所谓
身份认证,就是判断一个用户是否为
合法用户的
处理过程。最常用的简单身份认证方式是系统通过核对用户输入的
用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的
加密算法与协议,需要用户出示更多的信息(如
私钥)来证明自己的身份,如
Kerberos身份认证系统。
流程
统一身份认证
服务系统的一个基本
应用模式是统一认证模式,它是以统一身份认证服务为核心的服务使用模式。用户登录统一身份认证服务后,即可使用所有支持统一身份认证服务的管理应用系统。
(1)用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息,比如
数字签名等)登陆统一认证服务;
(2)统一认证服务创建了一个会话,同时将与该会话关联的访问认证令牌返回给用户;
(3)用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统;
(4)该应用系统将访问认证令牌传入统一身份认证服务,认证访问认证令牌的
有效性;
(5)统一身份认证服务确认认证令牌的有效性;
(6)应用系统接收访问,并返回访问结果,如果需要提高访问效率的话,应用系统可选择返回其自身的认证令牌以使得用户之后可以使用这个私有令牌持续访问。
组成与结构
统一身份认证系统的设计采用层次式结构,主要分为
数据层、认证
通道层和认证接口层,同时分为多个
功能模块,其中最主要的有身份认证模块和
权限管理模块。
身份认证模块管理用户身份和成员站点身份。该模块向用户提供在线注册功能,用户注册时必须提供相应信息(如
用户名、密码),该信息即为用户身份的凭证,拥有该信息的用户即为统一身份认证系统的
合法用户;身份认证模块还向成员站点提供在线注册功能,成员站点注册时需提供一些关于成员站点的基本信息,还包括为用户定义的角色种类(如普通用户、高级用户、管理员用户)。
权限管理模块主要有:成员站点对用户的权限控制、用户对成员站点的权限控制、成员站点对成员站点的权限控制。用户向某成员站点申请分配权限时,需向该成员站点提供他的某些信息,这些信息就是用户提供给成员站点的权限,而成员站点通过统一身份
认证系统身份认证后就可以查询用户信息,并给该用户分配权限,获得权限的用户通过统一
身份认证系统身份认证后就可以以某种身份访问该成员站点。成员站点对成员用户信息/角色、权限信息站点的权限控制主要是成员站点控制向其它成员站点提供的调用接口。统一 身 份 认证系统与用户的接口必须同时支持B/S和
C/S的模式,同时还必须支持Notes应用认证接口,不同的认证接口具有不同的优势,具有不同的应用场合,如B/S接口不需要专门安装相应的客户端软件,C/S接口的安全性稍高等。
系统功能
统一用户管理系统(IDS),实现网上应用系统的用户、角色和组织机构统一化管理,实现各种应用系统间跨域的单点登录和单点退出和统一的身份认证功能,
用户登录到一个系统后,再转入到其他应用系统时不需要再次登录,简化了用户的操作,也保证了同一用户在不同的应用系统中身份的一致性。
IDS通过WebService对外发布
认证服务,实现了平台的无关性,能与各种主机、各种应用系统对接。另外,IDS还提供了一套标准的接口,保证的IDS与各种应用系统之间对接的易操作性。
IDS的主要功能如下:
1)
用户管理 :能实现用户与组织创建、删除、维护与同步等功能;
2)
用户认证:通过SOA服务,支持第三方认证系统;
3)单点登录 :共享多应用系统之间的用户认证信息,实现多个应用系统间自由切换;
4)
分级管理 :实现管理功能的分散,支持对用户、组织等管理功能的分级委托;
5)
权限管理:系统提供了统一的,可以扩展的权限管理及接口,支持第三方应用系统通过接口获取
用户权限。
6)
会话管理:查看、浏览与检索用户登录情况,管理员可以在线强制用户退出当前的应用登录;
7)支持
Windows、
Linux、
Solaris等操作系统;支持Tomcat、WebLogic、WebSphere等
应用服务器;支持SQL Server等
数据库系统;
IDS的结构
统一身份认证通过
统一管理不同应用体系身份存贮方式、统一认证的方式,使同一用户在所有应用系统中的身份一致,
应用程序不必关心身份的认证过程。
从结构上来看,统一身份认证系统由统一身份认证管理模块、统一
身份认证服务器、身份
信息存贮服务器三大部分组成。
其中统一身份认证管理模块由
管理工具和
管理服务组成,实现
用户组管理、用户管理;管理工具实现界面操作,并把操作数据递交给管理服务器,管理服务器在修改存贮服务器中的内容。
统一
身份认证服务器向应用程序提供统一的Webservice认证服务。它接收应用程序传递过来的用户名和密码,验证通过后把用户的认证令牌返回给应用程序。
身份
存储服务器存储身份、权限数据。其中身份存储服务器可以选择
关系型数据库、
LDAP目录、
AD等。另外可以将
CA发放的
数字证书存储在身份存储服务器。
IDS的特点
1)方便实用
实现单点登录(
SSO)。用户一次登录后,就可以依靠认证令牌在不同系统之间切换。
IDS所有的管理功能都是基于页面实现的,管理员只要通过浏览器即可完成管理工作。
提出了分级管理员的概念,使管理大量用户变成了可能。
2)跨平台
接口采用SOAP XML标准,可跨平台与多种类型的应用系统对接
3)支持多种身份存在方式
LDAP目录
4)安全可靠
系统能够集成成熟的认证体系:CA,可以保证交易和企业内部活动中的身份
不可抵赖,用户签名无法伪造。
系统在数据
传输过程中,支持
HTTPS方式的
数据加密传输,阻止数据被监听、分析。
系统能够定义管理多种权限级别策略。