【正文】 會(huì)話的加密參數(shù)。接受方接受數(shù)據(jù)并對(duì)它解密，校驗(yàn)MAC，解壓并重新組合，把結(jié)果提供給應(yīng)用程序協(xié)議。因此對(duì)于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中之重，只有加強(qiáng)人員的可信身份管理，才能做到大門的安全防護(hù)，才能為企業(yè)的管理、業(yè)務(wù)發(fā)展構(gòu)建可信的信息化環(huán)境，特別是采用數(shù)字證書認(rèn)證和應(yīng)用后，完全可以做到全過(guò)程可信身份的管理，確保每個(gè)操作都是可信得、可信賴的。a) 最終用戶c) 從賬號(hào)具體服務(wù)對(duì)象之間的映射對(duì)應(yīng)關(guān)系如下圖所示：. 用戶身份信息設(shè)計(jì). 用戶類型用戶是訪問(wèn)資源的主體，人是最主要的用戶類型：多數(shù)的業(yè)務(wù)由人發(fā)起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人控制。. 身份信息模型 身份信息模型如下：對(duì)各類用戶身份建立統(tǒng)一的用戶身份標(biāo)識(shí)。. 身份信息存儲(chǔ)為了方便對(duì)人員身份的管理，集中用戶系統(tǒng)采用樹形架構(gòu)來(lái)進(jìn)行人員組織架構(gòu)的維護(hù)，存儲(chǔ)方式主要采用LDAP。Directory（AD）Server（IDS）. 用戶生命周期管理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份標(biāo)識(shí)（數(shù)字證書的頒發(fā)）、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的自動(dòng)化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示：由于要賦予用戶可信的身份標(biāo)識(shí)，所以需要通過(guò)數(shù)字證書認(rèn)證的方式來(lái)實(shí)現(xiàn)，在用戶生命周期管理過(guò)程中圍繞用戶包含了基于帳戶的生命周期和數(shù)字證書的生命周期管理的內(nèi)容。AD域中的用戶信息變動(dòng)通過(guò)適配器被平臺(tái)感知，并自動(dòng)同步到平臺(tái)用戶身份信息存儲(chǔ)（目錄服務(wù)器）中；平臺(tái)的用戶管理員也可以直接修改平臺(tái)中集中存儲(chǔ)的用戶身份信息，再由平臺(tái)同步到各個(gè)應(yīng)用系統(tǒng)中。d) 證書有效性檢查. 集中證書管理功能特點(diǎn)集中證書管理功能的實(shí)現(xiàn)就是通過(guò)集成證書注冊(cè)服務(wù)（RA）和電子密鑰（USBKey）管理功能。通過(guò)CA的配置路徑，訪問(wèn)指定的CA系統(tǒng)；b. 證書有效性檢查，可支持與CA系統(tǒng)的CRL（證書掉銷列表）服務(wù)聯(lián)動(dòng)及手動(dòng)導(dǎo)入CRL列表。將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模塊”；c. 通過(guò)平臺(tái)與RA的集成，可支持與企業(yè)內(nèi)的多RA進(jìn)行集成，實(shí)現(xiàn)單平臺(tái)多RA的集中管理?？蓪?shí)現(xiàn)與RA的完全集成，通過(guò)平臺(tái)實(shí)現(xiàn)RA的完全接管，實(shí)現(xiàn)證書處理、證書生命周期管理、證書審批、支持多種申請(qǐng)模式、RA日志管理、密鑰管理、策略管理等。集中授權(quán)的過(guò)程，就是集中對(duì)用戶（組/角色）通過(guò)何種方式（證書/口令）使用某種資源（應(yīng)用/功能）的權(quán)限的分配。通過(guò)集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營(yíng)造一個(gè)安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對(duì)象，然后針對(duì)該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問(wèn)和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)行權(quán)限關(guān)聯(lián)，合理、有效地的訪問(wèn)控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進(jìn)行訪問(wèn)。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念：基于應(yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下的用戶職能進(jìn)行定義。資源的定義主要是方便人員、組織、角色授權(quán)時(shí)候的對(duì)象指定，最終經(jīng)過(guò)授權(quán)實(shí)現(xiàn)，什么樣的人員、組織、角色能訪問(wèn)應(yīng)用系統(tǒng)的那些功能。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查看、分配的權(quán)限。針對(duì)繼承方式，如下定義：則角色A繼承于角色B、角色C、角色D，則A同時(shí)擁有B、C、D所有的權(quán)限。7） 集中認(rèn)證管理集中認(rèn)證管理為企業(yè)的IT系統(tǒng)提供統(tǒng)一的身份認(rèn)證，是企業(yè)安全門戶入口，只有安全的認(rèn)證機(jī)制才可以保證機(jī)構(gòu)大門不被非法人員進(jìn)入；在整個(gè)認(rèn)證系統(tǒng)中其服務(wù)的對(duì)象包括企業(yè)接入統(tǒng)一認(rèn)證平臺(tái)的所有業(yè)務(wù)系統(tǒng)、管理系統(tǒng)和應(yīng)用系統(tǒng)等，統(tǒng)一認(rèn)證系統(tǒng)能夠提供快速、高效和安全的服務(wù)，應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴(kuò)展性、高可用性。b) 提供多種認(rèn)證方式. 身份認(rèn)證方式集中認(rèn)證管理系統(tǒng)支持多種身份認(rèn)證方式，包括：4) 通行碼系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心。數(shù)字證書技術(shù)是在PKI體系基礎(chǔ)上實(shí)現(xiàn)的，用戶不但可以通過(guò)數(shù)字證書完成身份認(rèn)證，還可以進(jìn)一步進(jìn)行安全加密，數(shù)字簽名等操作。Key中。. 通行碼認(rèn)證通行碼是集中認(rèn)證管理支持的一種特有認(rèn)證方式，用戶忘記其他認(rèn)證信息時(shí)，可以向管理員申請(qǐng)一次性使用的口令進(jìn)行身份認(rèn)證。. 身份認(rèn)證相關(guān)協(xié)議身份認(rèn)證管理支持的身份認(rèn)證協(xié)議有：域認(rèn)證c) Socket基于SSL協(xié)議的身份認(rèn)證方式與用戶名/口令方式相比，最顯著的優(yōu)勢(shì)在于SSL提供雙向的身份認(rèn)證，不僅可以驗(yàn)證客戶端的身份同時(shí)也可以認(rèn)證服務(wù)器的身份。采用本地用戶賬號(hào)登錄，系統(tǒng)會(huì)通過(guò)存儲(chǔ)在本機(jī)SAM數(shù)據(jù)庫(kù)中的信息進(jìn)行驗(yàn)證。用戶登錄域的過(guò)程即是活動(dòng)目錄認(rèn)證用戶的過(guò)程，具體過(guò)程如下:那么使用的是NTLM驗(yàn)證協(xié)議，其驗(yàn)證過(guò)程和“登錄到本機(jī)的過(guò)程”基本一致，唯一區(qū)別就在于驗(yàn)證賬號(hào)的工作不是在本地SAM數(shù)據(jù)庫(kù)中進(jìn)行，而是在域控制器中進(jìn)行；而對(duì)于Windows通過(guò)這種協(xié)議登錄到域，向域控制器證明自己的域賬號(hào)有效，用戶需先申請(qǐng)?jiān)试S請(qǐng)求該域的TGS(TicketGrantingAssertionSAMLSAML與其它安全性方法的最大區(qū)別在于它以有關(guān)多個(gè)主體的斷言的形式來(lái)表述安全性。任何符合SAML的軟件然后都可以斷言對(duì)用戶或數(shù)據(jù)的認(rèn)證。例如，旅游網(wǎng)站允許用戶不必進(jìn)行多次登錄即可預(yù)訂機(jī)票和租車。post命令、公鑰基礎(chǔ)結(jié)構(gòu)（publicSAML向軟件開發(fā)人員展示了如何表示用戶、標(biāo)識(shí)所需傳送的數(shù)據(jù)，并且定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過(guò)程。支持多種認(rèn)證協(xié)議，包括支持?jǐn)?shù)字證書認(rèn)證的SSL協(xié)議，管理用戶的認(rèn)證憑證信息，如數(shù)字證書等；. 單點(diǎn)登錄技術(shù)軟件應(yīng)用插件式網(wǎng)關(guān)（WEB攔截器技術(shù)）使用Web攔截器在請(qǐng)求到達(dá)之前來(lái)攔截請(qǐng)求，并在應(yīng)用外部提供認(rèn)證和授權(quán)。對(duì)于本身不能實(shí)現(xiàn)安全或難以修改的應(yīng)用，通過(guò)將安全與應(yīng)用分離，提供一種理想的安全保護(hù)方法，它還可以集中管理與安全相關(guān)的組件。通常，攔截Web代理的實(shí)現(xiàn)制要求配置，而無(wú)需修改代碼。硬件應(yīng)用網(wǎng)關(guān)(安全代理服務(wù))硬件網(wǎng)關(guān)系統(tǒng)邏輯架構(gòu)如下圖所示。數(shù)據(jù)解析模塊解析數(shù)據(jù)包Web主設(shè)備兼有交換機(jī)的功能，所有來(lái)自客戶瀏覽器的請(qǐng)求包首先到達(dá)主設(shè)備（不會(huì)直接到達(dá)從設(shè)備）主設(shè)備根據(jù)負(fù)載均衡策略分發(fā)請(qǐng)求包（可能分發(fā)給自己，也可能分發(fā)給從設(shè)備），包分發(fā)到目標(biāo)硬件網(wǎng)關(guān)后，開始后續(xù)處理，請(qǐng)求處理完成后經(jīng)由主設(shè)備返回給瀏覽器。5返回用戶可訪問(wèn)應(yīng)用列表，用戶進(jìn)入可訪問(wèn)應(yīng)用列表頁(yè)面10網(wǎng)關(guān)將用戶登錄信息注入到應(yīng)用帳戶登錄請(qǐng)求中，將請(qǐng)求發(fā)送給應(yīng)用14應(yīng)用驗(yàn)證登錄信息8） 集中審計(jì)管理集中審計(jì)系統(tǒng)提供全方位的用戶管理、證書管理、認(rèn)證管理和授權(quán)管理的審計(jì)信息，支持應(yīng)用系統(tǒng)、用戶登錄、管理操作等審計(jì)管理。包括主賬號(hào)與自然人的對(duì)應(yīng)關(guān)系，主賬號(hào)與從賬號(hào)的對(duì)應(yīng)關(guān)系，主賬號(hào)的創(chuàng)建時(shí)間、創(chuàng)建人，從賬號(hào)的創(chuàng)建時(shí)間、創(chuàng)建人，將從賬號(hào)分配給從賬號(hào)的分配時(shí)間、分配者，主、從賬號(hào)的有限期、密碼更改規(guī)則等。對(duì)身份認(rèn)證的審計(jì)。1. 若不給自己設(shè)限，則人生中就沒(méi)有限制你發(fā)揮的藩籬。有時(shí)候覺(jué)得自己像個(gè)神經(jīng)病。歲月是有情的，假如你奉獻(xiàn)給她的是一些色彩，它奉獻(xiàn)給你的也是