洪 鉑，朱韋橋

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算機(jī)研究所，北京 100081）

針對(duì)鐵路企業(yè)點(diǎn)多、線長(zhǎng)、面廣的行業(yè)特征，統(tǒng)一規(guī)劃建設(shè)的鐵路企業(yè)社會(huì)保障管理信息系統(tǒng)（簡(jiǎn)稱：鐵路社保系統(tǒng)），主要涵蓋鐵路企業(yè)社會(huì)保險(xiǎn)（五險(xiǎn)）、企業(yè)年金、補(bǔ)充醫(yī)療保險(xiǎn)等方面業(yè)務(wù)，在解決企業(yè)社會(huì)保障日常業(yè)務(wù)管理存在政策差異大、內(nèi)容瑣碎、量大、復(fù)雜等問(wèn)題的同時(shí)，幫助鐵路企業(yè)實(shí)現(xiàn)職工社會(huì)保障“記錄一生、保障一生、服務(wù)一生”的服務(wù)宗旨[1-2]。

鐵路社保系統(tǒng)具有政策性很強(qiáng)、需求變化頻繁等特點(diǎn)，在系統(tǒng)的建設(shè)過(guò)程中社會(huì)保險(xiǎn)、企業(yè)年金和補(bǔ)充醫(yī)療保險(xiǎn)的業(yè)務(wù)劃分較為獨(dú)立。集中式的架構(gòu)不僅難以滿足這種相對(duì)獨(dú)立的開發(fā)模式，更在可擴(kuò)展性、可維護(hù)性、靈活性、維護(hù)成本等方面很難滿足業(yè)務(wù)快速變化的需要。

在實(shí)踐中，我們采用了分布式架構(gòu)，它是一套構(gòu)建系統(tǒng)的準(zhǔn)則，可以把一個(gè)復(fù)雜的系統(tǒng)劃分為一套簡(jiǎn)單系統(tǒng)的計(jì)劃，各系統(tǒng)之間應(yīng)該保持相互獨(dú)立，并與整個(gè)系統(tǒng)架構(gòu)保持一致，采用分布式架構(gòu)搭建的系統(tǒng)具有更加經(jīng)濟(jì)、更易擴(kuò)展、數(shù)據(jù)共享性更好等特點(diǎn)。

使用分布式架構(gòu)建設(shè)的鐵路社保系統(tǒng)在軟件上解決了各項(xiàng)應(yīng)用和獨(dú)立系統(tǒng)之間的在架構(gòu)上的融合問(wèn)題，也提高了系統(tǒng)在集群部署環(huán)境下的適應(yīng)性。同時(shí)在技術(shù)復(fù)雜度不斷提高的情況下，隨之而來(lái)的信息安全風(fēng)險(xiǎn)也日益凸顯[3]，身份認(rèn)證作為系統(tǒng)的第一道安全防線，研究與實(shí)現(xiàn)符合鐵路社保系統(tǒng)需求的統(tǒng)一身份認(rèn)證平臺(tái)就顯得尤為重要。

1 鐵路社保系統(tǒng)統(tǒng)一身份認(rèn)證平臺(tái)的設(shè)計(jì)

1.1 相關(guān)技術(shù)

1.1.1 單點(diǎn)登錄技術(shù)

鐵路社保系統(tǒng)使用基于票據(jù)的方式來(lái)實(shí)現(xiàn)單點(diǎn)登錄。通過(guò)票據(jù)認(rèn)證服務(wù)器功能的擴(kuò)展，令票據(jù)認(rèn)證服務(wù)器不僅可以為用戶生成認(rèn)證票據(jù)完成授權(quán)應(yīng)用服務(wù)器的訪問(wèn)[4]，也可以提供訪問(wèn)控制、集中審計(jì)等功能，來(lái)滿足鐵路社保系統(tǒng)的個(gè)性化需求。

1.1.2 Session共享技術(shù)

鐵路社保系統(tǒng)采用分布式服務(wù)集群進(jìn)行部署，引入Session共享服務(wù)器方式解決集群中Session不可跨服務(wù)器而存在的問(wèn)題。Session共享服務(wù)器是在集群中設(shè)置服務(wù)器來(lái)統(tǒng)一存放和提供所有系統(tǒng)的Session[5-6]。這是實(shí)現(xiàn)Session共享最為復(fù)雜的方式，但只要配置得當(dāng)，其性能、可靠性、擴(kuò)展性和適應(yīng)性也是最高的。

1.1.3 Redis內(nèi)存數(shù)據(jù)庫(kù)技術(shù)

鐵路統(tǒng)一身份認(rèn)證平臺(tái)采取Redis集群作為票據(jù)存儲(chǔ)和Session共享服務(wù)器，主要是出于2個(gè)方面的考慮：

（1）內(nèi)存數(shù)據(jù)庫(kù)的I/O操作的高效，使用集群部署后其安全性和穩(wěn)定性提升[7]；

（2）Redis內(nèi)存數(shù)據(jù)庫(kù)能夠提供較為豐富的數(shù)據(jù)結(jié)構(gòu)，為系統(tǒng)擴(kuò)展提供了更多的可能[8]。

1.2 統(tǒng)一身份認(rèn)證平臺(tái)的總體設(shè)計(jì)思路

鐵路社保系統(tǒng)的統(tǒng)一身份認(rèn)證有兩方面的特點(diǎn)：

（1）需支持單位信息、身份證、工號(hào)、用戶名等組合認(rèn)證方式；

（2）滿足多個(gè)自主建設(shè)應(yīng)用和各類商業(yè)軟件的集成需求。因此鐵路社保系統(tǒng)的身份認(rèn)證平臺(tái)將票據(jù)方式的單點(diǎn)登錄和Session共享服務(wù)器結(jié)合，即將Session共享服務(wù)器的功能擴(kuò)展，使其支持票據(jù)管理。

平臺(tái)設(shè)計(jì)的核心：將內(nèi)存數(shù)據(jù)庫(kù)作為登錄信息、Session信息和票據(jù)信息的存儲(chǔ)介質(zhì)，規(guī)避登錄信息的跨域傳遞、減少與客戶端的交互，達(dá)到全面提高系統(tǒng)的安全性的目的。

鐵路社保系統(tǒng)統(tǒng)一身份認(rèn)證平臺(tái)面臨3個(gè)方面的挑戰(zhàn)：票據(jù)生命周期管理、Session共享服務(wù)策略和Session的銷毀機(jī)制設(shè)計(jì)。

1.3 統(tǒng)一身份認(rèn)證平臺(tái)的功能設(shè)計(jì)

鐵路社保系統(tǒng)統(tǒng)一身份認(rèn)證平臺(tái)的功能，主要體現(xiàn)在5個(gè)“集中”上，如圖1所示。

圖1 社保系統(tǒng)統(tǒng)一身份認(rèn)證功能設(shè)計(jì)

集中用戶管理：鐵路企業(yè)職工既是鐵路社保系統(tǒng)的業(yè)務(wù)主體，也是鐵路社保系統(tǒng)的用戶主體，集中用戶管理應(yīng)滿足業(yè)務(wù)辦理和集中授權(quán)管理的需要。

集中票據(jù)管理：票據(jù)生成規(guī)則的靈活配置，可以集成第三方證書或密鑰，對(duì)票據(jù)的生命周期進(jìn)行管理。

集中認(rèn)證管理：在訪問(wèn)策略的規(guī)范下實(shí)現(xiàn)統(tǒng)一認(rèn)證，防止不安全的鏈接入侵。

集中授權(quán)管理：這是社保系統(tǒng)集中菜單展示的必要手段，也支持應(yīng)用或子系統(tǒng)獨(dú)立授權(quán)。

集中審計(jì)管理：記錄、查詢、分析各類審計(jì)信息，包括用戶登錄、系統(tǒng)操作等。

Session管理：對(duì)用戶登錄信息進(jìn)行記錄，提供Session有效期管理和同步服務(wù)。

2 鐵路社保系統(tǒng)統(tǒng)一身份認(rèn)證平臺(tái)的實(shí)現(xiàn)

2.1 統(tǒng)一身份認(rèn)證實(shí)現(xiàn)過(guò)程

如圖2所示，統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)過(guò)程為：

（1）統(tǒng)一入口進(jìn)行單點(diǎn)登錄，通過(guò)身份認(rèn)證中心驗(yàn)證后，將用戶登錄信息存儲(chǔ)至Session信息中心。

圖2 鐵路社保系統(tǒng)統(tǒng)一身份認(rèn)證實(shí)現(xiàn)過(guò)程

（2）訪問(wèn)應(yīng)用和子系統(tǒng)時(shí)，生成票據(jù)信息存入Session共享服務(wù)器，憑證傳遞給應(yīng)用或子系統(tǒng)。應(yīng)用或子系統(tǒng)從Session共享服務(wù)器中取得票據(jù)信息和登錄信息，依據(jù)登錄信息生成應(yīng)用或系統(tǒng)的Session。

（3）登錄信息可跨集群中進(jìn)行共享，應(yīng)用或系統(tǒng)的Session信息存儲(chǔ)在Session共享服務(wù)器中，滿足應(yīng)用或系統(tǒng)自身集群的同步需要。

2.2 票據(jù)管理實(shí)現(xiàn)

登錄完成，第1次訪問(wèn)應(yīng)用或子系統(tǒng)時(shí)，如圖3所示，單點(diǎn)登錄服務(wù)生成合法生成票據(jù)，將票據(jù)存入Session共享服務(wù)器，憑證傳送給應(yīng)用或子系統(tǒng)。應(yīng)用或子系統(tǒng)依據(jù)憑證從Session共享服務(wù)器中取得票據(jù)信息和登錄信息，生成自身Session。

圖3 第1次訪問(wèn)應(yīng)用時(shí)票據(jù)使用的順序圖

第2次訪問(wèn)應(yīng)用或子系統(tǒng)時(shí)需使用新的票據(jù)和憑證，如圖4所示，驗(yàn)證登錄信息。如登錄信息已失效，應(yīng)用或子系統(tǒng)同時(shí)失效；如登錄信息未失效，更新登錄信息失效時(shí)間，將登錄信息返回給應(yīng)用或子系統(tǒng)。應(yīng)用或子系統(tǒng)在取得登錄信息后，如果自身Session未失效，則更新自身Session的失效時(shí)間；否則，使用登錄信息再次獲取應(yīng)用或子系統(tǒng)的Session。

2.3 基于Redis的Session共享服務(wù)實(shí)現(xiàn)

鐵路社保系統(tǒng)中自主開發(fā)的應(yīng)用使用統(tǒng)一身份認(rèn)證平臺(tái)的Session共享服務(wù)，實(shí)現(xiàn)方式，如圖5所示。

（1）單點(diǎn)登錄成功后，生成一個(gè)主Session ID和各應(yīng)用的Session ID，在應(yīng)用生成自身Session后，主Session ID和應(yīng)用的Session ID形成聯(lián)合主鍵（簡(jiǎn)稱：Session共享主鍵）用于存儲(chǔ)應(yīng)用的Session。

圖4 第2次訪問(wèn)應(yīng)用時(shí)票據(jù)使用的順序圖

圖5 Session共享服務(wù)實(shí)現(xiàn)流程圖

（2）票據(jù)信息中含Session共享主鍵，如果主Session ID無(wú)法檢索到對(duì)應(yīng)的信息則登錄失效；如果主Session ID和Session共享主鍵在Session共享服務(wù)器中均有效，同時(shí)更新主Session和本應(yīng)用Session的失效時(shí)間；如果Session共享主鍵未被檢索到，但是主Session ID可以檢索到信息，則通過(guò)登錄信息為應(yīng)用再次創(chuàng)建Session；。在Session變化時(shí)，應(yīng)及時(shí)推送到應(yīng)用集群中。

（3）票據(jù)信息中不包含Session共享主鍵意味著應(yīng)用非法或認(rèn)證失效，需進(jìn)行應(yīng)用注冊(cè)或重新認(rèn)證。

2.4 Session銷毀機(jī)制實(shí)現(xiàn)

Session的銷毀機(jī)制包括3個(gè)方面：

（1）有效時(shí)間控制：使用Session共享服務(wù)器提供的Session有效時(shí)間管理實(shí)現(xiàn)統(tǒng)一控制。

（2）退出登錄：任一系統(tǒng)操作退出登錄，即刪除Session共享服務(wù)器中用戶所有信息。

（3）關(guān)閉瀏覽器：將上述2.3中所描述的主Session ID存入客戶端Cookie。瀏覽器關(guān)閉時(shí)，依據(jù)朱Session ID清除信息，如圖6所示。

圖6 Session銷毀機(jī)制實(shí)現(xiàn)的順序圖

2.5 統(tǒng)一身份認(rèn)證平臺(tái)在鐵路企業(yè)社保系統(tǒng)中應(yīng)用情況

該平臺(tái)已經(jīng)在鐵路社保系統(tǒng)中成功應(yīng)用，覆蓋了所有子系統(tǒng)及功能模塊，實(shí)現(xiàn)了數(shù)十萬(wàn)用戶、百余個(gè)角色的統(tǒng)一身份認(rèn)證，保證了用戶在系統(tǒng)中進(jìn)行身份一致的有限訪問(wèn)。統(tǒng)一身份認(rèn)證平臺(tái)確保社保系統(tǒng)安全認(rèn)證策略的統(tǒng)一，為用戶行為分析打下基礎(chǔ)，初步實(shí)現(xiàn)了資源的集約復(fù)用和服務(wù)的靈活交付，其關(guān)鍵技術(shù)都得到了驗(yàn)證。

例如，在社保系統(tǒng)中，企業(yè)年金管理子系統(tǒng)不僅要對(duì)年金理事會(huì)的日常業(yè)務(wù)進(jìn)行管理，也需要對(duì)年金基金市場(chǎng)化運(yùn)作數(shù)據(jù)進(jìn)行分析，實(shí)現(xiàn)年金基金的有效監(jiān)督。因此企業(yè)年金管理子系統(tǒng)由自主開發(fā)的理事會(huì)管理業(yè)務(wù)模塊和第三方專業(yè)分析系統(tǒng)組成，且需要與多方外部機(jī)構(gòu)業(yè)務(wù)系統(tǒng)（賬管人、托管人和投資管理人等）進(jìn)行頻繁交互。統(tǒng)一身份認(rèn)證平臺(tái)的成功應(yīng)用，不僅平滑連通了各系統(tǒng)和模塊，也為數(shù)據(jù)交互提供了訪問(wèn)控制策略，使數(shù)據(jù)的傳輸過(guò)程更加安全。

3 結(jié)束語(yǔ)

通過(guò)統(tǒng)一身份認(rèn)平臺(tái)的建設(shè)，改善了鐵路社保系統(tǒng)的用戶體驗(yàn)，使系統(tǒng)的結(jié)構(gòu)和功能更加合理。統(tǒng)一身份認(rèn)平臺(tái)作為系統(tǒng)網(wǎng)絡(luò)安全的重要組成部分，還需要在結(jié)合業(yè)務(wù)系統(tǒng)發(fā)展需求的基礎(chǔ)上，進(jìn)一步與商業(yè)級(jí)的PKI/CA和云計(jì)算技術(shù)進(jìn)行結(jié)合，使系統(tǒng)更加安全可靠。

[1]中國(guó)鐵道科學(xué)研究院. 中國(guó)鐵路總公司人力資源管理信息系統(tǒng)社會(huì)保障管理應(yīng)用總體方案[R]. 北京：中國(guó)鐵道科學(xué)研究院，2015，12.

[2]中國(guó)鐵路總公司.鐵路信息化總體規(guī)劃[R]. 北京：中國(guó)鐵路總公司，2017.

[3]史天運(yùn).鐵路行業(yè)信息安全管理面臨的挑戰(zhàn)及對(duì)策探討[J].鐵路計(jì)算機(jī)應(yīng)用，2015，24 （2）：1-4.

[4]淡 艷,尹 謙.單點(diǎn)登錄系統(tǒng)模型分析 [J].成都大學(xué)學(xué)報(bào)：自然科學(xué)版，2008（27）：123-126.

[5]趙艷芳，蔣云起.Web服務(wù)器負(fù)載均衡會(huì)話保持的研究 [J].云南民族大學(xué)學(xué)報(bào)：自然科學(xué)版，2011，20（4）：296-300.

[6]任國(guó)慶.基于內(nèi)容分類和會(huì)話共享的集群負(fù)載均衡研究 [D].長(zhǎng)沙：湖南大學(xué)，2010.

[7]梅巧玲，王明哲，張志強(qiáng)，等.內(nèi)存數(shù)據(jù)庫(kù)在互聯(lián)網(wǎng)余票查詢中的應(yīng)用[J].鐵路計(jì)算機(jī)應(yīng)用，2014，23 （3）： 41-44.

[8]Josiah L. Carlson. Redis實(shí)戰(zhàn)[M].北京：人民郵電出版社，2015.