身份管理与认证系统2.0的设计与实现

张红梅

[摘    要] 本文介绍了身份管理与认证系统2.0概况以及主要功能模块，实现多系统之间的数据共享，提供集中的用户身份管理功能，在提高系统访问安全性的同时，也提高了系统访问效率，有助于提升企业信息化水平。

[关键词] 身份管理;认证系统;USBKey

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 05. 079

[中图分类号] TP315    [文献标识码]  A      [文章编号]  1673 - 0194（2020）05- 0184- 02

1     引    言

身份管理与认证项目是《中国石油天然气集团公司“十一五”信息技術总体规划》与《中国石油天然气集团公司“十二五”信息技术总体规划》中的“信息安全体系建设项目（F8）”子项目，实现了单点登录功能，在提高系统访问的安全性的同时，也提高了系统访问效率。与企业主数据进行集成，实现多系统之间的数据共享，提供集中的用户身份管理功能，实现了用户账号的实名制管理及审计等功能，大大降低了用户账号管理的复杂性与成本。

2      身份管理与认证系统概况

身份管理与认证系统是多系统集成登陆的一个系统。系统提供用户管理、组织机构管理、系统管理、管理员权限管理、认证策略配置、应用管理、安全审计功能。以统一、安全、可靠、合规的方式对企业信息资产的系统访问者进行访问授权，让合适的人在恰当的时间采用正确的方式和可信的身份从统一的入口访问已授权的信息资产。从而保护企业免受内部和外部的攻击威胁，确保企业信息资产的完整性，并且提供可信的审计和报告。

身份管理与认证系统由IAM（身份管理与访问控制）和PKI（公共密钥体系基础设施）两个子系统构成。身份管理与认证系统（1.0）实现了信息系统的统一账号管理和单点登录，有效解决了应用系统用户物理身份和数字身份的一致性问题，实现了用户账号的实名制管理及审计;身份管理与认证系统（2.0）建设，将在身份管理与认证系统（1.0）的基础上，根据国家要求，结合中国石油的实际情况和应用需求，完成商用密码算法升级工作，新建符合国家政策的密码技术应用支撑平台，并扩展与完善身份管理与认证系统功能，逐步实现自主可控。

3      身份管理与认证系统2.0主要功能模块

身份管理与认证系统2.0可以提供用户身份管理、统一认证、系统安全性设计、密钥管理等功能，有效解决应用系统弱口令问题。

3.1   用户身份管理

身份管理与认证系统2.0里内置两类三种用户，内部用户和外部用户，内部用户又可分为HR用户和非HR用户。

内部HR用户数据同步是IAM通过每天的定时任务到HR获取相关数据，当天的全部数据全部放置临时表中进行数据校验，正常数据直接写入IAM主数据库，问题数据写入中间表;IAM通过定时任务对中间表数据进行轮询校验，发现问题数据变为正常数据后写入IAM主数据库。内部非HR用户创建时需要指定责任人，责任人必须是HR用户，责任人发生变更时，比如发生离职等状态时，需通知该用户的管理员变更非HR用户的责任人信息。

外部用户是通过外网注册的用户。外部用户通过DMZ区提供的服务进行注册登录服务，外部用户注册时调用身份证校验接口验证身份证信息，从DMZ区登录和注册的用户为外部用户（存放在专门库），从DMZ区登录的外部用户只能访问外部应用（应用放在专门库），外部用户和应用由专门的外部应用或用户管理员管理，两套数据实际类似两套独立的IAM，互相独立，但报表系统汇总从两套IAM中读取数据。

3.2   统一认证功能

一是多平台认证服务：支持PC和移动设备的内外网统一认证。

二是身份认证服务插件体系：建立身份认证服务插件体系，不同认证技术以插件形式注册到系统中，实现灵活快速扩展。

三是多因子强认证：支持数字证书（USBKey、蓝牙设备）、验证码（短信、邮件）、动态令牌、二维码扫描、等多种认证技术。

四是分级安全策略：应用系统的分级认证，可根据时间、环境、用户、应用设置不同的认证规则，并灵活组合多种强认证方式。

五是多种认证方式兼容：继承现有认证方式，扩充SAML， OAuth2 ， CAS等开放认证协议。

3.3   系统安全性设计

（1）身份鉴别设计

一是要求支持数字证书、指纹识别、动态口令等多种认证方式。

二是密码复杂度、密码长度、过期策略、失败策略等。为保证安全，密码有以下限制：密码长度不应少于12位;至少包含1位特殊字符，至少包含1位数字，至少包含1位小写字母，至少包含1位大写字母中的3种组合。

（2）访问控制

按角色用户身份配置访问权限、无默认密码，管理员修改密码后登录立即修改。

（3）数据安全

身份管理与认证系统支持SM1，SM2，SM3算法，采用https技术对传输过程进行加密，对于关键敏感数据，如用户密码等，进行PBKDF2加密存储。

（4）安全审计

对使用用户记录用户的操作行为，以及使用管理日志记录管理人员的管理行为进行安全审计，日志采用ES进行管理，并定时同步到其他数据中心。

（5）信息保护

用户授权按照组织机构或者项目组，无权限的人员不能查看人员具体信息，退出、注销系统后，支持单点登出所有已登录应用。

（6）数据备份

提供多集群环境支持负载均衡，支持两地三中心部署模式，可手工切换至灾备环境。

（7）监控预警

对CPU、硬盘、内存等资源的使用情况以及数据库、中间缓存等组件的状态进行监控，出现异常时，可通过邮件的方式进行报警。

（8）入侵防范

支持前后台分离，前台仅使用静态页面，设置管理IP、关闭不必要的网络服务及端口。

3.4   密钥管理

在身份管理与认证系统2.0中，IAM系统使用密钥管理系统提供的在线接口服务;实现管理员签名操作，使用离线式接口服务实现登录验签。密钥管理系统作为统一基础设施，能够集成各应用系统相关密钥功能。可以提供在线和离线两种集成服务：在线接口集成方式可以为应用系统提供密钥管理和密码运算，包含密钥的生命周期管理以及文件/数据加解密、文件/数据签名验签、文件/数据摘要、消息认证码运算与验证、认证加解密、生成随机数等密码运算功能;离线接口集成方式提供了本地化的加密方案，该方式中提供了本地化的加密方案，该方式中密钥管理、密钥传输、接口认证的安全性保护由密钥管理系统平台保障，密码运算由应用系统本地化的硬件密码计算资源结合离线式SDK来实现。

3.5   系统登录方式

（1）USBKey证书登录

使用智能卡（也称USBKey）进行身份认证，安全的客户端证书存储于专用的USBKey 中。存储于USBKey 中的证书不能被导出或复制，且USBKey使用时需要输入USBKey的保护密码（也称PIN 码）。使用该证书需要物理上获得证书存储介质USBKey，且需要知道保护密码，输入正确密码后即进行数字签名并向服务器发送请求验签，验签通过则成功登录系统否则需要确认计算机是否已插入USBKey，当输入密码错误会提示重新输入但不能超过设定的最大试错数，一旦超过则USBKey 会自动锁死，需要向证书颁发机构申请解锁;这种认证手段也是目前在Internet 最安全的身份认证手段之一。

使用USBKey实现个人身份认证有效防止黑客对企业系统的攻击， USBKey强认证方式有效保证系统账户安全，有效解决了以往信息系统登录方式不统一、安全认证模式多样、部分系统密码强度不足等问题，保障了各信息系统的安全运行。通过平台的身份管理功能，可提高信息系統账号管理的时效性，便于及时发现用户账号安全隐患，加强账号管理力度。

用户插入USBKey时，显示用户姓名，点击登录按钮后弹出二期USBKey的PIN码框;首次登录USBKey需要输入新密码，确认新密码。

（2）用户名密码登录

用户选择用户名密码登录后，填写用户名（8位员工编号）和密码完成IAM2.0登录：初始化密码Aa123.加员工编号，用户首次登录强制修改密码;忘记密码：用户可使用“忘记密码”功能进行密码重置;用户可以使用验证过的邮箱或者手机号码重置密码。

（3）手机App扫码登录

使用IAM 2.0系统的扫码登录需手机下载安装手机安全令App：在IAM 2.0的登录页点击登录框右上角的“手机安全令App下载”后使用手机微信或其他带有二维码扫描的浏览器扫描二维码，即可下载手机安全令App; 完成手机安全令绑定App后，选择屏幕中间的“点击扫描二维码”，扫描PC登录页面“扫码登录”下的二维码，即可完成扫码登录。

3.6   个性化门户展示

登录成功后进入个人门户界面，在门户界面可以选择想要登录的应用，查看系统消息通知，查看安全日志，我的申请，查看待办任务，和系统设置等。我的应用界面，可选择自己想要登录的应用，用户可以选择按照使用次数排序或者按照最后使用时间对应用列表进行排序。

4      结    语

身份管理与认证系统已完成包括炼油与化工ERP系统、人力资源系统（HR）、HSE信息系统、档案管理系统、电子公文系统等系统集成，通过身份管理及认证系统集成应用实现了用户通过二维码登录、账号登录与USBKey登录等不同的认证方式，减少了用户登录各系统的时间，在提高系统安全性的同时，进一步提升了工作效率。

主要参考文献

[1]胡娟.统一用户管理与单点登录系统的设计与实现[D].北京：北京邮电大学，2014.

[2]王瑶，何淳真，康莹，等. 统一身份认证在企业信息系统中的应用[J].中国管理信息化，2019，22（1），195-198.