统一身份管理和统一身份认证

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

TrustMore强身份识别技术
——TrustMore强身份认证技术的应用
口令:
?
口令:
?
强身份认证技术
19
19
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
单点登录认证前
单点认证前:
用户名& 口令?
网关实现帐号代填
完全支持所有形态WWW服务,兼容Domino系统 兼容Form认证方式 兼容HTTP Basic认证方式 兼容NTLM认证方式
22
22
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
访问控制技术之身份识别
你知道口令吗?
——基于你知道什么
芝-麻-开-门!
身份 认证方式?
你有钥匙吗?
——基于你拥有什么
让我看看你的指纹吧!
——生物识别
17
17
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
现状概述
现状简述
1
总部存在多WEB应用系统,访问多个应用系统需要单独登录,难 以实现单点登录。 SAP报表系统(WEB)采用了单点登录机制,但是仅现于系统内 部。 SAP应用系统(C/S)采用客户端登录方式。
2
3
5
5
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
29
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
CA系统:数字证书
数字证书:
统一身份认证和统一身份管理
——北车集团项目方案概述
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
1
1
欢迎来到TrustMore的接入世界

安全
简单
2
2
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
访问控制技术之强身份识别
双因子 (2-factor) 或者多因子认证 ,有效防止冒充 ,增强可靠性; 避免每种认证的 缺陷,综合多种 认证的优点; 使用起来相对繁 琐和复杂; 如何和信息安全 结合?
强身份认证
静态口令识别
智能卡识别
生物识别
18
18
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
管理员控制模块
接入认证授权
用户认证 认 证 授 权 抽 象 层
角色映射
角 色 设 置
用 户 管 理
角 色 定 义
应用协议分析
应用授权模块 认证信息数据库
日志收集
中心审计服务器 外部认证信息源同步模块 外部资源保护模块
身份管理授权中心
SAG 认证授权网关
28
28
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
问题分析:应用系统现存问题
问题2:权限管理问题
如何根据职能与工作 需要为信息网上的每 个用户合理的划分使 用范围与访问权限。
多个系统,多种应用 多个角色群体如何合 理的分配、设定、并 与应用系统有机的结 合。
权限
角色
8
8
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
目录
1 2 项目需求 整体规划
整体规划(统一认证、统一权限管理) 构建统一认证源
3
4
技术方案 部署方式 设备介绍 成功案例
5
6
11
11
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
信息系统安全剖析
目录
1 2 项目需求 整体规划 技术方案 部署方式
3
4 5
设备介绍
TrustMore集中认证网关
CA系统和 LDAP系统 TrustMore审计系统
6
成功案例
26
26
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
CA系统:树状扩展方案
单台CA或者分布式层级部署:
RCA
OCA1 CA1
使 用 者 使 用 者
RCA = 根CA(总部)
OCA2 CA2 CA3
使 用 者 使 用 者
OCA3 CA4
使 用 者 使 用 者
OCA = 子CA(分厂)
CA5
使 用 者 使 用 者
CA = 发证机构
CA6
使 用 者
29
新建系统单点登录方案
方案描述:制定开发规范和接口,通过统一认证源进行身份认证
根据统一认证源,制定统一的认证开发接口和管理规范 新建应用系统的开发遵循统一认证接口和规范 用户以后登录TrustMore集中认证网关,通过网关访问应用系统,实
现单点登录
应用系统使用统一认证源进行身份识别和验证
Access Control List
用户
① 身份认证
多个服务器
用户经过TrustMore SSLVPN网关强安全身份认证之后自由访问后台被保护服务,无 需再次认证。
21
21
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
设备清单
序号
1 2 3 4 5 6
设备名称
TrustMore集中认证网关 CA 主LDAP 从LDAP TrustMore审计系统 USBKEY
描述
实现帐号映射、授权访 问控制和身份集中认证
产品形态
2U硬件平台 1U硬件平台 2U硬件平台 2U硬件平台 2U硬件平台
颁发用户数字证书,支 持级联管理和分布式部 署
拓扑结构
3
4
5
6
设备介绍 成功案例
24
24
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
拓扑结构

构建统一认证源和标准 采用双机热备 实现单点登录和集中审计和监控
25
25
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
管理用户证书和用户属 性信息 发布用户证书和用户属 性信息 实现集中访问审计和内 容审计 存放用户数字证书
27
27
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
TrustMore集中认证网关
身份管理授权
统一认证源采用CA,使用LDAP发布 认证属性信息可扩展 采用X509数字证书描述身份信息 统一认证源支持多级分布式部署
23
23
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
目录
1 2 项目需求 整体规划 技术方案 部署方式
需求分析
需求分析
1 2
构建一个统一的认证源,作为统一认证和统一授权的基础设施。 实现WEB应用系统的单点登录。
现有系统:代填和帐号映射方式; 新建系统:实现统一认证的开发标准。
3 4
实现强身份认证的改造。
实现集中监控和统一审计。
10
10
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
现有系统单点登录方案
方案描述:帐号代填和帐号映射
帐号映射:可以通过两种方式实现
用户第一次登录WEB应用系统时依然输入用户名口令,统一认
证系统自动实现帐号映射关系(该方式,管理维护简单,推荐)
管理员实现手动映射(该方式,管理维护复杂,管理员可控性强,不推荐)
用户以后登录TrustMore集中认证网关,通过网关访问应用系统,
问题分析:应用系统现存问题
问题3:访问控制问题
1
不同的信息 应用采取了 不同的授权 访问模式, 各系统的授 权信息只在 本系统内有 效,不能共 享;
2
无法在非安 全的、分布 式环境中使 用;
3
难以满足各 地各部门对 跨地区、跨 部门的信息 共享和综合 利用的需求。
9
9
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
目录
1
需求概述 需求分析
项目需求
2
整体规划 技术方案 部署方式 设备介绍 成功案例
3
4
5
6
3
3
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
现状概述:拓扑结构
4
4
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
13
13
管理员 ZHYU Confidential
Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
身份管理服务
权限管理服务
统一身 份管理 系统
统一权 限管理 系统
14
14 管理员 Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
ZHYU Confidential
构建统一身份认证源
应用服务器群

通过CA和LDAP系统,构建统一的 身份认证源

统一认证源支持分级管理和分布 式部署

基于统一认证源设计和实现现有 应用系统和新建应用系统的单点 登录方案
CA
主LDAP
从LDAP
TrustMore集中认证网关
15
15
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
问题分析:大型信息网络面临的问题
产生信息孤岛,大型跨区域网络维护困难
用户名
口令 角色 计数 说明 4 1 权限 用户 角色
用户名
口令 计数 说明 4 1 权限 用户 角色
用户名
口令 计数 说明 4 1 权限 用户 角色
用户名
口令 计数 说明 4 1 权限 用户
6
6
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
目录
1 2 项目需求 整体规划 技术方案
双因子认证和
3
单点登录(SSO,Single Sign-On)
现有系统和新建系统单点登录方案
4
部署方式 设备介绍 成功案例
Baidu Nhomakorabea
5
6
16
16
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
用户名/口令 身份认 证模块 访问控 制模块 数据库 用户管 理模块 权限管 理模块 业务 模块
用户
用户注册
授权
12
12
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
管理员
管理员
用户
管理员
用户名& 口令?
用户名& 口令?
用户
① 身份认证
多个服务器
用户访问后台服务时需要重复进行弱安全身份认证。
20
20
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
单点登录认证后
单点认证技术:
无需二次认证
访问控制列表
问题分析:应用系统现存问题
问题1:身份认证问题
弱口令问题
存在各种弱口 令、口令生命 周期等各种安 全问题,安全 性低。
不可追究性
无法也不可能 真正实现将用 户与其本人真 实身份一一对 应起来。
易被监听窃取
采用明文传输, 容易被截获破 解并冒用,降 低了系统的安 全性。
7
7
ZHYU Confidential Copyright © 2007~2011 ZHYU, Inc. All rights reserved.
相关文档
最新文档