面臨的現(xiàn)狀

　　隨著國家推進(jìn)信息化的迅猛發(fā)展，高校、政府和企業(yè)等不斷增加基于Internet/Intranet的業(yè)務(wù)系統(tǒng)，如各類網(wǎng)上申報(bào)系統(tǒng)、網(wǎng)上審批系統(tǒng)、OA系統(tǒng)、郵件系統(tǒng)等。系統(tǒng)的業(yè)務(wù)性質(zhì)，一般都要求實(shí)現(xiàn)用戶管理、身份認(rèn)證、授權(quán)等必不可少的安全措施;而新系統(tǒng)的涌現(xiàn)，在與已有系統(tǒng)的集成或融合上，特別是針對相同的用戶群，有可能存在如下情況：

　　1.重復(fù)建設(shè)：每個(gè)應(yīng)用系統(tǒng)都有獨(dú)立的用戶管理系統(tǒng);

　　2.用戶類型復(fù)雜：除了校內(nèi)師生用戶，還有校外用戶、外部系統(tǒng)開發(fā)用戶等等;

　　3.用戶需要記憶多個(gè)賬戶和口令，使用極為不便，容易造成多種安全隱患;

　　4.分散的管理模式，成本高，效率低;無法實(shí)現(xiàn)統(tǒng)一認(rèn)證和授權(quán)，多個(gè)身份認(rèn)證系統(tǒng)使安全策略必須逐個(gè)在不同的系統(tǒng)內(nèi)進(jìn)行設(shè)置，因而造成修改策略的進(jìn)度可能跟不上策略的變化;也很容易發(fā)生管理疏忽和安全漏洞;

　　5.無法統(tǒng)一分析用戶的應(yīng)用行為;因此對于有多個(gè)業(yè)務(wù)系統(tǒng)的應(yīng)用，需要配置一套統(tǒng)一的身份認(rèn)證系統(tǒng)，以實(shí)現(xiàn)集中統(tǒng)一的身份認(rèn)證，并減少整個(gè)系統(tǒng)的成本。

　　單點(diǎn)登錄系統(tǒng)的目的就是為應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證，實(shí)現(xiàn)“一點(diǎn)登錄、多點(diǎn)漫游、即插即用、應(yīng)用無關(guān)”的目標(biāo)，方便用戶使用。

　　所需解決的問題

　　由于所面臨的緊迫狀況，因此迫切需要從根本上改變這種情況，需要滿足或解決如下的問題：

　　1.技術(shù)需要更多地遵守在法律法規(guī)的相關(guān)要求，考慮對個(gè)人的隱私進(jìn)一步保護(hù)。

　　2.業(yè)務(wù)的感知更加敏捷，師生和合作伙伴的訪問更快速，B2B集成度更高和改變需求的反應(yīng)更敏捷。

　　3.業(yè)務(wù)需要提供更安全的保護(hù)，包括身份隱私的保護(hù)，身份管理的必要性，訪問控制的緊迫性和審計(jì)的必要性，因此完整、統(tǒng)一的安全解決方案勢在必行。

　　除了上述所提到的這幾個(gè)方面外，還需要解決：不需要與任何產(chǎn)品集成，能夠?qū)崿F(xiàn)解決跨應(yīng)用程序和數(shù)據(jù)的常見安全性問題，此外還能保護(hù)業(yè)務(wù)流程和Web服務(wù)(SOA)，同時(shí)還要保護(hù)傳輸中的數(shù)據(jù)以及處于靜止?fàn)顟B(tài)的數(shù)據(jù)，加強(qiáng)內(nèi)部和外部威脅的檢測和防范，除此之外還可熱插拔并且是基于行業(yè)或國家標(biāo)準(zhǔn)能跨領(lǐng)先的應(yīng)用程序并能與Web服務(wù)器、應(yīng)用服務(wù)器、門戶、數(shù)據(jù)庫以及其他IT系統(tǒng)進(jìn)行松耦合的協(xié)調(diào)工作。

　　統(tǒng)一安全平臺(tái)的特征

　　統(tǒng)一認(rèn)證平臺(tái)必須滿足或至少提供認(rèn)證(Authentication)、授權(quán)(Authorizaton)，審計(jì)(audit)、賬戶管理(Account)四大基本特征。單點(diǎn)的登錄與退出以及用戶和口令應(yīng)安全且方便易用。西南財(cái)經(jīng)大學(xué)使用Oracle和開源軟件構(gòu)建了校園安全統(tǒng)一身份認(rèn)證平臺(tái)。

　　身份管理平臺(tái)介紹

　　身份管理介紹

　　Oracle身份管理按照其官方的描述是一個(gè)完整的和集成的下一代身份管理平臺(tái)，提供突破性的可擴(kuò)展性，使組織能夠快速地在遵守法規(guī)的要求下，保護(hù)敏感的應(yīng)用程序和數(shù)據(jù)。它能使組織有效地管理跨越所有企業(yè)資源的用戶身份以及這些用戶端到端的生命周期，包括防火墻內(nèi)和外部以及云中。

　　其中身份認(rèn)證服務(wù)是整個(gè)系統(tǒng)的核心部分，控制所有遠(yuǎn)程用戶對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的訪問，提供全面的認(rèn)證、授權(quán)和審計(jì)服務(wù)。用戶在登錄系統(tǒng)時(shí)，插上智能卡，通過安全加密通道與遠(yuǎn)程身份認(rèn)證服務(wù)器通訊，由認(rèn)證服務(wù)器完成對用戶身份的認(rèn)證，并得到當(dāng)前用戶的身份以及系統(tǒng)的授權(quán)信息。

　　Oracle身份管理平臺(tái)(簡稱IDM)包括身份管理，角色管理，訪問控制管理，Weiservices管理，目錄服務(wù)管理，審計(jì)管理以及平臺(tái)安全，其邏輯架構(gòu)如圖1所示。

　　Oracle身份管理11gR2共包含三個(gè)組件：即身份治理(Identity Governance)，訪問管理(Access Management)，目錄服務(wù)(Directory Serclevices)：其中身份治理包含提供用戶注冊、訪問請求、角色生命周期管理、用戶配置、訪問認(rèn)證、閉環(huán)管控以及特權(quán)賬戶管理等功能。訪問管理提供身份驗(yàn)證、單點(diǎn)登錄、身份授權(quán)、聯(lián)合、欺詐檢測以及移動(dòng)和社交登錄等功能。目錄服務(wù)提供虛擬目錄、LDAP存儲(chǔ)、元目錄和同步服務(wù)等功能。特點(diǎn)如下：1.集中賬號(hào)管理;2.集中身份認(rèn)證管理;3.集中授權(quán)管理;4.集中日志審計(jì)管理;5.集中日志審計(jì)管理。

　　由于整個(gè)Oracle身份管理涉及的內(nèi)容眾多，在此，本文僅以其中的統(tǒng)一身份認(rèn)證授權(quán)即單點(diǎn)登錄來做介紹。

　　OAM介紹

　　Oracle Access Management是一種基于Java企業(yè)版(Java EE)的企業(yè)級(jí)安全應(yīng)用程序，提供全方位的Web周邊安全功能和Web單點(diǎn)登錄服務(wù)，包括身份上下文，身份驗(yàn)證和授權(quán)、政策管理、測試、風(fēng)險(xiǎn)分析和審計(jì)，并提供對機(jī)密信息的受限訪問。

　　Single Sign-On(SSO)即單點(diǎn)登錄，在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。在此條件下，管理員無需修改或干涉用戶登錄就能方便地實(shí)施希望得到的安全控制了。

　　Oracle現(xiàn)有兩套單點(diǎn)登錄的解決方案：Oracle Access Manager，Oracle Single Sign-On Server(OSSO)。Oracle官方推薦Access Manager作為SSO的解決方案，Oracle Single Sign-On Server的高級(jí)用戶最終也會(huì)建議遷移到Oracle Access Manager解決方案上。本文只介紹通過OAM Agent(WebGate)這種方式。其他方式請參考Oracle相關(guān)文檔。

　　1.OAM組件

　　OAM包含了以下三個(gè)組件：

　　Access Server：一個(gè)獨(dú)立的服務(wù)器，為Accesgates提供了授權(quán)，驗(yàn)證以及審計(jì)等服務(wù)，安裝OAM的時(shí)候自帶的。

　　WebGate：攔截HTTP請求并將其轉(zhuǎn)向AccesServer中進(jìn)行驗(yàn)證與授權(quán)。

　　Identity Assertion Provider(IAP)：一類安全provider，通過驗(yàn)證產(chǎn)生cookie中的信息對用戶身份進(jìn)行斷言。

　　2.OAM功能

　　OAM為企業(yè)應(yīng)用提供了以下功能：身份驗(yàn)證，身份管理(通過與OID進(jìn)行集成)，訪問控制與授權(quán)，訪問審計(jì)，單點(diǎn)登錄。

　　3.OAM單點(diǎn)

　　登錄流程一般情況下，用戶會(huì)通過瀏覽器對Weblogic中運(yùn)行的程序進(jìn)行訪問，Oracle HTTP Server(OHS)會(huì)使用OAM Webagte對用戶發(fā)出的請求進(jìn)行攔截，檢驗(yàn)資源是否為受保護(hù)的資源，并將其轉(zhuǎn)向到OAM的Policy服務(wù)器進(jìn)行身份驗(yàn)證。OAM對用戶身份驗(yàn)證成功之后，OAM會(huì)產(chǎn)生一個(gè)會(huì)話憑證即一個(gè)cookie，該cookie可以比作單點(diǎn)登錄的令牌。獲得令牌以后，OAM會(huì)根據(jù)其身份信息，使用IAP進(jìn)行斷言并進(jìn)行授權(quán)，根據(jù)授權(quán)級(jí)別以及授權(quán)結(jié)果，返回相應(yīng)的請求資源。

　　從其原理可知：

　　1.OAM主要做了兩個(gè)工作：(a)驗(yàn)證單點(diǎn)登錄cookie是否存在;(b)檢查所請求的資源是否為被保護(hù)的。

　　2.WebGate是Web服務(wù)器的一個(gè)插件，用于攔截HTTP請求，并把請求導(dǎo)向Oracle Access Manager(OAM)來獲取用戶認(rèn)證。

　　3.Oracle OAM通過Cookie存儲(chǔ)用戶的信息，進(jìn)而通過Cookie來實(shí)現(xiàn)單點(diǎn)訪問授信站點(diǎn)。

　　打造企業(yè)級(jí)統(tǒng)一身份認(rèn)證與一體化訪問控制的具體實(shí)踐

　　在高校信息化建設(shè)中，由數(shù)字校園向智慧校園建設(shè)發(fā)展過程中，要建立一個(gè)完整統(tǒng)一、安全可控的身份認(rèn)證與管理集中化，身份管理虛擬化，保護(hù)應(yīng)用系統(tǒng)安全的統(tǒng)一身份認(rèn)證和管理平臺(tái)。西南財(cái)經(jīng)大學(xué)統(tǒng)一身份認(rèn)證授權(quán)管理策略授權(quán)邏輯架構(gòu)圖如圖2所示。

　　一體化安全訪問控制的架構(gòu)與部署

　　如圖2，在用戶訪問層，采用Nginx做為代理加速服務(wù)，結(jié)合NGINX、OWASP-MODSECURITY-CRS。OWASP-MODSECURITY-CRS是一個(gè)開放源代碼、高效、低維護(hù)規(guī)則的Nginx Web應(yīng)用防火墻模塊。其主要目標(biāo)是加固Web應(yīng)用程序，以抵御SQL注入、跨站腳本、跨域偽造請求、本地和遠(yuǎn)程文件包含漏洞，并配合SSL證書。所有訪問均強(qiáng)制啟用SSL并在該層完成。因此，該層可架構(gòu)在IDC的邊界上。

　　通過CRM對用戶賬戶資源的管理

　　CRM既是一種管理理念、軟件和技術(shù)，也是一種應(yīng)用系統(tǒng)。CRM使用的技術(shù)包括Web、數(shù)據(jù)庫、數(shù)據(jù)倉庫、數(shù)據(jù)挖掘等。一個(gè)完整、有效的CRM應(yīng)用系統(tǒng)，由四個(gè)子系統(tǒng)組成：業(yè)務(wù)操作管理子系統(tǒng)、客戶合作管理子系統(tǒng)、數(shù)據(jù)分析管理子系統(tǒng)和信息技術(shù)管理子系統(tǒng)。西南財(cái)經(jīng)大學(xué)通過采用開源軟件SuagrRM為基礎(chǔ)平臺(tái)，進(jìn)行深度的二次開發(fā)以適應(yīng)學(xué)校兩校區(qū)信息化建設(shè)的需求，為學(xué)校師生的教學(xué)、管理、生活等提供更加全面、便捷的信息服務(wù)。

　　學(xué)校為每個(gè)注冊的教職工、普通類學(xué)生(包括本科生和研究生，留學(xué)生，交換生)和校友提供了一個(gè)統(tǒng)一的身份標(biāo)識(shí)，并根據(jù)統(tǒng)一身份認(rèn)證賬戶及其相應(yīng)權(quán)限提供用戶相應(yīng)的網(wǎng)絡(luò)及信息服務(wù)。

　　OUD的部署

　　OUD是Oracle統(tǒng)一的目錄與存儲(chǔ)，代理同步和虛擬化功能的所有功能于一身的目錄解決方案。它提供了所有的高性能企業(yè)和運(yùn)營商級(jí)環(huán)境所需要的服務(wù)。統(tǒng)一的目錄，確保可擴(kuò)展性，以數(shù)十億的條目，安裝方便，彈性部署企業(yè)的管理和有效的監(jiān)測。OUD服務(wù)器是根據(jù)一個(gè)獨(dú)立的LDAP目錄服務(wù)守護(hù)進(jìn)程(slapd)工作的。復(fù)制(導(dǎo)入)服務(wù)也是通過Unix守護(hù)進(jìn)程的支持下完成的。

　　OUD 11gR2中的新功能：1.基于位置的搜索社交網(wǎng)絡(luò)應(yīng)用;2.Oracle數(shù)據(jù)庫企業(yè)用戶安全的支持(EUS);3.開箱即用的JVM;4.兼容Oracle目錄服務(wù)器企業(yè)版與共存或過渡到OUDODSEE和OUD之間的復(fù)制;5.能夠移動(dòng)測試和生產(chǎn)環(huán)境之間的系統(tǒng);6.身份存儲(chǔ)Oracle的IDM產(chǎn)品。

　　OAM的部署

　　OAM為Oracle訪問管理提供了補(bǔ)充傳統(tǒng)的訪問管理功能創(chuàng)新服務(wù)。例如，自適應(yīng)認(rèn)證(SSO)的聯(lián)合單點(diǎn)登錄，風(fēng)險(xiǎn)分析和細(xì)粒度的授權(quán)擴(kuò)展到移動(dòng)客戶端和移動(dòng)應(yīng)用程序和訪問門戶，允許客戶構(gòu)建自己的私有云SSO服務(wù)。服務(wù)可以被許可并根據(jù)需要，以滿足組織的特定需要啟用。訪問管理的服務(wù)器端所提供的服務(wù)托管在OracleWebLogic服務(wù)器上、防御接入管理層攔截器和過濾器(訪問管理WebGate、Web服務(wù)和API網(wǎng)關(guān))以及移動(dòng)和社交服務(wù)客戶端SDK，均可根據(jù)需要安裝在移動(dòng)設(shè)備上和安裝在個(gè)人電腦(臺(tái)式機(jī)和筆記本電腦)上。

　　數(shù)據(jù)庫層介紹

　　為了保證整套系統(tǒng)的高效、安全、穩(wěn)定和友好的提供服務(wù)，考慮到后期的維護(hù)難度，我們對所使用的數(shù)據(jù)庫Oracle和OUD均采用了雙機(jī)主從熱備式的架構(gòu)。并采用OracleEM(企業(yè)管理器)進(jìn)行整個(gè)系統(tǒng)的運(yùn)行監(jiān)控與健康檢查。

　　對應(yīng)用系統(tǒng)的改造

　　基于對現(xiàn)有應(yīng)用系統(tǒng)改造影響最小原則和安全穩(wěn)定原則，我們采用了對校內(nèi)如OA系統(tǒng)，郵件系統(tǒng)，人事，學(xué)生相關(guān)事務(wù)，教務(wù)等絕大多數(shù)應(yīng)用系統(tǒng)域名進(jìn)行管控，將其全部解析指向到用戶訪問接入層。而應(yīng)用系統(tǒng)只需取得從認(rèn)證系統(tǒng)(OAM)發(fā)送過來的HTTP頭里含有的特殊標(biāo)識(shí)即可，幾乎不用改動(dòng)其他任何代碼。在接入層，開啟日志審計(jì)與安全檢測過濾。

　　通過實(shí)際應(yīng)用測試發(fā)現(xiàn)：

　　1.其架構(gòu)的良好伸縮性與并發(fā)處理能力，可以很好地承擔(dān)應(yīng)對如選課高峰的負(fù)荷。

　　我們采用了4臺(tái)OAM做負(fù)載均衡，后端采用了Oracle RAC，所有應(yīng)用目前集成總數(shù)達(dá)到20多個(gè)，采用RedHatAS6，OAM+OUD部署在VMWare的環(huán)境中，單臺(tái)內(nèi)存32GB。經(jīng)過壓力測試，可以得到4000次/秒，完全滿足校園內(nèi)的應(yīng)用。

　　2.應(yīng)用系統(tǒng)改造小，由于只需調(diào)整認(rèn)證處的代碼，OAM的特征值含在了HTTP的頭里，因此只需修改很少的認(rèn)證代碼即可快速高效無縫整合以實(shí)現(xiàn)單點(diǎn)認(rèn)證。

　　3.安全性較好，將應(yīng)用系統(tǒng)隱藏在WebGate集群后面，有效降低了安全風(fēng)險(xiǎn)。

　　綜上，系統(tǒng)架構(gòu)完成后，用戶訪問校內(nèi)任何應(yīng)用系統(tǒng)均會(huì)被首先強(qiáng)制并加載SSL證書到認(rèn)證登錄頁面。從而較好地實(shí)現(xiàn)了集中授權(quán)與管控，減少了后期的維護(hù)，用戶體驗(yàn)也很好。

　　通過對校園統(tǒng)一身份認(rèn)證與管理平臺(tái)的建設(shè)，實(shí)現(xiàn)統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理、統(tǒng)一審計(jì)管理和統(tǒng)一賬號(hào)管理，實(shí)現(xiàn)以用戶為中心的賬號(hào)生命周期管理，逐步解決了技術(shù)規(guī)范的統(tǒng)一，對賬戶管理實(shí)現(xiàn)了流程化和標(biāo)準(zhǔn)化，對信息系統(tǒng)中的數(shù)據(jù)進(jìn)行了重新梳理，簡化賬號(hào)管理工作，節(jié)約了管理成本，同時(shí)促進(jìn)了源系統(tǒng)數(shù)據(jù)質(zhì)量的提升。此外，由于處于IDC的邊界，有利于保護(hù)IDC的內(nèi)部服務(wù)安全。

　　(作者單位為西南財(cái)經(jīng)大學(xué)信息與教育技術(shù)中心)