一种云计算中的多重身份认证与授权方案_江伟玉
7
江伟玉1,2,高能1,刘泽艺1,林雪燕1
(1.中国科学院信息工程研究所信息安全国家重点实验室,北京 100093;
2.中国科学院研究生院,北京 100049)
摘 要:
OpenID 是一种广泛应用于云计算中的去中心化的身份认证技术。OpenID 为用户以一个身份在多个云服务中通行提供了一种方式,也解决了因遗失在云提供商处注册的云身份凭证而不能登录的问题。但用户以OpenID 身份登录云服务后,却不能访问该用户的云身份拥有的资源,且OpenID 技术也没有对请求身份信息的云服务进行认证与细粒度授权。因此文章在OpenID 技术和OAuth 技术的基础上,设计了一种多重身份认证与授权方案来解决上述同一用户不同身份的资源不可访问问题,以及身份信息等资源访问流程中的细粒度授权问题。
关键词:
OpenID ;OAuth ;多重身份认证;授权中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2012)08-0007-04
A Multi-identities Authentication and Authorization Schema in
Cloud Computing
JIANG Wei-yu 1,2, GAO Neng 1, LIU Ze-yi 1, LIN Xue-yan 1
( 1.State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences,
Beijing 100093, China; 2.Graduate university of Chinese academy of science, Beijing 100049, China )
Abstract: OpenID, which is widely used in cloud computing, is a decentralized identity authentication technology. OpenID not only provides a method for a user to pass through multiple cloud services by using one identity, but also solves the problem that users cannot login in due to loss of cloud identity credentials which had been registered in cloud. But a user cannot access the resources which belong to his cloud identity by an OpenID identity, and OpenID can't authenticate and authorize the cloud service who requests identity information in a ? ne-grained manner. In order to solve the above-mentioned problems, we have designed a kind of multi-identities authentication and authorization schema based on OpenID and OAuth to make the resources owned by cloud identity be accessed by the same user’s OpenID identity and to implement ? ne-grained authorization in resource authorization process.
Key words: OpenID; OAuth; multi-identities authentication; authorization
doi :10.3969/j.issn.1671-1122.2012.08.003
一种云计算中的多重身份认证
与授权方案
作者简介:江伟玉(1987-),女,湖南,博士研究生,主要研究方向:云计算安全;高能(1976-),女,陕西,部门主任,副研究员,博士,主要研究方向:信息对抗技术、云计算安全;刘泽艺(1990-),男,福建,硕士研究生,主要研究方向:信息网络安全;林雪燕(1990-),女,福建,硕士研究生,主要研究方向:信息网络安全。
0 引言
随着互联网的发展,各种网络应用已深入到人们的日常生活。尤其在云计算时代,同一个用户会使用多种云服务, 该用户可能在多个云提供商处注册了账号并拥有资源,多个云服务之间用户资源的交互也变得频繁,因此身份认证和资源的交互访问成了云计算研究的一个热点。
在传统服务中,用户每使用一个新的服务都需要注册和认证。繁琐的注册流程增加了用户的操作负担,也影响了用户体验。另外,多个身份凭证的使用也容易导致身份凭证遗忘和滥用等问题。为了解决上述问题,OpenID [1]技术应运而生。
虽然OpenID 技术使得用户可以凭借一个身份使用多个不同云服务,且解决了多个身份凭证难以记忆的问题,但是由于云提供商原有应用的存在,用户在未注册OpenID 身份之前,已是多个云提供商的用户,并在云服务中拥有云身份对应的数据空间。在目前的许多应用中,以OpenID 身份登录云服务后进入的数据空间并不是以云身份登录的数据空间,因此用户无法访问云身份的数据资源。另外,云服务是通过向OpenID 服务请求用户身份信息来完成认证的,而OpenID 技术的标准认证协议中并没有认
证云服务的身份,也没有对云服务请求的身份信息进行细粒
度授权,因此会导致两种安全问题:恶意程序假冒合法云服
务请求身份信息;合法程序请求过多的权限,即由于请求的
身份信息只能一次性授权或拒绝,用户因服务需要而无法拒
绝对一些非必要的敏感身份信息的访问授权。
因此,为了解决因不同身份的数据空间不同导致的资源
不可访问问题,我们在OpenID技术的基础上,设计了一种多
重身份认证与授权方案。该方案通过自动发现并联合用户的
不同身份,将用户在某云服务中不同身份对应的数据空间合为
一体,从而解决上述资源不可访问问题。
另外,为了提供身份认证过程中交互的身份信息的安全
性,本方案将OpenID技术与OAuth技术[2,3]结合起来,对请
求身份信息的云服务进行认证,防止了非法云服务访问身份
信息。通过对OAuth技术标准协议中授权字段进行属性限制,
实现了身份信息的细粒度授权,从而保证了合法云服务只能访
问实现云服务功能必要的或用户授权的资源。
1 多重身份的认证与授权问题研究
近年来,由于云计算的出现,所有的云服务都在远程的
云端,用户利用一个客户端(如浏览器)接入网络便可使用服
务,因此作为云服务的第一道安全关卡,终端接入中的身份认
证成为了云计算领域研究的关键技术。
在云计算的身份认证中,一个或多个同域的云服务对应
一个身份凭证,同一个用户会拥有多个身份,并且许多云服务
也支持认证用户的多个不同身份(如新浪微博支持使用MSN、
天翼等账号登录),因此我们提出多重身份的概念,即同一用
户在同一云服务中的多个不同身份。对多重身份的管理以及对
多重身份对应的资源的交互访问将是云计算身份管理和认证
的一个重点,我们通过对多重身份的认证与授权的研究来解
决云计算中的认证与授权问题。
1.1 云计算身份认证技术现状
在云计算中,由于云服务量巨大,以及存在海量用户的不
同身份,为了减轻用户负担并提供良好的用户体验,出现了单
点登录[4]、联合身份[5]、多因素认证、OpenID、OAuth等一系
列身份认证技术。
单点登录是一种广泛应用于云服务的身份认证技术。如
Salesforce采用了基于SAML的单点登录技术[6],Microsoft云
中采用了基于活动目录的联合身份单点登录技术,Google采
用了基于OpenID的单点登录技术。单点登录的理念在20世
纪90年代就已经深受欢迎,该技术从基于代理的伪单点登录
到基于代理的真单点登录,再到基于Kerberos的单点登录[7]
的相关产品逐渐成熟。随着单点登录技术的兴起,相继出现
了Microsoft的Passport产品、IBM的Global Sign-On(GSO)
产品等,联合了140家企业的Liberty Alliance[8]也推出了基于
Web的单点登录技术,还出现了广泛应用于校园应用服务的
单点登录技术Shibboleth[9]。
但是在复杂的云环境中,云内部的多样化结构、不同云
服务之间的频繁合作对单点登录有了新的要求,产生了在多个
云服务之间相互访问的身份认证需求。各大云提供商基于单点
登录的理念,结合其他相关认证技术开发出了各种适应于云环
境的身份认证服务,如Google的PaaS云中采用了多因素认证,
微软的IaaS云中采用了基于活动目录的联合身份认证。然而,
在云计算中,最常用的身份认证技术OpenID和OAuth,其使
用情况如表1所示。
表1 主要IT服务提供商的OpenID与OAuth使用情况表
IT服务提供商 支持的身份认证方式
Google, Yahoo , 腾讯微博OpenID+OAuth
MSN , Facebook , Twitter OAuth
新浪微博, 百度, 人人, 淘宝, 豆瓣 OAuth
1.2 OpenID的原理及应用方式
OpenID技术是一种去中心化的认证协议框架。该协议需
要OpenID服务提供商(提供身份服务的实体)、依赖实体(第
三方云服务)以及终端用户的参与来完成,任何机构都可以
成为OpenID服务提供商,任何第三方都可以选择其支持的
OpenID服务。这种技术使得用户在访问第三方云服务时,在
不使用云提供商内的云身份凭证的情况下,仍可以利用其它
OpenID服务提供商提供的身份信息来访问云服务。
例如用户张三拥有多重身份,在遗忘云提供商A中的账
号Alice时,由于该云服务支持OpenID 1服务,因此张三可以
利用其OpenID身份Bob来登录。云服务首先会向OpenID服
务请求身份信息,随后OpenID服务通过认证张三的OpenID
身份,获得用户授权后,将身份信息发送给云服务,最后云服
务通过验证身份信息的签名来判定是否登录成功。
1.3 OAuth原理及应用方式
OAuth技术是一种第三方应用程序访问资源时的标准授
权协议。OAuth技术的原理是基于用户对资源访问的临时授权,
即当一个第三方应用程序在访问资源时,第三方应用程序向
资源的认证与授权服务器提出授权请求,认证与授权服务器
要求资源拥有者用户登录,并询问用户是否授权,用户授权后
第三方应用程序会获得一个临时令牌,这样合法的第三方应
用程序就可以拿着临时令牌去访问资源。
身份信息可以被认为是一种特殊的资源,同一用户在不同
的云提供商处拥有不同的身份,因此OAuth技术也常被用来
认证身份。另外由于OAuth在其协议流程中对第三方应用程
序进行了认证,因此云提供商常将OpenID技术和 OAuth技术
结合使用以提高身份信息的安全。
1.4 多重身份的认证与授权问题分析
尽管OpenID和OAuth技术已被广泛采用,但在这两种
9
技术中有两个问题没有解决。
1)尽管用户使用了OpenID 身份Bob 登录进入了A 中的云服务,但是用户在该云服务中进入的数据空间是OpenID 身份Bob 对应的数据空间而不是云身份Alice 对应的数据空间, 因此用户在Alice 对应的数据空间中的历史记录、照片、文档等资源都不可访问,如果用户无法找回云身份Alice 账号,那么就相当于丢失了Alice 身份所拥有的资源,这给用户带来了极大的不便。
2)由于OAuth 协议标准对于授权的粒度并没有做明确的规定,大部分的OAuth 技术应用实现中也没有做到细粒度的授权,用户只能一次性接受或拒绝第三方应用程序的资源请求。
因此,为了适应云计算的需要,亟需一种安全有效的身份认证方案来解决上述问题,而本文的多重身份认证与授权方案正是从上述问题出发进行研究的。
2 多重身份认证与授权方案
2.1 方案总体设计
本方案正是在OpenID 与OAuth 的协议基础上,通过增加身份发现与联合组件及其相应流程以实现不同身份的自动联合,达到联合同一用户不同身份对应数据空间的目的;通过对OAuth 协议中的scope 字段进行属性限制以及对第三方和资源授权方的消息处理进行规范,来实现包括身份信息在内的资源的细粒度授权。
本章以下小节将从协议总体流程介绍出发,以本方案的两个关键技术:多重身份的发现与联合和细粒度授权为重点,详细阐述本方案。
2.2 协议流程
图1 多重身份认证与授权方案总体设计
本方案是一个OpenID 和OAuth 的混合协议,协议参与方由三大部分组成:被认证实体、多重身份认证服务(OpenID )和其他域云服务(依赖实体)。
该协议应用于如下场景:某用户需要调用第三方应用程序访问用户在A 域某云服务中的资源。A 域中的云服务需要获得用户的授权才能让第三方应用程序访问资源,授权的方式通常是A 域认证用户并询问是否授权。而用户此时忘记了A 域中的账号,从而选择以某OpenID 服务中的账号登录云服务,云服务询问用户授权,授权成功后第三方应用程序获得一个临时令牌,A 域通过认证第三方应用程序的身份以及临时令牌来判定是否允许访问用户在A 域中数据空间的资源。
本方案的协议总体流程与OpenID 和OAuth 协议基本一致,主要区别集中在用户第一次使用OpenID 身份登录云服务时的身份发现和联合阶段,以及协议中请求身份信息等资源并对其进行细粒度授权阶段。
2.3 关键技术
2.3.1 多重身份的发现联合
利用一个OpenID 身份将同一个用户的其他所有云服务身份对应的数据空间联合起来是多重身份认证服务的最终目标。由于现有的OpenID 协议没有对多种云服务身份进行联合,因此,在OpenID 2.0协议基础上,我们增加了身份发现与联合、身份发现确认挑战流程来实现多重身份的自动联合。
本方案以OpenID2.0协议为基础,在用户第一次使用OpenID 登录其他云服务时进行身份联合,此操作发生在用户授权身份信息之后,OpenID 服务通过将授权的身份信息发送给云服务以执行多重身份发现与联合流程。
身份发现和联合的原理为,用户在一个新的应用中注册账号时通常需要输入用户名、邮箱、联系方式、年龄、职业等身份信息,且同一个用户在多个应用中的身份信息存在很大的相似性。
因此,在OpenID 与其他云服务建立信任的基础上,OpenID 服务的身份发现和联合组件自动将授权的用户身份信息发送给第三方云服务,第三方云服务根据收到的身份信息,执行身份发现与联合模块,自动发现云服务中的相似身份信息。云服务执行信息提取和信息匹配以计算相似度,当相似度超过某阈值时,向用户发送一个挑战响应,以确认所匹配的身份是否是该用户在云服务中的身份,如通过向用户提问或者发送短信验证码的方式来确认身份联合的正确性。当身份发现结果被确认以后,云服务将该匹配结果(用户名)发送给OpenID 服务以实现身份的自动联合。另外,在云服务端,也可以根据需要进行身份联合。
如果身份自动联合成功,在用户以后使用OpenID 身份登录云服务时,OpenID 服务可以不需要用户授权直接将用户在
云服务中对应的用户名告诉云服务,此时用户进入的数据空间
实际上就是云服务中云身份对应的数据空间。如果身份联合
失败,即没有找到匹配身份或用户确认失败,此时仍可按照
原来的标准OpenID协议执行。
尽管现有的一些应用服务实现了身份绑定,但是大部分
的身份绑定都需要用户输入被绑定的身份凭证,如在进行新
浪身份与MSN身份绑定时,用户不仅先要输入新浪的身份凭
证,还需要输入MSN的身份凭证,经过授权后才能进行绑定,
从而增加了用户负担,且在用户忘记云服务身份凭证(如用户
名)的情况下就无法将该身份与OpenID身份绑定了。
另外,在OpenID技术的标准认证授权协议中,由于云服
务是通过验证OpenID服务发送的用户OpenID身份信息来认
证用户,此时用户登录后所有的操作和数据都与此OpenID身
份关联起来,恶意攻击者可以利用该OpenID身份标识检索该
OpenID身份在不同云服务中的活动信息来刺探用户隐私,而
这种攻击在社会化网络中尤为常见。
然而,在本方案中,由于身份发现与联合的引入,使得在
不需要用户输入被联合身份认证的情况下进行自动的身份联
合,减轻了用户负担,也避免了因遗忘云身份用户名而导致的
资源不可访问问题。同时,在身份联合成功的情况下,由于
OpenID服务传送给第三方云服务的身份信息仅包括该用户在
此云服务中的云身份用户名,用户登录后所有的操作和数据仅
显示与用户云身份关联,因此能够在一定程度上防止隐私刺
探,保护了用户隐私。
2.3.2 细粒度授权
第三方应用程序请求某云服务的资源时需要获得用户的
授权,OAuth协议通过在scope字段中指定一次性要访问的所
有资源来发送请求。然而在大部分的OAuth实现中,用户只
能对一次性请求的资源授权做出接受与拒绝的回应,而不能自
由地去选择对特定的某个资源进行授权或取消授权。尤其是
在身份信息授权过程中,如第三方云服务请求用户不愿授权的
电话号码、地址等敏感信息时,用户由于要使用第三方应用
程序的功能而无法拒绝,这严重降低了用户资源的安全性。
因此在本方案中,我们对OAuth协议中用于指定请求资
源的scope字段进行属性限制,当第三方应用程序发送请求时,
先对scope中请求的资源标记上“必须授权”与“可选授权”
的标签,在服务器收到请求消息后,对于“必须授权”的资源,
用户只能进行一次性不可选择的授权;而对于“可选授权”的
资源,用户可以自由选择授权和取消授权。通过对资源进行“必
须授权”和“可选授权”的区分,一方面确保了第三方应用程
序的功能不受影响,另一方面也保护了用户的敏感资源。
2.4 原型方案实现
根据上述设计方案,在VS2008平台上,以C++为编程
语言,我们实现了本方案的OpenID服务,该OpenID服务提
供了与其它云服务交互的接口,因此可以为其他云服务提供身
份认证服务。
为了验证本OpenID的功能,我们设计并实现了一个新闻
发布应用程序SecureTech作为第三方云服务与本OpenID服务
进行交互。另外,为了验证标准的OpenID与OAuth协议流程,
SecureTech还支持使用Google的OpenID和OAuth服务、微
软的Live ID服务、Yahoo的OpenID+OAuth认证服务以及腾
讯QQ的OAuth认证服务登录,另外,我们还利用SecureTech
作为简单的第三方应用程序来测试细粒度授权方案。
3 结束语
保证应用服务中的数据空间中的资源只能被合法用户
访问是身份认证技术的主要目的。在复杂的云环境中,为了
减轻用户注册和记忆多个身份凭证的负担,出现了Open I D
和OAuth技术,但是现有的Open I D和OAuth技术并不
能解决云服务中同一用户不同身份账号对应数据空间不一
致和资源细粒度授权问题。本文从这两个问题出发,以
OpenID技术为基础,设计了身份发现和联合模块及其相应
流程,解决了不同身份对应的数据空间资源不可访问问题,
也在一定程度上提高了用户的隐私安全,通过改进OAuth
协议,实现了细粒度资源授权,提高了用户体验以及敏感资
源的安全。(责编 程斌)
参考文献:
[1] OpenID Authentication 2.0-Final[EB/OL]. https://www.wendangku.net/doc/b02358016.html,/specs/
openid-authentication-2_0.html, 2007-12-05/2012-07-12.
[2] RFC5849 , 2010,OAuth1.0[S].
[3] OAuth2.0[EB/OL]. https://www.wendangku.net/doc/b02358016.html,/html/draft-ietf-
oauth-v2-26. 2012-07-12.
[4] Jan De Clercq. Single sign-on architectures[C]. In George I. Davida,
Yair Frankel, and Owen Rees, editors, Infrastructure Security. UK, 2002.
volume 2437 of Lecture Notes in Computer Science,2002. 40-58.
[5] M.Gaedke,J.Meinecke. A modeling approach to federated identity
and access management[C]. Proceeding WWW '05 Special interest tracks
and posters of the 14th international conference on World Wide Web,
2005. 1156-1157.
[6] K.D.LEWIS, J. E. LEWIS. Web Single Sign-On Authentication using
SAML[J]. International Journal of Computer Science Issues (IJCSI), 2009
(01):41-48.
[7] Andreas,Pashalidis,Chris,J.Mitchell. A Taxonomy of Single
Sign-On Systems[D].Information Security and Privacy Lecture Notes in
Computer Science, 2003.
[8]Liberty Alliance. Liberty Protocols and Schemas Specication
v.1.1[R].2003.
[9] Marlena Erdos,Scott Cantor. Shibboleth-Architecture DRAFT
v05[R]. 2002.
云计算考试题库完整
1、与SaaS不同的,这种“云”计算形式把开发环境或者运行平台也作为一种服务给用户提供。 A、软件即服务 B、基于平台服务 C、基于WEB服务 D、基于管理服务 2、云计算是对()技术的发展与运用 A、并行计算 B、网格计算 C、分布式计算 D、三个选项都是 3、https://www.wendangku.net/doc/b02358016.html,公司通过()计算云,可以让客户通过WEBService方式租用计算机来运行自己的应用程序。 A、S3 B、HDFS C、EC2 D、GFS 4、互联网就是一个超大云。() A、正确 B、错误 5、不属于桌面虚拟化技术构架的选项是 A、虚拟桌面基础架构(VDI) B、虚拟操作系统基础架构(VOI) C、远程托管桌面 D、OSV智能桌面虚拟化 6、()不属于桌面虚拟化技术构架的选项是。 A、SAAS B、PAAS
C、IAAS D、HAAS 7、与网络计算相比,不属于云计算特征的是() A、资源高度共享 B、适合紧耦合科学计算 C、支持虚拟机 D、适用于商业领域 8、云计算的基本原理为:利用非本地或远程服务器(集群)的分布式计算机为互联网用户提供服务(计算、存储、软硬件等服务)。 A、正确 B、错误 9、将平台作为服务的云计算服务类型是() A、IaaS B、PaaS C、SaaS D、三个选项都是 10、Raid1是备份量极高的Raid策略,相应的他的保护能力也很强()。 A、正确 B、错误 11、我们常提到的"Window装个VMware装个Linux虚拟机"属于() A、存储虚拟化 B、内存虚拟化 C、系统虚拟化化 D、网络虚拟化 12、IaaS是()的简称。 A、软件即服务 B、平台即服务 C、基础设施即服务 D、硬件即服务 13、超大型数据中心运营中,什么费用所占比例最高() A、硬件更换费用
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
云计算中的身份认证技术研究_余幸杰
71 余幸杰1,2,高能1,2,江伟玉1 (1.中国科学院信息工程研究所信息安全国家重点实验室,北京 100093; 2.中国科学院研究生院,北京 100049) 摘 要: 文章对目前云计算中典型的身份认证技术——基于安全凭证的身份认证和基于单点登录的联合认证,进行了系统的综述,并对现有的几种方案进行了深入的分析和比较,提出了一些改进意见。 关键词: 身份认证;安全凭证;单点登录;OpenID ;SAML 中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2012)08-0071-04 Research on the Authentication in Cloud Computing YU Xing-jie 1,2, GAO Neng 1,2, JIANG Wei-yu 1 ( 1. State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China ) Abstract: We analyze the security-credentials-based authentication and the single sign-on-based federated authentication, and make a comparison among the popular schemes. In addition, we present some methods and suggestions to improve the authentication mechanisms in cloud computing. Key words: identity authentication; security credential; single sign-on; OpenID; SAML doi :10.3969/j.issn.1671-1122.2012.08.022 云计算中的身份认证技术研究 收稿时间:2012-07-12基金项目:中国科学院战略性先导专项子课题海云信息安全共性关键技术研究[XDA06010702]、国家自然科学基金[70890084/G021102、61003274]作者简介:余幸杰(1988-),女,湖南,硕士研究生,主要研究方向:云安全;高能(1976-),女,陕西,副研究员,主要研究方向:云安全、PKI 技术、网络与系统安全;江伟玉(1987-),女,湖南,博士研究生,主要研究方向:云计算安全。 0 引言 用户对计算资源的控制程度大大降低。因此,云计算的发展带来了海量的访问认证请求和复杂的用户权限管理,推动了身份认证技术的不断发展。云计算中出现了基于多种安全凭证的身份认证技术。随着云计算的普及,云端存储了大量的用户敏感数据,一旦用户身份被仿冒,就很容易造成隐私和敏感数据的泄露。传统的基于单一凭证的身份认证技术已经不能满足用户的安全需求,许多云服务提供商都采用了基于多种安全凭证的身份认证技术,但是目前缺少对这些技术的总结和比较。因此,本文对目前云计算中广泛使用的基于多种凭证的身份认证技术进行了总结。云计算中有着复杂的身份认证场景,API 调用源鉴别就是一种典型的认证场景。根据API 种类的不同,API 调用源鉴别使用的安全凭证也有所不同。本文重点阐述了基于不同安全凭证的API 调用源鉴别机制。云计算的发展推动了基于单点登录的联合身份认证技术的发展。联合身份认证技术的发展使用户可以通过单一账号登录多个云服务,极大地简化了用户操作,基于单点登录方案可以很好地实现联合身份认证机制。本文详细介绍了目前使用最为广泛的单点登录方案——OpenID 协议和基于SAML 的单点登录方案,并进行了分析和比较,提出了一些改进意见。 1 基于安全凭证的身份认证 传统的身份认证,往往基于用户名和口令。面对云计算中复杂的应用环境和角色定义,以用户名和口令作为单一安全凭证的方式,已经不能满足云计算中多种认证场景的安全需求。因此,云计算中出现了多种安全凭证,本节分析了Google、Amazon、Microsoft 等云计算环境中使用的多种基于安全凭证的身份认证技术,并进行了比较。 1.1 基于安全凭证的API调用源鉴别 在云计算环境中,云服务提供商为用户提供了大量的API 访问资源和使用服务,用户使用云服务的实质就是调用API。与传统的本地API 调用不同,云计算中的API 调用通常是基于Web 的调用,除了资源所有者以外,其他合法第三方也可以通过API 调用实现对资源的访问。而且,在调用一个API 时,大多数情况下会涉及对敏感数据的获取。因此,基于安全凭证对API 请求
sso_统一身份认证及访问控制解决方案
统一身份认证及访问控制 技术方案
1.方案概述 1.1. 项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。 1.2. 系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: ?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 ?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 ?基于角色访问控制:根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系统 建设方案 2016年03月 目录 一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案................................................. 1.方案设计 .............................................. A.方案(串连网关方式)................................. B.方案(旁路方式+BRAS,BRAS产品) 四.认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................
身份认证、接入控制解决方案
身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别,杜绝非法入侵和接入保护为 主要设计理念,金盾准入控制保护系统是金盾软件公司独创的,国际领先的 产品功能,是产品的核心功能之一,具有实施简单,主动发现、自动防御、效果显著等特点,极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料? □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统?
方案功能 安全状态评估 □终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。 □终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。 □终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后,定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。 □网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。 □软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。 □内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
云计算基础知识归纳
由于云计算分为IaaS、PaaS和SaaS三种类型,不同的厂家又提供了不同的解决方案,目前还没有一个统一的技术体系结构,对读者了解云计算的原理构成了障碍。为此,本文综合不同厂家的方案,构造了一个供商榷的云计算体系结构。这个体系结构如图3所示,它概括了不同解决方案的主要特征,每一种方案或许只实现了其中部分功能,或许也还有部分相对次要功能尚未概括进来。 图3 云计算技术体系结构 云计算技术体系结构分为4层:物理资源层、资源池层、管理中间件层和SOA构建层,如图3所示。物理资源层包括计算机、存储器、网络设施、数据库和软件等;资源池层是将大量相同类型的资源构成同构或接近同构的资源池,如计算资源池、数据资源池等。构建资源池更多是物理资源的集成和管理工作,例如研究在一个标准集装箱的空间如何装下2000个服务器、解决散热和故障节点替换的问题并降低能耗;管理中间件负责对云计算的资源进行管理,并对众多应用任务进行调度,使资源能够高效、安全地为应用提供服务;SOA构建层将云计算能力封装成标准的Web Services服务,并纳入到SOA体系进行管理和使用,包括服务注册、查找、访问和构建服务工作流等。管理中间件和资源池层是云计算技术的最关键部分,SOA构建层的功能更多依靠外部设施提供。 云计算的管理中间件负责资源管理、任务管理、用户管理和安全管理等工作。资源管理负责均衡地使用云资源节点,检测节点的故障并试图恢复或屏蔽之,并对资源的使用情况进行监视统计;任务管理负责执行用户或应用提交的任务,包括完成用户任务映象(Image)的部署和管理、任务调度、任务执行、任务生命期管理等等;用户管理是实现云计算商业模式的一个必不可少的环节,包括提供用户交互接口、管理和识别用户身份、创建用户程序的执行环境、对用户的使用进行计费等;安全管理保障云计算设施的整体安全,包括身份认证、访问授权、综合防护和安全审计等。 基于上述体系结构,本文以IaaS云计算为例,简述云计算的实现机制,如图4所示。 用户交互接口向应用以Web Services方式提供访问接口,获取用户需求。服务目录是用户可以访问的服务清单。系统管理模块负责管理和分配所有可用的资源,其核心是负载均衡。配
统一身份认证平台功能描述
统一身份认证平台功能 描述 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
数字校园系列软件产品统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
云环境下的身份认证与数据安全技术研究
云环境下的身份认证与数据安全技术研究云计算是一种具有动态延展能力的运算方式,可以看为分布式计算、并行处理计算、网格计算的发展和应用。基于云计算技术,云计算平台可以在数秒内处理千万甚至亿万信息,从而将硬件、软件等大量IT资源以服务的形式通过网络提供给用户。 在云计算服务模式下,资源受限的用户将自身的数据存储和计算任务外包给云服务器,从而能够在享受高质量存储与计算服务的同时降低自身负担,实现了把计算作为一种基础设施的梦想。面向智能终端的云计算平台能够对采集的海量感知数据进行存储和综合加工分析,根据数据分析的结果,提供包括车联网信息处理在内的各种综合服务。 作为未来智慧城市的新标识,车联网由终端传感装置、互通管理系统和云架构信息处理平台构成。车辆和配套的终端传感设备可以完成自身环境和状态信息的采集;通过互通管理设备,所有的车辆可以将自身的各种信息传输汇聚到云端;通过对车辆信息进行大数据分析和处理,可以计算出不同车辆的最佳路线,支持路况汇报、信号灯周期安排和自动驾驶等功能。 随着车联网的快速发展,其对数据存储和计算能力的要求也越来越高,因此将云计算服务引入车联网已成为新的发展趋势。然而,面向智能终端的云计算平台在为人们带来诸多益处的同时,也不可避免的面临着一些新的安全挑战。 一是在数据收集阶段,当设备接入陌生网络所面临的身份认证问题;另一个是数据上传至云端以后的访问控制问题。本文研究的核心是分析出云环境下车联网应用所面对的安全挑战,采用不同的数据处理技术和加密算法给出应对这些挑战的安全方案。
目前,学术界已提出许多云环境下的加密算法和安全协议,并将其应用于抵 抗云计算中层出不穷的安全威胁。基于身份的加密就是一种比较经典的加密技术。 在基于身份的加密中,尝试解密的人只有当自己的身份信息和数据加密者所要求的一致时,才可以顺利地解密,这种加密技术可以用于解决身份认证问题。作为基于身份加密的扩展,基于属性的加密技术可以用于解决云环境下的数据访问控制问题。 本文的主要贡献概括如下:1.提出一种适用于可扩展认证协议(Extensible Authentication Protocol,EAP)无线网络的基于身份切换认证方案。该方案使用了一种特殊的双陷门变色龙哈希函数。 与现有的基于身份的切换认证技术相比,该方案的主要优点是消除了私钥生成器完全可信的假设。安全分析表明,该方案不仅具有较好的安全性,而且效率可以满足实际应用的需求。 2.在基于密文策略的属性加密(Ciphertext-Policy Attribute-based Encryption,CP-ABE)中,访问策略通常直接放置在密文中,因此可能泄露一些关 于用户属性的敏感信息。现有的一些方法在访问策略中部分隐藏属性值,而属性名称仍然不受保护。 本文提出了高效且保护策略隐私的访问控制方案。具体地说,新方案在访问策略中隐藏整个属性,而不仅仅是属性值。 为了实现正确地数据解密,设计了一个新的属性布隆过滤器,以验证一个属 性是否在访问策略中,并确定属性的确切位置。安全性分析和性能评估表明,新方案是安全高效的。 3.在现有的CP-ABE方案中,用户需要将属性值发送给属性授权中心以获取
浅谈身份认证系统技术方案
******身份认证系统 技术方案
目录 1.概述 (3) 1.1前言 (3) 1.2身份认证系统用户认证需求描述 (3) 1.3身份认证系统认证解决之道 (5) 1.3.1身份认证系统的模式 (5) 1.3.2建立身份认证系统 (6) 1.3.3证书在身份认证系统上的安全应用 (6) 2.详细设计方案 (8) 2.1 身份认证系统 (8) 2.2产品设计原则 (8) 2.2.1认证系统的设计原则 (8) 2.2.2 网络环境设计原则 (9) 2.3功能模块架构 (10) 2.4 身份认证系统功能简介 (12) 2.5身份认证系统安全性分析 (13) 2.5.1本系统安全性保护的必要性 (14) 2.5.2安全性要求 (14) 2.5.3安全性设计原则 (15) 2.5.4安全性设计方案 (15) 2.6身份认证系统应用开发接口 (17) 2.6.1身份认证系统接口函数 (17)
2.6.2 API与身份认证系统结合开发应用系统 (17) 2.7身份认证系统使用案例 (18) 3.系统配置 (21) 3.1 设备配置 (21)
1. 概述 1.1 前言 随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球围,由于信息系统的脆弱性而导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。 本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。 1.2 身份认证系统用户认证需求描述 在***********业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对*********系统发展的促进作用,************将综合开发一套身份认证系统对目前的用户身份进行管理,为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
智慧眼社保行业生物识别身份认证解决方案
智慧眼社保行业生物识别身份认证 解决方案 姓名: 学号: 班级:
一、基于社保卡的生物识别身份认证平台 1、平台概述 基于社保卡的生物识别身份认证平台是在遵循社保核三平台标准的基础上开发的集生物识别、认证管理、模板管理、统计决策分析、身份认证子系统等功能于一体的身份认证平台。 平台前端可支撑多种人社业务对身份认证的需求,如:养老金待遇领取资格认证、失业保险金发放签到、工伤保险待遇领取、医疗保险待遇资格认证、网上业务申报身份认证等等,可通过认证子系统针对不同的险种、不同的认证对象进行身份认证。平台后端兼容多种生物识别技术,如:人脸识别、指静脉识别、指纹识别、虹膜识别、掌静脉识别、声纹识别等等。该平台具有较好的兼容性与扩展性,只需要增加相应的生物识别引擎和业务子系统,就能支撑相应的人社业务。
2、功能简述 身份认证平台功能示意图 3、技术优势 自主研发的人脸识别和指静脉识别算法识别率高,识别速度快。 采用生物识别技术,将社保卡与参保用户联系起来,真正实现人卡合一,有效地提供身份识别服务。 兼容多种生物识别技术,支持人脸识别、指静脉识别、指纹识别、虹膜识别、声纹识别等,可根据实际情况和业务需求进行多种选择。 依据“同人同城同模板”的原则,只需要进行一次建模,就可以在人社领域的所有业务系统中共用,大大降低建模投资成本。 身份认证平台具有多个身份认证子系统,满足人社领域内的所有相关业务的身份认证需求,并且各个业务系统可以共享认证结果。 多险种共享终端采集认证设备,大大减少设备部署数量,节约投资成本。 可远程验证,远程管理,不受时间与空间限制,随时随地实现身份认证。
身份管理平台解决方案
身份管理平台解决方案 1. 应用背景 计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,在企业信息化过程中,诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生,提高了企业的管理水平和运行效率。与此同时,各个应用系统都有自己的认证体系,随着应用系统的不断增加,一方面企业员工在业务系统的访问过程中,不得不记忆大量的帐户口令,而口令又极易遗忘或泄露,为企业带来损失;另一方面,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。 在上述背景下,企业信息资源的整合逐步提上日程,并在此基础上形成了各业务系统统一认证、单点登录(SSO)和信息综合展示的企业门户(Portal)。现有的门户产品多集中于口令方式的身份认证,如何更安全的进行统一认证,并保证业务系统访问的安全性,成为关注的焦点。 2. 基于CA认证的统一身份管理平台 时代亿信推出的基于CA认证的统一身份管理平台解决方案,以资源整合(业务系统整合和内容整合)为目标,以CA认证和PKI技术为基础,通过对用户身份的统一认证和访问控制,更安全地实现各业务系统的单点登录和信息资源的整合。 平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式,并采用SSL 加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。 2.1 系统功能及架构 平台的系统架构如图1所示,主要包括以下部分: 门户系统(Portal):各业务系统信息资源的综合展现; 平台管理系统:平台用户的注册、授权、审计;各业务系统的配置;门户管理; CA系统:平台用户的数字证书申请、签发和管理; 用户统一认证:用户身份的CA数字证书认证、认证过程的SSL加密通道; 单点登录(SSO):业务系统关联(mapping)、访问控制、访问业务系统时信息的加密签名和SSL加密通道; 图1 基于CA认证的统一身份管理平台架构 2.2 系统的实现和安全机制 2.2.1 用户注册和授权 (1)企业每一个用户在平台完成用户注册,得到自己的统一帐户(passport); (2)如果采用证书文件或USB智能卡认证方式,则CA系统自动为平台用户签发数字证书,并与用户的统一帐户对应。 (3)注册的用户可以由管理员进行分组,并根据分组设定相应的业务系统访问权限。 2.2.2 业务系统的配置 接受统一认证的业务系统必须完成以下工作: (1)安装业务系统访问前置并配置证书和私钥,用以建立客户端与业务系统之间的SSL 加密通道,并接收处理平台提供的加密签名的用户认证信息; (2)提供关联(mapping)接口和访问验证接口,并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息(可能包括业务系统的用户名和密码)的对应关系。
统一身份认证平台
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
用友U8身份认证解决方案(9)
身份认证解决方案 目前在U8中用户的身份认证支持四种模式:用户+口令(静态密码),动态密码、CA认证和域身份认证,同一时间,一个用户只能使用一种认证方式,但是不同用户可以根据权限,重要程度交叉使用不同的认证方式。 1.设置认证方式 在系统管理模块中增加操作员的时候设置认证方式,默认支持用户+口令,用户可以更改以便于支持其余三种模式。
图一 2.合作伙伴支持的身份认证在U8系统中的使用 2.1易安全动态密码 1.在U8的应用服务器上,安装“易安全动态密码系统”,根据《U8_动态密码安装配置手 册(深圳海月)》进行相关配置。 2.在系统管理里设置认证方式为“动态密码”,如图一所示,默认支持的是静态口令。 3.配置完成后,在客户端登录产品,密码输入框必须输入由设备动态产生的密码才可,如 图二所示: 图二 备注: 两个系统要求用户编码共用,即不论采用哪种认证方式,用户名必须是通过U8的系统管理产生的,易安全动态密码系统支持批量导入U8用户,权限控制必须在系统管理中完成,如果使用动态密码认证,在系统管理增加用户时,可以不考虑密码信息,同时关于密码的安全策略将不起作用。 详细介绍见《U8动态密码解决方案(深圳海月)》 2.2BJCA的证书使用 BJCA支持两种PKI/CA建设模式:企业自建CA和托管CA。 企业自建CA就是企业自己创建和维护根证书,自行颁发证书。用户身份只需要企业内部审查即可,用户唯一标识为自定义名称,比如test、demo等。
托管CA是企业到BJCA申请证书,BJCA使用Public Trust CA体系为其颁发证书,用户的身份要经过BJCA严格审查,默认唯一标识为身份证号码或企业组织机构代码。 具体使用步骤: 1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。 2.在U8的客户端安装BJCA的客户端证书管理工具,请参阅《U8_CA安装配置手册(BJCA)》进行相关配置。 3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称,名称必须是字母或数字,不能含中文。如图三所示: 图三 4.配置完成后,在客户端登录产品,密码输入框输入的是在U8系统设置的用户密码, 点击确定后,验证U8密码正确后,再次弹出证书PIN码的输入框,如图四所示: 图四 输入PIN码,确定后,系统自动验证证书的合法性。 备注: 目前U8系统中的CA认证采用的是传统的用户名(密码)+证书的双重认证,使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确,安全策略中的密码策略只对U8密码起作用,修改密码也仅修改U8自身的密码。 用户在托管CA申请证书时,必须正确提交企业系统名称。 详细介绍见《U8安全解决方案(BJCA)》 2.3天威诚信的证书使用 天威诚信也支持两种PKI/CA建设模式:第三方托管CA服务和自建型CA系统。 第三方托管CA服务,是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书,用户在本地只要建设少量的CA模块,就可以实现CA认证的功能。 自建型CA系统是指客户购买天威诚信开发的PKI/CA软件,建设一个独立的PKI/CA 系统,除了购买系统软件之外,还包括系统、通信、数据库以及物理安全、网络安全配置、
统一身份认证系统
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
统一身份认证系统建设方案
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统