專利名稱:一種適用于多應(yīng)用系統(tǒng)的統(tǒng)一身份認證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)���,特別是一種能夠適用于多種不同的應(yīng)用系統(tǒng)的統(tǒng)一的身份認證設(shè)備及方法�����。
背景技術(shù):
計算機網(wǎng)絡(luò)訪問中����,在一些特定的場合,需要對訪問某個應(yīng)用系統(tǒng)的用戶進行身份認證��。所述的應(yīng)用系統(tǒng)是指現(xiàn)在常見的基于瀏覽器(windows IE和互聯(lián)網(wǎng)的具體應(yīng)用系統(tǒng)���,如OA辦公系統(tǒng)�、郵件系統(tǒng)��、Web服務(wù)系統(tǒng)��、DNS服務(wù)系統(tǒng)�、數(shù)據(jù)庫系統(tǒng)等對安全性要求較高的應(yīng)用系統(tǒng),這些應(yīng)用系統(tǒng)都有系統(tǒng)集成商在其中設(shè)計有安全認證系統(tǒng)�����。一般的安全認證系統(tǒng)模式中�����,采取的是SSL數(shù)字證書的加密方法,結(jié)構(gòu)是在應(yīng)用系統(tǒng)和用戶之間設(shè)置一個SSL認證設(shè)備���,每次用戶訪問應(yīng)用系統(tǒng)時都需要經(jīng)過SSL認證設(shè)備認證。由于計算機技術(shù)和信息化的快速發(fā)展����,出現(xiàn)了多種硬件和操作系統(tǒng)(如windows系統(tǒng)、MAC系統(tǒng)�、手機操作系統(tǒng)android等),與之對應(yīng)的��,也有多種不同的應(yīng)用系統(tǒng)(如前所述)����,由于建立在不同的硬件和操作平臺上,一般都由不同的系統(tǒng)集成商開發(fā)不同的安全認證方法��,于是不可避免地導致了不同應(yīng)用系統(tǒng)之間的用戶無法統(tǒng)一管理�,資源無法統(tǒng)一授權(quán),審計系統(tǒng)也分別獨立����,且基于數(shù)字證書的強身份認證也可能沒有實現(xiàn)。用戶角色以及資源的改變使得業(yè)務(wù)運作不夠順暢�,導致業(yè)務(wù)流程被割裂,需要過多的人工介入,效率下降�,數(shù)據(jù)精確度降低,使得信息系統(tǒng)失去了其應(yīng)有的作用�。從以上問題可知,如果能夠?qū)⒃瓉硪逊謩e建設(shè)的各個應(yīng)用系統(tǒng)平滑地整合在一起���,在一個可信的安全基礎(chǔ)平臺上實現(xiàn)統(tǒng)一用戶管理�、統(tǒng)一資源授權(quán)管理�����、統(tǒng)一安全審計���、統(tǒng)一行為追溯以及基于數(shù)字證書的集中身份認證��,可以使各個應(yīng)用系統(tǒng)間形成一個有機的整體���,以適應(yīng)快速變化的外部環(huán)境和客戶需求,做出及時的調(diào)整和反應(yīng)����,最終真正提升使用單位的核心競爭力。
發(fā)明內(nèi)容
本發(fā)明就是基于對背景技術(shù)中現(xiàn)有的應(yīng)用系統(tǒng)的身份認證方式的不足的認識���,以及對克服上述不足的技術(shù)方向的認識��,發(fā)明了一種適用于多系統(tǒng)的統(tǒng)一身份認證方法��。以提高認證效率����,減少系統(tǒng)建設(shè)成本��。為了解決上述技術(shù)問題所采用的技術(shù)方案是:這是一種適用于多應(yīng)用系統(tǒng)的統(tǒng)一身份認證方法�,應(yīng)用于多種需要進行身份認證的應(yīng)用系統(tǒng),其特征是:設(shè)置一個獨立認證系統(tǒng)�,所述的獨立認證系統(tǒng)包含系統(tǒng)層、核心數(shù)據(jù)層��、核心安全層和應(yīng)用層�����;獨立認證系統(tǒng)配置有密碼硬件設(shè)備�,所述的密碼硬件設(shè)備包括客戶端使用的USB key和服務(wù)端使用的加密卡,該密碼硬件設(shè)備實現(xiàn)對國產(chǎn)密碼算法SM1����、SM2及SM3的應(yīng)用��;本方法所采用的獨立認證系統(tǒng)還配置有集成到應(yīng)用系統(tǒng)中的IA套件�,并配置安全認證中間件模塊���;
具體的身份認證方法是:當用戶訪問應(yīng)用系統(tǒng)時�,觸發(fā)應(yīng)用系統(tǒng)中集成的IA套件自動對其身份進行認證��;在IA套件的認證下�,用戶將重定向安全認證中間件模塊,取得身份憑證���;用戶取得憑證后返回��,并攜憑證再次訪問應(yīng)用系統(tǒng)�,再次觸發(fā)IA套件對其身份進行認證����;通過認證的用戶可以正常訪問應(yīng)用系統(tǒng)。優(yōu)選的:所述的密碼硬件設(shè)備是SJK0817-B或SJKl 134中的一種或兩種�����。本發(fā)明的有益效果是:這種多系統(tǒng)的統(tǒng)一身份認證方法�,在多用戶訪問多系統(tǒng)的時候尤其能夠體現(xiàn)其優(yōu)勢�����,只要在多個系統(tǒng)中分別集成設(shè)計一個IA套件����,就可以減少多個系統(tǒng)對應(yīng)的認證設(shè)備��,即可實現(xiàn)多用戶同一平臺(即本發(fā)明的獨立認證系統(tǒng))的加密訪問���,便于管理、安全性高����、系統(tǒng)效率高、減少成本����。
圖1,本發(fā)明的獨立認證系統(tǒng)結(jié)構(gòu)圖��。圖2���,本發(fā)明的使用過程圖����。圖3,本發(fā)明的認證密碼原理和密碼流程圖��。圖4�����,本發(fā)明的登錄密碼流程圖����。
具體實施例方式本發(fā)明應(yīng)用于多種需要進行身份認證的應(yīng)用系統(tǒng)。本發(fā)明所采用的獨立認證系統(tǒng)結(jié)構(gòu)如圖1��,包含系統(tǒng)層�����、核心數(shù)據(jù)層�、核心安全層和應(yīng)用層。根據(jù)圖1的結(jié)構(gòu)內(nèi)容���,和本發(fā)明的具體方法�����,可以編譯成具體的軟件��,本領(lǐng)域技術(shù)人員可以輕易實現(xiàn)�����。該系統(tǒng)配置有密碼硬件設(shè)備����,所述的密碼硬件設(shè)備包括客戶端使用的USB key和服務(wù)端使用的加密卡,獨立認證系統(tǒng)還配置有集成到應(yīng)用系統(tǒng)的IA套件���,并配置安全認證中間件模塊。其中�,IA套件是一個貫徹本發(fā)明認證方法的插件,和不同的應(yīng)用系統(tǒng)的集成并不是技術(shù)難點�����,針對不同的軟件編譯的應(yīng)用系統(tǒng)���,采取不同的手段實現(xiàn)(如java系統(tǒng)�����,SQL系統(tǒng)等��,其插件接口定義和方法屬于現(xiàn)有技術(shù))�����,由于不是本發(fā)明的發(fā)明重點�����,而僅僅是一般技術(shù)人員能夠熟知的��、且根據(jù)本發(fā)明的技術(shù)內(nèi)容可以有不同的軟件編譯方式的��,所以在此不再贅述���。其具體的身份認證的流程如圖2:用戶2 (客戶端����,并帶有USBkey)���、某個應(yīng)用系統(tǒng)I (集成了 IA套件4)和本發(fā)明的安全認證中間件3組成了一個完整的訪問體系�。當用戶訪問應(yīng)用系統(tǒng)時,觸發(fā)應(yīng)用系統(tǒng)中集成的IA套件自動對其身份進行認證���;在IA套件的認證下�,用戶將重定向安全認證中間件模塊�,取得身份憑證;用戶取得憑證后返回���,并攜憑證再次訪問應(yīng)用系統(tǒng)����,再次觸發(fā)IA套件對其身份進行認證�����;通過認證的用戶可以正常訪問應(yīng)用系統(tǒng)��。優(yōu)選的實施方式:在客戶端使用到的USB Key為SJK1134智能密碼鑰匙��,在系統(tǒng)服務(wù)端使用到的加密卡為SJK0817-B型加密卡���,這兩種硬件設(shè)備主要實現(xiàn)對國產(chǎn)SMl密碼算法、SM2密碼算法及SM3密碼算法的運算�。本發(fā)明的軟件系統(tǒng)結(jié)構(gòu)圖如圖1所示,由四個層次組成,分別是系統(tǒng)層���、核心數(shù)據(jù)層�、核心安全層以及應(yīng)用層�,各層之間相互聯(lián)系,緊密協(xié)調(diào)配合���,共同構(gòu)成系統(tǒng)的軟件體系架構(gòu)����。
密碼硬件設(shè)備工作原理
客戶端采用SJK1134智能密碼鑰匙�����,該設(shè)備是一款通過了國家密碼管理局安全審查的密碼安全產(chǎn)品�。SJKl 134智能密碼鑰匙的核心是SSX0912安全芯片,該芯片支持SM2非對稱算法和國產(chǎn)SMl通用密碼算法以及SM3雜湊算法�����,具有高度的安全性�����。通過USB接口和上位機進行通訊,USB接口的通訊符合USB2.0協(xié)議��。SJKl 134智能密碼鑰匙的SM2加密運算速率達到8.393kps��,SM2解密運算速率達到1.137kps��,SMl加解密運算速率達到2.34Mbps����。服務(wù)端采用SJK0817-B型加密卡,該設(shè)備是一款通過了國家密碼管理局安全審查的密碼安全產(chǎn)品���。SJK0817-B型加密卡的核心是SSX30-D和SSX0804安全芯片�����,同時支持國產(chǎn)SM2非對稱算法和SMl通用密碼算法���。符合PCI接口規(guī)范。SJK0817-B型加密卡的SMl加解密運算速率達到200Mbps����,SM2的簽名速度達到350次每秒���,SM2的驗簽速度達到175次每秒�����。系統(tǒng)總體工作原理
系統(tǒng)由后臺安全基礎(chǔ)設(shè)施系統(tǒng)和前臺安全應(yīng)用系統(tǒng)共同構(gòu)成����。其中后臺安全基礎(chǔ)設(shè)施系統(tǒng)以AAAA核心服務(wù)引擎為中心,將策略庫��、安全庫�����、用戶庫進行有效聯(lián)動��,保證前臺應(yīng)用管理系統(tǒng)相互協(xié)調(diào)管理���,多層次����、全方位的整合資源���,從而使平臺安全體系為用戶打造一個安全有序的網(wǎng)絡(luò)世界���,有效規(guī)范不同角色用戶的訪問和操作行為��。系統(tǒng)借助于第三方數(shù)字證書權(quán)威頒發(fā)機構(gòu)�,引入PKI技術(shù)���,將用戶管理�����、多應(yīng)用授權(quán)管理��、安全審計功能集成����,并由數(shù)字證書統(tǒng)一身份認證系統(tǒng)對多種業(yè)務(wù)系統(tǒng)�、服務(wù)器、數(shù)據(jù)庫等資源進行集中管理��,旨在為用戶提供一個安全可靠��、合理有序�、靈活易用的統(tǒng)一身份認證與授權(quán)管理平臺。第三方數(shù)字證書權(quán)威頒發(fā)機構(gòu)發(fā)布的數(shù)字證書����,可以自動同步到統(tǒng)一用戶目錄數(shù)據(jù)庫,并實現(xiàn)同步更新管理�。通過統(tǒng)一用戶管理和統(tǒng)一資源策略授權(quán)管理等集成管理手段以及多應(yīng)用、多賬戶映射安全認證技術(shù)�����,實現(xiàn)用戶的安全登錄��。同時��,在系統(tǒng)總體架構(gòu)中�,平臺管理員可以根據(jù)需要為下級管理員授權(quán),實行分級管理�����。下級管理員可以在本資源域內(nèi)的用戶進行分級用戶管理���、分級授權(quán)管理����、分級安全審計等管理���,保護本資源域內(nèi)的安全��。從而形成一個合理有序�、權(quán)限明確的樹形分級管理結(jié)構(gòu),進行最細粒度的管理�����。原應(yīng)用系統(tǒng)中的策略管理和審計管理可以統(tǒng)一整合到一個平臺中���,進行統(tǒng)一的資源授權(quán)管理與集中審計管理�。系統(tǒng)軟件工作原理
系統(tǒng)層�,也即操作系統(tǒng)層,是上層各功能模塊的底層支撐�,對操作系統(tǒng)的可靠性、安全性���、負載性有較高的要求�����。因此���,安全應(yīng)用支撐平臺對公共服務(wù)系統(tǒng)軟件部分運行的AAAA核心服務(wù)引擎��,采用了 IdeaBank Linux 2.0安全操作系統(tǒng)��。該操作系統(tǒng)基于Linux內(nèi)核���,是專門為AAAA核心服務(wù)引擎裁剪加固的安全操作系統(tǒng)��,可以與該平臺軟件系統(tǒng)無縫緊密結(jié)合�,從而可以發(fā)揮平臺的最優(yōu)性能。核心數(shù)據(jù)層:包括網(wǎng)絡(luò)應(yīng)用資源庫�����、資源訪問策略庫��、用戶數(shù)據(jù)庫�����、審計數(shù)據(jù)庫以及證書LDAP數(shù)據(jù)庫��。核心數(shù)據(jù)層各庫功能作用如下:
網(wǎng)絡(luò)應(yīng)用資源庫:包括系統(tǒng)所用的應(yīng)用資源�;由核心安全層的統(tǒng)一資源管理模塊維
護;
資源訪問策略庫:包括系統(tǒng)設(shè)置的默認安全策略���,以及管理員的自定義策略����;由核心安全層的授權(quán)管理模塊維護和訪問。用戶數(shù)據(jù)庫:包括所有用戶信息資源���;由核心安全層的用戶管理模塊維護和訪問���;
審計數(shù)據(jù)庫:包括所有用戶的訪問操作日志,以及應(yīng)用系統(tǒng)的運行和使用信息的記錄�;由核心安全層的安全審計模塊維護和訪問;
證書LDAP數(shù)據(jù)庫:包括用戶的數(shù)字證書信息�����;由核心安全層的統(tǒng)一身份認證模塊訪問�,由用戶管理模塊負責LDAP數(shù)據(jù)庫的同步和更新維護。核心安全層是安全應(yīng)用支撐平臺實現(xiàn)深度整合�����、全面安全服務(wù)的核心���。以PKI/PMI安全體系為基礎(chǔ)��,按功能類型的不同可分為以下幾部分:
可信安全核心支撐模塊 可信安全服務(wù)模塊 可信安全管理模塊
公鑰基礎(chǔ)設(shè)施(PKI, Public Key Infrastructure),是一種遵循既定標準的密鑰管理平臺���,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系���,簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施���。PKI技術(shù)已成為在異構(gòu)環(huán)境中為分布式信息系統(tǒng)的各類業(yè)務(wù)提供統(tǒng)一的安全支撐的重要技術(shù)����。授權(quán)管理基礎(chǔ)設(shè)施(PMI,PrivilegeManagement Infrastructure)實際提出了一個新的信息保護基礎(chǔ)設(shè)施�����,能夠與PKI和目錄服務(wù)緊密地集成��,并系統(tǒng)地建立起對認可用戶的特定授權(quán)����,對權(quán)限管理進行了系統(tǒng)的定義和描述����,完整地提供了授權(quán)服務(wù)所需過程�����。建立在PKI基礎(chǔ)上的PMI技術(shù)為分布式信息系統(tǒng)的各類業(yè)務(wù)提供了統(tǒng)一的授權(quán)管理和訪問控制策略與機制����?����?尚虐踩诵闹文K即AAAA核心服務(wù)引擎�,是安全管理和安全服務(wù)聯(lián)系核心數(shù)據(jù)庫的安全管理中間件,包括集中的用戶認證����、遠程網(wǎng)絡(luò)安全訪問等系統(tǒng)模塊,都是通過AAAA核心服務(wù)引擎連接用戶庫�����、資源庫及策略庫���,執(zhí)行相應(yīng)的用戶資源訪問安全策略���。AAAA核心服務(wù)引擎是一個能夠處理用戶訪問請求的底層服務(wù)程序模塊���,該服務(wù)程序模塊主要完成以下工作:
處理用戶對計算機或網(wǎng)絡(luò)資源訪問的請求并向系統(tǒng)提供認證、授權(quán)����、審計和管理的AAAA底層服務(wù);
為其他業(yè)務(wù)系統(tǒng)提供認證��、授權(quán)和日志審計�、安全管理服務(wù)等應(yīng)用接口 ;
通過檢索資源授權(quán)審計庫決定用戶的資源訪問權(quán)限�����,對用戶身份和操作授權(quán)進行驗證�,同時對于用戶在系統(tǒng)中的活動進行記錄��?���?尚虐踩?wù)模塊主要包括統(tǒng)一身份認證服務(wù)模塊和統(tǒng)一安全審計服務(wù)模塊。二者以AAAA核心服務(wù)引擎為依托�,并借助于PKI/PMI安全體系中的應(yīng)用API接口提供綜合安全服務(wù)�。1�����、統(tǒng)一身份認證服務(wù)模塊
統(tǒng)一身份認證服務(wù)是用戶訪問資源的入口����,直接關(guān)系著系統(tǒng)資源的安全。主要完成以下工作:
處理用戶請求����,創(chuàng)建用戶個性化資源訪問菜單;
提供用戶認證插件模塊接口���,為用戶創(chuàng)建安全會話�����; 該服務(wù)采用了開放性架構(gòu)��,同時也能夠支持擴展的插件式(Plug-1n)認證技術(shù)���。IA套件是快速基于數(shù)字證書實現(xiàn)集中用戶認證的開發(fā)包,主要功能包括:
建立應(yīng)用服務(wù)器與用戶認證平臺的可信加密通訊���;
管理集中用戶認證會話及重定向�;
維護集中用戶認證用戶信息;
為應(yīng)用系統(tǒng)提供行為審計接口�����;
為應(yīng)用系統(tǒng)提供資源授權(quán)接口����;
實現(xiàn)對密碼硬件設(shè)備的訪問。iMidffare組件是基于數(shù)字證書實現(xiàn)集中用戶認證的守護程序�����,主要功能包括: 建立用戶端與用戶認證平臺的可信回話�����;
管理集中用戶認證會話及重定向�����;
實現(xiàn)對密碼硬件設(shè)備的訪問���。統(tǒng)一身份認證服務(wù)模塊的密碼應(yīng)用為:
簽名/驗簽
使用國產(chǎn)SM3密碼算法對數(shù)據(jù)進行雜湊運算�,使用國產(chǎn)SM2密碼算法對雜湊數(shù)據(jù)進行簽名和驗簽�����。加密/解密
使用國產(chǎn)SMl密碼算法對敏感數(shù)據(jù)進行加解密運算�,使用國產(chǎn)SM2密碼算法加密保護SMl密碼算法密鑰。該服務(wù)模塊的主要密碼過程為:
身份認證時�,客戶端由iMidWare安全組件負責調(diào)用SJY1134智能密碼鑰匙,使用數(shù)字證書����,結(jié)合SM2和SM3算法,和數(shù)字證書統(tǒng)一身份認證系統(tǒng)服務(wù)器進行身份認證����,服務(wù)端通過認證模塊調(diào)用SJK0817-B型加密卡和客戶端進行身份認證,實現(xiàn)雙向認證后�,由服務(wù)端授權(quán)模塊對當前用戶所要訪問的應(yīng)用系統(tǒng)進行權(quán)限的認證,權(quán)限認證通過后����,把帶有簽名信息的憑證通過客戶端iMidWare安全組件傳給應(yīng)用系統(tǒng)。用戶登錄時����,由IA套件負責調(diào)用SJY1134智能密碼鑰匙��,對簽名憑證進行驗證�,通過后���,IA套件使用憑證進行用戶登錄�,服務(wù)端憑證驗證通過后�,發(fā)送帶簽名的加密用戶信息到應(yīng)用服務(wù)器,應(yīng)用服務(wù)端IA套件對簽名憑證進行驗證���,驗證通過后����,應(yīng)用服務(wù)端IA套件解密用戶信息��,完成用戶登錄并獲取對系統(tǒng)的訪問權(quán)�。統(tǒng)一安全審計服務(wù)模塊
安全審計的目的是把所有與安全有關(guān)的事件記錄下來,包括用戶訪問和操作資源的時間�,行為等,以便事后分析調(diào)查����,及時發(fā)現(xiàn)隱患,甚至追查有關(guān)的責任者�����;同時���,還可以監(jiān)視和記錄應(yīng)用的運行和使用信息���,向管理員報警。統(tǒng)一安全審計服務(wù)模塊為審計管理員提供強大的追溯���、分析管理與服務(wù)事件的能力�����,可以使審計管理員對系統(tǒng)資源的使用情況有一個詳細透徹的了解��。平臺的統(tǒng)一安全審計服務(wù)模塊主要完成以下工作:
為各種應(yīng)用系統(tǒng)提供了安全����、統(tǒng)一的審計功能�����,并提供審計數(shù)據(jù)收集、分析����、管理等API接口 ;
數(shù)據(jù)收集接口與AAAA核心服務(wù)引擎相連���,審計服務(wù)將審計數(shù)據(jù)保存到審計數(shù)據(jù)庫中����; 控制臺通過安全審計組件的數(shù)據(jù)庫接口�,設(shè)置審計數(shù)據(jù)庫,并從審計數(shù)據(jù)庫中獲取各種應(yīng)用的審計數(shù)據(jù)�����;
利用審計數(shù)據(jù)分析接口在控制臺上分析數(shù)據(jù)和生成報表�。為了支持對資源進行分級管理,平臺的安全審計模塊提供分級安全審計�,保證分級管理員對其管轄的資源域進行安全審計?����?尚虐踩芾砟K包括用戶管理����、授權(quán)管理����、資源管理等管理服務(wù)模塊��。其中����,資源管理模塊對系統(tǒng)資源實行統(tǒng)一管理�,而用戶管理模塊和授權(quán)管理模塊不僅支持統(tǒng)一的管理服務(wù)功能,同時各模塊還支持分級管理功能�,即每個接入平臺的應(yīng)用系統(tǒng)都具備與該應(yīng)用相關(guān)的匹配權(quán)限,從而對用戶和權(quán)限進行最細粒度的管理和控制����。1、用戶管理模塊
基于LDAP目錄服務(wù)的用戶管理模塊通過對數(shù)字證書信息的目錄式集中管理和查詢服務(wù)���,方便分布式環(huán)境下各應(yīng)用系統(tǒng)根據(jù)自己的權(quán)限將屬于本系統(tǒng)中的數(shù)字證書與用戶名稱進行匹配����,為管理員提供一個統(tǒng)一的用戶管理平臺�����。同時,用戶管理模塊支持多級用戶管理模式��,通過統(tǒng)一用戶管理平臺對應(yīng)用系統(tǒng)需要的組進行分配��,組中的角色由應(yīng)用系統(tǒng)管理員進行分配管理��,不同的應(yīng)用系統(tǒng)訪問屬于自己用戶組的證書信息���。用戶管理模塊主要完成以下工作:
用戶管理:添加�����、修改�����、刪除用戶信息等�����,并對用戶信息與LDAP用戶庫進行同步和更
新����;
用戶組的管理:添加、刪除用戶組��,便于進行分級用戶管理��;
角色管理:對不同用戶組的角色進行定位��,保證對資源的合理分配��;
2�����、授權(quán)管理模塊
授權(quán)管理模塊采用基于策略的訪問控制機制�����,實現(xiàn)安全策略的集中管理和資源的委托授權(quán)管理�,可以對系統(tǒng)內(nèi)部的各種資源進行統(tǒng)一的管理�,構(gòu)建強大的基于角色的訪問控制,同時提供基于規(guī)則的策略控制����。授權(quán)管理模塊主要完成以下工作:
資源的訪問控制:只有經(jīng)過認證的用戶才能訪問系統(tǒng)資源,一旦用戶完成認證����,每個用戶都有不同的權(quán)限��,不同的權(quán)限對應(yīng)不同的資源����。所以用戶只能訪問與自己權(quán)限相對應(yīng)的資源����;
權(quán)限監(jiān)控:拒絕未授權(quán)的用戶以及超出用戶權(quán)限范圍的訪問行為;
自定義安全策略規(guī)則:不僅支持系統(tǒng)默認的安全策略�����,管理員還可以自定義安全策略規(guī)則��,最大限度的進行細粒度權(quán)限管理��;
分級授權(quán):支持系統(tǒng)管理員對分級授權(quán)管理員授權(quán)����。3、資源管理模塊
統(tǒng)一資源管理模塊提供各種應(yīng)用系統(tǒng)和各種需要保護的功能資源的統(tǒng)一管理功能�,有效的控制和管理資源,提供資源的認證和維護�����。統(tǒng)一資源管理模塊采用統(tǒng)一資源目錄來進行信息資源的整合與管理。它包括以下幾個目錄:
組件目錄:應(yīng)用組件的注冊信息列表��;
信息資源目錄:用戶能使用���、能管理�、能查看的信息資源目錄�����;
被授權(quán)的信息資源目錄:用戶被授權(quán)的信息資源目錄的子集�。
統(tǒng)一資源管理模塊有如下特點:
基于統(tǒng)一的封裝機制����,可以實現(xiàn)異構(gòu)信息資源的統(tǒng)一接入;
為用戶提供信息源導航����,給用戶提供訪問所有應(yīng)用系統(tǒng)的統(tǒng)一入口。管理員可以查找和使用整個網(wǎng)絡(luò)系統(tǒng)信息資源���,而無需了解資源的確切名稱或位置�����;
采用樹狀目錄分級結(jié)構(gòu)��;
與授權(quán)控制管理結(jié)合��,支持用戶組級別的目錄共享��,目錄可以共享給指定的授權(quán)用戶/用戶組���。系統(tǒng)的應(yīng)用層為管理員提供Web管理操作界面���,并提供安全應(yīng)用工具和第三方擴展服務(wù),并可以與OA辦公系統(tǒng)��、郵件服務(wù)系統(tǒng)����、Web服務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等應(yīng)用系統(tǒng)無縫接入��,從而將所有資源納入系統(tǒng)的管理范圍之中����。應(yīng)用層提供的應(yīng)用系統(tǒng)整合方式包括:
跨平臺應(yīng)用安全集成套件:套件包括JAVA�����、C#����、ASP��、COM等接口模塊���,分別支持各類B/S與C/S應(yīng)用系統(tǒng)的安全整合�����。通過將安全模塊內(nèi)嵌于應(yīng)用服務(wù)器中����,與應(yīng)用系統(tǒng)實現(xiàn)代碼級的深度整合�����,為應(yīng)用系統(tǒng)提供基于數(shù)字證書及賬戶的統(tǒng)一認證��、資源訪問授權(quán)策略控制�、第三方應(yīng)用行為審計等功能。用戶訪問系統(tǒng)的使用過程示意圖如圖2����,
I)用戶端通過HTTP協(xié)議直接訪問應(yīng)用系統(tǒng)。2)應(yīng)用系統(tǒng)調(diào)用IA套件證書認證接口判斷此訪問是否經(jīng)過認證�;如沒有通過認證,通知用戶端的iMidWare組件自動重定向至數(shù)字證書統(tǒng)一身份系統(tǒng)�。3)數(shù)字證書統(tǒng)一身份認證系統(tǒng)服務(wù)器將根據(jù)提交的數(shù)字證書驗證用戶,檢查根證書和CRL�����、證書有效性����、用戶角色、用戶權(quán)限等����,并在認證日志中記錄用戶名、IP地址�、時間、應(yīng)用系統(tǒng)名稱��、登錄方式、認證狀態(tài)等信息�。認證密碼的流程如圖3所示。4)證書認證通過后����,數(shù)字證書統(tǒng)一身份認證系統(tǒng)將根據(jù)當前用戶會話信息、用戶基本信息����、隨機序列值等由服務(wù)器證書簽名生成一次性憑證,傳遞給用戶端��。5)用戶端通過iMidWare組件自動重定向用戶端至應(yīng)用系統(tǒng),并提交這個一次性簽名憑證�����。6) IA套件證書認證接口首先驗證一次性簽名憑證����,驗證通過以后,將應(yīng)用授權(quán)碼和一次性簽名憑證傳遞給數(shù)字證書統(tǒng)一身份認證系統(tǒng)�,以驗證當前會話用戶訪問簽名憑證的合法性以及應(yīng)用系統(tǒng)授權(quán)碼正確性。驗證通過后�,數(shù)字證書統(tǒng)一身份認證系統(tǒng)獲取用戶信息并進行加密�����,將加密用戶信息簽名后返回給應(yīng)用系統(tǒng),隨即銷毀一次性簽名憑證�。應(yīng)用系統(tǒng)得到簽名的用戶信息后,驗證該信息的真實性����,通過后,解密用戶信息���,然后根據(jù)該用戶信息登錄應(yīng)用系統(tǒng)���。登錄密碼流程如圖4所示。本發(fā)明的創(chuàng)新之處在于:采用了組件思想和技術(shù)���,即組件可以在應(yīng)用領(lǐng)域的軟件生產(chǎn)中作為零件納入新的體系中被重用��。經(jīng)過抽象�,將紛繁復雜的系統(tǒng)經(jīng)過提煉和必要的隔離后��,以統(tǒng)一的層面形式呈現(xiàn)給應(yīng)用���。應(yīng)用在數(shù)字簽名提供的環(huán)境中可以更好地集中于業(yè)務(wù)邏輯上�����,并以組件化的形式存在�����,最終自然而然地在異構(gòu)環(huán)境中實現(xiàn)良好的協(xié)同工作��。其次�,系統(tǒng)的實施與受保護的應(yīng)用系統(tǒng)的開發(fā)語言、開發(fā)平臺和后臺數(shù)據(jù)庫無關(guān)��,在保持現(xiàn)有的軟硬件及網(wǎng)絡(luò)環(huán)境不變情況下����,對應(yīng)用系統(tǒng)不做改造或簡單接口,可以把平臺與應(yīng)用系統(tǒng)無縫整合����。最后,多層次����、全方位安全保護設(shè)計,實現(xiàn)管理員����、安全管理技術(shù)、管理策略以及信息資源有效互動和協(xié)調(diào)���,發(fā)揮安全保障體系的最大功能���。
權(quán)利要求
1.一種適用于多應(yīng)用系統(tǒng)的統(tǒng)一身份認證方法,應(yīng)用于多種需要進行身份認證的應(yīng)用系統(tǒng)���,其特征是:設(shè)置一個獨立認證系統(tǒng)��,所述的獨立認證系統(tǒng)包含系統(tǒng)層����、核心數(shù)據(jù)層�、核心安全層和應(yīng)用層;獨立認證系統(tǒng)配置有密碼硬件設(shè)備���,所述的密碼硬件設(shè)備包括客戶端使用的USB key和服務(wù)端使用的加密卡�����,該密碼硬件設(shè)備實現(xiàn)對國產(chǎn)密碼算法SMl����、SM2及SM3的應(yīng)用;本方法所采用的獨立認證系統(tǒng)還配置有集成到應(yīng)用系統(tǒng)中的IA套件����,并配置安全認證中間件模塊; 具體的身份認證方法是:當用戶訪問應(yīng)用系統(tǒng)時���,觸發(fā)應(yīng)用系統(tǒng)中集成的IA套件自動對其身份進行認證���;在IA套件的認證下,用戶將重定向安全認證中間件模塊����,取得身份憑證;用戶取得憑證后返回���,并攜憑證再次訪問應(yīng)用系統(tǒng)�����,再次觸發(fā)IA套件對其身份進行認證���;通過認證的用戶可以正常訪問應(yīng)用系統(tǒng)����。
2.根據(jù)權(quán)利要求1所述的適用于多應(yīng)用系統(tǒng)的統(tǒng)一身份認證方法���,其特征是:所述的密碼硬件設(shè)備是SJK0817-B或SJKl 134中的一種或兩種。
全文摘要
本發(fā)明公開了一種適用于多應(yīng)用系統(tǒng)的統(tǒng)一身份認證方法�����,涉及網(wǎng)路安全技術(shù)�,設(shè)置獨立認證系統(tǒng),包含系統(tǒng)層�、核心數(shù)據(jù)層、核心安全層和應(yīng)用層����,并配置有密碼硬件設(shè)備和集成到應(yīng)用系統(tǒng)中的IA套件,并配置安全認證中間件模塊��;身份認證方法是當用戶訪問應(yīng)用系統(tǒng)時�����,觸發(fā)應(yīng)用系統(tǒng)中集成的IA套件自動對其身份進行認證����;在IA套件的認證下����,用戶將重定向安全認證中間件模塊���,取得身份憑證���;用戶取得憑證后返回,并攜憑證再次訪問應(yīng)用系統(tǒng)���,再次觸發(fā)IA套件對其身份進行認證����;通過認證的用戶可以正常訪問應(yīng)用系統(tǒng)�。本發(fā)明能適應(yīng)多用戶訪問多系統(tǒng)的身份認證,效率高成本低���,安全性好��。
文檔編號H04L9/32GK103152179SQ201310048788
公開日2013年6月12日 申請日期2013年2月7日 優(yōu)先權(quán)日2013年2月7日
發(fā)明者蔣日友, 趙為強, 韓征, 姜建功, 謝吉華 申請人:江蘇意源科技有限公司