返回首页 >> 解决方案 >> 多应用系统的单点登录及访问控制


多应用系统的单点登录及访问控制

一、背景
    互联网增值业务产业链中,用户、应用/内容提供商、电信运营商面临着建立三方互信环境、用户统一身份认证、业务的集中授权控制、各信任域跨域访问、等一系列问题。
    随着电子政务、网上办公的快速发展,政府、企业、机构等不断增加基于 Internet的业务系统,如各类网上申报系统、网上审批系统、OA系统等。根据系统的业务性质,一般都要求实现用户身份管理、登录认证、授权等必不可少的安全功能。为减少新业务系统相同功能的重复建设和管理成本、避免多个不同信任体系的存在而使自身业务成为信息孤岛,提高同一用户群使用业务的简便性和体验效果,针对不同的业务系统实现统一认证和授权,促进不同业务系统的融合和联合,成为应用系统设计和建设要重点解决的问题。
    单点登录及访问控制系统的目的就是为这样的应用系统提供统一的身份认证和集中授权,实现“一点登录、多业务漫游”的目标,方便用户使用。

二、系统概述
    单点登录系统采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口,同时为通过身份认证的合法用户签发针对各个应用系统的属性令牌(包含用户身份、权限等信息),从而实现“一点登录、多业务漫游”。
    单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的属性令牌,从而能够使合法用户进入其权限范围内的各应用系统,并执行符合其权限的操作。

三、系统组成

1.客户端安全代理
客户端安全代理,提供身份证书和属性令牌的存贮、存取、操作等。用户端认证令牌管理模块以两种形式存在,可以是浏览器的一个功能构成部件,也可以是专用客户端的功能部件。

2.认证网关
认证网关是指提供给业务系统的单点登录认证鉴别模块,用于业务系统对用户身份和权限进行认证,检查用户令牌以确定用户是否为平台的真实用户,根据认证结果决定是否给用户提供服务和提供什么样的服务。

3.单点登录认证授权系统
包括身份认证模块、访问授权模块、属性令牌签发模块、用户数据库等构成。用户首先获得中网威信CA颁发的数字证书;当访问各种业务系统时,用户以身份证书在单点登录系统进行一次登录,授权模块访问数据库中的授权信息,生成用户的属性令牌,经由签名模块进行签名后颁发给用户。用户使用此令牌在各个业务系统进行访问,应用系统根据令牌来确定用户的身份和访问权限。

四、系统功能
1.身份认证:
    基于中网威信CA签发的数字证书,采用高强度的加密和数字签名技术。身份认证系统分为客户端和服务器端两部分,服务器端配置有用于标明平台系统服务器身份的数字证书;客户端则需要登录用户使用本人的数字证书,并能够与浏览器实现无缝的结合。

2.Web 环境的单点登录:
    用户必须登录而且只需登录一次,系统可与 Web 应用集成,将一个用户的登录信息传送给各个应用系统,访问授权访问的基于 Web 的资源和应用。

3.集中的授权管理:
    通过属性令牌提供集中的权限管理控制。属性令牌包含用户的身份类别(个人用户或单位用户)、业务信息(定购的服务)、权限信息(访问应用系统的权限)等,可以根据具体应用的需要增加对用户其他权限信息的扩充。

4.集中的安全策略管理:
    建立一个整体的安全管理策略。所有安全策略的定制、修改和删除等操作都通过一个统一的平台来完成,从而达到统一管理企业内部安全策略的目标。

5.访问的记录和审计:
   系统使用标准格式记录所有的访问尝试并生成易读的报告,并可以安全地被传输到一个第三方数据库系统之中,通过这些数据可以实现审计、跟踪和取证。

五、系统特点
◆ 采用基于 PKI 技术的身份认证方式, PKI 是解决互联网上信任问题的最佳方案,它通过数字证书标识网上各方的真实身份,保证了身
   份的真实有效性;
◆ 集中管理用户信息,各应用系统可以根据需要省去各自的用户管理功能;
◆ 用户一次登录,全网漫游,实现了集中的身份认证和不同信任域间的跨域访问认证;
◆ 细粒度的权限控制和集中授权;
◆ 方便用户使用,并对用户透明;
◆ 高度开放性,连接的应用系统可以根据需要进行扩展;
◆ 系统采用 B/S 结构,遵循 HTTP 协议,方便与各应用系统的连接;
◆ 系统在加密和签名算法以及数字证书方面均遵循相应的安全技术标准;
◆ 高度安全性,对称算法密钥长度为 128 位,非对称算法密钥长度为 1024 位;
◆ 提供详细的系统审计日志;

六、工作流程
单点登录系统的工作流程如下:
1.用户首先使用数字证书登录单点登录系统;
2.单点登录系统对用户进行严格的身份认证;
3.如果身份认证通过,则签发标识用户权限的属性令牌;
4.应用系统接收并验证用户的属性令牌,如果验证通过,则允许用户使用业务。

七、使用范围
◆ 电信增值业务平台;
◆ 电子政务系统;
◆ 电子商务系统;
◆ 企业信息化系统;
◆ 其它办公自动化系统等

八、应用支持
1.采用X.509v3标准证书。
2.支持各种浏览器: Netscape Navigator,Microsoft Internet Exploer 等。
3.用户数字证书的存储介质有USB Key(推荐使用)、IC卡、磁盘等。
4.根据报税系统需求可提供完备的应用开发接口。