簡(jiǎn)談基于PKI體系的統(tǒng)一身份認(rèn)證技術(shù)設(shè)計(jì)與實(shí)現(xiàn)

羅 云

（云南云電信息通信股份有限公司，云南 昆明 650100）

0 引言

云南中煙經(jīng)過多年的信息化建設(shè)，已建成多個(gè)較為成熟的業(yè)務(wù)應(yīng)用系統(tǒng)。同時(shí)，由于公司內(nèi)信息系統(tǒng)越來越多，這些系統(tǒng)建設(shè)時(shí)期不同，開發(fā)商來源不一，因業(yè)務(wù)需要，想要得到一組數(shù)據(jù)往往要反復(fù)多次并且進(jìn)入不同的業(yè)務(wù)系統(tǒng)，而每一個(gè)業(yè)務(wù)系統(tǒng)都需要用戶輸入對(duì)應(yīng)的系統(tǒng)用戶名+口令或者進(jìn)行相關(guān)的認(rèn)證后才能登錄，增加了日常工作業(yè)務(wù)操作的復(fù)雜性。為了提煉公司業(yè)務(wù)操作流程，增加人員的工作響應(yīng)效率，公司在OA門戶系統(tǒng)中搭建了一套涵蓋部分應(yīng)用系統(tǒng)的單點(diǎn)登錄平臺(tái)，為解決單點(diǎn)登錄進(jìn)入多個(gè)系統(tǒng)帶來了便捷，但未從根本上解決統(tǒng)一賬號(hào)密碼的管理問題、安全身份認(rèn)證問題以及對(duì)應(yīng)用系統(tǒng)的管理問題，還存在以下問題尚待解決：

1）單點(diǎn)登錄平臺(tái)的登錄認(rèn)證采用“用戶名/密碼”方式，安全級(jí)別較低，出現(xiàn)用戶名/密碼被盜用的情況會(huì)讓其他業(yè)務(wù)系統(tǒng)直接暴露在惡意攻擊者面前，將給公司造成極大損失。

2）單點(diǎn)登錄平臺(tái)與公司數(shù)十個(gè)應(yīng)用系統(tǒng)對(duì)接時(shí)采用密碼代填的方式，但各系統(tǒng)的用戶信息和賬號(hào)管理仍由各系統(tǒng)自己管理，無法實(shí)現(xiàn)統(tǒng)一管理。

3）通過員工登錄各應(yīng)用系統(tǒng)的日志記錄，可以很好的分析員工辦公和各應(yīng)用系統(tǒng)的使用情況，目前公司內(nèi)各應(yīng)用系統(tǒng)采用獨(dú)立部署、運(yùn)行的方式，日志記錄也是各自存儲(chǔ)于本地，不利于統(tǒng)計(jì)和管理。

1 相關(guān)技術(shù)簡(jiǎn)介

1.1 PKI體系

PKI是“Public Key Infrastructure”的縮寫，意思是“公鑰基礎(chǔ)設(shè)施”?？傊琍KI技術(shù)就是圍繞公鑰理論和技術(shù)整合建立一個(gè)基礎(chǔ)設(shè)施，用以輸出信息安全服務(wù)。該系統(tǒng)根據(jù)統(tǒng)一的定性定量安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范提供身份認(rèn)證。一個(gè)PKI體系一般可拆解為數(shù)字證書認(rèn)證中心CA子系統(tǒng)、用于支撐數(shù)據(jù)審核的注冊(cè)中心RA子系統(tǒng)以及密鑰管理中心KMC子系統(tǒng)等一些關(guān)鍵組成模塊。

CA證書系統(tǒng)的主要功能職責(zé)是圍繞用戶或者設(shè)備的數(shù)字證書管理，保障CA公鑰證書的使用時(shí)有效而且合法；實(shí)現(xiàn)數(shù)字認(rèn)證CA證書公開發(fā)布，聚焦CA證書的生命周期，滲透關(guān)鍵操作節(jié)點(diǎn)記錄，布局全流程的審計(jì)復(fù)盤。

1.2 統(tǒng)一身份認(rèn)證

對(duì)企業(yè)和組織內(nèi)部的用戶采用各種身份認(rèn)證方式，包括數(shù)字證書、動(dòng)態(tài)口令、LDAP認(rèn)證、Radius認(rèn)證等，提供強(qiáng)身份認(rèn)證的方式，并拉通各應(yīng)用系統(tǒng)的身份認(rèn)證服務(wù)。提供一個(gè)統(tǒng)一的身份認(rèn)證源，建立集中的身份管理平臺(tái)。一次登錄認(rèn)證后，即可實(shí)現(xiàn)權(quán)限生態(tài)體系內(nèi)各個(gè)系統(tǒng)的訪問無縫鏈接，無須再次輸入原有系統(tǒng)的賬號(hào)和口令。

2 身份認(rèn)證體系設(shè)計(jì)

PKI、統(tǒng)一身份認(rèn)證系統(tǒng)和權(quán)限認(rèn)證系統(tǒng)，包括以下部分：CA數(shù)字證書系統(tǒng)、移動(dòng)安全認(rèn)證子系統(tǒng)、統(tǒng)一身份認(rèn)證與授權(quán)子系統(tǒng)、基于CAS協(xié)議或OAuth2.0協(xié)議的身份認(rèn)證子模塊、系統(tǒng)各種日志安全審計(jì)子模塊。采用成熟的認(rèn)證技術(shù)，確保商業(yè)系統(tǒng)的安全性和可靠性。建立統(tǒng)一用戶管理、授權(quán)管理和身份認(rèn)證，采用靜態(tài)“用戶名+密碼”、掃描二維碼登錄、指紋USB Key認(rèn)證等方式，進(jìn)行分級(jí)的用戶權(quán)限賦能與整合身份認(rèn)證體系，撬動(dòng)業(yè)務(wù)系統(tǒng)的安全性和用戶使用的方便性，以煙草公司大部分應(yīng)用的集中認(rèn)證為抓手，聚合各種信息系統(tǒng)內(nèi)用戶體系，打通用戶在體系內(nèi)系統(tǒng)認(rèn)證閉環(huán)。

圖1 身份認(rèn)證體系

2.1 建設(shè)目標(biāo)

本次系統(tǒng)建設(shè)的目標(biāo)為：基于同一維度的技術(shù)矩陣、標(biāo)準(zhǔn)與環(huán)境，充分利用現(xiàn)有的CA體系與統(tǒng)一身份認(rèn)證系統(tǒng)等對(duì)云南中煙的應(yīng)用系統(tǒng)進(jìn)行全面整合，并用科學(xué)規(guī)范的方法論，以這些系統(tǒng)的用戶和資源為組合拳，進(jìn)行整合和集成。最終實(shí)現(xiàn)從系統(tǒng)登錄、身份認(rèn)證、用戶管理、訪問入口、系統(tǒng)授權(quán)、訪問審計(jì)等方面，結(jié)合差異化的用戶信息，實(shí)現(xiàn)結(jié)構(gòu)化的統(tǒng)一集中和共享，促進(jìn)各類系統(tǒng)之間用戶資源共享統(tǒng)一，為進(jìn)一步拉通與其他業(yè)務(wù)數(shù)據(jù)，資源串聯(lián)管理，應(yīng)用軟件落地奠定堅(jiān)實(shí)基礎(chǔ)。

2.2 搭建統(tǒng)一認(rèn)證基礎(chǔ)平臺(tái)

基于CA系統(tǒng)、統(tǒng)一認(rèn)證系統(tǒng)、移動(dòng)安全認(rèn)證系統(tǒng)等基礎(chǔ)模板實(shí)現(xiàn)統(tǒng)一身份認(rèn)證服務(wù)、統(tǒng)一用戶身份管理服務(wù)、統(tǒng)一用戶權(quán)限授權(quán)服務(wù)、統(tǒng)一用戶登錄門戶服務(wù)等，逐步完善平臺(tái)功能。

2.3 集中用戶身份認(rèn)證功能方式

在公司內(nèi)多應(yīng)用系統(tǒng)環(huán)境下，基于統(tǒng)一認(rèn)證系統(tǒng)實(shí)現(xiàn)統(tǒng)一用戶登錄認(rèn)證功能。在通過CAS或OAuth2.0深度集成后，應(yīng)用系統(tǒng)的登錄認(rèn)證功能將由統(tǒng)一認(rèn)證系統(tǒng)完成。用戶登錄認(rèn)證過程中使用指紋USBkey內(nèi)數(shù)字證書進(jìn)行認(rèn)證用戶身份，或通過移動(dòng)端App掃碼登錄、手機(jī)短信快捷登錄、靜態(tài)口令等認(rèn)證方式。由統(tǒng)一身份認(rèn)證系統(tǒng)管理用戶基本信息，提高應(yīng)用系統(tǒng)的數(shù)據(jù)安全性。在此場(chǎng)景下，統(tǒng)一認(rèn)證系統(tǒng)提供統(tǒng)一的接口標(biāo)準(zhǔn)用于集成，簡(jiǎn)化后期系統(tǒng)接入與運(yùn)維工作。

2.4 指紋USB key登錄認(rèn)證

在用戶登錄認(rèn)證時(shí)，采用存儲(chǔ)有個(gè)人數(shù)字證書的USBKey登錄到統(tǒng)一認(rèn)證系統(tǒng)門戶。用戶數(shù)字證書與統(tǒng)一認(rèn)證內(nèi)用戶信息一一對(duì)應(yīng)綁定。在登錄統(tǒng)一認(rèn)證門戶系統(tǒng)的同時(shí)，需要輸入用戶的USBKey設(shè)置的PIN碼或驗(yàn)證指紋。以前的簡(jiǎn)單靜態(tài)用戶名+密碼的方式變更為USBKey+指紋信息的高強(qiáng)度身份認(rèn)證方式，確保登錄用戶的安全性與合法性。

2.5 證書掃碼登錄認(rèn)證

通過移動(dòng)安全認(rèn)證平臺(tái)結(jié)合CA系統(tǒng)，實(shí)現(xiàn)App移動(dòng)客戶端的數(shù)字證書下載。移動(dòng)客戶端采用秘密分享技術(shù)、終端無密鑰存儲(chǔ)技術(shù)和多方協(xié)同安全計(jì)算技術(shù)進(jìn)行構(gòu)建設(shè)計(jì)。移動(dòng)終端掃描統(tǒng)一認(rèn)證門戶系統(tǒng)二維碼，掃碼后對(duì)登錄二維碼內(nèi)容解析，并使用移動(dòng)終端內(nèi)數(shù)字證書進(jìn)行簽名，提交服務(wù)器進(jìn)行登錄。

3 系統(tǒng)應(yīng)用中的安全設(shè)計(jì)

3.1 傳輸安全

作為企業(yè)內(nèi)部門戶系統(tǒng)與基礎(chǔ)身份認(rèn)證平臺(tái)，統(tǒng)一認(rèn)證系統(tǒng)的安全性非常重要。統(tǒng)一認(rèn)證門戶采用SSL協(xié)議發(fā)布，通過數(shù)字證書實(shí)現(xiàn)加密信息的傳遞，保證了信息的保密性和完整性。

3.2 數(shù)據(jù)安全

統(tǒng)一認(rèn)證系統(tǒng)內(nèi)較為重要的用戶數(shù)據(jù)信息，如密碼、用戶身份證號(hào)碼等，均采用相關(guān)國密算法進(jìn)行數(shù)據(jù)加密。在掃碼登錄、USBKey登錄中，均采用數(shù)字簽名驗(yàn)簽技術(shù)進(jìn)行抗抵賴與可信性驗(yàn)證。

3.3 審計(jì)安全

基于SSL網(wǎng)關(guān)設(shè)備與統(tǒng)一認(rèn)證系統(tǒng)內(nèi)部日志審計(jì)模塊，聯(lián)合審計(jì)用戶認(rèn)證至注銷全流程操作行為。統(tǒng)一認(rèn)證系統(tǒng)提供日志記錄功能，包括登錄時(shí)間、登錄用戶身份、單點(diǎn)登錄系統(tǒng)單點(diǎn)登錄業(yè)務(wù)系統(tǒng)時(shí)間、在線時(shí)長、客戶機(jī)IP地址等。

4 結(jié)語

統(tǒng)一身份認(rèn)證管理平臺(tái)的設(shè)計(jì)是以公司或者機(jī)構(gòu)信息系統(tǒng)數(shù)字資源的集成為基礎(chǔ)，搭建日常管理與業(yè)務(wù)聚焦的開放性、協(xié)同運(yùn)行的支撐生態(tài)，為相關(guān)人員提供完善的短平快業(yè)務(wù)服務(wù)支持，為公司提供具有價(jià)值轉(zhuǎn)換的身份認(rèn)證服務(wù)支撐平臺(tái)。具有如下意義：

1）從用戶角度來看，統(tǒng)一身份認(rèn)證安全管理平臺(tái)解決了他們記憶多種系統(tǒng)的用戶名、復(fù)雜密碼以及定期修改密碼的煩瑣操作問題，減少使用多個(gè)應(yīng)用系統(tǒng)就要進(jìn)行多次登錄身份認(rèn)證的重復(fù)勞動(dòng)。

2）從系統(tǒng)管理員角度來看，統(tǒng)一身份認(rèn)證安全管理平臺(tái)可使他們從繁雜的賬號(hào)、密碼、用戶信息等瑣碎管理工作中解脫出來，不必每天為解答各種用戶重置密碼、找回密碼的問題而苦惱，使IT人員更好地發(fā)揮作用。

3）從應(yīng)用系統(tǒng)生產(chǎn)商角度來看，統(tǒng)一身份認(rèn)證安全管理平臺(tái)使他們不必再為身份認(rèn)證的需求，重復(fù)開發(fā)各種方式如CA登錄、掃碼登錄、指紋識(shí)別登錄等功能，把更多精力投入到具體業(yè)務(wù)中。

4）從公司管理角度來看，統(tǒng)一身份認(rèn)證安全管理平臺(tái)一定程度提高了效率，減少了管理成本，又增強(qiáng)了業(yè)務(wù)信息系統(tǒng)的安全性。同時(shí)，平臺(tái)提供了強(qiáng)大的用戶管理和日志審計(jì)等功能可使信息管理部門和公司領(lǐng)導(dǎo)隨時(shí)了解內(nèi)部用戶辦公使用情況，合理優(yōu)化公司組織架構(gòu)等。