ERP系統(tǒng)中IAM功能的應用設計

申請免費試用、咨詢電話：400-8352-114

　　IAM(身份識別與訪問管理)是近年來比較熱的一個信息安全產(chǎn)品，包括2個方面：身份識別與訪問管理。身份識別是指計算機及網(wǎng)絡系統(tǒng)確認操作者數(shù)字身份的過程，訪問管理是指權(quán)限的分配。IAM是由連續(xù)5年被IDC評為IAM市場領(lǐng)軍企業(yè)的CA公司最新推出的產(chǎn)品，其良好的特性(即全面性、集成性、開放性)，使客戶得以將CA的安全策略引擎成功地延伸到所開發(fā)的應用程序中。本文在開發(fā)實施ERP應用系統(tǒng)的過程中，針對IAM系統(tǒng)所做的應用設計進行了介紹。

　　1、IAM系統(tǒng)功能

　　IAM系統(tǒng)獨立于erp系統(tǒng)，其功能是負責ERP系統(tǒng)的用戶身份認證與訪問管理。該系統(tǒng)在使用傳統(tǒng)用戶/密碼技術(shù)的基礎(chǔ)上增加了指紋驗證、USB Key、智能帚等識別技術(shù)，是一個多因子可選擇認證系統(tǒng)。該系統(tǒng)采用C/S架構(gòu)，與ERP系統(tǒng)之間采用共享內(nèi)存與加密文件的方式進行交互。針對ERP系統(tǒng)的訪問，使用了防火墻技術(shù)。

　　IAM系統(tǒng)的功能模塊包括注冊子模塊、銷戶子模塊、身份認證子模塊、訪問管理子模塊、IAM與ERP系統(tǒng)的接口子模塊、針對ERP系統(tǒng)的防火墻子模塊、加密傳輸子模塊等。

　　(1)注冊子模塊

　　用戶注冊時需提交用戶的基本信息。如果采用指紋驗證，還需要提供指紋圖像。IAM系統(tǒng)客戶端先記錄用戶的基本信息，接著對提交的指紋圖像進行預處理后提取其特征。

　　用戶在填寫基本信息時，需重復輸入密碼。一旦2次密碼匹配且采集到指紋，系統(tǒng)則將用戶的基本信息加密后傳輸給服務器，以驗證用戶的合法性。如果合法，則用戶的注冊資料將存入相關(guān)數(shù)據(jù)庫，并返回注冊成功信息;否則，返回注冊失敗的信息。

　　(2)銷戶子模塊

　　用戶退出ERP系統(tǒng)時需進行用戶注銷操作。用戶注銷由IAM客戶端發(fā)起請求，由IAM服務器端進行處理。銷戶時也要進行用戶信息的核對，并將操作記錄存進日志中。

　　(3)身份認證子模塊

　　身份認證是IAM系統(tǒng)的靈魂和基礎(chǔ)，該模塊提供了多種識別方式供ERP實施人員在實施的過程中自由選擇組合。

　　1)指紋認證

　　指紋是一種比較穩(wěn)定的生物特征，不會因年齡或健康情況的變化而變化，2枚指紋即使具有相同的總體特征，但局部特征(即特征點)卻不可能完全相同。指紋識別技術(shù)通常使用指紋的總體特征，即紋形、三角點等來進行分類后，再用局部特征，即位置、方向等來識別用戶身份。識別過程包括：指紋的獲取，指紋圖像預處理，指紋特征提取，以及指紋特征匹配。

　　指紋特征匹配采用指紋幾何特征技術(shù)?？紤]到指紋可能存在繭、刀傷或者采集干擾等問題，同一用戶可以新增2個～3個指紋，目的是使數(shù)據(jù)庫里盡可能存有用戶的最新指紋。

　　2)智能卡認證

　　用戶可以使用鉀能卡來登錄系統(tǒng)。智能卡是一種用于存放用戶身份信息的、內(nèi)置的、不可復制的集成電路。智能卡認證通過使用不可復制的硬件來保證用戶身份的唯一性。

　　用戶將自己的信息存儲到智能卡上，當IAM系統(tǒng)檢測到有智能卡插入時，就讀取智能卡上的數(shù)據(jù)，并將其發(fā)送到IAM系統(tǒng)的服務器端，進行驗證。

　　3)USBKey認證

　　USB Key認證使用了具有USB接口的USB Key硬件。每個USB Key硬件都有用戶PIN碼，且內(nèi)置單向散列算法(MD5)。USB Key認證首先要在USB Key和服務器中各存儲一個能證明用戶身份的密鑰。當需要驗證用戶身份時，先由客戶端向服務器發(fā)出一個驗證請求。服務器接到此請求后生成一個隨機數(shù)并傳給客戶端(此為沖擊)?？蛻舳藢⑹盏降碾S機數(shù)提供給插在客戶端上的USB Key，由USB Key使用該隨機數(shù)與存儲在USB Key中的密鑰進行帶密鑰的單向散列運算(HMAC-MD5)，并將得到的結(jié)果作為認證證據(jù)傳送給服務器(此為響應)。與此同時，服務器也使用該隨機數(shù)與存儲在服務器數(shù)據(jù)庫中的該客戶密鑰進行HMAC-MD5運算。如果服務器的運算結(jié)果與客戶端傳回的響應結(jié)果相同，則認為客戶端是一個合法用戶。

　　(4)訪問管理子模塊

　　在ERP系統(tǒng)中，每一種用戶能夠訪問的資源是不同的，因此要由系統(tǒng)管理員來對各用戶進行劃分權(quán)限。系統(tǒng)管理員甚至可以設置系統(tǒng)中各個用戶的用戶名和密碼，這對系統(tǒng)的安全造成了隱患。本系統(tǒng)在為用戶重設密碼時，采用了系統(tǒng)產(chǎn)生隨機數(shù)后發(fā)送到用戶郵箱的方式，在數(shù)據(jù)庫中的密碼也要經(jīng)過MD5加密后再進行存放。

　　(5)IAM系統(tǒng)與ERP系統(tǒng)的接口子模塊

　　開放性是一個IAM系統(tǒng)的重要特性。開放就是必須要有通用的開放接口，能通過簡單、靈活的開發(fā)，與各種應用系統(tǒng)緊密連接。

　　(6)ERP系統(tǒng)的防火墻子模塊

　　系統(tǒng)在用戶登錄時，IAM對其IP地址和端口進行登記，另外再獲取正在與ERP系統(tǒng)通信的IP和端口，通過對比，當正在發(fā)生通信的源IP和端口與已經(jīng)登記的不同時，就對其進行攔截。

　　(7)加密傳輸子模塊

　　在往網(wǎng)絡發(fā)送信息之前，協(xié)議層需調(diào)用安全層中的加密模塊加密后發(fā)送信息，以達到安全通信的目的。本系統(tǒng)采用以隨機數(shù)作為AES(Advanced Encryption Standard)加密算法的Key加密機制，并配合MD5散列算法，較好地解決了網(wǎng)絡傳輸?shù)陌踩詥栴}。

　　2、IAM系統(tǒng)設計

　　下面介紹系統(tǒng)的設計：

　　(1)軟件平臺和開發(fā)工具

　　操作系統(tǒng)：帶有Service Pack 2.0的Microsoft Windows XP Professional。

　　數(shù)據(jù)庫平臺：MySQL-4.0.13 for Windows。

　　開發(fā)工具：Microsoft Visual Studio，ADO.NET(連接數(shù)據(jù)庫)。

　　(2)服務器端設計

　　IAM系統(tǒng)Server端負責管理用戶身份以及完成與客戶端的交互，并管理用戶的智能卡信息、USB Key信息、指紋信息等數(shù)據(jù)庫。

　　IAM系統(tǒng)結(jié)構(gòu)關(guān)系如圖1所示。圖2是以指紋認證為例的服務器端的運行界面。

　　(3)客戶端設計

　　以指紋認證為例，注冊子模塊完成對授權(quán)新用戶信息的注冊，主要工作包括指紋特征信息獲取、用戶認證信息加密、用戶認證信息傳輸、用戶認證信息解密和指紋特征信息匹配。認證子模塊用于驗證請求登錄的用戶是否是合法的用戶，用戶在登錄過程中，需要輸入正確的用戶名/密碼及相匹配的指紋才能通過認證。注冊及認證模塊會調(diào)用圖像的預處理模塊、特征值提取以及網(wǎng)絡傳輸?shù)饶K。在網(wǎng)絡傳輸子模塊中使用了AES加密技術(shù)。用戶登錄時，如果成功登錄，則會獲得通過驗證用戶特有的權(quán)限。一旦通過驗證，對應的菜單欄將加亮，用戶便通過了進入ERP系統(tǒng)的認證，獲得了訪問管理的資格。

　　3、設計過程中遇到的問題以及解決方法

　　與現(xiàn)有的ERP系統(tǒng)的平滑連接是IAM系統(tǒng)設計追求的目標。下面介紹在本系統(tǒng)設計中所提出并實現(xiàn)的IAM與ERP系統(tǒng)的3種對接機制。

　　(1)機制1——加密文件作中間橋梁

　　用戶登錄IAM系統(tǒng)通過驗證后，IAM系統(tǒng)會在其服務器端生成一個加密文件。當用戶調(diào)用ERP系統(tǒng)時，ERP系統(tǒng)會連接到IAM服務器端去讀加密文件，獲得該用戶成功登錄的資料后，系統(tǒng)直接進入ERP系統(tǒng)的功能界面。此機制的特點是：使用加密文件作為中間橋梁，以實現(xiàn)2個不同系統(tǒng)的對接。

　　(2)機制2——標識變量交互

　　登錄IAM系統(tǒng)通過驗證后，IAM服務器會給IAM客戶端返回一個標識變量。當該用戶在本次髓錄中使用ERP系統(tǒng)時，由IAM客戶端直接將此標記變量傳遞給ERP系統(tǒng)。ERP系統(tǒng)會先檢查是否有正確的參數(shù)傳遞過來，然后再把接收到的參數(shù)與企業(yè)的安全數(shù)據(jù)庫進行驗證。如確認，系統(tǒng)直接進入ERP系統(tǒng)的功能界面。

　　(3)機制3——句柄交互

　　用戶登錄IAM系統(tǒng)并通過驗證后，該用戶獲得了使用ERP系統(tǒng)的權(quán)限。當該用戶使用ERP系統(tǒng)時，IAM客戶端會獲得ERP系統(tǒng)登錄界面需要輸入的參數(shù)句柄。當輸入相關(guān)資料后，IAM客戶端將其值賦給相應的句柄，然后通過調(diào)用Windows提供的相關(guān)API函數(shù)把賦了值的旬柄發(fā)送到ERP系統(tǒng)的登錄程序。如果用戶信息正確，系統(tǒng)直接進入ERP系統(tǒng)的功能界面。

　　該機制將ERP用戶的權(quán)限管理轉(zhuǎn)移到了IAM系統(tǒng)，提高了ERP系統(tǒng)用戶管理的安全性。

　　4、結(jié)束語

　　實踐證明，本文所介紹的既獨立于現(xiàn)有的ERP系統(tǒng)，又能夠與現(xiàn)有的ERP系統(tǒng)實現(xiàn)平滑連接的多因子驗證的IAM系統(tǒng)設計方案是切實可行的，其使用的技術(shù)也是成熟的，對提高ERP系統(tǒng)的安全性效果顯著。