本发明涉及船舶电子信息技术,尤其涉及一种集成异构舰载信息系统的统一安全认证平台。
背景技术:
随着各类大型水面舰船信息化程度的提高,各种业务应用系统,包括动力监控、电力监控、辅助系统、综合舰桥、综合保障等,极大地提高了舰载信息系统的敏捷性、智能性和精确性。而根据gjbz20107-93(军队涉密信息系统安全保密要求),各类舰载信息系统需要对访问用户进行身份认证。
然而,当前舰载信息系统的身份鉴别存在如下安全问题:
1)舰载信息系统通常采用传统的口令认证方式,但这种方式极易被猜测、非法获取或截获。假冒身份非法访问舰载信息系统,将会导致机密信息泄露,或破坏舰载信息系统,使系统运行不正常。此外,口令繁多也是一个重要问题。由于这些舰载信息系统互相独立,用户在使用每个舰载系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每个系统的用户名和密码,这给用户带来了不少麻烦。
2)各舰载信息系统信息无法共享,形成信息孤岛。由于各舰载信息系统的用户身份信息内容和数据格式不统一,没有统一的用户身份信息,无法进行信息共享,无法实现互连互通。舰船用户在所有舰载信息系统中都存在用户信息,而由于对用户信息的管理没有统一的规划设计,造成一个用户在多个舰载信息系统中有不同的用户信息,信息重复且不准确,用户管理十分繁琐,没有统一共享的用户信息,造成许多共享资源信息系统无法向更多的用户开放,或无法确认用户可信的身份,舰船平台的整体信息共享的价值不能体现出来。
然而,由于多种舰载信息系统并存环境下用户信息数据的多源性、异构性以及不同登录认证机制,使得舰船的统一安全认证过程非常复杂。对此,本成果提出一种集成异构舰载信息系统的统一身份认证平台,用户只需要在网络中主动地进行一次身份认证过程,通过认证后就携带被信任的授权票据访问其被授权使用的所有处在网络上的资源,而不需要其主动参与其后的身份认证过程,从而实现舰船平台多种异构信息系统的统一集成登录与安全认证管理,提高舰船平台整体信息安全水平。
技术实现要素:
本发明要解决的技术问题在于针对现有技术中的缺陷,提供一种集成异构舰载信息系统的统一安全认证平台。
本发明解决其技术问题所采用的技术方案是:一种集成异构舰载信息系统的统一安全认证平台,包括:
基于cas的统一登录身份认证系统,用于对用户进行登录验证;具体如下:
首先统一登录身份认证系统将拦截各类舰载信息系统所有的用户请求,如果用户已经登录,则将用户请求直接放行,用户可以访问系统资源;如果用户之前未登录该应用系统,则过滤器检查用户请求中是否含有身份票据,如果有身份票据且通过询问统一身份认证服务器判断身份票据合法,则对用户请求放行,同时设置用户状态为已登录;如果用户没有身份票据或者身份票据不合法,则过滤器将拒绝用户的请求,并将用户重定向至统一身份认证服务器的统一登录界面;
统一身份认证服务器,用于对用户进行密码验证,验证通过后,由统一身份认证服务器通过ssl安全通道向用户发放登录其他应用系统的一次性加密身份票据和服务票据;
异构系统信息共享数据库,用于多个异构信息系统间的用户身份信息同步交互、共享存储和用户的角色权限信息统一管理存储;应用系统安全代理服务器,用于收到用户提供的身份票据后,向统一身份认证服务器求证票据的合法性,如果统一身份认证服务器返回票据合法信息,则应用系统安全代理服务器确认用户合法。
按上述方案,所述身份票据为设置在设定时间(15分钟)后自动过期的身份票据。
按上述方案,所述身份票据采用ssl加密传输通道,身份票据内容在传输之前被用证书进行了非对称加密。
按上述方案,所述身份票据存储在浏览器程序的内存之中。
按上述方案,所述服务票据为用于记录用户每次登录应用系统服务器的行为和日志信息的票据。
按上述方案,所述服务票据被设置为一次性票据,服务票据一旦被用过一次以后就失效,如果用户需要再次登录该应用系统则需要再次申请服务票据。
按上述方案,所述服务票据被设置了极短的生命周期,生命周期不超过10s,也即服务票据在申请完成之后必须在10s中之内使用,否则就会自动过期。
本发明产生的有益效果是:本发明针对舰船平台下多种舰载信息系统的用户信息数据集成共享及统一安全登录认证机制问题,提出了一种基于cas实现的统一身份认证平台。可实现舰船平台多种异构信息系统的统一集成登录与安全认证管理,从而提高舰船平台整体信息安全水平。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例的统一身份认证平台结构示意图;
图2是本发明实施例的基于cas的统一认证集成框架示意图;
图3是本发明实施例的用户身份信息共享存储示意图;
图4是本发明实施例的统一身份认证信息流程图;
图5是本发明实施例中统一认证系统部署示意图;
图6是本发明实施例中统一认证系统与其它应用系统接口示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,针对舰船平台下多种舰载信息系统的用户数据资源类型与安全访问需求,提出基于cas实现的统一认证集成框架,建立统一用户认证及角色信息共享模型,并进行角色权限以及认证服务安全管理设计,从而实现舰船平台多种异构信息系统的统一集成登录与安全认证管理。
一种集成异构舰载信息系统的统一安全认证平台,包括:
(1)基于cas的统一登录身份认证系统
基于cas的统一登录身份认证系统采用模块化结构设计,由终端用户、注册中心(ra)、认证中心(ca)、ra管理员和ca管理员等构成,其中注册中心(ra)和认证中心(ca)又包含相应的模块,系统架构如图2所示。
统一身份认证系统能提供完善的功能,包括:证书签发、证书生命周期管理、证书吊销列表(crl)查询服务、目录查询服务、ca管理、密钥管理和日志审计等全面的功能。
统一身份认证系统的所有模块可以安装在同一台服务器上,也可以采用多台服务器分别安装各模块。根据舰载信息系统的实际需求,采用双服务器安装整个cas认证系统,主备服务进行双活容错设计。
(2)统一用户认证及角色信息共享模型
总体而言,统一身份认证系统不再使用传统各信息系统基于用户名和密码的身份认证机制,用户只需要在网络中主动地进行一次身份认证过程,用户通过认证后就携带被信任的授权票据访问其被授权使用的所有处在网络上的资源,而不需要其主动参与其后的身份认证过程。用户的账号信息与授权票据是集中保存和管理的,并结合密码学技术进行加密,大大提高系统的安全性,同时也可以保证用户的电子身份标识能安全、高效地在网络中传送。
①统一身份认证服务器
在舰船平台环境下设立一个集中的统一身份认证服务器,该集中认证服务器通过数字证书向所有用户和应用服务器表明自己的身份。统一身份认证服务器负责对用户进行密码验证,用户登录其他应用系统时,首先通过用户名密码登录到统一身份认证服务器,由统一身份认证服务器向用户发放登录其他应用系统的一次性票据。
用户登录使用票据而不是用户名密码向应用系统服务器表明自己的身份,应用系统服务器收到用户提供的票据后,自身不能对票据的有效性进行辨别,应用系统服务器需要在后台向统一身份认证服务器求证票据的合法性,如果票据合法,则统一身份认证服务器向应用系统服务器返回票据的持有者身份信息,应用系统服务器于是可以确认用户的身份。统一身份认证模型架构如图2所示。
②系统数据库
为了满足用户身份信息集中管理维护的需求,同时兼顾到各舰载信息系统独立、数据异构等信息特征,因此,在用户信息资源共享方面,采取集中的用户数据库与分布的应用系统角色数据库的存储方式。
如图3所示,全舰共用一个统一的人事系统数据库,该人事系统数据库存储全舰部门编制和人员编制列表,一般有独立的人事管理系统或者具有人事管理功能的其他应用系统维护,用户的身份凭据信息(密码)只存在于身份认证数据库,各类舰载信息系统分别存储用户在本系统中的角色权限信息。其中身份认证数据库、各应用系统角色数据库中的用户列表均来自于人事系统数据库,并通过自动同步或者手动同步的方式保持与人事系统数据库中部门、人员编制列表的一致。
身份认证信息流程:
统一登录身份认证系统的身份认证基本流程如下:首先身份认证将拦截各类舰载信息系统所有的用户请求,如果用户已经登录(一般通过sessioncookie进行判断),则将用户请求直接放行,用户可以顺利访问系统资源,如果用户之前未登录该应用系统,则过滤器检查用户请求中是否含有票据,如果有合法票据(通过询问统一身份认证软件判断票据合法性),则对用户请求放行,同时设置用户状态为已登录,这样用户下次访问时就可以直接放行,如果用户没有票据或者票据不合法,则过滤器将拒绝用户的请求,并将用户重定向至统一登录界面。信息流程如图4所示。
认证服务安全管理:
对于本文提出的统一身份认证模型而言,其安全性主要是考虑用户密码的安全性、身份票据和服务票据的安全性,因为身份票据是用户登录统一身份认证服务器的凭据,而服务票据是用户登录各应用系统的凭据,如果用户的身份票据或服务票据被他人窃取,那么用户的身份就可能被冒充,从而带来安全性风险,下面分别对身份票据和服务票据的安全性进行分析。
①用户密码的安全管理模型
在统一身份认证模型中,统一身份认证服务器代替其他应用服务器进行密码验证,用户登录时,只需要向统一身份认证服务器提交一次密码即可,避免了向多个应用服务器提交密码而可能带来的泄密问题。统一身份认证服务器与客户端电脑之间通过ssl加密通道传输用户密码,有效地保护了用户密码的安全。
②身份票据安全管理模型
对用户来说,最重要是要保护它的身份票据,如果身份票据不慎被认证服务器以外的实体获得,黑客能够找到该身份票据,然后冒充用户访问所有授权资源。
身份票据的安全性主要体现在两个方面,一个方面是传输环节的安全性,另一个方面是存储环节的安全性。
在传输方面,身份票据的传输采用了ssl加密传输通道,票据内容在传输之前被用证书进行了非对称加密,因此身份票据不用担心在传输过程中被他人窃取。
在存储方面,身份票据存储在会话cookie中,也即存储在浏览器程序的内存之中,由于身份票据没有以文件的形式存储于程序外部,因此不用担心身份票据被人窃取。
另外,为了进一步加强身份票据的安全性,身份票据可设置在一定时间(15分钟)后自动过期。
综上,身份票据安全管理可以有效防御来自会话窃取攻击、重放攻击等攻击方式带来的威胁。
③服务票据安全管理模型
服务票据是用户登录具体应用系统的凭证,如果被人掌握,那么有可能被人窃取该用户在某一应用系统的权限。
服务票据的传输通道包括三个部分:发放通道、提交通道和验证通道。发放通道是统一身份认证服务器生成服务票据后传递给用户的通道,提交通道是用户将服务票据客户端电脑提交到应用系统服务器的通道,验证通道是应用系统服务器将票据提交给统一身份认证服务器的通道。其中发放通道和验证通道都有统一身份认证服务器的参与,由于统一身份认证服务器会强制要求进行ssl加密传输,因此在发放通道和验证通道中不用担心服务票据被窃取,但是提交通道很可能是不使用加密传输的,服务票据在该通道传输时可能会被网络黑客窃取。为了解决服务票据在提交通道可能会被窃取的问题,特地对服务票据进行如下处理:
1)服务票据被设置为一次性票据,服务票据一旦被用过一次以后就失效,如果用户需要再次登录该应用系统则需要再次申请服务票据。
2)服务票据被设置了极短的生命周期,一般不超过10s,也即服务票据在申请完成之后必须在10s中之内使用,否则就会自动过期。
通过以上两种手段,使得即使黑客能够窃取到用户的服务票据,也会因为服务票据的失效而无法窃取到用户的权限。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。