身份管理與認證系統(tǒng)2.0的設計與實現(xiàn)

張紅梅

[摘? ? 要] 本文介紹了身份管理與認證系統(tǒng)2.0概況以及主要功能模塊，實現(xiàn)多系統(tǒng)之間的數(shù)據(jù)共享，提供集中的用戶身份管理功能，在提高系統(tǒng)訪問安全性的同時，也提高了系統(tǒng)訪問效率，有助于提升企業(yè)信息化水平。

[關鍵詞] 身份管理;認證系統(tǒng);USBKey

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 05. 079

[中圖分類號] TP315? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2020）05- 0184- 02

1? ? ?引? ? 言

身份管理與認證項目是《中國石油天然氣集團公司“十一五”信息技術總體規(guī)劃》與《中國石油天然氣集團公司“十二五”信息技術總體規(guī)劃》中的“信息安全體系建設項目（F8）”子項目，實現(xiàn)了單點登錄功能，在提高系統(tǒng)訪問的安全性的同時，也提高了系統(tǒng)訪問效率。與企業(yè)主數(shù)據(jù)進行集成，實現(xiàn)多系統(tǒng)之間的數(shù)據(jù)共享，提供集中的用戶身份管理功能，實現(xiàn)了用戶賬號的實名制管理及審計等功能，大大降低了用戶賬號管理的復雜性與成本。

2? ? ? 身份管理與認證系統(tǒng)概況

身份管理與認證系統(tǒng)是多系統(tǒng)集成登陸的一個系統(tǒng)。系統(tǒng)提供用戶管理、組織機構(gòu)管理、系統(tǒng)管理、管理員權限管理、認證策略配置、應用管理、安全審計功能。以統(tǒng)一、安全、可靠、合規(guī)的方式對企業(yè)信息資產(chǎn)的系統(tǒng)訪問者進行訪問授權，讓合適的人在恰當?shù)臅r間采用正確的方式和可信的身份從統(tǒng)一的入口訪問已授權的信息資產(chǎn)。從而保護企業(yè)免受內(nèi)部和外部的攻擊威脅，確保企業(yè)信息資產(chǎn)的完整性，并且提供可信的審計和報告。

身份管理與認證系統(tǒng)由IAM（身份管理與訪問控制）和PKI（公共密鑰體系基礎設施）兩個子系統(tǒng)構(gòu)成。身份管理與認證系統(tǒng)（1.0）實現(xiàn)了信息系統(tǒng)的統(tǒng)一賬號管理和單點登錄，有效解決了應用系統(tǒng)用戶物理身份和數(shù)字身份的一致性問題，實現(xiàn)了用戶賬號的實名制管理及審計;身份管理與認證系統(tǒng)（2.0）建設，將在身份管理與認證系統(tǒng)（1.0）的基礎上，根據(jù)國家要求，結(jié)合中國石油的實際情況和應用需求，完成商用密碼算法升級工作，新建符合國家政策的密碼技術應用支撐平臺，并擴展與完善身份管理與認證系統(tǒng)功能，逐步實現(xiàn)自主可控。

3? ? ? 身份管理與認證系統(tǒng)2.0主要功能模塊

身份管理與認證系統(tǒng)2.0可以提供用戶身份管理、統(tǒng)一認證、系統(tǒng)安全性設計、密鑰管理等功能，有效解決應用系統(tǒng)弱口令問題。

3.1? ?用戶身份管理

身份管理與認證系統(tǒng)2.0里內(nèi)置兩類三種用戶，內(nèi)部用戶和外部用戶，內(nèi)部用戶又可分為HR用戶和非HR用戶。

內(nèi)部HR用戶數(shù)據(jù)同步是IAM通過每天的定時任務到HR獲取相關數(shù)據(jù)，當天的全部數(shù)據(jù)全部放置臨時表中進行數(shù)據(jù)校驗，正常數(shù)據(jù)直接寫入IAM主數(shù)據(jù)庫，問題數(shù)據(jù)寫入中間表;IAM通過定時任務對中間表數(shù)據(jù)進行輪詢校驗，發(fā)現(xiàn)問題數(shù)據(jù)變?yōu)檎?shù)據(jù)后寫入IAM主數(shù)據(jù)庫。內(nèi)部非HR用戶創(chuàng)建時需要指定責任人，責任人必須是HR用戶，責任人發(fā)生變更時，比如發(fā)生離職等狀態(tài)時，需通知該用戶的管理員變更非HR用戶的責任人信息。

外部用戶是通過外網(wǎng)注冊的用戶。外部用戶通過DMZ區(qū)提供的服務進行注冊登錄服務，外部用戶注冊時調(diào)用身份證校驗接口驗證身份證信息，從DMZ區(qū)登錄和注冊的用戶為外部用戶（存放在專門庫），從DMZ區(qū)登錄的外部用戶只能訪問外部應用（應用放在專門庫），外部用戶和應用由專門的外部應用或用戶管理員管理，兩套數(shù)據(jù)實際類似兩套獨立的IAM，互相獨立，但報表系統(tǒng)匯總從兩套IAM中讀取數(shù)據(jù)。

3.2? ?統(tǒng)一認證功能

一是多平臺認證服務：支持PC和移動設備的內(nèi)外網(wǎng)統(tǒng)一認證。

二是身份認證服務插件體系：建立身份認證服務插件體系，不同認證技術以插件形式注冊到系統(tǒng)中，實現(xiàn)靈活快速擴展。

三是多因子強認證：支持數(shù)字證書（USBKey、藍牙設備）、驗證碼（短信、郵件）、動態(tài)令牌、二維碼掃描、等多種認證技術。

四是分級安全策略：應用系統(tǒng)的分級認證，可根據(jù)時間、環(huán)境、用戶、應用設置不同的認證規(guī)則，并靈活組合多種強認證方式。

五是多種認證方式兼容：繼承現(xiàn)有認證方式，擴充SAML， OAuth2 ， CAS等開放認證協(xié)議。

3.3? ?系統(tǒng)安全性設計

（1）身份鑒別設計

一是要求支持數(shù)字證書、指紋識別、動態(tài)口令等多種認證方式。

二是密碼復雜度、密碼長度、過期策略、失敗策略等。為保證安全，密碼有以下限制：密碼長度不應少于12位;至少包含1位特殊字符，至少包含1位數(shù)字，至少包含1位小寫字母，至少包含1位大寫字母中的3種組合。

（2）訪問控制

按角色用戶身份配置訪問權限、無默認密碼，管理員修改密碼后登錄立即修改。

（3）數(shù)據(jù)安全

身份管理與認證系統(tǒng)支持SM1，SM2，SM3算法，采用https技術對傳輸過程進行加密，對于關鍵敏感數(shù)據(jù)，如用戶密碼等，進行PBKDF2加密存儲。

（4）安全審計

對使用用戶記錄用戶的操作行為，以及使用管理日志記錄管理人員的管理行為進行安全審計，日志采用ES進行管理，并定時同步到其他數(shù)據(jù)中心。

（5）信息保護

用戶授權按照組織機構(gòu)或者項目組，無權限的人員不能查看人員具體信息，退出、注銷系統(tǒng)后，支持單點登出所有已登錄應用。

（6）數(shù)據(jù)備份

提供多集群環(huán)境支持負載均衡，支持兩地三中心部署模式，可手工切換至災備環(huán)境。

（7）監(jiān)控預警

對CPU、硬盤、內(nèi)存等資源的使用情況以及數(shù)據(jù)庫、中間緩存等組件的狀態(tài)進行監(jiān)控，出現(xiàn)異常時，可通過郵件的方式進行報警。

（8）入侵防范

支持前后臺分離，前臺僅使用靜態(tài)頁面，設置管理IP、關閉不必要的網(wǎng)絡服務及端口。

3.4? ?密鑰管理

在身份管理與認證系統(tǒng)2.0中，IAM系統(tǒng)使用密鑰管理系統(tǒng)提供的在線接口服務;實現(xiàn)管理員簽名操作，使用離線式接口服務實現(xiàn)登錄驗簽。密鑰管理系統(tǒng)作為統(tǒng)一基礎設施，能夠集成各應用系統(tǒng)相關密鑰功能。可以提供在線和離線兩種集成服務：在線接口集成方式可以為應用系統(tǒng)提供密鑰管理和密碼運算，包含密鑰的生命周期管理以及文件/數(shù)據(jù)加解密、文件/數(shù)據(jù)簽名驗簽、文件/數(shù)據(jù)摘要、消息認證碼運算與驗證、認證加解密、生成隨機數(shù)等密碼運算功能;離線接口集成方式提供了本地化的加密方案，該方式中提供了本地化的加密方案，該方式中密鑰管理、密鑰傳輸、接口認證的安全性保護由密鑰管理系統(tǒng)平臺保障，密碼運算由應用系統(tǒng)本地化的硬件密碼計算資源結(jié)合離線式SDK來實現(xiàn)。

3.5? ?系統(tǒng)登錄方式

（1）USBKey證書登錄

使用智能卡（也稱USBKey）進行身份認證，安全的客戶端證書存儲于專用的USBKey 中。存儲于USBKey 中的證書不能被導出或復制，且USBKey使用時需要輸入USBKey的保護密碼（也稱PIN 碼）。使用該證書需要物理上獲得證書存儲介質(zhì)USBKey，且需要知道保護密碼，輸入正確密碼后即進行數(shù)字簽名并向服務器發(fā)送請求驗簽，驗簽通過則成功登錄系統(tǒng)否則需要確認計算機是否已插入USBKey，當輸入密碼錯誤會提示重新輸入但不能超過設定的最大試錯數(shù)，一旦超過則USBKey 會自動鎖死，需要向證書頒發(fā)機構(gòu)申請解鎖;這種認證手段也是目前在Internet 最安全的身份認證手段之一。

使用USBKey實現(xiàn)個人身份認證有效防止黑客對企業(yè)系統(tǒng)的攻擊， USBKey強認證方式有效保證系統(tǒng)賬戶安全，有效解決了以往信息系統(tǒng)登錄方式不統(tǒng)一、安全認證模式多樣、部分系統(tǒng)密碼強度不足等問題，保障了各信息系統(tǒng)的安全運行。通過平臺的身份管理功能，可提高信息系統(tǒng)賬號管理的時效性，便于及時發(fā)現(xiàn)用戶賬號安全隱患，加強賬號管理力度。

用戶插入USBKey時，顯示用戶姓名，點擊登錄按鈕后彈出二期USBKey的PIN碼框;首次登錄USBKey需要輸入新密碼，確認新密碼。

（2）用戶名密碼登錄

用戶選擇用戶名密碼登錄后，填寫用戶名（8位員工編號）和密碼完成IAM2.0登錄：初始化密碼Aa123.加員工編號，用戶首次登錄強制修改密碼;忘記密碼：用戶可使用“忘記密碼”功能進行密碼重置;用戶可以使用驗證過的郵箱或者手機號碼重置密碼。

（3）手機App掃碼登錄

使用IAM 2.0系統(tǒng)的掃碼登錄需手機下載安裝手機安全令App：在IAM 2.0的登錄頁點擊登錄框右上角的“手機安全令App下載”后使用手機微信或其他帶有二維碼掃描的瀏覽器掃描二維碼，即可下載手機安全令App; 完成手機安全令綁定App后，選擇屏幕中間的“點擊掃描二維碼”，掃描PC登錄頁面“掃碼登錄”下的二維碼，即可完成掃碼登錄。

3.6? ?個性化門戶展示

登錄成功后進入個人門戶界面，在門戶界面可以選擇想要登錄的應用，查看系統(tǒng)消息通知，查看安全日志，我的申請，查看待辦任務，和系統(tǒng)設置等。我的應用界面，可選擇自己想要登錄的應用，用戶可以選擇按照使用次數(shù)排序或者按照最后使用時間對應用列表進行排序。

4? ? ? 結(jié)? ? 語

身份管理與認證系統(tǒng)已完成包括煉油與化工ERP系統(tǒng)、人力資源系統(tǒng)（HR）、HSE信息系統(tǒng)、檔案管理系統(tǒng)、電子公文系統(tǒng)等系統(tǒng)集成，通過身份管理及認證系統(tǒng)集成應用實現(xiàn)了用戶通過二維碼登錄、賬號登錄與USBKey登錄等不同的認證方式，減少了用戶登錄各系統(tǒng)的時間，在提高系統(tǒng)安全性的同時，進一步提升了工作效率。

主要參考文獻

[1]胡娟.統(tǒng)一用戶管理與單點登錄系統(tǒng)的設計與實現(xiàn)[D].北京：北京郵電大學，2014.

[2]王瑤，何淳真，康瑩，等. 統(tǒng)一身份認證在企業(yè)信息系統(tǒng)中的應用[J].中國管理信息化，2019，22（1），195-198.