统一认证系统设计方案doc.docx
《统一认证系统设计方案doc.docx》由会员分享,可在线阅读,更多相关《统一认证系统设计方案doc.docx(28页珍藏版)》请在冰点文库上搜索。
统一认证系统设计方案doc
基础支撑平台
第一章统一身份认证平台
一、概述
建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。
为平台用户以下主要功能:
为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。
用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。
提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。
系统遵循自由联盟规范的LibertyAllianceWeb-BasedAuthentication标准和OASISSAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。
单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务
单点登录的应用,减轻了用户记住各种账号和密码的负担。
通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。
同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。
二、系统技术规范
单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。
Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。
通过使用统一而又公开的Liberty规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。
Liberty规范的联盟化单点登录SSO(SingleSignOn)系统有以下特点:
(1).可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点登录服务;
(2).联盟的应用系统无需大量改造,不需要用户信息大集中,不影响系统原有业务逻辑与性能;
(3).以用户为中心,保护用户信息安全和隐私;
(4).支持多种、多等级的、安全的用户登录认证方式等。
支持的认证技术
联盟化单点登录原理与场景图示:
同域单点登录
跨域单点登录
三、单点登录系统功能
1.单点登录
(1).支持单点登录、单点登出
(2).支持平台安全域下用户的“一点认证,全网通行”和“一点登出,整体退出”。
(3).支持多个IDP/SP间的联合互信
(4).支持符合LibertyAlliance的SP或IDP间的联合互信,可根据SP的信任程度决定是否联盟。
(5).支持联盟信息的管理
(6).支持IDP联盟信息的管理或配置功能。
(7).不影响正常的业务逻辑与性能。
2.支持LibertyID-FFv1.2规范
(1).系统提供一个完整的联合互信平台以支持最新的LibertyAlliance联合互信标准LibertyID-FF1.2规范;
(2).支持Liberty规范中的所有功能,包括单点登录、整体退出、账号联盟和解盟、注册名重新注册(AccountLinking)、联合互信等功能;
(3).系统本身提供了一个完整的LibertyAlliance联合互信平台,以部署在各个需要通过联合互信标准集成的SP方,以加快IDP和各SP的集成;
(4).提供扩展的站点转送功能,为客户提供更符合实际应用的功能;
(5).一个IDP服务器可以同时支持一个或多个SP服务器;
(6).一个SP服务器可以同时支持一个或多个IDP服务器;
(7).系统提供标准的Java的认证、单点登录和LibertyAlliance联合互信的SDK以支持方便和灵活的应用集成;
3.支持多种、多级别认证方式
(1).支持多种认证方式,已经支持的就包括LDAP认证、JDBC认证、SecurID认证等;
(2).系统具有标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证;
(3).支持分布式认证的部署方式:
即将认证界面部署在任何一个Web应用服务器上,而实现多种认证支持的统一认证服务器部署在内网中,以保证认证的安全性和扩展性;
(4).系统本身支持session的互信机制;
(5).系统支持多级别认证方式:
用户名/密码认证、数字证书认证、动态口令认证,等等。
通过适配器的扩展,可以支持更多的认证方式;
(6).支持多种应用场景的认证请求
(7).门户认证:
支持接收自服务门户的认证(个人用户门户、SP门户、运营商门户)请求;
(8).支付认证:
支持支付流程中需要用到的支付安全认证请求;
(9).业务认证:
支持业务流程中需要用到的用户身份认证请求;
(10).单点登录认证:
支持单点登录的认证请求;
(11).支持认证方式的生命周期管理;
(12).支持认证方式的注册、修改、删除;
(13).支持认证方式状态的变更(开通、暂停、恢复、注销);
(14).支持认证方式相关参数的配置;
(15).支持认证等级的配置。
4.认证的安全控制
主要保障身份认证的安全,基本要求如下:
(1).平台用户身份认证安全控制
凡是输入用户名/密码的页面均由平台提供;
凡是输入用户名/密码的地方均采用HTTPS的方式进行通信;
(2).第三方系统用户身份认证安全控制
对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户体验和流程安全性,所有传送过程中都对信息进行加密操作。
(3).其它认证安全手段控制
服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等现象的发生。
5.兼顾灵活性和通用性
(1).单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器,不需要依赖其它的应用服务器;
(2).集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括:
Apache,MicrosoftIIS,Sun/NetscapeWebServer;Tomcat,BEAWebLogic,IBMWebSphere,SunJavaSystemApplicationServer;等等。
(3).单点登录支持保护型单点登录方式(即将应用通过Agent保护起来的安全方式),也支持代理单点登录方式;
(4).支持同域或跨域的联合互信、单点登录。
6.在一台机器上运行多个服务器
(1).在一个单点登录服务器上同时运行IDP和SP服务器;
(2).在一个单点登录服务器上同时运行多个SP服务器;
(3).在一个单点登录服务器上,就可以建立起一个完整的信任圈和联盟化商业网络;
(4).在学校内部运行一个单点登录服务器,可以支持所有的Web应用系统的单点登录;
(5).电信或ASP只需一个单点登录,就可以为所有的SP提供基于Liberty的Web单点登录功能;
(6).强大的管理功能,可以独立管理单点登录中的每个服务器实例,包括IDP服务器和所有的SP服务器;
7.灵活的Web管理界面
(1).同一个管理界面,管理所有的IDP和SP服务器;
(2).管理界面根据服务器的角色(IDP、SP、或者同时是IDP和SP)而自动调整管理功能;
(3).统一管理所有合作伙伴的联盟信息;
(4).提供快速建立合作和联盟关系的功能;
(5).管理一个或多个数据源,包括关系数据库和LDAP目录的数据源,同时提供数据源连接测试的功能,以保证配置无误;
(6).可以为每个服务器独立配置数据源;
(7).改动服务器配置而不需要重新启动服务器,为客户提供24x7的可用时间;
8.全方位的证书管理功能
(1).提供全方位的证书和密钥管理功能,包括签名密钥和证书、SSL服务器证书、SSL客户端密钥和证书等;
(2).生成新的公钥和私钥对,支持标准的算法(RSA和DSA),支持不同长度的密钥,包括1024位、2048位、4096位等;
(3).生成自己签发的证书,支持X.509v3的证书格式;
(4).生成和导出证书请求信息;
(5).最容易使用的证书导出和导入的功能,包括导入从证书机构接到的、和从合作伙伴接到的证书。
9.易用的元数据交换功能
(1).提供快速建立合作和联盟关系的功能;采用单点登录,建立联盟关系不再是复杂的事情,只需要点击几下就可以完成的工作;
(2).全方位的元数据导出和导入的功能,加快建立联盟关系的速度和避免无谓的错误;
(3).元数据导出和导入的功能,一步到位,一次性把所有建立联盟关系的工作完成;
10.强大的机群部署功能
(1).强大的机群部署功能,管理员通过一个Web管理界面,可以管理机群中的所有服务器节点;
(2).所有服务器节点都是平等的,没有主从的概念,任何一台服务器节点都可以独立运行;
(3).所有服务器配置和SSO会话信息在机群的节点上实时同步,自动提供故障转移(FailOver)的功能;
(4).可横向扩展的机群部署,支持最严格的容错(FaultTolerance)需求;
(5).支持基于硬件或基于软件的负载均衡器。
四、系统功能特点
单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范,同时与市场同类技术相比有着以下优点:
(1).全方位支持标准LibertyID-FFv1.2规范,支持从中型到最大型的联盟化部署,支持规范中所有功能:
单点登录、整体退出、账号联盟和解盟等功能;
(2).扩展站点转送功能,为客户提供更符合实际应用的功能;
(3).支持SAML(SecureAssertionMarkupLanguage安全性断言标记语言)规范、XML(ExtensibleMarkupLanguage扩展性标识语言)数字签名规范、SOAP(SimpleObjectAccessProtocol简单对象访问协议)和Web服务协议等;
(4).支持跨域部署模式,提供跨域单点登录功能;
(5).支持多种多级登录认证机制,如用户名/密码、动态口令、等等;
(6).支持现有的用户管理系统,包括LDAP(LightDirectoryAccessProtocol,轻量级目录访问协议)目录、数据库,等等;
(7).支持多种多级认证方式:
普通口令、数字证书、动态口令、指纹识别、IC智能卡等认证方式,支持第三方认证系统、权限管理系统;
(8).系统功能强大:
单点登录的设计就是要能支持多服务器合为一体的身份联盟服务器,在同一个机器上同时支持身份提供方(统一身份管理与认证服务提供方)和SP(ServiceProvider应用服务提供方)的服务器角色,而同时又能在统一个机器上运行多个SP服务器。
对于整个信息化平台只需要一个单点登录服务器就可以为所有的应用服务体统无论是同域还是跨域的提供单点登录功能,为用户提供全面的单点登录服务;
(9).基于应用场景的系统管理方式:
基于Web的管理界面可以帮助第一次接触Liberty或经验丰富的管理员,按循序渐进的步骤,完成端到端的系统配置,从而将配置错误和复杂性降至最低限度,同时管理界面能具有当场检查和验证配置参数的功能,捕获和甚至防止在配置时的错误,从而将人为的可能错误降至最低限度,这为管理员大大降低了运行时调试的时间;
(10).快速的联盟系统集成方式:
采用单点登录解决方案,应用系统的单点登录服务的集成是一件最简单不过的事情。
一般只需点击几下就能完成与联盟合作伙伴的连接,而且管理员可以很容易的从一个中央管理平台管理整个网络的服务器,和所有集成单点登录服务的应用服务的信息;
(11).支持联盟的部署架构:
采用单点登录的解决方案,管理员可以在同一个地方管理所有的协议定义、PKI私钥/公钥和证书、连接方式等信息,而不需要维护多个版本、多份服务器配置和信任关系的信息,单点登录能将部署在不同安全域里的高校Web应用系统联盟起来的能力使业务与业务系统间的联盟部署更方便,而且可以大幅度的降低管理成本;
(12).系统支持以下的操作系统:
Windows、Linux、Unix;
(13).电信级的稳定性、可扩展性:
单点登录是为中型到最大型的联盟部署设计的,所以能支持应用服务系统在大型数据中心的部署,提供全方位的机群部署和数据同步功能,为客户提供电信级的横向可扩展性,服务器配置、联盟连接、合作伙伴的信息、PKI私钥/公钥和证书等信息,都在整个机群中的所有节点同步SSO会话和联盟事务在机群中的节点实时同步,为客户提供实际的负载均衡和故障转移的功能,单点登录支持24x7的可用时间的客户需求;
(14).全面的集成开发包:
单点登录是市场上提供最全面的集成开发包的身份联盟服务器,支持当今绝大部分的主流Web应用服务器技术,更全面的为客户提供解决方案。
提供以下的集成开发包(SDK):
⏹基于Java的SDK
⏹基于.Net的SDK
⏹基于ASP的SDK
⏹基于PHP的SDK
单点登录所提供的SDK使集成现有的用户认证系统和Web应用系统更快速、更方便。
五、平台性能
单点登录只在用户登录和退出的时候才被激活,而用户在应用系统中进行正常的操作的时候,根本不和单点登录打交道。
也就是说,单点登录本身的处理速度不影响正常的业务运作。
不仅如此,就是单点登录的认证速度也是和传统的本地登录没有什么区别。
运行一个单点登录服务器进行测试,在0.2-0.3秒(1分钟处理200次的请求)之内完成一个单点登录的认证,1000并发用户登录响应时间小于3秒。
六、系统部署
本期信息化建设将整合现有需要实现单点登录的业务系统,可以按照以下集成部署。
拓扑结构如下图所示:
单点登录集成拓扑结构图
拓扑结构组成:
(1).IDProvider(IDP):
一个身份验证和管理服务提供方,在这里选择门户平台作为IDP,把校园网用户管理系统的用户信息作为用户统一身份认证信息。
(2).ServiceProviders(SP):
多个Web应用服务,包括教务管理系统、校园网用户管理、图书管理系统、邮件管理系统等。
(3).联盟框架:
联盟化身份验证服务器(SSOServer),提供联盟化单点登录基础框架。
系统集成拓扑结构:
集成拓扑结构
系统集成部署过程如下:
(1).单点登录服务器独立运行,选择持久化系统,可以是关系数据库或者LDAP用来存放用户联盟信息。
(2).应用服务器(SP)需要提供集成所需的登录、退出过程源代码。
(3).一个Agent模块嵌入到应用服务器(在登录和退出过程中加入单点登录SDK),只在用户选择单点登录服务时,在登录与退出过程中才激活,不影响原有系统业务逻辑(可以保留原有登录模式),不影响系统性能。
说明:
Agent是一个软件库,负责单点登录服务器与应用服务器之间的互动工作,属于SDK的一部分,SSO系统提供了大多数应用服务集成需要的SDK,如Java/ASP/C#/Php等等。
(4).SSO提供统一的管理平台,通过管理平台可以远程管理所有集成了联盟关系的各个应用系统,管理界面如下图所示:
SSO远程管理平台
主要功能包括IDP服务器管理、SP服务器管理、通信证书管理、数据源配置、机群部署等。
七、提高整体安全度
(1).使用标准的安全协议,以提供整体的安全度;
(2).通过安全的联盟协议降低用户在网上传送用户名和密码的次数,大幅度降低账号被盗窃的机会;
(3).通过系统联盟(联合互信)实现单点登录而无需推翻已有的基础设施,充分利用现有的系统,保护已有的IT投资;
(4).将高校安全模式扩展到整个联盟化网络,整体提高网络的安全度;
(5).优于市场上其他产品之处还包括:
●不使用COOKIE存储用户信息,保障用户信息的安全性;
●不使用密码对照表,而通过用户身份联盟(AccountFederation)实现身份管理;
●通过安全讯道(https)传输身份认证信息,而且采用匿名信息,应用系统双方都无法获得用户在对方系统中的真实身份,保护用户隐私。
八、认证的安全控制
主要保障身份认证的安全,基本特点如下:
(1).平台用户身份认证安全控制
(2).凡是输入用户名/密码的页面均由平台提供
(3).凡是输入用户名/密码的地方均采用HTTPS的方式进行通信。
(4).第三方系统用户身份认证安全控制
(5).对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户体验和流程安全性,所有传送过程中都对信息进行加密操作。
(6).其它认证安全手段控制
(7).服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等现象的发生。
九、通讯协议与信息安全
为了保证用户信息的安全,单点登录平台平台保证用户在登录或退出时,用户在网上传输的所有信息都受到全程的安全保护。
所有信息都可以全程加密,而且通过安全通道传输。
(1).单点登录平台服务器之间通讯
在Liberty联盟化网络中,单点登录平台服务器与其它单点登录平台服务器通讯时,都是采用标准的Liberty协议,遵循Liberty的所有规范。
并且信息传输可以用HTTPs加密,以保证信息在传输时不被窃取。
同时单点登录平台服务器提供了强大的证书管理功能,以保证设置HTTPs或SSL的工作是一件简单的工作,就算对证书管理和使用不太熟悉的管理员,也可以安全的配置服务器。
(2).单点登录平台服务器与Web服务器之间通信
嵌入在Web应用服务器上的Agent与单点登录平台服务器通信时,所有信息都封装在一个安全的信封结构里,叫做ID-Token。
ID-Token用AES算法加密,采用128位长度的密钥加密。
加密密钥只有Web应用服务器与其相对应的单点登录平台服务器共享,所以就算ID-Token在网上被拦截了之后也无法被解密。
如下图所示:
单点登录平台通信协议
(3).说明:
每个ID-Token都有时间限制,一般设为5分钟。
过了时间限期的ID-Token一概不处理,都会被系统扔掉,所以这个安全措施有效地阻止了重放攻击的威胁。
ID-Token的时间限期可以在单点登录平台服务器的管理控制台上设置,如果必要的话,也可以再设短一点。
第二章统一权限管理平台
一、概述
数字化校园平台的权限管理由统一认证与授权管理平台ID-Directory系统完成实现,统一认证与授权管理平台是一个跨平台的统一身份管理、授权管理、认证管理、资源管理的综合性管理平台,实现了整套的RBAC(基于角色的访问控制)规范,包括细粒度的角色等级和角色约束机制,以及无限级别的权限继承的体系。
二、安全政策
安全政策是一个概念,也是一个基于各种对象和概念的组合。
安全政策是围绕着角色、权限、用户、资源和安全域之间的关系而定义的。
互联网的环境是没有界限和约束的,在这样的环境下进行商务活动,保证消费者和服务提供方双方的利益,是对运营商最基本的要求。
所以,建立一套完善的管理体系,对高校信息化的总体全面而方便有序地管理起来就成为了重中之重。
比如,用户如何方便的申请自己需要的服务,如何支付自己享受的服务,而对于服务提供方,如何针对不同的客户开通不同的服务,如何为客户提供方便快捷的单点登录多个服务,如何确认访问者的身份,又如何获得访问者的权限信息?
如何控制和分配用户的访问及操作权限?
解决这些问题都是一个基于互联网的服务首要任务。
也就是首先要制定和实施管理政策,而这个政策就是一个安全政策,处理好在数字化校园平台中用户、角色、服务(资源)、客户、权限等之间的关系,做到统一贵方,疏而不漏,方便快捷,同时又具有极强的扩展性、规范性和安全性。
统一的安全政策管理是统一认证与授权平台的总体目标,它主要是一个基于“角色”的细粒度管理体系。
不同于以用户为中心的管理方式,基于角色的管理更加精练与便捷。
下图绘制了安全政策里的各种关系:
安全政策概念图
操作资源的权限被分配给了角色。
而角色又根据学校的需求而制定的约束下分配给了用户。
一个权限可能隐含着其他的权限。
而这一切都在一个安全域的范围内制定的。
安全域划分了安全政策的范围,那就是说,安全政策只能针对安全域内的对象和资源才可以执行。
安全域可以按地理划分、按组织结构划分、或者按功能划分,安全域可以是一个国家或地区、一个城市或省份、一个域、一个组、一个组织、或一个组织部门。
三、基于RBAC的授权规范
RBAC(Role-BasedAccessControl,基于角色得访问控制)体系是美国NIST(美国科技与标准管理局)制定而且提倡的用户管理、安全政策管理体系,也是目前公认的解决大型组织机构的统一资源访问控制的有效方法。
统一认证与授权平台实现了RBAC标准的用户统一权限管理平台,具有RBAC体系的灵活性、可扩展性、可管理性,本方案建议采用统一认证与授权平台。
我们在下面简单的介绍统一认证与授权平台中的重要概念,与其应用的范围和例子。
1.角色
角色在RBAC体系里是一个核心的概念,也是统一认证与授权平台系统中最核心的元素。
在统一认证与授权平台管理平台上,客户可以根据自身的需求定义角色及其相关的安全政策。
系统里不预设固定的角色或用户,给予客户最大的灵活性和适用性。
一个角色可以是全局性的,或局部性的。
局部性即局部于一个或多个安全域的范围之内。
一个全局性的角色可以在所有的安全域内执行它的权限。
局部于一个安全域的角色只能在这个域内,和这个域下属的子域内执行它的权限。
更准确的说,一个局部性的角色不是指这个角色被包容在一个安全域内,而是指这个角色拥有访问域内的资源的权限。
一个角色可以拥有访问一个或多个域的资源的权限。
不仅如此,在统一认证与授权平台管理平台上可以制定角色等级,并且不限制角色等级数量。
一个角色可以继承它下属角色的权限。
角色等级结构可以跨越多个等级,那就是说,第一个角色可以继承第二角色的权限,而第二角色又可以继承第三角色的权限。
但是不是所有下属角色的权限都被上层继承,系统提供配置选项,这也是统一认证与授权平台灵活性的体现之一。
上图描绘的就是角色与安全域之间的关系,角色5是一个全局性的角色。
角色1、6和7只有访问安全域1的权限,而角色3和4只有访问安全域2的权限。
但是角色2拥有访问安全域1和2的权限。
按照全局性角色的定义,角色5拥有访问安全域1和2的权限。
从上图我们也可以看到,角色7继承了角色6的所有权限。
统一认证与授权平台也建立了用户基数、职责分离等概念,为高校制定灵活的管理策略奠定了坚实的技术基础
角色可以分的很细,例如:
计费系统,平台可以根据资源的划分和计费系统原有的权限划分来建立不同的角色。
每个用户在自己的服务权限范围内,可以给自己部门(院系)制定一些角色。
例如建立一个系主任的角色,只要给这个角色定义好权限,并将相应的用户赋予系主任的角色即可完成政策制定的工作。
本来如果有200个同样角色的用户,需要一一配置的,这样一来,一次性解决问题,不仅降低了管理强度,而且减少了因为多次的重复工作引起的误操作。
这也是统一权限管理体系从以用户为中心向以角色为核心转移的一个根本原因之一。
2.用户
统一认证与授权平台中的用户可以是自然人或
升级会员 