科技平台统一身份认证

科技平台统一身份认证

国家标准 GB/T31072一2014 科技平台统一身份认证 Generalseieneeandtechnologinfrastrueture- Uniqueidentitauthentication 2014-12-22发布 2015-06-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/I31072一2014 目 次 前言 引言 范围 规范性引用文件 术语,定义和缩略语 3.1术语和定义 3.2缩略语 统一身份认证的基本要求 身份信息管理的统 4.1 4.2权限分配的统 4.3身份认证的统 4.4用户身份不可伪造和不可抵赖性 4.5平台登录的统 统一身份认证及其基本流程 概述 5.1 5.2基本流程 统一身份认证的基本功能 概述 6.1 6.2用户管理 6.3认证管理 6.4授权管理 6.5审批管理 6.6单点登录 6.7数据同步 统一身份认证的实现方式 附录A资料性附录基于数字证书和cookie的统一身份认证管理系统解决方案 附录B(资料性附录)基于SAML的统一身份认证管理系统解决方案 参考文献 图1统一身份认证的基本流程 图A.1基于数字证书和cookie的统一身份认证管理系统 图B.1基于SAML的统一身份认证管理系统
GB/T31072一2014 前 言 本标准按照GB/T1.1一2009给出的规则起草 本标准由全国科技平台标准化技术委员会(SAC/TC486)提出并归口 本标准起草单位;标准化研究院、国家科技基础条件平台中心,北京航空航天大学、中科院网络 中心 本标准主要起草人:王志强、杨青海、陈志辉期周琼琼南凯、程女范、范治成、胡永健、程苹、刘守华、 王德庆
GB/I31072一2014 引 言 随着我国科技平台建设、,运行和服务的开展,相继开发了平台系统及其门户,但由于各自为政,用户 身份信息不能共享,导致平台用户重复登录,资源访问权限不统一,影响了平台资源共享效率和信息安 全 统一身份认证可规范身份认证的基本流程,基本要求和基本功能,为实现单点登录奠定基础 本标准基于这种需求开发,本标准的实施将有利于实现科技平台总门户与各个子门户平台及资源 站点之间的统一身份认证
GB/T31072一2014 科技平台统一身份认证 范围 本标准规定了科技平台的用户统一身份认证的基本要求,基本流程和基本功能,并给出了统一身份 认证实现技术 本标准主要适用于科技平台统一身份认证系统的建设、服务和管理 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T25064一2010信息安全技术公钥基础设施电子签名格式规范 术语定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件 3.1.1 -身份认证 统一 umiqueidentityauthentieatiom 用户通过使用同一套认证凭证,可访问所有科技平台上与该用户身份对应的授权网络应用的过程 3.1.2 单点登录singlesign-on 在多个应用系统中,平台用户只需要登录一次就可以访问所有相互信任平台应用系统的过程 3.1.3 角色role 用户权限的集合 3.1.4 用户凭证eredential 通过门户认证的用户身份的合法标识 缩略语 3.2 下列缩略语适用于本文件 ControlList) ACL;访问控制列表Access LDAP;轻型目录访问协议LightweightDireetoryAccessProtocol PKI:公钥基础设施(PublicKeyInfrastructure' RBAC;基于角色访问控制RoleBasedAccesscontrol SAML:安全断言标记语SecurityAssertion MarkpLanguage) sOAP:简单对象访问协议SimpleObjectAcces、Protocol)
GB/I31072一2014 SSO;单点登录SingleSign-on SsL;安全套接层(SecureSocketsLayer) 统一身份认证的基本要求 身份信息管理的统一 4.1 应集中存储和管理用户资料,保证用户信息的一致性 4.2权限分配的统- 应集中控制和管理用户权限,根据系统中不同的用户.统一设置不同的权限 4.3身份认证的统一 应对用户的身份进行集中统一认证 4.4用户身份不可伪造和不可抵赖性 应明确科技平台成员职责,确保其身份的不可伪造性和不可抵赖性 4.5平台登录的统一 应实现科技平台的单点登录 统一身份认证及其基本流程 5.1概述 统一身份认证系统采用的应用模式是统一认证模式.它是以统一身份认证服务为核心的服务模式 统一身份认证服务负责管理和分发用户的权限和身份,为不同的应用系统提供用户和权限管理服务 通过统一身份认证系统提供的用户统一的登录界面,在完成身份认证后无须再次登录就可以使用所有 支持统一身份认证服务的其他信息服务系统提供的服务 5.2基本流程 统一身份认证的基本流程如图1所示 统一身份认证基本流程如下 a)访问请求:用户通过浏览器发出访问某平台应用系统的请求,如图1中步骤; bHTTP重定向;平台应用系统通过HTTP重定向,将用户请求重定向至统一身份认证系统,如 图1中步骤 认证请求:统一身份认证系统处理认证请求,如图1中步骤; D 认证响应:统一认证服务器提供用户的数字身份,以访问某个支持统一身份认证服务的应用系 统,并将处理之后的响应返回给用户,如图1中步骤; 访问应用:根据统一身份认证系统的响应,用户访问平台应用系统应用系统使用用户登录的 数字身份核实用户身份的合法性,防止非法用户登录,如图1中步骤 返回结果;平台应用系统进行根据用户的相应权限进行处理,并返回结果,同时进行认证声明 如图1中步骤.
GB/T31072一2014 统一身份认证系统 平台应用系统 认证声明 身份提供都 服务类供者 e A" 倒 回 店 白 响 用户主体 通过浏宛器 图1统一身份认证的基本流程 统一身份认证的基本功能 6.1概述 科技平台用户身份统一认证管理基本功能主要包括:用户管理、认证管理、授权管理、审批管理、单 点登录管理和数据同步 6.2用户管理 用户管理应实现多应用环境下的统一用户身份管理,包括用户基本信息管理、组织机构信息管理、 认证凭证管理、账号生命周期管理等功能 用户管理应具有以下功能 支持用户集中管理和分级管理模式 a b) 实现对原有应用系统的用户信息进行整合,构建完整、统一,可信的新用户资源信息库,可根据 应用需要进行数据同步; 支持用户凭证将角色、机构等相关信息的管理; d)提供用户凭证信息生命周期的管理,支持凭证的创建、注销、修改、删除等操作; 提供用户注册功能,支持用户信息的批量导人 f 支持用户分组管理模式,可基于组织机构或角色对用户进行分组管理 g)按照管理,操作,审计三权分立的设计原则,针对不同的管理要求设立相应的平台管理员,应用 系统管理员和安全审计员三类管理角色,并提供增、删、改、查功能 6.3认证管理 认证管理应实现对多个应用系统的认证人口的整合,可以针对应用系统的不同安全需求,实现多种 登录认证方式,同时具有高级别认证方式向下兼容低级别认证方式的特性 认证管理应具有以下功能 依据应用系统的不同安全需求,制定不同的认证等级策略,如;提供认证安全等级的向下兼容 策略; 系统支持用户名/口令和数字证书两种登录认证方式,按GB/T25064一2010的要求设计数字 证书,另外,系统具有良好可扩展性,可快速实现对动态口令,生物识别等其他认证方式的 支持; 针对用户名/口令认证方式,采取口令加固和强安全检测的安全配置策略,可按需设置口令长 度、复杂度,对口令进行定期修改,同时可启用自动锁定策略,在设定的时间和口令尝试次数
GB/I31072一2014 有效防范口令字典式攻击,充分保障账户安全 安全认证服务的实现方式友好,能嵌人门户,OA系统等其他应用中,通过认证服务接口,实现 对用户身份的统一认证管理 支持B/S和c/S结构的应用系统 6.4授权管理 授权管理应实现统一的访问控制和授权管理,降低多个应用系统管理维护的复杂度,有效减少人为 原因造成的安全性缺失,为业务系统维护的安全性和便利性找到合适的平衡点 授权管理应具有以下功能 支持集中授权管理和分级授权管理模式; a 支持RBAC和基于业务权限的直接授权的两种授权模型 b) 支持角色组管理机制,实现对用户的分组授权,角色组是由接人业务信息系统的各种功能权限 c 包括业务信息系统和各种业务角色)组合而成,通过定义角色组,并将用户与角色组关联的方 式进行授权,要求用户可以拥有一个或多个角色组,角色组具有机构属性,可以共享给其他下 级组织机构,在不定义角色组的情况下,能够直接将用户和功能权限关联绑定,直接控制用户 的访问权限， 可按需对应用系统的授权粒度进行安全策略配置,支持应用系统级的粗粒度授权和业务角色 级的细粒度授权,细粒度授权模式支持信息资源管理、业务角色分配和管理等功能,同时,为新 系统的接人提供扩展应用 支持分级授权管理模式,可基于应用系统或组织机构完成应用系统的分级授权管理 e 支持业务操作和安全审计权的分岗,确保统一认证管理系统的自身运行安全 f 6.5审批管理 审批管理应能实现对用户基本信息变更和访问控制授权操作进行电子化审批 审批管理应具有以下功能 a)审批流程由审批管理模块自动完成,无需人工干预,且每一步的审批记录都应被详细记录; 应支持记录结果被综合查询和统计分析; b 关键的审批步骤还应增加数字签名,达到确保责任落实到人的要求 c) 6.6单点登录 单点登录应通过整合现有的应用系统登录人口,实现多应用间的安全单点登录,为用户提供一站式 服务 单点登录应具备以下功能 a)采取ssL和Kerberos等认证协议,并按照sAML规范,通过自有的安全票据技术实现用户只 需一次登录即可在多个信息系统中自由、安全切换; b 支持ACL访问资源列表的展现,定制和集成 支持单点登录票据的签发、验证和解析,基于PKI架构,实现票据在签发、传输和存储等环节 的安全保密,有效防止篡改,重放等攻击; 支持单点登录的安全退出会话管理， d 支持验证重定向功能,当用户直接访问业务系统时,单点登录模块自动将用户引导到统一登录 窗口进行登录认证 数据同步 统一认证管理系统应通过对多应用的资源整合,建立统一的用户信息数据、组织机构数据、用户访
GB/T31072一2014 问控制授权数据等资源库,各应用系统可按需将统一认证管理系统资源库作为统一的数据源,通过数据 同步接口,实现多个应用系统间的用户信息资源共享 数据同步应具备以下功能 a)支持关系型数据库和目录服务(支持LDAP协议)两种数据存储结构的数据同步 b)支持通用协议,如sOAP协议、LDAP协议、ActiveDirectory和NIS协议等 数据同步的内容可按需配置,如按应用系统同步、按组织机构同步等; D 数据同步时间可定制 支持多种数据同步策略:操作及时同步、批量同步和操作事后同步 统一身份认证的实现方式 根帮技术实现方式不同,统一身份认证的解决力案通常包扬 -基于数字证书租cokie的统一身份认证,参见附录A 基于sAML的统一身份认证,参见附录B.
GB/I31072一2014 附 录A 资料性附录 基于数字证书和cookie的统一身份认证管理系统解决方案 A.1cookie概述 cookie是用户在浏览网页页面时,服务器发送给浏览器的体积很小的纯文本信息,它保存在客户机 的内存中,或作为文件保存在客户机的硬盘中,用户以后访问同一个web服务器时浏览器会把它们原 样发送给服务器 通过让服务器读取它原先保存到客户端的信息,网站能够为浏览者提供一系列的 方便 cookie由变量名和值组成 其属性里既有标准的cookie变量,也有用户自己创建的变量,属性中 变量是用“变量一值”形式来保存 cookie的基本格式如下 NAME=VALUEexpires=Dae;Pauh=PATH;Domain=IDoMMAIN_NAME;Seceure 其中各项以“;”分开,首先是指定cookie的名称,并为其赋值 接下来分别是cookie的有效期、 URL路径以及域名,在这几项中,除了第一项以外,其他部分均为可选项 -NAME=VALUE是每一个cookie均必须有的部分 NAME是该cookie的名称,VALUE 是该cookie的值 在字符串“NAME=VALUE”中,不含分号、逗号和空格等字符 如 NAME是roe-cookie,其VALUE是manager Expires=DATE:Expires变量是一个只写变量,它确定了cookie有效终止日期 该变量可 省,如果缺省时,则cookie的属性值不会保存在用户的硬盘中,而仅仅保存在内存当中,cookie 文件将随着浏览器的关闭而自动消失 Domain 1=DOMAIN_NAMEDon main是cookie在其内有效的主机或域名 Domain确定了哪 些Internet域中的web服务器可读取浏览器所存取的cookie,即只有来自这个域的页面才可 以使用cookie中的信息 这项设置是可选的,缺省时,设置cookie的属性值为该Web服务器 的域名 Path=PATH:Path定义了web服务器上哪些路径下的页面可获取服务器设置的cookie 该 项设置同样是可选的,如果缺省时,则Path的属性值为web服务器传给浏览器的资源的路径 名 可以看出借助对Domain和Path两个变量的设置,即可有效地控制cookie文件被访问的 范围 Scue;在.ohkie中标记该变量,表明只有当词览器相wbhsrer之间的通信协议为加曾认 证协议时,浏览器才向服务器提交相应的cookie 当前这种协议只有一种,即为HTTPs A.2数字证书概述 数字证书是一种权威性的电子文档,由权威公正的第三方机构,即cA中心签发的证书 它以数字 证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密 和解密、数字签名和签名验证,确保网上传递信息的机密性,完整性及交易的不可抵赖性
GB/T31072一2014 A.3基于数字证书和cookie的统一身份认证管理系统 基于数字证书和cookie的统一身份认证管理系统原理如图A.1所示 执行步骤如下 应用系统1 登录 访间 用户登录 认证服务器 用户 Ocookie cookie 验证cookie 应用系统2 图A.1基于数字证书和eookie的统一身份认证管理系统 用户首次访问应用系统1时,由于用户没有认证,需将用户引导至认证服务器进行认证 见图 a A.1中和 b通过认证服务器对用户进行认证后,将用户身份有效信息(如用户名等)回写至训览器端的 cookie中,同时该cookie由认证服务器数字证书加密 见图A.1中和 当用户访问应用系统2时,先将浏览器中的cookie发送至认证服务器验证cookie有效性,如 果cookie经解密后有效,则表明该用户已登录,否则需重新登录 见图A.1中和@ 如果 重新登录,则返回步骤
GB/I31072一2014 附 录 B 资料性附录 基于sAL的统一身份认证管理系统解决方案 B.1SAL概述 SAML是一个基于XML的标准,用于在不同的安全域之间交换认证和授权数据 在AML标准 定义了身份提供者和服务提供者,这两者构成了前面所说的不同的安全域， SAML体系结构主要由以下几部分组成 -断言(Assertions) SAML以断言的形式来表达主体,主体指的是在某个安全域中可以标志 的实体(人或计算机系统) 断言是sAM的基本数据对象,是对主体的身份、标识,访问权限 等信息进行的XML描述 断言是由SAML权威发布的,SAML.权威包括;认证权威、属性权 威和策略决定点 SAML规范中定义了三种断言;认证断言、属性断言和授权决策断言 对 SAMI.断言可以进行XML数字签名,以保证数据的完整性和不可否认性; 协议(Protocols) SAML.定义了一组请求/响应协议,对两点间共享sAMl数据所需交换的 报文种类和格式做出定义 用户可以向SAML权威发送请求,并从SAML权威获得响应; -绑定(Bindings) 将sAML请求/响应协议映射到标准的通信协议汇总以实现两点间的消息 传输 sAML规范定义了一种绑定,即sOAP/HTTP,将SAM请求/响应消息经过sOAP 的封装后通过HTTP进行传输; 框架(Profles) sAM1规则中定义了两大类框架:一类定义了用于描述如何从协议中嵌人或 取出sAML断言的一组规则集;另一类则定义了在使用一般的sAML协议时的一组约束规 则或是在某种使用上下文和在某种特定环境下断言的权能 各种不同的框架定义了如何将 sAML.协议、绑定和/或断言组合起来支持各种不同的使用案例 B.2基于sAMIL的统一身份认证管理系统 基于SAML的统一身份认证管理系统原理如图B.1所示 执行步骤如下 用户使用浏览器在认证服务器端登录,发送身份认证请求,见图B1中的O a b认证服务器收到请求后为用户创建相应的SAML 断言并保存,然后为SAML 断言生成一个 固定长度的Artifact,并给用户发送应答消息(URL的(seatehpart)部分包含了Artifact),见图 B.1中的; 用户访问应用系统.URL的(s、 searchpart)部分包括目的站点、Artifact和目标资源,通常通过 HTTP/SsL访问,见图B.1中的; 应用系统向认证服务器请求认证需要的该用户的相关SAML断言,见图B1中的; D 认证服务器通过收到的Artifaet解析用户请求,产生SAML响应,见图B.1中的; 认证服务器根据Arifaet向应用系统回复所请求的断言,见图B.1中的; 应用系统根据收到的断言及相关安全策略,向用户浏览器发送是否允许访问的授权应答消息、 g 见图B.1中的.
GB/T31072一2014 应用系统 用户 认证服务器 用户登录认证服务器 开始 进行身份认i证 认证服务器发送应答消息 用户请求访问应用 应用系统产 应用重定向测览器到 生SAM请求 SSOUR 浏览器重定向到ssoURL 解析用户请求, 产生SAML响应 D 返回加SAML响应给测览器 览器 返国加密SAML响应 给应用系统 判斯响应是否同意 向浏览器发送授权应答信息 基于sAMu的统一身份认证管理系统 图B.1
GB/I31072一2014 参 考 文 献 [1] GB/T19714一2005信息技术安全技术公钥基础设施证书管理协议 [2] GB/T20518一2006信息安全技术公钥基础设施数字证书格式 [31 GB/T9387.2一1995信息处理系统开放系统互连基本参考模型第2部分安全体 系结构 //docs. g/Seeurity/saml/v2.o/.15Mareh,2005. [4]SAMLV20.htt ttp: :s,.oasis-open,org 10o