本站原创摘 要 :宝钢集团在集团总部、各子公司同时建立了覆盖各主体业务的相关系统.各系统均建设用户均可独立完成身份认证和授权.随着系统数量的不断增加,这种分散的用户身份验证带来的问题也逐渐凸显出来.集团网络接入非常广泛,接入方式多样,如何建立一个统一的集团专用网络接入管理,提升访问控制能力,提高综合防护能力成为一个新的课题.在集团层面建立一套统一认证管理平台,提供集中和便捷的身份管理、安全的认证机制、权限管理和审计,以满足企业对信息系统使用的方便性和安全管理的需求.同时在异构的系统之间实现应用系统单点登录,简化用户的登录过程,并提供统一认证怎么写作的适应多中心的高可用性解决方案.
关 键 词 :统一认证怎么写作 单点登陆 NOSQL Cassandra CA证书
1.概述
近几年,宝钢集团层面通过集团管控、共享系统的建设,在应用广度、深度方面均不断深化,信息化水平得到了较大的提高.集团总部、各子公司同时建立了覆盖各主体业务的相关系统.上述各系统均建设用户均可独立完成身份认证和授权.随着系统数量的不断增加,这种分散的用户身份验证带来的问题也逐渐凸显出来.
集团网络接入非常广泛,接入方式多样,如何建立一个统一的集团专用网络接入管理,提升访问控制能力,提高综合防护能力成为一个新的课题.
2.宝钢集团统一认证系统架构设计
统一认证系统的总体架构设计思想遵循业务专业化、怎么写作属地化、负载均衡、互为热备的原则.在总部构建宝钢集团统一认证怎么写作,包括认证怎么写作、SSO怎么写作、用户同步怎么写作等.根据系统实际运行情况可以在多个地区中心设立统一认证怎么写作分中心,平时分别怎么写作于各地区中心范围内的企业,当某一中心发生故障时又可以互为备份,保证平台的高可靠性和高稳定性.
统一认证包含统一认证怎么写作、系统资源子系统两个独立运营的子系统,通过系统间标准接口实现协同运行.
统一认证怎么写作负责对宝钢集团内所有业务系统提供用户身份认证的实时在线怎么写作.集团内的各个业务系统通过调用统一认证的实时怎么写作进行用户登陆身份的在线认证及系统访问授权检查.因此,统一认证怎么写作定位为宝钢集团信息化安全的基础怎么写作之一,必须能够保证高并发访问情况下的快速响应,并且必须具备7*24级别的高可用性.针对这些要求,一方面,通过本地CAS集群+nosql(高速分布式文件系统)实现属地内怎么写作的负载均衡及高效读缓存,以有效提高属地内的认证怎么写作性能,避免单怎么写作器故障造成的怎么写作中断事故.另一方面,通过nosql分布式文件系统的节点透明扩展特性,构造一个跨地区的分布式对等节点环,当某一节点发生故障时,相邻节点将自动接管并无缝提供透明对等怎么写作.
3.宝钢集团统一认证系统应用设计
3.1 宝钢集团统一认证系统功能设计
宝钢统一认证怎么写作采用多中心的方式,分别在不同中心部署认证怎么写作器,当一个中心故障的时候,借助全局负载均衡实现用户自动切换到其它认证中心进行登陆.宝钢统一认证怎么写作主要分为:基础怎么写作、核心怎么写作和公共怎么写作3个部分,系统结构如图所示:
3.1.1 基础怎么写作功能
基础系统功能提供平台公共的基础怎么写作,主要的功能有:
①日志管理:记录用户登录统一认证怎么写作器的相关信息,比如登录IP地址、用户、登录时间、登录成功与否等.
②安全管理:在安全方面产品进行了多个方面的设计,比如防止CSRF攻击,防止用户重复恶意登录等等.
③监控管理:对用户的登录行为进行监控,记录登录日志信息.
3.1.2 核心怎么写作功能:核心功能主要分为认证管理和用户管理.
①认证管理: 认证管理为了实现接入系统和统一认证平台之间的SSO.
②用户管理:用户管理功能主要实现登录管理.
3.1.3 公共怎么写作功能:公共怎么写作功能主要分为2个部分的内容:管理功能和扩展功能.管理功能主要有:
①系统注册管理:当接入系统完成CAS Client组件集成并测试通过以后,需要在统一认证平台进行注册.
②接入系统列表:接入系统注册完成以后,统一认证平台通过提供接入系统列表的方式,供用户快速的访问和登录这些系统,通常采用Portlet方式提供,以便跟门户等应用进行集成.
③访问授权管理:设置用户对接入系统的访问权限.
④策略管理:提供对帐号强度的管理,包括安全设置及修改、组成规则及校验策略等.具备有效期验证、提醒以及过期或输错次数锁定、激活等功能.
3.2 宝钢集团统一认证系统高可用性设计
统一认证怎么写作高可用性设计分两个技术层面:
3.2.1 网络层面
应用全局负载均衡技术的SSL网关将直接接管用户访问统一认证怎么写作器的请求,根据统一认证怎么写作器的状况进行各个认证节点间动态的分配,实现全局性的负载平衡和失效切换.
3.2.2 应用层面
采用Cassandra分布式节点技术实现统一认证怎么写作的多中心部署结构,防止一个中心认证平台瘫痪后,系统不能正常工作;在每个中心,统一认证怎么写作采用集群方式部署,防止单节点故障.
分节点设计方案如下图所示:
分节点部署方案主要应用了Cassandra分节点之间的同步技术.Cassandra的主要特点就是它不是一个数据库,而是由一堆数据库节点共同构成的一个分布式网络怎么写作,对Cassandra 的一个写操作,会被复制到其他节点上去,对Cassandra的读操作,也会被路由到某个节点上面去读取.如图所示,Cassandra 通过分布式部署后,形成了一个动态环状数据链,通过统一认证怎么写作管理功能自动的往Cassandra里面写入用户信息,统一认证怎么写作器验证的时候就访问这个动态环状数据链,只要这个环状数据链中还有一台怎么写作器可用,统一认证怎么写作就能继续提供认证怎么写作.为了提升登陆验证的高效性和稳定性,可以往这个环状数据链进行扩充Cassandra 怎么写作器节点. 3.3 企业级CA系统和电子认证系统实现集团总部数字证书体系建设
3.3.1 企业级CA系统
CA系统为用户提供数字证书申请、受理、审批、签发、下载、查询、更新、注销等生命周期管理功能.为用户提供证书申请、业务受理、下载、查询、更新等web界面,该界面集成到统一认证怎么写作.用户登录宝钢集团总部门户主页,访问个人证书管理界面进行证书业务处理;证书管理员通过后台管理页面进行证书用户身份审批、证书签发等操作实现数字证书发放.
3.3.2 电子认证系统
电子认证系统主要为应用系统提供证书认证及证书操作相关的功能接口,系统架构如图所示:
具体的功能包括:
①身份认证:验证证书身份有效性,包括个人身份认证和设备身份认证.
②数字签名:对应用传递的数据进行签名操作,提供pkcs1/Pkcs7 attach/Pkcs7 detach/xml Sign 等多种格式的数字签名的数字签名功能,提供对文件数字签名和验证功能.
③验证签名:对应用传递的数据进行验证签名操作,提供pkcs1/Pkcs7 attach/Pkcs7 detach/xml Sign 等格式的数字签名验证功能.
④证书有效性效验功能:对获得的证书进行CRL/OCSP方式的有效性验证,CRL更新配置可自动定时进行,并支持对X.509 Version 3,X.500 ,PKCS系列证书的DER和PEM格式的应用与验证.
3.3.3 证书认证流程
证书认证流程的前提是在系统初始化时由企业CA系统为用户签发硬件证书或者文件证书,用户使用证书登录宝钢集团总部门户主页,由电子认证怎么写作器进行证书认证,具体流程为:
①用户选择使用证书或者方式登陆.
②根据用户登录类型,将用户口令或者数字证书发给统一认证怎么写作.
③统一认证怎么写作将证书发给电子认证怎么写作器,电子认证怎么写作器验证用户的证书的有效性,以及证书与用户是否匹配,并返回认证结果.
④统一认证怎么写作器将认证结果返回至应用系统.
4.结论
本文主要讲述了宝钢集团统一认证系统的设计思想与实现方式,宝钢集团统一认证系统在2012年7月底已试运行,统一认证怎么写作可保证用户“一次登录,同时访问不同系统”的要求,提高用户系统操作效率,减少用户需要管理的,提高员工整体的系统使用效率.同时将宝钢集团内部的统一认证各认证节点所需的认证资源信息统一管理,集团资源管理子系统的资源信息包括用户、组织、系统及网络资源、授权(用户与资源的对应关系)等信息,实现了宝钢集团信息资源的统一管理.CA证书的使用,提供了信息系统用户实名认证管理的技术手段,配合适当的管理流程,将实现宝钢范围内的信息系统使用情况的实名认证和实名记录.