时获取多个系统中的信息。
5. 结束语
浅论企业统一身份认证系统建设 篇6
关键词:信息安全,统一身份认证,PKI,应用安全网关
1概述
随着信息技术的不断发展, 企业已逐渐建立起多应用、多服务的IT架构, 在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向, 各有其对应的用户群体、技术架构、权限体系, 限制了系统之间的信息共享和信息交换, 形成了多个信息孤岛。同时, 各系统分别管理所属的系统资源、策略, 为本系统的用户分配权限, 缺乏集中统一的资源授权管理平台。
为了满足企业信息化发展的需求以及企业商业秘密保护的要求, 构建企业信息化安全保障体系显得尤为重要, 而统一身份认证系统是信息安全保障体系的重要组成部分, 将为企业各类应用系统的安全提供全面的、基础的安全保障服务。
2企业应用系统现状风险分析
在目前建设的众多信息系统中, 大多采用传统的用户名/密码方式来实现身份鉴别。但这种方式早已被证明是不安全的。基于口令的认证方式是最常用的一种技术, 也是现在普遍使用的认证方式。基于口令的认证方式存在严重的安全问题, 是攻击者最容易攻击的攻击目标。应用系统繁多, 且不同的业务系统有独立的认证、授权和审计系统, 并且由相应的系统管理员负责维护和管理。一方面造成用户的创建, 更改, 删除流程复杂, 使其用户管理工作不断加大;另一方面用户需要记住不同的用户名和密码, 不但用户使用不便, 登录和认证信息的遗忘也致使管理员工作负担加重。
3企业统一身份认证系统的目标
以PKI体系为基础。PKI是英文Public Key Infrastructure的简写, 是以公开密钥技术为基础, 以数据保密性、完整性、安全性和不可抵赖性为目的, 提供安全服务的普遍适用的安全基础设施, 是硬件、软件、人员、策略和操作规程的总和。PKI在系统与系统、用户与系统、用户与用户之间建立起一种信任关系, 从而保证了系统的安全性。
统一身份认证系统的建设目标是为企业的各种网络服务和应用系统提供统一的用户管理平台和身份认证服务, 管理人员可以在同一认证系统中集中对各个应用系统的用户进行管理, 有效提高整个企业的管理和运行效率。
4企业统一身份认证系统的设计
利用公开密钥基础设施为企业构建一套双中心 (证书管理中心、密钥管理中心) 、双证书 (签名证书、加密证书) 、双密钥 (签名密钥和加密密钥) 三级架构CA信任体系。该系统可实现证书申请、审批、签发、下载、冻结、解冻管理, 证书吊销列表 (CRL) 查询服务、目录查询服务、CA管理、密钥管理和日志审计等证书生命周期管理。可为网络设备、服务器、用户终端提供可靠的身份凭证, 实现统一身份标识、统一身份签发、统一密钥分配、统一身份管理, 为企业信息化建设提供安全保障 (见图1) 。
证书认证中心CA与密钥管理中心KM, 支持双密钥对、双系统机制。KM中心负责向CA中心提供密钥管理服务, CA中心则具体的向用户提供证书业务服务和证书认证服务。双证书中的加密证书对应加密密钥, 加密密钥用于信息加密, 签名密钥用于数字签名 (具有保证行为不可抵赖性功能) , 签名密钥归用户独自拥有。签名证书和加密证书一起保存在用户的证书载体中, 这样既解决了密钥恢复问题, 又保证了行为的不可抵赖性。
CA系统采用集中式生产、分布式服务模式, 即证书的生产 (签发、发布、管理、撤销等) 集中在证书认证系统 (CA) 执行, 而证书的申请、注册、审核等则由分布的证书审核注册系统 (RA) 执行, 以提高系统服务效率。目录服务系统是CA系统重要组成部分, 目录结构是用户信息、证书信息及证书状态发布的位置, 是CA系统对外提供认证服务的关键组件。企业用户以及各种应用系统都需要依赖于目录服务系统实现可信的查询和证书认证。因此一般都采用一主一从的结构设计, 主目录服务定期向从目录服务系统更新数据 (见图2) 。
纯粹的证书体系不能直接使用在应用系统安全保障层面, 必须采用中间件技术。应用安全网关作为应用中间件, 基于PKI技术, 将证书与业务系统进行关联, 实现企业用户登录业务系统的强身份验证, 同时基于数字证书的唯一特性, 实现统一认证服务。应用安全网关支持串联模式和并联模式, 考虑到高安全性, 一般推荐用串联模式。串联模式指应用网关物理部署在用户和被保护的服务器之间, 即应用网关的外网口与用户网络连接, 内网口与被保护服务器相连。由于被保护服务器通过内部网络与应用网关连接, 因此用户与服务器的连接被应用网关隔离, 用户只知道网关地址, 无法直接访问被保护服务器, 只有通过网关认证加密后才能获得服务 (见图3) 。
如果企业对应用系统有高可靠性的要求, 可以进行双机热备部署。双机热备部署需要部署两台设备, 一台作为主机, 一台作为备机, 两台机器都与网络连接, 两台设备之间使用交叉线连接热备口进行状态检测, 在正常情况下由主机提供服务, 当主机发生异常时系统自动切换到备机进行服务。
结束语
统一身份认证系统的建设, 为企业应用系统的集成提供了极大的安全保障和管理便利, 从本质上保证了应用系统的信息完整性、数据安全性和不可抵赖性。但是它依然处于不断的发展中, 在复杂多变的企业信息集成环境中仍然面临许多问题, 需要进一步地改进和不断完善。
参考文献
[1]赵华, 王海阔, 杨兰娟, 申丽.统一身份认证在信息化企业中的应用研究[J].电脑知识与技术, 2011, 24:114-115.
[2]王技.基于PKI的身份认证系统的研究与实现[J].计算机光盘软件与应用, 2013, 12:260-261.
[3]平震宇.统一身份认证系统研究与实现[J].计算机安全, 2009, 5:36-39.
统一身份管理 篇7
1 统一身份认证平台的系统功能结构
统一身份认证平台管理庞大的用户数据数,特别是在高校应用环境中,每年都有数千新的用户增加,而毕业生用户账号也要保留,所有这些身份信息都需集中存储并加之有效的管理;同时,就需建立起相应的安全策略以及海量的基于LDAP目录服务器的用户数据存储和管理功能。而这种集中存储、管理用户身份的方式为单点登录(SSO)[1]的实现提供了基础。
由于数字化校园校建设进程的参差不齐,各高校均面临已有的众多业务及信息系统复杂多样,而各系统应用的网络环境、软硬件环境以及开发语言、软件系统架构等也是各不相同。因此,集中的统一身份认证平台必须能够提供多种开发语言、多应用系统集成服务支持,同时还必须透明的支持除加解密服务之外的其它所有安全服务。
当前所采用的身份认证的主要方式有password、CA认证、SmartCard等[2],该设计中使用的是password方式。统一认证与应用系统的接口有:认证接口、代理网关、ldap接口三种。其中,认证接口主要通过认证头完成对可改造的应用系统的认证;而对于不可改造的系统是通过代理网关完成代理认证;LDAP接口则主要设计用于选课系统之类高并发应用系统的认证。
整个统一身份认证平台的功能结构如图1所示。
在数据层,统一身份认证的身份信息等数据放在LDAP目录中,因此就面临两个必须解决的基本问题,一个是海量的身份数据要以什么样的方式存放在LDAP中,才能为使用层提供高效便捷的服务,另一个问题是如何与业务数据库、共享数据库之间进行数据的采集以及数据的分发交互,并保证数据的同步。
维护层主要包含两大部分:给用户提供个性化定制服务和给管理员提供维护功能。
2 LDAP目录数据存贮
LDAP(轻量目录访问协议)按照树形结构组织,可以看着是一中快速的得到关于人或者资源的集中、静态数据的方式,还是一种跨平台的和标准协议,适用于各种系统平台环境。而高校身份认证系统中,由于其学院和部门分支机构众多,相应的应用系统建设也比较庞杂,用户数据分散,管理流程复杂,各应用系统不仅对用户数据的管理方式差异较大,而且数据的存储方式也各不相同,没有一个统一的标准,这就使得不同应用系统之间共享用户数据十分困难,没有统一的用户信息入口,也就无法实现统一身份认证。传统的桌面应用如MIS系统一般采用MSSQL、MySQL之类的关系数据库存储用户数据;而随着互联网应用规模的迅速扩大,标准的互联网B/S应用系统一般采用LDAP方式存储用户数据[3],如基于LDAP的www网关以及电子邮件系统。
实际上,LDAP与传统的关系数据库处于不同的两个层次,后者主要解决的是存储方式,而前者主要解决的是存储模式和访问协议,属于更加抽象的概念。LDAP更加适合存储这样的信息:数据需要从不同的地方读取,而这些数据又不需要经常更新。如用系统户身份信息、电话号码簿、客户联系信息等就更加适合存储在LDAP目录中。
LDAP服务器可以用“拉”或“推”的方式复制部分或者全部数据,比如可以将数据推送到远程的另一个系统,从而大大提高数据访问的安全性,而这种复制能力是内置在LDAP服务器中的,比在DBMS中使用同样的复制技术要更加高效和和易于管理,而且也不需要为此支付额外的费用。大多数的LDAP服务器都为读密集型的操作进行专门的优化。因此,当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。这种广泛的复制能力可以支持百万级用户数据量。
在统一身份认证的设计中,LDAP服务器作为统一的认证入口,集中管理不同应用系统之间的用户信息,在不同的信息组织结构之间进行同步转换、分发交互,而所有这些对于用户认证前端均是透明的。
3 用户信息定义及数据结构模型设计
在LDAP中存储的用户的基本信息有姓名、账号、密码、部门、职务,班级等,那么就必须考虑如何来进行信息的组织分类。这里面临两个问题:
1)学校有不同的部门,不同的学院和班级,每个部门都有管理员,那么是在每个部门中都建一个管理员组,还是把管理员抽出来;
2)每个学员都有老师个学生,那么是先建一个学生组和老师组,然后再分学院,还是先按照部门分组再在每个组中分老师、学生。
这里问题所涉及到的也就是账号的属性、类型设计及组设计。
在设计账号的属性的时候,并非要求加入所有的属性,而是能满足通用的管理及维护功能。账号的分类基于学校人员的基本身份角色来定义,比如按照教职工、研究生、本专科生、校友、临时人员等的分类方式进行组织,而分类的意义除了便于管理之外,更重要的是可以针对不同类型的用户来部署不同的前端应用。在LDAP中,账号类型对应于其人员容器(ou),而不同的账号类型对应存储于相应的人员容器之下。
为了解决对不同类型的人员进行交叉授权的问题,引入了组的概念,同一个组可以对应不同类型的用户,组的使用就可以比简单的用户类型把用户组织得灵活,可以按照应用需求来定义更多的组,而对于应用模块的授权则相应的可以分得更细,并且这种授权的用户组可以是任意多个角色用户类型的混合。组在LDAP设计中以group的方式存储。
基于以上的分析定义,设计如图2所示的LDAP目录结构来存储所有的用户数据。
为了实现更加灵活高效的管理维护,将用户全部存于根节点下面的人员容器(ou)中,而人员容器则按照前面设计的用户类型来分类组织。而通过用户属性来描述人员和子组织之间的关系,这样对用户的操作就相应的更加便捷。由于采用了属性来保存用户的附属信息,用户节点本身不带有其所属单位信息,在教师调换部门、学生转院系时对用户的组织操作就很简单。
对于组的存储,所有的组都建于根目录与人员容器并列的组容器ou=Groups下,基本的固定组则按照用户类型对应来建立,命名也与用户类型保持一致。组还支持更多的扩展,在维护的时候可以灵活的添加更多的分组。
4 用户信息的采集与数据同步
在统一身份认证系统实施之前,不同应用系统的之间用户信息各自独立,而用户账号的建立一般有几种方式:一种是通过用户自行注册,自己设置自己的用户属性;另一种是通过用户申请,由系统管理员或者用户信息管理员来添加账号;还有一种方式是由开发部署人员或者系统管理员一次性统一导入初始化用户账号信息。这就造成了各个系统的数据结构标准各异,差异性非常大。
引入统一身份认证之后,采用LDAP来存储用户信息以及提供认证信息服务。教师数据以人事系统统一建立的账号信息为准,研究生数据以研究生系统的账号信息为准,本专科生数据以教务管理系统中的用户信息为准。三种不同的数据源称之为基本信息表,对于LDAP统一账号的采集,采用数据同步的方式来实现。数据通过同步工具进入基本信息基本表,同时导入到LDAP,而在账号更新同步时,通过差异视图消除基本信息表和基本信息基本表的差异后,再由数据同步工具将差异数据同步到LDAP中。账号的采集及同步流程如图3所示。
5 结束语
用户存储模型建立是否合理对于统一身份认证实现的可靠性及高效性至关重要。本文给出了一种基于LDAP目录结构的用户信息存储模型,设计了账号采集同步方法,为后续多系统统一身份认证集成的具体实现提供了前提。
摘要:结合数字化校园基础平台,对基于目录服务的统一身份认证体系结构进行了研究,对用户身份信息的存储、授权及认证管理进行了论述并从工程应用出发给出了相关实现模型。
关键词:统一身份认证,目录服务,数据采集,单点登录
参考文献
[1]吴晓斌,张月琳.基于LDAP的校园网统一身份认证系统设计[J].华中科技大学学报,2003(10):67-69.
[2]张蓓,李笑难,马皓,等.基于目录服务的校园网管理系统[J].计算机工程,2000(10):291-297.
统一身份管理 篇8
服务型数字化校园是一个包括教学、科研、生活、休闲等多方面的综合性系统,是以应用平台为支撑,以公共服务型教育体系为系统组织构建纽带。数字化校园搭建了办公、学习平台,整合了各类应用系统资源,但开展系统、规范的教学服务,需要公共服务体系提供支撑和共性服务。安全是公共服务体系提供高质量服务的前提和保证,体现在本身系统运行的安全及用户在使用中的安全,这两个安全主要的实现手段是使用者身份的认证。由于数字校园由许多应用系统组成,认证系统必须统一,否则将会存在以下问题:
1)一个用户需要记忆多个账号、密码以登录不同系统,容易忘记和混乱;
2)不同系统都采用自身的一套认证和用户管理机制,不利于学校统一管理;
3)由于缺乏统一管理,离开学校的某些用户仍然能登录校内一些业务系统。
统一身份认证是在一个集中的用户认证管理和集成环境中,管理和分发用户的权限和身份,为不同的应用系统提供用户和权限管理服务。各应用系统只需保留角色和权限控制,用户数据库资源统一保存在认证服务器中,由应用系统自行管理用户和角色,可简化应用系统中用户管理模块的建设,使用户在完成身份认证后无须再次登录就可接受校园网中其他信息服务系统提供的服务。同时还可为其他类型用户提供相应的接口,针对不同等级的安全要求提供从简单密码保护到数字签名等相应的安全措施。
1统一身份认证服务流程
WebServices是一个面向服务(ServiceOriented Architecture,SOA)的环境,是用于分布式应用程序间通信的接口技术,其基本思想是把软件当作一种服务。WebServices具有自包含(Self-contained)、自描述(Self-describing)及模块化的特点,可通过Web发布、查找和调用。
WebServices从体系结构上看,服务提供者、服务请求者、服务代理者通过服务注册和发布(RegisterandPublisher)、服务查找(Find)、服务绑定执行(BindandExecute)3种基本操作有机地联结在一起协同工作。3种基本操作用WebServices技术组件(包括HTTP,XML,SOAP,UDDI,WSDL)实现,其中发布服务使用UDDI,查找使用UDDI和WSDL的组合,绑定服务使用WSDL和SOAP。
统一身份认证服务包括身份管理和认证管理。身份管理为校园网用户提供唯一的“统一身份账号”,同时兼顾老的系统中的用户信息,使之与新账号关联,进行账号映射。身分认证具体包含两类服务:一是统一身份账号管理,主要完成校园网用户的统一身份账号的增加、修改,该服务由门户系统调用;二是账号映射,用户在邮件、教务等系统已有不同账号,需要将账号与统一身份账号进行映射,一旦用户通过统一身份认证服务后,就能够自动访问相应应用系统。服务由UDDI注册中心来完成,应用系统到注册中心注册后,被分配一个唯一标志符,并在注册中心登记该系统的完整服务描述,用于提供该系统的访问入口。认证管理中牵涉到门户服务、应用系统服务、统一认证服务及注册中心服务等多个服务之间的相互调用,其认证服务流程如图1所示。
1)用户使用统一身份账号登录到门户服务站点;
2)门户服务建立会话,将与会话关联的认证令牌返回给用户
3)用户使用该令牌访问门户中的应用系统链接(系统已经作好与统一身份系统账号的映射),门户不是将请求直接发给门户系统,而是将用户的账号、认证令牌和门户系统的ID 传给统一认证服务;
4)统一认证服务访问UDDI,查到门户系统的访问入口,并核实该账号是否有权访问应用服务,然后获取事先已经做好映射的门户系统账号和密码;
5)统一认证服务将请求消息转发给应用服务;
6)门户系统将请求结果返回给统一认证服务,最后由统一认证服务将结果返回给用户。
2 认证信息的安全性
认证服务是在Web Services之间已经建立信任的基础上实现,而服务之间的信任和消息的可靠传输则通过安全声明标记语言(SAML)、WS安全(WS Security)等安全规范和标准提供保障。SAML定义了安全域与策略域之间的基于SOAP的互动,支持Web单点登录(SSO)、认证和授权。SAML中定义了服务请求和应答信息、安全域交换来保证认证决定、授权决定和属于特定用户与资源的属性,还定义了认证权威机构、属性权威机构、策略决定点和策略执行点等功能性实体。SAML能从一个SAML兼容的认证和授权服务中请求并收到SAML断言,据此验证和授权一个服务请求者。
在具有SAML功能的Web SSO环境中,用户可以通过ID/口令等认证技术登录到门户站点,门户利用包含SAML“认证声明”和“属性声明”的信息,向一个或多个目的域发送认证决定,以及为这一决定提供安全环境的其他信息。为了验证服务申请和保证消息完整性,WS-Security可以对SOAP头中传送的作为基于XML安全性令牌的SAML断言进行数字签名,并且签署SOAP消息的主体,而消息的机密性则通过使用HTTPS的网络连接来提供。
3 用户认证的实现
考虑性能和保护现有投资的要求,校园网采用网关认证和802.1x认证相结合的方式:学生宿舍全部部署支持802.1x的交换机,采用802.1x认证;办公区和家属宿舍则使用早期购买的不支持802.1x的交换机,采用网关+Web认证。两套认证系统使用统一的用户资料,用户资料存储在LDAP服务器中,通过Web Services实现用户身份的认证,如图2所示。
3.1 建立Web Services
Web服务方法的建立与一般的应用程序中方法的建立基本相同,只要在用于Web Services的方法前添加WebMethod属性即可(Web Services的类及公开的方法必须声明为public)。在Web认证服务中需要两个最基本的方法:即返回一个数据集的Web方法getds()和执行数据表操作的方法executesql()。通过调用这些方法,可以得到用户所需要的数据。
3.2 Web Services的使用
在Web Services发布后,其他应用程序通过添加Web引用将Web Services的功能组合到其中,并使用代理类调用Web服务的功能。代理类可以引用远程的Web Services,在用户的应用程序中使用其功能。
3.3 数据格式的定义
基于LDIF的身份认证系统采用3层B/S结构,即“浏览器——Web服务器——目录服务器”。从用户的使用角度看,通过Web页面就可以直接访问目录服务器,系统使用的开发平台软件为OpenLDAP,如图3所示。
3.3.1 安装目录服务器
在linux命令行下,输入#emerge openldap命令进行安装。安装完毕后,相应的执行文件…/usr/lib/openldap/slapd是单独运行的LDAP守护进程,用来监听客户端请求,端口号为389。
3.3.2 配置目录服务器
OpenLDAP把所有与LDAP服务器有关的配置项都放在slapd.conf文件中,该文件存放在/etc/openldap目录下。
3.3.3 导入目录信息数据
根据设计的目录信息树结构生成LDIF文件myorganization,将LDIF文件的条目加入到LDAP数据库中,所有用户的信息也添加到目录数据库中。建立与目录服务器的连接,进行用户身份认证,通过调用API函数来实现对目录服务器的访问。
3.3.4 使用LDAP进行身份认证
通过接收用户输入的用户名和密码,调用自定义函数完成身份认证。ADSI编程模型中没有对LDAP直接进行操作的函数,因此在自定义函数LDAP_search()中通过执行LDAP查询字符串命令进行搜索;在LDAP_bind()中用ADSI中的OpenDSObject()方法打开指定DN和用户密码的LDAP对象,并根据对象是否被正确创建来实现绑定。
3.4 用户登录函数的定义
3.5 认证方式和流程分析
AXIS框架来自Apache开放源代码组织,是最新SOAP规范(SOAP 1.2)和SOAP with Attachments规范的开放源代码框架。使用AXIS实现Web Services非常简单,只需编写认证相关的Java 类,然后将文件扩展名改为jws,无需编译,将文件拷贝到应用程序发布目录下即可。在客户端的浏览器中输入Web Services的地址http://serverip:8080/web-service/authentication.jws,WSDL即可列出调用此服务的方法。Web Services服务端主要提供以下3种认证方法:
3.5.1 网关认证流程
为保障系统的安全性,用户通过客户端软件才能认证上网,同时客户端软件还用于控制用户接入和保持用户状态,认证过程如图5所示。
1) 用户登录系统时,客户端将用户名、密码、IP地址和MAC地址等信息通过对称密钥(3DES)加密后发送给认证系统Web Services;
2)认证系统Web Services将信息解密后,交给应用服务器的用户认证Bean,通过JNDI访问LDAP服务器,对用户身份进行认证和授权检测;
3)检测通过后通知网关放开此用户;
4)向客户端发送一个随机生成的令牌(Token);
5)客户端用此令牌对IP地址、MAC地址等信息加密,定时向认证系统发送更新消息;
6)认证系统更新在线用户数据库;
7)认证系统后台定时查询在线用户数据库;
8)一旦超时没有更新用户状态或者用户IP地址、MAC地址发生变动,通知网关强行断开此用户的连接。
使用这种方式可大大提高网关认证系统的安全性,加密传输的用户名和密码难以被Sniffer破解,用户IP地址、MAC地址、用户名和随机令牌的绑定传输可有效防止IP地址盗用和非法DHCP服务器造成的账号盗用。
3.5.2 802.1x认证流程
802.1x认证是一种多层结构的认证体系,包括接入设备(Authenticator)、客户端(Supplicant)和认证服务器(Authentication Server)。因无法修改交换机的程序,只能通过修改RADIUS服务器来实现与Web Services的交互。RADIUS 服务器本身不保存用户信息,用户认证所使用的MD5 Challenge过程交给认证系统的Web Services进行处理。RADIUS将用户名转发给认证系统,认证系统产生一个Challenge,返回给RADIUS服务器,RADIUS服务器将此Challenge通过交换机发送给客户端,要求客户端进行认证,客户端对密码和Challenge做MD5算法,生成Challenged-Password,然后经交换机和RADIUS服务器发送给认证系统,认证系统根据从LDAP服务器取得的用户密码,做MD5算法,与收到的Challenged-Password对比,判断用户是否合法,然后回应认证成功/失败信息给RADIUS服务器。如果成功,则根据用户的相关属性给用户授权;如果认证失败,则流程结束。
3.5.3 分布式认证
由于Web Services技术松散耦合的特点,没有复杂的消息传递、对象引用和垃圾回收机制,非常适合分布式处理。在SOA校园网环境中可以部署多台Web Services服务器,提供用户认证服务。考虑到校园网在上网高峰期时一分钟内可能有数千用户同时登录,为减轻服务器端进程调度的负担,将服务调度的功能放在客户端完成。网关客户端通过配置文件读取Web Services服务器列表,通过随机算法调用其中一台服务器进行认证;802.1x分布式认证则通过修改RADIUS服务器和交换机配置来实现。
4 总结
本文对身份认证的流程进行了分析,通过Web Services实现了用户统一身份认证服务,保障了服务间的信任及消息可靠传输。用户客户端通过网关认证、802.1x认证和分布式认证等认证技术登录门户站点,门户则利用Web Services服务端提供的明文、加密或MD5-challenge3种认证方法,根据LDAP服务器统一存储的用户资料,响应用户的登录请求。实践表明,基于Web Services统一身份认证,满足了性能和保护现有投资的要求,为在服务型数字化校园中实施校园一卡通和建立随需应变的系统应用平台奠定了基础。
参考文献
[1]Hodges J,Philpott R,Maler E.Glossary for the OASIS Security As-sertion Markup Language(SAML).http://docs.oasis-open.org/se-curity/saml/v2.0/saml-glossary2.0-os.pdf,2005-03-15
[2]Kelvin Lawrence,Chris Kaler.Web Services Security(WSS)TC.ht-tp://www.oasis-open.org/committees/tc-home.php-wg-abbrev=wss,2006-02-21
[3]陆天波,李俊娥,王鹃.JAVA实现基于LDAP的分布式Web Mail系统.计算机工程应用,2003;20(9):155—157
【统一身份管理】相关文章:
统一身份认证流程图05-25
人性自我身份管理论文04-20
哲学文化身份研究管理论文04-26
身份证识别管理程序08-24
人性自我身份管理论文提纲11-15
身份识别证件管理规定04-30
身份认证管理制度05-11
身份管理的安全认证06-23
哲学文化身份研究管理论文提纲11-15
统一管理论文范文05-09