科 研 信 息 化 技 术 与 应 用 2015, 6(1): 41 49 应 用 / APPLICATION 身 份 管 理 发 展 趋 势 和 中 国 科 学 院 身 份 管 理 系 统 薛 聪 1,2, 向 继 1 1, 高 能 1. 中 国 科 学 院 信 息 工 程 研 究 所 信 息 安 全 国 家 重 点 实 验 室, 北 京 100093 2. 中 国 科 学 院 大 学, 北 京 100049 摘 要 : 用 户 通 过 使 用 网 络 身 份 访 问 互 联 网 应 用 及 服 务 身 份 管 理 整 合 了 用 户 身 份 信 息 保 护 和 资 源 访 问 控 制 等 诸 多 技 术, 为 优 化 用 户 体 验 奠 定 基 础 本 文 基 于 网 络 身 份 特 点 及 身 份 管 理 基 础 框 架, 分 析 了 身 份 管 理 的 发 展 趋 势, 并 介 绍 了 基 于 云 架 构 的 中 国 科 学 院 统 一 身 份 管 理 系 统 应 用 案 例, 该 系 统 使 用 单 点 登 录 多 重 认 证 和 多 级 安 全 策 略, 实 现 了 应 用 服 务 间 网 络 身 份 的 安 全 高 效 部 署 及 融 合 关 键 词 : 身 份 管 理 ; 身 份 管 理 系 统 ; 单 点 登 录 doi:10.11871/j.issn.1674-9480.2015.01.005 The Trend of Identity Management and the Identity Management System of Chinese Academy of Sciences Xue Cong 1,2, Xiang Ji 1, Gao Neng 1 1.State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China 2.University of Chinese Academy of Sciences, Beijing 100049, China Abstract: Generally, the internet applications and services need to be able to accept user network identities. Identity Management Technology integrates identity data protection and resource access control technology, and provides the foundation for optimizing user experience. Based on the characteristics 基 金 项 目 : 中 国 科 学 院 十 二 五 信 息 化 专 项 项 目 中 国 科 学 院 网 络 安 全 保 障 与 服 务 工 程 统 一 认 证 管 理 系 统 及 其 应 用 (XXH12501-02) 41
科 研 信 息 化 技 术 与 应 用,2015, 6 (1) of identity and the framework of identity management, this paper analyses the development trend of Identity Management, and introduces the Identity Management System of Chinese Academy of Sciences in cloud architecture. This system uses single sign-on, multiple authentication and multilevel security policies so as to implement the secure and efficient deployment of identities between various applications or services. Keywords: identity management; identity management system; single sign-on 引 言 随 着 购 物 社 交 网 站 资 源 协 作 等 多 种 互 联 网 应 用 的 发 展, 人 们 对 使 用 远 程 资 源 和 服 务 更 加 依 赖, 网 络 生 活 已 经 平 行 于 现 实 世 界, 使 更 方 便 的 信 息 交 流 方 式 成 为 可 能 在 网 络 空 间 中, 每 个 用 户 使 用 一 段 代 表 性 信 息 作 为 网 络 身 份 (Identity), 让 不 同 地 方 的 用 户 和 各 种 各 样 的 互 联 网 应 用 识 别 自 己, 从 而 进 行 更 加 个 性 便 捷 的 信 息 交 流 例 如, 在 网 上 购 物 时, 我 们 的 个 人 喜 好 能 被 系 统 预 先 处 理 并 保 存 到 服 务 器, 在 使 用 同 一 账 户 时, 不 需 要 重 复 选 择, 相 关 信 息 就 能 被 准 确 调 入 ; 不 同 的 企 业 用 户, 通 过 向 云 计 算 服 务 商 声 明 自 己 的 身 份, 定 制 化 的 利 用 网 络 中 计 算 及 存 储 资 源 用 户 的 身 份, 已 成 为 网 络 应 用 提 供 优 质 用 户 体 验 的 基 础 与 此 同 时, 身 份 信 息 的 应 用 也 带 来 了 用 户 隐 私 泄 露 资 源 非 法 访 问 等 安 全 问 题, 美 国 每 年 由 于 账 号 被 盗 隐 私 泄 露 等 身 份 相 关 的 安 全 事 件 带 来 的 经 济 损 失 达 到 数 十 亿 美 元 因 此, 用 户 的 身 份 信 息 需 要 身 份 管 理 技 术, 使 网 络 身 份 信 息 既 被 快 速 部 署 及 识 别, 又 不 被 他 人 篡 改 冒 用 多 种 身 份 管 理 技 术 从 而 应 运 而 生, 并 带 来 了 巨 大 的 商 业 机 遇, 如 个 性 化 广 告 推 荐 企 业 跨 国 合 作 等, 身 份 服 务 已 成 为 网 络 服 务 的 新 兴 领 域 同 时, 安 全 高 效 的 身 份 管 理 技 术 得 到 了 科 研 和 商 业 的 高 度 重 视, 相 关 组 织 及 法 律 机 构 也 在 积 极 推 动 开 放 的 标 准 化 身 份 协 议 发 展 OpenID 身 份 识 别 框 架 的 用 户 总 量 已 经 超 过 100 亿,Facebook Google 雅 虎 等 主 流 服 务 提 供 方 均 已 采 用 ;Shibboleth 身 份 协 议 在 美 国 Internet2 推 动 下 已 被 100 多 个 高 校 和 组 织 使 用 本 文 将 从 三 部 分 系 统 的 介 绍 身 份 管 理 : 第 一 部 分 介 绍 网 络 身 份 的 定 义 及 使 用, 以 及 身 份 管 理 基 础 框 架 ; 第 二 部 分 将 结 合 身 份 管 理 现 状 分 析 其 发 展 趋 势, 第 三 部 分 将 介 绍 了 中 国 科 学 院 的 应 用 案 例, 分 析 了 该 身 份 管 理 系 统 的 主 要 框 架 及 安 全 性 1 身 份 管 理 框 架 现 实 生 活 中, 身 份 通 常 包 含 特 定 机 构 已 证 明 属 实 的 个 人 属 性 信 息 ( 如 名 字 身 份 证 号 码 等 ), 而 网 络 身 份 按 照 国 际 通 信 组 织 Y.2720 的 定 义, 包 含 三 个 基 本 的 数 据 字 段 : 标 识 符 凭 据 和 属 性 值 标 识 符 唯 一 代 表 用 户, 如 ID URI 等 ; 凭 据 是 部 分 或 完 整 的 身 份 证 明, 如 口 令 数 字 证 书 指 纹 Kerberos 票 据 SAML 断 言 等 ; 属 性 值 通 常 包 括 一 些 用 户 基 本 信 息, 如 姓 名 生 日 等 一 个 用 户 在 多 个 系 统 上 可 以 有 多 个 网 络 身 份 网 络 身 份 管 理 技 术, 整 合 了 用 户 身 份 信 息 和 资 源 访 问 控 制 等 诸 多 技 术, 降 低 了 应 用 服 务 提 供 方 维 护 用 户 身 份 信 息 的 成 本, 同 时 保 护 身 份 在 其 生 命 周 期 内 的 完 整 性 网 络 身 份 管 理 必 须 能 够 保 证 身 份 信 息 的 机 密 性 完 整 性 和 可 用 性, 并 能 够 防 止 窃 听 重 放 篡 改 删 除 中 间 人 身 份 盗 用 和 钓 鱼 等 攻 击 在 身 份 管 理 中 涉 及 多 个 当 事 方 使 用 或 管 理 网 络 身 份 及 解 决 方 案, 将 身 份 管 理 的 当 事 方 可 分 为 以 下 四 类 主 体 即 用 户, 是 网 络 身 份 所 对 应 的 实 体, 一 个 主 体 通 常 有 多 种 身 份 属 性, 作 为 身 份 管 理 技 术 来 说, 保 护 用 户 的 身 份 属 性 不 被 误 用 是 目 前 的 热 点 问 题 身 份 提 供 方 为 主 体 生 成 并 指 派 特 定 身 份 属 性 值 以 及 认 证 凭 据 ( 例 如 证 书 ) 身 份 属 性 值 在 身 份 提 供 方 之 间 可 以 绑 定 例 如, 学 籍 管 理 系 统 中, 学 籍 42
薛 聪 等 : 身 份 管 理 发 展 趋 势 和 中 国 科 学 院 身 份 管 理 系 统 与 学 生 的 身 份 属 性 ( 学 号 选 课 科 目 ) 绑 定, 学 籍 又 可 与 其 他 身 份 凭 据 ( 如 档 案 身 份 证 号 等 ) 建 立 身 份 信 息 依 赖 关 系 依 赖 方 即 网 络 应 用 或 者 服 务, 为 用 户 提 供 服 务 或 资 源 接 入 许 可, 是 要 求 用 户 提 交 身 份 凭 据 的 一 方 例 如, 大 学 的 选 课 系 统, 用 户 使 用 该 服 务 时 需 提 交 自 己 的 身 份 凭 据, 而 这 个 身 份 凭 据 从 身 份 提 供 方 学 籍 系 统 中 获 取 的 控 制 方 专 指 可 获 取 身 份 信 息 的 执 法 机 构 和 监 察 部 门 例 如, 为 取 证 调 查 需 要 获 取 特 定 用 户 身 份 信 息 的 使 用 记 录 图 1 显 示 了 各 个 参 与 方 之 间 的 关 系, 身 份 提 供 方 和 依 赖 方 间 的 关 联 减 轻 身 份 提 供 方 和 主 体 间 的 身 份 管 理 负 担, 主 体 不 用 管 理 多 个 服 务 账 户, 而 只 需 管 理 在 身 份 提 供 方 的 账 户 即 可 依 赖 方 通 过 身 份 提 供 方 提 供 身 份 管 理 服 务, 可 将 维 护 认 证 安 全 的 精 力 用 于 提 供 服 务 身 份 提 供 方 在 为 多 个 依 赖 方 提 供 身 份 信 息 管 理, 可 获 得 经 济 效 益 身 份 提 供 方 与 依 赖 方 之 间 的 合 作 关 系 也 进 一 步 要 求 升 级 身 份 管 理 服 务, 例 如 一 些 更 强 的 认 证 手 段 ( 如 智 能 卡 ) 单 点 登 录 属 性 共 享 等 身 份 提 供 方 同 时 将 面 临 安 全 性 和 机 密 性 方 面 的 集 中 挑 战, 如 身 份 信 息 的 泄 露 滥 用 等 图 1 身 份 管 理 参 与 方 之 间 关 系 Fig.1 The relationship of identity management parties 2 身 份 管 理 发 展 趋 势 身 份 管 理 技 术 发 展 至 今, 身 份 管 理 体 系 不 断 调 整, 身 份 认 证 平 台 更 加 多 样, 多 种 认 证 授 权 协 议 广 泛 推 广, 并 形 成 以 控 制 为 中 心 的 安 全 防 护 架 构 社 交 网 络 移 动 互 联 网 云 计 算 发 展 正 在 驱 动 复 杂 身 份 和 访 问 管 理 的 转 变, 未 来 身 份 管 理 将 会 呈 现 如 下 一 些 发 展 趋 势 : (1) 打 破 企 业 或 机 构 的 身 份 边 界, 逐 步 形 成 以 用 户 为 中 心 的 身 份 管 理 体 系 身 份 管 理 发 展 的 三 个 阶 段 : 以 应 用 为 中 心 的 身 份 管 理 以 企 业 为 中 心 的 身 份 管 理 和 以 用 户 为 中 心 的 身 份 管 理 传 统 的 机 构 组 织 内 部 的 身 份 管 理, 身 份 信 息 仅 在 内 部 使 用 在 未 来 这 种 身 份 边 界 将 会 逐 步 被 打 破, 形 成 以 用 户 为 中 心 的 身 份 管 理 体 系 以 应 用 为 中 心 的 身 份 管 理 每 个 服 务 或 应 用 系 统 负 责 管 理 自 己 用 户 的 身 份, 每 个 系 统 既 是 身 份 提 供 方 也 是 依 赖 方, 每 个 应 用 的 身 份 与 其 他 应 用 相 互 独 立, 导 致 每 个 用 户 需 要 记 住 很 多 应 用 的 登 录 账 号 和 口 令, 不 胜 其 烦 以 应 用 为 中 心 的 身 份 管 理 在 国 内 仍 是 主 流, 这 种 方 式 简 单 易 部 署, 对 单 个 应 用 来 说 易 于 管 理, 但 是 缺 点 是 扩 展 性 不 强, 无 论 是 用 户 还 是 管 理 员 都 要 做 大 量 的 身 份 管 理 操 作 以 企 业 为 中 心 的 身 份 管 理 在 以 企 业 为 中 心 的 身 份 管 理 中, 企 业 ( 或 机 构 ) 利 用 一 个 集 中 的 系 统 管 理 其 用 户 的 身 份, 用 户 可 以 利 用 该 身 份 登 录 所 有 企 业 内 部 的 应 用 或 者 服 务, 实 现 单 点 登 录 以 应 用 为 中 心 的 身 份 管 理 正 逐 步 由 以 企 业 为 中 心 的 身 份 管 理 取 代 微 软 的 Active Directory 管 理 系 统 Oracle 的 OpenSSO 系 统 等 就 可 以 为 企 业 提 供 身 份 管 理 和 单 点 登 录 服 务 以 企 业 为 中 心 的 身 份 管 理 可 以 解 决 内 部 用 户 的 身 份 管 理 和 应 用 登 录 问 题, 但 是 对 于 外 部 用 户 的 身 份 管 理 或 合 作 企 业 的 登 录, 仍 存 在 拓 展 性 问 题 特 别 是 目 前 从 事 网 上 购 物 社 交 网 络 娱 乐 等 业 务 的 互 联 网 企 业 通 常 面 临 数 以 亿 计 的 外 部 用 户, 即 使 一 个 企 业 有 多 家 合 作 企 业, 在 各 自 用 户 之 间 实 现 便 利 的 跨 企 业 访 问, 通 过 以 企 业 为 中 心 的 身 份 管 理 也 无 法 实 现 43
科 研 信 息 化 技 术 与 应 用,2015, 6 (1) 以 用 户 为 中 心 的 身 份 管 理 在 以 用 户 为 中 心 的 身 份 管 理 中, 一 个 企 业 不 再 区 分 内 部 用 户 和 外 部 用 户, 企 业 管 理 的 身 份 不 再 限 定 于 一 个 企 业 内 部 使 用, 可 以 访 问 合 作 企 业 的 应 用 同 时, 一 个 用 户 的 身 份 也 不 一 定 由 他 所 在 的 企 业 管 理, 例 如 用 户 可 以 利 用 QQ 账 号 访 问 企 业 内 部 的 应 用 在 以 用 户 为 中 心 的 身 份 管 理 中, 身 份 与 企 业 或 者 应 用 之 间 的 关 联 关 系 将 会 弱 化, 用 户 可 以 从 他 信 赖 的 身 份 提 供 方 获 取 网 络 身 份, 然 后 利 用 该 身 份 访 问 那 些 与 身 份 提 供 方 合 作 的 应 用 或 者 服 务 未 来 可 能 发 展 成 为 这 样 一 个 格 局 : 一 个 企 业 用 户 利 用 QQ 账 号 登 录 企 业 内 部 邮 箱 和 办 公 系 统, 而 另 一 个 用 户 则 用 网 银 账 号 登 录 企 业 内 部 邮 箱 和 办 公 系 统 以 用 户 为 中 心 的 身 份 管 理 扩 展 性 好, 而 且 易 于 实 现 跨 企 业 跨 地 域 的 合 作, 但 是 这 种 身 份 管 理 需 要 更 安 全 高 效 的 身 份 共 享 机 制 以 及 全 社 会 的 积 极 响 应 和 配 合 未 来 的 身 份 边 界 将 会 被 打 破, 逐 步 形 成 以 用 户 为 中 心 的 身 份 管 理 [2] (2) 移 动 和 物 联 网 平 台 将 是 未 来 身 份 认 证 的 主 流 平 台 传 统 的 身 份 认 证 环 境 中,PC 机 Windows 操 作 系 统 和 IE 浏 览 器 是 主 流 平 台, 绝 大 多 数 的 身 份 管 理 和 身 份 认 证 操 作 都 是 在 这 个 平 台 上 开 展 的 但 是 随 着 手 机 平 板 电 脑 等 移 动 智 能 终 端 的 发 展, 这 一 情 况 将 发 生 转 变, 预 计 到 2020 年,80% 的 用 户 将 会 利 用 智 能 手 机 等 非 PC 平 台 开 展 身 份 认 证 操 作 [2], 企 业 移 动 设 备 占 身 份 管 理 投 入 总 比 将 从 今 天 的 5% 上 升 至 40% 以 上 [3] 访 问 控 制 实 现 跨 平 台 发 展, 传 统 的 身 份 管 理 工 具 将 难 以 适 应 移 动 设 备 终 端 产 生 的 大 量 上 下 文 环 境 信 息, 急 需 移 动 设 备 管 理 策 略 这 一 转 变 不 仅 仅 体 现 在 平 台 的 切 换, 更 需 要 重 新 设 计 身 份 认 证 技 术 和 架 构 身 份 管 理 和 企 业 移 动 设 备 管 理 ( Enterprise Mobility Management,EMM) 将 同 步 发 展 传 统 的 AD 域 认 证 USB Key 证 书 认 证 等 方 式 在 PC 平 台 具 有 很 好 的 用 户 体 验, 但 如 果 向 非 PC 平 台 移 植 这 些 PC 平 台 的 认 证 方 式 就 会 得 不 偿 失 需 要 针 对 新 平 台 移 动 化 的 特 点 设 计 新 的 身 份 认 证 技 术 例 如 苹 果 的 TouchID 结 合 指 纹 识 别 和 安 全 容 器 等 技 术 实 现 安 全 的 身 份 认 证, 具 有 优 秀 的 用 户 体 验, 将 会 在 未 来 的 身 份 认 证 领 域 占 有 优 势 地 位 同 时, 物 联 网 势 必 带 来 更 多 的 人 和 事 物 的 联 合 ( 比 如 移 动 电 话, 平 板 电 脑 及 可 穿 戴 设 备 ) 以 及 与 环 境 和 互 相 之 间 的 交 流, 基 于 他 们 的 活 动 身 份 获 取 和 丢 失 属 性 来 描 述 当 前 状 态 的 身 份 (3) 身 份 管 理 服 务 将 成 为 一 个 新 兴 的 竞 争 市 场 由 独 立 的 身 份 提 供 方 提 供 的 身 份 管 理 服 务 将 会 成 为 一 个 新 兴 的 充 分 竞 争 的 市 场 预 计 到 2020 年, 一 个 企 业 所 接 收 的 身 份 中 将 有 超 过 60% 来 自 于 外 部 的 身 份 提 供 方 [2] 实 际 上, 利 用 外 部 身 份 提 供 方 提 供 的 身 份 访 问 企 业 内 部 应 用 情 况 已 经 出 现, 例 如 利 用 QQ 账 号 可 以 登 录 9000 多 家 网 站, 包 括 购 物 媒 体 娱 乐 等 等 这 种 方 式 既 带 来 便 捷 的 操 作 方 式, 又 减 少 了 企 业 在 身 份 管 理 上 的 投 入 在 很 多 国 家 已 经 开 展 身 份 管 理 服 务 的 应 用, 例 如, 一 些 欧 洲 国 家 支 持 利 用 第 三 方 的 身 份 提 供 方 提 供 的 身 份 访 问 政 府, 提 供 电 子 政 务 服 务 英 国 政 府 的 身 份 保 证 项 目 与 几 家 身 份 提 供 方 签 订 合 同, 将 为 英 国 所 有 的 在 线 服 务 提 供 身 份 认 证 服 务 ; 美 国 的 国 家 网 络 空 间 可 信 身 份 战 略 NSTIC, 由 国 家 商 务 部 主 导, 投 入 资 金 支 持 了 若 干 企 业 进 行 身 份 生 态 体 系 的 探 索 和 应 用 示 范, 第 一 轮 的 应 用 示 范 已 经 接 近 完 成, 第 二 轮 也 即 将 开 始 整 个 身 份 管 理 服 务 将 会 构 成 一 个 身 份 生 态 环 境, 形 成 一 个 由 多 方 参 与 企 业 主 导 充 分 竞 争 的 市 场 环 境 这 一 生 态 体 系 在 国 内 已 经 有 一 些 雏 形, 例 如 公 安 部 会 提 供 身 份 证 验 证 服 务, 商 业 银 行 提 供 银 行 卡 验 证 服 务, 工 商 总 局 提 供 企 业 应 用 执 照 的 验 证 服 务 等, 许 多 网 站 及 应 用 也 基 于 这 些 信 息 实 现 用 户 原 始 身 份 的 验 证 同 时, 诸 多 网 站 也 支 持 利 用 腾 讯 阿 里 或 者 新 浪 提 供 的 账 号 登 录 这 个 生 态 环 境 将 会 由 政 府 和 企 业 共 同 合 作 构 建, 有 的 机 构 提 供 基 础 真 实 身 份 的 验 证 服 务 ( 身 份 证 营 业 执 照 等 ), 有 的 机 构 提 供 网 络 身 份 管 理 和 认 证 服 务, 有 的 机 构 提 供 用 户 属 性 的 共 享 服 务 等, 这 些 机 构 间 将 会 充 分 竞 争, 优 胜 劣 汰, 从 中 为 用 户 提 供 优 质 和 安 全 服 务 的 机 构 将 会 获 得 巨 大 的 商 业 利 益 一 旦 这 个 生 态 环 境 建 成, 一 个 用 户 将 从 很 多 账 号 44
薛 聪 等 : 身 份 管 理 发 展 趋 势 和 中 国 科 学 院 身 份 管 理 系 统 在 上 海 登 录, 而 一 分 钟 后 在 福 建 登 录, 将 会 告 警 可 能 出 现 身 份 盗 用 攻 击, 将 会 禁 止 用 户 登 录 同 时 基 于 属 性 的 访 问 控 制 (Attributes-based Access Control, ABAC) 实 现 将 访 问 用 户 从 角 色 限 制 到 属 性 限 制 的 转 变, 符 合 资 源 限 定 属 性 的 用 户 即 通 过 验 证, 将 变 成 了 接 入 控 制 的 一 个 新 趋 势 3 应 用 案 例 : 中 国 科 学 院 身 份 管 理 系 统 图 2 安 全 防 护 策 略 转 变 模 型 Fig. 2 The transformation module of secure policies 口 令 的 注 册 和 维 护 中 解 脱 出 来, 而 只 需 要 记 录 少 数 几 个 账 号 和 口 令 即 可 (4) 安 全 防 护 将 从 以 控 制 为 中 心 的 安 全 向 以 人 为 中 心 的 安 全 转 变 在 传 统 的 身 份 管 理 中, 防 止 非 授 权 用 户 访 问 资 源 的 途 径 是 通 过 安 全 控 制, 即 制 定 详 细 的 安 全 访 问 控 制 策 略 ( 例 如 基 于 角 色 的 访 问 控 制 ), 来 授 权 用 户 访 问 的 资 源 常 用 的 安 全 控 制 策 略 是 权 限 最 小 化 策 略, 即 一 个 用 户 只 能 够 接 入 允 许 访 问 的 资 源, 但 是 这 一 策 略 在 互 联 网 上 时 代 越 来 越 不 能 适 应 任 何 不 被 禁 止 的 行 为 都 能 访 问, 才 是 未 来 安 全 策 略 的 发 展 方 向 由 于 很 多 安 全 策 略 需 要 依 赖 特 定 用 户 的 行 为 或 者 其 他 属 性 来 进 行 综 合 考 量, 仅 仅 基 于 角 色 一 个 属 性 进 行 访 问 决 策 将 存 在 绝 大 的 安 全 风 险, 基 于 安 全 控 制 的 静 态 安 全 防 护 已 经 不 能 适 应 未 来 安 全 发 展 的 需 求, 因 此, 以 人 为 中 心 的 安 全 (Personal-centric Security, PCS) 防 护 策 略 才 是 发 展 趋 势 [2] ( 图 2) 在 PCS 策 略 中, 特 定 用 户 的 行 为, 特 别 是 异 常 行 为 将 成 为 访 问 控 制 判 定 的 重 要 依 据, 任 何 决 策 不 仅 仅 基 于 人 的 身 份 或 者 角 色, 还 将 针 对 个 人 的 行 为 目 前, 一 些 大 型 互 联 网 企 业 如 腾 讯 阿 里 等 已 经 开 始 使 用 以 人 为 中 心 的 安 全 防 护 策 略, 他 们 监 控 每 个 用 户 的 登 录 行 为, 并 根 据 行 为 是 否 有 异 常 来 判 定 是 否 允 许 该 用 户 登 录 或 者 进 行 某 些 关 键 操 作 ( 如 支 付 转 账 等 ) 例 如, 如 果 发 现 用 户 在 一 分 钟 前 中 国 科 学 院 ( 以 下 简 称 中 科 院 ) 作 为 国 家 最 高 的 学 术 机 构, 研 究 院 所 遍 布 全 国, 各 院 所 不 同 服 务 管 理 平 台 信 息 交 流 频 繁, 建 立 统 一 的 身 份 管 理 体 系, 可 大 大 提 升 用 户 管 理 的 高 效 性, 同 时 共 享 的 用 户 信 息 服 务, 各 业 务 系 统 可 有 机 的 整 合 在 一 起, 实 现 互 联 互 通 十 二 五 期 间, 在 中 科 院 信 息 化 工 作 处 的 组 织 下, 由 中 科 院 信 息 工 程 研 究 所 承 担, 中 科 院 计 算 机 网 络 中 心 中 科 院 文 献 情 报 中 心 中 国 科 学 院 大 学 等 单 位 共 同 参 与, 建 设 了 中 国 科 学 院 统 一 身 份 管 理 系 统 该 系 统 支 持 中 科 院 机 关 和 各 院 所 服 务 平 台 及 信 息 化 系 统 用 户 的 统 一 身 份 管 理 和 院 内 重 点 应 用 的 统 一 认 证 与 单 点 登 录, 为 院 机 关 和 各 个 研 究 所 的 用 户 和 应 用 提 供 统 一 CA 统 一 用 户 身 份 管 理 和 统 一 认 证 单 点 登 录 等 安 全 服 务, 形 成 中 科 院 统 一 认 证 安 全 基 础 设 施, 如 图 3 所 示 该 系 统 的 特 点 是 将 用 户 身 份 管 理 安 全 凭 证 发 放 和 管 理 应 用 安 全 认 证 与 单 点 登 录 等 功 能 以 云 服 务 的 方 式 提 供 给 院 所 用 户 和 重 点 应 用, 不 依 靠 各 研 究 所 专 属 软 硬 件, 实 现 了 快 速 部 署, 降 低 维 护 成 本, 并 采 用 USB Key 证 书 认 证 用 户 名 口 令 认 证 动 态 口 令 图 3 中 国 科 学 院 身 份 与 访 问 管 理 服 务 云 Fig. 3 The identity and access management cloud of CAS 45
科研信息化技术与应用 2015, 6 (1) 认证等多种认证方式 在提供便利性的同时 定义多 户身份信息的管理 统一认证系统实现单点登录功 级安全策略 保障认证的安全性 能 由统一认证网关 单点登录服务器 用户认证 1 中科院统一身份认证管理系统 接口服务器组成 用户数据库存储院内用户的身份 本系统由统一身份管理系统 统一认证系统以 信息 认证凭证等 身份管理系统进行信息更新维 及用户数据库三部分组成 统一身份管理系统主要 护 用户管理服务器与各业务系统进行数据同步 进行院内用户数字身份全生命周期的统一管理 由 用户查询服务器向业务系统提供用户信息查询服 用户身份管理 Web 服务器 用户管理服务器 策 务 实现用户认证和单点登录 系统组成架构图如 略管理服务器和用户查询服务器等组成 身份管理 图 4 所示 系统通过 Web 服务方式提供接口供管理员进行用 用户在使用统一身份认证管理系统时分两种情 图4 系统组成架构图 Fig. 4 The architecture of identity management system 图5 单点登录技术方案 Fig. 5 The technical solution of Single Sign-On 46
薛 聪 等 : 身 份 管 理 发 展 趋 势 和 中 国 科 学 院 身 份 管 理 系 统 况, 如 图 5 所 示 当 用 户 首 次 通 过 统 一 身 份 认 证 管 理 系 统 进 行 登 录 时, 登 录 可 以 利 用 用 户 名 / 口 令 的 方 式 或 UKey 的 数 字 证 书 的 方 式 进 行, 登 录 成 功 以 后, 统 一 身 份 认 证 管 理 系 统 为 用 户 浏 览 器 发 放 一 个 安 全 票 据 供 用 户 访 问 业 务 系 统 时 使 用, 安 全 票 据 记 录 了 用 户 登 录 成 功 的 信 息, 并 由 统 一 身 份 认 证 管 理 系 统 进 行 数 字 签 名, 保 证 其 不 可 伪 造 和 篡 改 用 户 访 问 业 务 系 统 时, 用 户 浏 览 器 会 自 动 将 安 全 票 据 附 加 在 请 求 中 一 并 提 交 给 业 务 系 统, 业 务 系 统 的 单 点 登 录 模 块 如 果 未 在 用 户 的 请 求 中 发 现 安 全 票 据 则 会 将 用 户 重 定 向 到 单 点 登 录 入 口 则 要 求 用 户 进 行 登 录, 如 果 发 现 了 安 全 票 据, 则 会 对 票 据 进 行 验 证, 验 证 通 过 以 后 允 许 用 户 访 问 业 务 系 统 ( 图 5(a)) 当 用 户 首 次 访 问 业 务 系 统 时, 业 务 系 统 发 现 用 户 没 有 提 交 有 效 的 安 全 票 据, 将 用 户 浏 览 器 重 定 向 到 统 一 身 份 认 证 管 理 系 统 检 查 用 户 是 否 已 经 登 录 ; 若 未 登 录 则 在 登 录 成 功 后, 统 一 身 份 认 证 管 理 系 统 产 生 一 个 安 全 票 据, 并 将 用 户 浏 览 器 重 定 向 回 业 务 系 统, 业 务 系 统 接 收 到 安 全 票 据 以 后, 对 其 签 名 进 行 验 证, 验 证 通 过 则 允 许 用 户 通 过 再 访 问 其 他 业 务 系 统 时 类 似, 业 务 系 统 将 用 户 浏 览 器 重 定 向 到 统 一 身 份 认 证 管 理 系 统, 会 发 现 该 用 户 已 经 在 系 统 登 录 过 后 跳 过 用 户 登 录 流 程, 直 接 给 用 户 发 放 安 全 票 据 ( 图 5(b)) 中 科 院 统 一 身 份 认 证 管 理 系 统 具 备 良 好 的 安 全 性 设 计 在 上 述 流 程 中, 身 份 管 理 服 务 器 和 用 户 客 户 端 都 默 认 写 入 受 信 任 的 证 书 链, 基 于 公 钥 体 制 基 础, 使 服 务 器 和 客 户 端 都 无 法 伪 造 统 一 身 份 认 证 管 理 系 统 (UAMS) 与 业 务 系 统 服 务 器 之 间 采 用 SSL 连 接, 业 务 系 统 服 务 器 证 书 和 URL 的 管 理 在 UAMS 端, 攻 击 者 不 能 通 过 业 务 系 统 服 务 器 伪 造 或 替 换 上 述 信 息, 从 而 大 大 降 低 了 安 全 保 护 的 范 围 客 户 获 得 的 安 全 票 据 基 于 智 能 型 UKey, 也 克 服 伪 造 与 窃 听 风 险 在 每 次 会 话 有 效 期 内, 服 务 器 端 产 生 一 个 不 同 的 随 机 数, 且 设 定 Session 过 期 时 间, 降 低 有 效 Session 攻 击 可 能, 从 而 限 制 重 放 攻 击 (2) 统 一 认 证 应 用 方 案 : 研 究 所 应 用 服 务 统 一 认 证 在 该 案 例 中 通 过 改 造 增 加 单 点 登 录 模 块 与 数 据 同 步 模 块, 可 分 别 支 持 研 究 所 用 户 的 统 一 身 份 管 理 和 研 究 所 ARP 系 统 所 内 办 公 系 统 等 重 点 应 用 的 对 接, 实 现 单 点 登 录 和 用 户 数 据 同 步 的 功 能 单 点 登 录 方 面, 将 研 究 所 门 户 与 统 一 身 份 认 证 管 理 系 统 的 单 点 登 录 入 口 进 行 整 合, 实 现 登 录 页 面 统 一, 如 果 用 户 在 未 登 录 情 况 下 访 问 其 他 业 务 系 统, 都 会 被 重 定 向 到 研 究 所 门 户 的 登 录 页 面 进 行 单 点 登 录 用 户 在 研 究 所 门 户 登 录 后, 通 过 各 个 业 务 系 统 与 统 一 认 证 系 统 的 单 点 登 录 接 口, 实 现 用 户 访 问 各 业 务 系 统 无 需 重 新 登 录, 如 图 6 所 示 同 时 考 虑 到 不 同 地 域 的 研 究 所 对 单 点 登 录 性 能 的 需 求, 统 一 认 证 网 关 和 单 点 登 录 服 务 器 也 支 持 在 部 分 图 6 研 究 所 统 一 认 证 应 用 部 署 架 构 Fig. 6 The deployment architecture of institute unified authentication application 图 7 研 究 所 统 一 认 证 分 布 式 架 构 Fig. 7 The distributed architecture of institute unified authentication application 47
科 研 信 息 化 技 术 与 应 用,2015, 6 (1) 分 院 部 署 分 布 式 部 署, 各 分 院 部 署 的 统 一 认 证 网 关 和 单 点 登 录 服 务 器 主 要 负 责 分 院 管 辖 各 个 研 究 所 重 点 业 务 系 统 的 单 点 登 录, 如 图 7 所 示 在 原 研 究 所 门 户 的 用 户 名 / 口 令 登 录 方 式 的 基 础 上, 增 加 基 于 UKey 的 证 书 认 证 登 录 方 式 各 个 业 务 系 统 根 据 自 身 安 全 需 求 确 定 所 需 的 用 户 认 证 方 式 如 果 用 户 使 用 低 安 全 级 别 的 认 证 方 式 ( 用 户 名 / 口 令 ) 登 录 内 网 办 公 平 台, 但 是 希 望 访 问 需 要 高 安 全 级 别 认 证 方 式 的 其 他 业 务 系 统 时, 该 业 务 系 统 会 将 用 户 重 定 向 到 内 网 办 公 平 台 的 登 录 入 口, 采 用 对 应 高 安 全 级 别 认 证 方 式 重 新 认 证 在 用 户 管 理 上, 研 究 所 管 理 人 员 分 别 通 过 ARP 系 统 和 统 一 身 份 管 理 系 统 的 用 户 管 理 界 面 管 理 研 究 所 正 式 用 户 和 研 究 所 临 时 用 户, 通 过 数 据 同 步 接 口 同 步 到 统 一 身 份 管 理 系 统 中 如 果 需 要 统 一 身 份 管 理 系 统 还 可 将 用 户 信 息 同 步 到 院 电 子 邮 件 科 技 文 献 检 索 教 育 信 息 化 等 其 他 院 公 共 服 务 中 (3) 中 科 院 统 一 身 份 管 理 系 统 发 展 方 向 中 科 院 统 一 身 份 管 理 系 统 于 2013 年 初 上 线 运 行, 到 2014 年 底, 已 经 覆 盖 了 十 余 个 分 院 一 百 多 个 研 究 所, 涉 及 数 以 万 计 的 用 户 和 100 多 个 应 用 和 服 务, 整 合 了 院 机 关 院 电 子 邮 件 科 技 文 献 教 育 信 息 化 研 究 所 门 户 等 多 个 平 台 的 统 一 认 证 应 用 ( 图 8) 中 国 科 学 院 统 一 身 份 管 理 系 统 不 是 一 个 静 态 的 系 统, 它 需 要 随 着 身 份 管 理 技 术 的 发 展 不 断 演 进, 今 后, 它 主 要 沿 着 如 下 三 个 方 向 发 展 : 作 为 一 个 身 份 服 务 提 供 商, 除 了 服 务 于 院 内 应 用 外, 还 可 以 通 过 身 份 联 合 的 方 式 实 现 与 外 部 应 用 的 互 联, 例 如 新 浪 微 博, 教 育 网 应 用, 美 国 InCommon 联 盟 的 应 用 等 目 前 研 究 组 正 在 与 北 大 网 络 中 心, 美 国 Internet2 组 织 等 进 行 沟 通 和 交 流, 就 身 份 联 合 方 案 进 行 研 讨, 争 取 尽 快 实 现 实 验 验 证, 为 应 用 扩 展 奠 定 基 础 支 持 智 能 手 机 等 非 PC 终 端, 提 供 新 的 认 证 技 术 随 着 移 动 办 公 等 应 用 的 发 展, 实 现 登 录 的 平 台 将 逐 步 从 PC 平 台 向 手 机 平 板 等 平 台 迁 移, 而 目 前 的 USB Key 等 认 证 方 式 不 太 适 应 于 非 PC 平 台 的 环 境, 需 要 开 发 新 的 用 户 体 验 更 好 而 安 全 性 有 保 障 的 认 证 机 制, 同 时 还 需 要 与 移 动 设 备 管 理 等 安 全 平 台 进 行 对 接 打 造 以 人 为 中 心 的 安 全 : 目 前 系 统 的 安 全 策 略 还 是 静 态 配 置 的, 随 着 应 用 的 铺 开, 安 全 防 护 可 能 不 足 以 满 足 需 求 系 统 将 加 强 对 用 户 行 为 的 监 控, 以 发 现 异 常 的 用 户 登 录 行 为, 并 阻 断 恶 意 的 用 户 登 录, 保 障 系 统 的 安 全 4 结 语 网 络 身 份 管 理 可 有 效 的 对 用 户 与 互 联 网 的 互 动 行 为 进 行 安 全 控 制, 同 时 也 是 定 制 和 优 化 互 联 网 应 用 服 务 的 用 户 体 验 的 基 础 身 份 管 理 的 发 展 将 打 破 易 用 性 安 全 性 机 密 性 之 间 的 平 衡, 提 升 分 类 身 份 方 案 的 互 操 作 性, 同 时 保 护 用 户 隐 私, 防 止 身 份 信 息 滥 用 中 国 科 学 院 统 一 身 份 管 理 系 统 顺 应 了 全 球 身 份 管 理 的 发 展 需 求, 建 立 了 覆 盖 全 院 范 围 的 身 份 管 理 系 统, 并 逐 步 实 现 与 国 内 外 主 流 身 份 服 务 提 供 商 进 行 身 份 融 合, 在 塑 造 身 份 管 理 生 态 系 统 的 服 务 导 向 中 起 到 示 范 作 用, 并 为 身 份 管 理 提 供 安 全 快 速 实 现 方 面 的 技 术 参 考 参 考 文 献 图 8 中 科 院 统 一 身 份 管 理 系 统 发 展 概 况 Fig. 8 The general situation of identity management system of Chinese Academy of Sciences [1] International Telecommunication Union Recommendation Y.2720: NGN identity management framework [2009-01] http://www.itu.int/rec/t-rec-y. 2720-200901-I. 48
薛 聪 等 : 身 份 管 理 发 展 趋 势 和 中 国 科 学 院 身 份 管 理 系 统 [2] Bertino E, Takahashi K. Identity Management: Concepts, Technologies, and Systems [M]. Artech House, 2011.12-38. [3] Ray W, Earl P, Gregg K. Predicts 2014: Identity and Access Management,Gartner, 2013-11. [4] Gartner Predicts 2015: Identity and Access Management [2014-11]. https://www.gartner.com/doc/2912417/predicts-- identity-access-management. [5] Meints M, Zwingelberg H. D3. 17: Identity management systems recent developments[j]. Brussels, Belgium: Future of Identity in the Information Society, 2009. [6] Cowles R, Jackson C, Welch V, et al. A Model for Identity Management in Future Scientific Collaboratories1[J]. 2014. [7] Tormo G D, Mármol F G, Pérez G M. Identity Management in Cloud Systems[M] Springer Berlin Heidelberg, 2014: 177-210. 收 稿 日 期 :2014 年 12 月 25 日 薛 聪 : 中 国 科 学 院 大 学, 博 士 研 究 生, 主 要 研 究 方 向 为 网 络 与 系 统 安 全 Email: xuecong@iie.ac.cn 向 继 : 中 国 科 学 院 信 息 工 程 研 究 所, 高 级 工 程 师, 博 士, 主 要 研 究 方 向 为 网 络 与 系 统 安 全 Email: jixiang@is.ac.cn 高 能 : 中 国 科 学 院 信 息 工 程 研 究 所, 副 研 究 员, 博 士, 主 要 研 究 方 向 为 网 络 与 系 统 安 全 Email: gaoneng@is.ac.cn 49