陳哲 李燁 楊盛楠

一、概述

（一）現(xiàn)狀概述

隨著大中型集團(tuán)公司信息化工作的不斷推進(jìn)，集團(tuán)內(nèi)總部與下屬成員單位均在積極推進(jìn)各級應(yīng)用系統(tǒng)的信息集成、流程協(xié)作等工作，但由于用戶資源、認(rèn)證資源、信息資源整合缺失或不一致等問題，現(xiàn)有各應(yīng)用系統(tǒng)普遍存在用戶管理分散、認(rèn)證分散、信息展示分散的問題。

與此同時，通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)的安全性也日益受到人們的關(guān)注，特別是對于一些涉及國家安全的重要單位，傳統(tǒng)的身份認(rèn)證系統(tǒng)在安全性方面已難以適應(yīng)其提出的越來越高的要求，這是因為傳統(tǒng)的基于用戶名+口令的身份認(rèn)證方式在網(wǎng)絡(luò)中是以明文的形式傳遞，沒有采取必要的安全防護(hù)措施來保證數(shù)據(jù)在本地以及網(wǎng)絡(luò)中的安全。采用這種認(rèn)證方式的應(yīng)用系統(tǒng)的安全性較差，這就使得數(shù)據(jù)面臨著被截獲、篡改、破壞的危險，甚至?xí)a(chǎn)生不法份子利用系統(tǒng)進(jìn)行欺騙等不良行為。

（二）建設(shè)目標(biāo)

建設(shè)集團(tuán)級企業(yè)目錄，作為全集團(tuán)IT系統(tǒng)的基礎(chǔ)用戶信息庫以及全國證書用戶的證書信息，并基于規(guī)范的數(shù)據(jù)結(jié)構(gòu)定義，實現(xiàn)集團(tuán)和下屬單位兩級目錄的用戶數(shù)據(jù)同步。

通過規(guī)范總部與下屬單位各自的統(tǒng)一用戶管理系統(tǒng)，建立統(tǒng)一用戶管理體系，結(jié)合用戶生命周期管理，實現(xiàn)企業(yè)目錄數(shù)據(jù)的管理。

在企業(yè)目錄和統(tǒng)一用戶管理的基礎(chǔ)上，建設(shè)企業(yè)統(tǒng)一認(rèn)證平臺，實現(xiàn)企業(yè)門戶和應(yīng)用系統(tǒng)的安全認(rèn)證、單點登錄和訪問控制；構(gòu)建集團(tuán)統(tǒng)一認(rèn)證體系，實現(xiàn)兩級門戶互訪以及門戶和集團(tuán)級應(yīng)用的單點登錄，滿足門戶信息共享、流程協(xié)作等互聯(lián)互通應(yīng)用安全需求。

二、設(shè)計方案

（一）總述

集團(tuán)企業(yè)目錄統(tǒng)一認(rèn)證及統(tǒng)一身份管理體系主要包括企業(yè)目錄、統(tǒng)一認(rèn)證平臺、統(tǒng)一用戶管理三部分組成，同時，為保證身份認(rèn)證的安全性，公鑰基礎(chǔ)設(shè)施通過可信第三方——認(rèn)證中心（Certificate Authority， CA）引入了數(shù)字證書的概念。

企業(yè)目錄是門戶及應(yīng)用系統(tǒng)的基礎(chǔ)用戶信息庫，包括用戶、組織機構(gòu)、群組、角色、崗位等數(shù)據(jù)。通過建立規(guī)范化的數(shù)據(jù)結(jié)構(gòu)，實現(xiàn)目錄數(shù)據(jù)的同步，為統(tǒng)一認(rèn)證、縱向互聯(lián)提供數(shù)據(jù)支撐。

統(tǒng)一用戶管理系統(tǒng)實現(xiàn)對企業(yè)目錄的數(shù)據(jù)管理，并提供企業(yè)用戶目錄和應(yīng)用系統(tǒng)之間的數(shù)據(jù)同步管理。

統(tǒng)一認(rèn)證平臺是在建立企業(yè)目錄之上，提供對企業(yè)門戶及應(yīng)用系統(tǒng)的安全認(rèn)證、單點登錄、訪問控制等安全支撐。

通過統(tǒng)一認(rèn)證平臺，實現(xiàn)集團(tuán)、總部及各下屬成員單位門戶及應(yīng)用系統(tǒng)間的互訪單點登錄，提供縱向互聯(lián)互通應(yīng)用的安全支撐，滿足門戶縱向信息互訪、流程協(xié)作等應(yīng)用需求。如圖1所示。

（二） 企業(yè)目錄

1.概述

建設(shè)集團(tuán)級統(tǒng)一的企業(yè)目錄，總部與各下屬單位分別建設(shè)本地用戶目錄系統(tǒng)，通過自上而下和自下而上相結(jié)合的方式，進(jìn)行集團(tuán)企業(yè)目錄和集團(tuán)總部目錄、各下屬單位目錄定時同步。自上而下方式用于集團(tuán)統(tǒng)一定義的規(guī)范數(shù)據(jù)，如數(shù)據(jù)字典等的同步，自下而上方式用于同步各下屬單位節(jié)點到集團(tuán)企業(yè)目錄，如圖2所示。

2.目錄的同步設(shè)計

集團(tuán)目錄的同步主要包含以下幾個步驟：

下屬單位用戶目錄到集團(tuán)目錄：把下屬單位用戶目錄中部分用戶的部分屬性信息同步到集團(tuán)目錄中。這部分復(fù)制工作的主要目的是為了實現(xiàn)下屬單位用戶到集團(tuán)門戶的單點登錄功能。

總部用戶目錄到集團(tuán)目錄：把總部用戶目錄中部分用戶的部分屬性信息同步到集團(tuán)目錄中。這部分復(fù)制工作的主要目的是為了實現(xiàn)總部用戶到集團(tuán)門戶的單點登錄功能。

集團(tuán)目錄到下屬單位用戶目錄：把存放在集團(tuán)目錄中的總部用戶信息同步到下屬單位用戶目錄中。這部分復(fù)制工作的主要目的是為了實現(xiàn)總部用戶到下屬單位門戶的單點登錄功能。如圖3所示。

除了基于目錄的同步外，考慮到有些下屬單位沒有建立企業(yè)目錄，或者對于企業(yè)目錄的改造不易實現(xiàn)，那么全國目錄提供了同步接口，下屬成員單位可以在本單位統(tǒng)一用戶管理系統(tǒng)中進(jìn)行全國目錄同步接口的調(diào)用。這種方式也可以實現(xiàn)下屬成員單位用戶管理系統(tǒng)和全國目錄的同步。

（三） 統(tǒng)一用戶管理系統(tǒng)

1.概述

統(tǒng)一用戶管理系統(tǒng)作為集團(tuán)公司總部和各下屬成員單位的用戶基礎(chǔ)設(shè)施， 實現(xiàn)對企業(yè)目錄的同步管理，可作為企業(yè)門戶等應(yīng)用的用戶數(shù)據(jù)源，為其他應(yīng)用系統(tǒng)提供用戶同步，同時可擴展支持從現(xiàn)有的HR、OA等系統(tǒng)導(dǎo)入用戶。如圖4所示。

總部與下屬單位分別建立各自統(tǒng)一用戶管理系統(tǒng)，通過統(tǒng)一用戶管理系統(tǒng)管理操作各自的目錄服務(wù)，并基于目錄服務(wù)的向上同步復(fù)制機制形成全國目錄服務(wù)?？偛颗c下屬單位可以通過CA提供的接口，為統(tǒng)一用戶管理系統(tǒng)中的用戶申請數(shù)字證書，并將用戶數(shù)字證書同步到本地，與用戶建立關(guān)聯(lián)關(guān)系。

（四） 統(tǒng)一認(rèn)證平臺

集團(tuán)統(tǒng)一認(rèn)證平臺基于集團(tuán)企業(yè)目錄，實現(xiàn)對于集團(tuán)級應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證和單點登錄。集團(tuán)統(tǒng)一認(rèn)證平臺提供證書認(rèn)證和短信認(rèn)證兩種強認(rèn)證方式，對于證書認(rèn)證，需要建立企業(yè)級CA認(rèn)證體系。同時，該平臺也對實現(xiàn)縱向互聯(lián)互通應(yīng)用提供支撐。

由于目前大部分集團(tuán)總部和下屬單位IT系統(tǒng)的管理相對獨立，可以視為同級。企業(yè)門戶與OA系統(tǒng)分為集團(tuán)、總部和成員單位兩級架構(gòu)部署，并實現(xiàn)兩級之間的信息互訪。統(tǒng)一認(rèn)證平臺提供門戶與應(yīng)用的集成、門戶間的互訪，也同樣采用兩級架構(gòu)進(jìn)行部署。圖5是基于統(tǒng)一認(rèn)證平臺的兩級體系架構(gòu)示意圖。

集團(tuán)、總部和各下屬單位兩級認(rèn)證平臺實現(xiàn)互訪認(rèn)證。通過互訪認(rèn)證機制，實現(xiàn)集團(tuán)、總部和各下屬單位兩級應(yīng)用之間的單點登錄，并完成總部和各下屬單位應(yīng)用到全集團(tuán)性應(yīng)用的單點登錄。

（五）企業(yè)級CA認(rèn)證體系

根據(jù)系統(tǒng)安全認(rèn)證體系建設(shè)的實際需求，CA認(rèn)證體系整體設(shè)計將采用以下的設(shè)計思路。

1.“雙中心、雙證書、雙密鑰”機制

雙中心則是指證書管理中心與密鑰管理中心，雙證書是指簽名證書和加密證書，雙密鑰是指簽名密鑰和加密密鑰。

密鑰管理中心負(fù)責(zé)向證書管理中心提供密鑰管理服務(wù)，而證書管理中心則具體的向用戶提供證書業(yè)務(wù)服務(wù)和證書認(rèn)證服務(wù)。雙證書中的加密證書對應(yīng)加密密鑰，簽名密鑰用于數(shù)字簽名（具有保證行為不可抵賴性功能），加密密鑰用于信息加密。簽名密鑰歸用戶獨自擁有。簽名證書和加密證書一起保存在用戶的證書載體中，這樣既解決了密鑰恢復(fù)問題，又保證了行為的不可抵賴性。

2.“集中式生產(chǎn)、分布式服務(wù)”模式

根據(jù)CA認(rèn)證體系的建設(shè)要求，CA體系采用集中式生產(chǎn)、分布式服務(wù)模式，即證書的生產(chǎn)（簽發(fā)、發(fā)布、管理、撤銷等）集中在管理中心執(zhí)行，而證書的申請、注冊、審核等則由分布的證書審核注冊系統(tǒng)執(zhí)行，以提高系統(tǒng)服務(wù)效率。這種服務(wù)模式的實現(xiàn)需要與證書業(yè)務(wù)服務(wù)系統(tǒng)建設(shè)策略緊密結(jié)合。

3.系統(tǒng)可伸縮動態(tài)平滑配置

CA認(rèn)證體系要滿足證書業(yè)務(wù)量的運行要求，并可根據(jù)將來業(yè)務(wù)量的增長而逐步擴展。證書業(yè)務(wù)服務(wù)系統(tǒng)具有動態(tài)平滑可擴展能力，可根據(jù)業(yè)務(wù)量的改變動態(tài)調(diào)整證書業(yè)務(wù)服務(wù)系統(tǒng)的業(yè)務(wù)能力。

三、 兩級互訪技術(shù)方案

（一）概述

信息的共享及互訪是縱向互聯(lián)互通的重要內(nèi)容，主要包括如下三類互訪需求：

集團(tuán)門戶、總部門戶和下屬單位門戶之間互訪；

從總部、下屬單位門戶單點訪問集團(tuán)級應(yīng)用；

通過集團(tuán)統(tǒng)一認(rèn)證平臺直接訪問集團(tuán)級應(yīng)用。

信息互訪基于集團(tuán)企業(yè)目錄實現(xiàn)，信息互訪支持靜態(tài)密碼、數(shù)字證書、短信動態(tài)密碼等多種認(rèn)證方式。CA數(shù)字證書作為一種已經(jīng)使用的強認(rèn)證方式，滿足特定應(yīng)用場景的高安全性需求。信息互訪憑證可以采用數(shù)字證書或者用戶主賬號名標(biāo)識，身份憑證傳輸過程通過數(shù)字證書加密保證安全性。同時，信息互訪支持安全訪問策略的設(shè)定，被訪問的應(yīng)用可以根據(jù)用戶的身份、用戶采用的認(rèn)證方式等因素，決定是否允許互訪或是否進(jìn)行二次認(rèn)證。

（二）兩級互訪

通過兩級互訪訪問控制服務(wù)器實現(xiàn)門戶間的單點登錄。當(dāng)用戶進(jìn)行互訪時，由互訪發(fā)起端的兩級互訪訪問控制服務(wù)器獲取當(dāng)前用戶身份，生成互訪唯一憑證，并將憑證加密傳遞到被訪問端兩級互訪訪問控制服務(wù)器，被訪問端驗證用戶身份，并按照設(shè)定的授權(quán)策略進(jìn)行訪問控制，被訪問端訪問控制服務(wù)器通過和本地統(tǒng)一認(rèn)證平臺的交互，完成和門戶的單點登錄。

企業(yè)目錄提供用戶信息查詢服務(wù)，兩級互訪訪問控制服務(wù)器和認(rèn)證平臺可以通過單點登錄傳遞的身份唯一憑證，從企業(yè)目錄查詢用戶職務(wù)、部門、群組等信息?？偛块T戶訪問下屬單位門戶，互訪基本流程如圖6所示。

（三）總部、成員單位訪問集團(tuán)級應(yīng)用

從門戶到集團(tuán)級應(yīng)用的單點訪問通過互訪認(rèn)證來實現(xiàn)，互訪認(rèn)證由集團(tuán)統(tǒng)一認(rèn)證平臺和兩級互訪訪問控制服務(wù)器提供。

基于企業(yè)目錄建設(shè)集團(tuán)統(tǒng)一認(rèn)證平臺，實現(xiàn)對集團(tuán)級應(yīng)用的統(tǒng)一認(rèn)證和單點登錄，同時在集團(tuán)級應(yīng)用域內(nèi)也需部署兩級互訪訪問控制服務(wù)器。兩級互訪訪問控制服務(wù)器實現(xiàn)訪問身份憑證的傳遞，統(tǒng)一認(rèn)證平臺完成應(yīng)用的單點登錄。

在進(jìn)行訪問時，兩級互訪訪問控制服務(wù)器之間主要傳遞的是用戶身份信息，由于集團(tuán)企業(yè)目錄和下屬單位、總部的結(jié)構(gòu)是一致的，并且包含總部和下屬單位目錄數(shù)據(jù)。集團(tuán)兩級互訪訪問控制服務(wù)器器獲取到訪問用戶的身份憑證后，可以在集團(tuán)目錄中找到用戶的身份及部門、角色、群組等信息，對此進(jìn)行訪問控制策略的判定。在策略通過之后，由于統(tǒng)一認(rèn)證平臺已經(jīng)和各應(yīng)用系統(tǒng)實現(xiàn)了SSO，因此就可以訪問相關(guān)應(yīng)用了。

應(yīng)用需要在自身系統(tǒng)中創(chuàng)建用戶賬號以實現(xiàn)用戶的訪問授權(quán)，或者通過角色賬號實現(xiàn)某一類用戶的訪問授權(quán)。

不同于門戶間互訪流程，從總部、下屬單位門戶訪問集團(tuán)級應(yīng)用時，最終通過集團(tuán)統(tǒng)一認(rèn)證平臺登錄到應(yīng)用系統(tǒng)。下屬單位門戶訪問集團(tuán)級應(yīng)用，流程如圖7所示。

（四）通過統(tǒng)一認(rèn)證平臺直接訪問集團(tuán)級應(yīng)用

基于企業(yè)目錄建設(shè)集團(tuán)統(tǒng)一認(rèn)證平臺，實現(xiàn)對集團(tuán)級應(yīng)用的統(tǒng)一認(rèn)證和單點登錄，同時在集團(tuán)級應(yīng)用域內(nèi)也需部署單點登錄服務(wù)。單點登錄服務(wù)實現(xiàn)訪問身份憑證的傳遞，統(tǒng)一認(rèn)證平臺完成應(yīng)用的單點登錄。

在進(jìn)行訪問時，統(tǒng)一認(rèn)證平臺獲取到訪問用戶的身份憑證后，可以在全國目錄中找到用戶的身份及部門、角色、群組等信息，對此進(jìn)行訪問控制策略的判定。在策略通過之后，由于統(tǒng)一認(rèn)證平臺已經(jīng)和各應(yīng)用系統(tǒng)實現(xiàn)了SSO，因此就可以訪問相關(guān)應(yīng)用了。

用戶直接訪問集團(tuán)級應(yīng)用時，通過全國統(tǒng)一認(rèn)證平臺登錄到應(yīng)用系統(tǒng)，流程如圖8所示。

四、結(jié)語

隨著全社會信息技術(shù)的不斷發(fā)展，如何在確保信息安全的前提下解決企業(yè)內(nèi)部身份認(rèn)證分散，充分利用信息資源，避免信息孤島等問題成為一個亟待解決的問題。本文以傳統(tǒng)的信息安全技術(shù)為前提，以最新的信息體統(tǒng)基礎(chǔ)架構(gòu)為背景，在同一解決單位內(nèi)部身份認(rèn)證的同時，著力解決企業(yè)內(nèi)部，特別是跨區(qū)域的大中型企業(yè)內(nèi)部的應(yīng)用系統(tǒng)與認(rèn)證中心之間統(tǒng)一用戶同步與單點登錄的問題，從而解決企業(yè)內(nèi)部不同單位間的系統(tǒng)互訪問題，在大大提高單位信息系統(tǒng)使用效率的同時，促進(jìn)單位信息化建設(shè)的規(guī)范性與時效性。

作者單位：核工業(yè)理化工程研究院