统一身份认证平台
統(tǒng)一身份認(rèn)證子系統(tǒng)(UIA:??UNIFIED IDENTITY SERVICE?)主要有三大功能模塊:
身份認(rèn)證模塊、權(quán)限管理模塊和安全審計(jì)模塊。
統(tǒng)一身份認(rèn)證(CAS)包括了統(tǒng)一身份認(rèn)證服務(wù)和IAM?單點(diǎn)登錄 SSO這兩大塊
通常情況下應(yīng)用系統(tǒng)身份認(rèn)證方式能辨別用戶的真實(shí)身份,是實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)向基層網(wǎng)安部門(mén)推廣的前提條件。建設(shè)多樣化的身份認(rèn)證手段,是提升業(yè)務(wù)系統(tǒng)安全性與靈活性的關(guān)鍵舉措。網(wǎng)綜平臺(tái)要求各類(lèi)業(yè)務(wù)系統(tǒng)使用統(tǒng)一的用戶身份;業(yè)務(wù)系統(tǒng)能夠根據(jù)實(shí)際應(yīng)用場(chǎng)景及信息內(nèi)容的重要性,控制終端的使用環(huán)境及資源。建設(shè)一套集中、統(tǒng)一、多樣化、高效的安全認(rèn)證服務(wù)與控制系統(tǒng),形成業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證和安全控制技術(shù)體系和安全服務(wù)體系,“安全中心系統(tǒng)”正是解決應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證與集中安全控制的技術(shù)平臺(tái)、服務(wù)平臺(tái)、管理平臺(tái)。
最早的統(tǒng)一身份認(rèn)證系統(tǒng)產(chǎn)品當(dāng)屬linux的LDAP目錄服務(wù)和windows的AD域目錄服務(wù)。
統(tǒng)一身份認(rèn)證的優(yōu)點(diǎn)是,采用統(tǒng)一身份認(rèn)證后,用戶只需要使用同一用戶名、同一令牌就可以登錄所有允許他登錄的系統(tǒng),用戶使用更加方便;從安全角度出發(fā),管理人員可以在認(rèn)證系統(tǒng)集中地對(duì)各個(gè)應(yīng)用系統(tǒng)上的用戶進(jìn)行管理。
統(tǒng)一身份認(rèn)證發(fā)展階段:LADP目錄服務(wù)--->集中身份驗(yàn)證服務(wù)--->雙因子認(rèn)證2FA--->多因素認(rèn)證MFA--->生物特征身份認(rèn)證-->…
單一因素認(rèn)證(用戶名+密碼+驗(yàn)證碼)短時(shí)間不會(huì)消亡,還會(huì)依然有大量的系統(tǒng)沿用這以傳統(tǒng)認(rèn)證方式...
名詞解釋:
雙因子認(rèn)證(2FA)是指結(jié)合密碼以及實(shí)物(信用卡、SMS手機(jī)、ukey、Token令牌或指紋等生物標(biāo)志)兩種條件對(duì)用戶進(jìn)行認(rèn)證的方法。這種方法已經(jīng)為企業(yè)所采用,特別是在遠(yuǎn)程訪問(wèn)時(shí),但在其它領(lǐng)域應(yīng)用還很有限。雙因子認(rèn)證的推廣之所以受阻,主要在于其需要使用額外的工具并且為IT和技術(shù)支持人員帶來(lái)負(fù)擔(dān)。其批評(píng)者還指出這種方法也容易遭受攻擊,即在非常小的時(shí)間窗口內(nèi),易受到中間人(man-in-the-middle)攻擊(這也是采用嚴(yán)格SSL處理的更多原因)。雙因子認(rèn)證,支持CAS,SAML,OAuth,OIDC等10多種認(rèn)證協(xié)議,實(shí)現(xiàn)應(yīng)用的快速集成,并通過(guò)組織架構(gòu)同步,權(quán)限管理等模塊,實(shí)現(xiàn)全平臺(tái)業(yè)務(wù)管理與訪問(wèn)控制。尤其是國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)申請(qǐng)等級(jí)保護(hù)(簡(jiǎn)稱等保)的首選。
統(tǒng)一身份認(rèn)證平臺(tái),全面支持公/私有云,大數(shù)據(jù),物聯(lián)網(wǎng)及移動(dòng)應(yīng)用的統(tǒng)一認(rèn)證與訪問(wèn)控制,構(gòu)建以應(yīng)用、賬戶、認(rèn)證、授權(quán)、審計(jì)的5A體系為架構(gòu)的企業(yè)內(nèi)控管理平臺(tái)。OpenID+OAuth+MFA(AK/SK)?
那么問(wèn)題來(lái)了:目前雙因素認(rèn)證廠商有哪些?該怎么選?
雙因素認(rèn)證是一種采用時(shí)間同步技術(shù)的系統(tǒng),采用了基于時(shí)間、事件和密鑰三變量而產(chǎn)生的一次性密碼來(lái)代替?zhèn)鹘y(tǒng)的靜態(tài)密碼。每個(gè)動(dòng)態(tài)密碼卡都有一個(gè)唯一的密鑰,該密鑰同時(shí)存放在服務(wù)器端,每次認(rèn)證時(shí)動(dòng)態(tài)密碼卡與服務(wù)器分別根據(jù)同樣的密鑰,同樣的隨機(jī)參數(shù)(時(shí)間、事件)和同樣的算法計(jì)算了認(rèn)證的動(dòng)態(tài)密碼,從而確保密碼的一致性,從而實(shí)現(xiàn)了用戶的認(rèn)證。因每次認(rèn)證時(shí)的隨機(jī)參數(shù)不同,所以每次產(chǎn)生的動(dòng)態(tài)密碼也不同。由于每次計(jì)算時(shí)參數(shù)的隨機(jī)性保證了每次密碼的不可預(yù)測(cè)性,從而在最基本的密碼認(rèn)證這一環(huán)節(jié)保證了系統(tǒng)的安全性。解決因口令欺詐而導(dǎo)致的重大損失,防止惡意入侵者或人為破壞,解決由口令泄密導(dǎo)致的入侵問(wèn)題。
目前世界上做的最早的當(dāng)屬RSA,同時(shí)也是種類(lèi)最全、專業(yè)能力最強(qiáng)的企業(yè),但可惜的是營(yíng)業(yè)執(zhí)照不是中國(guó)的,而且其價(jià)格也是高的離譜,最近國(guó)家信息安全領(lǐng)域,都強(qiáng)制要求使用國(guó)產(chǎn),無(wú)疑是將橄欖枝伸向國(guó)內(nèi)企業(yè)。
就國(guó)內(nèi)雙因素認(rèn)證廠家來(lái)講,東聯(lián)、寧頓、曦辰算是比較早的一批公司,市場(chǎng)份額做的也是非常大,最常見(jiàn)的就是我們身邊的網(wǎng)銀動(dòng)態(tài)令牌,規(guī)模龐大,用戶廣泛,就是解決用戶登錄密碼泄露造成信息及數(shù)據(jù)丟失的問(wèn)題。但就企業(yè)自身而言,其內(nèi)部一直以來(lái)就存在著安全隱患,如VPN、OWA、Vmware、Citrix、Linux服務(wù)器、Windows服務(wù)器、Route、SWitch、Web管理員等,這些密碼一旦泄露,就不是簡(jiǎn)簡(jiǎn)單單的小問(wèn)題,嚴(yán)重的將危及企業(yè)存亡,所以解決弱口令問(wèn)題是企業(yè)發(fā)展的基石。
據(jù)圈內(nèi)朋友所說(shuō),他們采用的一套CKEY DAS的雙因素動(dòng)態(tài)認(rèn)證系統(tǒng),最終實(shí)現(xiàn)登錄用戶名和密碼的同時(shí),還需要輸入一個(gè)動(dòng)態(tài)密碼,該動(dòng)態(tài)密碼的載體為軟件APP、硬件令牌或者短信,且可以結(jié)合使用,各有利弊,該動(dòng)態(tài)密碼不停的變換,共有10的6次方種可能,并且有嘗試登錄次數(shù)限制,非常有效的解決他們內(nèi)部信息安全管理的問(wèn)題,他們的應(yīng)用場(chǎng)景為openvpn和Citrix桌面虛擬化,結(jié)合CKey DAS解決弱口令的問(wèn)題,目前運(yùn)行一切正常。
傳言CKEY DAS的抱負(fù)是要與RSA一決雌雄,在目前的短信認(rèn)證、APP認(rèn)證、硬件令牌認(rèn)證的基礎(chǔ)之上,后期將增加指紋認(rèn)證、虹膜認(rèn)證等生物識(shí)別,讓企業(yè)快速跨進(jìn)未來(lái),作為IT圈中的一員,能看到國(guó)內(nèi)企業(yè)不斷趕超國(guó)外企業(yè)是非常興奮的,CKEY DAS與RSA之間的角逐我個(gè)人非常期待。
【項(xiàng)目的具體需求和詳細(xì)過(guò)程】
在項(xiàng)目開(kāi)發(fā)中,遇到了以下問(wèn)題:
項(xiàng)目中,面向的用戶有PC操作員、手機(jī)用戶等,不同的用戶登陸邏輯所在微服務(wù),不一定是一套,甚至有可能來(lái)自不同的團(tuán)隊(duì)開(kāi)發(fā)維護(hù),那么導(dǎo)致鑒權(quán)時(shí)需要到處請(qǐng)求;
解決思路:
提出一個(gè)統(tǒng)一認(rèn)證中心,對(duì)所有的登陸邏輯做統(tǒng)一處理,此服務(wù)可調(diào)用 不同的管理系統(tǒng),如:操作員系統(tǒng)、終端用戶系統(tǒng)、QQ開(kāi)放平臺(tái)等,可復(fù)合調(diào)用組裝,再將結(jié)果返回;
實(shí)現(xiàn)架構(gòu)圖:
說(shuō)明:
1. API Gateway(orange): 網(wǎng)關(guān),可進(jìn)行:分流、token認(rèn)證、API鑒權(quán)、https轉(zhuǎn)為http; (需提前將角色與API關(guān)系、應(yīng)用id與API的關(guān)系進(jìn)行存儲(chǔ),以供以后API鑒權(quán)使用)
2. Auth: 用戶管理中心,作用:管理租戶信息、操作員信息、角色、API權(quán)限等;
3. 用戶管理:市場(chǎng)用戶管理系統(tǒng),即to Client的用戶管理系統(tǒng);
4. 設(shè)備管理:是指終端設(shè)備系統(tǒng),包括設(shè)備導(dǎo)入 ,設(shè)備分配等功能;
5. 業(yè)務(wù)組件A、業(yè)務(wù)組件...:指通用的業(yè)務(wù)微服務(wù);
6. 統(tǒng)一認(rèn)證中心:指進(jìn)行操作員、to C用戶、設(shè)備所有相關(guān)系統(tǒng)登陸的統(tǒng)一處理中心,可以調(diào)用不同的系統(tǒng),進(jìn)行組織查詢,最后返回登陸所需信息,如:token、credentialToken 等;
7. API聚合組件A、API聚合組件...:對(duì)外提供API接口,一個(gè)接口可以對(duì)內(nèi)的請(qǐng)求次數(shù),以達(dá)到對(duì)外提供功能性API的目的;將來(lái)也可在此基礎(chǔ)上做一些open API的業(yè)務(wù);
?舉個(gè)栗子:
手機(jī)APP用戶登陸:
1. 用戶在手機(jī)APP端輸入用戶名、密碼,請(qǐng)求后臺(tái)時(shí),需要APP自動(dòng)加上應(yīng)用id及憑證;
2. 通過(guò) API Gateway,進(jìn)行分流、https轉(zhuǎn)換成http;?
3. 到統(tǒng)一認(rèn)證中心進(jìn)行登陸請(qǐng)求;
4. 統(tǒng)一認(rèn)證中心再訪問(wèn)Auth層,查詢到相關(guān)邏輯,再返回給統(tǒng)一認(rèn)證中心;
5. 統(tǒng)一認(rèn)證中心再訪問(wèn)to C用戶管理系統(tǒng),查詢到相關(guān)邏輯,再返回給統(tǒng)一認(rèn)證中心;
6. 統(tǒng)一認(rèn)證中心生成相應(yīng)的token,返回給前端系統(tǒng);
總結(jié)
一個(gè)IT社區(qū)很早就意識(shí)到傳統(tǒng)密碼不能確保重要數(shù)據(jù)的可靠安全性,因?yàn)樗鼈兒苋菀妆还テ啤?2FA提供了額外的數(shù)據(jù)保護(hù)措施,加強(qiáng)了公司對(duì)其信息安全的信心。上述所有的2FA解決方案均支持移動(dòng)令牌,并提供靈活的認(rèn)證方式。但是,一些供應(yīng)商已經(jīng)進(jìn)一步嘗試著重于基于風(fēng)險(xiǎn)的方法。
如果您的公司使用大量基于Saas的應(yīng)用程序,則SecureAuth IdP和Okta Adaptive MFA等解決方案將尤為適合。如果您的公司經(jīng)常與第三方組織進(jìn)行互操作,并且需要為他們提供有限的網(wǎng)絡(luò)資源訪問(wèn)權(quán)限,那么SecurAccess將是一個(gè)明智的選擇。如果您主要考慮內(nèi)部部署解決方案,那么SecurID和CA Strong Authentication是您最好的選擇。如果您喜歡高級(jí)報(bào)告和欺詐檢測(cè)功能,那么Vasco IDENTIKEY和賽門(mén)鐵克VIP值得考慮。
【參考資料】
1、設(shè)置 MFA Alibaba Cloud Documentation Center https://www.alibabacloud.com/help/zh/doc-detail/28635.htm
2、2018年多因素身份驗(yàn)證(MFA)行業(yè)現(xiàn)狀及發(fā)展趨勢(shì)分析 (目錄)_百度文庫(kù) https://wenku.baidu.com/view/90c39ea329ea81c758f5f61fb7360b4c2e3f2aec.html
3、7個(gè)最佳的雙因素認(rèn)證解決方案 https://baijiahao.baidu.com/s?id=1591527103024291221
4、首頁(yè) . 認(rèn)證云IDaaS平臺(tái) https://www.idsmanager.com/
5、統(tǒng)一身份認(rèn)證服務(wù) IAM - 管理與部署 - 產(chǎn)品 - 華為云 https://www.huaweicloud.com/product/iam.html ?(免費(fèi)的哦)
6、Wicresoft - 安全身份認(rèn)證及訪問(wèn)控制管理 http://www.wicresoft.com/cn/services.aspx?navid=247
7、身份認(rèn)證產(chǎn)品_ iToken身份認(rèn)證_管理系統(tǒng)_上訊信息 http://www.suninfo.com/view-2104.html
8、深圳竹云科技有限公司-身份認(rèn)證方案 http://www.bamboocloud.com/list_94.aspx
9、改造Nginx,讓郵件系統(tǒng)也支持雙因子驗(yàn)證 - FreeBuf互聯(lián)網(wǎng)安全新媒體平臺(tái) | 關(guān)注黑客與極客 http://www.freebuf.com/articles/network/135640.html
10、為SSH登錄建立雙因子驗(yàn)證機(jī)制(谷歌身份驗(yàn)證器) - CSDN博客 https://blog.csdn.net/bwlab/article/details/51321746
11.?https://blog.csdn.net/haponchang/article/details/93869852
總結(jié)
- 上一篇: 第一百三十四期:MySQL分页查询方法及
- 下一篇: django框架中的模型