IAM(身份識(shí)別與訪問管理)是近年來(lái)比較熱的一個(gè)信息安全產(chǎn)品，包括2個(gè)方面：身份識(shí)別與訪問管理。身份識(shí)別是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者數(shù)字身份的過程，訪問管理是指權(quán)限的分配。IAM是由連續(xù)5年被IDC評(píng)為IAM市場(chǎng)領(lǐng)軍企業(yè)的CA公司最新推出的產(chǎn)品，其良好的特性(即全面性、集成性、開放性)，使客戶得以將CA的安全策略引擎成功地延伸到所開發(fā)的應(yīng)用程序中。本文在開發(fā)實(shí)施ERP應(yīng)用系統(tǒng)的過程中，針對(duì)IAM系統(tǒng)所做的應(yīng)用設(shè)計(jì)進(jìn)行了介紹。

　　1、IAM系統(tǒng)功能

　　IAM系統(tǒng)獨(dú)立于，其功能是負(fù)責(zé)ERP系統(tǒng)的用戶身份認(rèn)證與訪問管理。該系統(tǒng)在使用傳統(tǒng)用戶密碼技術(shù)的基礎(chǔ)上增加了指紋驗(yàn)證、USBKey、智能帚等識(shí)別技術(shù)，是一個(gè)多因子可選擇認(rèn)證系統(tǒng)。該系統(tǒng)采用CS架構(gòu)，與ERP系統(tǒng)之間采用共享內(nèi)存與加密文件的方式進(jìn)行交互。針對(duì)ERP系統(tǒng)的訪問，使用了防火墻技術(shù)。

　　IAM系統(tǒng)的功能模塊包括注冊(cè)子模塊、銷戶子模塊、身份認(rèn)證子模塊、訪問管理子模塊、IAM與ERP系統(tǒng)的接口子模塊、針對(duì)ERP系統(tǒng)的防火墻子模塊、加密傳輸子模塊等。

　　(1)注冊(cè)子模塊

　　用戶注冊(cè)時(shí)需提交用戶的基本信息。如果采用指紋驗(yàn)證，還需要提供指紋圖像。IAM系統(tǒng)客戶端先記錄用戶的基本信息，接著對(duì)提交的指紋圖像進(jìn)行預(yù)處理后提取其特征。

　　用戶在填寫基本信息時(shí)，需重復(fù)輸入密碼。一旦2次密碼匹配且采集到指紋，系統(tǒng)則將用戶的基本信息加密后傳輸給服務(wù)器，以驗(yàn)證用戶的合法性。如果合法，則用戶的注冊(cè)資料將存入相關(guān)數(shù)據(jù)庫(kù)，并返回注冊(cè)成功信息;否則，返回注冊(cè)失敗的信息。

　　(2)銷戶子模塊

　　用戶退出ERP系統(tǒng)時(shí)需進(jìn)行用戶注銷操作。用戶注銷由IAM客戶端發(fā)起請(qǐng)求，由IAM服務(wù)器端進(jìn)行處理。銷戶時(shí)也要進(jìn)行用戶信息的核對(duì)，并將操作記錄存進(jìn)日志中。

　　(3)身份認(rèn)證子模塊

　　身份認(rèn)證是IAM系統(tǒng)的靈魂和基礎(chǔ)，該模塊提供了多種識(shí)別方式供ERP實(shí)施人員在實(shí)施的過程中自由選擇組合。

　　1)指紋認(rèn)證

　　指紋是一種比較穩(wěn)定的生物特征，不會(huì)因年齡或健康情況的變化而變化，2枚指紋即使具有相同的總體特征，但局部特征(即特征點(diǎn))卻不可能完全相同。指紋識(shí)別技術(shù)通常使用指紋的總體特征，即紋形、三角點(diǎn)等來(lái)進(jìn)行分類后，再用局部特征，即位置、方向等來(lái)識(shí)別用戶身份。識(shí)別過程包括：指紋的獲取，指紋圖像預(yù)處理，指紋特征提取，以及指紋特征匹配。

　　指紋特征匹配采用指紋幾何特征技術(shù)?？紤]到指紋可能存在繭、刀傷或者采集干擾等問題，同一用戶可以新增2個(gè)～3個(gè)指紋，目的是使數(shù)據(jù)庫(kù)里盡可能存有用戶的最新指紋。

　　2)智能卡認(rèn)證

　　用戶可以使用鉀能卡來(lái)登錄系統(tǒng)。智能卡是一種用于存放用戶身份信息的、內(nèi)置的、不可復(fù)制的集成電路。智能卡認(rèn)證通過使用不可復(fù)制的硬件來(lái)保證用戶身份的唯一性。

　　用戶將自己的信息存儲(chǔ)到智能卡上，當(dāng)IAM系統(tǒng)檢測(cè)到有智能卡插入時(shí)，就讀取智能卡上的數(shù)據(jù)，并將其發(fā)送到IAM系統(tǒng)的服務(wù)器端，進(jìn)行驗(yàn)證。

　　3)USBKey認(rèn)證

　　USBKey認(rèn)證使用了具有USB接口的USBKey硬件。每個(gè)USBKey硬件都有用戶PIN碼，且內(nèi)置單向散列算法(MD5)。USBKey認(rèn)證首先要在USBKey和服務(wù)器中各存儲(chǔ)一個(gè)能證明用戶身份的密鑰。當(dāng)需要驗(yàn)證用戶身份時(shí)，先由客戶端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求。服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)并傳給客戶端(此為沖擊)?？蛻舳藢⑹盏降碾S機(jī)數(shù)提供給插在客戶端上的USBKey，由USBKey使用該隨機(jī)數(shù)與存儲(chǔ)在USBKey中的密鑰進(jìn)行帶密鑰的單向散列運(yùn)算(HMAC-MD5)，并將得到的結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器(此為響應(yīng))。與此同時(shí)，服務(wù)器也使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中的該客戶密鑰進(jìn)行HMAC-MD5運(yùn)算。如果服務(wù)器的運(yùn)算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認(rèn)為客戶端是一個(gè)合法用戶。

　　(4)訪問管理子模塊

　　在ERP系統(tǒng)中，每一種用戶能夠訪問的資源是不同的，因此要由系統(tǒng)管理員來(lái)對(duì)各用戶進(jìn)行劃分權(quán)限。系統(tǒng)管理員甚至可以設(shè)置系統(tǒng)中各個(gè)用戶的用戶名和密碼，這對(duì)系統(tǒng)的安全造成了隱患。本系統(tǒng)在為用戶重設(shè)密碼時(shí)，采用了系統(tǒng)產(chǎn)生隨機(jī)數(shù)后發(fā)送到用戶郵箱的方式，在數(shù)據(jù)庫(kù)中的密碼也要經(jīng)過MD5加密后再進(jìn)行存放。

　　(5)IAM系統(tǒng)與ERP系統(tǒng)的接口子模塊

　　開放性是一個(gè)IAM系統(tǒng)的重要特性。開放就是必須要有通用的開放接口，能通過簡(jiǎn)單、靈活的開發(fā)，與各種應(yīng)用系統(tǒng)緊密連接。

　　(6)ERP系統(tǒng)的防火墻子模塊

　　系統(tǒng)在用戶登錄時(shí)，IAM對(duì)其IP地址和端口進(jìn)行登記，另外再獲取正在與ERP系統(tǒng)通信的IP和端口，通過對(duì)比，當(dāng)正在發(fā)生通信的源IP和端口與已經(jīng)登記的不同時(shí)，就對(duì)其進(jìn)行攔截。

　　(7)加密傳輸子模塊

　　在往網(wǎng)絡(luò)發(fā)送信息之前，協(xié)議層需調(diào)用安全層中的加密模塊加密后發(fā)送信息，以達(dá)到安全通信的目的。本系統(tǒng)采用以隨機(jī)數(shù)作為AES(AdvancedEncryptionStandard)加密算法的Key加密機(jī)制，并配合MD5散列算法，較好地解決了網(wǎng)絡(luò)傳輸?shù)陌踩詥栴}。

　　2、IAM系統(tǒng)設(shè)計(jì)

　　下面介紹系統(tǒng)的設(shè)計(jì)：

　　(1)軟件平臺(tái)和開發(fā)工具

　　操作系統(tǒng)：帶有ServicePack2.0的MicrosoftWindowsXPProfessional。

　　數(shù)據(jù)庫(kù)平臺(tái)：MySQL-4.0.13forWindows。

　　開發(fā)工具：MicrosoftVisualStudio，ADO.NET(連接數(shù)據(jù)庫(kù))。

　　(2)服務(wù)器端設(shè)計(jì)

　　IAM系統(tǒng)Server端負(fù)責(zé)管理用戶身份以及完成與客戶端的交互，并管理用戶的智能卡信息、USBKey信息、指紋信息等數(shù)據(jù)庫(kù)。

　　IAM系統(tǒng)結(jié)構(gòu)關(guān)系如圖1所示。圖2是以指紋認(rèn)證為例的服務(wù)器端的運(yùn)行界面。

　　(3)客戶端設(shè)計(jì)

　　以指紋認(rèn)證為例，注冊(cè)子模塊完成對(duì)授權(quán)新用戶信息的注冊(cè)，主要工作包括指紋特征信息獲取、用戶認(rèn)證信息加密、用戶認(rèn)證信息傳輸、用戶認(rèn)證信息解密和指紋特征信息匹配。認(rèn)證子模塊用于驗(yàn)證請(qǐng)求登錄的用戶是否是合法的用戶，用戶在登錄過程中，需要輸入正確的用戶名密碼及相匹配的指紋才能通過認(rèn)證。注冊(cè)及認(rèn)證模塊會(huì)調(diào)用圖像的預(yù)處理模塊、特征值提取以及網(wǎng)絡(luò)傳輸?shù)饶K。在網(wǎng)絡(luò)傳輸子模塊中使用了AES加密技術(shù)。用戶登錄時(shí)，如果成功登錄，則會(huì)獲得通過驗(yàn)證用戶特有的權(quán)限。一旦通過驗(yàn)證，對(duì)應(yīng)的菜單欄將加亮，用戶便通過了進(jìn)入ERP系統(tǒng)的認(rèn)證，獲得了訪問管理的資格。

　　3、設(shè)計(jì)過程中遇到的問題以及解決方法

　　與現(xiàn)有的ERP系統(tǒng)的平滑連接是IAM系統(tǒng)設(shè)計(jì)追求的目標(biāo)。下面介紹在本系統(tǒng)設(shè)計(jì)中所提出并實(shí)現(xiàn)的IAM與ERP系統(tǒng)的3種對(duì)接機(jī)制。

　　(1)機(jī)制1——加密文件作中間橋梁

　　用戶登錄IAM系統(tǒng)通過驗(yàn)證后，IAM系統(tǒng)會(huì)在其服務(wù)器端生成一個(gè)加密文件。當(dāng)用戶調(diào)用ERP系統(tǒng)時(shí)，ERP系統(tǒng)會(huì)連接到IAM服務(wù)器端去讀加密文件，獲得該用戶成功登錄的資料后，系統(tǒng)直接進(jìn)入ERP系統(tǒng)的功能界面。此機(jī)制的特點(diǎn)是：使用加密文件作為中間橋梁，以實(shí)現(xiàn)2個(gè)不同系統(tǒng)的對(duì)接。

　　(2)機(jī)制2——標(biāo)識(shí)變量交互

　　登錄IAM系統(tǒng)通過驗(yàn)證后，IAM服務(wù)器會(huì)給IAM客戶端返回一個(gè)標(biāo)識(shí)變量。當(dāng)該用戶在本次髓錄中使用ERP系統(tǒng)時(shí)，由IAM客戶端直接將此標(biāo)記變量傳遞給ERP系統(tǒng)。ERP系統(tǒng)會(huì)先檢查是否有正確的參數(shù)傳遞過來(lái)，然后再把接收到的參數(shù)與企業(yè)的安全數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證。如確認(rèn)，系統(tǒng)直接進(jìn)入ERP系統(tǒng)的功能界面。

　　(3)機(jī)制3——句柄交互

　　用戶登錄IAM系統(tǒng)并通過驗(yàn)證后，該用戶獲得了使用ERP系統(tǒng)的權(quán)限。當(dāng)該用戶使用ERP系統(tǒng)時(shí)，IAM客戶端會(huì)獲得ERP系統(tǒng)登錄界面需要輸入的參數(shù)句柄。當(dāng)輸入相關(guān)資料后，IAM客戶端將其值賦給相應(yīng)的句柄，然后通過調(diào)用Windows提供的相關(guān)API函數(shù)把賦了值的旬柄發(fā)送到ERP系統(tǒng)的登錄程序。如果用戶信息正確，系統(tǒng)直接進(jìn)入ERP系統(tǒng)的功能界面。

　　該機(jī)制將ERP用戶的權(quán)限管理轉(zhuǎn)移到了IAM系統(tǒng)，提高了ERP系統(tǒng)用戶管理的安全性。

　　4、結(jié)束語(yǔ)

　　實(shí)踐證明，本文所介紹的既獨(dú)立于現(xiàn)有的ERP系統(tǒng)，又能夠與現(xiàn)有的ERP系統(tǒng)實(shí)現(xiàn)平滑連接的多因子驗(yàn)證的IAM系統(tǒng)設(shè)計(jì)方案是切實(shí)可行的，其使用的技術(shù)也是成熟的，對(duì)提高ERP系統(tǒng)的安全性效果顯著。