統一身份認證平臺統一身份認證平臺設計方案1〕系統總體設計為了加強對業務系統和辦公室系統的安全控管，提高息化PKI/CA技術為根底架構的統一身份認證效勞平臺。設計思想為實現構建針對人員治理層面和應用層面的、全面完善的安全管控需要，我們將依據如下設計思想為設計并實施統一身份認證效勞平臺解決方案：PKI/CA技術為根底架構的統一身份認證效勞平臺，通過集中證書治理、集中賬戶治理、集中授權治理、集中認證治理和集中審計治理等應用模塊實現所提出的員工統一、系統資源整合、應用數據共享和全面集中管控的核心目標。供給現有統一門戶系統，通過集成單點登錄模塊和調用統一身份認證平臺效勞，實現針對不同的用戶登錄，可以呈現不同的容。可以依據用戶的關注點不同來為用戶供給定制桌面的功能。建立統一身份認證效勞平臺，通過使用唯一身份標識的數字證書即可登錄全部應用系統，具有良好的擴展性和可集成性。LDAPLDAP訪問把握和用戶生命周期維護治理功能。用戶證書保存在USBKEY中，保證證書和私鑰的安全，并滿足移動辦公的安全需求。平臺介紹以pki/ca技術為核心，結合國外先進的產品架構設計，實現集中的用戶治理、證書治理、認證治理、授權治理、審計等功能，為多業務系統供給統一、安全、有效的配置和效勞，如用戶身份、系統資源、權限策略、審計日志等。如以下圖，統一任治理平臺的組件是松散耦合、相互支持和獨立的。具體功能如下：集中用戶治理系統：完成各系統的用戶息整合，實現用戶生命周期的集中統一治理，并建立與各應用系統的同步機制，簡化用戶與其賬號的治理簡潔度，降低系統治理的安全風險。集中證書治理系統：集成證書注冊效勞〔RA〕和電子密鑰〔USB-Key〕治理功能，實現用戶證書申請、審批、核發、更、撤消等生命周期治理功能，支持第三方電子認證效勞。集中認證治理系統：實現多業務系統的統一認證，支持數字證書、動態口令、靜態口令等多種認證方式；為企業供給單點登錄效勞，用戶只需要登錄一次就可以訪問全部相互任的應用系統。集中授權治理系統：依據企業安全策略，承受基于角色的訪問把握技術，實現支持多應用系統的集中、靈敏的訪問把握和授權治理功能，提高治理效率。集中審計治理系統：供給全方位的用戶治理、證書治理和認證。并支持應用系統、用戶登錄和治理。操作等審計治理。功能總體架構總體架構圖如下所示：說明：CA安全根底設施可以承受自建方式，也可以選擇CA。具體包含以下主要功能模塊：身份認證中心存儲企業用戶名目，完成對用戶身份、角色等息的統一治理；授權和訪問治理系統；訪問策略的定制和治理；用戶授權息的自動同步；對用戶訪問進展實時監控和安全審計；身份認證效勞身份認證前置為應用系統供給安全認證效勞接口，中轉認證和訪問懇求；身份認證效勞完成對用戶身份的認證和角色的轉換；訪問把握效勞應用系統插件從應用系統獵取單點登錄所需的用戶息；用戶單點登錄過程中，生成訪問業務系統的懇求，對敏感息加密簽名；CA中心與數字證書網上受理系統用戶身份認證和單點登錄過程中所需證書的簽發；用戶身份認證憑證〔USB〕的制作。平臺總體部署集中部署方式：全部模塊部署在同一臺效勞器上，為企業供給統一任治理效勞。部署方式主要是承受專有定制硬件效勞設備，將集中治理、集中授權治理、集中認證治理和集中審計治理等功能效勞模塊統一部署和安裝在該硬件設備當中，通過連接外部效勞區域當中的從LDAP名目效勞〔現有AD名目效勞〕來完成對用戶的操作和治理。技術實現方案技術原理基于數字證書的單點登錄技術，使各息資源和本防護系統站成為一個有機的整體。通過在各息資源端安裝訪問把握代理中間件，和防護系統的認證效勞器通，利用系統供給的安全保障和息服其原理如下：每個息資源配置一個訪問代理，并為不同的代理安排不同的數字證書，用來保證和系統效勞之間的安全通。用戶登錄中心后，依據用戶供給的數字證書確認用戶的身份。訪問一個具體的息資源時，系統效勞用訪問代理對應的數字證書,把用戶的身份息后以數字封的形式傳遞給相應的息資源效勞器。息資源效勞器在承受到數字封后，通過訪問代理，進展解密驗證，得到用戶身份。依據用戶身份，進展部權限的認證。統一身份認證用戶認證統一身份治理與訪問把握系統用戶數據獨立于各應用系統，對于數字證書的用戶來說，用戶證書的序列號平臺中是唯一的，對于非證書用戶來說，平臺用戶ID〔passport〕是唯一的，由其作為平臺用戶的統一標識。如以以下圖所示：在通過平臺統一認證后，可以從登錄認證結果中獵取平臺用戶證書的序列號或平臺用戶ID；再由其映射不同應用系統的用戶賬戶；最終用映射后的賬戶訪問相應的應用系統；當增加一個應用系統時，只需要增加平臺用戶證書序列號ID與該應用系統賬戶的一個映射關系即可，不會對其它應用系統產生任何影響，從而解決登錄認證時不同應用系統之間用戶穿插和用戶賬戶不同的問題。單點登錄過程均通過安全通道來保證數據傳輸的安全。系統接入應用系統接入平臺的架構如以以下圖所示：系統供給兩種應用系統接入方式，以快速實現單點登錄：a.反向代理〔ReverseProxy〕方式應用系統無需開發、無需改動。對于不能作改動或沒有原廠商協作的應用系統，可以使用該方式接入統一用戶治理平臺。反向代理技術：實現方式為松耦合，承受反向代理模塊和單點登錄〔SSO〕認證效勞進展交互驗證用戶息，完成應用系統單點登錄。b.Plug-in方式Plug-in：實現方式為緊耦合，承受集成插件的方式與單點登錄〔SSO〕認證效勞進展交互驗證用戶息，完成應用系統單點登錄。API，通過簡潔調用即可實現單點登錄〔SSO〕。統一權限治理統一身份治理與訪問把握系統的典型授權治理模型如以以下圖所示：用戶授權的根底是對用戶的統一治理，對于在用戶息庫中注冊的用戶，通過自動授權或手工授權方式，為用戶安排角色、對應用系統的訪問權限、應用系統操作權限，完成對用戶的授權。假設用戶在用戶息庫中被刪除，則其相應的授權息也將被刪除。完整的用戶授權流程如下：1、用戶息統一治理，包括了用戶的注冊、用戶息變更、用戶注銷；2、權限治理系統自動獵取增〔或注銷〕用戶息，并依據設置自動安排〔或刪除〕默認權限和用戶角色；3、用戶治理員可以基于角色調整用戶授權〔適用于用戶權限批量處理〕或直接調整單個用戶的授權；4、授權息記錄到用戶屬性證書或用戶息庫〔關系型數據庫、LDAP名目效勞〕中；5、用戶登錄到應用系統，由身份認證系統檢驗用戶的權限息并返回給應用系統，滿足應用系統的權限要求可以進展操作，否則拒絕操作；6、用戶的授權息和操作息均被記錄到日志中，可以形成完整的用戶授權表、用戶訪問統計表。安全通道供給的安全通道是利用數字簽名進展身份認證，承受數字封進展息加密的基于SSL協議的安全通道產品，實現了效勞器端和客戶端嵌入式的數據安全隔離機制。安全通道的主要用途是在兩個通應用程序之間供給私密性和牢靠性，這個過程通過3個元素來完成：握手協議：這個協議負責協商用于客戶機和效勞器之間會話的加密參數。當一個SSL客戶機和效勞器第一次開頭通時，它們在一個協議版本上達成全都，選擇加密算法和認證方式，并使用公鑰技術來生成共享密鑰。記錄協議：這個協議用于交換應用數據。應用程序消息被分割成可治理的數據塊，還可以壓縮，并產生一個MAC〔消息認證代碼〕，然后結果被加密并傳輸。承受方承受數據并對它解密，校MAC，解壓并重組合，把結果供給應應用程序協議。警告協議：這個協議用于標示在什么時候發生了錯誤或兩個主機之間的會話在什么時候終止。平臺功能說明平臺主要供給集中用戶治理、集中證書治理、集中認證管理、集中授權治理和集中審計等功能，總體功能模塊如以以下圖所示：集中用戶治理隨著企業整體息化的進展，大致都經受了網絡根底建設階段、應用系統建設階段，目前正面臨著實現納入到息化環境中人員的統一治理和安全把握階段。隨著企業的網絡根底建設的不斷完善和應用系統建設的不斷擴展，在息化促進業務加速進展的同時，企業息化規模也在快速擴大以滿足業務的進展需要，更多的人員被融入息化環境，由此突出反映的大事是無論是網絡系統、業務系統、辦公系統，其最終的主體將是企業外的人員，每一為人員擔當著使用、治理、授權、應用操作等角色。因此對于人員的可身份的治理顯得尤為重要，必將成為息化進展的重中之重，只有加強人員的可身份治理，才能做到大門的安全防護，才能為企業的治理、業務進展構建可的息化環境，特別是承受數字證書認證和應用后，完全可以做到全過程可身份的治理，確保每個操作都是可得、可賴的。集中用戶治理系統主要是完成各系統的用戶息整合，實現用戶生命周期的集中統一治理，并建立與各應用系統的同步機制，簡化用戶與其賬號的治理簡潔度，降低系統用戶治理的安全風險。治理效勞對象集中用戶治理主要面對企業外部的人、資源等進展治理和供給效勞，具體對象可以分為以下幾類：最終用戶：自然人，包括自然人身份和相關息。主賬號：與自然人唯一對應的身份標識，一個主賬號只能與一個自然人對應，而一個自然人可能存在多個主賬號。從賬號：與具體角色對應，每一個應用系統部設置的用戶賬號，在統一任治理平臺中每個主賬號可以擁有多個從，也就是多種身份角色〔即一個日然人在企業部具備多套應用系統賬號〕。d)資源：用戶使用或治理的對象，主要是指應用系統與應用系統下具體功能。具體效勞對象之間的映射對應關系如以以下圖所示：用戶身份息設計用戶類型用戶是訪問資源的主體，人是最主要的用戶類型：多數的業務由人發起，原始的數據由人輸入，關鍵的流程由人把握。人又可再分為：員工、外部用戶。員工即中心的職員，是平臺主要的關注的用戶群體；外部用戶是指以獨立身分訪問中心應用系統的其他用戶如投標人、招標人、招標代理等。4.2.3.身份息存儲身份息模型如下：對各類用戶身份建立統一的用戶身份標識。用戶身份標識是統一用戶治理系統部使用的標識，用于識別全部用戶的身份息。用戶標識不同于員工號或號，需要建立相應的編碼規。為了保證用戶身份的真實、有效性，可以通過數字證書認證的方式進展身份鑒別并與用戶身份標識進展唯一對應。用戶根本息保存用戶最主要的息屬性，由于其它系統中，如HR中還保存有用戶更完整的息，因此需要建立與這些系統的息的比照關系，所以需要保存用戶在這些系統中用戶息的索引，便于關聯查詢。基于分權、分級的治理需要，用戶身份息需要將用戶息按照所屬機構和崗位級別進展分類，便于劃分安全治理域，將用戶息集中存儲在總部，以與治理域的劃分。用戶認證息治理用戶的認證方式與各種認證方式對應的認證息，如用戶名/口令，數字證書等。由于用戶在各應用系統中各自具有賬號和相關口令，為了保證在平臺實施后可以使原有系統仍可以依據原有賬號方式操作，需要建立用戶標識與應用系統中賬號的比照關系。授權息是對用戶使用各系統的訪問策略，給用戶賜予系統中的角色和其它屬性。4.2.3.身份息存儲為了便利對人員身份的治理，集中用戶系統承受樹形架構LDAP。可以通過中心部已有的人員息治理系統當中依據策略進展讀寫操作，目前主要支持以下數據源類型：a)WindowsActiveDirectory〔AD〕b)OpenLdapc)IBMDirectoryServer〔IDS〕用戶生命周期治理用戶生命周期，主要關注的是用戶的入職、用戶賬戶創立、用戶身份標識〔數字證書的頒發〕、用戶屬性變更、用戶賬戶注銷、用戶歸檔等流程的自動化治理，這一治理流程又可稱為用戶生命周期管理，如以以下圖所示：由于要賜予用戶可的身份標識，所以需要通過數字證書認證的方式來實現，在用戶生命周期治理過程中圍繞用戶包含了基于的生命周期和數字證書的生命周期治理的容。數字證書主要是與用戶的主賬戶標識進展唯一綁定，在用戶的使用和屬性變更過程中數字證書不需要發生任何轉變，唯有在用戶進展注銷和歸檔過程中，與其相匹配的數字證書也同樣需要進展撤消和歸檔操作。用戶身份息的維護目前集中用戶治理系統中對用戶身份息的維護主要以企業已存在的AD域和LDAP作為根底數據源，集中用戶治理系統作為用戶息維護的主要入口，可以由人力資源部門的相應人員執行用戶賬戶的創立、修改、刪除、編輯、查詢、以與數字證書的發放。AD域中的用戶息變動通過適配器被平臺感知，并自動同步到平臺用戶身份息存儲〔名目效勞器〕中；平臺的用戶治理員也可以直接修改平臺中集中存儲的用戶身份息，再由平臺同步到各個應用系統中。集中證書治理集中證書治理功能主要是針對用戶的CA系統，包括：a)證書申請證書制作證書生命周期治理〔有效期、審核、頒發、撤消、更、查詢、歸檔〕證書有效性檢查集中證書治理功能集支持多種CA〔自建和第三方效勞〕RA從技術上與治理上以靈敏的實現模式滿足用戶對證書集中治理的迫切需求，解決治理員對多平臺進展操作與維護困難的問題。集中證書治理功能特點集中證書治理功能的實現就是通過集成證書注冊效勞〔RA〕和電子密鑰〔USB-Key〕治理功能。集中制證集中制證主要結合本地數據源中的數據為用戶進展集中制證，包括集中申請、自動審批。通過CA的配置路徑，訪問指定的CA系統；CA系統簽發數字證書并返回給治理員；治理員將證書裝入UBSKey,制證成功.將數字證書發送給最終用戶。證書生命周期治理通過集中證書治理功能可實現對所制證書進展證書的生命周期治理，主要包括：證書的查詢、撤消等，同時還可以實現對證書有效性的檢查。證書有效性檢查，可支持與CA系統的CRL〔證書掉銷列表〕CRL列表。用戶通過證書認證方式登錄“登錄門戶”；將用戶的證書息〔包括證書屬性、有效期等〕提交到“證書治理模塊”；效勞檢查證書息，假設有效，將有效值返回“證書治理模塊”〔假設無效將值返回“證書治理模塊”〕“證書治理模塊”將有效值返回“登錄門戶”，用戶通過認證。〔假設無效，用戶登錄失敗〕；用戶通過認證，正常進入應用系統。支持多種CA建設模式RA集中治理在一個企業，依據證書應用的需求，存在根CA下有多個CARARA的集成，可支持與RARA的集中治理。靈敏擴展性集中證書治理功能除了實現集中制證、證書生命周期治理功能，以與具有多RA治理、支持用戶CA系統的自建和服RARA理、證書生命周期治理、證書審批、支持多種申請模式、RA多用戶對于集中證書治理的擴展性需求。集中授權治理集中授權治理應用背景分析一些大型機構，覺察機構部各應用系統自身授權格外完善，但是從集中治理角度看，覺察大型機構中的傳統授權所存在如下問題：系統權限分散：人員的流淌與職位的變更，需要更改人員的系統使用權限，而多個系統權限的分散，使治理員工作量增加，且容易帶來安全漏洞。應用系統的獨立性：各種應用系統都使用獨立的登錄方式，員工需要記憶全部應用系統的、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率影響格外大，甚至簡化記憶問題，所有應用系統統一使用一樣的密碼，由此為黑客或者木馬程序供給時機，而對應用系統的安全防護帶來極脅。集中授權的最大特點，就是集中在一個接口對組/角色進展資源的合理安排。集中授權的過程，就是集中對用戶〔組/角色〕通過何種方式〔證書/口令〕使用某種資源〔應用/功能〕的權限的安排。員工入職，安排一個特定的原本已經隸屬于某些角色/組的身份賬戶，統一入口登錄，即可享有身份賬戶所屬角色/組在中心應用系統中的全部權限；當職位變更時，只需更改身份賬戶所屬角色/組，則所享有的權限也相應變化，而對應的應用系統資源的賬戶和權限不受任何影響，并且應用系統的安全性得到了極大提高，不會由于對應的業務系統由于沒有中止用戶應用權限而患病安全風險。通過集中授權的治理模式，有效地屏蔽了傳統授權中存在的弊端，提高了治理效率，為企業營造一個安全、便捷的系統安全、可的辦公環境。6.4.集中授權治理模式集中授權主要是依靠于人，由授權系統治理者依據人的組織屬性、角色屬性，進展對應應用系統和資源的授權安排，從保證人與應用系統之間使用權限關系，最終實現，什么樣的人、組織、角色能訪問哪些應用系統和資源。集中授權還可以依靠于應用系統為治理對象，然后針對該應用系統給人、組織、角色授予相應訪問和操作權限，最終把應用系統和人進展權限關聯，合理、有效地的訪問把握策略，保證了什么樣的應用系統和資源，能讓怎樣的人、組織、角色進展訪問。組：包括依據組織架構或特定功能劃分的部門、工作組與個人用戶。通過以上兩種方模式，可以對企業部的人員、應用系統和資源進展合理的治理和把握，有效地解決企業部息資源的權限治理，最終實現，正確的人做正確的事情，而非授權人員不得進入企業部任何系統，從而保證企業應用系統數據的安全，保護企業的資產。在集中授權治理系統系統中需要明確以下概念：角色定義，主要是基于用戶組角色和應用系統角進展角色定義。基于用戶組的角色定義可理解為在組織構造下定義用戶角色，比方在技術部門下定義產品工程師角色。目標是在以后授權模式過對產品工程師角色授權，而包含產品工程師的角色就會一次性獲得授權，這樣便利治理，同時也是簡化了授權的操作。基于應用系統定義角色，即依據該應用系統下的用戶職能進展定義。比方，針對OA應用系統和結合人力資源架構定義“總監”，那么依據OA系統給總監的工作操作權限，那么以后授權中，只要存在應用系統對總監所具備的功能，經過系統授權后均可以依據總監的角色進展應用訪問。資源定義，主要是應用系統下具備的每一功能模塊，全部的功能模塊統稱為資源。資源的定義主要是便利人員、組織、角色授權時候的對象指定，最終經過授權實現，什么樣的人員、組織、角色能訪問應用系統的那些功能。也就是中細粒度授權所需要的涉與的容。集中授權治理原理集中授權治理模式基于組/角色的訪問授權：對于屬于某一組/角色的用戶，治理員可以為其授權于可訪問的應用系統和資源〔應用系統的功能〕。授權后組的全部成員均具備該組編輯、查看、安排的權限。基于應用系統和資源的授權：對于某一選定應用〔或其包含的功能、功能組〕，治理員可以授權為其指派訪問資源〔用戶、組、角色〕細粒度授權：傳統意義中的粗粒度授權是以某一應用系統為標準，將應用系統那個授權于某一個人、某一機構〔組織〕、某一類角色；而對于應用系統下的模塊無法做到授權，所以，粗粒度授權在統一任系統中，無法做到應用系統的部授權機制，導致簡潔的訪問把握授權無法滿足業務系統的精細化治理，為了滿足企業的細致化訪問把握，需要打破傳統授權模式，增加的授權機制，即要實現細粒度的訪問把握授權。而將資源治理模塊細粒度化，則是將應用模塊拆分成單個的功能模塊，某幾個功能模塊又可以組合成一個功能組，在授權時，針對某一應用模塊中的功能或功能組模塊進展權限安排。角色繼承供給了角色授權模型，在角色權限安排的治理過程中，角色之間可以實現多模式繼承，即單繼承、多繼承、動態繼承；多種模式的繼承由系統自動完成，但是當繼承形成環路的時候，則繼承屬性自動中斷，保持獨立的角色屬性。這樣可以保證應用系統權限合理管控，而不會由于角色繼承導致權限失去把握。針對繼承方式，如下定義：a)單繼承：ABABb)多繼承ABCDA同時擁有B、C、D全部的權限。c)動態繼承：ABCD，用戶擁A；角色B的登錄方式為口令；角色C的登錄方式為口令和證書；角色D的登錄方式為證書。d)循環繼承：角色循環繼承時，系統部自行處理，在循環處于環路，則繼承自動斷開。集中認證治理集中認證治理為企業的IT系統供給統一的身份認證，是企業安全門戶入口，只有安全的認證機制才可以保證機構大門不被非法人員進入；在整個認證系統中其效勞的對象包括企業接入統一認證平臺的全部業務系統、治理系統和應用系統等，統一認證系統能夠供給快速、高效和安全的效勞，應用系統接入改造小，系統具有靈敏的擴展性、高可用性。集中認證治理特點集中認證治理可以為多個不同種類、不同形式的應用供給統一的認證效勞，不需要應用系統獨立開發、設計認證系統，為業務系統快速推出的業務和效勞預備了根底條件，集中認證治理為這些應用供給了統一的接入形式。供給多種認證方式企業的不同業務系統的安全級別不同,使用環境不同，用戶的習慣和操作嫻熟程度不同，集中認證治理可以針對這些不同的應用特點供給不同的認證手段。供給統一和多樣化的認證策略集中認證治理針對不同的認證方式，供給了統一的策略控制，各個應用系統也可以依據自身的需要進展共性化的策略設置，依據應用或用戶類型的需求，設置共性化的認證策略，提高應用系統的分級治理安全。7.2.2.數字證書認證集中認證治理系統支持多種身份認證方式，包括：用戶名/口令數字證書3)Windows域認證4)通行碼集中認證治理同時支持上述四種認證方式，也可以依據用戶的需求對用戶登錄認證方式進展擴展。下面首先分別介紹這些認證方式，然后介紹認證方式與安全等級。7.2.1.用戶名/口令認證用戶名/口令是最傳統且最普遍的身份認證方法，通常承受如下形式：當用戶需要訪問系統資源時，系統提示用戶輸入用戶名和口令。系統承受加密方式或明文方式將用戶名和口令傳送到認證中心。并和認證中心保存的用戶息進展比對。假設驗證通過，系統允許該用戶進展隨后的訪問操作，否則拒絕用戶的下一步的訪問操作。靜態口令的優點是簡潔且本錢低，但是假設用戶不去修改它，那么這個口令就是固定不變的、長期有效的，因此這種認證息的靜態性，導致傳統口令在很多狀況下都有著發生口令泄密的危急。在整體安全認證中，對于掃瞄非重要資源的用戶可以承受該方法。7.2.4.密碼認證數字證書是目前最常用一種比較安全的身份認證技術。數字證書技術是在PKI體系根底上實現的，用戶不但可以通過數字證書完成身份認證，還可以進一步進展安全加密，數字簽名等操作。依據自己多年的安全閱歷，供給完整的數字身份認證解決方案。數字證書的存儲方式格外靈敏，數字證書可被直接存儲USBKey中。Windows域認證Windows域是一種應用層的用戶與權限集中治理技術。當用戶通過Windows系列操作系統的登錄界面成功登錄Windows域后，就可以充分使用域的各種共享資源，同時承受Windows域對用戶訪問權限的治理與把握。目前，很多企業、機構和學校都使用域來治理網絡資源，用于把握不同身份的用戶對網絡應用與共享息的使用權限。集中認證治理支持Windows域登錄，對于已經登錄到Windows域中的用戶，不需要輸入用戶名、密碼而直接使用當前登錄的域用戶息進展驗證，假設驗證成功則進入，否則拒絕進入。通行碼認證通行碼是集中認證治理支持的一種特有認證方式，用戶遺忘其他認證息時，可以向治理員申請一次性使用的口令進展身份認證。主要滿足安全應急效勞，當用戶安全認證的憑證遺忘或者喪失，通過后臺治理員生成通行碼的方式，幫助用戶解決認證登錄；通行碼具備時效性和一次性特點，當使用過或者超出訪用時間圍，其認證效力自動失效，格外強大的保證了系統的安全性和牢靠性；在有效地時間段圍，能有效、快速的幫助用戶解決認證和系統準入的問題，為應用提供了便利。認證方式與安全等級每種身份驗證方法都對應一個安全級別，安全級別是依據安全策略定義的。身份驗證方法(如用戶名/密碼、數字證書、windows域等。)僅由認證系統部門治理和把握，身份認證子系統與其他子系統之間的息交換通過認證安全級別實現。身份認證相關協議身份認證治理支持的身份認證協議有：SSL協議。Windows域認證SAML協議集中認證治理同時支持上述三種認證協議，下面具體介紹這些認證協議。SSL協議SSL〔SecureSocketLayer，安全套接層〕協議最早由Netscape提出，是一種用于保護互聯網通私密性的安全協議，現在已經是該領域的工業標準。通過SSL協議，可以使通不被惡意攻擊者竊聽，并且始終對效勞端進展認證〔也可以應用可選的客戶端認證〕。SSL可以使用RC4、DES等多種加密算法，并應用X.509數字證書標準進展認證，從保護機制上來講，是比較完善的。而且SSL的實現本錢比較低，可以很簡潔的結合現有的應用環境建立比較安全的傳輸，所以獲得了極為廣泛的應用。SSL協議的身份認證方式與用戶名/口令方式相比，最顯著的優勢在于SSL供給雙向的身份認證，不僅可以驗證客戶端的身份同時也可以認證效勞器的身份。b)windows域身份驗證Windows交互式登錄是我們尋常常見的一種登錄認證方式，交互式登錄包括“本地登錄”和“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄”。本地用戶賬號SAM數據庫中的息進展驗證。用本地用戶賬號登錄后，只能訪問到具有訪問權限的本地資源。域用戶賬號承受域用戶賬號登錄，系統則通過存儲在域把握器的活動名目中的數據進展驗證。假設該用戶賬號有效，則登錄后可以訪問到整個域中具有訪問權限的資源。用戶登錄域的過程即是活動名目認證用戶的過程，具體過程如下:登錄到域的驗證過程，對于不同的驗證協議也有不同的驗證方法。假設域把握器是WindowsNT4.0，那么使用的NTLM驗證協議，其驗證過程和“登錄到本機的過程”根本SAM數據Windows2023和Windows2023域把握器來說，使用的一般為更安全牢靠的KerberosV5協議。通過這種協議登錄到域，向域把握器證明自己的域賬號有效，用戶需先申請允許懇求該域的TGS(Ticket-Granting