统一身份认证系统在监狱信息化中的应用探析
随着监狱信息化应用程度的深入,在监狱系统中运行和应用的各种软件系统越来越多,这些系统是在不同时期采用不同的技术开发。虽然实现的功能千差万别,但是出于安全考虑,每个系统都要鉴别使用者的身份,都有自己的安全认证模块,需要建立不同的用户和角色。
这种认证方法有以下不足:
(1)各种应用系统有独立的用户系统和认证模块,管理不方便。新建立一位用户,如果其需要登录不同应用系统,就要在各个系统中分别设立,容易造成用户和密码管理混乱,造成管理难度。
(2)用户使用不方便。一位用户如果需要登录多个系统就需要分别建立用户名和密码。而且由于采用技术不同,各个系统对用户名和密码的要求也不同,使用者每次登录各个应用系统时不但要多次登录而且要记住多个不同用户名和密码,况且为了安全考虑还要采用强度较强的长密码,更不宜记忆。
(3)由于各个系统采用的安全加密方法不同,缺乏统一的安全策略,安全程度参差不齐,一定程度上存在安全隐患。另外网络应用越多,网络秩序就越难控制,不安全隐患也就越多。
鉴于以上分析,建立统一身份认证系统是信息化应用程度深入的必然趋势,是信息化管理、应用、安全等各方面客观要求的结果。
一、统一身份认证系统概述
统一身份认证系统是一个专门为各种应用系统提供安全认证服务的系统,它具有安全、可靠、高效的特点。提高了认证的可信度与可靠性。为解决各个应用系统之间的数据共享、互相访问提供可操作的平台。有利用应用系统的整合。
1.1.统一身份认证的优势
(1)用户资料的统一存储和管理。建立一个用户认证数据库,用于对用户的添加、修改、删除等操作,这些数据可以被各个系统引用,是权威的数据。为每一个用户提供唯一的电子身份,一旦哪个用户出现问题查找方便,便于对用户的控制,用户具有唯一性,是每个用户的系统内网上身份证。
(2)用户身份集中验证。通过对用户角色的统一管理,可以控制每个用户的权限,授权范围。所有身份验证都集中在认证服务器认证,具有高可靠性和可信任度,便于建立系统内的CA中心,有利于提高整个信息化应用系统的安全性。由于是独立管理,便于更新技术和采用最先进的认证方案,提高认证的安全程度。
(3)采用基于身份认证的单点登录,可显著提高信息化的易用性,降低用户的使用难度,提高用户的使用效率。
1.2.统一身份认证系统的系统架构
统一身份认证系统的数据存于中央用户数据库,授权策略与加密方法存在认证服务器。
1.3.统一身份认证的技术特点
(1)系统能够使现有的应用系统安全认证更加强壮和智能化,并且更易于防范未经授权的访问和日志记录。
(2)建立身份认证服务器,将用户的访问信息独立于应用程序来进行集中管理,便于控制和管理。
(3)形成单一的权限认证,建立独立的权限服务数据库,保证所有权限的权威性和唯一性。
(4)各种应用系统单一的登录界面,操作简便,符合人机工程学的特点,人机交互更加友好。
二、统一身份认证系统实现的技术要点
在身份认证系统中,随着监狱信息化程度的深入,为适应发展,建议采用技术实现手段主要包括LDAP、SSO、SSL、PKI等。
2.1.LDAP目录服务器
LDAP是英文Lightweight Directory Access Protocol的简写,他的最大优势是可以在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持,他是跨平台的,因此应用程序就不用为LDAP目录放在什么样的服务器上操心。实际上,LDAP得到了业界的广泛认可,因为它是Internet的标准。产商都很愿意在产品中加入对LDAP的支持,因为他们根本不用考虑另一端(客户端或服务端)是怎么样的。LDAP服务器可以是任何一个开发源代码或商用的LDAP目录服务器,因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。与LDAP不同的是,如果软件产商想在软件产品中集成对DBMS的支持,那么通常都要对每一个数据库服务器单独定制。
在经过一个快速的发展之后,事实上LDAP已经成为目录信息的标准方式,目前包括Sun,Netscape,Microsoft等公司都已支持该协议并推出了相应的产品,同时LDAP现在为大多数的网络操作系统,组件系统和应用所支持。
目录服务器是整个统一身份认证系统的基础,目录服务器采用标准的LDAP目录服务器产品,通过LDAP目录服务将系统内的用户信息以层次结构,面向对象的数据库的方式加以收集和管理,对用户信息进行统一管理,保证了数据一致性和完整性,为监狱内各类应用系统包括管教信息系统、OA系统、门禁系统等提供用户信息共享和使用。
2.2.SSO单点登录
单点登录(Single Sign On, SSO)系统平台就是为统一身份认证问题而提出的。单点登录平台能够简化用户使用流程,用户只需要登录一次,即输入一次统一的用户名称和用户密码,就可以多次使用多个应用系统。
实现 SSO,用户管理有以下优势:(1)管理控制用户方便:对应每个用户的权限与特权,仅有一个授权列表。这使得管理员在更改用户特权后,可以确信其结果会传播到整个网络范围。(2)工作效率提高:用户不至于再陷入多次登录的麻烦,也不用再为访问网络资源要记住多个密码。同时,网络管理人员也不必经常做重复简单的劳动。(3)网络安全性更高:所有可用的 SSO 方法均提供了高可靠性的安全身份验证,并提供了对用户与网络资源的会话进行加密的基础。取消多个密码,还减少安全漏洞。最后,管理员可以确信当她禁用某个用户帐号后,该帐号是完全禁用的。(4)有助于各种应用系统的集成:通过统一认证,管理工作也可以合并在一起,安全策略也可以统一设置,这已经是一种系统集成。