本文以某新聞機關多媒體資料庫系統為例,提出建立企業使用者認證中心,實作基于安全政策的統一使用者管理、認證和單點登入,解決使用者在同時使用多個應用系統時所遇到的重複登入問題。
随着資訊技術和網絡技術的迅猛發展,企業内部的應用系統越來越多。比如在媒體行業,常見的應用系統就有采編系統、排版系統、印刷系統、廣告管理系統、财務系統、辦公自動化系統、決策支援系統、客戶關系管理系統和網站釋出系統等。由于這些系統互相獨立,使用者在使用每個應用系統之前都必須按照相應的系統身份進行登入,為此使用者必須記住每一個系統的使用者名和密碼,這給使用者帶來了不少麻煩。特别是随着系統的增多,出錯的可能性就會增加,受到非法截獲和破壞的可能性也會增大,安全性就會相應降低。針對于這種情況,統一使用者認證、單點登入等概念應運而生,同時不斷地被應用到企業應用系統中。
統一使用者管理的基本原理
一般來說,每個應用系統都擁有獨立的使用者資訊管理功能,使用者資訊的格式、命名與存儲方式也多種多樣。當使用者需要使用多個應用系統時就會帶來使用者資訊同步問題。使用者資訊同步會增加系統的複雜性,增加管理的成本。
例如,使用者X需要同時使用A系統與B系統,就必須在A系統與B系統中都建立使用者X,這樣在A、B任一系統中使用者X的資訊更改後就必須同步至另一系統。如果使用者X需要同時使用10個應用系統,使用者資訊在任何一個系統中做出更改後就必須同步至其他9個系統。使用者同步時如果系統出現意外,還要保證資料的完整性,因而同步使用者的程式可能會非常複雜。
解決使用者同步問題的根本辦法是建立統一使用者管理系統(UUMS)。UUMS統一存儲所有應用系統的使用者資訊,應用系統對使用者的相關操作全部通過UUMS完成,而授權等操作則由各應用系統完成,即統一存儲、分布授權。UUMS應具備以下基本功能:
1.使用者資訊規範命名、統一存儲,使用者ID全局惟一。使用者ID猶如身份證,區分和辨別了不同的個體。
2.UUMS向各應用系統提供使用者屬性清單,如姓名、電話、位址、郵件等屬性,各應用系統可以選擇本系統所需要的部分或全部屬性。
3.應用系統對使用者基本資訊的增加、修改、删除和查詢等請求由UUMS處理。
4.應用系統保留使用者管理功能,如使用者分組、使用者授權等功能。
5.UUMS應具有完善的日志功能,詳細記錄各應用系統對UUMS的操作。
統一使用者認證是以UUMS為基礎,對所有應用系統提供統一的認證方式和認證政策,以識别使用者身份的合法性。統一使用者認證應支援以下幾種認證方式:
1. 匿名認證方式: 使用者不需要任何認證,可以匿名的方式登入系統。
2. 使用者名/密碼認證: 這是最基本的認證方式。
3. PKI/CA數字證書認證: 通過數字證書的方式認證使用者的身份。
4. IP位址認證: 使用者隻能從指定的IP位址或者IP位址段通路系統。
5. 時間段認證: 使用者隻能在某個指定的時間段通路系統。
6. 通路次數認證: 累計使用者的通路次數,使使用者的通路次數在一定的數值範圍之内。
以上認證方式應采用子產品化設計,管理者可靈活地進行裝載和解除安裝,同時還可按照使用者的要求友善地擴充新的認證子產品。
認證政策是指認證方式通過與、或、非等邏輯關系組合後的認證方式。管理者可以根據認證政策對認證方式進行增、删或組合,以滿足各種認證的要求。比如,某集團使用者多人共用一個賬戶,使用者通過使用者名密碼通路系統,通路必須限制在某個IP位址段上。該認證政策可表示為: 使用者名/密碼“與”IP位址認證。
PKI/CA數字證書認證雖不常用,但卻很有用,通常應用在安全級别要求較高的環境中。PKI(Public Key Infrastructure)即公鑰基礎設施是利用公鑰理論和數字證書來確定系統資訊安全的一種體系。
在公鑰體制中,密鑰成對生成,每對密鑰由一個公鑰和一個私鑰組成,公鑰公布于衆,私鑰為所用者私有。發送者利用接收者的公鑰發送資訊,稱為數字加密,接收者利用自己的私鑰解密; 發送者利用自己的私鑰發送資訊,稱為數字簽名,接收者利用發送者的公鑰解密。PKI通過使用數字加密和數字簽名技術,保證了資料在傳輸過程中的機密性(不被非法授權者偷看)、完整性(不能被非法篡改)和有效性(資料不能被簽發者否認)。
數字證書有時被稱為數字身份證,數字證書是一段包含使用者身份資訊、使用者公鑰資訊以及身份驗證機構數字簽名的資料。身份驗證機構的數字簽名可以確定證書資訊的真實性。
完整的PKI系統應具有權威認證機構CA(Certificate Authority)、證書注冊系統RA(Registration Authority)、密鑰管理中心KMC(Key Manage Center)、證書釋出查詢系統和備份恢複系統。CA是PKI的核心,負責所有數字證書的簽發和登出; RA接受使用者的證書申請或證書登出、恢複等申請,并對其進行稽核; KMC負責加密密鑰的産生、存貯、管理、備份以及恢複; 證書釋出查詢系統通常采用OCSP(Online Certificate Status Protocol,線上證書狀态協定)協定提供查詢使用者證書的服務,用來驗證使用者簽名的合法性; 備份恢複系統負責數字證書、密鑰和系統資料的備份與恢複。
單點登入
單點登入(SSO,Single Sign-on)是一種友善使用者通路多個系統的技術,使用者隻需在登入時進行一次注冊,就可以在多個系統間自由穿梭,不必重複輸入使用者名和密碼來确定身份。單點登入的實質就是安全上下文(Security Context)或憑證(Credential)在多個應用系統之間的傳遞或共享。當使用者登入系統時,用戶端軟體根據使用者的憑證(例如使用者名和密碼)為使用者建立一個安全上下文,安全上下文包含用于驗證使用者的安全資訊,系統用這個安全上下文和安全政策來判斷使用者是否具有通路系統資源的權限。遺憾的是J2EE規範并沒有規定安全上下文的格式,是以不能在不同廠商的J2EE産品之間傳遞安全上下文。
 |
| 圖1 SSO原理示意圖 |
目前業界已有很多産品支援SSO,如IBM的WebSphere和BEA的WebLogic,但各家SSO産品的實作方式也不盡相同。WebSphere通過Cookie記錄認證資訊,WebLogic則是通過Session共享認證資訊。Cookie是一種用戶端機制,它存儲的内容主要包括: 名字、值、過期時間、路徑和域,路徑與域合在一起就構成了Cookie的作用範圍,是以用Cookie方式可實作SSO,但域名必須相同; Session是一種伺服器端機制,當用戶端通路伺服器時,伺服器為用戶端建立一個惟一的SessionID,以使在整個互動過程中始終保持狀态,而互動的資訊則可由應用自行指定,是以用Session方式實作SSO,不能在多個浏覽器之間實作單點登入,但卻可以跨域。
實作SSO有無标準可尋?如何使業界産品之間、産品内部之間資訊互動更标準、更安全呢?基于此目的,OASIS(結構化資訊标準促進組織)提出了SAML解決方案(有關SAML的知識參看連結)。
使用者認證中心實際上就是将以上所有功能、所有概念形成一個整體,為企業提供一套完整的使用者認證和單點登入解決方案。一個完整的使用者認證中心應具備以下功能:
1. 統一使用者管理。實作使用者資訊的集中管理,并提供标準接口。
2. 統一認證。使用者認證是集中統一的,支援PKI、使用者名/密碼、B/S和C/S等多種身份認證方式。
 |
| 圖2 統一使用者認證與單點登入設計模型 |
3. 單點登入。支援不同域内多個應用系統間的單點登入。
使用者認證中心提供了統一認證的功能,那麼使用者認證中心如何提供統一授權的功能呢?這就是授權管理中,其中應用最多的就是PMI。
PMI(Privilege Management Infrastructure,授權管理基礎設施)的目标是向使用者和應用程式提供授權管理服務,提供使用者身份到應用授權的映射功能,提供與實際應用處理模式相對應的、與具體應用系統開發和管理無關的授權和通路控制機制,簡化具體應用系統的開發與維護。PMI是屬性證書(Attribute Certificate)、屬性權威(Attribute Authority)、屬性證書庫等部件的集合體,用來實作權限和證書的産生、管理、存儲、分發和撤銷等功能。
PMI以資源管理為核心,對資源的通路控制權統一交由授權機構統一處理,即由資源的所有者來進行通路控制。同公鑰基礎設施PKI相比,兩者主要差別在于: PKI證明使用者是誰,而PMI證明這個使用者有什麼權限,能幹什麼,而且PMI可以利用PKI為其提供身份認證。
單點登入通用設計模型
圖2是統一使用者認證和單點登入通用設計模型,它由以下産品組成:
1. PKI體系: 包括CA伺服器、RA伺服器、KMC和OCSP伺服器。
2. AA管理伺服器: 即認證(Authentication)和授權(Authorization)伺服器,它為系統管理者提供使用者資訊、認證和授權的管理。
3. UUMS子產品: 為各應用系統提供UUMS接口。
4. SSO: 包括SSO代理和SSO伺服器。SSO代理部署在各應用系統的伺服器端,負責截獲用戶端的SSO請求,并轉發給SSO伺服器,如果轉發的是OCSP請求,則SSO伺服器将其轉發給OCSP伺服器。在C/S方式中,SSO代理通常部署在用戶端。
5. PMI: 包括PMI代理和PMI伺服器。PMI代理部署在各應用系統的伺服器端,負責截獲用戶端的PMI請求,并轉發給PMI伺服器。
6. LDAP伺服器: 統一存儲使用者資訊、證書和授權資訊。
為判斷使用者是否已經登入系統,SSO伺服器需要存儲一張使用者會話(Session)表,以記錄使用者登入和登出的時間,SSO伺服器通過檢索會話表就能夠知道使用者的登入情況,該表通常存儲在資料庫中。AA系統提供了對會話的記錄、監控和撤消等管理功能。為保證穩定與高效,SSO、PMI和OCSP可部署兩套或多套應用,同時提供服務。
連結
SAML
SAML(Security Assertion Markup Language,安全性斷言标記語言)是一種基于XML的架構,主要用于在各安全系統之間交換認證、授權和屬性資訊,它的主要目标之一就是SSO。在SAML架構下,無論使用者使用哪種信任機制,隻要滿足SAML的接口、資訊互動定義和流程規範,互相之間都可以無縫內建。SAML規範的完整架構及有關資訊互動格式與協定使得現有的各種身份鑒别機制(PKI、Kerberos和密碼)、各種授權機制(基于屬性證書的PMI、ACL、Kerberos的通路控制)通過使用統一接口實作跨信任域的互操作,便于分布式應用系統的信任和授權的統一管理。
SAML并不是一項新技術。确切地說,它是一種語言,是一種XML描述,目的是允許不同安全系統産生的資訊進行交換。SAML規範由以下部分組成:
1. 斷言與協定: 定義XML格式的斷言的文法語義以及請求和響應協定。SMAL主要有三種斷言: 身份認證斷言、屬性斷言和通路授權斷言。
2. 綁定與配置檔案: 從SAML請求和響應消息到底層通信協定如SOAP或SMTP的映射。
3. 一緻性規範: 一緻性規範設定了一種基本标準,必須滿足這一SAML标準的實作才能夠稱為一緻性實作。這樣有助于提高互操作性和相容性。
4. 安全和保密的問題: SAML體系結構中的安全風險,具體而言就是SAML如何應對這些風險以及無法解決的風險。
要注意的是,SAML并不是專為SSO設計,但它卻為SSO的标準化提供了可行的架構。