论文部分内容阅读
[摘要] 在传统统一账号管理无法保证用户账号的有效管理、安全授权和认证,因此,各大企业一直坚持不懈地对如何实现真正的统一账号管理进行研究。本文结合实际需求,将统一账号管理与AAA技术有机结合起来,让企业在账号管理过程中,实现真正的统一账号管理、授权和认证。本文对AAA框架设计和价值进行了论述。
[关键词] 账号 授权 认证 AAA
一、引言
随着企业各种应用系统的迅速发展,各种应用系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,传统的统一账号管理措施已不能满足企业目前及未来发展的要求。主要表现在以下方面:
1.企业的应用系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的应用系统。目前各应用系统都有一套独立的管理、认证和授权系统,并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加。
2.各系统分别管理所属的系统资源,为本系统的用户分配权限,缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,系统的安全性无法得到充分保证。
3.有些账号多人共用,不仅在发生安全事故,难于确定账号的实际使用者,而且在平时难于对账号的扩散范围进行控制,容易造成安全漏洞。
4.应用系统的增多,使用户经常需要在各个系统之间切换,每次从一个系统切换到另一个系统时,都需要输入用户名和口令进行登录。给用户的工作带来不便,影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个应用系统的口令设置成相同的,危害到系统的安全性。
系统维护和管理人员的工作负担增加,工作效率无法提高;同时无法对各应用系统实现统一的安全策略,从而在实质上降低了应用系统的安全性。因此需要根据企业的现状,研究集中统一的安全管理技术和平台,使得系统和安全管理人员可以对应用系统的用户和各种资源进行集中管理、集中权限分配,从技术上保证应用系统安全策略的实施。
二、AAA介绍
为了保证在统一账号管理过程中能真正实现账号的集中管理、授权和认证,本文将统一账号管理与AAA技术融合在一起,设计一套安全管理框架,用于企业账号管理。
这个安全管理框架包括用户的账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理,简称AAA框架。
身份认证是信息安全的第一道防线,用以实现应用系统对操作者身份的合法性检查。对信息系统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
授权是指对用户使用应用系统资源的具体情况进行合理分配的技术,实现不同用户对系统不同部分资源的访问。
AAA一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用户的权益,又能有效地保障应用系统安全可靠地运行。
三、AAA框架
图下表示的是AAA框架的统一的逻辑结构。在物理部署时,可以分总监控、分级监控两级部署,分别管理各自的应用系统,但是又能够实现互联。教学和成绩系统可以分期纳入AAA框架的管理,也可以由各自归口管理部门分别按照本规范进行改造,条件成熟后再进行统一管理,为此在改造时必须注意采用统一的数据存储(安全目录)、统一的用户命名规则、统一的编程接口等。
下面对AAA框架中涉及的管理员和用户的工作过程进行详细描述:
1.管理员工作过程。在AAA框架下,集中化的用户账号管理主要包括如下部分:
(1)角色定义:在企业范围内定义、维护角色。
(2)角色授权:对角色赋予相应权限,权限包括允许访问的对象,及对对象的访问方式。
(3)用户创建:建立用户,用户信息与实际人员对应。
(4)分配角色:根据用户的工作部门和岗位,为用户分配相应的角色。
(5)策略制定:包括口令策略制定、访问策略制定等。
(6)账号管理:包括账号收集(发现)、账号同步、账号增加、账号删除等。
2.普通用户工作过程。在AAA框架下,用户获取、行使访问权限的过程可以分为以下几步:
(1)用户创建:通过管理员或用户自助注册系统建立用户,用户信息与实际人员的身份识别标志对应。
(2)获得授权:由管理员分配角色,基于角色用户获得访问应用系统相关资源的权限。
(3)登錄系统访问资源:用户登录到应用系统,根据身份认证结果及为其分配的角色,与应用系统交互。如果采用单点登录,则用户只需要在系统启动后,用单点登录主账号登录到单点登录服务器,以后再登录其他主机、网络设备、应用系统时,其登录过程由系统自动完成,用户不再需要记忆多个密码、进行多次登录。
三、AAA框架的价值
AAA框架的作用主要体现在系统管理员方面、普通用户方面、系统安全性、系统管理费用等方面。
1.企业角度。对于企业来说,由于企业内部账号授权管理的混乱,造成私设账号、账号失效后未及时收回、某些账号的扩散范围难于控制,从而给企业造成的安全损失是很严重的。
在AAA框架下,账号授权管理将纳入统一、可控的框架和过程,账号设置、分配均有详细记录;账号撤消、更改后的同步工作(包括从集中账号管理系统向各主机、设备、系统下发账号,及集中账号管理系统从各主机、设备、系统收集账号)均由系统自动完成,避免手工同步;对账号的有效期可以用时间、地域等附加因素进行限制,防止滥用;在多人共用账号的情况下,也可以精确到实际使用账号的个人;针对高价值资产、高权限账号,通过灵活支持动态口令、PKI、生物认证等强认证技术,提高信息资产的安全性,并实现不同权限等级账号的不同安全策略。
这些措施无疑将给企业信息资产的安全防护提供强有力的手段,避免安全损失,同时通过保障企业内主机、设备、应用系统的顺畅运行,给企业增加效益。
2.管理员角度。采用AAA框架,方便了系统中包括从系统用户聘用到辞职的整个生命周期的管理。
通过AAA框架,系统管理员可以方便高效地对应用系统进行监控,及时发现未授权的信息资源访问,权限滥用,入侵企图等等。
AAA框架还为安全策略的强制统一执行提供技术保证,如监测用户口令的强度,口令更改周期等等。减少由于用户忘记密码产生的维护成本。这些都使管理员对信息资源管理的效率大大提高。
3.普通用户角度。通过AAA框架,可以保证用户权限的分配符合安全策略要求,拥有完成任务所需要的最小权限。
用户可以通过AAA框架提供的自助管理接口,可以方便地更改自己的口令和个人基本信息,减轻了系统管理员的工作负担,也提高了用户的工作效率。
通过AAA框架提供的单点登录系统,用户一次登录即可方便地访问被授权的所有系统,省去了记忆多个账号名和口令的麻烦,提高了工作效率。
4.系统安全角度。AAA框架可以使用户的工作变动情况及时在应用系统中得到体现,通过集中平台,一个指令,即可以干净、彻底的清除与每个用户相关的所有账号,防止出现用户已经离职但账号还存在的情况。
另外AAA框架为安全策略的强制执行提供了技术手段,如单点登录系统可以为用户在不同应用系统中自动设置足够强的口令,并且可以自动定期修改口令。这种设置和修改对用户是透明的,用户只需记住登录到单点登录系统的口令即可,提高了用户的效率,防止弱口令的存在。
通过方便高效的监控手段,可以及时发现系统中存在的安全问题和各种入侵企图,为安全管理员采取相应的措施提供及时准确的信息,增强系统的安全性。
5.系统成本角度。用户自我服务使用户可以维护自己的信息,单点登录减少了用户忘记口令的情况,这都使得系统的管理成本,尤其是在用户数目巨大的情况下大幅度降低。
四、结论
本文介绍的应用于统一账号管理中的AAA框架,其适用的范围基本上是所有采用多系统的企业。但是这样的企业由于实际的系统需求和网络环境的不同,可能造成此方案的适用性较差,也就是此方案要根据各个企业的具体要求,进行进一步的详细划分,这样才能满足该企业的真正需求。
[关键词] 账号 授权 认证 AAA
一、引言
随着企业各种应用系统的迅速发展,各种应用系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,传统的统一账号管理措施已不能满足企业目前及未来发展的要求。主要表现在以下方面:
1.企业的应用系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的应用系统。目前各应用系统都有一套独立的管理、认证和授权系统,并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加。
2.各系统分别管理所属的系统资源,为本系统的用户分配权限,缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,系统的安全性无法得到充分保证。
3.有些账号多人共用,不仅在发生安全事故,难于确定账号的实际使用者,而且在平时难于对账号的扩散范围进行控制,容易造成安全漏洞。
4.应用系统的增多,使用户经常需要在各个系统之间切换,每次从一个系统切换到另一个系统时,都需要输入用户名和口令进行登录。给用户的工作带来不便,影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个应用系统的口令设置成相同的,危害到系统的安全性。
系统维护和管理人员的工作负担增加,工作效率无法提高;同时无法对各应用系统实现统一的安全策略,从而在实质上降低了应用系统的安全性。因此需要根据企业的现状,研究集中统一的安全管理技术和平台,使得系统和安全管理人员可以对应用系统的用户和各种资源进行集中管理、集中权限分配,从技术上保证应用系统安全策略的实施。
二、AAA介绍
为了保证在统一账号管理过程中能真正实现账号的集中管理、授权和认证,本文将统一账号管理与AAA技术融合在一起,设计一套安全管理框架,用于企业账号管理。
这个安全管理框架包括用户的账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理,简称AAA框架。
身份认证是信息安全的第一道防线,用以实现应用系统对操作者身份的合法性检查。对信息系统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
授权是指对用户使用应用系统资源的具体情况进行合理分配的技术,实现不同用户对系统不同部分资源的访问。
AAA一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用户的权益,又能有效地保障应用系统安全可靠地运行。
三、AAA框架
图下表示的是AAA框架的统一的逻辑结构。在物理部署时,可以分总监控、分级监控两级部署,分别管理各自的应用系统,但是又能够实现互联。教学和成绩系统可以分期纳入AAA框架的管理,也可以由各自归口管理部门分别按照本规范进行改造,条件成熟后再进行统一管理,为此在改造时必须注意采用统一的数据存储(安全目录)、统一的用户命名规则、统一的编程接口等。
下面对AAA框架中涉及的管理员和用户的工作过程进行详细描述:
1.管理员工作过程。在AAA框架下,集中化的用户账号管理主要包括如下部分:
(1)角色定义:在企业范围内定义、维护角色。
(2)角色授权:对角色赋予相应权限,权限包括允许访问的对象,及对对象的访问方式。
(3)用户创建:建立用户,用户信息与实际人员对应。
(4)分配角色:根据用户的工作部门和岗位,为用户分配相应的角色。
(5)策略制定:包括口令策略制定、访问策略制定等。
(6)账号管理:包括账号收集(发现)、账号同步、账号增加、账号删除等。
2.普通用户工作过程。在AAA框架下,用户获取、行使访问权限的过程可以分为以下几步:
(1)用户创建:通过管理员或用户自助注册系统建立用户,用户信息与实际人员的身份识别标志对应。
(2)获得授权:由管理员分配角色,基于角色用户获得访问应用系统相关资源的权限。
(3)登錄系统访问资源:用户登录到应用系统,根据身份认证结果及为其分配的角色,与应用系统交互。如果采用单点登录,则用户只需要在系统启动后,用单点登录主账号登录到单点登录服务器,以后再登录其他主机、网络设备、应用系统时,其登录过程由系统自动完成,用户不再需要记忆多个密码、进行多次登录。
三、AAA框架的价值
AAA框架的作用主要体现在系统管理员方面、普通用户方面、系统安全性、系统管理费用等方面。
1.企业角度。对于企业来说,由于企业内部账号授权管理的混乱,造成私设账号、账号失效后未及时收回、某些账号的扩散范围难于控制,从而给企业造成的安全损失是很严重的。
在AAA框架下,账号授权管理将纳入统一、可控的框架和过程,账号设置、分配均有详细记录;账号撤消、更改后的同步工作(包括从集中账号管理系统向各主机、设备、系统下发账号,及集中账号管理系统从各主机、设备、系统收集账号)均由系统自动完成,避免手工同步;对账号的有效期可以用时间、地域等附加因素进行限制,防止滥用;在多人共用账号的情况下,也可以精确到实际使用账号的个人;针对高价值资产、高权限账号,通过灵活支持动态口令、PKI、生物认证等强认证技术,提高信息资产的安全性,并实现不同权限等级账号的不同安全策略。
这些措施无疑将给企业信息资产的安全防护提供强有力的手段,避免安全损失,同时通过保障企业内主机、设备、应用系统的顺畅运行,给企业增加效益。
2.管理员角度。采用AAA框架,方便了系统中包括从系统用户聘用到辞职的整个生命周期的管理。
通过AAA框架,系统管理员可以方便高效地对应用系统进行监控,及时发现未授权的信息资源访问,权限滥用,入侵企图等等。
AAA框架还为安全策略的强制统一执行提供技术保证,如监测用户口令的强度,口令更改周期等等。减少由于用户忘记密码产生的维护成本。这些都使管理员对信息资源管理的效率大大提高。
3.普通用户角度。通过AAA框架,可以保证用户权限的分配符合安全策略要求,拥有完成任务所需要的最小权限。
用户可以通过AAA框架提供的自助管理接口,可以方便地更改自己的口令和个人基本信息,减轻了系统管理员的工作负担,也提高了用户的工作效率。
通过AAA框架提供的单点登录系统,用户一次登录即可方便地访问被授权的所有系统,省去了记忆多个账号名和口令的麻烦,提高了工作效率。
4.系统安全角度。AAA框架可以使用户的工作变动情况及时在应用系统中得到体现,通过集中平台,一个指令,即可以干净、彻底的清除与每个用户相关的所有账号,防止出现用户已经离职但账号还存在的情况。
另外AAA框架为安全策略的强制执行提供了技术手段,如单点登录系统可以为用户在不同应用系统中自动设置足够强的口令,并且可以自动定期修改口令。这种设置和修改对用户是透明的,用户只需记住登录到单点登录系统的口令即可,提高了用户的效率,防止弱口令的存在。
通过方便高效的监控手段,可以及时发现系统中存在的安全问题和各种入侵企图,为安全管理员采取相应的措施提供及时准确的信息,增强系统的安全性。
5.系统成本角度。用户自我服务使用户可以维护自己的信息,单点登录减少了用户忘记口令的情况,这都使得系统的管理成本,尤其是在用户数目巨大的情况下大幅度降低。
四、结论
本文介绍的应用于统一账号管理中的AAA框架,其适用的范围基本上是所有采用多系统的企业。但是这样的企业由于实际的系统需求和网络环境的不同,可能造成此方案的适用性较差,也就是此方案要根据各个企业的具体要求,进行进一步的详细划分,这样才能满足该企业的真正需求。