基于企業(yè)目錄的統(tǒng)一認證與應用互訪技術的實現(xiàn)

陳哲 李燁 楊盛楠

一、概述

（一）現(xiàn)狀概述

隨著大中型集團公司信息化工作的不斷推進，集團內(nèi)總部與下屬成員單位均在積極推進各級應用系統(tǒng)的信息集成、流程協(xié)作等工作，但由于用戶資源、認證資源、信息資源整合缺失或不一致等問題，現(xiàn)有各應用系統(tǒng)普遍存在用戶管理分散、認證分散、信息展示分散的問題。

與此同時，通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)的安全性也日益受到人們的關注，特別是對于一些涉及國家安全的重要單位，傳統(tǒng)的身份認證系統(tǒng)在安全性方面已難以適應其提出的越來越高的要求，這是因為傳統(tǒng)的基于用戶名+口令的身份認證方式在網(wǎng)絡中是以明文的形式傳遞，沒有采取必要的安全防護措施來保證數(shù)據(jù)在本地以及網(wǎng)絡中的安全。采用這種認證方式的應用系統(tǒng)的安全性較差，這就使得數(shù)據(jù)面臨著被截獲、篡改、破壞的危險，甚至會產(chǎn)生不法份子利用系統(tǒng)進行欺騙等不良行為。

（二）建設目標

建設集團級企業(yè)目錄，作為全集團IT系統(tǒng)的基礎用戶信息庫以及全國證書用戶的證書信息，并基于規(guī)范的數(shù)據(jù)結(jié)構定義，實現(xiàn)集團和下屬單位兩級目錄的用戶數(shù)據(jù)同步。

通過規(guī)范總部與下屬單位各自的統(tǒng)一用戶管理系統(tǒng)，建立統(tǒng)一用戶管理體系，結(jié)合用戶生命周期管理，實現(xiàn)企業(yè)目錄數(shù)據(jù)的管理。

在企業(yè)目錄和統(tǒng)一用戶管理的基礎上，建設企業(yè)統(tǒng)一認證平臺，實現(xiàn)企業(yè)門戶和應用系統(tǒng)的安全認證、單點登錄和訪問控制；構建集團統(tǒng)一認證體系，實現(xiàn)兩級門戶互訪以及門戶和集團級應用的單點登錄，滿足門戶信息共享、流程協(xié)作等互聯(lián)互通應用安全需求。

二、設計方案

（一）總述

集團企業(yè)目錄統(tǒng)一認證及統(tǒng)一身份管理體系主要包括企業(yè)目錄、統(tǒng)一認證平臺、統(tǒng)一用戶管理三部分組成，同時，為保證身份認證的安全性，公鑰基礎設施通過可信第三方——認證中心（Certificate Authority， CA）引入了數(shù)字證書的概念。

企業(yè)目錄是門戶及應用系統(tǒng)的基礎用戶信息庫，包括用戶、組織機構、群組、角色、崗位等數(shù)據(jù)。通過建立規(guī)范化的數(shù)據(jù)結(jié)構，實現(xiàn)目錄數(shù)據(jù)的同步，為統(tǒng)一認證、縱向互聯(lián)提供數(shù)據(jù)支撐。

統(tǒng)一用戶管理系統(tǒng)實現(xiàn)對企業(yè)目錄的數(shù)據(jù)管理，并提供企業(yè)用戶目錄和應用系統(tǒng)之間的數(shù)據(jù)同步管理。

統(tǒng)一認證平臺是在建立企業(yè)目錄之上，提供對企業(yè)門戶及應用系統(tǒng)的安全認證、單點登錄、訪問控制等安全支撐。

通過統(tǒng)一認證平臺，實現(xiàn)集團、總部及各下屬成員單位門戶及應用系統(tǒng)間的互訪單點登錄，提供縱向互聯(lián)互通應用的安全支撐，滿足門戶縱向信息互訪、流程協(xié)作等應用需求。如圖1所示。

（二） 企業(yè)目錄

1.概述

建設集團級統(tǒng)一的企業(yè)目錄，總部與各下屬單位分別建設本地用戶目錄系統(tǒng)，通過自上而下和自下而上相結(jié)合的方式，進行集團企業(yè)目錄和集團總部目錄、各下屬單位目錄定時同步。自上而下方式用于集團統(tǒng)一定義的規(guī)范數(shù)據(jù)，如數(shù)據(jù)字典等的同步，自下而上方式用于同步各下屬單位節(jié)點到集團企業(yè)目錄，如圖2所示。

2.目錄的同步設計

集團目錄的同步主要包含以下幾個步驟：

下屬單位用戶目錄到集團目錄：把下屬單位用戶目錄中部分用戶的部分屬性信息同步到集團目錄中。這部分復制工作的主要目的是為了實現(xiàn)下屬單位用戶到集團門戶的單點登錄功能。

總部用戶目錄到集團目錄：把總部用戶目錄中部分用戶的部分屬性信息同步到集團目錄中。這部分復制工作的主要目的是為了實現(xiàn)總部用戶到集團門戶的單點登錄功能。

集團目錄到下屬單位用戶目錄：把存放在集團目錄中的總部用戶信息同步到下屬單位用戶目錄中。這部分復制工作的主要目的是為了實現(xiàn)總部用戶到下屬單位門戶的單點登錄功能。如圖3所示。

除了基于目錄的同步外，考慮到有些下屬單位沒有建立企業(yè)目錄，或者對于企業(yè)目錄的改造不易實現(xiàn)，那么全國目錄提供了同步接口，下屬成員單位可以在本單位統(tǒng)一用戶管理系統(tǒng)中進行全國目錄同步接口的調(diào)用。這種方式也可以實現(xiàn)下屬成員單位用戶管理系統(tǒng)和全國目錄的同步。

（三） 統(tǒng)一用戶管理系統(tǒng)

1.概述

統(tǒng)一用戶管理系統(tǒng)作為集團公司總部和各下屬成員單位的用戶基礎設施， 實現(xiàn)對企業(yè)目錄的同步管理，可作為企業(yè)門戶等應用的用戶數(shù)據(jù)源，為其他應用系統(tǒng)提供用戶同步，同時可擴展支持從現(xiàn)有的HR、OA等系統(tǒng)導入用戶。如圖4所示。

總部與下屬單位分別建立各自統(tǒng)一用戶管理系統(tǒng)，通過統(tǒng)一用戶管理系統(tǒng)管理操作各自的目錄服務，并基于目錄服務的向上同步復制機制形成全國目錄服務?？偛颗c下屬單位可以通過CA提供的接口，為統(tǒng)一用戶管理系統(tǒng)中的用戶申請數(shù)字證書，并將用戶數(shù)字證書同步到本地，與用戶建立關聯(lián)關系。

（四） 統(tǒng)一認證平臺

集團統(tǒng)一認證平臺基于集團企業(yè)目錄，實現(xiàn)對于集團級應用系統(tǒng)的統(tǒng)一認證和單點登錄。集團統(tǒng)一認證平臺提供證書認證和短信認證兩種強認證方式，對于證書認證，需要建立企業(yè)級CA認證體系。同時，該平臺也對實現(xiàn)縱向互聯(lián)互通應用提供支撐。

由于目前大部分集團總部和下屬單位IT系統(tǒng)的管理相對獨立，可以視為同級。企業(yè)門戶與OA系統(tǒng)分為集團、總部和成員單位兩級架構部署，并實現(xiàn)兩級之間的信息互訪。統(tǒng)一認證平臺提供門戶與應用的集成、門戶間的互訪，也同樣采用兩級架構進行部署。圖5是基于統(tǒng)一認證平臺的兩級體系架構示意圖。

集團、總部和各下屬單位兩級認證平臺實現(xiàn)互訪認證。通過互訪認證機制，實現(xiàn)集團、總部和各下屬單位兩級應用之間的單點登錄，并完成總部和各下屬單位應用到全集團性應用的單點登錄。

（五）企業(yè)級CA認證體系

根據(jù)系統(tǒng)安全認證體系建設的實際需求，CA認證體系整體設計將采用以下的設計思路。

1.“雙中心、雙證書、雙密鑰”機制

雙中心則是指證書管理中心與密鑰管理中心，雙證書是指簽名證書和加密證書，雙密鑰是指簽名密鑰和加密密鑰。

密鑰管理中心負責向證書管理中心提供密鑰管理服務，而證書管理中心則具體的向用戶提供證書業(yè)務服務和證書認證服務。雙證書中的加密證書對應加密密鑰，簽名密鑰用于數(shù)字簽名（具有保證行為不可抵賴性功能），加密密鑰用于信息加密。簽名密鑰歸用戶獨自擁有。簽名證書和加密證書一起保存在用戶的證書載體中，這樣既解決了密鑰恢復問題，又保證了行為的不可抵賴性。

2.“集中式生產(chǎn)、分布式服務”模式

根據(jù)CA認證體系的建設要求，CA體系采用集中式生產(chǎn)、分布式服務模式，即證書的生產(chǎn)（簽發(fā)、發(fā)布、管理、撤銷等）集中在管理中心執(zhí)行，而證書的申請、注冊、審核等則由分布的證書審核注冊系統(tǒng)執(zhí)行，以提高系統(tǒng)服務效率。這種服務模式的實現(xiàn)需要與證書業(yè)務服務系統(tǒng)建設策略緊密結(jié)合。

3.系統(tǒng)可伸縮動態(tài)平滑配置

CA認證體系要滿足證書業(yè)務量的運行要求，并可根據(jù)將來業(yè)務量的增長而逐步擴展。證書業(yè)務服務系統(tǒng)具有動態(tài)平滑可擴展能力，可根據(jù)業(yè)務量的改變動態(tài)調(diào)整證書業(yè)務服務系統(tǒng)的業(yè)務能力。

三、 兩級互訪技術方案

（一）概述

信息的共享及互訪是縱向互聯(lián)互通的重要內(nèi)容，主要包括如下三類互訪需求：

集團門戶、總部門戶和下屬單位門戶之間互訪；

從總部、下屬單位門戶單點訪問集團級應用；

通過集團統(tǒng)一認證平臺直接訪問集團級應用。

信息互訪基于集團企業(yè)目錄實現(xiàn)，信息互訪支持靜態(tài)密碼、數(shù)字證書、短信動態(tài)密碼等多種認證方式。CA數(shù)字證書作為一種已經(jīng)使用的強認證方式，滿足特定應用場景的高安全性需求。信息互訪憑證可以采用數(shù)字證書或者用戶主賬號名標識，身份憑證傳輸過程通過數(shù)字證書加密保證安全性。同時，信息互訪支持安全訪問策略的設定，被訪問的應用可以根據(jù)用戶的身份、用戶采用的認證方式等因素，決定是否允許互訪或是否進行二次認證。

（二）兩級互訪

通過兩級互訪訪問控制服務器實現(xiàn)門戶間的單點登錄。當用戶進行互訪時，由互訪發(fā)起端的兩級互訪訪問控制服務器獲取當前用戶身份，生成互訪唯一憑證，并將憑證加密傳遞到被訪問端兩級互訪訪問控制服務器，被訪問端驗證用戶身份，并按照設定的授權策略進行訪問控制，被訪問端訪問控制服務器通過和本地統(tǒng)一認證平臺的交互，完成和門戶的單點登錄。

企業(yè)目錄提供用戶信息查詢服務，兩級互訪訪問控制服務器和認證平臺可以通過單點登錄傳遞的身份唯一憑證，從企業(yè)目錄查詢用戶職務、部門、群組等信息?？偛块T戶訪問下屬單位門戶，互訪基本流程如圖6所示。

（三）總部、成員單位訪問集團級應用

從門戶到集團級應用的單點訪問通過互訪認證來實現(xiàn)，互訪認證由集團統(tǒng)一認證平臺和兩級互訪訪問控制服務器提供。

基于企業(yè)目錄建設集團統(tǒng)一認證平臺，實現(xiàn)對集團級應用的統(tǒng)一認證和單點登錄，同時在集團級應用域內(nèi)也需部署兩級互訪訪問控制服務器。兩級互訪訪問控制服務器實現(xiàn)訪問身份憑證的傳遞，統(tǒng)一認證平臺完成應用的單點登錄。

在進行訪問時，兩級互訪訪問控制服務器之間主要傳遞的是用戶身份信息，由于集團企業(yè)目錄和下屬單位、總部的結(jié)構是一致的，并且包含總部和下屬單位目錄數(shù)據(jù)。集團兩級互訪訪問控制服務器器獲取到訪問用戶的身份憑證后，可以在集團目錄中找到用戶的身份及部門、角色、群組等信息，對此進行訪問控制策略的判定。在策略通過之后，由于統(tǒng)一認證平臺已經(jīng)和各應用系統(tǒng)實現(xiàn)了SSO，因此就可以訪問相關應用了。

應用需要在自身系統(tǒng)中創(chuàng)建用戶賬號以實現(xiàn)用戶的訪問授權，或者通過角色賬號實現(xiàn)某一類用戶的訪問授權。

不同于門戶間互訪流程，從總部、下屬單位門戶訪問集團級應用時，最終通過集團統(tǒng)一認證平臺登錄到應用系統(tǒng)。下屬單位門戶訪問集團級應用，流程如圖7所示。

（四）通過統(tǒng)一認證平臺直接訪問集團級應用

基于企業(yè)目錄建設集團統(tǒng)一認證平臺，實現(xiàn)對集團級應用的統(tǒng)一認證和單點登錄，同時在集團級應用域內(nèi)也需部署單點登錄服務。單點登錄服務實現(xiàn)訪問身份憑證的傳遞，統(tǒng)一認證平臺完成應用的單點登錄。

在進行訪問時，統(tǒng)一認證平臺獲取到訪問用戶的身份憑證后，可以在全國目錄中找到用戶的身份及部門、角色、群組等信息，對此進行訪問控制策略的判定。在策略通過之后，由于統(tǒng)一認證平臺已經(jīng)和各應用系統(tǒng)實現(xiàn)了SSO，因此就可以訪問相關應用了。

用戶直接訪問集團級應用時，通過全國統(tǒng)一認證平臺登錄到應用系統(tǒng)，流程如圖8所示。

四、結(jié)語

隨著全社會信息技術的不斷發(fā)展，如何在確保信息安全的前提下解決企業(yè)內(nèi)部身份認證分散，充分利用信息資源，避免信息孤島等問題成為一個亟待解決的問題。本文以傳統(tǒng)的信息安全技術為前提，以最新的信息體統(tǒng)基礎架構為背景，在同一解決單位內(nèi)部身份認證的同時，著力解決企業(yè)內(nèi)部，特別是跨區(qū)域的大中型企業(yè)內(nèi)部的應用系統(tǒng)與認證中心之間統(tǒng)一用戶同步與單點登錄的問題，從而解決企業(yè)內(nèi)部不同單位間的系統(tǒng)互訪問題，在大大提高單位信息系統(tǒng)使用效率的同時，促進單位信息化建設的規(guī)范性與時效性。

作者單位：核工業(yè)理化工程研究院