一种统一身份认证系统和方法与流程

本发明涉及身份认证技术领域，更具体地，涉及一种统一身份认证系统和方法。

背景技术：

现有的情况是大部分的系统自己管理自己的用户权限体系，系统一般采用用户名/口令的作为系统访问的验证手段，人员在不同的系统拥有不同的用户名/口令。

用户名、口令的机制很容易由于用户安全意识不强的问题而导致人为泄漏、外借或者被别人猜测成功。从实际情况来看，大量的用户在选取密码方面都非常脆弱，如密码为空、与用户名相同、简单英文单词或汉语拼音、简单数字、某些特定日期(如生日)、多个网站采用同样的账户密码或电话号码等。并且对于应用系统而言，这种登录方式不能确定登录人即是用户本人。

部分系统会采用数字证书的方式进行登陆，或者是权限校验，这种方式需要使用软证书或者ukey的方式进行鉴权。ukey同样具有外借和口令较弱的风险。同时因为是实物介质，可能出现保管不善导致的ukey丢失或泄漏。并且对于应用系统而言，这种登录方式不能确定登录人即是用户本人。同一个公司、单位或系统内部有大量的应用系统，各个系统都自行管理各自的权限，容易造成权限混乱，管理混乱。权限控制力度较粗，不能集中统一的、细粒度的管理用户的权限。应用的接入点、权限的决策点、访问的执行点在同一处，容易被入侵，造成权限泄漏。

某些机构的网络，比如政府网络、公司核心部门，需要更高要求的安全，更高要求的信任。现有技术中会采用pki的ca体系来进行认证。通过签发一个私钥给本人，公钥给公司或单位，链路加密的传输方式。整个认证系统包括秘钥管理和签发证书。其认证体系是：秘钥失效，但证书不失效。给整个行业和单位都签发了证书。加油站电脑是要加证书的，开发票税控机都有证书，这个体系具有如下缺点：1、签发成本高，当前一张证书的成本可能是几百元。2、证书混用冒用的情况非常普遍。到底是谁用这个证书，对应的是哪台机器在用，不知道。有一些是用口令来防止冒用，但因为弱口令等不修改，认证方式也形同虚设。3、维护复杂，证书的发放和管理很麻烦。比如在政府内部，签发和管理在内网是一套很严谨的流程，在内网做签发，如果人员流动离职，证书的回收很麻烦，需要到证书列表里撤销，证书的维护管理不方便。4、携带不方便，出差在外需要拿证书，可能会借别人的证书来用，失去了认证的作用。

鉴于以上，现在政府政务也在互联网化，大量的应用都在互联网化，更新迭代很快，b/s类的互联网认证有迫切的需求，通过ca的方式认证已经很难满足要求。

技术实现要素：

针对背景技术中的问题，本发明要解决如下问题：1.解决实际登录人与用户所有者不一致的问题；2.解决统一组织内大量应用账户的问题；3.解决权限管理混乱的问题；4.解决账户/口令易泄漏易猜测的问题；5.解决权限管理粒度粗的问题；6.解决单点决策的问题。

为此，本发明提出一种统一身份认证系统，包括：

统一单点登录平台，所述统一单点登录平台采集具有账户的用户的身份信息；

认证平台，所述认证平台与所述统一单点登录平台交互进行身份认证；

统一授权管理平台，所述统一授权管理平台为通过身份认证的用户的账户关联一子账户，其中，该子账户能够用来访问一应用资源；

访问控制平台，所述访问控制平台验证所述账户的权限，控制所述账户对应用资源的访问。

本发明还提出一种统一身份认证方法，包括：

通过统一单点登录平台采集具有账户的用户的身份信息；

通过认证平台与所述统一单点登录平台交互进行身份认证；

通过统一授权管理平台为经身份认证通过后的用户的账户关联一子账户，其中，该子账户能够用来访问一应用资源；

通过访问控制平台验证所述账户的权限，控制所述账户对应用资源的访问。

本发明的技术效果包括：

本发明实现了更安全的用户以及应用安全管理。实现安全管控、帐户唯一、单点登录、集中授权、透明审计。

本发明的系统采用基于生物特征的多因子身份识别技术补充解决了账户/密码、pki口令弱、不能保证是本人操作的问题。

统一管理账户和身份的生命周期，只需在管理中心一处统一维护，即可维护所有应用的访问权限，消除对后台系统非法访问的威胁，实现账户信息的统一管理。

采用单点登录，实现一次主帐号登录，自动关联到一子帐号，通过数字签名的票据实现免去密码访问授权范围内的所有应用系统。

通过创建安全组，支持将所有的用户以安全组或单位架构的形式管理起来，通过应用授权给安全组或用户组织架构分配应用两种授权机制，管控用户的访问去向。

记录系统范围内的安全和系统审计信息，有效地分析整个系统的日常操作与安全事件数据，通过归类、报表等方法，使管理员轻松识别应用系统环境中潜在的恶意威胁活动，可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。

将组织中所有的应用系统集中管控，支持私有云，专有云都集中管控和数据同步，为所有应用按照不同的维度分类呈现，直观地展示出的应用信息。

应用的接入点、权限的决策点、访问的执行点三权分立的方式，增加系统的安全性。

附图说明

为了更容易理解本发明，将通过参照附图中示出的具体实施方式更详细地描述本发明。这些附图只描绘了本发明的典型实施方式，不应认为对本发明保护范围的限制。

图1显示了本发明的系统的架构图。

图2显示了本发明的系统的认证平台的数据交互图。

图3显示了本发明的系统的统一授权管理平台的属性管理方式的图。

具体实施方式

下面参照附图描述本发明的实施方式，其中相同的部件用相同的附图标记表示。在不冲突的情况下，下述的实施例及实施例中的技术特征可以相互组合。

图1显示了本发明的系统的架构图，本发明的系统是涵盖单点登录的集中身份管理平台和应用可信接入网关。以备后续各个应用系统都采用统一的身份认证平台，使得组织内部有一个集中的用户身份管理系统，制定统一的账户安全管理策略，并为后续应用系统的建设搭建一个统一的身份认证和账户管理框架。

本发明的系统可以为用户构建统一、高效、安全的身份管理平台，它满足现有多种业务场景下各类应用系统的账户管理需求。提供了多因素认证、单点登录、用户管理、账户同步、权限管理、统一审计、应用安全接入等功能模块。

本发明的身份认证系统包括三大部分：认证平台、统一授权管理平台和访问控制平台。

认证平台负责为用户提供业务系统的统一认证接入，认证方法包括多种，根据业务系统安全级别的需要，可以选择通过用户名口令、证书、手机扫描二维码认证、人脸认证等多种认证方式。用户通过统一信息门户来连接认证平台进行认证。

用户经认证平台认证通过后，认证平台将用户登录标识作为主帐户传入统一授权管理平台，统一授权管理平台查询用户授权信息，将用户访问控制列表返回统一信息门户平台供用户选择，用户点击授权访问的应用系统，统一授权管理平台则分配一子帐户对应于该用户，该子账户能够通过访问控制平台来登录到被授权使用的应用系统。如此，实现了用户到应用系统的单点登录。其中用户授权信息是预先设定的，指的是哪些用户能够使用哪些应用系统。通过统一授权管理平台，根据用户属性的不同，可以对用户访问资源进行系统内模块级别访问控制以及数据级的访问控制。

统一单点登录平台

本发明的系统包括统一单点登录平台，提供多种单点登录接入方式选择：反向代理、账户token机制单点登录和标准接口单点登录。除此以外，所述登录平台具有单点登录标准接口，为将来其它应用系统接入单点登录预留了扩展升级的空间。

统一单点登录平台为用户提供统一的门户页面，门户的登录页面中可集成认证服务提供的多种身份认证方式。身份认证通过后，用户登录认证平台根据统一收取管理系统(在后面描述)提供的用户授权信息展示用户的授权应用列表。用户可点击应用图标单点登录进入应用。

认证平台

认证平台接收所述统一单点登录平台采集的用户认证信息，确认用户的身份。

认证平台包括多因子认证功能模块。除了传统的账户密码以及pki数字证书认证手段以外，还可以基于公安部互联网+可信身份认证体系，提供包括生物特征识别、法定身份证件认证、数字口令等多因子、多因素的可信身份认证能力。

认证平台可以采用多种认证模式，如实名认证、实名+实人认证、实名+实人+网证、实名+实人+网证+实证等，其中实人认证是基于人脸比对的认证方式。

在一个实施方式中，本发明提供三个等级的认证：等级1.刷脸(实人)+身份信息匹配；等级2.网证+刷脸+身份信息；等级3.身份证实证+网证+刷脸+身份信息。一个单位可以设置中高低三个等级的应用，根据应用的需求来进行认证，以满足不同的安全需要。比如单位内部的网站，大家都可以看，设置等级1的认证。客户关系管理系统，需要高等级，设置等级2的认证。对于敏感的财务系统，设置等级2的认证。现有技术中，用户等级是通过授权来做的，本发明是在认证的时候就进行授权分级。

采用账户密码方式认证时，用户通过统一单点登录平台输入账户密码，传输至认证平台与身份信息库中预先存储的进行比对，如果相同，则认证通过。

采用身份证实体证件方式认证时，用户通过统一单点登录平台输入身份证号码，或者通过统一单点登录平台配置的读卡器来读取实体证件内的信息，传输给认证平台，认证平台可以进行后台验证，来进行身份认证。

采用生物特征方式认证时，用户通过统一单点登录平台输入生物信息，比如，通过统一信息门户平台的指纹采集器，虹膜扫描装置等，将生物信息传输给认证平台，认证平台进行比对。

当采用刷脸方式认证，统一单点登录平台采集用户的照片，发送到认证平台进行认证。

优选地，认证平台将采集的用户身份信息发送给安全、可信的身份认证服务器(例如公安网的居民身份证数据库)来进行比对。

网证的生成方法可以参见已经公开的申请人的在先专利申请(申请号2018100362528)。网证实现的是“实人认证”，即实际业务用户与网证对应的用户的匹配性校验。网证的应用流程如下：

c1，第三方调用微信jsapi或者加载的小程序api(无需输入身份信息)。

c2，启动活体检测并采集现场人像图片。

c3，用户手机将用户对应网证及人像图片发送至接入平台，发起认证。

c4，接入平台使用现有认证链路将认证请求发送到可信平台，获取认证结果。

c5，可信平台进行认证，并向接入平台返回认证结果。

c6，接入平台向用户手机反馈认证结果。进一步，用户手机可以向第三方反馈认证结果。

另外，针对不同的使用场景和平台，可信身份认证提供多种接入方式，如sdk(软件开发工具包)、app、微信小程序等。

优选地，认证平台采集用户的手机设备信息、网络信息、地理位置等信息用于整个平台的安全控制体系，提供动态安全控制。具体为，通过统一信息门户平台获取用户的手机设备信息(手机号、imei号、mac地址、蓝牙地址等)、网络信息(网址等)、地址位置(地理坐标等)，如果当前用户的上述信息与预存的信息不一致，或者与上次登录时的信息不一致，则认证不通过。

优选地，对于公安网pc使用的特定环境，提供了符合公安部要求的可信身份认证使用方式。图2显示了认证方式的路径。在公安网电脑展示认证二维码，用户使用互联网或警务网手机，使用特定的app或者小程序扫描二维码，连接到认证平台进行身份认证。认证的信息可以是上述的方式，如账户密码、生物特征、警务卡、手机等。

优选地，如果该用户通过了身份认证，则认证平台封装(例如数字签名)用户登录后的认证状态信息，作为票据。将该票据以安全方式传递到各个相关系统中，通过对票据的解密、验证、解析，从而实现方便、快捷、安全的单点登录。

认证平台提供了统一账户管理，提供了基于组织结构的用户账户管理和账户同步。根据组织结构维护和管理用户身份信息，包括身份证号码、警员号、部门、岗位等。

账户同步功能：对各应用系统的账户可进行统一的管理，账户的下发、修改、删除操作通过账户同步可一次操作完成，协助it工程师高效率、精确的管理员工账户。

统一账户可用身份证号等能标识用户的主帐号，当增加一个单点登录的应用系统时，只需要增加用户唯一id(主帐号)与该单点登录应用帐号(子帐号)的一个关联信息即可，不会对其它应用系统产生任何影响，从而解决登录认证时不同应用系统之间用户交叉和用户帐号不同的问题。单点登录过程均通过证书、签名、加密、tls安全通道等多种手段来保证数据传输的安全。

统一授权管理平台

如图1所示，本发明的系统还包括统一授权管理平台。在认证通过后，统一授权管理平台为该用户分配一个子账户，该用户的唯一id作为主账户，统一授权管理平台将主账户和子账户进行关联。通过登录主账户，即可通过该子账户来访问某个应用。

当增加一个单点登录的应用系统时，统一授权管理平台只需要增加用户唯一id(主帐号)与该单点登录应用帐号(子帐号)的一个关联信息即可，不会对其它应用系统产生任何影响，从而解决登录认证时不同应用系统之间用户交叉和用户帐号不同的问题。单点登录过程均可以通过tls安全通道来保证数据传输的安全。

以邮件应用系统为例，例如，该应用的权限控制是在主账户进行的。子账户只是访问某个特定系统的鉴权账号。例如，统一身份认证系统已有账户a。将一个邮件系统也通过统一身份认证系统进行管理。账户a用来登录邮件系统的账号是a1，密码是a1。此时为账户a对应邮件系统配置子账号a1，密码是a1。统一身份认证系统上配置账户a可以访问该邮件系统的权限。账户a可以对邮件系统进行访问。但是在访问的时候，邮件系统需要用账号密码进行登录。统一身份认证系统找到了a对应邮件系统的子账号a1，密码a1。统一身份认证系统进行账号密码代填，自动登录邮件系统。账户a通过统一身份认证系统对邮件系统进行了访问。如果统一身份认证系统没有给账户a配置访问邮件系统的权限，即使配置了子账号a1/a1，账户a也无法访问邮件系统。

如图3所示，本发明的统一授权管理平台对用户设定属性，也对后台资源设定属性。本发明采用了基于属性的访问控制(abac)授权模型：通过定义属性，将资源权限授予某个属性(在本系统中使用安全组标识id)从而将资源权限赋予该具有该属性的用户。

基于属性的授权管理方式优点：授权方式灵活，通过在iam中设置灵活性高的安全组，对用户进行划分。一个用户可以有多个安全组的属性，一个安全组也可以有很多个资源权限，而一个资源权限也可以重复配置于多个安全组。

安全组属性，该用户组下的所有成员都可以访问该应用，基于安全组的属性，控制用户访问哪些应用内的数据访问权限。

基于属性(安全组)授权模型的优点基于安全组的策略实现了用户与访问权限的逻辑分离，极大的方便了权限管理，实现最少权限原则和职责分离的原则。

本发明的统一授权管理平台实现了动态访问控制。根据用户身份、认证方式、访问应用、api接口对其进行权限判断，以决定该用户是否具有访问相应资源的权限。对用户进行严格的身份认证，保证用户身份的真实性，在此基础之上再由综合各个应用系统内部资源权限分配的情况对用户进行严格的权限认证，实现各个应用系统内部资源细粒度的授权访问控制。

访问控制平台

如图1所示，本发明的系统还包括访问控制平台，其可以是访问控制网关。用于控制用户对后台应用资源的访问。

以“统一授权管理平台”描述的一个应用m为例，本发明的方法通过访问控制平台验证账户a的权限，来控制该用户有没有访问该应用m的权限。其中，该账户a还有一个子账户a1，子账户a1是用来登录应用m的。

本发明使用的单点登录的方式是账号密码代填。应用m本身不使用单点登录的时候，也是需要账号密码登录，这个账号就是子账号a1。

本发明通过账号确认用户可以访问应用m，在实际访问应用m的时候，为了达到单点登录的效果，需要子账号a1登录该应用m。通过这种方式，该发明就可以将以前原有的应用纳入系统的管理范围。

后台应用资源包括：应用、api接口和数据字段，本发明的认证平台对平台中对应用和api分别进行发布，未经配置发布的应用和api接口不能够被访问。

访问控制平台实现了可信访问控制。为确保信息资源访问的可控性，防止信息资源被非授权访问，需要在用户身份真实可信的前提下，提供有效的访问控制服务，保护各种信息资源不被非法或越权访问，防止信息泄漏。

访问控制平台具有应用管理、api接口管理、数据脱敏、权限管理的功能。访问控制平台根据权限管理进行资源(资源包括应用访问权限、api接口权限和数据权限)分类配置、权限定义及授权等操作。访问控制平台根据用户身份对其进行权限判断，以决定该用户是否具有访问相应资源的权限。如果用户通过权限认证，则说明该用户可以进入相应的应用系统，访问权限许可内的api接口资源；否则，拒绝用户访问。

保证用户身份的真实性，在此基础之上再由综合各个应用系统内部资源权限分配用户权限，实现各个应用系统内部资源细粒度的授权访问控制。

访问控制平台实现了数据安全控制，数据安全的管理方式使用黑名单方式，意图访问不具有权限的应用资源拉入黑名单，或者动态访问控制中的异常用户拉入黑名单。

访问控制平台包括数据脱敏模块，所述数据脱敏模块通过属性进行控制：预先配置权限和属性，根据访问的用户属性进行数据安全控制，匹配到的敏感的数据字段脱敏。

访问控制平台还包括应用权限管理模块，建立以人和应用为两极、权限组为载体的权限管理体系。

通过应用权限管理模块，当用户部门、安全组发生变化时，能够快速的响应变化自动的调整该用户权限；并且可以根据业务要求对个别特殊用户进行单独的授权，灵活地给予用户所在部门权限以外的其它权限。

访问控制平台还包括安全策略管理模块，在安全策略管理模块中，提供了所包含的各项安全配置和日常管理，通过这些安全配置客户可根据自身实际安全需求配置各项安全策略。

安全策略管理模块完成如下操作：

密码设置：设置系统账户初始密码和用户自定义密码的复杂度检查要求；

身份认证策略设置：可按权限组、部门/用户组分别定义用户登录系统门户时所使用的身份认证方式；

移动设备绑定设置：用于限定移动app软件、微信小程序与移动设备的关联绑定关系；

异常登录检查：当用户在不受信的网络中登录访问系统时，在身份认证阶段将要求用户进行额外的身份认证以确认其身份；

认证失败控制：根据系统的实际安全需求，对登录时连续多次用户名和密码错误的情况处置方法可配置。

审计和日志回溯平台

本发明的认证系统还包括审计和日志回溯平台。

审计和日志回溯平台提供完整的系统审计数据，提供全面的审计角度，包括：用户、管理员、和应用等多个维度。

审计和日志回溯平台存储所有业务访问日志，形成基于用户、应用、身份、时间等多维度的应用访问审计日志、记录，便于进行后续的日志查询、用户审计。根据预先定义的业务含义、字段名称，记录用户对该业务的访问情况。通过上述维度的审计功能支持，便于审计员对系统中发生的所有事件进行全方位立体的回溯呈现。可以进行如下的审计：

用户的审计：用户账户创建过程、用户账户信息修改、用户登入登出行为、用户对应用间的访问行为等；

管理员的审计：管理员对用户账户的修改操作(添加、修改、删除以及重置密码等)、管理员对权限的管理操作行为、管理员对应用的管理维护行为，以及管理员对系统配置的修改行为等等；

应用审计：从应用系统的角度审计用户对应用的访问行为、各应用的宏观使用统计、管理员对应用的管理维护操作等。

应用实例

以票据管理应用为例，通过本发明的认证系统，能够通过对票据的加密、签名等技术保证票据的机密性、完整性以及抗否认性，并且在票据中包含票据的有效时间段信息，利用时间有效期从一定程度上减少重放、中间人攻击的风险。认证平台维护一张票据流水号临时表，票据使用一次以后就失效，也可以有效防止重放攻击的风险。通过采用以上的这些安全措施以及安全流程，可以有效地保证整个系统的安全性。

1)验证重定向：当某个应用系统资源纳入本发明的系统后，访问控制平台屏蔽用户对该资源的直接访问，当用户访问原有应用资源时，用户对系统的访问请求，被portal单点登录代理自动引导至单点登录系统登录窗口。用户在单点登录系统登录窗口登录后，自动进入该应用系统。

2)票据解密：票据是用户访问资源的唯一凭证，安全性非常重要，本发明采用非对称私钥技术，结合最新的json标准，如jwe加密技术对其进行安全加固，实现了票据的脱密处理功能。

3)票据验证：采用了安全票据技术，所有票据都可以通过数字证书进行有效签名，确保票据的真实性、完整性，当可信接入网关接收到安全票据时，通过数字证书技术实现票据的验证，只有验证通过后的访问请求才能得到受理。

以上所述的实施例，只是本发明较优选的具体实施方式，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。