◆李 燁

基于多應(yīng)用系統(tǒng)下統(tǒng)一用戶認(rèn)證的研究與實(shí)現(xiàn)

◆李 燁

（核工業(yè)理化工程研究院 天津 300180）

隨著企業(yè)內(nèi)部信息化程度的不斷提高，多數(shù)企業(yè)會(huì)部署若干信息化系統(tǒng)。每個(gè)應(yīng)用系統(tǒng)都有一個(gè)自己的身份認(rèn)證功能模塊，如使用傳統(tǒng)認(rèn)證方式既不安全又須記憶大量密碼。那么，基于整合多種應(yīng)用系統(tǒng)相對(duì)獨(dú)立的身份認(rèn)證和授權(quán)機(jī)制來單獨(dú)形成一套新認(rèn)證系統(tǒng)的思想便應(yīng)運(yùn)而生。目前，采用的較成熟系統(tǒng)為統(tǒng)一用戶管理系統(tǒng)，實(shí)現(xiàn)各應(yīng)用系統(tǒng)間跨域的單點(diǎn)登錄的身份認(rèn)證。本文對(duì)統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行深入探討，并以檔案管理系統(tǒng)為例詳細(xì)講述統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)。

統(tǒng)一身份認(rèn)證；單點(diǎn)登錄；CA認(rèn)證中心；檔案管理系統(tǒng)

所謂身份認(rèn)證，就是判斷一個(gè)用戶是否為合法用戶的處理過程。目前，大多數(shù)企業(yè)內(nèi)部的應(yīng)用系統(tǒng)都是通過各自單獨(dú)的賬號(hào)和密碼的身份認(rèn)證機(jī)制對(duì)訪問系統(tǒng)的用戶進(jìn)行身份驗(yàn)證來阻止非法入侵者進(jìn)入系統(tǒng)，從而保證系統(tǒng)的安全。這種傳統(tǒng)的認(rèn)證機(jī)制暴露出一些弊端，主要體現(xiàn)在以下幾個(gè)方面：

（1）用戶信息無法統(tǒng)一：當(dāng)一個(gè)用戶的屬性發(fā)生改變時(shí)，他的身份信息只在有限系統(tǒng)中被更改，其他系統(tǒng)無法及時(shí)得到通知，造成用戶信息無法統(tǒng)一。

（2）信息重復(fù)情況嚴(yán)重：在整個(gè)系統(tǒng)中，同一個(gè)用戶的信息反復(fù)存放，數(shù)據(jù)冗余量大，造成系統(tǒng)信息管理成本上升，性能下降。

（3）增加用戶操作的復(fù)雜性：用戶在使用不同應(yīng)用系統(tǒng)時(shí)，必須反復(fù)登錄，而且必須采用相應(yīng)的正確登錄信息，否則就會(huì)被系統(tǒng)阻攔。

（4）破壞系統(tǒng)安全性：同一個(gè)用戶為進(jìn)入眾多應(yīng)用系統(tǒng)，必須記憶和采用大量不同的密碼和身份信息，為了防止遺忘密碼，必定會(huì)使用重復(fù)的密碼和身份信息，一旦泄密，系統(tǒng)安全蕩然無存。

（5）增加用戶信息的維護(hù)難度：當(dāng)用戶狀況變更時(shí)，需要同時(shí)修改不同應(yīng)用系統(tǒng)中的大量條目，該無疑增加了信息系統(tǒng)的管理難度。

分析其原因，是由于分散的用戶管理，各個(gè)系統(tǒng)間沒有聯(lián)系。這就迫使用戶在進(jìn)入每一個(gè)系統(tǒng)時(shí)都要重新提交自己的身份標(biāo)識(shí)，來通過系統(tǒng)的認(rèn)證[1]。

傳統(tǒng)應(yīng)用系統(tǒng)登錄模式圖1所示：

圖1 傳統(tǒng)應(yīng)用系統(tǒng)登錄模式圖

那么，基于整合多種應(yīng)用系統(tǒng)相對(duì)獨(dú)立的身份認(rèn)證和授權(quán)機(jī)制來單獨(dú)形成一套新認(rèn)證系統(tǒng)的思想便應(yīng)運(yùn)而生。統(tǒng)一身份認(rèn)證技術(shù)及單點(diǎn)登錄技術(shù)為實(shí)現(xiàn)統(tǒng)一用戶管理系統(tǒng)的實(shí)現(xiàn)提供了解決方案。

統(tǒng)一身份認(rèn)證就是利用認(rèn)證和服務(wù)相分離的思想，將多個(gè)應(yīng)用系統(tǒng)中的身份認(rèn)證模塊剝離出來，提供一個(gè)統(tǒng)一的身份認(rèn)證入口，使所有的應(yīng)用系統(tǒng)的用戶都能夠使用它來進(jìn)行身份認(rèn)證。

1 統(tǒng)一身份認(rèn)證基本架構(gòu)

統(tǒng)一身份認(rèn)證系統(tǒng)采用層次式結(jié)構(gòu)，分為數(shù)據(jù)層、認(rèn)證通道層和認(rèn)證接口層。

1.1 數(shù)據(jù)層

數(shù)據(jù)層用于認(rèn)證機(jī)構(gòu)中數(shù)據(jù)（如密鑰和用戶信息等）、日志統(tǒng)計(jì)信息的存儲(chǔ)和管理。在各應(yīng)用系統(tǒng)統(tǒng)一身份認(rèn)證部署中不需要開發(fā)，因此不進(jìn)行贅述。

1.2 認(rèn)證通道

通過用戶名/密碼或數(shù)字證書等方式作為載體，建立一個(gè)第三方認(rèn)證機(jī)構(gòu)，保障用戶信息的安全性。采用PKI技術(shù)，通過第三方的可信任機(jī)構(gòu)——認(rèn)證中心CA（Certificate Authority）作為第三方認(rèn)證通道，把用戶的公鑰和數(shù)字簽名捆綁在一起即數(shù)字證書，由它來確認(rèn)該公鑰確實(shí)屬于特定的持有者[2]。

1.3 認(rèn)證接口層

這是一套標(biāo)準(zhǔn)接口的封裝，提供統(tǒng)一的接口標(biāo)準(zhǔn)，定義了基本的數(shù)據(jù)交換標(biāo)準(zhǔn)。身份認(rèn)證系統(tǒng)通過WebServices對(duì)外發(fā)布認(rèn)證服務(wù)，第三方應(yīng)用系統(tǒng)按照接口標(biāo)準(zhǔn)，將組織、用戶的增、刪、改的信息進(jìn)行數(shù)據(jù)的交互。因此，接口的開發(fā)即是設(shè)計(jì)的重點(diǎn)。

2 單點(diǎn)登錄機(jī)制研究

雖然實(shí)現(xiàn)了用戶身份的統(tǒng)一管理，用戶在每次登錄系統(tǒng)時(shí)仍然都要提供口令信息，單點(diǎn)登錄機(jī)制完美解決了該問題。單點(diǎn)登錄是指用戶只需進(jìn)行一次身份認(rèn)證，即可訪問在身份認(rèn)證系統(tǒng)中注冊(cè)過的多個(gè)應(yīng)用系統(tǒng)，如圖2所示。

圖2 單點(diǎn)登錄概念圖

運(yùn)用以上兩種技術(shù)，使得統(tǒng)一用戶管理系統(tǒng)得以實(shí)現(xiàn)?；谝陨咸攸c(diǎn)統(tǒng)一用戶管理系統(tǒng)應(yīng)包含三部分功能：CA認(rèn)證中心、統(tǒng)一身份管理（UAP-U）、單點(diǎn)登錄（UAP-S），其架構(gòu)分為四個(gè)部分：對(duì)外服務(wù)、身份認(rèn)證模塊、平臺(tái)基礎(chǔ)服務(wù)、數(shù)據(jù)存儲(chǔ)。

3 檔案管理系統(tǒng)統(tǒng)一用戶認(rèn)證的設(shè)計(jì)與實(shí)現(xiàn)

3.1 統(tǒng)一用戶管理系統(tǒng)總體設(shè)計(jì)思路

檔案管理系統(tǒng)收集的資料是各種工作留存的最重要信息，檔案管理系統(tǒng)的用戶及系統(tǒng)安全得到保障是保障資料安全的第一步。核理化院管理網(wǎng)已有五個(gè)應(yīng)用系統(tǒng)在使用，均已完成與統(tǒng)一用戶管理平臺(tái)的集成。這五種應(yīng)用系統(tǒng)均采用USBkey作為公鑰存放的載體。因此，為節(jié)約成本，檔案管理系統(tǒng)同樣采用該種方式，不需要再另外制定密碼策略。

隨著應(yīng)用系統(tǒng)業(yè)務(wù)的不斷擴(kuò)展，各部門每年都有新用戶的增加；同時(shí)，每年有大量部門機(jī)構(gòu)、人員的調(diào)整。為更方便更精準(zhǔn)的維護(hù)該部分信息，除與統(tǒng)一用戶平臺(tái)集成實(shí)現(xiàn)統(tǒng)一身份認(rèn)證和單點(diǎn)登錄功能，還要實(shí)現(xiàn)新的應(yīng)用系統(tǒng)的同步組織、用戶推送，以減輕運(yùn)維工作量。

3.2 統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)

3.2.1統(tǒng)一身份認(rèn)證業(yè)務(wù)流程

（1）用戶使用在統(tǒng)一身份認(rèn)證平臺(tái)注冊(cè)的USBKEY登錄認(rèn)證平臺(tái)；

（2）統(tǒng)一身份認(rèn)證系統(tǒng)創(chuàng)建會(huì)話并將認(rèn)證ticket（身份認(rèn)證令牌）返回用戶，用戶使用該ticket訪問在統(tǒng)一身份認(rèn)證系統(tǒng)注冊(cè)過的應(yīng)用系統(tǒng)；

（3）應(yīng)用系統(tǒng)將該ticket回傳至統(tǒng)一身份認(rèn)證系統(tǒng)；

（4）身份認(rèn)證系統(tǒng)確認(rèn)該ticket有效性后應(yīng)用系統(tǒng)接受該用戶訪問。

3.2.2統(tǒng)一身份認(rèn)證接口的設(shè)計(jì)

由以上業(yè)務(wù)流程分析得到，統(tǒng)一身份認(rèn)證的接口包含兩部分：證書認(rèn)證頁面調(diào)用接口和證書認(rèn)證接口。

證書認(rèn)證頁面調(diào)用接口用于頁面調(diào)用相關(guān)控件獲取證書內(nèi)容，根據(jù)用戶所填的證書PIN碼來驗(yàn)證是否已正確安裝證書驅(qū)動(dòng)、證書PIN碼是否正確以及獲取證書內(nèi)容為調(diào)用證書認(rèn)證插件進(jìn)行驗(yàn)證做準(zhǔn)備。

在頁面上需設(shè)置3個(gè)隱藏域，分別存放random，cipher，signcert（以上內(nèi)容均在下面調(diào)用中有出現(xiàn)），另外還需設(shè)置一個(gè)密碼框用來接收用戶輸入PIN碼。

證書認(rèn)證接口用于驗(yàn)證用戶是否合法，根據(jù)用戶提交的證書認(rèn)證請(qǐng)求來驗(yàn)證其是否為系統(tǒng)中的合法用戶[3]。

3.2.3檔案管理系統(tǒng)組織架構(gòu)設(shè)計(jì)

統(tǒng)一用戶管理平臺(tái)作為組織機(jī)構(gòu)、用戶的統(tǒng)一管理機(jī)構(gòu)，應(yīng)用系統(tǒng)以該平臺(tái)組織架構(gòu)為標(biāo)準(zhǔn)建設(shè)為最優(yōu)方式。

核理化院統(tǒng)一用戶管理平臺(tái)組織架構(gòu)如圖3所示：

圖3 核理化院統(tǒng)一用戶管理平臺(tái)組織機(jī)構(gòu)圖

該結(jié)構(gòu)為三級(jí)架構(gòu)，檔案管理系統(tǒng)只能實(shí)現(xiàn)二級(jí)架構(gòu)。在規(guī)劃中去掉了管理職能部門、院附屬研究所等幾個(gè)二級(jí)機(jī)構(gòu)。

檔案管理系統(tǒng)組織架構(gòu)實(shí)現(xiàn)，如下圖4：

圖4 檔案管理系統(tǒng)組織機(jī)構(gòu)圖

3.2.4檔案管理系統(tǒng)用戶數(shù)據(jù)設(shè)計(jì)

用戶在各系統(tǒng)中包含多重信息：用戶編碼、用戶賬號(hào)、用戶姓名、用戶工號(hào)、用戶所屬機(jī)構(gòu)等。而身份認(rèn)證系統(tǒng)通過用戶公鑰與數(shù)字簽名是否匹配進(jìn)行用戶合法身份的認(rèn)證。在統(tǒng)一用戶管理總體設(shè)計(jì)中講到，核理化院使用USBkey作為用戶公鑰，該USBkey包含了用戶的loginName（用戶登錄名），也就是身份認(rèn)證系統(tǒng)該用戶的唯一標(biāo)識(shí)。登錄名為員工姓的全拼加名的縮寫組成，如有重名用編碼1、2…來標(biāo)識(shí)。同時(shí)，參照統(tǒng)一用戶管理平臺(tái)的用戶信息，梳理出檔案管理系統(tǒng)的用戶數(shù)據(jù)編碼規(guī)范：

表1 用戶數(shù)據(jù)編碼規(guī)范

3.3 組織機(jī)構(gòu)、用戶同步的實(shí)現(xiàn)

3.3.1接口開發(fā)實(shí)現(xiàn)的技術(shù)方式

統(tǒng)一用戶管理平臺(tái)采用的是Webservice技術(shù)。該服務(wù)通過SQAP消息、WSDL、HTTP等Internet協(xié)議成與其他軟件應(yīng)用的交互。SOAP即簡(jiǎn)單對(duì)象訪問協(xié)議，是在分布式環(huán)境中通過XML編碼進(jìn)行通信的一種簡(jiǎn)單的網(wǎng)絡(luò)協(xié)議；WSDL是Web服務(wù)描述語言，用于說明SOAP消息及如何交換數(shù)據(jù)信息。在同步組織機(jī)構(gòu)、用戶的實(shí)現(xiàn)中包含兩部分內(nèi)容：組織機(jī)構(gòu)增、刪、改的同步推送；用戶增、刪、改的同步推送，接口要實(shí)現(xiàn)數(shù)據(jù)的交互。

因此，在這里使用Web服務(wù)的SOAP和WSDL技術(shù)，可實(shí)現(xiàn)信息的交換。

3.3.2同步組織機(jī)構(gòu)、用戶的配置

進(jìn)入統(tǒng)一用戶管理平臺(tái)，在資源管理中添加檔案管理系統(tǒng)的端口及同步信息，如下圖5所示：

圖5 檔案管理系統(tǒng)接入配置圖

在同步配置及管理功能節(jié)點(diǎn)下，完成檔案管理系統(tǒng)的同步訂閱接入，并依次添加“組織機(jī)構(gòu)”和“用戶正職”的信息，如圖6、7所示：

圖6 同步訂閱接入配置圖

圖7 添加組織機(jī)構(gòu)及用戶正職示意圖

上文中提到在同步組織機(jī)構(gòu)及用戶時(shí)，采用WSDL技術(shù)進(jìn)行開發(fā)，在同步的配置中須要將該WSDL的網(wǎng)址配置在系統(tǒng)中，實(shí)現(xiàn)代碼級(jí)的同步數(shù)據(jù)交換，配置如下圖8所示：

圖8 WSDL的端口的配置界面

經(jīng)過以上幾個(gè)方面的配置實(shí)現(xiàn)了端口的綁定。完成人員、組織機(jī)構(gòu)同步的服務(wù)。

3.4 單點(diǎn)登錄的實(shí)現(xiàn)

3.4.1 單點(diǎn)登錄業(yè)務(wù)流程

單點(diǎn)登錄的業(yè)務(wù)流程說明，如下圖9：

圖9 單點(diǎn)登錄業(yè)務(wù)流程圖

（1）用戶第一次通過瀏覽器訪問第三方應(yīng)用，第三方應(yīng)用跳轉(zhuǎn)到認(rèn)證服務(wù)中心進(jìn)行認(rèn)證（地址在web.xml中配置）

（2）認(rèn)證成功，認(rèn)證中心將包含ticket（認(rèn)證令牌）的請(qǐng)求重返回到第三方應(yīng)用；

（3）第三方應(yīng)用將該ticket回傳至統(tǒng)一身份認(rèn)證系統(tǒng)；

（4）身份認(rèn)證系統(tǒng)確認(rèn)該ticket有效性后會(huì)返回用戶的信息，用戶認(rèn)證成功。

3.4.2單點(diǎn)登錄接口的設(shè)計(jì)

由以上特點(diǎn)可以看出所有內(nèi)容的傳輸只包含ticket的傳輸，不需要增、刪、改等信息的數(shù)據(jù)交換。所以單點(diǎn)登錄可基于HTTP技術(shù)來實(shí)現(xiàn)，節(jié)約資源、實(shí)現(xiàn)快速開發(fā)。

單點(diǎn)登錄實(shí)現(xiàn)后的頁面，如下圖10所示：

圖10 單點(diǎn)登錄實(shí)現(xiàn)示意圖

4 結(jié)束語

針對(duì)企業(yè)內(nèi)部業(yè)務(wù)不斷擴(kuò)大，應(yīng)用系統(tǒng)不斷增加的形勢(shì)下，傳統(tǒng)身份認(rèn)證及登錄方式安全性差、維護(hù)不方便、用戶須重復(fù)記憶大量密碼的問題，采用與統(tǒng)一用戶管理平臺(tái)的集成的方式可有效解決以上問題。同時(shí)，通過實(shí)現(xiàn)同步組織用戶功能減輕網(wǎng)絡(luò)維護(hù)人員運(yùn)維工作。

[1]鄭煥.基于Web Services統(tǒng)一身份認(rèn)證系統(tǒng)研究[D].武漢理工大學(xué)，2018：2-3.

[2]張忠.數(shù)字證書的原理及其應(yīng)用[M].計(jì)算技術(shù)與自動(dòng)化，2001，14（2）：2-7.

[3]陳哲.基于PKI技術(shù)的郵件系統(tǒng)部署實(shí)施方案研究[D].天津大學(xué).