杜佳 李凱豐 西安航天動(dòng)力技術(shù)研究所

統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)研究

杜佳 李凱豐 西安航天動(dòng)力技術(shù)研究所

為了解決同一用戶在不同應(yīng)用系統(tǒng)之間頻繁進(jìn)行身份認(rèn)證的問題，對(duì)統(tǒng)一身份認(rèn)證平臺(tái)的建設(shè)進(jìn)行了深入的研究，給出了基于Web Service的統(tǒng)一認(rèn)證平臺(tái)的系統(tǒng)整體結(jié)構(gòu)及身份認(rèn)證流程，并對(duì)系統(tǒng)實(shí)現(xiàn)過程中的關(guān)鍵問題進(jìn)行了研究探討。

身份認(rèn)證 單點(diǎn)登錄 Web Service

1 引言

隨著企業(yè)信息化建設(shè)的逐步深入，支撐業(yè)務(wù)的各種應(yīng)用系統(tǒng)越來越多，而這些應(yīng)用系統(tǒng)的建立沒有遵循統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，數(shù)據(jù)格式和身份認(rèn)證方式也各不相同。因此，對(duì)于需要使用多個(gè)不同應(yīng)用系統(tǒng)的用戶來說，就必須記憶不同的用戶名和口令登錄不同的系統(tǒng)，如果是涉密的應(yīng)用系統(tǒng)，密碼還要滿足復(fù)雜性要求并定期進(jìn)行更換，這給用戶造成了沉重的記憶上的負(fù)擔(dān)，而用戶為了方便記憶，往往會(huì)選擇簡(jiǎn)單的或統(tǒng)一的密碼口令，存在極大的系統(tǒng)安全風(fēng)險(xiǎn)和隱患。對(duì)于系統(tǒng)運(yùn)維人員來說，需要?jiǎng)?chuàng)建和維護(hù)不同應(yīng)用系統(tǒng)的用戶信息，容易造成各系統(tǒng)之間用戶數(shù)據(jù)的不一致，而且還要應(yīng)付相當(dāng)數(shù)量的因忘記密碼而造成的需要重置密碼的請(qǐng)求。因此，建設(shè)一個(gè)統(tǒng)一的身份認(rèn)證平臺(tái)顯得尤為重要。

統(tǒng)一身份認(rèn)證平臺(tái)對(duì)用戶的身份信息進(jìn)行集中統(tǒng)一的管理，保證用戶電子身份的唯一性、真實(shí)性和權(quán)威性，規(guī)范應(yīng)用系統(tǒng)的用戶認(rèn)證方式，提高應(yīng)用系統(tǒng)的安全性和用戶使用的方便性，實(shí)現(xiàn)全部應(yīng)用的單點(diǎn)登錄。即用戶經(jīng)統(tǒng)一身份認(rèn)證平臺(tái)登錄后，就可以訪問所有支持統(tǒng)一身份認(rèn)證平臺(tái)的應(yīng)用系統(tǒng)而不需要再次進(jìn)行身份認(rèn)證。而且，由于用戶信息是集中保存和管理的，系統(tǒng)運(yùn)維人員只需創(chuàng)建和維護(hù)一個(gè)統(tǒng)一的用戶信息數(shù)據(jù)庫(kù)，在人員進(jìn)行了調(diào)動(dòng)、調(diào)級(jí)、調(diào)職等變更后，或者單位體制改革、組織機(jī)構(gòu)變動(dòng)后，只修改這一個(gè)用戶數(shù)據(jù)庫(kù)即可，而不必在多個(gè)應(yīng)用系統(tǒng)中分別設(shè)置，保證了用戶數(shù)據(jù)的一致性，并大大減少了應(yīng)用系統(tǒng)的維護(hù)成本。

2 系統(tǒng)方案

2.1 系統(tǒng)結(jié)構(gòu)

統(tǒng)一身份認(rèn)證平臺(tái)以統(tǒng)一用戶管理和統(tǒng)一用戶認(rèn)證為基礎(chǔ)，對(duì)外提供用戶數(shù)據(jù)同步服務(wù)和統(tǒng)一身份認(rèn)證服務(wù)，各應(yīng)用系統(tǒng)使用統(tǒng)一身份認(rèn)證平臺(tái)提供的服務(wù)進(jìn)行認(rèn)證整合并結(jié)合自身的權(quán)限控制提供與登錄用戶相匹配的功能模塊和信息資源。用戶登錄統(tǒng)一身份認(rèn)證平臺(tái)后，無需再次登錄即可使用所有支持統(tǒng)一身份認(rèn)證平臺(tái)的應(yīng)用系統(tǒng)。平臺(tái)的系統(tǒng)結(jié)構(gòu)如圖1所示。

管理員可以登錄到系統(tǒng)后臺(tái)進(jìn)行系統(tǒng)的日常維護(hù)和管理，監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)，如用戶和組織信息維護(hù)、系統(tǒng)日志管理等。普通用戶可以修改部分個(gè)人信息和系統(tǒng)登錄密碼。

圖1 統(tǒng)一身份認(rèn)證平臺(tái)系統(tǒng)結(jié)構(gòu)

2.2 身份認(rèn)證流程

統(tǒng)一身份認(rèn)證平臺(tái)的驗(yàn)證流程如圖2所示。

圖2 統(tǒng)一身份認(rèn)證平臺(tái)驗(yàn)證流程

當(dāng)用戶訪問某個(gè)支持統(tǒng)一身份認(rèn)證平臺(tái)的應(yīng)用系統(tǒng)時(shí)，具體的認(rèn)證流程如下：

①用戶請(qǐng)求訪問某個(gè)應(yīng)用系統(tǒng)，該應(yīng)用系統(tǒng)可以是B/S架構(gòu)的，也可以是C/S架構(gòu)的。

②如果訪問的是非受保護(hù)的資源，則應(yīng)用系統(tǒng)響應(yīng)用戶請(qǐng)求，直接返回用戶請(qǐng)求的資源，結(jié)束請(qǐng)求；如果訪問的是受保護(hù)資源，則轉(zhuǎn)到步驟3。

③應(yīng)用系統(tǒng)攔截用戶請(qǐng)求，并嘗試獲取用戶的單點(diǎn)登錄憑據(jù)，如果獲取成功，轉(zhuǎn)到步驟4。如果獲取不到用戶登錄憑據(jù)或獲取到的用戶憑據(jù)無效，轉(zhuǎn)到步驟5。

④平臺(tái)驗(yàn)證用戶憑據(jù)的有效性，憑據(jù)有效，返回用戶請(qǐng)求的資源，結(jié)束請(qǐng)求；憑據(jù)無效，則轉(zhuǎn)到步驟5。

⑤重定向到統(tǒng)一身份認(rèn)證平臺(tái)的登錄頁(yè)面，用戶輸入用戶名和密碼，平臺(tái)驗(yàn)證用戶身份的合法性，身份認(rèn)證成功，則生成用戶登錄憑據(jù)，返回用戶請(qǐng)求的資源；身份認(rèn)證失敗則結(jié)束請(qǐng)求。

3 關(guān)鍵問題研究

3.1 系統(tǒng)通用性問題

考慮到企業(yè)內(nèi)部應(yīng)用系統(tǒng)平臺(tái)及架構(gòu)的多樣性，如何使統(tǒng)一身份認(rèn)證平臺(tái)適用于Java、．Net等不同軟件框架，Windows、Linux等不同操作系統(tǒng)平臺(tái)，以及B/S、C/S或兩者混合的不同架構(gòu)，是平臺(tái)要考慮的一個(gè)關(guān)鍵問題，而Web Service是基于XML的，它可以使應(yīng)用程序之間的通信能夠以一種獨(dú)立于特定編程語(yǔ)言、操作系統(tǒng)和硬件平臺(tái)的方式進(jìn)行。因此，平臺(tái)使用Web Service的方式對(duì)外提供平臺(tái)無關(guān)性的接口。

Web Service是一種輕量級(jí)的獨(dú)立的通信技術(shù)，是通過簡(jiǎn)單對(duì)象訪問協(xié)議（Simple Object Access Protocol，SOAP）在Web上提供的軟件服務(wù)，它使用網(wǎng)絡(luò)服務(wù)描述語(yǔ)言（Web Services Description Language，WSDL）文件進(jìn)行說明，并通過UDDI（Universal Description Discovery and Integration，通用描述、發(fā)現(xiàn)與集成服務(wù)）進(jìn)行注冊(cè)。如圖3所示，用戶通過UDDI找到應(yīng)用的WSDL描述文檔后，就可以通過SOAP調(diào)用該應(yīng)用提供的Web服務(wù)中的一個(gè)或多個(gè)操作。Web Service的一個(gè)最基本的目的就是提供在各個(gè)不同平臺(tái)的不同應(yīng)用系統(tǒng)的協(xié)同工作能力，即跨平臺(tái)性，無論是B/S架構(gòu)還是C/S架構(gòu)的應(yīng)用，無論是用Java實(shí)現(xiàn)的應(yīng)用還是用．NET實(shí)現(xiàn)的應(yīng)用等，都可以訪問Web Service，只要給出Web Service服務(wù)器的IP和接口名稱就可以對(duì)其進(jìn)行訪問。

在統(tǒng)一身份認(rèn)證平臺(tái)中采用Web Service對(duì)用戶數(shù)據(jù)同步服務(wù)和統(tǒng)一身份認(rèn)證服務(wù)進(jìn)行封裝，其實(shí)現(xiàn)步驟如下：

①開發(fā)用戶數(shù)據(jù)同步服務(wù)和統(tǒng)一身份認(rèn)證服務(wù)。用戶數(shù)據(jù)同步服務(wù)實(shí)現(xiàn)統(tǒng)一身份認(rèn)證平臺(tái)和其它應(yīng)用系統(tǒng)間的數(shù)據(jù)同步功能，統(tǒng)一身份認(rèn)證服務(wù)主要實(shí)現(xiàn)用戶在各系統(tǒng)間的單點(diǎn)登錄功能。

②為開發(fā)完成的用戶數(shù)據(jù)同步服務(wù)和統(tǒng)一身份認(rèn)證服務(wù)創(chuàng)建服務(wù)描述文件WSDL；

③在應(yīng)用服務(wù)器中部署Web Service；

④將Web Service發(fā)布到本地UDDI注冊(cè)中心；

⑤應(yīng)用程序客戶端檢索WSDL文件產(chǎn)生一個(gè)客戶端代理對(duì)象；

⑥應(yīng)用時(shí)，客戶端通過所產(chǎn)生的客戶端代理對(duì)象實(shí)現(xiàn)對(duì)Web Service的調(diào)用。

3.2 系統(tǒng)穩(wěn)定性問題

由于統(tǒng)一身份認(rèn)證平臺(tái)建成之后，將會(huì)成為整個(gè)企業(yè)應(yīng)用系統(tǒng)的門戶，用戶訪問任何一個(gè)應(yīng)用系統(tǒng)都要經(jīng)過平臺(tái)的認(rèn)證，平臺(tái)的故障將會(huì)引起整個(gè)應(yīng)用系統(tǒng)體系的癱瘓，所以平臺(tái)的穩(wěn)定性和可靠性是至關(guān)重要的。在設(shè)計(jì)過程中除了要考慮平臺(tái)本身的可靠性，如信息的加密存儲(chǔ)與傳輸，系統(tǒng)的并發(fā)控制等之外，還需要考慮服務(wù)器本身的安全問題與網(wǎng)絡(luò)帶寬的性能及系統(tǒng)的冗余，例如采用高性能的服務(wù)器，安裝網(wǎng)絡(luò)防火墻及入侵檢測(cè)系統(tǒng)，采取雙機(jī)熱備和負(fù)載均衡等措施。

四、結(jié)束語(yǔ)

本文為企業(yè)實(shí)現(xiàn)統(tǒng)一身份認(rèn)證平臺(tái)提供了一種通用的基于Web Service的設(shè)計(jì)思路和方法，通過統(tǒng)一身份認(rèn)證平臺(tái)的建設(shè)，可以實(shí)現(xiàn)“一人一個(gè)身份標(biāo)識(shí)”登錄所有應(yīng)用系統(tǒng)的管理模式，使得原本疲于處理紛繁冗雜的系統(tǒng)登錄與信息安全問題的過程變得安全且簡(jiǎn)單。

[1]馮理群.基于Web的統(tǒng)一身份認(rèn)證信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué),2015

[2]莫建楊.基于Web Service的電子政務(wù)一體化門戶的設(shè)計(jì)與實(shí)現(xiàn)[D].北京交通大學(xué),2015

[3]孫晉文,肖建國(guó).基于Web Services的現(xiàn)代企業(yè)內(nèi)容管理與知識(shí)集成技術(shù)[J].計(jì)算機(jī)工程,2003,29(20):72-74

圖3 Web Service架構(gòu)圖

TP315

A