新聞中心

EEPW首頁 > 電源與新能源 > 設(shè)計(jì)應(yīng)用 > 基于4A技術(shù)的統(tǒng)一身份管理在企業(yè)門戶系統(tǒng)中的應(yīng)用

基于4A技術(shù)的統(tǒng)一身份管理在企業(yè)門戶系統(tǒng)中的應(yīng)用

作者: 時(shí)間:2010-12-25 來源:網(wǎng)絡(luò) 收藏

2原理和
  中的,為整個(gè)的安全性提供了完善的平臺(tái)保障。
  最初的核心是單點(diǎn)登錄(Single Sign-On),隨著各不斷開展電子商務(wù)和將內(nèi)部資源不同程度地向客戶、合作伙伴及員工開放,對(duì)于至關(guān)重要的信息財(cái)產(chǎn)安全越發(fā)顯得重視,尤其是在信息訪問越發(fā)便捷的背景下,這些資產(chǎn)也暴露在越來越多的威脅中。毫無疑問,信息保護(hù)的私密性、完整性、真實(shí)性和可靠性的需求日益突出,和安全人員需要對(duì)內(nèi)部的用戶和各種資源進(jìn)行集中、集中權(quán)限分配、集中審計(jì),從上保證支撐系統(tǒng)安全策略的實(shí)施,即,構(gòu)建信息級(jí)的企業(yè)安全必須解決用戶的帳號(hào)(Account)管理、認(rèn)證(Authentication)管理、授權(quán)(Authorization)管理和安全審計(jì)(Audit)方面的問題,即4A解決方案[3]。
  帳號(hào)管理即是將自然人與其擁有的所有系統(tǒng)帳號(hào)的關(guān)聯(lián)進(jìn)行集中管理,包括按照密碼策略自動(dòng)更改密碼、4不同系統(tǒng)間的帳號(hào)同步等。一般帳號(hào)管理的實(shí)體部件通常采用目錄服務(wù)器,“屬性:值”對(duì)和層級(jí)樹狀邏輯組織的用戶帳號(hào)數(shù)據(jù),更加適合輕量目錄訪問協(xié)議(LDAP)的處理。
  認(rèn)證管理用以實(shí)現(xiàn)支撐系統(tǒng)對(duì)操作者的合法性檢查。對(duì)信息系統(tǒng)中的各種服務(wù)和來說,認(rèn)證是一個(gè)基本的安全考慮,只有通過系統(tǒng)預(yù)設(shè)規(guī)則的身份認(rèn)證,才能夠接觸系統(tǒng)功能和系統(tǒng)的數(shù)據(jù)。
  授權(quán)管理是指對(duì)用戶使用支撐系統(tǒng)資源的具體情況進(jìn)行合理分配的技術(shù),實(shí)現(xiàn)不同用戶對(duì)系統(tǒng)不同部分資源的訪問按安全和數(shù)據(jù)敏感級(jí)別定義系統(tǒng)內(nèi)部資源的訪問權(quán)限。
 審計(jì)管理是指收集、記錄用戶對(duì)支撐系統(tǒng)資源的使用情況,以便于統(tǒng)計(jì)用戶對(duì)網(wǎng)絡(luò)資源的訪問情況,并且在出現(xiàn)安全事故時(shí),可以追蹤原因,追究相關(guān)人員的責(zé)任,以減少由于內(nèi)部計(jì)算機(jī)用戶濫用網(wǎng)絡(luò)資源造成的安全危害。
3 企業(yè)系統(tǒng)中的身份管理
  下面以J2EE體系的身份管理服務(wù)為例加以說明。
  統(tǒng)一身份管理流程如圖3所示,統(tǒng)一身份管理平臺(tái)與企業(yè)門戶服務(wù)緊密集成,提供統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、訪問控制、單點(diǎn)登錄和行為審計(jì)5大功能,完成訪問者與門戶之間的登錄和資源列表返回、信息資源訪問請(qǐng)求和用戶身份傳遞等前后臺(tái)的身份識(shí)別和信息訪問過程。統(tǒng)一身份管理平臺(tái)一般包含訪問管理器和身份管理器兩個(gè)邏輯部分。

本文引用地址:http://butianyuan.cn/article/180044.htm

  (1) 訪問管理器和身份管理器
  訪問管理器為門戶服務(wù)提供了針對(duì)Web服務(wù)器、J2EE應(yīng)用服務(wù)器、Web代理服務(wù)器以及典型企業(yè)應(yīng)用的多個(gè)策略代理 (Policy Agent) ;另外,它還提供了訪問管理器 SDK,用以集成企業(yè)的Java或C/C++應(yīng)用,實(shí)現(xiàn)集中認(rèn)證、授權(quán)和單點(diǎn)登錄[4]。
  用戶管理與信息同步系統(tǒng)由身份管理器實(shí)現(xiàn),對(duì)各應(yīng)用或子網(wǎng)絡(luò)系統(tǒng)用戶帳號(hào)的集中管理,包括用戶帳號(hào)在其相對(duì)應(yīng)的應(yīng)用系統(tǒng)里的自動(dòng)創(chuàng)建及創(chuàng)建的規(guī)則,帳號(hào)生成的審批流程管理,帳號(hào)的禁用和銷毀,帳號(hào)在各個(gè)應(yīng)用系統(tǒng)之間的對(duì)應(yīng)關(guān)系及同步,口令的管理,提供統(tǒng)一的管理界面和分級(jí)授權(quán)管理,帳號(hào)的審計(jì)和風(fēng)險(xiǎn)分析等。身份管理器也是一個(gè)標(biāo)準(zhǔn)的J2EE應(yīng)用系統(tǒng),它通過部署于其本身服務(wù)器端(而不是要管理的應(yīng)用系統(tǒng)一端)的資源適配器創(chuàng)建和管理在各個(gè)應(yīng)用系統(tǒng)上的用戶帳號(hào)。
  (2) 統(tǒng)一認(rèn)證
  訪問管理器提供了公共的認(rèn)證服務(wù)架構(gòu),具有靈活的認(rèn)證方式和多種認(rèn)證服務(wù)接口。因此,統(tǒng)一的認(rèn)證服務(wù)的應(yīng)用系統(tǒng)間可以實(shí)現(xiàn)單點(diǎn)登錄。
  訪問管理器提供的認(rèn)證服務(wù)基于JAAS(Java認(rèn)證與授權(quán)服務(wù))框架,提供Java和XML/HTTP兩種應(yīng)用認(rèn)證接口。
  (3) 認(rèn)證方式定制化接口
  不同的認(rèn)證方式具有不同的安全性、易用性和部署成本。因此,針對(duì)企業(yè)門戶中不同的用戶群與不同的應(yīng)用范圍,需要對(duì)認(rèn)證方式進(jìn)行定制化。在訪問管理器中,可以根據(jù)角色、用戶、服務(wù)指定不同的認(rèn)證方式,也可以在認(rèn)證時(shí)直接指定認(rèn)證模塊。對(duì)于不同組織、角色和服務(wù),可以配置個(gè)性化的認(rèn)證選項(xiàng)。
  訪問管理器為應(yīng)用程序提供兩種類型的認(rèn)證編程接口。對(duì)基于Java的應(yīng)用系統(tǒng)(包括基于JSP的WEB應(yīng)用系統(tǒng)和基于Java的應(yīng)用程序)可以使用Java編程接口;對(duì)于非Java的應(yīng)用系統(tǒng),可以使用XML/HTTP編程接口或C/C++編程接口。
  (4) 單點(diǎn)登錄支持
  單點(diǎn)登錄的根本原理是保持用戶的會(huì)話(session)狀態(tài)。訪問管理器對(duì)單點(diǎn)登錄提供的SDK級(jí)別的支持,其中包括單點(diǎn)登錄令牌的創(chuàng)建與驗(yàn)證。以Web應(yīng)用的單點(diǎn)登錄為例:用戶通過訪問管理器的認(rèn)證頁面進(jìn)行認(rèn)證,認(rèn)證通過之后,平臺(tái)為該用戶創(chuàng)建一個(gè)單點(diǎn)登錄令牌,并將該令牌的ID通過cookie返回至用戶瀏覽器;當(dāng)用戶訪問Web應(yīng)用系統(tǒng)時(shí),單點(diǎn)登錄令牌ID自動(dòng)通過cookie傳遞至Web應(yīng)用系統(tǒng),Web應(yīng)用系統(tǒng)可以通過單點(diǎn)登錄令牌ID還原單點(diǎn)登錄令牌,并向Access Manager驗(yàn)證單點(diǎn)登錄令牌是否有效。如果有效,則應(yīng)用系統(tǒng)可以從單點(diǎn)登錄令牌獲取用戶身份信息,而不再需要用戶進(jìn)行再次認(rèn)證。對(duì)于C/S結(jié)構(gòu)的應(yīng)用,單點(diǎn)登錄過程類似,只是單點(diǎn)登錄令牌ID的傳遞方式不同。
  綜上,基于4A技術(shù)的統(tǒng)一身份管理為企業(yè)門戶服務(wù)帶來較為全面的安全保障,從人員、訪問、授權(quán)和審計(jì)等角度保護(hù)企業(yè)內(nèi)部應(yīng)用的數(shù)據(jù)的合法使用,具有如下優(yōu)點(diǎn):
  (1)統(tǒng)一認(rèn)證、授權(quán)和審計(jì),管理維護(hù)工作復(fù)雜度大幅度降低,減少維護(hù)操作帶來的故障隱患;
  (2)統(tǒng)一監(jiān)管,企業(yè)系統(tǒng)安全狀況隨時(shí)被自動(dòng)監(jiān)管;
  (3)免去用戶在各系統(tǒng)間切換時(shí)需要再次輸入用戶名和口令的繁瑣操作,減少帳號(hào)密碼泄露機(jī)會(huì);
  (4)對(duì)各個(gè)系統(tǒng)進(jìn)行統(tǒng)一的訪問審計(jì),利于綜合分析,及時(shí)發(fā)現(xiàn)入侵行為。
  但從技術(shù)實(shí)現(xiàn)方式和用戶使用效果上看,基于4A的統(tǒng)一身份管理也存在著一定的不足,具體表現(xiàn)為:
  (1)技術(shù)實(shí)現(xiàn)方式限制較多,例如基于策略代理的SSO,對(duì)門戶系統(tǒng)產(chǎn)品提出固定要求,對(duì)特定產(chǎn)品的版本、未提供開放接口的系統(tǒng)缺乏靈活的處理方法;
  (2)合規(guī)審計(jì)能力一般不強(qiáng),多數(shù)產(chǎn)品只提供以日志為主的審計(jì)能力,以及基于日志的數(shù)據(jù)傳輸接口由第三方模塊完成審計(jì)報(bào)告。
  相信,隨著企業(yè)門戶對(duì)安全管控需求的不斷細(xì)化,隨著各廠家產(chǎn)品和技術(shù)的發(fā)展,4A技術(shù)對(duì)企業(yè)門戶安全的貢獻(xiàn)將越來越突出。


上一頁 1 2 下一頁

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉