基于統(tǒng)一身份認(rèn)證的信息系統(tǒng)整合實(shí)踐研究

張 楠

（中國信息通信研究院 信息管理中心，北京 100191）

0 引言

在信息系統(tǒng)整合的過程中，需要重點(diǎn)匯集身份認(rèn)證、授權(quán)、審計(jì)方案，落實(shí)多用戶的身份表示以及認(rèn)證信息的升級(jí)，統(tǒng)一審計(jì)信息系統(tǒng)中存在的問題，給用戶落實(shí)統(tǒng)一的身份認(rèn)證以及一站式的信息聚合服務(wù)，確保整個(gè)信息系統(tǒng)的運(yùn)行高效、便捷、安全[1]。

1 踐行統(tǒng)一身份認(rèn)證信息體系的整體方案搭建

1.1 統(tǒng)一門戶網(wǎng)站的功能設(shè)計(jì)以及優(yōu)化

本文進(jìn)行統(tǒng)一用戶網(wǎng)站系統(tǒng)設(shè)計(jì)、建設(shè)以及認(rèn)證，突出信息資源系統(tǒng)的綜合性能。基于用戶的個(gè)性化需求，優(yōu)化使用單點(diǎn)登錄功能、整合功能、個(gè)性化服務(wù)[2]，能夠通過網(wǎng)頁設(shè)計(jì)以及應(yīng)用入口來搭建整個(gè)網(wǎng)站體系以及網(wǎng)絡(luò)頁面，使得用戶能夠經(jīng)過一次身份認(rèn)證就可以順利拿到對(duì)應(yīng)數(shù)據(jù)的訪問權(quán)限。

1.2 統(tǒng)一用戶身份管理系統(tǒng)的設(shè)計(jì)

筆者在統(tǒng)一身份認(rèn)證信息系統(tǒng)建設(shè)以及功能完善的過程中，對(duì)于身份認(rèn)證的各種使用環(huán)境建立統(tǒng)一的身份管理體系[3]，例如用戶基本信息搜集以及存儲(chǔ)、組織機(jī)構(gòu)信息存儲(chǔ)和分析、認(rèn)證權(quán)限的管理等。統(tǒng)一用戶信息系統(tǒng)的系統(tǒng)辦公在自動(dòng)化用戶管理中作為系統(tǒng)架構(gòu)的基礎(chǔ)，直接對(duì)應(yīng)并實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫的辦公自動(dòng)化、用戶數(shù)據(jù)自動(dòng)化。網(wǎng)絡(luò)系統(tǒng)要提高網(wǎng)站信息的標(biāo)識(shí)度，集中進(jìn)行密碼的管理以及系統(tǒng)的優(yōu)化。在網(wǎng)站運(yùn)營的過程中，減少弱口令、過期密碼等問題的發(fā)生。在網(wǎng)站業(yè)務(wù)功能整合的過程中，建立辦公自動(dòng)化系統(tǒng)，提煉其便利性，達(dá)成信息的自動(dòng)化管理以及系統(tǒng)的逐一操作[4]。

1.3 統(tǒng)一身份認(rèn)證平臺(tái)的搭建

在進(jìn)行統(tǒng)一身份認(rèn)證平臺(tái)搭建以及設(shè)計(jì)的過程中，要將其看作一個(gè)獨(dú)立的網(wǎng)站系統(tǒng)。對(duì)身份認(rèn)證、安全管理、賬號(hào)信息保存、權(quán)限設(shè)定以及統(tǒng)一功能的認(rèn)定，逐步構(gòu)建完整的網(wǎng)站功能體系。統(tǒng)一身份認(rèn)證平臺(tái)要對(duì)整個(gè)網(wǎng)站信息進(jìn)行現(xiàn)有系統(tǒng)的認(rèn)定，升級(jí)用戶權(quán)限的認(rèn)定，統(tǒng)一功能的升級(jí)、優(yōu)化，最終提升網(wǎng)站的整體使用體驗(yàn)[5]。統(tǒng)一身份認(rèn)證平臺(tái)設(shè)計(jì)的總體架構(gòu)包括了展現(xiàn)層、業(yè)務(wù)層、數(shù)據(jù)層以及存儲(chǔ)層，如圖1所示。

圖1 統(tǒng)一身份認(rèn)證平臺(tái)的架構(gòu)設(shè)計(jì)

統(tǒng)一身份認(rèn)證平臺(tái)架構(gòu)中的展現(xiàn)層主要是從Web應(yīng)用端和移動(dòng)應(yīng)用端兩個(gè)端口入手，直接呈現(xiàn)給用戶，所應(yīng)用的技術(shù)包括了JSP，JavaScript，HTML5以及Portal等技術(shù)，用戶在登錄網(wǎng)站和小程序端口的時(shí)候可以直接呈現(xiàn)出來[6]。

在平臺(tái)架構(gòu)的業(yè)務(wù)層，將用戶的登錄端口與業(yè)務(wù)系統(tǒng)中的各個(gè)賬號(hào)一一對(duì)應(yīng)，同步賬號(hào)與業(yè)務(wù)接口之間的關(guān)系，形成基于業(yè)務(wù)系統(tǒng)的本地用戶管理體系。統(tǒng)一身份認(rèn)證的管理系統(tǒng)利用的是動(dòng)態(tài)密碼、PKI證書、生物認(rèn)證技術(shù)等，進(jìn)行全部的登錄過程認(rèn)證。本系統(tǒng)基于當(dāng)代信息系統(tǒng)運(yùn)用的需求，綜合用戶登錄權(quán)限管理、靜態(tài)密碼存儲(chǔ)、動(dòng)態(tài)密碼更新、數(shù)字證書下發(fā)以及二維碼登錄方式的建立，組合多重認(rèn)證形式以及組合提高方式，不斷落實(shí)身份認(rèn)證的要求以及業(yè)務(wù)系統(tǒng)升級(jí)的需求。在移動(dòng)網(wǎng)站支持下，本系統(tǒng)不斷強(qiáng)化數(shù)字證書的功能應(yīng)用，提升網(wǎng)站權(quán)限管理的能力以及訪問功能的建立，逐步搭建出完整的統(tǒng)一身份認(rèn)證平臺(tái)。

數(shù)據(jù)交換層搭建了業(yè)務(wù)系統(tǒng)的服務(wù)體系，完成了服務(wù)的集成及協(xié)調(diào)。統(tǒng)一認(rèn)證平臺(tái)的數(shù)據(jù)交換層在建設(shè)的過程中運(yùn)用了Oauth2，CAS，SAML等多元化的單點(diǎn)協(xié)議，完善了單點(diǎn)認(rèn)證系統(tǒng)。在進(jìn)行B/S架構(gòu)搭建以及認(rèn)證設(shè)計(jì)的過程中，用戶系統(tǒng)設(shè)定了訪問限制，推動(dòng)二次結(jié)構(gòu)以及認(rèn)證功能的實(shí)現(xiàn)。集成網(wǎng)站接口使用了http以及https的通信協(xié)議，實(shí)現(xiàn)了Retful風(fēng)格的建立，并在這一過程中使用了API接口。

存儲(chǔ)層包括了網(wǎng)站信息系統(tǒng)的數(shù)據(jù)庫，例如在網(wǎng)站搭建的過程中常用MySQL數(shù)據(jù)庫系統(tǒng)以及LDAP數(shù)據(jù)庫，借助數(shù)據(jù)庫系統(tǒng)能力的搭建實(shí)現(xiàn)數(shù)據(jù)的全方位管理，并對(duì)各類數(shù)據(jù)業(yè)務(wù)進(jìn)行分類存儲(chǔ)以及運(yùn)用分析，生成用戶信息的存儲(chǔ)和管理中心，包括日常業(yè)務(wù)的管理、網(wǎng)站管理日志等。

1.4 統(tǒng)一身份認(rèn)證信息的安全系統(tǒng)功能設(shè)計(jì)

網(wǎng)站系統(tǒng)功能設(shè)計(jì)以及搭建，要綜合網(wǎng)站的各類業(yè)務(wù)，設(shè)計(jì)系統(tǒng)訪問權(quán)限、登錄以及退出功能，落實(shí)關(guān)鍵業(yè)務(wù)操作，強(qiáng)化網(wǎng)站信息系統(tǒng)的記錄、審計(jì)以及安全保障的分析能力以及功能。

網(wǎng)站審計(jì)的設(shè)計(jì)要支持時(shí)間查詢，針對(duì)用戶的每一個(gè)信息賬號(hào)、訪問權(quán)限、訪問日期以及訪問日志等使用痕跡，逐步完善系統(tǒng)的追蹤，實(shí)現(xiàn)安全審查以及信息的編輯，一旦發(fā)現(xiàn)網(wǎng)站信息系統(tǒng)中出現(xiàn)非法操作、非法登錄等都會(huì)及時(shí)采取措施，進(jìn)行差異化的分析以及操作響應(yīng)等。在審計(jì)功能設(shè)計(jì)的過程中，為了實(shí)現(xiàn)系統(tǒng)的安全，對(duì)審計(jì)信息設(shè)計(jì)要做防篡改的處理，防止人為修改的情況出現(xiàn)，一旦出現(xiàn)試圖修改審計(jì)信息的情況，就會(huì)對(duì)信息系統(tǒng)采取特殊的存儲(chǔ)處理，將網(wǎng)站的管理結(jié)果以最直觀的方式呈現(xiàn)在管理人面前。

2 統(tǒng)一身份認(rèn)證平臺(tái)系統(tǒng)的功能的優(yōu)化

對(duì)于統(tǒng)一認(rèn)證信息系統(tǒng)平臺(tái)的建設(shè)，認(rèn)證管理平臺(tái)要從幾個(gè)角度進(jìn)行改善：

（1）傳統(tǒng)的CAS模式的網(wǎng)絡(luò)接口實(shí)現(xiàn)方式，從基礎(chǔ)的CAS Server功能到CAS Client的系統(tǒng)功能對(duì)接，進(jìn)行CAS Server系統(tǒng)的獨(dú)立設(shè)計(jì)，承擔(dān)起客戶端資源保護(hù)以及訪問權(quán)限管理的工作責(zé)任。在系統(tǒng)登錄后，重新認(rèn)定CAS Server系統(tǒng)，具體的定位流程如圖2所示。

圖2 傳統(tǒng)CAS模式單點(diǎn)登錄對(duì)接流程

（2）布置CAS客戶端與網(wǎng)站中需要受保護(hù)的客戶端系統(tǒng)時(shí)，應(yīng)當(dāng)都以Filter操作功能的信息資源保護(hù)方式進(jìn)行操作。對(duì)每一個(gè)訪問受限的Web請(qǐng)求進(jìn)行用戶憑證的設(shè)計(jì)，在網(wǎng)絡(luò)請(qǐng)求發(fā)起的過程中指定CAS服務(wù)端登錄網(wǎng)址，并將其傳遞給Service。在此基礎(chǔ)上，根據(jù)網(wǎng)站信息系統(tǒng)的個(gè)性化功能改良CAS流程，搭建一個(gè)網(wǎng)站頁面進(jìn)行統(tǒng)一身份認(rèn)證信息參數(shù)的處理以及應(yīng)用，實(shí)現(xiàn)網(wǎng)站驗(yàn)證需求的落實(shí)，并在未來用戶可以順利登錄，操作流程如圖3所示。

圖3 操作流程

對(duì)上述操作界面，用戶基于客戶端實(shí)現(xiàn)登錄操作，并在統(tǒng)一身份認(rèn)證信息系統(tǒng)中利用單擊的操作完成，將SSO功能應(yīng)用到未來的統(tǒng)一身份認(rèn)證系統(tǒng)中，并進(jìn)行url參數(shù)的上傳。

使用統(tǒng)一認(rèn)證信息系統(tǒng)平臺(tái)進(jìn)行用戶身份的認(rèn)證以及核查，要采用回調(diào)的方式進(jìn)行數(shù)據(jù)校驗(yàn)，核對(duì)用戶的憑證以及身份。如果校驗(yàn)結(jié)果是成功的，則會(huì)返回用戶信息；如果校驗(yàn)失敗，將會(huì)收到登錄失敗的提示。

3 結(jié)語

在信息時(shí)代，網(wǎng)站的應(yīng)用以及信息的管理有效擴(kuò)展了社會(huì)的認(rèn)可度以及接受度，通過網(wǎng)站信息系統(tǒng)的安全建設(shè)，優(yōu)化風(fēng)險(xiǎn)管理，統(tǒng)一身份認(rèn)證信息系統(tǒng)的應(yīng)用以及優(yōu)化成為一種必然。統(tǒng)一身份認(rèn)證信息系統(tǒng)的設(shè)計(jì)以及運(yùn)用，使網(wǎng)站經(jīng)過信息系統(tǒng)的整合以及多個(gè)層面的應(yīng)用，既提升用戶的體驗(yàn)，又規(guī)范網(wǎng)站信息系統(tǒng)的管理以及后續(xù)的推廣，不僅提升了網(wǎng)站的管理安全性，還提升了用戶管理、開發(fā)人員以及管理人員的統(tǒng)一管理協(xié)調(diào)性，便于業(yè)務(wù)系統(tǒng)的升級(jí)以及更替，推動(dòng)更加規(guī)范的網(wǎng)站管理體系建設(shè)。