1. 概述

　　1.1 现状

　　开滦集团现有财务、OA、电子邮局等多个应用系统，各种应用软件都有自身的认证管理模块，用户在使用不同的应用系统都要进行认证，这样系统用户必须记忆多个用户ID和密码。同时系统管理员要给每个应用系统设置一个安全策略，而且需要对每个应用系统的用户进行单独的授权以确保用户不能访问未被授权访问的资源，这样使得系统管理员的工作量大大增高，从企业整体的安全角度出发，多个业务系统之间存在安全隐患。

　　怎样保证企业内部各种应用系统的整体安全成为亟待解决的重要问题。

　　1.2 需求与分析

　　开滦集团的需求可以分为以下几点：

　　统一的认证门户；

　　多个B/S结构业务系统接入平台；

　　接入系统信息的集中展示；

　　平台对用户统一授权和认证；

　　用户只使用一个USB-KEY访问所有被授权的系统；

　　接入系统的原有认证体系保留，与统一身分管理系统并行使用。

　　时代亿信统一身份管理平台（以下简称UAP平台）即解决目前分散认证系统的种种弊端所产生的一种产品。基于CA数字证书认证的智能密钥身份认证方式，以PKI国际标准和公开密钥理论为基础，通过数字证书、数字签名等机制充分保证了认证过程的安全性，成为身份认证技术的一个重要发展方向和趋势，并已在政府、军队、银行、证券、电信等领域得到了成熟应用。平台是以资源整合为目的，通过对用户身份的统一认证和访问控制，实现各个业务系统单点登录（SSO）的服务平台。所谓单点登录就是通过一次认证就能访问所有授权的应用系统，这样提高了工作效率和整体安全性。

　　　　2. 系统总体结构介绍

　　2.1 统一身份管理平台概述

　　统一身份管理平台是基于PKI（Public Key Infrastructure）理论体系， 利用CA、数字签名和数字证书认证机制，综合应用USB接口智能卡、安全通道等技术，为开滦集团的财务、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。认证平台整个系统的核心部分，控制所有远程用户对网络和应用系统的访问，提供全面的认证、授权和审计服务。安全认证服务器拥有完善的自身数据安全保护功能，所有用户数据经加密后存储在数据库中。

　　

　　

　　2.2 功能介绍

　　统一授权——证书作为用户访问平台及各应用系统的凭据，并对用户访问应用系统的权限进行授权。

　　身份认证——用户在访问平台及各应用系统时，都使用相同的凭据（即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN），并利用数字签名技术在平台进行身份认证，证明其身份的真实性。

　　单点登录（SSO）——用户在通过平台认证后，可直接访问已授权的各应用系统，实现不同应用系统的身份认证共享，从而达到多应用系统的单点登录。

　　数据共享——包括用户资源与接入系统信息集中展示两方面。认证平台存储了用户的基本信息和证书信息，所有应用系统均可以充分利用这些信息，减少用户信息的重复录入。

　　安全通道——平台提供两种安全通道：一种是应用层安全通道，一种是网络层安全通道。它们为内网应用之间或外网应用之间提供安全的传输通道，保证其中传输的数据的安全性。

　　3. 技术细节

　　3.1 CA证书管理

　　在此次系统实施中，使用开滦集团财务系统原有CA为统一身份管理平台所有用户颁发证书。 CA证书管理功能，含盖：

　　CA初始化

　　证书申请

　　证书下载

　　证书作废

　　应用流程

　　1) 使用CA生成证书

　　2) 管理员将证书下载到本地，使用我公司提供的客户端软件灌制到Key当中。

　　3) 管理员使用统一身份管理平台管理系统将证书与用户进行关联。

　　3.2 统一认证门户

　　平台自带认证门户，用户需要使用USB-KEY登录认证成功后才能进入，主要作为各B/S结构应用系统的统一访问入口和平台管理的入口。

　　该门户可以进一步扩展为企业内部信息的发布平台，实现内部信息的共享。实现时我公司提供接入系统标准的Web Service接口，完成信息的抓取。

　　平台管理基于WEB方式来完成，主要包括：用户管理、用户证书和USB智能卡管理、业务系统及其配置管理、访问控制管理、管理员管理、监控与日志。

　　3.3 统一身份管理平台管理系统

　　平台管理系统充分体现人性化设计，功能强大、界面美观、操作简便易懂，为用户提供认证方式、权限配置及系统审计等多种管理功能。

　　功能结构图

　　

　　3.3.1 系统配置管理

　　系统配置管理为用户提供本管理系统各内部配置信息的管理功能。

　　具体功能项如下：

　　系统配置总览

　　认证方式配置

　　认证服务器配置

　　访问控制器配置

　　管理员管理

　　注册信息管理

　　3.3.2 用户及权限管理

　　平台用户是一个大的用户集合，通过平台认证的用户并不一定能访问所有接入平台的业务系统。平台用户对业务系统的访问权限通过用户分组和访问控制策略进行控制。例如：

　　按照用户所属单位或部门划分组，该组可访问相应单位部门的业务系统；

　　按照用户角色划分组，例如：财务人员分组可以访问财务相关的业务系统；

　　同时，平台用户与业务系统映射表中设置用户访问权限标识，可针对单个用户访问某个业务的权限进行停用/启用。

　　3.3.3 业务系统配置管理

　　业务系统配置管理功能是对各业务系统各配置项，映射接口及相关访问控制策略等信息的管理。

　　具体配置管理功能包括：

　　业务系统基本信息

　　业务系统映射接口配置

　　业务访问接口配置

　　业务系统访问控制策略

　　3.3.4 系统审计管理

　　系统支持日志备份及查找功能，可按时间范围导出备份系统日志信息，并具实时监控功能，可实时监控用户日志。

　　具体包括：

　　日志管理

　　实时监控

　　3.4 认证与SSO实现

　　3.4.1 系统结构：

　　统一身份管理平台的解决方案在基于原来的网络体系架构上，引入基于数字证书的Key智能卡认证方式，来完成对整个系统的统一认证，以及通过关键信息加密及SSL加密通道完成对各个独立应用系统的单点登录，服务器端配置认证程序，各独立应用系统需配置认证前置及访问和映射接口，从而完成对用户身份的统一认证及各业务系统的单点登录。

　　3.4.2 认证程序

　　认证程序由SSL加密通道模块和解密验证线程模块（可选，用于支持采用关键信息加密签名的认证方式）组成。

　　SSL加密通道模块：默认监听443端口，接收用户的登录认证请求，并中转至平台WEB/应用服务器（80端口）。

　　用户名/口令认证：配置为单向SSL，客户端不需要证书；

　　证书文件认证和USB智能卡认证：配置为双向SSL，客户端必须提供用户证书；

　　如果三种认证方式同时支持，则配置为自动识别方式。

　　客户端提供用户证书的情况下，认证程序需要通过SSL通道获取用户证书及其详细信息，并将证书序列号提交至平台WEB/应用服务器。

　　解密验证线程模块：默认监听5555端口，如果平台采用关键信息加密签名的认证方式，则平台通过调用接口包（Java），将客户端提交的加密签名的认证信息提交至解密验证线程模块。

　　接入系统按客户要求保留原有的认证体系，与统一身份管理平台并行使用。

　　具体实施细节：在接入系统中开放一个应用端口（例如80端口），用于调用平台的认证程序，完成平台的统一身份认证，而这项改动不会对原有认证体系有任何影响。 

　　3.4.3 认证数据库

　　平台的认证数据库主要功能为：存放平台用户数据、业务系统配置数据、平台用户与业务系统账户的映射（mapping）数据、访问控制（ACL）数据、日志等数据。

　　所支持的数据库包括Oracle、MS SQL Server、DB2、MySQL等。

　　3.4.4 访问控制服务器

　　访问控制服务器由加密签名模块组成，用户在访问业务系统时，无论是映射数据还是正常访问数据，都需要经过访问控制服务器的加密签名处理，然后再调转至业务系统（客户端浏览器调转方式）。

　　3.4.5 业务系统认证前置

　　业务系统访问前置由SSL加密通道模块和解密验证线程模块组成。

　　SSL加密通道模块：默认监听443端口，配置为单向SSL，接收经平台加密签名的用户映射请求或访问请求，并中转至业务系统的WEB/应用服务器。

　　解密验证线程模块：默认监听5555端口，业务系统通过调用接口包（Java或COM组件），将接收的加密签名的用户信息提交至解密验证线程模块。

文章作者：汪洋