基于CA服务的统一认证平台概览

作者: JOY 出处:51CTO.com　2007-09-26 14:21　   砖    好    评论  条 　进入论坛

阅读提示：基于CA认证的统一认证平台解决方案应该以资源整合（业务系统整合和内容整合）为目标，以CA认证和PKI技术为基础，通过对用户身份的统一认证和访问控制，更安全地实现各业务系统的单点登录和信息资源的整合。

1. 应用背景
计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高，在企业信息化过程中，诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生，提高了企业的管理水平和运行效率。与此同时，各个应用系统都有自己的认证体系，随着应用系统的不断增加，一方面企业员工在业务系统的访问过程中，不得不记忆大量的帐户口令，而口令又极易遗忘或泄露，为企业带来损失；另一方面，企业信息的获取途径不断增多，但是缺乏对这些信息进行综合展示的平台。
在上述背景下，企业信息资源的整合逐步提上日程，并在此基础上形成了各业务系统统一认证、单点登录（SSO）和信息综合展示的企业门户（Portal）。现有的产品多集中于口令方式的身份认证，如何更安全的进行统一认证，并保证业务系统访问的安全性，成为关注的焦点。
2. 基于CA认证的统一认证平台
基于CA认证的统一认证平台解决方案应该以资源整合（业务系统整合和内容整合）为目标，以CA认证和PKI技术为基础，通过对用户身份的统一认证和访问控制，更安全地实现各业务系统的单点登录和信息资源的整合。
平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式，并采用SSL加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。
2.1 系统功能及架构
平台的系统架构如图1所示，主要包括以下部分：
门户系统（Portal）：各业务系统信息资源的综合展现；
平台管理系统：平台用户的注册、授权、审计；各业务系统的配置；门户管理；
CA系统：平台用户的数字证书申请、签发和管理；
用户统一认证：用户身份的CA数字证书认证、认证过程的SSL加密通道；
单点登录（SSO）：业务系统关联（mapping）、访问控制、访问业务系统时信息的加密签名和SSL加密通道；

图1

2.2 系统的实现和安全机制
2.2.1 用户注册和授权
（1）企业每一个用户在平台完成用户注册，得到自己的统一帐户（passport）；
（2）如果采用证书文件或USB智能卡认证方式，则CA系统自动为平台用户签发数字证书，并与用户的统一帐户对应。
（3）注册的用户可以由管理员进行分组，并根据分组设定相应的业务系统访问权限。
2.2.2 业务系统的配置
接受统一认证的业务系统必须完成以下工作：
（1）安装业务系统访问前置并配置证书和私钥，用以建立客户端与业务系统之间的SSL加密通道，并接收处理平台提供的加密签名的用户认证信息；
（2）提供关联（mapping）接口和访问验证接口，并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息（可能包括业务系统的用户名和密码）的对应关系。

图2 系统的实现和安全机制

 
2.2.3 用户统一认证
如图2所示，用户统一认证过程采用SSL加密通道保证安全性。认证服务器负责SSL加密通道的建立。
（1）对于口令认证方式，认证服务器配置为单向SSL加密通道，客户端不需要证书；
（2）对于证书文件或USB智能卡认证方式，认证服务器配置为双向SSL加密通道，客户端必须提供用户证书，并由认证服务器完成对用户证书和用户身份的校验；
客户端浏览器与认证服务器之间采用HTTPS协议，认证服务器与平台应用服务器之间采用HTTP协议。在用户认证完成后，可根据需要设定客户端浏览器对平台的访问是否继续走SSL加密通道，充分兼顾安全与效率。
2.2.4 用户的业务系统关联（mapping）
用户通过平台认证后，第一次访问业务系统时，平台根据业务系统的配置自动生成业务关联页面，要求用户进行关联：
（1）用户输入业务系统的用户信息（可能包括业务系统用户名和密码）；
（2）关联信息连同时间戳被平台的访问控制服务器进行加密和签名（业务系统证书加密，平台私钥签名，时间戳用于防止重放攻击）；
（3）加密签名的关联信息通过SSL加密通道，传递至业务系统访问前置，并由其进行解密验证后交给业务系统验证；
（4）关联信息验证通过，则平台将用户统一帐户与业务系统用户信息建立对应关系，以备正常访问业务系统时使用。
2.2.5 用户对业务系统的正常访问
如图2所示，如果用户完成了平台统一帐户与业务系统用户信息的关联，则在通过平台认证后访问业务系统时：
（1）平台根据要访问的业务系统ID和会话（session）中的用户统一帐户，查询用户的业务系统关联信息；
（2）将相应信息和时间戳由访问控制服务器加密签名并经由客户端，通过SSL加密通道，传递至业务系统访问前置，并由其进行解密验证后交给业务系统验证；
（3）业务系统验证通过后，自动跳转进入业务系统。
在访问业务系统时，相关信息的传递均结合时间戳、关键信息加密签名和SSL加密通道技术，在自动认证完成后，业务系统可根据需要设定是否继续走SSL加密通道。既保证了单点登录过程中信息传递的保密性和真实性，有效防止了重放攻击，又兼顾了业务系统访问的安全与效率。
3. 系统特点
基于CA认证的统一认证解决方案与传统的门户产品相比，在进行业务系统整合和内容整合的同时，更加注重资源整合的效果和统一认证的安全性，具有以下特点：
（1）身份认证和单点登录的高安全性
充分运用了CA认证、SSL加密通道、关键信息加密签名、时间戳等技术，保证了信息传递的保密性，真实性，有效防止了重放攻击。
（2）业务系统的实施工作量少
业务系统只需安装配置访问前置，并按规范提供关联接口和访问验证接口即可。访问前置支持Windows、Linux、Unix平台，充分满足各种平台下业务系统的需求。
（3）充分兼顾系统安全与效率
在身份认证和单点登录这样的高风险阶段，采用多种技术保证安全性，而在正常访问业务系统数据时，可以综合考虑安全与效率，灵活设置是否采用SSL加密通道。
（4）系统具有高可靠性和可用性
平台支持软件方式的负载均衡，充分满足并发认证的需求；同时，平台与业务系统之间采取松散耦合的方式，灵活满足业务系统的调整和升级。