统一身份认证平台
統(tǒng)一身份認證子系統(tǒng)(UIA:??UNIFIED IDENTITY SERVICE?)主要有三大功能模塊:
身份認證模塊、權(quán)限管理模塊和安全審計模塊。
統(tǒng)一身份認證(CAS)包括了統(tǒng)一身份認證服務(wù)和IAM?單點登錄 SSO這兩大塊
通常情況下應(yīng)用系統(tǒng)身份認證方式能辨別用戶的真實身份,是實現(xiàn)業(yè)務(wù)系統(tǒng)向基層網(wǎng)安部門推廣的前提條件。建設(shè)多樣化的身份認證手段,是提升業(yè)務(wù)系統(tǒng)安全性與靈活性的關(guān)鍵舉措。網(wǎng)綜平臺要求各類業(yè)務(wù)系統(tǒng)使用統(tǒng)一的用戶身份;業(yè)務(wù)系統(tǒng)能夠根據(jù)實際應(yīng)用場景及信息內(nèi)容的重要性,控制終端的使用環(huán)境及資源。建設(shè)一套集中、統(tǒng)一、多樣化、高效的安全認證服務(wù)與控制系統(tǒng),形成業(yè)務(wù)系統(tǒng)的統(tǒng)一認證和安全控制技術(shù)體系和安全服務(wù)體系,“安全中心系統(tǒng)”正是解決應(yīng)用系統(tǒng)統(tǒng)一認證與集中安全控制的技術(shù)平臺、服務(wù)平臺、管理平臺。
最早的統(tǒng)一身份認證系統(tǒng)產(chǎn)品當(dāng)屬linux的LDAP目錄服務(wù)和windows的AD域目錄服務(wù)。
統(tǒng)一身份認證的優(yōu)點是,采用統(tǒng)一身份認證后,用戶只需要使用同一用戶名、同一令牌就可以登錄所有允許他登錄的系統(tǒng),用戶使用更加方便;從安全角度出發(fā),管理人員可以在認證系統(tǒng)集中地對各個應(yīng)用系統(tǒng)上的用戶進行管理。
統(tǒng)一身份認證發(fā)展階段:LADP目錄服務(wù)--->集中身份驗證服務(wù)--->雙因子認證2FA--->多因素認證MFA--->生物特征身份認證-->…
單一因素認證(用戶名+密碼+驗證碼)短時間不會消亡,還會依然有大量的系統(tǒng)沿用這以傳統(tǒng)認證方式...
名詞解釋:
雙因子認證(2FA)是指結(jié)合密碼以及實物(信用卡、SMS手機、ukey、Token令牌或指紋等生物標(biāo)志)兩種條件對用戶進行認證的方法。這種方法已經(jīng)為企業(yè)所采用,特別是在遠程訪問時,但在其它領(lǐng)域應(yīng)用還很有限。雙因子認證的推廣之所以受阻,主要在于其需要使用額外的工具并且為IT和技術(shù)支持人員帶來負擔(dān)。其批評者還指出這種方法也容易遭受攻擊,即在非常小的時間窗口內(nèi),易受到中間人(man-in-the-middle)攻擊(這也是采用嚴格SSL處理的更多原因)。雙因子認證,支持CAS,SAML,OAuth,OIDC等10多種認證協(xié)議,實現(xiàn)應(yīng)用的快速集成,并通過組織架構(gòu)同步,權(quán)限管理等模塊,實現(xiàn)全平臺業(yè)務(wù)管理與訪問控制。尤其是國內(nèi)互聯(lián)網(wǎng)企業(yè)申請等級保護(簡稱等保)的首選。
統(tǒng)一身份認證平臺,全面支持公/私有云,大數(shù)據(jù),物聯(lián)網(wǎng)及移動應(yīng)用的統(tǒng)一認證與訪問控制,構(gòu)建以應(yīng)用、賬戶、認證、授權(quán)、審計的5A體系為架構(gòu)的企業(yè)內(nèi)控管理平臺。OpenID+OAuth+MFA(AK/SK)?
那么問題來了:目前雙因素認證廠商有哪些?該怎么選?
雙因素認證是一種采用時間同步技術(shù)的系統(tǒng),采用了基于時間、事件和密鑰三變量而產(chǎn)生的一次性密碼來代替?zhèn)鹘y(tǒng)的靜態(tài)密碼。每個動態(tài)密碼卡都有一個唯一的密鑰,該密鑰同時存放在服務(wù)器端,每次認證時動態(tài)密碼卡與服務(wù)器分別根據(jù)同樣的密鑰,同樣的隨機參數(shù)(時間、事件)和同樣的算法計算了認證的動態(tài)密碼,從而確保密碼的一致性,從而實現(xiàn)了用戶的認證。因每次認證時的隨機參數(shù)不同,所以每次產(chǎn)生的動態(tài)密碼也不同。由于每次計算時參數(shù)的隨機性保證了每次密碼的不可預(yù)測性,從而在最基本的密碼認證這一環(huán)節(jié)保證了系統(tǒng)的安全性。解決因口令欺詐而導(dǎo)致的重大損失,防止惡意入侵者或人為破壞,解決由口令泄密導(dǎo)致的入侵問題。
目前世界上做的最早的當(dāng)屬RSA,同時也是種類最全、專業(yè)能力最強的企業(yè),但可惜的是營業(yè)執(zhí)照不是中國的,而且其價格也是高的離譜,最近國家信息安全領(lǐng)域,都強制要求使用國產(chǎn),無疑是將橄欖枝伸向國內(nèi)企業(yè)。
就國內(nèi)雙因素認證廠家來講,東聯(lián)、寧頓、曦辰算是比較早的一批公司,市場份額做的也是非常大,最常見的就是我們身邊的網(wǎng)銀動態(tài)令牌,規(guī)模龐大,用戶廣泛,就是解決用戶登錄密碼泄露造成信息及數(shù)據(jù)丟失的問題。但就企業(yè)自身而言,其內(nèi)部一直以來就存在著安全隱患,如VPN、OWA、Vmware、Citrix、Linux服務(wù)器、Windows服務(wù)器、Route、SWitch、Web管理員等,這些密碼一旦泄露,就不是簡簡單單的小問題,嚴重的將危及企業(yè)存亡,所以解決弱口令問題是企業(yè)發(fā)展的基石。
據(jù)圈內(nèi)朋友所說,他們采用的一套CKEY DAS的雙因素動態(tài)認證系統(tǒng),最終實現(xiàn)登錄用戶名和密碼的同時,還需要輸入一個動態(tài)密碼,該動態(tài)密碼的載體為軟件APP、硬件令牌或者短信,且可以結(jié)合使用,各有利弊,該動態(tài)密碼不停的變換,共有10的6次方種可能,并且有嘗試登錄次數(shù)限制,非常有效的解決他們內(nèi)部信息安全管理的問題,他們的應(yīng)用場景為openvpn和Citrix桌面虛擬化,結(jié)合CKey DAS解決弱口令的問題,目前運行一切正常。
傳言CKEY DAS的抱負是要與RSA一決雌雄,在目前的短信認證、APP認證、硬件令牌認證的基礎(chǔ)之上,后期將增加指紋認證、虹膜認證等生物識別,讓企業(yè)快速跨進未來,作為IT圈中的一員,能看到國內(nèi)企業(yè)不斷趕超國外企業(yè)是非常興奮的,CKEY DAS與RSA之間的角逐我個人非常期待。
【項目的具體需求和詳細過程】
在項目開發(fā)中,遇到了以下問題:
項目中,面向的用戶有PC操作員、手機用戶等,不同的用戶登陸邏輯所在微服務(wù),不一定是一套,甚至有可能來自不同的團隊開發(fā)維護,那么導(dǎo)致鑒權(quán)時需要到處請求;
解決思路:
提出一個統(tǒng)一認證中心,對所有的登陸邏輯做統(tǒng)一處理,此服務(wù)可調(diào)用 不同的管理系統(tǒng),如:操作員系統(tǒng)、終端用戶系統(tǒng)、QQ開放平臺等,可復(fù)合調(diào)用組裝,再將結(jié)果返回;
實現(xiàn)架構(gòu)圖:
說明:
1. API Gateway(orange): 網(wǎng)關(guān),可進行:分流、token認證、API鑒權(quán)、https轉(zhuǎn)為http; (需提前將角色與API關(guān)系、應(yīng)用id與API的關(guān)系進行存儲,以供以后API鑒權(quán)使用)
2. Auth: 用戶管理中心,作用:管理租戶信息、操作員信息、角色、API權(quán)限等;
3. 用戶管理:市場用戶管理系統(tǒng),即to Client的用戶管理系統(tǒng);
4. 設(shè)備管理:是指終端設(shè)備系統(tǒng),包括設(shè)備導(dǎo)入 ,設(shè)備分配等功能;
5. 業(yè)務(wù)組件A、業(yè)務(wù)組件...:指通用的業(yè)務(wù)微服務(wù);
6. 統(tǒng)一認證中心:指進行操作員、to C用戶、設(shè)備所有相關(guān)系統(tǒng)登陸的統(tǒng)一處理中心,可以調(diào)用不同的系統(tǒng),進行組織查詢,最后返回登陸所需信息,如:token、credentialToken 等;
7. API聚合組件A、API聚合組件...:對外提供API接口,一個接口可以對內(nèi)的請求次數(shù),以達到對外提供功能性API的目的;將來也可在此基礎(chǔ)上做一些open API的業(yè)務(wù);
?舉個栗子:
手機APP用戶登陸:
1. 用戶在手機APP端輸入用戶名、密碼,請求后臺時,需要APP自動加上應(yīng)用id及憑證;
2. 通過 API Gateway,進行分流、https轉(zhuǎn)換成http;?
3. 到統(tǒng)一認證中心進行登陸請求;
4. 統(tǒng)一認證中心再訪問Auth層,查詢到相關(guān)邏輯,再返回給統(tǒng)一認證中心;
5. 統(tǒng)一認證中心再訪問to C用戶管理系統(tǒng),查詢到相關(guān)邏輯,再返回給統(tǒng)一認證中心;
6. 統(tǒng)一認證中心生成相應(yīng)的token,返回給前端系統(tǒng);
總結(jié)
一個IT社區(qū)很早就意識到傳統(tǒng)密碼不能確保重要數(shù)據(jù)的可靠安全性,因為它們很容易被攻破。 2FA提供了額外的數(shù)據(jù)保護措施,加強了公司對其信息安全的信心。上述所有的2FA解決方案均支持移動令牌,并提供靈活的認證方式。但是,一些供應(yīng)商已經(jīng)進一步嘗試著重于基于風(fēng)險的方法。
如果您的公司使用大量基于Saas的應(yīng)用程序,則SecureAuth IdP和Okta Adaptive MFA等解決方案將尤為適合。如果您的公司經(jīng)常與第三方組織進行互操作,并且需要為他們提供有限的網(wǎng)絡(luò)資源訪問權(quán)限,那么SecurAccess將是一個明智的選擇。如果您主要考慮內(nèi)部部署解決方案,那么SecurID和CA Strong Authentication是您最好的選擇。如果您喜歡高級報告和欺詐檢測功能,那么Vasco IDENTIKEY和賽門鐵克VIP值得考慮。
【參考資料】
1、設(shè)置 MFA Alibaba Cloud Documentation Center https://www.alibabacloud.com/help/zh/doc-detail/28635.htm
2、2018年多因素身份驗證(MFA)行業(yè)現(xiàn)狀及發(fā)展趨勢分析 (目錄)_百度文庫 https://wenku.baidu.com/view/90c39ea329ea81c758f5f61fb7360b4c2e3f2aec.html
3、7個最佳的雙因素認證解決方案 https://baijiahao.baidu.com/s?id=1591527103024291221
4、首頁 . 認證云IDaaS平臺 https://www.idsmanager.com/
5、統(tǒng)一身份認證服務(wù) IAM - 管理與部署 - 產(chǎn)品 - 華為云 https://www.huaweicloud.com/product/iam.html ?(免費的哦)
6、Wicresoft - 安全身份認證及訪問控制管理 http://www.wicresoft.com/cn/services.aspx?navid=247
7、身份認證產(chǎn)品_ iToken身份認證_管理系統(tǒng)_上訊信息 http://www.suninfo.com/view-2104.html
8、深圳竹云科技有限公司-身份認證方案 http://www.bamboocloud.com/list_94.aspx
9、改造Nginx,讓郵件系統(tǒng)也支持雙因子驗證 - FreeBuf互聯(lián)網(wǎng)安全新媒體平臺 | 關(guān)注黑客與極客 http://www.freebuf.com/articles/network/135640.html
10、為SSH登錄建立雙因子驗證機制(谷歌身份驗證器) - CSDN博客 https://blog.csdn.net/bwlab/article/details/51321746
11.?https://blog.csdn.net/haponchang/article/details/93869852
總結(jié)
- 上一篇: 第一百三十四期:MySQL分页查询方法及
- 下一篇: django框架中的模型