檢驗檢疫統(tǒng)一身份認(rèn)證系統(tǒng)的研究

【摘 要】由于缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，政府信息化深入發(fā)展中經(jīng)常形成眾多應(yīng)用系統(tǒng)各自獨立，數(shù)據(jù)無法互聯(lián)互通等問題。本文以檢驗檢疫業(yè)務(wù)為例，提出采用基于SOA的總體架構(gòu)，建立檢驗檢疫統(tǒng)一身份認(rèn)證系統(tǒng)，來實現(xiàn)統(tǒng)一安全認(rèn)證和統(tǒng)一服務(wù)入口。

【關(guān)鍵詞】身份認(rèn)證 單點登錄

引言：隨著浙江檢驗檢疫局信息化的不斷深入和發(fā)展，應(yīng)用系統(tǒng)越來越多，在充分推動檢驗檢疫事業(yè)科學(xué)發(fā)展的同時，也出現(xiàn)了新的問題。各應(yīng)用大多分散建設(shè)，獨立運行，每個應(yīng)用系統(tǒng)都采用了專用的、不同的身份認(rèn)證技術(shù)，系統(tǒng)管理員需要在不同的業(yè)務(wù)應(yīng)用系統(tǒng)上配置、維護(hù)不同的身份認(rèn)證方式，維護(hù)工作量很大且不能統(tǒng)一管理。用戶在使用不同的業(yè)務(wù)系統(tǒng)時需要記憶、使用不同的口令多次登錄，操作繁瑣，造成系統(tǒng)使用效率低下。不少系統(tǒng)采用弱安全認(rèn)證機(jī)制，易被截獲和分析而造成系統(tǒng)安全隱患；各應(yīng)用的數(shù)據(jù)無法互連互通，不能形成統(tǒng)一的一站式服務(wù)。因此，為了徹底改變這種現(xiàn)狀，建立檢驗檢疫統(tǒng)一身份認(rèn)證系統(tǒng)，提供統(tǒng)一的身份安全認(rèn)證機(jī)制和統(tǒng)一服務(wù)入口。

一、總體架構(gòu)

浙江檢驗檢疫統(tǒng)一身份認(rèn)證系統(tǒng)采用J2EE技術(shù)架構(gòu)進(jìn)行開發(fā)部署，整體采用基于SOA（面向服務(wù)的架構(gòu)）的總體架構(gòu)，是一種高可擴(kuò)展的多層架構(gòu)的信息平臺，總體結(jié)構(gòu)由數(shù)據(jù)層、應(yīng)用支撐層、表現(xiàn)層和標(biāo)準(zhǔn)規(guī)范層構(gòu)建的綜合系統(tǒng)。

（一）數(shù)據(jù)層。提供統(tǒng)一身份認(rèn)證系統(tǒng)和接入應(yīng)用系統(tǒng)所需的數(shù)據(jù)平臺，實現(xiàn)與外部接入應(yīng)用系統(tǒng)的數(shù)據(jù)集成。

（二）應(yīng)用支撐層。提供統(tǒng)一認(rèn)證和統(tǒng)一入口的應(yīng)用支撐，包括內(nèi)容發(fā)布、統(tǒng)一身份管理和單點登錄組件。

（三）表現(xiàn)層。提供統(tǒng)一入口的界面顯示管理，包括內(nèi)容表單、界面導(dǎo)航、欄目、樣式等對外顯示管理組件。

（四）標(biāo)準(zhǔn)規(guī)范層。提供應(yīng)用系統(tǒng)接入技術(shù)接口和技術(shù)規(guī)范，包括統(tǒng)一認(rèn)證應(yīng)用接口、單點登錄接口，以及數(shù)據(jù)整合接口和規(guī)范。

二、系統(tǒng)功能

檢驗檢疫統(tǒng)一身份認(rèn)證系統(tǒng)整體上以門戶形式進(jìn)行展示，主要包括下列功能：

（一）統(tǒng)一服務(wù)入口。將整合后的數(shù)據(jù)、單點登錄、統(tǒng)一認(rèn)證CAS功能入口以門戶方式統(tǒng)一對外展示，人機(jī)交互的統(tǒng)一服務(wù)門戶。門戶能夠?qū)崿F(xiàn)信息內(nèi)容集中發(fā)布，也可實現(xiàn)內(nèi)容表單、界面導(dǎo)航、欄目、樣式的定義管理和展示。

（二）統(tǒng)一認(rèn)證系統(tǒng)（CAS）服務(wù)。統(tǒng)一認(rèn)證系統(tǒng)（CAS） 服務(wù)實現(xiàn)統(tǒng)一的用戶身份認(rèn)證管理，為整個系統(tǒng)運行提供統(tǒng)一的安全認(rèn)證平臺，支持多種認(rèn)證方式及認(rèn)證策略，使得各個應(yīng)用系統(tǒng)的認(rèn)證集中在統(tǒng)一認(rèn)證系統(tǒng)中完成。通過將應(yīng)用系統(tǒng)注冊到統(tǒng)一認(rèn)證系統(tǒng)管理平臺中，實現(xiàn)對應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的資源管理。實施基于角色的訪問控制策略，為角色分配可以訪問的系統(tǒng)，并實施安全訪問控制規(guī)則。從而完成用戶身份的統(tǒng)一建設(shè)與管理，以及用戶身份的統(tǒng)一認(rèn)證。統(tǒng)一認(rèn)證服務(wù)提供的安全認(rèn)證策略主要包括：靜態(tài)口令驗證、PKI/CA數(shù)字證書認(rèn)證、時間段認(rèn)證、失敗次數(shù)認(rèn)證等。

（三）單點登錄。單點登錄（SSO）用戶單次登錄就可訪問所有相互信任的應(yīng)用系統(tǒng)。通過SSO建立與各應(yīng)用系統(tǒng)用戶的對照關(guān)系，實現(xiàn)眾多系統(tǒng)的單點登錄，登錄統(tǒng)一平臺后，用戶即可獲得相對應(yīng)訪問統(tǒng)一應(yīng)用平臺和應(yīng)用系統(tǒng)的授權(quán)。

（四）應(yīng)用系統(tǒng)數(shù)據(jù)集成。應(yīng)用系統(tǒng)數(shù)據(jù)集成是針對接入的應(yīng)用系統(tǒng)中的數(shù)據(jù)資源進(jìn)行聚集、關(guān)聯(lián)、變換和采集，整合形成統(tǒng)一的、有效的數(shù)據(jù)資源。

三、關(guān)鍵技術(shù)

（一）SOA總線數(shù)據(jù)集成技術(shù)?；赟OA的總線技術(shù)能顯著降低這種集成的復(fù)雜性。系統(tǒng)采用統(tǒng)一、標(biāo)準(zhǔn)的Adapter接口技術(shù)，通過SOA總線與應(yīng)用建立相互的連接。這樣每增加一個新應(yīng)用，只需按規(guī)范定制一個適配器（Adapter），就可實現(xiàn)與其它系統(tǒng)和應(yīng)用的數(shù)據(jù)集成。

（二）Web Services技術(shù)。采用Web Services技術(shù)，將應(yīng)用功能或業(yè)務(wù)過程構(gòu)造成有相應(yīng)粒度的服務(wù)組件。這些標(biāo)準(zhǔn)的服務(wù)組件按照統(tǒng)一的規(guī)范接口可以彼此“對話”，并可以在不同的業(yè)務(wù)流程中被重用。

（三）通用適配器技術(shù)。采用通用適配器技術(shù)，實現(xiàn)了統(tǒng)一的客戶化應(yīng)用服務(wù)接口，支持大多數(shù)主流的數(shù)據(jù)庫、消息中間件產(chǎn)品和通信協(xié)議，以及通過擴(kuò)展開發(fā)支持非標(biāo)準(zhǔn)的信息連接要求。

（四）CAS技術(shù)。CAS系統(tǒng)基于PKI技術(shù)提供安全可靠的實體認(rèn)證服務(wù)，可以為用戶提供集中、統(tǒng)一的身份認(rèn)證，同時為通過身份認(rèn)證的合法用戶簽發(fā)令牌，從而可以實現(xiàn)“單點登錄、多點漫游”的功能；支持多種認(rèn)證方式；另外統(tǒng)一認(rèn)證系統(tǒng)還提供多種接口，以方便和應(yīng)用系統(tǒng)的整合。

四、開發(fā)設(shè)計

系統(tǒng)開發(fā)采用JAVA語言、ECLIPSE開發(fā)工具和ORACLE 9I 數(shù)據(jù)庫。下面提供了統(tǒng)一認(rèn)證系統(tǒng)的開發(fā)接口示例，此接口支持PKI安全認(rèn)證，通過接口調(diào)用實現(xiàn)用戶登錄的標(biāo)識校驗和證書相關(guān)信息的獲取。

（一）loginCheck 用戶登錄函數(shù)

public static final AuthBrokerIF loginCheck（HttpServletRequest request， HttpServletResponse response） throws java.lang.Exception

驗證用戶登錄令牌，如果沒有發(fā)現(xiàn)令牌，則重定向到門戶進(jìn)行登錄， 登錄成功后，再重新返回到本接口。

（二）tokenCheck令牌有效性函數(shù)

public static final AuthBrokerIF tokenCheck（HttpServletRequest request， HttpServletResponse response）throws java.lang.Exception

驗證目前已經(jīng)登錄用戶的令牌是否繼續(xù)有效，當(dāng)用戶重新登錄后，前次登錄令牌將失效。

五、結(jié)束語

通過檢驗檢疫統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)，提供統(tǒng)一的身份認(rèn)證安全管理機(jī)制，制定規(guī)范、統(tǒng)一的接口標(biāo)準(zhǔn)；以平臺化實施集中資源，提供統(tǒng)一服務(wù)入口，實現(xiàn)一站式服務(wù)，解決多次登錄、應(yīng)用效率低下問題，為解決檢驗檢疫行業(yè)信息化中的“應(yīng)用孤島”問題提供了借鑒的解決方案。