簡談基于PKI體系的統一身份認證技術設計與實現

羅 云

（云南云電信息通信股份有限公司，云南 昆明 650100）

0 引言

云南中煙經過多年的信息化建設，已建成多個較為成熟的業務應用系統。同時，由于公司內信息系統越來越多，這些系統建設時期不同，開發商來源不一，因業務需要，想要得到一組數據往往要反復多次并且進入不同的業務系統，而每一個業務系統都需要用戶輸入對應的系統用戶名+口令或者進行相關的認證后才能登錄，增加了日常工作業務操作的復雜性。為了提煉公司業務操作流程，增加人員的工作響應效率，公司在OA門戶系統中搭建了一套涵蓋部分應用系統的單點登錄平臺，為解決單點登錄進入多個系統帶來了便捷，但未從根本上解決統一賬號密碼的管理問題、安全身份認證問題以及對應用系統的管理問題，還存在以下問題尚待解決：

1）單點登錄平臺的登錄認證采用“用戶名/密碼”方式，安全級別較低，出現用戶名/密碼被盜用的情況會讓其他業務系統直接暴露在惡意攻擊者面前，將給公司造成極大損失。

2）單點登錄平臺與公司數十個應用系統對接時采用密碼代填的方式，但各系統的用戶信息和賬號管理仍由各系統自己管理，無法實現統一管理。

3）通過員工登錄各應用系統的日志記錄，可以很好的分析員工辦公和各應用系統的使用情況，目前公司內各應用系統采用獨立部署、運行的方式，日志記錄也是各自存儲于本地，不利于統計和管理。

1 相關技術簡介

1.1 PKI體系

PKI是“Public Key Infrastructure”的縮寫，意思是“公鑰基礎設施”。總之，PKI技術就是圍繞公鑰理論和技術整合建立一個基礎設施，用以輸出信息安全服務。該系統根據統一的定性定量安全認證標準和規范提供身份認證。一個PKI體系一般可拆解為數字證書認證中心CA子系統、用于支撐數據審核的注冊中心RA子系統以及密鑰管理中心KMC子系統等一些關鍵組成模塊。

CA證書系統的主要功能職責是圍繞用戶或者設備的數字證書管理，保障CA公鑰證書的使用時有效而且合法；實現數字認證CA證書公開發布，聚焦CA證書的生命周期，滲透關鍵操作節點記錄，布局全流程的審計復盤。

1.2 統一身份認證

對企業和組織內部的用戶采用各種身份認證方式，包括數字證書、動態口令、LDAP認證、Radius認證等，提供強身份認證的方式，并拉通各應用系統的身份認證服務。提供一個統一的身份認證源，建立集中的身份管理平臺。一次登錄認證后，即可實現權限生態體系內各個系統的訪問無縫鏈接，無須再次輸入原有系統的賬號和口令。

2 身份認證體系設計

PKI、統一身份認證系統和權限認證系統，包括以下部分：CA數字證書系統、移動安全認證子系統、統一身份認證與授權子系統、基于CAS協議或OAuth2.0協議的身份認證子模塊、系統各種日志安全審計子模塊。采用成熟的認證技術，確保商業系統的安全性和可靠性。建立統一用戶管理、授權管理和身份認證，采用靜態“用戶名+密碼”、掃描二維碼登錄、指紋USB Key認證等方式，進行分級的用戶權限賦能與整合身份認證體系，撬動業務系統的安全性和用戶使用的方便性，以煙草公司大部分應用的集中認證為抓手，聚合各種信息系統內用戶體系，打通用戶在體系內系統認證閉環。

圖1 身份認證體系

2.1 建設目標

本次系統建設的目標為：基于同一維度的技術矩陣、標準與環境，充分利用現有的CA體系與統一身份認證系統等對云南中煙的應用系統進行全面整合，并用科學規范的方法論，以這些系統的用戶和資源為組合拳，進行整合和集成。最終實現從系統登錄、身份認證、用戶管理、訪問入口、系統授權、訪問審計等方面，結合差異化的用戶信息，實現結構化的統一集中和共享，促進各類系統之間用戶資源共享統一，為進一步拉通與其他業務數據，資源串聯管理，應用軟件落地奠定堅實基礎。

2.2 搭建統一認證基礎平臺

基于CA系統、統一認證系統、移動安全認證系統等基礎模板實現統一身份認證服務、統一用戶身份管理服務、統一用戶權限授權服務、統一用戶登錄門戶服務等，逐步完善平臺功能。

2.3 集中用戶身份認證功能方式

在公司內多應用系統環境下，基于統一認證系統實現統一用戶登錄認證功能。在通過CAS或OAuth2.0深度集成后，應用系統的登錄認證功能將由統一認證系統完成。用戶登錄認證過程中使用指紋USBkey內數字證書進行認證用戶身份，或通過移動端App掃碼登錄、手機短信快捷登錄、靜態口令等認證方式。由統一身份認證系統管理用戶基本信息，提高應用系統的數據安全性。在此場景下，統一認證系統提供統一的接口標準用于集成，簡化后期系統接入與運維工作。

2.4 指紋USB key登錄認證

在用戶登錄認證時，采用存儲有個人數字證書的USBKey登錄到統一認證系統門戶。用戶數字證書與統一認證內用戶信息一一對應綁定。在登錄統一認證門戶系統的同時，需要輸入用戶的USBKey設置的PIN碼或驗證指紋。以前的簡單靜態用戶名+密碼的方式變更為USBKey+指紋信息的高強度身份認證方式，確保登錄用戶的安全性與合法性。

2.5 證書掃碼登錄認證

通過移動安全認證平臺結合CA系統，實現App移動客戶端的數字證書下載。移動客戶端采用秘密分享技術、終端無密鑰存儲技術和多方協同安全計算技術進行構建設計。移動終端掃描統一認證門戶系統二維碼，掃碼后對登錄二維碼內容解析，并使用移動終端內數字證書進行簽名，提交服務器進行登錄。

3 系統應用中的安全設計

3.1 傳輸安全

作為企業內部門戶系統與基礎身份認證平臺，統一認證系統的安全性非常重要。統一認證門戶采用SSL協議發布，通過數字證書實現加密信息的傳遞，保證了信息的保密性和完整性。

3.2 數據安全

統一認證系統內較為重要的用戶數據信息，如密碼、用戶身份證號碼等，均采用相關國密算法進行數據加密。在掃碼登錄、USBKey登錄中，均采用數字簽名驗簽技術進行抗抵賴與可信性驗證。

3.3 審計安全

基于SSL網關設備與統一認證系統內部日志審計模塊，聯合審計用戶認證至注銷全流程操作行為。統一認證系統提供日志記錄功能，包括登錄時間、登錄用戶身份、單點登錄系統單點登錄業務系統時間、在線時長、客戶機IP地址等。

4 結語

統一身份認證管理平臺的設計是以公司或者機構信息系統數字資源的集成為基礎，搭建日常管理與業務聚焦的開放性、協同運行的支撐生態，為相關人員提供完善的短平快業務服務支持，為公司提供具有價值轉換的身份認證服務支撐平臺。具有如下意義：

1）從用戶角度來看，統一身份認證安全管理平臺解決了他們記憶多種系統的用戶名、復雜密碼以及定期修改密碼的煩瑣操作問題，減少使用多個應用系統就要進行多次登錄身份認證的重復勞動。

2）從系統管理員角度來看，統一身份認證安全管理平臺可使他們從繁雜的賬號、密碼、用戶信息等瑣碎管理工作中解脫出來，不必每天為解答各種用戶重置密碼、找回密碼的問題而苦惱，使IT人員更好地發揮作用。

3）從應用系統生產商角度來看，統一身份認證安全管理平臺使他們不必再為身份認證的需求，重復開發各種方式如CA登錄、掃碼登錄、指紋識別登錄等功能，把更多精力投入到具體業務中。

4）從公司管理角度來看，統一身份認證安全管理平臺一定程度提高了效率，減少了管理成本，又增強了業務信息系統的安全性。同時，平臺提供了強大的用戶管理和日志審計等功能可使信息管理部門和公司領導隨時了解內部用戶辦公使用情況，合理優化公司組織架構等。