(中国航空工业集团公司济南特种结构研究所,山东济南,250023)
ApplicationofIdentityAuthenticationTechonolgyCombinedwithPKI/CAandSingle-Sign-On
Futingting
(ResearchInstituteforSpecialStructureofAeronauticalComposites,AVIC,Jinan,250023)
摘要:
PKI/CA技术是目前唯一能同时解决身份认证、访问控制、信息保密和抗抵赖的安全的关键技术。本文对实施身份认证、PKI/CA和单点登录技术深度融合进行了阐述。依托已有总体架构内的信息系统,完成特定企业的身份认证系统与协同门户系统集成。提出了PKI/CA和单点登录结合的身份认证技术的应用要点。PKI/CA和单点登录结合的身份认证技术,对于提升企业信息系统一站式服务水平、满足国家保密局测评要求具有重要作用。
关键字:PKI/CA身份认证单点登录应用要点
Abstract:
PKI/CAtechnologyistheonlykeytechnologythatcansolveidentityauthentication,accesscontrol,informationconfidentialityandanti-repudiationsecurityatthesametime.Thispaperexpoundstheimplementationoftheidentityauthentication,combinationofPKI/CAandsingle-sign-onofinformationsystem.Baseontheinformationsystemintheoverallarchitecture,theintegrationofidentityauthenticationsystemandcollaborativeportalsystemofaspecificenterpriseiscompleted.ThispaperputsforwardthesecurityidentityauthenticationapplicationpointapplicationofcombinationidentityPKI/CA.IdentityauthenticationtechnologycombinedwithPKI/CAandsingle-sign-onplaysanimportantroleinimprovingtheone-stopservicelevelofenterpriseinformationsystemandmeetstheevaluationrequirementsofthenationalsecretservice.
Keywords:PKI/CAIdentityAuthenticationSingle-Sign-OnApplicationPoints
1引言
信息系统一般通过“用户标识符+登录口令”方式进行身份验证,如果登录口令方式未加密、未经完整性校验,对于涉及国家秘密的信息系统,不符合国家保密局发布的《BMB17-2006涉及国家秘密的信息系统分级保护技术要求》中身份鉴别的要求,登录口令易受到猜测、窃听等攻击,给信息系统安全带来较大隐患。此外,用户需要记住各个系统的登录口令,口令须定期更改,导致经常出现用户遗忘登录口令造成用户锁定现象,因此安全保密管理员每天都要处理大量的解锁业务。
PKI/CA和单点登录结合的身份认证技术的应用包括建设基于PKI/CA技术的身份认证系统、PKI/CA和单点登录技术深度融合,采用USBKEY+登录口令方式,在信息完整性校验方面对系统内传输、存储的涉密信息进行完整性检测,及时发现涉密信息被篡改、删除、插入等情况,并生成审计日志,实现安全可靠的用户身份鉴别[1]。用户只需要输入身份认证登录口令,进入协同门户系统,通过单点登录的方式访问授权的信息系统,无需记住各个信息系统的登录口令,且身份认证登录口令不需要定期更改,减少了用户锁定的情况发生。作者在身份认证系统的实施中,对标准的身份认证系统、身份认证网关、目录服务系统功能进行了改造,对PKI/CA和单点登录结合的身份认证技术的应用提出了几点体会。
2实施步骤
2.1身份认证系统
身份认证系统基于PKI/CA技术实现,主要包含认证管理中心、密钥管理中心、注册审核中心、目录系统和加密机等,为业务应用提供数据的保密性、完整性、不可抵赖性和安全存储等安全保障,为各个信息系统提供安全认证服务。图1为身份认证网络拓扑图。
图1身份认证系统网络拓扑图
身份认证系统实施要关注以下几点。
a)承接性
考虑到与行业内部上级单位的对接,上级单位身份认证系统证书管理中心为一级,特定企业为身份认证系统证书管理中心为二级;身份认证证书命名规范充分考虑到与上级单位的一致性,制定相应的签发证书内容。
b)网关改造
部署串联的安全认证网关,特定企业选择基于安全认证网关进行单点登录,是出于无论用户在其计算机终端上使用浏览器还是GS、CS客户端,都必须首先通过身份认证安全网关登录认证的目的[3]。如图2所示,利用安全认证网关将身份认证系统的用户证书信息传递至协同门户管理系统。
图2安全认证网关部署方式
c)部署目录服务系统
特定企业为了实现统一存储用户及组织机构,提供统一认证功能,部署LDAP(LightweightDirectoryAccessProtocol)目录服务,各个信息系统账号通过人力资源系统推送至主数据管理系统,主数据管理系统将人员信息下发至信息系统,确保账号的一致性[3]。
在身份认证系统中配置LDAP目录服务系统的地址,通过身份认证系统的自动发布服务将用户证书、身份认证系统证书和黑名单信息发布到目录系统上,供信息系统查询。
2.2PKI/CA和单点登录技术深度融合
PKI/CA和单点登录技术深度融合过程中,有以下应用要点。
a)主页设置
通过域策略配置用户浏览器主页为身份认证网关管理页面。用户访问信息系统时,打开浏览器,弹出输入USBKEY的PIN码提示,通过密码验证后由身份认证网关跳转至协同门户首页,实现安全可靠的身份验证。
b)签名认证
客户端浏览器与协同门户系统服务器通过SSL握手过程中,向服务器提交用户的私玥签名公钥证书;服务器获得用户的私玥签名和公钥证书后,验证用户的私玥签名,同时根据用户公钥证书查找到对应的用户账号,SSL握手成功,以确保成功登录[4]。
用户登录后,使用身份认证系统发放的安全证书登录协同门户管理系统进行单点登录,进行用户证书信息判断,如信息正确,则登录成功。
c)安全加固
通过协同门户入口进行用户单点登录信息系统,通过DNS域名解析,把协同门户管理系统等信息系统的IP地址转换为域名方式,将域名发布至身份认证安全认证网关,用户登录应用系统时,通过证书校验身份,实现安全加固。
3结语
本文通过PKI/CA和单点登录结合的身份认证技术应用,建设基于PKI/CA技术的身份认证系统,并将PKI/CA技术和单点登录技术深度融合,阐述了身份认证技术的应用要点,构建安全、便利的统一安全身份认证系统。对于该架构的身份认证系统,基于linux架构的信息系统与其融合,还处在研究阶段,后续需要开展一系列调试开发工作,需要相关信息技术人员不断完善研究和应用工作。
参考文献:
[1]郝卓,俞能海.一个具有完备前向安全性的基于口令认证密钥协商方案[J].中国科学技术大学学报,2011,41(7):589-596.
[2]蔡银珊.基于PKI技术的应用及密钥的管理[J].电脑知识与技术.2015(05)
[3]孙立新.PKI/CA安全基础设施面临新的机遇[J].广播电视信息.2014(02)
[4]李芳.基于PKI的AdHoc网络认证系统模型研究[D].解放军信息工程大学2016