随着一些大型集团公司应用系统数量和用户的不断增加，员工因业务需要而使用多个应用系统的情况也越来越多，异构系统、融合网络、多样设备的用户身份管理复杂度也达到前所未有的程度，弱口令、僵尸账户、冗余账户、账号冒用、钓鱼用户、重复登录、异地登录、异常登录、多样性访问、分散管理、审计弱化等网络安全问题层出不穷。因此，从安全角度来说，构建集团内全网络、全应用、全覆盖的统一用户身份管理系统，保障用户身份与账号在企业中的唯一性显得尤为重要[1,2,3]。

近年来，随着工业互联网和企业数字化的不断发展，以云计算、人工智能、大数据技术等为支撑的信息系统日益增多，内外网络防护的安全边界也逐渐趋于模糊化，许多企业基于边界防护的网络安全架构难以应付身份、权限、系统漏洞等维度的攻击，安全架构亟需升级。传统的网络架构通常被划分为外网、内网和“隔离区”（demilitarized zone,DMZ）等不同安全区域，并采用基于网络边界防护的方案，通过在网络的边界处部署防火墙、虚拟专用网络（virtual private network,VPN）、Web应用防护系统（Web application firewall,WAF）等技术进行防护。但这种架构会存在“防外不防内”的问题，即默认内网更安全，对内网中的系统和设备完全信任，因此攻击者只要通过一些攻击手段绕过网络边界防护，渗透到企业内网中，内网安全就会轻易被瓦解，从而造成企业数据泄露问题[4,5,6]。

2010年John Kindervag首次提出了零信任的概念[7,8]，认为“可信”的内部网络充满着威胁，“信任”被过度滥用。针对传统网络边界防护带来的弊端，零信任给出了一种“从来不信任，始终被校验”的思想，即不信任网络内外的任何用户、设备、系统与应用，而是通过动态认证和授权的方式处理每一个访问请求，确保在持续访问过程中验证和评估真实访问上下文和访问预期的偏差，避免非法用户拿到合法授权[9,10,11,12]。这种方式使网络安全架构从网络中心化逐渐走向身份中心化，通过身份认证来实现对设备及系统的访问控制。2017年谷歌耗时6年开发的Beyond Corp项目[13,14]，通过引入零信任网络架构模式，消除了对网络信任的依赖，也使零信任网络逐渐被各大企业认可和普及[15,16]。2020年万振楠等[17]提出了一种边云一体化的身份认证平台，采用基于零信任思想的静态口令与CA数字证书相结合的方式，开发出一套用户身份认证平台并投入使用。2021年李崇智等[18]为解决多个系统之间用户权限分散的问题，提出了一种基于零信任架构的统一身份认证平台，采用身份与设备的动态认证，实现了更为精细化的权限控制。

基于以上研究现状，目前企业信息系统中账号管理仍然面临一些问题：1）存在大量的占用账户、长期不用账号（僵尸账号）、多次创建的冗余账户等，系统管理员梳理起来较为困难；2）账号缺乏统一集中管理，应用系统、VPN、网络准入等缺乏统一的账号管理标准；3）缺乏统一的认证，VPN、各应用系统、APP认证各自独立，存在大量的弱口令；4）缺乏统一的审计能力，现有业务系统审计日志过多，审计人员有限，无法有效落地审计能力。因此，本文提出了一种基于零信任架构的集账号（account）、认证（authentication）与审计（audit）三位一体的AAA系统，进一步提高大型集团公司账号身份的认证管理与安全防护能力。

1、AAA系统介绍

1.1基于零信任架构的集团级系统介绍

零信任网络架构的核心思想包括：1）网络无时无刻不处于危险之中；2）网络始终存在内部威胁和外部威胁；3）网络位置不能决定网络访问的可信程度；4）所有设备和网络流量都需要通过认证和授权；5）安全策略是动态且可调整的，或是通过多源信任评估得到的。

传统的企业信息管理系统属于孤岛式作业平台，即一套业务逻辑配合一套管理人员，每套系统都有单独的账号和密码，不同系统之间账号和数据互不相通，导致运维管理较为复杂。为了更好地解决集团级企业内，即多层下属单位各种信息系统之间应用账号的管理与安全问题，建立一站式作业平台，实现应用系统及其他资源的统一认证与管理，本文引入零信任思想，并在此基础上设计了一种集账号、认证、审计功能为一体的AAA系统（图1）。

AAA系统具备以下3种能力：1）集团级全网集中的账号管理能力，可对全网账号进行集中化、标准化和可视化的管理；2）集团级全网统一的认证能力，可对全网人员和业务认证提供标准化和服务化管理；3）集团级全网统一的审计能力，提升审计能力并落地审计管理，实现真正的有效审计。图1中，系统核心功能为用户管理、身份认证管理、审计管理等。

1.2系统架构

图2为基于零信任的AAA系统整体架构，共分为6层，分别是数据层、业务层、中间层、服务层、接口层和展示层。图2的展示层提供管理员和普通用户统一登录页面，并提供普通用户单点访问应用系统页面和管理员管理AAA系统的配置页面。接口层实现前端展示层与后端业务层的业务交互，除了对内提供接口调用，还可对外提供标准接口对接，通过接口层实现前后端分离，基于每个业务提供单独的业务库。业务层提供AAA系统业务管理功能，包括用户管理、认证管理、授权管理和审计管理等。

中间层提供中间件服务和缓存服务，用于业务层与服务层之间交互。服务层提供后台服务，如配置服务、任务调度服务、升级服务、主备服务等。数据层提供业务数据和审计数据存储功能，各业务数据对应各自的业务库，数据之间不能直接访问，都需要通过业务层和接口层交互。

图1 AAA系统业务设计   

图2 AAA系统整体架构  

1.3用户管理

用户管理模块用来实现对用户账号的统一管理，通过同步、映射、关联等方案，形成用户统一登录身份，并对用户属性进行扩展。

图3为用户管理模块示意。由图3可见：用户管理模块包含了用户的属性管理、用户口令策略、用户状态核查、用户信息同步等子功能；同时支持账号特殊状态管理，包括长期未用账号管理、异常时间登陆账号管理、异地登录账号管理、异地同时登录账号管理等。

1.4身份认证管理

用户身份认证管理是基于零信任架构的AAA系统的核心功能[19,20,21,22,23]。AAA系统需要通过支持标准协议实现如网络设备、安全设备、主机、应用等资源的统一认证功能，同时还要支持多种强身份认证方式，可以实现多种认证因子的身份认证、票据管理、认证转发，并基于Radius、LDAP、CAS、OAuth2、OIDC、JWT等多种标准协议。

认证授权管理功能包括认证和授权2个部分。认证管理可通过可信API与内部其他业务模块进行交互，同时可与外部认证系统对接实现多种认证方式，通过标准认证协议实现资源认证接入。AAA系统提供认证服务的同时，还需要根据访问授权控制用户访问资源的权限，只有当用户授予了资源的访问权限，才能进行正常登录，否则即便认证通过，也无法对资源进行登录访问。

图3用户管理模块示意

授权管理包括用户的权限设置，涉及用户拥有哪些应用访问权限、用户应用账号具备哪些权限。传统方法是由管理员给用户开通应用账号并分配权限，开通账号即代表用户拥有该应用访问权限，但这种做法完全依靠人工，存在严重安全隐患以及较大管理工作量。另外，应用独立维护权限、权限与业务耦合、权限不断变化，也会导致第三方平台很难完全接管应用账号权限。因此，AAA系统支持用户应用账号权限可在应用账号同步时授予默认权限，特殊用户账号权限由应用管理员人工调整。

零信任架构的核心思想在于，遵循“以人为核心的业务安全”核心理念，来解决企业全生命周期业务安全问题，通过对所有业务场景和资源的每一个访问请求进行强制身份鉴别和授权判定，实现按需分配资源。采用零信任的方式可以确保访问主体对资源的所有业务访问都以安全的方式进行，对所有访问请求和通信提供机密性、完整性保护和源身份验证。其中，可信代理、访问控制和信任评估为零信任架构的3个核心组件，零信任模型下的身份认证管理如图4所示，本文从以下几方面进行说明。

图4零信任模型下的身份认证管理   

1）可信代理

可信代理是确保业务安全访问的第一道关口，该组件拦截访问请求后，通过访问控制引擎可以对访问主体进行认证，对访问主体的权限进行动态判定，只有认证通过且具有访问权限的访问请求才能放行。

2）访问控制

为了确保访问主体对资源的所有业务访问都以安全的方式进行，对所有访问请求和通信都提供机密性、完整性保护和源身份验证。访问控制引擎通过结合可信代理，可以对所有访问请求进行认证和动态授权，是零信任架构控制平面的策略判定点。该组件可以对所有的访问请求进行权限判定，且不再基于简单的静态规则，而是通过上下文属性、信任等级和安全策略进行动态判定，基于实时多源数据来开展持续评估，实现动态访问控制。实时多源数据包括访问主体身份、计算环境可信度、权限策略、访问行为等，用于分析和计算的数据种类、数据可靠性有效提升持续评估准确性，同时也会考虑数据安全性、可用性、成本效率之间的平衡。

3）信任评估

信任评估引擎可对特定的网络请求或活动进行风险分析，其职责是实现持续信任评估能力，该组件可以持续接收可信代理、访问控制引擎的日志信息，再结合身份库、权限库等数据对用户身份进行持续画像，对访问行为进行持续分析，对信任进行持续评估，最终生成和维护信任库，为访问控制引擎提供决策依据，从而做到更准确的风险识别和信任评估。

1.5审计管理

由于AAA系统需要对用户的身份权限与登录访问控制进行管理，因此审计功能尤为重要。传统的审计范围包括管理员操作行为、用户登录认证行为、用户访问行为。本文基于零信任架构的AAA系统中，审计管理模块主要是针对AAA系统的认证及相关操作进行日志审计，并形成统计分析，根据行为基线刻画用户行为画像，发现用户异常行为。同时支持异常行为分析管理，依托行为基线，对用户行为动作进行分析，发现登录行为异常、认证行为异常、操作行为异常、无账号异常、同一IP多个账号登录等，其使用场景可以分为用户登录AAA系统时、用户登录资源时和用户操作管理AAA系统时3种场景。

AAA系统提供对审计事件、告警事件、用户账号管理事件和认证授权事件进行实时审计、告警和查询功能，以便管理员了解各资源和AAA系统自身的登录使用情况，并根据预警做出相关处理。图5为审计管理功能示意。

图5审计管理示意  

2、AAA系统方案设计与实现

2.1整体功能设计

整体功能设计框架如图6所示。由图6可见，该系统包括前端、可信API网关、业务层、中间件和后台服务5个部分。前端提供平台界面，实现系统登录、用户管理、资源管理、系统管理等功能。可信API网关为所有请求提供路由功能。业务层包括认证中心、用户管理、资源管理、系统管理和后台服务及数据层交互，为前端提供数据支撑。中间件包括消息中心和缓存中心，实现业务层和后台服务的事件和数据交互。后台服务包括系统配置、系统日志、数据同步、账号改密等后台业务服务功能，并通过守护进程来监控AAA系统所有服务的运行状态[24,25]。

2.2逻辑架构设计

AAA系统的逻辑架构设计框架如图7所示。由图7可见，该系统逻辑架构可分为视图层、业务逻辑层和数据层。视图层提供前端展示，支持浏览器、API、PC端、移动端等多种访问手段，并采用SM国密算法加密访问过程。业务逻辑层不仅实现认证、用户、系统的业务逻辑处理和控制，而且包括可信API网关、消息中心、缓存中心、后台服务及进程守护程序。数据层实现数据存取，认证中心、用户管理、资源管理和系统管理数据库相互独立，可以单独部署，也可以在同一个库上运行4个数据库实例。

图6整体功能设计框架  

图7逻辑架构设计框架  

2.3零信任模块设计

身份认证管理模块是整个零信任AAA系统的关键部分，通过将与身份相关的数据抽离出来单独做成身份中心，结合认证中心、权限中心、应用中心、资源中心等构成整个架构体系，从而实现与各类应用在不同层级之间的对接。图8为身份认证管理模块整体流程。由图8可见，首先进行用户身份认证，通过安全接入点将认证请求转发到认证中心的处理模块，认证处理模块根据请求上下文连接到对应的身份提供商，经过一系列交互完成认证并下发访问token。其次，用户携带相关访问token发起相关资源请求，在安全接入点和信任评估引擎层认证中心校验token的合法性以及授权、鉴权等操作，若通过校验满足访问控制策略，则提交到相关应用的API执行。同时，在返回数据包中还需再次校验是否满足安全策略，以及进行相应的审计日志记录。其中，信任评估引擎是由信任评估组件、大数据计算平台、智能算法等组成，根据请求上下文、信任评估模型给出实时的评估结果。

图8身份认证管理模块整体流程   

2.4 AAA子系统划分

AAA子系统间的数据交互主要从业务数据、事件数据和缓存数据3个方面展开，具体描述如下。

2.4.1业务数据

AAA系统各服务之间通过可信API网关实现数据交互。可信API网关为所有内外部请求的入口，基于安全考虑，所有外部请求通过https协议请求可信API网关，由可信API网关转发请求给具体子系统，内部子系统之间的请求通过http协议请求API网关，由API网关转发请求给相应的子系统。可信API网关采用traefik实现。

系统管理写入系统权限和系统配置，其中系统权限管理需要读用户信息及读取资源信息。用户管理通过可信API网关输出用户信息，用户的权限视图需要输入系统权限。资源管理通过可信API网关输出资源、账号等信息，资源的协议功能需要输入系统配置。

认证中心根据用户信息、资源信息和系统配置完成身份认证，输出认证结果。数据同步需要输入系统配置信息，并把用户、资源等信息同步给各能力组件。接口服务需要输入系统配置信息，并和外部系统交互实现用户、资源等信息的双向同步。

2.4.2事件数据

用户管理、系统管理、认证中心及数据同步、系统配置、系统升级等后台服务会产生数据变更、配置、升级、认证等事件，并把事件发送到消息中心，不同的后台服务通过订阅相应的事件完成业务操作。图9为具体的事件数据示意。

图9具体的事件数据示意  

2.4.3缓存数据

缓存中心把频繁读取及多个服务共用的数据缓存起来，提高数据读取的效率，减少对数据库的查询，同时多个服务可以共享缓存中心的数据，避免每个服务各自缓存数据，缓存中心遵循的原则是“使用频繁或多服务公用的数据、变更不频繁的数据”。图10为缓存数据处理流程，具体分为2步：a)读缓存机制，b)清缓存机制。

图1 0缓存数据处理流程

1）读缓存机制以系统管理服务为例，服务查询数据时首先从缓存中读数据，第1次发现缓存中不存在相应数据，则从数据库查询，并把查询到的数据写入缓存中心。第2次查询该数据时，缓存中心已存在该数据，可从缓存中心直接读取到数据，减少了数据库访问。

2）清缓存机制为避免数据库和缓存中心数据不一致的问题，当数据库数据需要变更或删除时，先删除缓存中的数据，再执行数据库操作。当该数据被再次使用时遵循读缓存机制，先从数据库查询最新的数据，并把查询到的数据写入缓存，供后续使用。

2.5环境配置及性能指标

本文使用JAVA Spring Boot微服务架构作为AAA系统的开发框架，前端采用Vue语言，相关环境设备及软件配置见表1，系统性能指标见表2。  

表1环境配置说明    

表2系统性能指标  

2.6集团级AAA系统部署

集团级企业的组织体系庞大，涵盖的组织结构层次复杂、数量众多，具体可划分为集团、二级单位、三级单位等，不同层级均需部署适用于当前业务需要的应用系统和设备，本文所提AAA系统将部署在集团总部和下辖二、三级单位，其他多级单位可以根据实际需求逐步进行细化，AAA系统集团部署如图11所示。

采用多级认证场景，对于集团用户、二级单位、三级单位、本地用户，在本地完成认证；集团用户到二级单位，由二级单位先在本地查询，本地未有，由二级单位转发认证请求到集团，由集团完成认证；二级单位用户到三级单位，由三级单位用户转发认证请求到二级单位，由二级单位完成认证。

图1 1 AAA系统集团部署示意  

2.7平台界面

图12为AAA系统平台入口界面，图13—图16分别为用户管理、身份认证、认证方式和审计管理的部分展示界面。

图1 2 AAA系统平台入口界面

图1 3用户管理界面  

图1 4身份认证管理界面  

图1 5认证方式管理界面  

图1 6审计管理界面  

3、结语

为了解决目前企业信息系统中用户账号管理与安全防护的问题，实现应用系统与其他资源的统一认证和统一管理，本文提出了一种基于零信任架构的集账号、认证和审计于一体的AAA系统，主要定位于解决集团级企业用户账号、身份认证、用户审计管理等方面的问题。

AAA系统的核心是关注资源统一认证和多种认证方式组合，实现用户、认证、资源和账号等配置数据的集中统一管理，并通过数据同步组件实现与外部系统数据同步。

该系统支持全面的标准协议，具备集团级全网集中的账号管理能力，能对全网账号进行集中化、标准化、可视化管理；具备集团级全网统一的认证能力，能对全网人员和业务认证提供标准化、服务化管理；具备集团级全网统一的审计能力，实现真正的有效审计。

该系统有助于提高集团级企业信息系统的业务安全，弥补了零信任环境下用户登录账号的安全问题，也进一步提高了集团级企业内网络设备、应用设备、系统和应用管理的安全防护能力。

参考文献:

[1] 方铁城,申彦龙.北京燃气集团统一身份认证管理平台建设与实践[J]城市燃气,2020(5)39-44.

[2] 王静.统一身份认证和用户管理平台在集团型电力企业的应用[J.信息网络安全,2016(12)81-85.

[3] 高鹏,陈智雨,闫龙川等.面向零信任环境的新一代电力数据安全防护技术[J]电力信息与通信技术,2021.19(2):7-14.

[4] 李欢欢,徐小云,王红蕾.基于零信任的网络安全模型架构与应用研究[J]科技资讯,2021.19(17)7-9.

[5] 王刚,张英涛,杨正权.基于零信任打造封闭访问空间[J]信息安全与通信保密,.2020().78-86.

[6]李俊:柴海新:数字身份安全治理研究[J.信息安全研究,2021,7(7)598-605.

基金资助:中国华能集团有限公司总部科技项目(HNKJ21-H29)~~;

文章来源:肖力炀,毕玉冰,刘骁等.基于零信任架构的集团级AAA系统设计与实现[J].热力发电,2023,52(09):171-180.