商业银行统一身份认证方案设计

商业银行统一身份认证方案设计内容摘要：

4 上 海 交 通 大 学 硕 士 学 位 论 文 商业银行统一身份认证方案设计 通过多层帐号映射建立认证链，合作站点和认证站点间采用 SAML 通信，能较好实 现各应用系统间的统一身份认证和安全信息共享，但存在系统结构复杂和认证管理 复杂等问题。 此外，目前已有的实现了 SSO 技术或正将实现 SSO 技术的统一身份认 证系统 有： Evidian 公司的 AccessMaster ，英国高等教育组织之间的ATHENS ， Entrust 公司的 GetAccess， Netegrity 的 SiteMider[.6]等。 AccessMaster 是 Evidian 公司推出的一项密码集中管理的安全产品。 它的实现原 理如下：在一个集中的站点为每一个用户建立一个映射表，表中记录了该用户登录 不同站点时使用的标识和密码，用户登录这个负责映射关系维护的站后，系统返回 一个页面，其中包括了用户脚本中预定制的多个站点的图标。 当用户点击这些图标 后，服务端程序根据映射表中的给站点所对应的用户标识、密码和登录方式等信息， 完成登录工作。 这样，一个用户每天只需要一次登录这个负责映射关系的站点一次， 就可以通过它自动地登录到所有预定制的站点。 这种系统的优点在简单易行，缺点 在用于用户身份信息没有在多站点间传递，不具有互操作性，难以实现多个站点协 同完成一个操作的能力。 ATHENS 通 过数 据 库复 制技 术来 保证 所 有数 据提 供者 DSP （ Data Service Provider ）用户信息的一致性。 在 ATHENS 的站点上，保存着一个记录所有用户数 据库。 每个 DSP 上也有一个用户信息数据库。 通过数据库复制技术来保证各个 DSP 用户信息数据库与 ATHENS 用户数据库的同步。 在 2020 年 2 月， ATHENS 通过对 DSP 接口的扩展了 SSO。 它保证了一个用户在所有的资源上认证信息的统一，并能 够统一进行更新。 ATHENS 的优点在于实现简单，有一定的互操作性。 GetAccess 和 SiteMinder 在实现上有所不同，但其解决问题的思路大致相同，即将具有使用关系 的企业同一为一个“门户”（ Portal ），又集中的安全服务负责用户身份认证，用户及 其权限管理等。 各合作站点通过安装专用软件与安全服务器进行通信，具有跨企业 边界的安全信息传递、单点登录服务（含集成身份认证）服务等优点。 存在的局限性 以上方案都在一定程度上都实现了用户的单点登录功能，具有简单易行等特点， 但均在不同程度上存在以下缺陷： 1. 单纯的一对多结构，合作站点间 缺乏通信灵活性。 2. 专用的通信软件，会增加系统的复杂性，使系统不易维护和扩展，同时增加 5 上 海 交 通 大 学 硕 士 学 位 论 文 商业银行统一身份认证方案设计 了应用维护与升级等的成本。 3. 缺乏统一的数据表示和通信机制，易造成安全信息的冗余和资源的浪费。 为了解决上述问题，国际标准化组织 OASIS 的安全服务技术协会（ Security Service Technology Committee，简称 SSTC）于 2020 年 11 月提出了安全声明标记语 言（ Security Assertion Markup Language，简称 SAML）参考标准。 其主要的设计目 的是为认证和授权服务提供标准的安全信息描述和共享机制，使得不同企业间可以 共享有关用户的信息，实现互操作。 本文的研究内容和主要工作 本文主要是 针对商业银行当前存在的身份认证需求与实际安全需求，分析现有 统一身份认证方案及相关技术规范，研究如何将 SAML 标准与单点登录需求技术相 结合，建立一个商业银行网络环境下的统一身份认证方案，整合现有的银行业务系 统和用户资源，实现统一的认证授权、统一的用户和安全策略管理，实现用户的单 点登录及各业务系统间安全信息的传递与共享，解决目前商业银行分散认证所带来 不足，降低维护和管理成本，提高整体环境的安全性和可信度。 本论文的研究内容和主要工作总结为以下几个方面： 1. 对现有统一身份认证系统或解决方案进行分析，总结其优缺点，并对相关技 术特征进行分析，为设计商业银行统一认证方案的整体模型提供现实依据。 2. 在分析 SSO 技术和 SAML 规范的基础上，以统一身份认证的安全需求为中 心，给出了一种商业银行统一认证方案的认证机制及其体系结构，分析其登录流程。 该认证机制支持面向银行业务系统内及业务系统间的应用协作，提供单点登录服务 （ SSO Service，简称 SSO 服务），解决用户一次登录、用户身份的集成认证和安全 信息共享等问题。 3. 结合上海交通银行的应用需求和安全认证需求，对本方案的主要组成部分 SSO 代理、统一认证中心及综合信息库进行分析设计。 其中 SSO 代理是在对 SAML 规范 详细分析和总结的基础上提出的，是实现方案同一信任域内各系统资源及业务应用 互操作的基础，为各业务系统和资源间传递或共享认证结果和授权信息。 统一认证 中心是实现用户单点登录，统一认证授权的基础，也是本文的重点，为用户和管理 提供增强型 4A 服务：认证、授权、管理、审计。 综合信息库，实现用户信息及 安 全策略的集中存储与管理。 此外还对基于 SAML 通信协议的安全信息传输处理机制、 6 上 海 交 通 大 学 硕 士 学 位 论 文 商业银行统一身份认证方案设计 网络设备管理进行了分析和设计。 4. 以上海交通银行业务网络系统为实例，对本方案在商业银行网络环境下的实 现进行了设计，提出了方案实施的网络结构和应用模式，并设计方案实现的层次 结 构和方案主要组成模块的功能结构。 5. 对本文介绍的方案进行设计总结，分析评估其特点、性能及安全性，提出了 下一步的研究方向和重点。 本文的组织 本文共分为六个部分： 第一章，绪论。 阐述课题研究背景、国内外研究现状、本文的研究内容和主要 工作，以及本文的组织。 第二章 ,相关安全技术。 简单介绍了单点登录技术（ SSO ）、安全声明标记语言 （ SAML）及 IBM 联邦技术，并对 SAML 规范与安全技术的结合进行了分析。 第三章，商业银行统一认证模型。 先简要介绍了 Liberty Alliance 和 .NET Passport 的认证机制及模型，分析了各自的优缺点。 在此基础上，提出了商业银行统一身份 认证模型，分析了本模型的特点。 第四章，商业银行统一认证方案设计。 本章分析了方案的几种用户访问情况， 分析了统一认证机制流程，设计了方案的总体结构，并对其主要组成部分及安全信 息传输处理机制、网络设备管理进行了分析设计。 第五章，商业银行统一认证实施方案。 本章以上海交通银行网络系统为背景， 提出了方案实施的网络结构和应用模式，设计了方案实现的层次结构及主要组成模 块的功能结构。 第六章 全文总结。 对本方案的特点、安全性进行了分析，提出了下一步研究的 方向和重点。 7 上 海 交 通 大 学 硕 士 学 位 论 文 商业银行统一身份认证方案设计 第二章 相关安全技术 单点登录技术 随着信息技术和网络技术的发展，各种应用服务的不断普及，用户每天需要登 录到许多不同的信息系统，但由于大多数信息系统都有其自身的用户系统、认证方 式及不同的安全策略，使得登录系统成了一件苦差事。 记忆大量账号及口令信息， 频繁登录多个信息系统，造成使用上极为不便，同时也给系统的维护及管理带来了 难度，因而采用何种确实可行的解决方案来解决信息系统间的相接问题变得尤为重 要。 基于上述原因，提出了单点登录技技术（ Single SignOn）。 Single SignOn 简介 SSO （ Single SignOn ），单点登录技术是一种认证和授权机制，它允许用户只登 录到系统上一次，完成最初访问时的一次身份验证，即能对所有被授权的网络资源 进行无缝的访问，无需再进行登录。 在此条件下，管理员无需修改或干涉用户登录 就能方便的实施希望得到的安全控制，大大降低了系统管理与维护成本，提高了系 统的整体安全性。 尽管登录到一个系统的过程很简单：输入用户身份名，然后再输入口令，但是 它实际上采取了多个动作。 首先是认证，认证 发生在系统验证登录的实体（人或程 序）是否是与这个用户身份相关的实体时，认证通常通过将口令与用户的ID 匹配来 实现。 其次是授权，在用户通过认证后并试图访问系统资源时，需要进行授权。 用 户可以被授权查看文件，但不能删除或修改文件。 系统利用错误信息回答非授权请 求，并通过允许访问来响应授权的请求。 实际的授权可在认证后立即进行，使客户 得到授权资源的清单。 授权也可以是交互式的，当用户试图访问不同资源时服务器 拒绝或同意访问这些资源。 8 上 海 交 通 大 学 硕 士 学 位 论 文 商业银行统一身份认证方案设计 SSO 单点登录模型 [7] 目前常见的单点登录模型主要有以下几种 ： 一、基于经纪人的单点登录模型 在基于经纪人的单点登录模型中，存在一个集中的认证和用户账号管理的服务 器，中央认证服务器和中央数据库的 使用减少了管理的代价，并为认证提供一个公 共和独立的“第三方”，就像一个“经纪人”一样。 采用这种模式的产品有很多，包 括 Kerberos 、 Sesame 等。 基于经纪人的单点登录模型实现了用户认证数据的集中管 理，使管理更加方便。 但这种方式要对服务端进行改造，使其适应单点登录的系统 要求才能实施部署。 同时所有用户的登录信息都被系统接管，所以每次登录都要提 供已经注册 ID 和口令，因此匿名用户无法登录。 二、基于代理的单点登录模型 在基于代理人的解决方案中，有一 个自动为不同应用程序认证用户身份的代理 程序，这个代理程序需要设计有不同的功能，比如它可以使用口令表或加密密钥来 自动认证用户。 代理人在服务器的认证系统和客户端认证方法之间充当一个“翻译”。 SSH 是一个典型的基于代理人的解决方案的例子。 基于代理的单点登录模型保证了 通道的安全和单点登录，具有比较好的可实施性和灵活性。 但是这种模型的用户登 录凭证要在本地存储，增加了口令泄漏的危险。 另外在实现单点登录时，会增加兼。