基于零信任架構的統一身份認證平臺的運用

李少輝，劉 清

（新天綠色能源股份有限公司，河北 石家莊 050000）

1 零信任概述

零信任架構以用戶身份為核心，實現動態化訪問、高效控制，屬于新型網絡架構。其突破了傳統網絡安全架構的瓶頸，由網絡中心化逐漸轉變為用戶身份中心化，認證、授權訪問是重點內容，以此為依據突出用戶身份這一核心，進而構建訪問機制[1]。

2 基于零信任架構的統一身份認證平臺運用要點

2.1 訪問機制

構建統一認身份證平臺訪問機制必須以企業內網環境為依據，通過密碼、短信、手機客戶端方式均可以實現動態登錄。其中，密碼登錄方式僅適用于企業內部網絡，登錄的設備必須屬于常用設備。系統后臺會對員工常用設備進行設置，對常用設備做相應的登記，方便對設備進行高效管理。短信、手機客戶端登錄方式主要適用于一些非常用的設備。當以短信方式登錄系統的時候，系統會結合登錄申請，借助運營商短信功能，將驗證碼隨機發送至已經綁定的手機上。而手機客戶端登錄主要是采用掃碼登錄的方式，在登錄確認提醒彈出以后，手機端會對信息進行確認，然后PC端才可以完成登錄操作。為了能夠使員工更加方便快捷地在安全的互聯網環境中完成系統訪問操作，需要對每一位員工定制相應的UK設置。在內部系統中可設置個人數字驗證ID，在登錄時需要先對UK進行驗證，確定員工身份以后，借助網絡對登錄的信息進行動態驗證，確保系統數據更加安全[2]。

2.2 權限配置

統一身份認證平臺在權限設置方面共劃分成3大層級：用戶訪問管理層是第一層，重點在于用戶身份的驗證，確保用戶能夠登錄統一的平臺；用戶信息權限匹配層是第二層，結合系統內部用戶相關信息、組織架構信息對用戶權限范圍進行準確判斷；應用系統層為第三層，結合人員權限匹配的最終結果顯示對應的應用系統。用戶借助單點登錄形式便能夠直接在權限范圍內進入到各個系統中，因而大大提高了工作效率[3]。

3 基于零信任架構的統一身份認證平臺運用案例

3.1 案例中企業平臺架構整體思路

該平臺的構建，一方面有利于企業對整個業務應用用戶數據源的管理，以及認證方式安全性、管理能力的提升；另一方面使用戶能夠獲取更加豐富的體驗。以零信任為基礎，通過“身份認證、訪問授權、風險評估、動態控制”等技術，實現企業業務應用、數據協同安全管理。案例中企業通過運用目前主流身份鑒別體系構建相應的框架，通過分布式微服務結構，拓展服務的廣度與深度。平臺架構主要基于統一用戶管理系統、多因子認證系統，實現了零信任安全體系的構建。案例中企業根據實際業務、分步建設需求，設計了統一身份鑒別體系的總體架構圖，具體見圖1。

圖1 統一身份鑒別體系架構示意圖

3.2 基本設計思想

案例中企業基于零信任架構的統一身份認證平臺包括統一用戶管理系統、多因子認證系統等，以統一用戶管理系統作為不同類型應用系統唯一數據源，向各個應用系統發送用戶信息，便于不同類型業務應用系統能夠及時調用需要的信息，形成一套用戶數據庫，使人員、用戶身份、應用授權等管理均實現了統一化。多因子認證系統是認證中臺服務系統的核心，通過掃碼、人臉識別、動態口令、指紋、CA證書等多種形式，使PC端、移動端認證服務更加靈活安全?！耙蛔C通”以綜合應用門戶為基礎，整合并集成了不同類型的應用系統，其中拓展接口的預留更是使得重要信息內容、個性化定制成為可能。窗口的統一化使得用戶可集中獲取、處理多種業務，安全訪問企業所有授權應用。在該系統中以多因子技術為依據形成了統一身份認證服務平臺，借助集中證書、賬戶、授權、認證、審計等管理應用模塊的使用，使用戶賬戶實現了統一化管理，系統資源能夠集中整合、共享、管控[4]。

3.3 統一身份認證平臺

企業的統一身份認證平臺采用的核心技術是多因子認證，該平臺具有用戶、證書、認證、授權、審計高效管理功能，為多業務系統提供用戶身份、系統資源、權限策略、審計日志等統一、安全、有效的配置和服務。統一身份認證平臺整體功能見圖2。

圖2 統一身份認證平臺整體功能示意圖

其中，統一門戶主要針對的是一些普通的用戶，涉及身份認證、應用單點登錄、用戶自助服務等；移動認證App采用指紋技術，以及掃碼、一鍵推送、生物認證等技術；管理中心具有可視化的特點，主要包含賬號管理、認證、應用、授權、審計等功能；應用網關功能是反向代理、負載均衡、流量加密、策略控制；認證插件為標準認證協議、SDK、第三方對接等提供支持，在認證中既涉及用戶名密碼，同時還有移動認證，屬于雙因素認證方法；統一賬號服務提供組織、用戶全生命周期、組織用戶同步、下發、密碼認證等功能；統一認證服務提供用戶、設備的認證功能，涉及到的認證方法有用戶名密碼、一鍵推送、人臉、聲紋、微信等，也能夠給予原CA認證方式對接相應支持，且CA認證是多因子認證系統中重要的認證因子，主要用于對外提供相應的認證服務；應用與授權服務中提供的應用服務主要是對應用、應用模板進行管理，通過標準化應用對接方法使第三方應用集成工作較快速度完成；授權服務則針對的是用戶應用級授權的管理；單點登錄服務是SSO認證中心支持給予標準SSO協議、密碼代填、API登錄等技術，其中標準SSO協議也支持CAS、OIDC、SAML、JWT、OAUTH等；統一審計服務包含日志的采信、儲存、分析，審計系統管理日志、用戶認證、操作及應用日志。審計服務中留存、查詢日志、分析用戶行為以及報表的統計等，是非常重要的功能[5]。

3.4 統一身份鑒別體系實現

3.4.1 技術原理

案例中企業統一身份鑒別體系的構建同樣也是以零信任思路為基礎，將內網以及外網環境中的用戶、設備、應用以及服務均默認為是不可以信任的。其在認證及授權動態重構業務訪問控制基礎之上，重新構建了信任基礎。零信任依賴的身份認證，訪問控制基于認證、權限、審計、審批、環境感知、安全策略控制等，通過運用動態訪問控制技術，保證經認證以后的用戶均可以借助安全終端設備完成合規業務的快速訪問。在標準化、解耦聯動基礎設施服務能力支持下，將用戶數據訪問過程劃分成不同的階段，每一個階段嵌入了相應的安全訪問控制策略執行節點；在用戶訪問時持續性監測用戶、設備環境屬性，動態控制應用以及服務，確保能夠有效實施安全訪問控制策略[6]。

3.4.2 應用場景

案例企業此系統中涉及到了4大業務應用場景。一是核心應用場景。企業外網應用一站式安全訪問場景身份治理是統一化的，集中管控權限，同時具備了多因子認證、應用單點登錄、日志審計功能，用戶進行一次認證后，便能夠全網通行，方便快捷且安全，易于管理。其中PC端業務使用掃碼認證的方式，可將短信、密碼、臨時授權等認證方式保留；移動端App則采用人臉、指紋、手紋進行認證。二是拓展支持運維場景。平臺可以給予數據中心內部運行設備雙因素認證支持。三是未來應用場景。未來平滑升級至“零信任”業務安全平臺場景，通過分析身份權限治理、雙因素認證、單點登錄、用戶實體行為，平滑擴展建成以身份認證為核心“零信任”業務安全平臺。四是零信任場景。企業出于業務安全層面的考慮，在長遠規劃中以零信任為重要理念，將身份認證、訪問授權、風險評估、動態控制技術有效結合。

3.4.3 認證App在移動認證App中借助指紋技術，使推送、生物待認證方式相結合。客戶可采用多種移動認證方式，可同時在Android和iOS版本中實現認證。用戶使用認證App前，系統需要初始化，將用戶身份與移動設備綁定。同時支持郵箱、短信驗證碼以及賬號密碼認證方式。初始化能夠實現管理員審批功能的拓展。

3.4.4 統一用戶管理系統

統一用戶管理系統重點針對用戶入職、在職、換崗、離職進行管理，具體的流程示意圖見圖3。

圖3 統一用戶管理系統業務流程示意圖

用戶管理中心涉及的是組織機構管理，管理員結合企業組織結構，在系統內構建相應的組織架構樹形結構示意圖，其具備增加、修改、刪除、查詢功能。用戶管理包含用戶信息輸入、初始化、離職、退休等，同時涵蓋了分級、分組、授權、審批及審計等管理。

3.4.5 多因子認證系統

認證服務中包含人員身份、認證統一管理，如身份核對、令牌應用及管理等。多因子認證系統將多種優勢認證因子進行集成，如CA認證、掃碼、口令、指紋等，其中認證的對象有PC端Web應用、移動端App等，高效且快速地集成不同業務應用。根據企業用戶、用戶組、應用等多種維度設置合理的認證策略，以滿足企業不同業務場景下的認證需求。分級認證方式將應用設置成不同的認證級別，如果用戶認證允許以后要訪問高級應用，此時就涉及到了二次認證，安全級別會隨之提高。

3.4.6 應用集成

應用集成是平臺針對企業不同業務、不同應用增設統一認證、單點登錄、組織賬號信息供給功能，通過標準協議、密碼代填便能夠實現。其中標準協議包括OAUTH、SAML等，集成SDK應用系統；密碼代填包括Basic、表單、句柄代填等技術手段，可以用于一些難以改造的BS、CS應用中。

4 結束語

零信任架構是在互聯網快速發展背景下產生的全新架構方式，其側重點在于提高信息數據的安全性。對于企業而言，基于零信任架構的統一身份認證平臺的運用，從頂層設計著手，可使安全建設以及管理更加規范，符合企業實際需求，其不僅為業務系統發展提供了更多具有便利性、可信性的安全環境以及服務，而且也在很大程度上促進了單一防控向多維度彈性防控領域的發展，確保應用以及數據更加安全，使外部攻擊以及內部威脅等問題得到有效緩解，企業網絡安全綜合防護能力以及水平大幅度提高，推進了數字化轉型的步伐。■