張紅梅

[摘? ? 要] 本文介紹了身份管理與認(rèn)證系統(tǒng)2.0概況以及主要功能模塊，實(shí)現(xiàn)多系統(tǒng)之間的數(shù)據(jù)共享，提供集中的用戶身份管理功能，在提高系統(tǒng)訪問(wèn)安全性的同時(shí)，也提高了系統(tǒng)訪問(wèn)效率，有助于提升企業(yè)信息化水平。

[關(guān)鍵詞] 身份管理;認(rèn)證系統(tǒng);USBKey

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 05. 079

[中圖分類號(hào)] TP315? ? [文獻(xiàn)標(biāo)識(shí)碼]? A? ? ? [文章編號(hào)]? 1673 - 0194（2020）05- 0184- 02

1? ? ?引? ? 言

身份管理與認(rèn)證項(xiàng)目是《中國(guó)石油天然氣集團(tuán)公司“十一五”信息技術(shù)總體規(guī)劃》與《中國(guó)石油天然氣集團(tuán)公司“十二五”信息技術(shù)總體規(guī)劃》中的“信息安全體系建設(shè)項(xiàng)目（F8）”子項(xiàng)目，實(shí)現(xiàn)了單點(diǎn)登錄功能，在提高系統(tǒng)訪問(wèn)的安全性的同時(shí)，也提高了系統(tǒng)訪問(wèn)效率。與企業(yè)主數(shù)據(jù)進(jìn)行集成，實(shí)現(xiàn)多系統(tǒng)之間的數(shù)據(jù)共享，提供集中的用戶身份管理功能，實(shí)現(xiàn)了用戶賬號(hào)的實(shí)名制管理及審計(jì)等功能，大大降低了用戶賬號(hào)管理的復(fù)雜性與成本。

2? ? ? 身份管理與認(rèn)證系統(tǒng)概況

身份管理與認(rèn)證系統(tǒng)是多系統(tǒng)集成登陸的一個(gè)系統(tǒng)。系統(tǒng)提供用戶管理、組織機(jī)構(gòu)管理、系統(tǒng)管理、管理員權(quán)限管理、認(rèn)證策略配置、應(yīng)用管理、安全審計(jì)功能。以統(tǒng)一、安全、可靠、合規(guī)的方式對(duì)企業(yè)信息資產(chǎn)的系統(tǒng)訪問(wèn)者進(jìn)行訪問(wèn)授權(quán)，讓合適的人在恰當(dāng)?shù)臅r(shí)間采用正確的方式和可信的身份從統(tǒng)一的入口訪問(wèn)已授權(quán)的信息資產(chǎn)。從而保護(hù)企業(yè)免受內(nèi)部和外部的攻擊威脅，確保企業(yè)信息資產(chǎn)的完整性，并且提供可信的審計(jì)和報(bào)告。

身份管理與認(rèn)證系統(tǒng)由IAM（身份管理與訪問(wèn)控制）和PKI（公共密鑰體系基礎(chǔ)設(shè)施）兩個(gè)子系統(tǒng)構(gòu)成。身份管理與認(rèn)證系統(tǒng)（1.0）實(shí)現(xiàn)了信息系統(tǒng)的統(tǒng)一賬號(hào)管理和單點(diǎn)登錄，有效解決了應(yīng)用系統(tǒng)用戶物理身份和數(shù)字身份的一致性問(wèn)題，實(shí)現(xiàn)了用戶賬號(hào)的實(shí)名制管理及審計(jì);身份管理與認(rèn)證系統(tǒng)（2.0）建設(shè)，將在身份管理與認(rèn)證系統(tǒng)（1.0）的基礎(chǔ)上，根據(jù)國(guó)家要求，結(jié)合中國(guó)石油的實(shí)際情況和應(yīng)用需求，完成商用密碼算法升級(jí)工作，新建符合國(guó)家政策的密碼技術(shù)應(yīng)用支撐平臺(tái)，并擴(kuò)展與完善身份管理與認(rèn)證系統(tǒng)功能，逐步實(shí)現(xiàn)自主可控。

3? ? ? 身份管理與認(rèn)證系統(tǒng)2.0主要功能模塊

身份管理與認(rèn)證系統(tǒng)2.0可以提供用戶身份管理、統(tǒng)一認(rèn)證、系統(tǒng)安全性設(shè)計(jì)、密鑰管理等功能，有效解決應(yīng)用系統(tǒng)弱口令問(wèn)題。

3.1? ?用戶身份管理

身份管理與認(rèn)證系統(tǒng)2.0里內(nèi)置兩類三種用戶，內(nèi)部用戶和外部用戶，內(nèi)部用戶又可分為HR用戶和非HR用戶。

內(nèi)部HR用戶數(shù)據(jù)同步是IAM通過(guò)每天的定時(shí)任務(wù)到HR獲取相關(guān)數(shù)據(jù)，當(dāng)天的全部數(shù)據(jù)全部放置臨時(shí)表中進(jìn)行數(shù)據(jù)校驗(yàn)，正常數(shù)據(jù)直接寫入IAM主數(shù)據(jù)庫(kù)，問(wèn)題數(shù)據(jù)寫入中間表;IAM通過(guò)定時(shí)任務(wù)對(duì)中間表數(shù)據(jù)進(jìn)行輪詢校驗(yàn)，發(fā)現(xiàn)問(wèn)題數(shù)據(jù)變?yōu)檎?shù)據(jù)后寫入IAM主數(shù)據(jù)庫(kù)。內(nèi)部非HR用戶創(chuàng)建時(shí)需要指定責(zé)任人，責(zé)任人必須是HR用戶，責(zé)任人發(fā)生變更時(shí)，比如發(fā)生離職等狀態(tài)時(shí)，需通知該用戶的管理員變更非HR用戶的責(zé)任人信息。

外部用戶是通過(guò)外網(wǎng)注冊(cè)的用戶。外部用戶通過(guò)DMZ區(qū)提供的服務(wù)進(jìn)行注冊(cè)登錄服務(wù)，外部用戶注冊(cè)時(shí)調(diào)用身份證校驗(yàn)接口驗(yàn)證身份證信息，從DMZ區(qū)登錄和注冊(cè)的用戶為外部用戶（存放在專門庫(kù)），從DMZ區(qū)登錄的外部用戶只能訪問(wèn)外部應(yīng)用（應(yīng)用放在專門庫(kù)），外部用戶和應(yīng)用由專門的外部應(yīng)用或用戶管理員管理，兩套數(shù)據(jù)實(shí)際類似兩套獨(dú)立的IAM，互相獨(dú)立，但報(bào)表系統(tǒng)匯總從兩套IAM中讀取數(shù)據(jù)。

3.2? ?統(tǒng)一認(rèn)證功能

一是多平臺(tái)認(rèn)證服務(wù)：支持PC和移動(dòng)設(shè)備的內(nèi)外網(wǎng)統(tǒng)一認(rèn)證。

二是身份認(rèn)證服務(wù)插件體系：建立身份認(rèn)證服務(wù)插件體系，不同認(rèn)證技術(shù)以插件形式注冊(cè)到系統(tǒng)中，實(shí)現(xiàn)靈活快速擴(kuò)展。

三是多因子強(qiáng)認(rèn)證：支持?jǐn)?shù)字證書（USBKey、藍(lán)牙設(shè)備）、驗(yàn)證碼（短信、郵件）、動(dòng)態(tài)令牌、二維碼掃描、等多種認(rèn)證技術(shù)。

四是分級(jí)安全策略：應(yīng)用系統(tǒng)的分級(jí)認(rèn)證，可根據(jù)時(shí)間、環(huán)境、用戶、應(yīng)用設(shè)置不同的認(rèn)證規(guī)則，并靈活組合多種強(qiáng)認(rèn)證方式。

五是多種認(rèn)證方式兼容：繼承現(xiàn)有認(rèn)證方式，擴(kuò)充SAML， OAuth2 ， CAS等開放認(rèn)證協(xié)議。

3.3? ?系統(tǒng)安全性設(shè)計(jì)

（1）身份鑒別設(shè)計(jì)

一是要求支持?jǐn)?shù)字證書、指紋識(shí)別、動(dòng)態(tài)口令等多種認(rèn)證方式。

二是密碼復(fù)雜度、密碼長(zhǎng)度、過(guò)期策略、失敗策略等。為保證安全，密碼有以下限制：密碼長(zhǎng)度不應(yīng)少于12位;至少包含1位特殊字符，至少包含1位數(shù)字，至少包含1位小寫字母，至少包含1位大寫字母中的3種組合。

（2）訪問(wèn)控制

按角色用戶身份配置訪問(wèn)權(quán)限、無(wú)默認(rèn)密碼，管理員修改密碼后登錄立即修改。

（3）數(shù)據(jù)安全

身份管理與認(rèn)證系統(tǒng)支持SM1，SM2，SM3算法，采用https技術(shù)對(duì)傳輸過(guò)程進(jìn)行加密，對(duì)于關(guān)鍵敏感數(shù)據(jù)，如用戶密碼等，進(jìn)行PBKDF2加密存儲(chǔ)。

（4）安全審計(jì)

對(duì)使用用戶記錄用戶的操作行為，以及使用管理日志記錄管理人員的管理行為進(jìn)行安全審計(jì)，日志采用ES進(jìn)行管理，并定時(shí)同步到其他數(shù)據(jù)中心。

（5）信息保護(hù)

用戶授權(quán)按照組織機(jī)構(gòu)或者項(xiàng)目組，無(wú)權(quán)限的人員不能查看人員具體信息，退出、注銷系統(tǒng)后，支持單點(diǎn)登出所有已登錄應(yīng)用。

（6）數(shù)據(jù)備份

提供多集群環(huán)境支持負(fù)載均衡，支持兩地三中心部署模式，可手工切換至災(zāi)備環(huán)境。

（7）監(jiān)控預(yù)警

對(duì)CPU、硬盤、內(nèi)存等資源的使用情況以及數(shù)據(jù)庫(kù)、中間緩存等組件的狀態(tài)進(jìn)行監(jiān)控，出現(xiàn)異常時(shí)，可通過(guò)郵件的方式進(jìn)行報(bào)警。

（8）入侵防范

支持前后臺(tái)分離，前臺(tái)僅使用靜態(tài)頁(yè)面，設(shè)置管理IP、關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)及端口。

3.4? ?密鑰管理

在身份管理與認(rèn)證系統(tǒng)2.0中，IAM系統(tǒng)使用密鑰管理系統(tǒng)提供的在線接口服務(wù);實(shí)現(xiàn)管理員簽名操作，使用離線式接口服務(wù)實(shí)現(xiàn)登錄驗(yàn)簽。密鑰管理系統(tǒng)作為統(tǒng)一基礎(chǔ)設(shè)施，能夠集成各應(yīng)用系統(tǒng)相關(guān)密鑰功能。可以提供在線和離線兩種集成服務(wù)：在線接口集成方式可以為應(yīng)用系統(tǒng)提供密鑰管理和密碼運(yùn)算，包含密鑰的生命周期管理以及文件/數(shù)據(jù)加解密、文件/數(shù)據(jù)簽名驗(yàn)簽、文件/數(shù)據(jù)摘要、消息認(rèn)證碼運(yùn)算與驗(yàn)證、認(rèn)證加解密、生成隨機(jī)數(shù)等密碼運(yùn)算功能;離線接口集成方式提供了本地化的加密方案，該方式中提供了本地化的加密方案，該方式中密鑰管理、密鑰傳輸、接口認(rèn)證的安全性保護(hù)由密鑰管理系統(tǒng)平臺(tái)保障，密碼運(yùn)算由應(yīng)用系統(tǒng)本地化的硬件密碼計(jì)算資源結(jié)合離線式SDK來(lái)實(shí)現(xiàn)。

3.5? ?系統(tǒng)登錄方式

（1）USBKey證書登錄

使用智能卡（也稱USBKey）進(jìn)行身份認(rèn)證，安全的客戶端證書存儲(chǔ)于專用的USBKey 中。存儲(chǔ)于USBKey 中的證書不能被導(dǎo)出或復(fù)制，且USBKey使用時(shí)需要輸入U(xiǎn)SBKey的保護(hù)密碼（也稱PIN 碼）。使用該證書需要物理上獲得證書存儲(chǔ)介質(zhì)USBKey，且需要知道保護(hù)密碼，輸入正確密碼后即進(jìn)行數(shù)字簽名并向服務(wù)器發(fā)送請(qǐng)求驗(yàn)簽，驗(yàn)簽通過(guò)則成功登錄系統(tǒng)否則需要確認(rèn)計(jì)算機(jī)是否已插入U(xiǎn)SBKey，當(dāng)輸入密碼錯(cuò)誤會(huì)提示重新輸入但不能超過(guò)設(shè)定的最大試錯(cuò)數(shù)，一旦超過(guò)則USBKey 會(huì)自動(dòng)鎖死，需要向證書頒發(fā)機(jī)構(gòu)申請(qǐng)解鎖;這種認(rèn)證手段也是目前在Internet 最安全的身份認(rèn)證手段之一。

使用USBKey實(shí)現(xiàn)個(gè)人身份認(rèn)證有效防止黑客對(duì)企業(yè)系統(tǒng)的攻擊， USBKey強(qiáng)認(rèn)證方式有效保證系統(tǒng)賬戶安全，有效解決了以往信息系統(tǒng)登錄方式不統(tǒng)一、安全認(rèn)證模式多樣、部分系統(tǒng)密碼強(qiáng)度不足等問(wèn)題，保障了各信息系統(tǒng)的安全運(yùn)行。通過(guò)平臺(tái)的身份管理功能，可提高信息系統(tǒng)賬號(hào)管理的時(shí)效性，便于及時(shí)發(fā)現(xiàn)用戶賬號(hào)安全隱患，加強(qiáng)賬號(hào)管理力度。

用戶插入U(xiǎn)SBKey時(shí)，顯示用戶姓名，點(diǎn)擊登錄按鈕后彈出二期USBKey的PIN碼框;首次登錄USBKey需要輸入新密碼，確認(rèn)新密碼。

（2）用戶名密碼登錄

用戶選擇用戶名密碼登錄后，填寫用戶名（8位員工編號(hào)）和密碼完成IAM2.0登錄：初始化密碼Aa123.加員工編號(hào)，用戶首次登錄強(qiáng)制修改密碼;忘記密碼：用戶可使用“忘記密碼”功能進(jìn)行密碼重置;用戶可以使用驗(yàn)證過(guò)的郵箱或者手機(jī)號(hào)碼重置密碼。

（3）手機(jī)App掃碼登錄

使用IAM 2.0系統(tǒng)的掃碼登錄需手機(jī)下載安裝手機(jī)安全令A(yù)pp：在IAM 2.0的登錄頁(yè)點(diǎn)擊登錄框右上角的“手機(jī)安全令A(yù)pp下載”后使用手機(jī)微信或其他帶有二維碼掃描的瀏覽器掃描二維碼，即可下載手機(jī)安全令A(yù)pp; 完成手機(jī)安全令綁定App后，選擇屏幕中間的“點(diǎn)擊掃描二維碼”，掃描PC登錄頁(yè)面“掃碼登錄”下的二維碼，即可完成掃碼登錄。

3.6? ?個(gè)性化門戶展示

登錄成功后進(jìn)入個(gè)人門戶界面，在門戶界面可以選擇想要登錄的應(yīng)用，查看系統(tǒng)消息通知，查看安全日志，我的申請(qǐng)，查看待辦任務(wù)，和系統(tǒng)設(shè)置等。我的應(yīng)用界面，可選擇自己想要登錄的應(yīng)用，用戶可以選擇按照使用次數(shù)排序或者按照最后使用時(shí)間對(duì)應(yīng)用列表進(jìn)行排序。

4? ? ? 結(jié)? ? 語(yǔ)

身份管理與認(rèn)證系統(tǒng)已完成包括煉油與化工ERP系統(tǒng)、人力資源系統(tǒng)（HR）、HSE信息系統(tǒng)、檔案管理系統(tǒng)、電子公文系統(tǒng)等系統(tǒng)集成，通過(guò)身份管理及認(rèn)證系統(tǒng)集成應(yīng)用實(shí)現(xiàn)了用戶通過(guò)二維碼登錄、賬號(hào)登錄與USBKey登錄等不同的認(rèn)證方式，減少了用戶登錄各系統(tǒng)的時(shí)間，在提高系統(tǒng)安全性的同時(shí)，進(jìn)一步提升了工作效率。

主要參考文獻(xiàn)

[1]胡娟.統(tǒng)一用戶管理與單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2014.

[2]王瑤，何淳真，康瑩，等. 統(tǒng)一身份認(rèn)證在企業(yè)信息系統(tǒng)中的應(yīng)用[J].中國(guó)管理信息化，2019，22（1），195-198.