【摘 要】由于缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，政府信息化深入發(fā)展中經(jīng)常形成眾多應(yīng)用系統(tǒng)各自獨(dú)立，數(shù)據(jù)無法互聯(lián)互通等問題。本文以檢驗(yàn)檢疫業(yè)務(wù)為例，提出采用基于SOA的總體架構(gòu)，建立檢驗(yàn)檢疫統(tǒng)一身份認(rèn)證系統(tǒng)，來實(shí)現(xiàn)統(tǒng)一安全認(rèn)證和統(tǒng)一服務(wù)入口。

【關(guān)鍵詞】身份認(rèn)證 單點(diǎn)登錄

引言：隨著浙江檢驗(yàn)檢疫局信息化的不斷深入和發(fā)展，應(yīng)用系統(tǒng)越來越多，在充分推動(dòng)檢驗(yàn)檢疫事業(yè)科學(xué)發(fā)展的同時(shí)，也出現(xiàn)了新的問題。各應(yīng)用大多分散建設(shè)，獨(dú)立運(yùn)行，每個(gè)應(yīng)用系統(tǒng)都采用了專用的、不同的身份認(rèn)證技術(shù)，系統(tǒng)管理員需要在不同的業(yè)務(wù)應(yīng)用系統(tǒng)上配置、維護(hù)不同的身份認(rèn)證方式，維護(hù)工作量很大且不能統(tǒng)一管理。用戶在使用不同的業(yè)務(wù)系統(tǒng)時(shí)需要記憶、使用不同的口令多次登錄，操作繁瑣，造成系統(tǒng)使用效率低下。不少系統(tǒng)采用弱安全認(rèn)證機(jī)制，易被截獲和分析而造成系統(tǒng)安全隱患；各應(yīng)用的數(shù)據(jù)無法互連互通，不能形成統(tǒng)一的一站式服務(wù)。因此，為了徹底改變這種現(xiàn)狀，建立檢驗(yàn)檢疫統(tǒng)一身份認(rèn)證系統(tǒng)，提供統(tǒng)一的身份安全認(rèn)證機(jī)制和統(tǒng)一服務(wù)入口。

一、總體架構(gòu)

浙江檢驗(yàn)檢疫統(tǒng)一身份認(rèn)證系統(tǒng)采用J2EE技術(shù)架構(gòu)進(jìn)行開發(fā)部署，整體采用基于SOA（面向服務(wù)的架構(gòu)）的總體架構(gòu)，是一種高可擴(kuò)展的多層架構(gòu)的信息平臺(tái)，總體結(jié)構(gòu)由數(shù)據(jù)層、應(yīng)用支撐層、表現(xiàn)層和標(biāo)準(zhǔn)規(guī)范層構(gòu)建的綜合系統(tǒng)。

（一）數(shù)據(jù)層。提供統(tǒng)一身份認(rèn)證系統(tǒng)和接入應(yīng)用系統(tǒng)所需的數(shù)據(jù)平臺(tái)，實(shí)現(xiàn)與外部接入應(yīng)用系統(tǒng)的數(shù)據(jù)集成。

（二）應(yīng)用支撐層。提供統(tǒng)一認(rèn)證和統(tǒng)一入口的應(yīng)用支撐，包括內(nèi)容發(fā)布、統(tǒng)一身份管理和單點(diǎn)登錄組件。

（三）表現(xiàn)層。提供統(tǒng)一入口的界面顯示管理，包括內(nèi)容表單、界面導(dǎo)航、欄目、樣式等對(duì)外顯示管理組件。

（四）標(biāo)準(zhǔn)規(guī)范層。提供應(yīng)用系統(tǒng)接入技術(shù)接口和技術(shù)規(guī)范，包括統(tǒng)一認(rèn)證應(yīng)用接口、單點(diǎn)登錄接口，以及數(shù)據(jù)整合接口和規(guī)范。

二、系統(tǒng)功能

檢驗(yàn)檢疫統(tǒng)一身份認(rèn)證系統(tǒng)整體上以門戶形式進(jìn)行展示，主要包括下列功能：

（一）統(tǒng)一服務(wù)入口。將整合后的數(shù)據(jù)、單點(diǎn)登錄、統(tǒng)一認(rèn)證CAS功能入口以門戶方式統(tǒng)一對(duì)外展示，人機(jī)交互的統(tǒng)一服務(wù)門戶。門戶能夠?qū)崿F(xiàn)信息內(nèi)容集中發(fā)布，也可實(shí)現(xiàn)內(nèi)容表單、界面導(dǎo)航、欄目、樣式的定義管理和展示。

（二）統(tǒng)一認(rèn)證系統(tǒng)（CAS）服務(wù)。統(tǒng)一認(rèn)證系統(tǒng)（CAS） 服務(wù)實(shí)現(xiàn)統(tǒng)一的用戶身份認(rèn)證管理，為整個(gè)系統(tǒng)運(yùn)行提供統(tǒng)一的安全認(rèn)證平臺(tái)，支持多種認(rèn)證方式及認(rèn)證策略，使得各個(gè)應(yīng)用系統(tǒng)的認(rèn)證集中在統(tǒng)一認(rèn)證系統(tǒng)中完成。通過將應(yīng)用系統(tǒng)注冊(cè)到統(tǒng)一認(rèn)證系統(tǒng)管理平臺(tái)中，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的資源管理。實(shí)施基于角色的訪問控制策略，為角色分配可以訪問的系統(tǒng)，并實(shí)施安全訪問控制規(guī)則。從而完成用戶身份的統(tǒng)一建設(shè)與管理，以及用戶身份的統(tǒng)一認(rèn)證。統(tǒng)一認(rèn)證服務(wù)提供的安全認(rèn)證策略主要包括：靜態(tài)口令驗(yàn)證、PKI/CA數(shù)字證書認(rèn)證、時(shí)間段認(rèn)證、失敗次數(shù)認(rèn)證等。

（三）單點(diǎn)登錄。單點(diǎn)登錄（SSO）用戶單次登錄就可訪問所有相互信任的應(yīng)用系統(tǒng)。通過SSO建立與各應(yīng)用系統(tǒng)用戶的對(duì)照關(guān)系，實(shí)現(xiàn)眾多系統(tǒng)的單點(diǎn)登錄，登錄統(tǒng)一平臺(tái)后，用戶即可獲得相對(duì)應(yīng)訪問統(tǒng)一應(yīng)用平臺(tái)和應(yīng)用系統(tǒng)的授權(quán)。

（四）應(yīng)用系統(tǒng)數(shù)據(jù)集成。應(yīng)用系統(tǒng)數(shù)據(jù)集成是針對(duì)接入的應(yīng)用系統(tǒng)中的數(shù)據(jù)資源進(jìn)行聚集、關(guān)聯(lián)、變換和采集，整合形成統(tǒng)一的、有效的數(shù)據(jù)資源。

三、關(guān)鍵技術(shù)

（一）SOA總線數(shù)據(jù)集成技術(shù)。基于SOA的總線技術(shù)能顯著降低這種集成的復(fù)雜性。系統(tǒng)采用統(tǒng)一、標(biāo)準(zhǔn)的Adapter接口技術(shù)，通過SOA總線與應(yīng)用建立相互的連接。這樣每增加一個(gè)新應(yīng)用，只需按規(guī)范定制一個(gè)適配器（Adapter），就可實(shí)現(xiàn)與其它系統(tǒng)和應(yīng)用的數(shù)據(jù)集成。

（二）Web Services技術(shù)。采用Web Services技術(shù)，將應(yīng)用功能或業(yè)務(wù)過程構(gòu)造成有相應(yīng)粒度的服務(wù)組件。這些標(biāo)準(zhǔn)的服務(wù)組件按照統(tǒng)一的規(guī)范接口可以彼此“對(duì)話”，并可以在不同的業(yè)務(wù)流程中被重用。

（三）通用適配器技術(shù)。采用通用適配器技術(shù)，實(shí)現(xiàn)了統(tǒng)一的客戶化應(yīng)用服務(wù)接口，支持大多數(shù)主流的數(shù)據(jù)庫、消息中間件產(chǎn)品和通信協(xié)議，以及通過擴(kuò)展開發(fā)支持非標(biāo)準(zhǔn)的信息連接要求。

（四）CAS技術(shù)。CAS系統(tǒng)基于PKI技術(shù)提供安全可靠的實(shí)體認(rèn)證服務(wù)，可以為用戶提供集中、統(tǒng)一的身份認(rèn)證，同時(shí)為通過身份認(rèn)證的合法用戶簽發(fā)令牌，從而可以實(shí)現(xiàn)“單點(diǎn)登錄、多點(diǎn)漫游”的功能；支持多種認(rèn)證方式；另外統(tǒng)一認(rèn)證系統(tǒng)還提供多種接口，以方便和應(yīng)用系統(tǒng)的整合。

四、開發(fā)設(shè)計(jì)

系統(tǒng)開發(fā)采用JAVA語言、ECLIPSE開發(fā)工具和ORACLE 9I 數(shù)據(jù)庫。下面提供了統(tǒng)一認(rèn)證系統(tǒng)的開發(fā)接口示例，此接口支持PKI安全認(rèn)證，通過接口調(diào)用實(shí)現(xiàn)用戶登錄的標(biāo)識(shí)校驗(yàn)和證書相關(guān)信息的獲取。

（一）loginCheck 用戶登錄函數(shù)

public static final AuthBrokerIF loginCheck（HttpServletRequest request， HttpServletResponse response） throws java.lang.Exception

驗(yàn)證用戶登錄令牌，如果沒有發(fā)現(xiàn)令牌，則重定向到門戶進(jìn)行登錄， 登錄成功后，再重新返回到本接口。

（二）tokenCheck令牌有效性函數(shù)

public static final AuthBrokerIF tokenCheck（HttpServletRequest request， HttpServletResponse response）throws java.lang.Exception

驗(yàn)證目前已經(jīng)登錄用戶的令牌是否繼續(xù)有效，當(dāng)用戶重新登錄后，前次登錄令牌將失效。

五、結(jié)束語

通過檢驗(yàn)檢疫統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)，提供統(tǒng)一的身份認(rèn)證安全管理機(jī)制，制定規(guī)范、統(tǒng)一的接口標(biāo)準(zhǔn)；以平臺(tái)化實(shí)施集中資源，提供統(tǒng)一服務(wù)入口，實(shí)現(xiàn)一站式服務(wù)，解決多次登錄、應(yīng)用效率低下問題，為解決檢驗(yàn)檢疫行業(yè)信息化中的“應(yīng)用孤島”問題提供了借鑒的解決方案。