浅析企业统一身份验证平台安全风险及规避方案

聂兆庸

南京华盾电力信息安全测评有限公司  江苏 南京  210008

摘要：提出了企业统一身份验证平台的一些安全风险，主要包括架构风险、技术风险、管理风险等几个方面，并通过对风险的分析，提出了一些概要的解决思路。

关键词： 统一身份验证； 安全风险； 规避；

1 什么是统一身份验证平台

随着企业信息化系统的不断发展，包括企业办公自动化、ERP（企业资源计划）、财务共享中心、合同管理系统、电子邮件系统和即时通信系统等多种类型信息系统的大量投入使用，极大提高了企业的工作效率。 但是随着企业规模的不断扩大和信息化的不断发展，这些各自为政所的应用为了满足不同业务的需求，采用了不同的技术架构；再加上客户端、浏览器、移动客户端等不同的访问方式；使得各系统彼此之间独立，成为“信息孤岛”。直接的现象就是用户需要记忆大量的用户名和密码，在各个应用系统之间切换时需要重复登录，再加上各个系统没有统一的安全策略，导致用户名的命名、密码的规则不统一，更使得用户信息混乱，系统体验极差。

统一身份认证平台的建设目标是为企业的跨平台、跨架构的各种网络服务和应用系统提供统一的用户管理平台和身份认证服务。 满足用户使用一套用户名和密码就可以登录所有允许他登录的系统；同时实现用户一次登陆，就能在权限范围内的所有系统间进行切换。 从管理角度来看，管理人员可以在一个认证系统中集中对用户进行管理，避免了用户重复注册，实现了策略统一维护，用户日志统一审计；有效提高信息系统的管理和运行效率。 总之，统一身份认证平台功能重点包含以下四个方面：用户资料集中存储和管理，用户身份集中验证，用户单点登录和日志审计。ⁱ

2 统一身份验证平台给企业带来的好处

企业通过统一身份验证平台可以获得以下几点好处：

（1）统一的用户管理界面：唯一的用户名和密码规则，方便用户记忆；应用系统不需要关心账号申请和用户访问权限的管理，通过接口调用就能快速实现账号验证和授权。

（2）唯一的用户管理门户，保证了用户只需要熟悉一套用户管理流程就能保证用户账户的使用，配合分级管理和用户自管理，极大地提高了用户管理的效率，降低了管理员的工作强度。

（3）完整的用户访问路径记录：通过统一用户登录入口，保证了用户在任意时间以任意的方式访问任何系统，都会被记录，包括用户密码输错的次数、访问了哪些系统，提高了账号的安全性

3 统一身份验证平台给企业带来的挑战

在带来便利性的同时，统一身份验证平台也给企业信息安全带来以下的挑战：

3.1 平台自身的风险：主要包括以下几个方面：

1. 平台架构带来的风险：主要体现在多个安全域内的系统访问同一套平台实现身份验证带来的风险，例如用户通过低安全域的系统跳转到高安全域的系统时往往会绕过双因素认证，甚至会出现绕过权限认证的低级问题。这一问题在当前越来越普及的多云环境、工业互联网环境下更加严重。

2. 采用技术带来的风险：不论是采用开发语言、框架还是加密算法，都有可能出现这样或者那样的漏洞，而一旦被攻击者利用系统漏洞进行攻击，设计再好的系统都会成为不设限的城门。

3. 数据存储安全：再好的平台都需要进行数据存储，如果忽视了数据存储平台的安全设计和管理，那么就会出现攻击者通过数据存储平台一举获得所有用户账号的信息。

3.2 账号管理带来的风险：

1. 弱密码风险：密码的强度和用户记忆的便利性一直都是一对悖论，为了保证密码安全，我们要求用户设置的密码长度越来越长，组合方式越来越复杂；而这又给用户带来了记忆的困扰，反而会出现用户为了方便直接将密码保存到浏览器、记事本等容易被攻击者窃取的地方。

2. 账号注册风险：统一身份验证平台的账号要求对应到每个实体用户，于是就会出现为了方便某系统推广由管理员统一进行账号注册、权限申请等操作，这其中往往会出现批量注册时使用统一的密码、统一的邮箱和统一的手机号，从而增加了密码泄露的风险。又或者有人会为了方便，注册大量不存在的虚拟账号，从而出现大量不能对应到实际使用人的垃圾账号。

3. 账号管理的风险：企业中存在大量的用户调动部门、调动工作、离职、退休等情况，这也为企业账号管理工作带来了非常大的风险，一旦有用户因为种种发生了变更但是其对应账号没有及时处理，就会带来账号权限不对应的风险。

3.3 系统建设和运维时的风险：企业在建设新的应用系统时，项目组成员因为项目建设需要，往往会建立大量权限很大的账号；运维团队也会因为运维工作的需要，申请一些不论访问范围还是访问权限都非常大账号；这些账号也就成为了高风险账号。

4 应对挑战的一些思考

为了应对上述的风险，建议采用以下一些应对方案

（1）不论是在链路还是存储上，都要考虑加密，且最好利用统一的密码管理中心来实现加密，而不要利用简单的配置文件记录秘钥的方式来加密。

（2）尽量采用多因素验证；包括动态密码、token验证、生物验证和密码验证等方式进行身份校验；针对移动应用、公有云应用和大权限账号、可以使用设备绑定、IP绑定等方式来进一步提升安全性。

（3）在可能的情况下，可以将开发账号、业务账号和普通用户账号利用不同的身份管理平台来管理，降低账号泄露的风险。

参考文献

i[1]赵华, 王海阔, 杨兰娟,等. 统一身份认证在信息化企业中的应用研究[J]. 电脑知识与技术, 2011(24):5916-5917.