云认证及访问授权安全解决方案

云认证及访问授权安全解决方案

1.1.1 需求分析

云服务框架内包括内外网及资源的跨网络调用，不同级别人员对应不同的操作权限，类型相对复杂，存在如下应用隐患：身份鉴别和访问管理要贯穿物理安全、网络安全、主机安全、虚拟化安全直到应用安全，在每个层次都需要对用户的访问进行身份鉴别，对其访问权限和可操作内容进行有效的管理，在网络层、主机层、应用层甚至多个应用之间可以实现统一认证。

●用基于国密算法的强身份认证：基于PKI技术的数字证书认证方式，

持密码口令、硬件信息的认证方式；

●SSL隧道加密：认证阶段和数据传输阶段均支持国密算法的加解密，

高强度传输链路加密，具有较高的安全性；

●权限策略控制：面向用户的动态授权机制，管理人员、操作人员、

访问用户各有其职权，根据用户的不同身份来确定其网络接入权限，支持白名单；

●统一行为审计：面向用户的行为、管理员的行为和业务系统进行行

为审计，结合审计设备提供接入用户行为的全方位监控、追踪审计和流量统计的解决方案。

1.1.2 解决方案

身份认证和授权管理系统依托第三方机构的接入认证体系，为教育云服务平台管理用户提供统一的身份标识和认证功能。从每一个用户连接到网络的时刻起，进行网络实名与用户之间的一对一映射，依据授权属性和访问控制策略对用户访问请求进行判定和控制，实现对管理用户接入和使用的监控及审计，保证合法用

户正确、安全、便捷地享受教育云平台提供的服务。

在教育云服务平台的前端部署网络实名接入网关和网络实名接入控制系统，实现从网络层的接入控制到应用层的用户身份管理等统一身份认证和授权管理的功能，主要包括集中认证管理，提供高强度的数字证书、动态口令到低安全性的静态口令等多种认证方式；集中用户管理，提供用户的全生命周期管理、用户分组管理、角色管理和身份源管理；集中证书管理，利用证书注册服务和电子密钥管理技术，结合集中用户管理，实现用户证书申请、审批、核发、更新、吊销等全生命周期的管理；集中审计管理，提供用户管理、认证和上/下线的审计信息，以及应用系统、网络设备的审计管理。

另外，与应用系统内部的授权管理系统相结合，实现用户的集中授权管理，配置合理的策略规则，基于角色进行访问控制，在平台内实现对用户集中、灵活授权和访问控制管理，提高系统管理效率。

1.1.3 方案价值

随着云技术在各行业的大范围推广使用，其用户管理及信息安全的问题也日益得到人们的重视。事实证明，实名身份认证和授权管理是针对此问题的一种行之有效的方法。本文介绍了基于数字证书的统一实名身份认证和授权技术，并通

过实际的应用推广，已经实际应用到了教育部组织的教育云规模化应用示范项目中。