|
Sybase SQL Anywhere Studio在联创统一认证系统的应用
项目背景
对于一个省级电信运营商,往往有着数十台、上百台、甚至更多网络设备和各种型号的主机系统,如果采用分散的口令管理,会带来巨大的管理开销和安全隐患。首先密码的配置非常烦琐,记忆口令的方式又必须经常更改口令,耗费大量的人力和时间;而记忆口令不可能频繁更改,就存在着被窃听、盗用、滥用的危险,给网络的安全带来巨大的威胁;另外还缺乏授权和审计的功能,无法为不同级别的用户授权,无法记录用户登录时间等等。
因此省级的电信运营商需要一个全面的解决方案,实现全面的口令保护、身份认证、授权、统计等安全功能,提高网络设备管理的效率和安全。 解决方案:联创统一认证系统
联创统一认证系统是联创科技在自身成熟的RADIUS认证技术上,面向安全领域开发的强效身份认证、管理系统。
联创统一认证系统提供了双因素强身份认证、授权、统计等功能,可以为众多应用提供身份认证和访问控制,其中包括Web、虚拟专用网(VPN)、网络拨号、UNIX主机、Windows服务器和网络设备(例如路由器和交换机)等。
联创统一认证系统可以提供多种身份认证选择,从而可以提供足够的安全性和灵活性,这些选择包括静态PIN密码、硬件令牌(口令卡)、手机短信等。
系统描述
E-Securer产品的体系结构如下图所示,由资源层、协议层、统一认证服务器和管理模块四部分组成:
资源层指参与集中认证、授权的各个设备、系统等,不同类型的设备和系统提供的集中认证、授权功能差别很大,通信接口也各不相同。
绝大多数网络设备支持Radius认证协议。当用户登录时,网络设备将通过UDP协议向指定的Radius服务器发送认证请求报文,认证请求报文包括用户提供的用户名和口令,并接收Radius服务器返回的认证响应报文,根据认证响应报文的认证返回码接收用户登录或者拒绝用户登录。
CISCO等厂商的网络设备支持Tacacs+协议。Tacacs+协议除了提供Radius认证协议提供的集中认证功能外,还能完成集中的授权功能。用户在网络设备上每执行一条命令,网络设备都将向指定的Tacacs+服务器发送命令授权请求,只有接收授权成功的响应报文将执行用户输入的命令。Tacacs+服务器也可以在用户成功登录网络设备后,将该用户可执行的命令集下发给网络设备,由网络设备自己来判断用户输入的命令是否在可执行的命令集中。
UNIX主机通常都是由操作系统接收用户输入的用户名和口令,然后和本地的帐号文件进行判断以验证用户的身份。为了支持对UNIX主机进行其它类型的用户身份认证,Sun公司提出了PAM(Pluggable Authentication Modules)认证机制。它通过提供一些动态链接库和一套统一的API,将操作系统提供的网络服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的网络服务配置不同的认证方式,不需更改服务程序,同时也便于向系统中添加新的认证手段。PAM机制目前已经在主流的UNIX系统上得到了普遍的支持。联创科技针对各种类型的UNIX主机提供PAM认证代理程序,认证代理程序接收用户的登录请求,并通过标准的Radius协议发送给统一认证服务器,根据认证服务器的响应报文接收或拒绝用户的登录请求。
微软Windows系列的服务器系统中提供GINA身份验证模块,它实现了接收用户输入的用户名和口令,然后和本地的帐号信息进行比对以验证用户的身份。不过为了支持更多的交互登录验证方式,这个模块是可替换的,我们可以自己开发身份认证模块来代替默认的GINA模块以实现统一的身份认证功能。
应用系统通常都有自己的身份认证和权限管理功能。联创科技提供了C/C++、Java等各种开发环境的统一认证开发包,应用系统进行必要的改造,可以在接收用户名和口令之后,在进行本系统的身份认证和授权之前,调用统一认证开发包提供的函数,通过标准的Radius协议向指定的统一认证服务器发送认证请求并接收认证结果。统一认证开发包提供了标准的统一认证访问接口,应用系统不需要关心底层的通信协议和认证流程,对现有的应用系统改造很少。 SQL Anywhere Studio是统一认证系统的核心
由于统一认证系统的数据库是用来集中存放用户帐号、口令、口令卡、资源设备、角色、日志等重要信息的,所以数据库系统的安全稳定、是否支持大用户量并发访问、是否能够在多服务器之间简便地同步数据等都是我们考虑地重点,最后综合比较下来,我们选用了sybase ASA数据库产品。
整个系统由中心数据库、同步服务器、远程数据库三大部分组成。其中中心数据库可以采用Sybase ASA、Sybase ASE,我们使用Sybase ASA;同步服务器采用Sybase公司成熟的、处理能力强的MobiLink Server;远程数据库采用Sybase公司的高性能、易维护的ASA数据库。系统选用Sybase ASA数据库在软件和业务处理流程上有如下特点:
- 使用Adaptive Server Anywhere作为整个系统的核心
Sybase Adaptive Server Anywhere是一个中小型关系型数据库,具有可靠、小巧灵活,以及全面的企业级功能。电信行业对于数据库的需求不仅要求数据库能够提供强大的功能与性能,更重要的是对数据库的维护,要求越简单越好。同时要求该数据库能够支持多种平台比如Linux平台,而且具有强大的可扩展性从而满足不断的数据增长需求。
Sybase ASA是一个免维护的数据库系统,无须专门的系统管理员对数据库进行日常的维护工作。Sybase ASA可以运行在Windows、Unix、Linux等多种平台上,仅仅需要大约2M内存,对资源占用很低,这意味着用户无需购买昂贵的高档的硬件或操作系统。由于ASA具有免维护的特性,用户也就不需要高昂的维护成本,这对企业来说绝对是一个诱惑。
由于我们的系统需要保证多台服务器上数据的一致性,ASA数据库自带的MobiLink Server服务器恰好实现了这个功能,而且MobiLink Server所带的图形管理界面可以很方便的设计多个数据库之间表的数据同步,使用起来上手很快。
MobiLink同步服务器,实现了各级部门之间进行增量式的、可伸缩的、安全的、双向的信息同步。它支持多种后台数据库、各种通讯协议和各类同步协议。ASA与Mobilink包含在Sybase的同一个软件产品SQL Anywhere Studio中。MobiLink所连接的中心数据库不仅仅是Sybase的产品,也可以连接不同的业务数据库;与MobiLink所连接的远程数据库可以是ASA或UltraLite,这些应用可以部署在PC、笔记本电脑和各种移动设备上,具有容易扩展的特点。
实施情况
目前该系统已被一些省级电信运营商采用。如某省级电信运营商内部网中的所有主机系统和网络设备的用户登录认证都已经加入到了统一认证系统,大约包含200台主机和600台网络设备,使用这些资源设备的用户数超过5000人,系统上线使用半年以来,运行稳定,无任何故障。
依据动态(一次性)口令机制实现动态身份认证系统,彻底解决了远程/网络环境中的用户身份认证问题;集中的用户管理和日志审计功能,便于管理员对整个企业中的员工进行集中的管理授权和事后日志审计,极大的提高了企业管理员的工作效率,也大大降低了企业内部网中面临的安全隐患,系统上线以来运行稳定可靠,得到了该省级电信运营商领导及各级管理员的一致肯定,并且现在已经在全省各个地市全面推广使用。 |
