時代億信統一認證系統軍工單位應用案例

一、專案簡介
    某軍工單位是我國規模最大、體系最完整、集軍民品生產科研為一體的特大型工業生產科研基地，目前已經建設了多個業務系統為生產、科研任務服務，形成了由大量的網路裝置、作業系統、資料庫系統、應用系統構成的資訊系統執行環境，業務部門在業務開展中對資訊系統的依賴程度也日益增加，員工必須訪問多個系統以完成必要的日常工作，資訊系統在提高業務處理效率的同時，也為員工的使用帶來了一些不便之處。


二、專案需求
    為了解決當前業務系統使用上的實際問題，時代億信認真分析公司系統現狀，提出了以下建設目標：
建立統一認證平臺，實現對業務系統的統一認證、單點登入和訪問控制。
統一認證平臺分兩級部署，以便分別管理各自範圍內的業務系統，實現與業務系統的帳號資訊同步。
統一認證平臺實現管理員分級管理。
兩級統一認證平臺之間實現資訊同步，兩級應用系統在任意一級平臺上都能進行使用者認證；
對C/S業務系統提供認證、單點登入接入；
實現使用者對業務系統的訪問控制。


三、專案建設效果
3.1整體體系結構

體系組成說明：
總部統一認證平臺
    總部統一認證平臺基於CA數字證書認證的智慧金鑰身份認證方式，透過數字證書、數字簽名等機制充分保證認證過程的安全性。平臺整合多個業務系統，透過對使用者身份的統一認證和訪問控制，實現各個業務系統的單點登入。
總部統一認證平臺負責集中籤發數字證書，作為使用者登入認證的唯一憑證。

下屬單位統一認證平臺
下屬單位統一認證平臺基於CA數字證書認證的智慧金鑰身份認證方式，透過數字證書、數字簽名等機制充分保證認證過程的安全性。平臺整合多個業務系統，透過對使用者身份的統一認證和訪問控制，實現各個業務系統的單點登入。
下屬單位統一認證平臺負責收集使用者證書申請資訊，提交到總部統一認證平臺進行簽發。


3.2單點登入

    使用者在透過統一認證平臺認證後，可直接訪問已授權的各應用系統，實現不同應用系統的身份認證共享，從而達到多應用系統的單點登入。
    公司現有的業務系統比較多，對業務系統的維護情況也各有差異，因此根據現有情況對進行必要的改造。
    在可以改造的業務系統使用外掛方式的單點登入。
    不可以改造的業務系統使用反向代理方式的單點登入。

外掛方式
    外掛方式為緊耦合改造方式，採用整合外掛的方式與統一認證平臺的SSO認證服務進行互動驗證使用者資訊，完成應用系統單點登入。緊耦合方式提供多種API，透過簡單呼叫即可實現SSO。
J2EE  JAR包
ASP/.net  COM元件
Domino  DSAPI

    對於有原廠商配合開發的應用系統，可以使用該方式高效地接入統一認證平臺。
外掛方式下透過平臺訪問應用系統的流程如下：
1)使用者在統一認證平臺上點選訪問的應用系統URL連結；
2)由統一認證平臺驗證使用者許可權，有許可權則在平臺資料庫中查詢使用者和應用系統的關聯表，無許可權則提示使用者無權訪問；
3)如關聯表中無相應記錄，則該使用者未授權，不允許訪問；如關聯表中有相應記錄，則平臺伺服器提取使用者在該應用系統中的身份資訊，送至SSO服務加密簽名形成數字信封后，返還給統一認證平臺；
4)由平臺將加密資訊傳送給相應的應用系統；
5)應用系統呼叫SSO API，對加密資訊進行解密，得到使用者身份資訊並返回給應用系統；
6)應用系統收到使用者身份資訊後透過信任機制允許使用者訪問應用系統。

反向代理方式
    使用者先登入進入統一認證平臺，然後利用反向代理技術，使得透過認證後的使用者可以直接訪問進入有許可權的業務系統。
這種方式下業務系統基本不需改動和開發，對於不能作改動或沒有原廠商配合的業務系統，可以使用該方式接入統一認證平臺。實現上，採用SSO服務和SSOAgent進行互動驗證使用者資訊，完成業務系統單點登入。

反向代理登入方式下透過統一認證平臺訪問業務系統的流程如下：
1)使用者在統一認證平臺提供的使用者頁面上點選訪問的業務系統URL連結；
2)由統一認證平臺驗證使用者許可權，有許可權則在統一認證平臺資料庫中查詢使用者和業務系統的關聯表，無許可權則提示使用者無權訪問；
3)如關聯表中無相應記錄，則瀏覽器彈出建立關聯的頁面；如關聯表中有相應記錄，則平臺伺服器提取使用者和業務系統的關聯資訊，送至SSO服務加密簽名形成數字信封后，返還給平臺；
4)由統一認證平臺將加密資訊傳送給業務系統前端的SSO Agent；
5)SSO Agent收到加密資訊後進行解密，並向業務系統提交使用者關聯資訊；
6)業務系統收到使用者關聯資訊後進行驗證，驗證成功則允許使用者訪問應用，失敗則提示使用者更新關聯資訊。


3.3 帳號集中管理
    公司統一認證平臺中的使用者帳號資訊統一管理元件基於關係型資料庫，用於儲存使用者的帳號資訊，並實現對接入平臺的所有應用系統均可以同步帳號資訊，節省了使用者投入，實現了資源利用最大化。

帳號集中管理
    統一認證平臺內建應用帳號管理元件，提供了對多個業務系統的使用者帳號資訊集中管理，並與企業現有AD系統無縫結合，滿足多種型別的連線和互操作標準。

帳號管理實現的功能如下：
（1）管理員可在一點操作，實現對各業務系統帳號的註冊、變更和登出管理；
（2）保證使用者帳號唯一性，實現操作可追溯，可定責；
（3）整合AD帳號資訊；
（4）提供兩級資訊自動同步功能，可實現使用者資訊的分級管理。

帳號同步
    統一認證平臺的帳號管理功能透過標準的Web Service介面，向各個業務系統自動同步帳號資訊。


3.4 統一授權
    統一認證平臺透過統一授權功能，可對使用者組與業務系統或資源的關聯關係，角色與應用系統或資源的關聯關係進行建立和維護，以此來完成使用者對應用系統與資源訪問的授權。

公司根據系統現狀選擇了實體級授權方式。
實體級授權主要指使用者可以訪問哪些資源（包括系統和應用）的授權。
業務系統的實體級授權主要透過統一使用者管理、統一認證、統一授權功能的相互配合完成：
（1）根據使用者的許可權策略制定相應的ACL（訪問控制列表）；
（2）將制定的ACL透過附屬到組中形成一定顆粒度的授權單元；
（3）當一個使用者進行實體級授權時，可以透過在統一使用者管理功能中分配許可權組的方式對使用者進行授權。

四、經驗總結
    “軍工單位統一認證工程”的成功經驗總結如下：
1.採用時代億信UAP統一認證與訪問控制系統產品，擁有良好的產品成熟度，豐富的標準介面，可快速實施上線並滿足多種開發語言、多種型別的業務系統接入需求。
2.採用分級部署、分級管理模式，實現與業務系統現狀的無縫對接。
3.內建CA系統，與使用者管理功能直接整合，新增使用者自動簽發證書，提高了管理員工作效率，減少了維護工作量。
4.單點登入接入方式完善，對公司已有的C/S架構業務系統提供了良好支撐，可以在業務系統不做改動或少量改動情況下，實現單點登入與訪問控制。
5.時代億信UAP統一認證與訪問控制系統產品經過國家保密局檢測，具備管理員三員分立、智慧卡PIN碼安全策略、管理平臺安全防護等安全保護措施，並在原始碼層面進行了安全加固與抗反向工程，有效保證了企業網路的使用安全。