BIT8-4网络信息系统安全体系-IDM

网络内控之：统一身份管理孙建伟北京理工大学软件学院提纲局域网应用模型身份集中管理的需求Windows域集中认证管理一般局域网系统的IDM技术方案主流产品与解决方案未来发展:Webservice分布式环境下的集中访问控制局域网应用模型多个分立的系统和网络设备多种数据库系统多个Web应用系统多种网络设备:防火墙,交换机,路由器,其它安全设备多种服务器平台:Windows,Unix局域网应用模型多个分立的系统和网络设备不同的系统平台不同的客户端独立维护帐号独立的访问控制管理典型场景：多服务器，多用户如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户（共M*N），用户则需要在每台服务器上（共M台）登录局域网应用模型从用户、管理员、应用系统（信息资源）三方面看存在的问题用户M：帐号多，不便应用系统N：自主维护访问控制，泛泛的，难以适应具体的网络环境要求管理员：M*N较大时帐号管理，如何实施全生命周期的管理？权限管理：如何实施全局安全策略？用户名输入用户名/口令登录口令局域网环境下管理的需求管理员工作人员应用1应用2应用3棘手的问题•用户是否有太多的密码需要记忆？•作为系统管理员，是否需要花费很多的时间去管理用户帐号和访问权限？•各部门管理员需要花费多长时间才能为一个新的用户在所有的应用系统中建立账号？是否工作重复，效率低下?•员工离开企业时能否立即停用其在各个应用子系统中的账号？•用户的详细信息在各个系统中是否一致？•添加新的应用时是否有一致的认证和授权框架可以利用？•如何满足行业政策规范的要求？•是否可以对企业内应用系统实现监控和跟踪？今天的企业环境其他应用人事系统财务系统邮件局域网PABXCRM员工客户IT管理员供应商合作伙伴移动用户离职员工如何为企业用户减少需要记忆的密码？?如何让员工及客户安全的访问企业系统??如何缩短为新用户在各个系统中创建账号的时间??如何防止离开的员工仍能继续访问企业内系统??如何减少在管理用户帐号方面的花费??如何确保员工/客户能够访问到企业各个系统中最新的信息??如何对企业的应用系统进行审计??用户•只需一个凭证•只需一次登录应用系统•信息资源整合•信息统一标识规范和接口规范管理员•信息的一致性•集中管理安全保障体系•用户管理•统一的安全策略服务•集中授权•集中审计解决之道——统一认证管理如果…统一认证管理1、集中统一管理用户、机构、角色、应用等信息2、统一认证，实现单点登录3、基于角色的访问控制4、应用间信息同步和共享5、安全策略和安全管理集中身份管理：Windows域Windows域理念Windows域管理构成要素域控制器成员服务器活动目录认证协议：Kerberos目录服务：LDAPWindows域理念服务器和用户的计算机都在同一个域中，用户在域中只要拥有一个账号用户只需要在域中拥有一个域账户，只需要在域中登录一次就可以访问域中的资源了。域中的服务器域控制器（DomainController)启动ActiveDirectory域服务身份认证目录服务成员服务器成员服务器都信任DC的身分验证。保留本机的帐户数据库,因此使用者仍可利用这些本机帐户,登入该服务器。对域的安全管理而言,这些本机账户可能会是漏洞可加入AD域的工作站所有安装以下操作系统,而且加入域的计算机都算是工作站WindowsNTWorkstationWindows2000ProfessionalWindowsXPProfessionalWindows7/vista商用入门版、商用进阶版和旗舰版Windows95/98/Me、WindowsXP家庭版、Windows7家庭版也都没有加入域的功能。服务器角色转换AD域认证协议：Kerberos域认证和资源访问认证服务器(AS)票据授予服务器(TGS)2、KDC为此客户颁发一个特别的票证授予式票证(TGT)1、使用密码或智能卡向KDC进行身份验证3、客户端系统使用TGT访问票证授予服务(TGS)4、TGS接着向客户颁发服务票证5、客户向请求的网络服务出示服务票证。服务票证向此服务证明用户的身份，同时也向该用户证明服务的身份Kerberos客户端应用服务器密钥分发中心(KDC)AD目录服务微软自Windows2000Server开始提供完整的目录服务,命名为AD（ActiveDirectory）目录服务。AD目录与AD目录服务遵循符合X.500及LDAP规范AD对象包括加入域的服务器和客户端帐号，及其详细的权限属性AD目录的架构AD目录仍然是以对象组合成树状架构,不过却多了『域』（Domain）对象。将一般对象先整合到域中,再形成所谓的『域树』（DomainTree）实现统一认证和单点登录活动目录登录到Windows单一登录到:Windows文件服务器WindowsWeb应用程序ExchangeemailSQLServerBizTalkServer其他微软应用程序第三方集成应用程序ExchangeWeb服务文件共享Windows集成应用程序Windows域的局限性实际的局域网环境不是单一的Windows域应用环境，存在大量的非Windows系统服务器平台：春秋战国局域网组成成分的多样性：防火墙、路由器、各类应用系统……DC域无法解决局域网的统一身份管理问题反而成了麻烦IDM如何集成已经存在的Windows域？一般局域网系统的IDM技术方案需解决的问题：集中认证支持多种客户端主帐号与从帐号的问题单点登录集中授权与访问控制帐号、认证、授权和审计审计管理各应用系统都有一套独立的审计管理；每个业务系统及数据库都要分别进行审计缺乏集中统一的系统访问审计无法对应用系统进行综合分析授权管理各应用系统都独立授权管理随着用户数量的增加，权限管理任务越来越重；缺乏集中统一资源授权管理帐号管理各应用系统都有一套独立的用户管理；帐号及口令四处流传并记录下来有些帐号多人共用，未授权的访问较简单口令或将多系统口令设置相同岗位变更、离职，帐号仍在；多方人员使用系统，管理复杂；认证管理各应用系统都独立认证缺乏控制而不遵循安全策略重复输密码，工作效率低；使用静态口令,安全性低IDM需求IDM建设需求改变IT系统分立管理的局面，需建设集中的IDM系统实现集中的帐号管理、统一的登录认证、适度集中的访问控制策略和全面综合的运营维护操作审计；最终实现对IT系统的可知、可控、可管的集中运维操作IDM产品概述概念：IDM系统包括自然人帐号管理、诸多被管资源接口组件、统一认证组件、访问控制组件等构成的系统，它介于运营维护人员和被管的IT系统之间，对运维人员提供统一的登录入口（Portal），由IDM系统代理对诸多网元的登录、认证、访问控制和审计。对被管IT资源而言，纳入IDM管理后，原则上即不能被自然人用户直接访问。这个概念的要点是：IDM系统是一系列组件，协同完成集中帐号管理（account），集中认证（Authentication，IDMPortal的登录认证），集中的访问控制授权（Authorization），集中的审计（Audit）等功能。IDM系统对运维人员提供统一的登录Portal，通过IDMPortal的认证，登录IDMPortal后，用户即获得访问被管资源的视图和权限，至少从感受上用户可以直接访问获得授权的资源；用户通过IDM进而登录操作被管资源，整个过程由IDM系统和被管资源形成审计记录；被管资源（如某路由器）纳入IDM管理后，其自身的帐号管理、认证、访问控制、审计等功能依然不变，但可以被IDM系统重置，进而其帐号成为IDM系统的从账号；IDM系统对被管资源应具有系统管理员的权限；IDM系统架构示意图网络设备账号管理认证访问控制审计Unix/Windows主机账号管理认证访问控制审计各类数据库账号管理认证访问控制审计C/S应用账号管理认证访问控制审计B/S应用账号管理认证访问控制审计被管目标IT系统4APortal统一认证、被管资源视图、密码代填被管资源统一认证模块主账号管理4A认证授权管理主账号授权角色授权从账号授权堡垒主机访问控制策略审计策略被管资源从账号LDAP服务普通用户4A系统管理员审计管理员4A自审计集中审计系统网络审计4A系统运维人员IDM产品概述作为被管资源的分立系统IDM要解决诸多分立IT系统的集中管理的问题在于，分立的IT系统包括主机、网络设备、数据库、应用系统都有自身的安全模式，包括账号管理、登录方式、认证方式、访问控制等功能的实现。如windows系统支持RDP登录方式，支持用户名/密码方式的身份认证方式和基于域控制器(DC)和Kerbrose协议的认证模式，系统自身支持DAC、MAC的访问控制模式；Unix系统支持telnet/SSH等登录方式，支持用户名/密码方式的本地身份认证方式和基于Radius协议的认证模式；网络设备一般支持telnet/SSH的登录方式，支持用户名/密码方式的本地身份认证方式和基于Radius/Tacas+协议的认证模式；数据库系统则支持标准SQL访问语言，不同的数据库的ODBC实现不同，都支持本地用户名/密码认证，不同数据库的访问控制强度不同（由此划分不同安全等级的数据库）；C/S、B/S应用系统安全模式完全独立设计，B/S应用随着WebService规范的发展，其安全模式(包括认证)逐渐标准化，如SOAP协议和SAML规范的采用。IDM产品概述作为被管资源的分立系统IDM系统的实现首先建立在上述原有的IT组元的登录、认证、访问控制模式的基础上，实现IDM功能自然人帐号的集中管理支持各种登录方式和登录过程中的认证被管资源的纳入（从账号收集与重置，登录权限授予自然人账号，登录过程统一管理）对自然人帐号的授权（被管资源的访问权）访问被管资源前的统一认证包括单点登录，以及所有环节的审计。IDM主要功能的实现模式自然人帐号管理IDM系统提供自然人帐号的集中管理功能，包括帐号的生命周期管理，对自然人帐号的授权，自然人帐号登录IDM系统的认证。引入组管理的技术，降低管理成本采用基于审批流程的管理在PKI体系下，引入数字证书的发放管理IDM主要功能的实现模式两次认证过程IDM系统纳入被管IT组元，包括主机、网络设备、数据库、C/S及B/S应用系统。其基本模式是采用(依赖)IT组元自身的安全模式，将远程认证服务器集中，不支持远程认证的采用本地认证方式。IDM系统部署到IT系统后，用户访问被管资源实际上要作两次认证，一次是登录IDM服务器（或SSO服务器），第二次是登录被管资源时，被管资源本身要求的认证。第二次认证由IDM系统（SSO服务器）代理完成。如果被管资源支持外部认证（路由器），则可以引入集中的认证服务器，如Radius，Tacks+认证服务器对于支持WebService的标准协议的，采用IDMPortal/SSO生成令牌CookieHTTPPOST（Token）对于被管资源本地认证，则IDM完成密码代添功能IDM主要功能的实现模式授权管理IDM系统在自然人和被管资源之间建立访问授权关系，一般采用基于角色的访问控制技术（RBAC）对自然人帐号授权在RBAC框架下，IDM的授权涉及三个层次：1.一是角色授予自然人帐号，即自然人帐号授权；2.二是被管资源的从账号授予角色即角色授权；3.三是被管资源内部的从账号的授权，这有赖于被管资源内部的安全模式。IDM主要功能的实现模式访问控制自然人通过IDM系统对整个IT系统的登录过程理想的IDM模型，应该提供给用户统一的登录入口（IDM登录界面，IDMportal）用户登录IDMPortal后即可按照IDM设定的访问权限登录各IT组元，由IDM代理完成IT组元要求的登录认证过程，包括密码代填或令牌（Key）的发放及统一认证用户所用的客户端可以智能的适应不同的访问对象的登录方式（如通过IE浏