【摘要】石化企業(yè)通過構(gòu)建統(tǒng)一身份認(rèn)證系統(tǒng)、主要針對(duì)B/S模式的應(yīng)用系統(tǒng)，支持不同平臺(tái)下（JAVA、ASP.NET等）信息系統(tǒng)實(shí)現(xiàn)系統(tǒng)用戶的統(tǒng)一認(rèn)證功能，同時(shí)也支持C/S模式信息系統(tǒng)的使用。各信息系統(tǒng)通過調(diào)用統(tǒng)一認(rèn)證接口，實(shí)現(xiàn)基于數(shù)字證書、基于本企業(yè)AD目錄和基于SSO的Token的身份認(rèn)證。

【關(guān)鍵詞】統(tǒng)一身份認(rèn)證；數(shù)字證書；SSO服務(wù)

隨著信息化應(yīng)用的迅猛發(fā)展，石化企業(yè)不斷增加基于Internet/Intranet的業(yè)務(wù)系統(tǒng)，如LIMS、實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)、MES系統(tǒng)、ERP系統(tǒng)；各類網(wǎng)上申報(bào)系統(tǒng)，網(wǎng)上審批系統(tǒng)，OA系統(tǒng)等。這些系統(tǒng)的業(yè)務(wù)性質(zhì)，一般都要求實(shí)現(xiàn)用戶管理、身份認(rèn)證、授權(quán)等必不可少的安全措施；而新系統(tǒng)的涌現(xiàn)，在與已有系統(tǒng)的集成或融合上，特別是針對(duì)相同的用戶群，會(huì)帶來(lái)以下的問題：

（1）如果每個(gè)系統(tǒng)都開發(fā)各自的身份認(rèn)證系統(tǒng)將造成資源的浪費(fèi)，消耗開發(fā)成本，并延緩開發(fā)進(jìn)度；

（2）多個(gè)身份認(rèn)證系統(tǒng)會(huì)增加整個(gè)信息系統(tǒng)的管理工作成本；

（3）用戶需要記憶多個(gè)帳戶和口令，使用極為不便，同時(shí)由于用戶口令遺忘而導(dǎo)致的支持費(fèi)用不斷上漲；

（4）無(wú)法實(shí)現(xiàn)統(tǒng)一認(rèn)證和授權(quán)，多個(gè)身份認(rèn)證系統(tǒng)使安全策略必須逐個(gè)在不同的系統(tǒng)內(nèi)進(jìn)行設(shè)置，因而造成修改策略的進(jìn)度可能跟不上策略的變化；

（5）無(wú)法統(tǒng)一分析用戶的應(yīng)用行為；因此，對(duì)于有多個(gè)業(yè)務(wù)系統(tǒng)應(yīng)用需求的石化企業(yè)，需要配置一套統(tǒng)一的身份認(rèn)證系統(tǒng)，以實(shí)現(xiàn)集中統(tǒng)一的身份認(rèn)證，并減少整個(gè)信息系統(tǒng)的應(yīng)用成本。

中國(guó)石化用戶統(tǒng)一身份管理系統(tǒng)就是為這些應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證，實(shí)現(xiàn)“一點(diǎn)登錄、多點(diǎn)漫游、即插即用、應(yīng)用無(wú)關(guān)\"的目標(biāo)，方便用戶使用。

一、石化企業(yè)統(tǒng)一身份認(rèn)證服務(wù)云

1、總部統(tǒng)一認(rèn)證服務(wù)云簡(jiǎn)介

中國(guó)石化用戶統(tǒng)一身份管理系統(tǒng)認(rèn)證服務(wù)云采用聯(lián)邦認(rèn)證體系進(jìn)行建設(shè)，統(tǒng)一認(rèn)證服務(wù)云是一個(gè)支撐全石化所有應(yīng)用的集中服務(wù)，為確保認(rèn)證服務(wù)云的可靠性和穩(wěn)定性，認(rèn)證服務(wù)云部署在多個(gè)節(jié)點(diǎn)上，包括：總部、區(qū)域中心和災(zāi)備中心。

在聯(lián)邦認(rèn)證體系中，主要組件包括IDP、SP、DS和TS。IDP（identity provider身份服務(wù)提供方）負(fù)責(zé)提供身份認(rèn)證和票據(jù)簽發(fā)服務(wù)。SP（service provider服務(wù)提供方）作為服務(wù)使用端，接收票據(jù)并通過IDP驗(yàn)證票據(jù)的有效性，完成后轉(zhuǎn)換為應(yīng)用自己的會(huì)話信息。在各節(jié)點(diǎn)中還包括DS（IDP Discovery Service身份服務(wù)提供方查找服務(wù)），IDP DS作為SP請(qǐng)求時(shí)的第一服務(wù)點(diǎn)，會(huì)根據(jù)用戶的認(rèn)證或SSO請(qǐng)求，判斷由統(tǒng)一認(rèn)證服務(wù)云中的哪個(gè)節(jié)點(diǎn)來(lái)提供認(rèn)證服務(wù)或由哪個(gè)IDP來(lái)完成對(duì)用戶已有SSO票據(jù)進(jìn)行驗(yàn)證。通過IDP DS來(lái)幫助應(yīng)用完成在整個(gè)認(rèn)證服務(wù)云中的訪問和使用，確保認(rèn)證服務(wù)云中只要有一個(gè)節(jié)點(diǎn)可提供服務(wù)，就不會(huì)中斷IDP的服務(wù)能力。TS（topologry service拓?fù)浞?wù)）管理整個(gè)統(tǒng)一認(rèn)證云中各節(jié)點(diǎn)的IDP、SP、DS的注冊(cè)和發(fā)布。

其中IDP、DS、TS組件運(yùn)行在統(tǒng)一認(rèn)證服務(wù)云服務(wù)端。SP運(yùn)行在應(yīng)用服務(wù)器環(huán)境中。

身份票據(jù)將在標(biāo)準(zhǔn)的安全斷言標(biāo)記語(yǔ)言（SAML）基礎(chǔ)上，擴(kuò)展中國(guó)石化SIAM系統(tǒng)擴(kuò)展定義的信息，通過擴(kuò)展信息實(shí)現(xiàn)除驗(yàn)證斷言外的身份、訪問控制信息斷言。

2、認(rèn)證流程

在使用SAML用戶認(rèn)證過程中，統(tǒng)一認(rèn)證服務(wù)云各組件IDP、SP、DS、TS完成用戶身份認(rèn)證業(yè)務(wù)流程如圖1如示：

應(yīng)用程序注冊(cè)在應(yīng)用程序啟動(dòng)時(shí)由SP向TS注冊(cè)，主要是提供SP注冊(cè)文件。

用戶認(rèn)證過程如下：

用戶訪問應(yīng)用服務(wù)程序，請(qǐng)求應(yīng)用資源。應(yīng)用服務(wù)器檢查用戶是否經(jīng)過身份認(rèn)證，如會(huì)話中沒有用戶認(rèn)證結(jié)果信息，將控制權(quán)交給SP組件。

SP請(qǐng)求DS返回可用的IDP節(jié)點(diǎn)信息。

SP根據(jù)配置策略，選擇一個(gè)IDP節(jié)點(diǎn)（程序自動(dòng)選擇或用戶主動(dòng)選擇），生成身份認(rèn)證請(qǐng)求信息（包含應(yīng)用程序、希望的用戶認(rèn)證方式、簽名要求、加密要求等信息），重定向到IDP節(jié)點(diǎn)。

IDP根據(jù)要求的認(rèn)證方式認(rèn)證用戶。

IDP簽發(fā)身份斷言，簽名，加密，重定向回應(yīng)用程序。

SP驗(yàn)證斷言，解析出用戶身份。返回用戶請(qǐng)求的資源。

3、統(tǒng)一登出流程

統(tǒng)一認(rèn)證服務(wù)云支持統(tǒng)一登出功能，用戶在一個(gè)應(yīng)用程序提出登出，將登出用戶此次登錄后訪問過的所有B/S應(yīng)用程序。

用戶在登錄后訪問過的任一應(yīng)用系統(tǒng)發(fā)出登出指令（如按登出鏈接）。

SP獲得登出消息，根據(jù)應(yīng)用系統(tǒng)配置要求（如登錄后返回頁(yè)面要求等），生成登出請(qǐng)求，重定向到IDP。

IDP查找用戶登錄后訪問過的應(yīng)用系統(tǒng)。

依次向用戶訪問過的應(yīng)用系統(tǒng)發(fā)出登出指令。

根據(jù)系統(tǒng)配置要求，返回到指定的頁(yè)面。

二、企業(yè)信息系統(tǒng)統(tǒng)一認(rèn)證體系結(jié)構(gòu)

由于企業(yè)是隸屬于中國(guó)石化下屬的企業(yè)，統(tǒng)一認(rèn)證系統(tǒng)既要兼容總部的規(guī)范，又能滿足企業(yè)的具體應(yīng)用。由此本企業(yè)的信息系統(tǒng)統(tǒng)一認(rèn)證、單點(diǎn)登錄有三種實(shí)現(xiàn)方式：基于數(shù)字證書的統(tǒng)一身份認(rèn)證、基于AD域目錄的統(tǒng)一認(rèn)證和基于SSO服務(wù)器的統(tǒng)一認(rèn)證方式，其中SSO服務(wù)器支持用戶名/口令認(rèn)證和數(shù)字證書身份認(rèn)證，與各信息系統(tǒng)間采用Token傳遞用戶身份信息。具體框架如圖2所示：

三、主要應(yīng)用技術(shù)

1、基于企業(yè)AD目錄的身份認(rèn)證

基于AD域目錄的身份認(rèn)證，和信息系統(tǒng)通常的用戶名/口令的身份認(rèn)證過程相類似，工作流程如圖3所示（AD域目錄為該煉油廠AD目錄）：

認(rèn)證過程主要包括以下幾個(gè)步驟：

用戶請(qǐng)求信息系統(tǒng)的服務(wù)；

信息系統(tǒng)返回登錄頁(yè)面至客戶端；

用戶在登錄頁(yè)面中填入用戶名、口令信息，點(diǎn)擊提交（登錄）按鈕，系統(tǒng)程序?qū)⒂脩裘?口令提交到信息系統(tǒng)服務(wù)器端程序；

服務(wù)器端程序獲得用戶身份認(rèn)證信息數(shù)據(jù)后，將用戶名/口令通過調(diào)用AD域目錄的的認(rèn)證接口（netscape.ldap包中LDAPConnection.connect方法），通過AD域目錄完成用戶認(rèn)證信息的校驗(yàn)；

要求信息系統(tǒng)不能通過目錄查詢接口進(jìn)行身份認(rèn)證，必須通過connect接口完成認(rèn)證。

主要使用接口函數(shù)包括：服務(wù)器端調(diào)用（AD域目錄身份認(rèn)證LDAPConnection.connect和LDAPConnection.disconnect）。

2、基于SSO服務(wù)Token的身份認(rèn)證

基于SSO服務(wù)Token的身份認(rèn)證主要包括以下幾個(gè)步驟：

用戶通過證書或用戶名/口令登錄SSO服務(wù)系統(tǒng)；

點(diǎn)擊SSO中的信息系統(tǒng)鏈接后，跳轉(zhuǎn)至信息系統(tǒng)中。跳轉(zhuǎn)過程中，SSO服務(wù)將統(tǒng)一用戶名和用戶Token認(rèn)證數(shù)據(jù)通過Http Post方法傳遞各信息系統(tǒng)，各信息系統(tǒng)可使用Request方法獲?。ㄗ兞棵Q：統(tǒng)一用戶名login_username、用戶Token認(rèn)證數(shù)據(jù)login_password）。

信息系統(tǒng)獲取統(tǒng)一用戶名及Token后，通過調(diào)用SSO服務(wù)提供的接口，認(rèn)證用戶統(tǒng)一認(rèn)證狀態(tài)，獲取統(tǒng)一用戶名，完成身份認(rèn)證過程。

使用SSO服務(wù)系統(tǒng)時(shí)，各信息系統(tǒng)服務(wù)器操作系統(tǒng)時(shí)間必須設(shè)置為與AD域的時(shí)間服務(wù)同步。

主要使用接口函數(shù)包括：服務(wù)器端調(diào)用（驗(yàn)證用戶Token的VerifyToken）。

結(jié)束語(yǔ)

石化企業(yè)統(tǒng)一身份認(rèn)證主要針對(duì)B/S模式的應(yīng)用系統(tǒng)，實(shí)現(xiàn)認(rèn)證統(tǒng)一認(rèn)證功能，同時(shí)也支持C/S模式信息系統(tǒng)的使用。通過石化統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)，實(shí)現(xiàn)基于數(shù)字證書、基于本企業(yè)AD目錄、和基于SSO的Token的身份認(rèn)證，為企業(yè)信息化規(guī)范奠定基礎(chǔ)，必會(huì)促進(jìn)企業(yè)信息化的健康發(fā)展。

參考文獻(xiàn)

[1]王鑫磊.統(tǒng)一安全認(rèn)證平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2007.

[2]鄭煥.基于web services統(tǒng)一身份認(rèn)證系統(tǒng)研究[D].武漢：武漢理工大學(xué)，2007.

[3]erl t.serviceoriented architecture： concepts， technology， and design[m]. new york：

[4]袁利永，屠雄剛.基于web services實(shí)現(xiàn)身份統(tǒng)一認(rèn)證[J].計(jì)算機(jī)與數(shù)字工程，2005，33（9）：134-136.