经过多年来的信息技术建设,各企业单位IT自动化程度有了很大提高,已经建成了或者正在建设着多种应用系统。随着业务的增长,市场竞争的加剧,如何将各个业务系统相对独立的用户管理和分散的应用系统内容整合于同一页面管理下,以及提高低效的新业务系统接入能力,就成为IT部门急需解决的问题。
企业门户是企业信息化前进的必然战略性方向,据美林公司的调查显示,企业对门户的需求正日益增长,在接受调查的50家全球百强企业CIO中,有32%的人反映在开支优先权方面,2008年已让位于企业门户。
概括地说,企业门户就是通过一个唯一入口,为企业员工、分销商、代理商、供应商、合作伙伴等同一价值链上的相关人员提供个性化的信息、知识、服务与应用。它是一种基于Web的,将不同应用、业务过程、后端系统、服务和信息、知识等内容集成到一个个性化窗口中的功能强大的软件系统平台。
连接多种应用系统为不同角色的用户提供快捷服务的门户系统,其核心的基础就是用户身份的管控,包括用户身份管理、角色和权限管理、网络行为管控、统一用户信息管理这几个部分,即通常所说的4A:统一用户账号管理、统一认证管理、统一授权管理和统一安全审计(Audit)四要素。
1 企业安全门户系统设计
企业安全门户系统的设计包含3个重要的步骤,即明确技术原理、定义功能和设定体系架构。
1.1 技术原理
门户技术原理结构图如图1所示。门户服务主要用来提供来自Web应用的内容,它允许用户可以在浏览器中查看一张或一套页面中显示的多种信息来源。包含内容的页面被称作桌面,在桌面的各个区域出现的各种内容来源被称作频道。
Web服务(Web Service)是基于XML和HTTPS的一种服务,其通信协议主要基于SOAP,服务的描述通过WSDL,通过UDDI来发现和获得服务的元数据。Web service平台需要一套协议来实现分布式应用程序的创建。任何平台都有它的数据表示方法和类型系统。要实现互操作性,Web service平台必须提供一套标准的类型系统,用于沟通不同平台、编程语言和组件模型中的不同类型系统。在传统的分布式系统中,基于界面(interface)的平台提供了一些方法来描述界面、方法和参数(译注:如COM和COBAR中的IDL语言)。
在门户中,一个被称作提供者的部件负责将文件中的内容或Web应用的输出,转换成一种适合频道的格式。可以用内容提供者API为门户开发内容提供者,并且门户内应带有多种预置的专门提供者,向客户端设备提供内容的标记语言是超文本标记语言(HTML)、用于移动电话和PDA的HTML 、无线标记语言(WML)或可扩展标记语言(XML)等语言中的一种或多种。身份认证、授权、用户管理以及用户配置文件信息的存储,都是通过标识和策略API来完成的。这些API一般都实现于目录服务之上。
门户聚合来自不同数据源的信息,这些来源可以是从企业内外或从垂直或专业门户聚合而来的,提供页面布局和创建可定制的图形化用户界面(GUI)所需的元素。
1.2 定义功能
对于产生于各种来源的信息,门户提供一个访问点,为最终用户和他们使用的Web应用及服务带来了多种功能,这些功能包括聚合、展现、自定义和安全。
门户必须让企业内外的最终用户和应用都能进行安全访问。为了实现这个目标,它必须带来支持企业现有身份认证机制的灵活性,提供单点登录功能并且利用标识和策略组件,为其所有用户和应用提供单点登录、身份认证、授权、访问控制和会话管理。
此外,门户应提供以下可选功能:
(1)提供虚拟专用网(VPN)解决方案,以便在设备中除了Web浏览器外,不再需要装有任何专用客户端软件用户下访问企业内部网资源。
VPN英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。vpn被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
(2)带有一个重写HTML文档的反向代理,从而允许在不将企业内部网Web站点直接暴露给因特网的情况下,对所有这些站点进行访问。
1.3 体系架构
一般来说,企业门户主要分为3层,即Web服务平台、统一认证平台和聚集展现平台其体系架构图如图2所示。
企业门户的Web服务平台是上层服务的容器,提供基于Web服务的容器和上层应用与模块的运行环境。
统一认证平台通过4A技术实现为用户提供跨系统访问的单一认证服务和管理功能。统一认证平台在系统设计中,与企业门户系统展现层的业务逻辑相对独立,其目的是为企业建立起完整的单点登录支撑平台。将用户认证功能与企业门户系统展现平台相分离,是充分考虑用户的使用习惯以及未来的系统扩展。 同时,用户也可以通过直接访问特定应用系统,由统一认证平台对用户进行认证,授予用户跨系统访问的权限。
聚集展现平台主要处理用户访问企业门户系统的访问安全控制管理、策略管理及内容、应用聚集的功能,通常含有应用聚集、桌面展现和内容搜索三大功能。同时,企业门户系统展示层将负责支撑用户使用不同访问设备的内容格式提交,通过企业门户系统的渠道功能,将企业内部信息资源个极具性化地呈现给访问用户。
2.4A原理和统一身份管理
门户系统中的4A技术,为整个系统的安全性提供了完善的平台保障。
最初的4A技术核心是单点登录,随着各企业不断开展电子商务和将内部资源不同程度地向客户、合作伙伴及员工开放,对于企业至关重要的信息财产安全越发显得重视,尤其是在信息访问越发便捷的背景下,这些资产也暴露在越来越多的威胁中。毫无疑问,信息保护的私密性、完整性、真实性和可靠性的需求日益突出,系统和安全管理人员需要对企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施,
账号管理即是将自然人与其拥有的所有系统账号的关联进行集中管理,包括按照密码策略自动更改密码、4不同系统间的账号同步等。一般账号管理的实体部件通常采用目录服务器,基于“属性:值”对和层级树状逻辑组织的用户账号数据,更加适合轻量目录访问协议(LDAP)的处理。LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。LDAP其实是一电话簿,类似于我们所使用诸如NIS、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。不少LDAP开发人员喜欢把LDAP与关系数据库相比,认为是另一种的存贮方式,然后在读性能上进行比较。实际上,这种对比的基础是错误的。LDAP和关系数据库是两种不同层次的概念,后者是存贮方式(同一层次如网格数据库,对象数据库),前者是存贮模式和访问协议。
认证管理用以实现支撑系统对操作者身份的合法性检查。对信息系统中的各种服务和应用来说,身份认证是一个基本的安全考虑,只有通过系统预设规则的身份认证,才能够接触系统功能和应用系统的数据。
授权管理是指对用户使用支撑系统资源的具体情况进行合理分配的技术,实现不同用户对系统不同部分资源的访问按安全和数据敏感级别定义系统内部资源的访问权限。
审计管理是指收集、记录用户对支撑系统资源的使用情况,以便于统计用户对网络资源的访问情况,并且在出现安全事故时,可以追踪原因,追究相关人员的责任,以减少由于内部计算机用户滥用网络资源造成的安全危害。
3 企业门户系统中的统一身份管理应用
下面以基于J2EE体系的门户和统一身份管理服务为例加以说明。
统一身份管理流程如图3所示,统一身份管理平台与企业门户服务紧密集成,提供统一认证、统一授权、访问控制、单点登录和行为审计5大功能,完成访问者与门户之间的登录和资源列表返回、信息资源访问请求和用户身份传递等前后台的身份识别和信息访问过程。统一身份管理平台一般包含访问管理器和身份管理器两个逻辑部分。
(1) 访问管理器和身份管理器
访问管理器为门户服务提供了针对Web服务器、J2EE应用服务器、Web代理服务器以及典型企业应用的多个策略代理 ;另外,它还提供了访问管理器 SDK,用以集成企业的Java或C/C++应用,实现集中认证、授权和单点登录。J2EE技术目前,Java 2平台有3个版本,它们是适用于小型设备和智能卡的Java 2平台Micro版(Java 2 Platform Micro Edition,J2ME)、适用于桌面系统的Java 2平台标准版、适用于创建服务器应用程序和服务的Java 2平台企业版。J2EE是一种利用Java 2平台来简化企业解决方案的开发、部署和管理相关的复杂问题的体系结构。J2EE技术的基础就是核心Java平台或Java 2平台的标准版,J2EE不仅巩固了标准版中的许多优点,例如"编写一次、随处运行"的特性、方便存取数据库的JDBC API、CORBA技术以及能够在Internet应用中保护数据的安全模式等等,同时还提供了对 EJB、Java Servlets API、JSP(Java Server Pages)以及XML技术的全面支持。其最终目的就是成为一个能够使企业开发者大幅缩短投放市场时间的体系结构。
用户管理与信息同步系统由身份管理器实现,对各应用或子网络系统用户账号的集中管理,包括用户账号在其相对应的应用系统里的自动创建及创建的规则,账号生成的审批流程管理,账号的禁用和销毁,账号在各个应用系统之间的对应关系及同步,口令的管理,提供统一的管理界面和分级授权管理,账号的审计和风险分析等。身份管理器也是一个标准的J2EE应用系统,它通过部署于其本身服务器端(而不是要管理的应用系统一端)的资源适配器创建和管理在各个应用系统上的用户账号。
(2) 统一认证
访问管理器提供了公共的认证服务架构,具有灵活的认证方式和多种认证服务接口。因此,基于统一的认证服务的应用系统间可以实现单点登录。
访问管理器提供的认证服务基于JAAS(Java认证与授权服务)框架,提供Java和XML/HTTP两种应用认证接口。
(3) 认证方式定制化接口
不同的认证方式具有不同的安全性、易用性和部署成本。因此,针对企业门户中不同的用户群与不同的应用范围,需要对认证方式进行定制化。在访问管理器中,可以根据角色、用户、服务指定不同的认证方式,也可以在认证时直接指定认证模块。对于不同组织、角色和服务,可以配置个性化的认证选项。
访问管理器为应用程序提供两种类型的认证编程接口。对基于Java的应用系统(包括基于JSP的WEB应用系统和基于Java的应用程序)可以使用Java编程接口;对于非Java的应用系统,可以使用XML/HTTP编程接口或C/C++编程接口。Java,是由Sun Microsystems公司于1995年5月推出的Java程序设计语言和Java平台的总称。用Java实现的HotJava浏览器(支持Java applet)显示了Java的魅力:跨平台、动态的Web、Internet计算。从此,Java被广泛接受并推动了Web的迅速发展,常用的浏览器现在均支持Java applet。Java平台由Java虚拟机(Java Virtual Machine)和Java 应用编程接口(Application Programming Interface、简称API)构成。Java 应用编程接口为Java应用提供了一个独立于操作系统的标准接口,可分为基本部分和扩展部分。在硬件或操作系统平台上安装一个Java平台之后,Java应用程序就可运行。现在Java平台已经嵌入了几乎所有的操作系统。这样Java程序可以只编译一次,就可以在各种系统中运行。
(4) 单点登录支持
单点登录的根本原理是保持用户的会话(session)状态。访问管理器对单点登录提供的SDK级别的支持,SDK(Software Development Kit, 即软件开发工具包 )一般是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件的开发工具的集合。SDK是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合,一般而言SDK即开发 Windows 平台下的应用程序所使用的SDK。它可以简单的为某个程序设计语言提供应用程序接口 API 的一些文件,但也可能包括能与某种嵌入式系统通讯的复杂的硬件。一般的工具包括用于调试和其他用途的实用工具。SDK 还经常包括示例代码、支持性的技术注解或者其他的为基本参考资料澄清疑点的支持文档。 其中包括单点登录令牌的创建与验证。以Web应用的单点登录为例:用户通过访问管理器的认证页面进行认证,认证通过之后,平台为该用户创建一个单点登录令牌,并将该令牌的ID通过cookie返回至用户浏览器;当用户访问Web应用系统时,单点登录令牌ID自动通过cookie传递至Web应用系统,Web应用系统可以通过单点登录令牌ID还原单点登录令牌,并向Access Manager验证单点登录令牌是否有效。
综上,基于4A技术的统一身份管理为企业门户服务带来较为全面的安全保障,从人员、访问、授权和审计等角度保护企业内部应用的数据的合法使用,具有如下优点:
(1)统一认证、授权和审计,管理维护工作复杂度大幅度降低,减少维护操作带来的故障隐患;
(2)统一监管,企业系统安全状况随时被自动监管;
(3)免去用户在各系统间切换时需要再次输入用户名和口令的繁琐操作,减少账号密码泄露机会;
(4)对各个系统进行统一的访问审计,利于综合分析,及时发现入侵行为。
但从技术实现方式和用户使用效果上看,基于4A的统一身份管理也存在着一定的不足,具体表现为:
(1)技术实现方式限制较多,例如基于策略代理的SSO,对门户系统产品提出固定要求,对特定产品的版本、未提供开放接口的系统缺乏灵活的处理方法;
(2)合规审计能力一般不强,多数产品只提供以日志为主的审计能力,以及基于日志的数据传输接口由第三方模块完成审计报告。
相信,随着企业门户对安全管控需求的不断细化,随着各厂家产品和技术的发展,4A技术对企业门户安全的贡献将越来越突出。
[1]. COM datasheet http://www.dzsc.com/datasheet/COM_1118194.html.
联系客服
