您的位置: 网界网 > 周报全文 > 正文

[周报全文]解读数字身份

2003年06月16日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:解读数字身份

标签
    编者按:无线接入、远程访问、即时消息等技术正在被越来越多的用户接受和使用。这些技术在使网上办公更加方便、快捷的同时,也冲击着现有网络的安全性。在接下来几期内容中,我们将聚焦新兴的网上办公技术所引发的安全问题,从数字身份、即时消息安全、客户端安全以及慎用无线设备等几方面提醒人们尽早应对安全体系所面临的新问题和新挑战。

    聚焦网上办公安全之
    解读数字身份

    对于来自网络内部和外部的访问请求,当务之急就是弄清访问者的身份。身份管理系统能够帮助用户为员工、客户以及合作伙伴提供相应权限的访问服务。用户可以自行建立基于内联网的身份管理系统;也可以利用基于Web的访问管理工具为网站提供身份管理服务;还可以选择身份管理工具来应付不断增长的身份管理需求。身份管理的目标是“了解谁在使用网络资源以及他们需要什么”。

    用户进行身份管理首先需要评估企业的业务目标和已有的目录结构,包括应用数量、用户、属性、角色和规则等;接下来用户需要设计满足目标需要的架构和项目计划,在认证、授权、账户管理和Web访问管理工具等技术中做出选择,如果用户的身份管理问题是如何将“白金”客户与其他客户区别开来,那么Web访问管理工具也许是理想的选择;最后,用户需要确定将身份管理系统集成到网络结构中的步骤,安装、测试和启动身份管理应用。

    确定问题

    在考虑身份管理时,用户首先需要弄清业务流程对身份管理系统的需求。以A公司为例,A是一家保险公司,拥有许多金融工具(报告成生器、计算器等),A公司希望能为客户在线提供这些工具。如果A公司的身份管理系统让客户分别登录五次才能完成想做的事,那么A公司的身份管理系统则是不成功的。

    在建立身份管理系统之前,人们必须深入研究确定以下问题:身份管理是外部问题还是内部问题;会不会出现太多有关口令的求援电话;如何减少访问控制的总体拥有成本……明确以上问题有助于确定用户最终需要什么样的身份管理方案。

    两年前,金融服务提供商CUNA Mutual开始考虑如何提供300多种产品和服务。CUNA Mutual拥有125个目录用来保存数字证书以及所有使用CUNA Mutual系统的成员信息。对于这家公司来说,125个身份目录显然使身份管理遇到了条块分割的阻力。

    制定目录战略

    大多数身份管理系统都是从目录服务集成入手的。其思路是拥有每一数据的单一的“权威来源”。“权威来源”可以来自人力资源的员工记录,也可以来自电子邮件地址。在进行目录服务集成时,用户可以采用为不同目录的数据提供整合视图的元目录产品。

    理论上,人们可以建立一个权威来源,但是在实践中,用户不可能做到这点,PeopleSoft和SAP等应用需要拥有自己独立的数据库,而且绝大多数用户也不可能只拥有单一的操作系统,事实上NetWare、Unix和Windows等操作系统常常会并存于用户的网络当中。针对这一现状, Syracuse大学一方面部署了Sun公司的iPlanet目录服务器来建立验证用户的主目录,另一方面仍将不同应用的专用数据保存在操作系统的目录中,Syracuse大学利用账户管理工具检测主数据库中的变化,然后将变化推送给用户所在的其他目录。

    引入应用

    当目录部署到位后,集成应用的工作就可以开始了。具有Web功能的机构进行这项工作要容易得多,因为它们拥有标准界面——浏览器。浏览器是机构部署任何Web应用都可以使用的单一的、集中式的认证与授权引擎。

    集成应用使人们回到了具有集中式访问管理的大型机模式中。集中式访问管理可以以多种方式实施,一般来说,当一位用户尝试登录到一个Web应用上时,登录请求被输送给访问管理引擎。在访问管理引擎中(+本站微信networkworldweixin),这位用户得到适当的认证,用户至少需要输入用户名和口令。然后,代表这位用户身份的数字证书的安全令牌就被传送给这个应用。如果这位用户以后希望访问其他应用,这个令牌可以根据需要在幕后来回传送,这位用户不必在访问每一个新应用时进行登录。

    包括IBM、Netegrity和Oblix在内的多家公司提供授权功能的Web访问管理产品。虽然这类系统可以很容易地与基于Web的应用进行集成,但是与客户机/服务器应用的集成可能将需要更耗费时间的定制集成工作。人们必须重新改造客户机/服务器应用才能利用这种模型。

    尽管一些应用值得付出这种努力,但是许多机构选择了冻结“胖客户机”应用的开发,转而迁移到基于Web的模型上。让大型机应用具有Web功能并将它们连接到Web访问管理系统中相对容易一些。

    部署Web访问管理系统

    “购买还是开发”争论常常归结为企业理念和解决问题要求的一种结合。对于首选购买而不是开发的公司可以着手实施元目录战略。元目录战略可以决定哪些目录是某一数据的权威来源,然后从这个目录复制到其他来源。所有的来源都为一个中心访问协议目录提供输入,以保持信息的同步。在部署身份管理系统之前,用户必须准确理解自己目前的状态和需求是什么,明确身份管理系统应当完成什么。

    Nucor公司在2001年开始寻找一种提供授权服务的简单的方法,授权雇员使用基于内联网的知识管理、人力资源、购买、库存管理和销售协作工具。该公司在不同地区都设有办事机构,它所面临的问题是开发一种身份管理系统能够适应分散管理的计算环境。该公司的目标是使授权方法足够简单,当管理人员关机时,可以确信他们只批准了预期的权限。

    Nucor面对的是一个Microsoft环境,这使部署访问管理引擎更容易。这家公司使用Active Directory作为身份管理引擎的基础,利用提供数千种权限的自己开发的软件令牌扩展其基础授权功能。这些权限被打到软件包(即配置文件)中。一个软件包可以提供数百个权限,批准对日常人力资源等应用的访问。另一些软件包定义了不同工作所特有的权限,如控制员和IT人员。额外的权限可以根据需要授予任意个人。某些权限启动一次审计事件,向相应的人员发送电子邮件警告他们批准了该权限,以防不应当批准的情况发生。Nucor只用了五个月就开发了Web访问管理引擎,费用不到5万美元。 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]