【文章內(nèi)容簡介】 從而提高客戶對企業(yè)的信任 Inter 的方案中，可以通過多個訪問點來訪問機密信息。如果沒有一個適當?shù)陌踩呗院透呒壍陌踩刂?，機密信息泄漏和數(shù)據(jù)保 護被破壞的可能性將大大增加。 （ identity）管理方案。其實現(xiàn)必須支持多種技術和設備，并具有關鍵任務級的伸縮性和可靠性。 ，需要提高個性化程度并能有效地進行活動用戶管理。 PMI 發(fā)展的幾個階段根據(jù)對身份認證和授權的處理方式的不同，以及技術發(fā)展提供的條件，身份驗證和授權的實現(xiàn)經(jīng)歷了如下幾個階段， 在第一個階段，即原始階段，一個用戶在多個用戶系統(tǒng)中都有各自的賬號，并需要分別登錄驗證。整個企業(yè)系統(tǒng)環(huán)境 中，安全問題往往出現(xiàn)在最薄弱的系統(tǒng)中，由于需要保證和維護多個系統(tǒng)的不同的安全級別，大大增加了維護的費用和成本，并且出現(xiàn)安全漏洞的機會也大大增加。 在第二個階段，為解決后臺系統(tǒng)間互操作的問題，需要在各應用系統(tǒng)間建立信任連接。建立該信任連接往往是在應用系統(tǒng)開發(fā)時就進行決策。這樣的方案一方面受到開發(fā)約束，另一方面，存在著比較大的安全隱患。 在第三階段，整個企業(yè)已經(jīng)建立起 PMI 架構，各應用間包括傳統(tǒng)應用能夠通過統(tǒng)一的架構服務實現(xiàn)集中的身份驗證和授權管理，因此大大降低了管理和維護的成本。同時可以集中的提高所有 應用在身份驗證和授權管理上的安全性。整個企業(yè)環(huán)境實現(xiàn)了 Single Sign On。 在第四個階段， PMI 擴展到了更大的架構，不同企業(yè)，不同地域間的應用和用戶能夠實現(xiàn)相互認證和授權。有多個用戶標識管理和驗證授權中心存在，相互間能夠實現(xiàn)遠程委托的身份驗證和授權。通過該架構為用戶提供了唯一可信的網(wǎng)絡身份標識并為企業(yè)間的 B2B 實現(xiàn)提供堅強的安全保證。 慧點 PMI 的安全體系模型 在可信賴的 Web Service 的安全架構中，完全需要集中地對用戶的身份進行認證并且能夠集中地進行授權管理和授權決策。 Single Sign On 能提高和加強 Web Service 參與的各系統(tǒng)的安全，并簡化企業(yè)中各個異構系統(tǒng)的安全管理和維護。因此實現(xiàn)一個完整的，先進的PMI(Privilege Management Infrastructures)是實現(xiàn)可信賴的 Web Service 的安全架構的重要基礎?；埸c的 Trusted Web Service PMI就是這樣一個先進的 PMI 架構。在慧點 PMI 的框架實現(xiàn)中，對于身份驗證和授權服務都提供了基于 SAML, XACML 的 Web Service 訪問方法?；埸c的 PMI 框架還可提供對 Legacy Application 和 Web application 的支持，并實現(xiàn)對這些應用的 Single Sign On。 在慧點的 PMI 框架的軟件產(chǎn)品中，提供 1．目錄服務使用 LDAP 協(xié)議進行訪問。提供對系統(tǒng)元數(shù)據(jù)目錄、用戶身份和屬性信息、用戶授權信息、資源和服務信息、組織和角色信息、系統(tǒng)安全策略等重要信息的層次化存儲和查詢服務。 LDAP 目錄服務可以進行分布式部署，并通過群集實現(xiàn)負載均衡和高可用性 2．管理服務（提供 JMX 管理接口）提供對系統(tǒng)元數(shù)據(jù)目錄、用戶身份和屬性信息、用戶授權信息、資 源和服務信息、組織和角色信息、系統(tǒng)安全策略等重要信息的創(chuàng)建管理和維護工作。在整個管理服務中，還實現(xiàn)了 JavaManagement Extension（ Java 管理擴展接口），能夠和整個慧點安全應用集成框架的頂層管理相集成。 3．策略服務提供單點登錄、身份驗證、授權決策、以及會話管理和審核日志服務。在策略服務中，為應用系統(tǒng)的授權決策請求提供決策服務。 4． Policy Agent Policy Agent 充當受保護 Web 服務器以及應用服務器和應用程序的安全策略代理。它能安裝在各種類型的 Web Server，如 Apache、 IIS、 Domino 等服務器上，截聽用戶的訪問請求，并通過訪問 Policy Server 的策略服務，來確定用戶是否具允許該訪問。 Policy Agent 還能為參與 Single Sign On 場景中的原有的遺留應用提供 Single Sign On 的支持。 在 PMI Policy Server 的策略服務中包括 Single Sign On 提供對單點登錄的支持 身份認證服務通過 Plugable 方式提供對多種驗證機制的身份認證服務 授權和訪問控制服務判斷和決策用戶對應用的訪問是 否具有所需的權限。 Session 服務維護用戶的 Session 信息和有效期。該 Session 信息被用于校驗 Single Sign On 令牌。 Logging 服務將各種安全事件記入日志，并提供對日志的瀏覽和分析服務。 SmartDot PMI 的 Policy Server 通過 Policy 中 ACL 來保護一個組織機構的數(shù)據(jù)和 Web 資源受到未被授權的訪問。如果一個用戶想要訪問這些資源，它必須先提交起信任狀并通過 Policy Server 的Authentication 服務進行身份驗證。該用戶通過驗證后， Policy Server將會根據(jù)應用于該用戶的一系列 policy 來確定用戶對該資源的訪問授權。 Policy Server 還給用戶提供了 Single Sign On 的能力，通過Session 服務和 SSOToken 來記錄和證明用戶已經(jīng)在一個站點 /應用登錄驗證過，該用戶在訪問其他站點 /應用時無需再次認證。 在 PMI Policy Server 的管理服務中包括 Policy 管理是用來為組織或用戶創(chuàng)建和維護訪問控制規(guī)則（ rule）以及策略的，授予或拒絕用戶對資源的訪問。 Identity 管理是用來創(chuàng)建和維護用戶， 角色，用戶組，組織和組織單元的。 Config 管理用來配置和管理 Policy Server 本身的元數(shù)據(jù)的。 Resource 管理是用來注冊維護應用服務信息，以便在第一層能夠控制用戶對應用的訪問。同時 Resource 還能夠管理和維護某些需要保護的資源（如 Web 頁面）。 在慧點 PMI 中，身份標識，屬性，權限等信息都在一個基于策略的可信 WebService 網(wǎng)絡框架中維護。通過提供 PMI 的軟件框架，來管理這些信息的生命周期以及其屬性，權限的使用。通過 PMI，能提供對分離的網(wǎng)絡應用的單點登錄能力，并保證在 用戶管理中，用戶和身份的一對一關系。身份管理和目錄服務、策略控制、訪問管理一起構成了慧點的可信的基于 Web Service 的 PMI 框架基礎，并且與PKI 安全平臺一起，通過提供數(shù)字證書、身份識別、基于角色的授權服務構成 PMI 的服務體系?；埸c PMI 還可與外部的基于 Liberty 標準的身份服務互操作。從而建立聯(lián)邦方式的網(wǎng)絡身份管理服務 慧點PMI 的 Single Sign On 實現(xiàn) Single Sing On(單點登錄 )就是要實現(xiàn)通過一次登錄自動訪問的所有授權的應用軟件系統(tǒng)，從而提高整體安全 性，而且無需記憶多種 登錄過程、 ID 或口令。通過單點登錄能即時訪問最終用戶執(zhí)行任務所需的資源，從而提高生產(chǎn)效率。從管理角度看， Single Singon有助于減少口令重復設置請求，使技術人員有時間去集中精力執(zhí)行更重要的任務。 為什么需要 Single Sign On 口令越多，安全風險越大 在當今分布式計算環(huán)境中，用戶每天都要登錄到許多不同的應用軟件和系繞，包括電子郵件、網(wǎng)絡、數(shù)據(jù)庫和 Web 服務器。每個系統(tǒng)一般都要求遵照一定的安全程序，即要求用戶輸入用戶 ID 和口令。用戶漫游的系統(tǒng)越多，出錯的可能性就越大，安 全性相應地也就越低。如果用戶忘記了口令，就不能執(zhí)行任務，從而降低生產(chǎn)效率。最終用戶必須請求管理員幫助，在重新獲得口令之前只能等待，這樣造成了系統(tǒng)和安全管理員資源的浪費。為牢記登錄信息，用戶一般會簡化密碼，為多個系統(tǒng)使用相同的口令，或創(chuàng)建一個口令 ?176。列表 ?177。 ?a?a這是會危及公司信息保密性的幾種常用做法。 而通過 Single Sign On，用戶可以設置并僅需要記住一個復雜的口令，并且可以根據(jù)策略可以定期更換該口令，從而提高了用戶口令的安全性。 需要簡化用戶訪問 借助慧點 PMI Single SingOn，用戶只需一個用戶 ID 和口令。一旦認證結束，用戶可以立即訪問所有被授權的系統(tǒng)和應用軟件。在此條件下，管理員無需修改或干涉用戶登錄就能實施希望得到的安全控制。 需要簡化用戶帳號和口令的系統(tǒng)管理 如果沒有使用 Single Sign On，則各個系統(tǒng)將存在各自獨立的用戶和授權管理。這樣就出現(xiàn)了在企業(yè)中，如果增加一個用戶，則每個 應用系統(tǒng)都要添加；刪除一個用戶，則每個應用系統(tǒng)都要刪除。隨著這些獨立應用系統(tǒng)的增加，用戶帳號管理將會帶來很大的管理負擔，并由此可能造成系統(tǒng)的安全漏洞。并且由于系統(tǒng)間的用戶信 息沒有辦法相互共享或信任，一個系統(tǒng)的用戶無法直接訪問另一個系統(tǒng)。 使用 Single Sign On 可以集中地提高整個系統(tǒng)的安全性 可以對 Single Sign On 定義多個認證和安全級別，通過配置或用戶訪問敏感應用時， Single Sign On 會要求用戶通過嚴格的認證機制進行認證，如基于智能卡、指紋識別等，系統(tǒng)能根據(jù)被保護資源的密級制定和加強登錄過程并結合數(shù)字證書對用戶的身份進行有效的驗證。這樣就統(tǒng)一提高了原本只通過簡單用戶名和口令方式進行用戶驗證的安全性弱的應用的安全性，并為整個系統(tǒng)的應用統(tǒng)一提 供了可靠的安全服務，而不需要每個應用程序單獨開發(fā)復雜的高難度的登錄和驗證程序?；埸c PMI Single Sing On 支持多種第三方用戶認證和應用授權方法。 Single Sign On 的實現(xiàn) 慧點 PMI Single Sign On 采用了靈活的可插式（ Plugable）的框架，支持多種單點登錄的實現(xiàn)方式，可根據(jù)系統(tǒng)實施中的應用類型和應用分布的實際情況來靈活的進行部署和使用。 訪問方式 慧點 PMI Single Sign On 支持基于統(tǒng)一認證方式的 Single Sign On 和基于代理的認證方式的 Single Sign On: 對于統(tǒng)一認證方式的 Single Sign On 存在一個集中的用戶登錄域，用戶在該域上登錄，驗證通過后，系統(tǒng)將會生成一個訪問令牌。在隨后的訪問中，這個訪問令牌將會直接傳遞到要訪問的應用系統(tǒng)中。應用系統(tǒng)信任該令牌并根據(jù)該令牌提供的用戶信息決策用戶的授權。對參加統(tǒng)一認證方式的應用系統(tǒng)，稱 這些應用系統(tǒng)為 SingleSign On 的 Partner（伙伴）。要成為 Single Sign On 的 Partner，應用系統(tǒng)需要使用慧點 PMI 的客戶端組件 或能夠處理 SAML。因此對于 Partner,一般都是新開發(fā)的應用或能夠進行改造的應用?？梢酝ㄟ^ Java GSSAPI 使用 Kerberos 來實現(xiàn)統(tǒng)一認證方式的 Single SignOn。 基于代理訪問方式的 Single Sign On 在一個基于代理 Single Sign On 中，有一個自動地為不同的應用程序認證用戶身份的代理程序。這個代理程序需要設計有不同的功能。比如 ,它可以使用口令表或加密密鑰來自動地將認證的負擔從用戶移開。代理也能被放在服務器上面，在服務器的認證系統(tǒng)和客戶端認證方法之間充當 一個 翻譯 。用戶單點登錄提供的認證信息被代理用來獲取相應應用程序的映射用戶認證和授權信息。 當用戶通過 Web Portal 訪問非 Partner 的應用系統(tǒng)時，可以通過 Portal 提供的 Proxy Portlet 來自動地登錄這些應用系統(tǒng)，并通過Proxy Portlet 訪問這些應用系統(tǒng)。 JAAS(Java Authentication and Authorization Service) 慧點 PMI 使用 JAAS 來為 java 應用實現(xiàn) Single Sign On。 JAAS實現(xiàn)了一 個 Plugable 的驗證和授權框架。能夠將現(xiàn)有的安全服務作為插件插入。因為 JAAS 對于授權的檢查構成了一個檢查堆棧，因此通過 JAAS 的驗證和授權框架可以全面的保護 Java 應用程序的每一部分，而不僅僅是只能在應用程序的用戶訪問接口上。 JAAS 支持層次化的，基于角色的訪問控制，并全面支持 Java2 的權限模型。利用 LDAP方式的 JAAS實現(xiàn)，能夠集中的管理用戶以及訪問控制策略，并能夠有很好的伸縮性支持數(shù)量龐大的用戶。 SAML(Security Assertion Markup Language) 慧點 PMI還實現(xiàn)了基于 SAML和