统一认证课件

1、北京国富安电子商务安全认证有限公司数字证书服务及4A产品介绍用户分散缺乏监管授权混乱数据分散重复建设多次登录面临的困境EC平台发展4A产品的初衷账号管理（Account）缺少帐号和自然人的逻辑关联，一旦出现安全问题，很难定位到自然人各系统的帐号管理独立且分散，管理员很难完成对帐号的有效管理账号多人共用，难以实现帐号权限的有效监督和审核 当有人员或岗位变动时，管理员需要频繁地登录到各个系统中为相应的用户创建、删除、修改帐号，工作量巨大用户在各个系统上自主设定、修改密码，密码强度难以保证、定期修改的规定难以执行 无效账户难以彻底删除或者禁止帐号安全现状认证管理（Authentication）多样的

2、身份认证系统，每个系统都有一套独立的认证管理体系，给管理员带来了很大负担各信息系统都有一套独立的认证管理体系，无法贯彻统一的登录控制策略登录各系统都需要输入用户名和口令，用户操作繁琐现有系统中账号级别与认证方式不对应安全现状授权管理（Authorization）各应用系统都有一套独立的授权管理，缺乏集中统一的资源授权管理； 各系统分别管理所属的系统资源，无法严格按照最小权限原则分配权限随着用户数量的增加，权限管理任务越来越重用户的权限和自己的工作职责是不一致的安全现状审计管理（Audit）各应用系统都有一套独立的审计管理,并且审计内容和强度不一致，无法贯彻统一的审计管理策略缺乏集中统一的设备审

3、计管理，无法有效完成对日志记录的定期审阅。无法对日志进行综合分析，不能及时发现异常，对出现问题立即采取有效的防护措施安全现状 GFA 4A集中管理平台的最终目标是建立一套信息安全的基础设施，并通过它为各种应用提供包括用户信息、身份认证、授权管理、审计与责任认定等功能在内的安全支撑服务。1安全账号Account2身份认证Authentication3授权管理Authorization4审计责任认定AuditGFA 4A集中管理平台目标产品组成GFA 4A集中安全管理平台将包含如下产品：序号产品名称功能描述备注1GFA-SSO国富安单点登录系统2GFA-Auth国富安身份认证系统3GFA-ARA国

4、富安授权管理系统包括权限管理、查询；属性证书签发4GFA-Account国富安账号管理系统5GFA-Audit国富安审计系统包含强审计、责任认定GFA 4A安全管理平台系统组成GFA AuthGFA ARAGFA SSOGFA AuditGFA AccountAuth-ServiceAuth-GinaAuth-PamARA-UserInfoARA-ServiceSSO-Login SSO-Portal SSO-FilterAudit-Service Audit-Watch Audit-Monitor Audit-Report Audit-Filter Account-Admin Account

5、-Service 国富安4A集中安全管理平台解决方案总体逻辑架构功能介绍:主帐号创建、修改、删除、锁定/解锁、同步（可以从现有的信息系统中导入，如OA系统等）；从帐号的搜集、创建、删除、锁定/解锁；主帐号和从帐号的关联；批量创建从帐号（用户入职时）；批量删除从帐号（用户离职时）；主账号/从账号口令策略的管理，支持长度、频度（使用多少次）、构成、周期（使用多长时间）等口令策略。账号分布报表功能4A安全管理平台-帐号管理最终目标:管理员在一点上即可对不同系统中的账号进行管理，实现：账号与人的关联；网络设备、操作系统、甚至应用系统中已有账号的收集；新建账号并同步到各系统中去；实现集中的密码策略，并按

6、照密码策略的要求，自动、集中、定期修改系统账号的口令；实现集中删除一个自然人的所有或者部分系统账号；保留账号创建、分配、变更、删除整个过程的信息，从而知道什么时间、哪些账号给了哪些人，每个人拥有什么样的账号，便于审计。 4A安全管理平台-帐号管理Agent账号管理服务器（GFA Account）服务器主机服务器主机帐号同步服务User1 User2User nUser1 User2User nAgentAgent用户系统用户名密码张三Portal系统user11234邮件系统User22345DOMINO系统User3AAAA报销系统user4CCCC工资系统user5BBBB应用系统Agen

7、t网络设备User1User2.User n帐号同步服务User1User2.User n帐号管理员账号搜集4A安全管理平台-帐号管理用户系统用户名密码001Portal系统user11234邮件系统User22345DOMINO系统User3AAAA报销系统user4CCCC工资系统user5BBBB用户系统用户名密码001Portal系统user11234邮件系统User22345DOMINO系统User3AAAA报销系统user4CCCC工资系统user5BBBB系统1A123456主机1A123456主机2A123456Agent账号管理服务器（GFA Account）服务器主机服务器

8、主机帐号同步服务User1 User2User nUser1 User2User nAgentAgent应用系统Agent网络设备User1User2.User n帐号同步服务User1User2.User n帐号管理员User1AUser2.User nUser1A User2User nUser1 A User2User nUser1AUser2.User n账号批量增加/删除4A安全管理平台-帐号管理统一认证平台服务器主机网络设备应用系统数据库用 户SSO：用户在登录帐号安全管理平台后，在登录他/她有权限访问的信息系统时不需要再输入口令，从而实现一处登录，处处通行4A安全管理平台统一认证

9、模块组成:SSO门户（SSO Portal）Web过滤器(SSO-Filter)智能口令(SSO-Login )认证服务器（ GFA Auth ）4A安全管理平台统一认证总体架构4A安全管理平台统一认证支持的认证方式 用户名/密码 动态口令 数字证书 指纹等生物特征 智能卡 短消息身份认证方式选择普通用户选择用户名/口令关键用户选择证书等安全策略 密码规则，长度、构成、复杂度设置 时间限制、频次限制、次数限制 定期更改4A安全管理平台统一认证集中的权限管理 采用RBAC（基于角色的访问控制）的授权模式，对用户能够访问的资源进行授权，并集中保存再权限策略库中。权限分布报表功能 支持按照用户、信息

10、系统等条件出具权限分布的报表。操作控制功能 对用户在信息系统中的具体操作按照相应的授权策略进行有效控制。4A安全管理平台集中授权实现功能:4A安全管理平台集中授权逻辑模型:访问的设备地址以管理员身份进行管理规定是特权用户定制可用命令集 访问的主机地址端口 应用名消息字段菜单功能模块 粗粒度/细粒度源IP地址源IP地址段限制端口定制用户权限限制可用Shell命令/可执行程序 主机地址 数据库名账号类别网络设备应用系统服务器主机数据库4A安全管理平台集中授权集中的安全审计 用户从登录4A平台开始，到退出整个过程中的用户在各个信息系统中的操作。审计内容展示 按照用户、时间等条件查询出审计记录，每条记

11、录对应一个会话，包括开始时间和退出时间，当点击相应记录时会出具在这个会话中该用户的所有操作。审计报表 按照用户、信息系统等条件出具详尽的用户操作审计报表。4A安全管理平台集中审计实现功能:账号管理审计主账号与从账号对应关系主账号的创建时间创建人主、从账号的有限期密码更改规则应用系统网络设备服务器主机数据库管理员用户账号授权审计权限分配时间、分配者主、从账号的访问权限资源的授权访问者登录过程审计什么人用什么账号登录什么时间登录什么系统什么时间退出身份认证审计身份认证统计失败身份认证统计登录后行为审计用户访问了哪些资源对资源做了什么操作收集应用系统日志记录账号管理授权管理用户登录用户操作4A安全管

12、理平台集中审计产品名称简要规格用途数量服务器Intel Xeon Processor 3.0GHz4；4G Memory；73.4G2；双千兆网卡；RAID卡；DVD-ROM；双冗余电源；支持linux系统认证服务器2服务器Intel Xeon Processor 3.0GHz4；8G Memory；73.4G2；双千兆网卡；RAID卡；DVD-ROM；双冗余电源；支持linux系统授权管理服务器2服务器Intel Xeon Processor 3.0GHz4；4G Memory；73.4G2；双千兆网卡；RAID卡；DVD-ROM；双冗余电源；支持linux系统账号管理服务器2服务器Inte

13、l Xeon Processor 3.0GHz4；8G Memory；73.4G2；双千兆网卡；RAID卡；DVD-ROM；双冗余电源；支持linux系统目录服务器2服务器Intel Xeon Processor 3.0GHz4；4G Memory；73.4G2；双千兆网卡；RAID卡；DVD-ROM；双冗余电源；支持linux系统审计服务器2服务器Intel Xeon Processor 3.0GHz4；8G Memory；73.4G2；三千兆网卡；光纤存储卡*2； 40G-80G磁带机；DVD-ROM；冗余电源；UNIX操作系统；集群管理软件；支持oracle 10g RAC。 数据库盘阵

14、需求：146G*10；双活动2GB RAID控制器；光纤通道（FC）；存储分区技术；支持RAID01用户信息、权限信息数据库24A集中管理平台系统配置3国富安4A产品相关案例 -无锡财政局4A平台建设项目背景 无锡市财政局拥有应用系统10套以上，应用形式同时包含B/S及C/S应用，C/S结构应用系统使用pb/delphi开发，B/S系统服务器采用iis /weblogic 为主，数据库有orale 、sqlserver 。信息系统用户内部数量为200人左右，外部用户达到1000人以上。 系统环境系统名称服务形式系统平台WEB服务器类型及版本开发语言预算执行系统B/SAIX 5.0Apache

15、2.0java C/SDelphi非税收入系统B/SAIX 5.0weblogic 8.1J2EE契税征管系统C/SAIX 5.0PB6.5建设资金管理系统B/SAIX 5.0IISC#票据管理系统C/SWindows 2000Delphi会计信息管理系统C/SWindows 预算级次核定系统C/SWindows 2000Delphi内控管理系统B/SWindows 2003IISC#办公自动化系统B/SWindows 2003IISC#财税库系统C/SWindows 2000DelphiB/SWindows 2003IISC#部门预算系统C/SWindows 2000土地出让金C/SWind

16、ows 2000系统架构Thank you!谢谢sso概述SSO英文全称Single Sign On，单点登录。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。实现SSO需要实现功能： 所有应用系统共享一个身份认证系统 所有应用系统能够识别和提取ticket信息认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性要实现SSO的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对tick

17、et进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录的功能单点登录现有模型基于经纪人(Broker-based)的单点登录模型基于代理(Agent-based)的单点登录模型基于网关(Gateway-Based)的单点登录模型基于代理与经纪人(Agent and Broker-based)的单点登录模型此模型有一个集中认证和用户账号管理的服务器，使用中央认证服务器和中央数据库，像一个经纪人一样，为认证提供一个公共和独立的第三方此模型有一个自动为不同应用程序认证用户身份的代理程序，代理人在服务器的认证系统和客户端认证方法之间充当一个“翻译”。基于代理的单点登录

18、模型保证了通道的安全和单点登录，具有比较好的可实施性和灵活性。但是基于代理的单点登录模型的用户登录凭证要在本地存储，增加了口令泄露的危险在这种单点登录模型中提供一个类似像“门”一样的网关。用以安全地接入到可信的网络服务，网关可以是防火墙或者是专门用于通讯加密的服务器。这种方案，对企业中现有的网络环境要求比较严格。也需要现有的企业应用来适应它，所以这种方案的应用范围并不广泛将基于代理(Agent-Base)的单点登录模型和基于经纪人(Broker-Base)的单点登录模型结合起来，充分利用了前者的灵话性、对现有系统改造小的优点和后者的中央式管理优势基于经纪人:（可实施性）对旧系统的改造量比较大。

19、 （可管理性）可实现集中式的管理。代理模型:需要为每个旧系统新添加一个代理，移植比较简单。 管理比较难以控制。代理和经纪人模型:把基于经纪人的解决方案和基于代理的解决方案相结合。基于代理模型的最大优点就是能减少对应用程序的改造，而基于经纪人模型的最大优点就是认证集中，基于以上两点，AgentandBroker-based模型就兼具了前者集中管理和后者无需修改应用服务程序的优点。网关模型。需要通过一台专用的网关才能访问各种应用。 易于管理，但不同网关之间的数据库需要同步。一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息格式、命名与存储方式多种多样，当用户需要使用多个应用系统时就会带来

20、用户信息同步问题。根本解决办法是统一存储所有应用系统的用户及权限信息，实现统一存储、统一授权。统一用户管理1用户信息规范命名、统一存储，用户ID全局惟一。用户ID犹如身份证，区分和标识了不同的个体。2统一用户管理向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性，可以设置各应用系统对应的部分或全部操作权限。3应用系统对用户基本信息的增加、修改、删除和查询等请求由统一用户管理统一处理。4应用系统可保留用户管理功能，如用户分组、用户授权等功能。统一用户管理4AAgent账号管理服务器服务器主机服务器主机帐号同步服务User1 User2User nUser1 User2User nAge

21、ntAgent用户系统用户名密码张三Portal系统user11234邮件系统User22345DOMINO系统User3AAAA报销系统user4CCCC工资系统user5BBBB应用系统Agent网络设备User1User2.User n帐号同步服务User1User2.User n帐号管理员账号搜集4A安全管理平台-帐号管理用户系统用户名密码001Portal系统user11234邮件系统User22345DOMINO系统User3AAAA报销系统user4CCCC工资系统user5BBBB用户系统用户名密码001Portal系统user11234邮件系统User22345DOMINO系统User3AAAA报销系统user4CCCC工资系统user5BBBB系统1A123456主机1A123456主机2A123456Agent账号管理服务器服务器主机服务器主机帐号同步服务User1 U