李跃武 瓦里别克·吐达红 杨静
新疆数字证书认证中心 新疆 830002
摘 要:随着电子商务、电子政务、网络贸易、网上银行等在线、移动业务的蓬勃发展,各企事业单位均存在多个业务系统、主机和网络设备,用户经常于各在线、移动应用之间切换,日常维护管理员需要登录多个平台进行操作,各在线、移动业务系统中数据无法交互和共享,造成缺乏真实身份认证和有效的访问控制、数据实用性和安全性低、系统维护工作复杂。而多终端统一认证服务平台,是通过SM2加密技术为基础,实现的PC端、移动端,多系统跨平台的身份认证、访问控制集中管理。
关键词:多终端、统一身份认证、单点登录
Abstract:
With the booming development of online and mobile services such as e-commerce, e-government, online trade and online banking, there are multiple business systems, mainframe and network devices in all enterprises and institutions. Users often switch between online and mobile applications. Daily maintenance administrators need to log on multiple platforms to operate. Data cannot be exchanged and Shared in online and mobile business systems, resulting in the lack of real identity authentication and effective access control, low data availability and security, and complex system maintenance. The multi-terminal unified authentication service platform is the centralized management of identity authentication and access control of the PC terminal, mobile terminal and multi-system cross-platform based on SM2 encryption technology.
Key words: multi-terminal, unified identity authentication, single sign-on
1 引言
多终端统一身份认证属于身份认证与访问控制管理,指的是对PC端、移动端的用户身份、以及该用户对应用和数据的访问进行管理。IAM(Identity and Access Management)的概念,最初出现在2003年前后的欧美地区,是随着信息化发展,企业用户数量爆发式增长,导致传统用户身份认证和访问控制技术不能适用于信息化发展需求。
随着我国信息化、网络化的迅速发展,各行各业随之建设自己的应用系统、业务系统,覆盖了商务、政务服务、金融、通讯服务、医疗卫生、教育、工控等各行各业。多数应用系统、业务系统、生产系统、管理系统在建设初期都是独立设计开发,配备单独的系统服务器、数据库服务器及其他软硬件,随着建设的系统越来越多,数据交互、统一的访问控制需求越来越迫切;另一方面随着4G、5G移动互联网的普及,涌现出大量的移动APP应用需求,各企事业、各行业随之增加建设在线应用、移动应用,从而加快了应用与应用间的割裂以及应用数据之间的“信息孤岛”现象的产生,如何实现多终端、多系统间的数据交互、统一访问控制管理,成为信息化企事业单位必须解决的问题之一。
2 多终端统一身份认证需求
2.1需求分析
随着信息化发展,企事业单位纷纷建设各类业务系统、管理系统、门户网站、销售系统和移动APP等各类应用系统,每个应用系统各自为阵,开发同样的用户授权管理模块和维护同样的用户授权信息,存在重复管理、信息难以共享和缺乏统一的授权管理平台,导致管理工作重复繁杂。因此信息化企业在各类应用系统管理中存在以下困境:
(1)系统登录采用账号、口令方式,难以有效管理
各业务、应用系统账户管理各自为阵,部分人员因工作需要在多个业务、应用系统来回切换,需要管理的账号密码较多,导致需要记忆的账号密码较多。为了方便操作,多数人员将多个业务系统、应用系统的账号口令均设置成一模一样,虽然方便工作,存在较大的风险隐患。为了方便工作还存在账号多人共用现象,导致难于控制账号的扩散范围,也难于确定账号的实际使用者。
(2)用户的认证方式单一、安全强度比较低
现有应用系统大多采用单一的用户名/口令认证方式,即用户名、口令正确则允许访问系统,同时以正确的用户名、密码来确认用户身份,但是用户名、口令容易被盗用和暴力破解,安全强度低,难以实现安全的访问控制。
(3)各应用系统授权管理混乱
各系统分别管理所属的系统资源,为本系统的用户分配权限,缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限。随着应用系统越来越多,和用户数量的增加,权限管理任务越来越重,系统的安全性无法得到充分保证。
(4)其他困境
随着4G/5G移动互联网的普及,涌现出大量的移动APP应用需求,各移动APP的用户身份认证、访问控制均存在各自为阵、信息难以共享和缺乏统一的授权管理等困境。
目前各类应用系统中由于对授权数据仅仅是系统层级的安全性保证,一旦拥有系统权限,数据即暴露给用户,授权数据得不到安全性保证。
总之,随着各类应用系统的发展及用户数量的增加,系统维护和管理人员的工作负担增加,导致工作效率低。迫切需要实现多终端、多应用系统的用户进行统一管理、统一访问控制、安全身份认证。
2.2 功能分析
多终端统一身份认证,应实现移动端和PC端各类应用系统的身份认证、访问控制管理,实现多终端、多应用系统的统一用户管理、统一授权管理及单点登录等功能。
(1) 统一的用户管理
实现多终端、多应用系统的统一用户管理,用户管理架构与企事业单位的组织架构、岗位职责一一对应,便于实现用户访问授权管理。
(2) 统一身份认证管理
利用加密算法、PKI体系、生物特征识别、二维码等多种技术,实现多终端、多应用系统的用户身份认证功能, 实现数据库、Windows AD、LDAP等认证源数据的接入,可根据用户的组织架构、岗位职责和安全需求,增加或减少身份认证方式。
(3) 统一访问控制管理
结合用户管理中的组织架构、岗位职责和安全需求,对多终端、多应用系统的用户实施最小粒度的访问权限控制,实现系统根据用户所在部门、岗位自动分配合适的访问控制权限,同时可以根据工作需求对各个终端、各个应用系统的用户进行单独的访问控制权限管理。
(4) 统一门户入口
通过建设统一门户,实现多终端、多应用系统的单点登录功能,用户可以通过统一的门户网站、客户端、APP,经过一次身份认证,访问已授权的各类应用系统,同时门户网站、客户端、APP的身份认证、登录状态可以互通共享,例如可以通过APP扫码门户网站、客户端共享身份认证,实现门户网站、客户端的登录。
(5)数据安全管理
通过利用加密技术,实现多终端统一身份认证系统的操作数据、用户数据、系统数据的加密处理、加密存储、加密传输。其中,通信隧道采用了SSL、TLS、IPsec等加密通讯技术,保证数据传输安全性和完整性。
(6)安全审计管理
通过数字签名的方式,记录管理员的操作行为,用户的访问行为,以及非法入侵行为到口志库,提供基于密码算法的数字签名,为安全审计提供数据记录。
(7)其他管理服务
多终端统一身份认证应提供应用日常需要的 APP 信息推送、邮件、短信、电子签名、电子签章、时间戳等服务功能,向各类应用提供统一的服务资源。
2.3 技术实现
在本系统的身份认证模块中,身份认证主要有两种方法:PC端数字证书身份认证方式,移动端数字证书认证,其中移动端分IOS版和安卓版。
(1)PC端数字证书身份认证
数字证书认证:用户访问登录页面时,服务器端产生随机码并传到登录页面,用户登录时浏览器调用控件在客户端对随机码进行签名,将签名结果传送至后台,后台取得签名原文对用户签名进行验证,提取用户证书,然后再对用户证书进行验证,证书的验证包括有效期、CA签名、检查CRL列表等。
数字证书PIN码二位码认证:数字证书USB-Key的PIN码传统方式是存储在key里在客户端做认证,用户经常忘记PIN码,必须到营业网点解锁,对用户和企业带来一定的工作量;二位码认证模式是数字证书USB-Key的PIN码同时加密存储在key里和服务器端,客户端生成加密的二维码,手机APP扫描二维码发送服务器端认证。
(2)移动端数字证书身份认证
移动数字证书认证方式:登录系统之后用户点击启用数字证书认证功能选项,系统判断用户账户是否绑定了数字证书,如果已经绑定,则不允许重复申请数字证书。如果没有绑定数字证书,系统从用户注册资料中提取相关信息为用户申请个人数字证书,并自动签发,将数字证书的信息写入数据库与用户信息绑定,之后用户可以使用数字证书的认证方式登录系统。
(3)授权管理
授权管理模块的主要功能包括:对用户组的添加删除修改,对系统资源的添加删除修改,对用户的添加删除,建立用户,用户组,系统资源之间的关系,控制用户对资源的访问。
信息系统包含信息量巨大并有不同敏感程度的信息,和有不同访问需求的用户,使安全管理非常复杂。基于分组的授权管理的特点是通过分配和取消分组,来完成用户权限的授予和取消,并提供了组分配规则和操作检查规则。安全管理人员根据需要定义各种角色,某一类角色形成一个组,并设置合适的访问权限,而用户根据其责任和岗位再被指派属于某一个组。这样,整个访问控制过程就分成两个部分,即访问权限与组相关联,组再与用户关联,从而实现了用户与访问权限的逻辑分离。
(4)单点登陆
单点登陆模块的主要功能包括:对平台之外的资源在平台注册,分布式的用户认证,以及分布式系统与平台的交互,与授权管理模块想结合,控制用户的登陆和对资源的访问。
首先用户访问平台所管理的应用网站,应用网站判断用户是否登陆,没有登陆的用户重定向到管理平台,管理服务平台实现统一的安全的身份认证,并在平台上保存记录。平台将认证结果发送给应用提供者,其中平台与应用提供者的信息交互利用PKI技术加密签名。当用户登陆本平台所管理的应用网站时,不需要重复登陆。
本系统单点登陆的实现是使用统一认证授权管理平台来管理一些应用网站。应用网站不再需要用户的认证系统,把用户的认证统一到平台上来,用户在第一次登陆以后,在访问平台认可的应用网站时,不再需要重复登陆。
(5)其他功能实现
界面采用Free Marker模板引擎,即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页、电子邮件、配置文件、源代码等)的通用工具。 它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所开发产品的组件。
弹出框、消息框、警告框、文本框及所有动画效果采用Amaze UI框架实现,以移动优先(Mobile first)为理念,从小屏逐步扩展到大屏,最终实现所有屏幕适配,适应移动互联潮流。含近 20 个 CSS 组件、20 余 JS 组件,更有多个包含不同主题的 Web 组件,可快速构建界面出色、体验优秀的跨屏页面,大幅提升开发效率。相比国外框架,Amaze UI 关注中文排版,根据用户代理调整字体,实现更好的中文排版效果;兼顾国内主流浏览器及 App 内置浏览器兼容支持。Amaze UI 面向 HTML5 开发,使用 CSS3 来做动画交互,平滑、高效,更适合移动设备,让 Web 应用更快速载入。
页面传参处理功能是采用jQuery技术实现,是一个快速、简洁的JavaScript框架,是继Prototype之后又一个优秀的JavaScript代码库(或JavaScript框架)。jQuery设计的宗旨是“write Less,Do More”,即倡导写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。jQuery的核心特性可以总结为:具有独特的链式语法和短小清晰的多功能接口;具有高效灵活的css选择器,并且可对CSS选择器进行扩展;拥有便捷的插件扩展机制和丰富的插件。jQuery兼容各种主流浏览器,如IE 6.0+、FF 1.5+、Safari 2.0+、Opera 9.0+等。
异步刷新,即通页面处理多个业务操作功能,采用了Ajax技术实现, 即“Asynchronous Javascript And XML”(异步 JavaScript 和 XML),是指一种创建交互式网页应用的网页开发技术。Ajax = 异步 JavaScript 和 XML(标准通用标记语言的子集)。Ajax 是一种用于创建快速动态网页的技术。Ajax 是一种在无需重新加载整个网页的情况下,能够更新部分网页的技术。通过在后台与服务器进行少量数据交换,Ajax 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。
结束语
随着计算机的普及,网络技术的发展,特别是互联网技术的普及,基于互联网的应用迅速发展,极大促进了国民经济的发展,为第三产业的发展提供了一个广阔的舞台。同时互联网改变着人们的生活方式,不断提高人们的生活质量。可以预见,未来互联网技术的变革会给人们的生活带来新的惊喜,为经济的发展提供新的机遇。同时随着信息化水平的不断提高,网络安全情况面临非常严峻的挑战。
随着电子商务、电子政务、网络贸易、网上银行等业务的蓬勃发展不断暴露出了新的问题,许多组织内部往往存在多个业务系统、主机和网络设备,需要采用强认证系统来解决对用户、应用和设备的安全管理问题,用户经常于各应用之间切换,需要记忆大量的用户名和口令,安全性极低,存在较大的安全隐患,并缺乏真实身份认证、授权及审计,且无法确定实际使用者,难以保证数据保密性,数据完整性以及不可否认性。对于维护人员则需要应对不同的应用系统、主机、网络设备,日常维护管理员需要登录多个平台进行操作,无法实现跨平台集中管理,工作复杂度会成倍增加,这就要求一种可靠的单点登陆系统,传统的单点登陆系统无法和授权管理结合应用,并且安全系数较低。
在信息技术迅速发展的今天,一个组织或企业在发展壮大的过程中,企业的信息化系统建设成为提升其自身竞争力的一个重要力量。在这个过程中不可避免地会遇到网络管理的难题,如果不认真的解决这个难题,其带来的后果可能会降低企业的工作效率,造成企业管理混乱,造成经济损失,甚至会快速击跨一个健康的组织或企业。
多终端联合统一认证服务平台可以为组织或企业从用户账户管理、用户身份识别、身份认证、用户访问控制、用户授权管理,多应用系统的统一管理、用户行为审计等方面提供强大的信息技术支持,有效解决复杂应用条件下用户账户与行为的可控管理,大幅度降低组织或企业所可能面临的、由用户管理漏洞所带来的法律风险。该平台对于提高组织机构的效率、信息共享程度及安全性都具有重要作用。
参考文献
[1]袁海峰.统一身份认证平台在高校信息化建设中的应用研究[J].信息安全与技术,2015(8):75-77.
[2]李佳临.基于云架构的统一身份认证系统的设计与实现[J].国土资源信息化,2016(3):37-42.
[3]李明.基于可信身份认证的企业信任服务体系研究[J].信息安全研究,2017,3(9):832-840.
[4]杜佳,李凯丰.统一身份认证平台建设研究[J].数码世界,2017(7):99-100.
[5]于延菊,刘晓文,姚敏.建立统一身份认证系统[J].网络安全和信息化,2018(4):47-48.
[6]陈学锋.移动网络终端单点登陆身份准确认证仿真分析[J].计算机仿真,2018,35(6):172-175.
[7]吴君楠,黎铁军,袁远,隋荣恒.一种安全高效的跨域单点登录系统设计与实现[J].软件工程,2018,21(9):44-47.
[8]王瑶,何淳真,康莹,燕昊,王瑞.统一身份认证在企业信息系统中的应用[J].中国管理信息化,2019,22(1):193-196.
[9]朱可宁,蒋福兴,邓晨.可信身份认证平台在“互联网+政务服务”单点登录的应用[J].中国安全防范技术与应用,2019(4):61-66.
[10]Norihiro 5akamoto, Development of a User Authentication System Based Key Certificates for Healthcase Information National University Hospitals.
[11]H L Yeh, et al. A secured authentication protocol for wireless sen- sor networks using elliptic curves cryptography [ J ]. Sensors, 2011,11 (5) :4767 -4779.
作者简介
李跃武,男,汉族,新疆乌鲁木齐市,美国管理技术大学工商管理硕士,在读博士,新疆数字证书认证中心,董事,总经理;主要研究方向和关注领域:电子签名、电子认证服务、密码应用及网络安全。
瓦里别克·吐达红,男,哈萨克,新疆乌鲁木齐市,四川大学微电子学本科,CISP,CISP认证讲师,新疆数字证书认证中心,技术总监;主要研究方向和关注领域:电子签名、电子认证服务、密码应用及网络安全。
杨静,女,汉族,湖北孝感市,厦门大学,工程硕士,新疆数字证书认证中心,科技部副经理;主要研究方向和关注领域:商密应用、网络信息安全。