淺談基于OAUTH2.0統(tǒng)一身份認(rèn)證的多應(yīng)用系統(tǒng)優(yōu)化

段粘粘，王益義

（浙江體育職業(yè)技術(shù)學(xué)院 體育系，浙江 杭州 310012）

0 引言

《國家中長期教育改革和發(fā)展規(guī)劃綱要》闡述：“充分利用優(yōu)質(zhì)資源和先進(jìn)技術(shù)，創(chuàng)新運(yùn)行機(jī)制和管理模式，整合現(xiàn)有資源，構(gòu)建先進(jìn)、高效、實(shí)用的數(shù)字化校園，推進(jìn)信息化校園建設(shè)”。職業(yè)教育的快速發(fā)展，校園信息化建設(shè)經(jīng)歷了從無到有再到優(yōu)，實(shí)現(xiàn)了質(zhì)的飛躍。校園網(wǎng)內(nèi)各種信息系統(tǒng)為師生用戶帶來了很大的便利，但隨著不同業(yè)務(wù)部門系統(tǒng)的不斷增多，信息共享和大數(shù)據(jù)融合就成了棘手問題。大部分職業(yè)院校起初對數(shù)字化校園建設(shè)缺乏整體性戰(zhàn)略規(guī)劃，相關(guān)業(yè)務(wù)系統(tǒng)僅滿足本部門的使用需求，造成用戶登錄賬號多個(gè)、密碼錯(cuò)誤、賬號密碼不對應(yīng)等問題。登錄信息不統(tǒng)一，給用戶帶來使用上的不便，增添管理層和系統(tǒng)管理員額外的工作量，還給機(jī)房存儲服務(wù)器造成很大負(fù)擔(dān)。因此，建設(shè)統(tǒng)一身份認(rèn)證平臺，用戶身份實(shí)行統(tǒng)一管理和認(rèn)證非常重要。其建設(shè)必要性大致如下：

（1）單點(diǎn)登陸模式，即通過一次登陸認(rèn)證即可登陸校園網(wǎng)內(nèi)所有應(yīng)用系統(tǒng)，提高使用者工作效率的同時(shí)減輕其工作任務(wù)，為日常辦公帶來極大的有效性；（2）通過統(tǒng)一認(rèn)證平臺操作賬號，避免賬號的遺漏、違建、不規(guī)則，數(shù)據(jù)誤刪除等操作，提高信息化安全性，滿足校園信息化安全建設(shè)要求；（3）對訪問行為進(jìn)行控制和審計(jì)，統(tǒng)計(jì)在一定周期內(nèi)惡意認(rèn)證賬號和暴力密碼猜解賬號及惡意認(rèn)IP，及時(shí)刪除休眠賬號、孤兒賬號等不符合規(guī)范要求的賬號，便于統(tǒng)一管理；（4）IT技術(shù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的擴(kuò)大，業(yè)務(wù)子系統(tǒng)和用戶數(shù)量的不斷增加，訪問控制和系統(tǒng)安全問題日漸突出，原有分散的“獨(dú)立認(rèn)證、獨(dú)立授權(quán)、獨(dú)立管理”模式已不滿足學(xué)校日益發(fā)展的需要；（5）統(tǒng)一身份認(rèn)證平臺還具有方便性、安全性、擴(kuò)展性、兼容性強(qiáng)等特點(diǎn)，符合政策監(jiān)管（GB/T 25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求）要求。

統(tǒng)一身份認(rèn)證管理平臺系統(tǒng)的實(shí)現(xiàn)，使學(xué)校的信息管理更加科學(xué)化、便捷化和信息化，解決各業(yè)務(wù)部門子系統(tǒng)之間信息不分享問題，打破信息化中的數(shù)據(jù)孤島現(xiàn)象，為學(xué)校信息化建設(shè)提供更加安全保障措施。為使用人員減輕負(fù)擔(dān)，為管理人員提供靈活、方便的操作，節(jié)約信息管理的成本，提高管理效率，創(chuàng)造良好工作氛圍。

1 技術(shù)介紹

本章節(jié)主要介紹認(rèn)證登錄技術(shù)、兩種不同的核心登陸方式、密碼加密技術(shù)、身份認(rèn)證功能、J2ee技術(shù)和審計(jì)管理。

1.1 認(rèn)證登錄技術(shù)

認(rèn)證登錄技術(shù)，登陸采用基于口令的認(rèn)證方法。用戶可以使用賬號密碼登錄、開啟免登錄、動態(tài)密碼登錄、二維碼掃描登錄、RTX集成登錄、聯(lián)合登錄（第三方聯(lián)合登陸，如：騰訊QQ、新浪微博、微信等）。認(rèn)證系統(tǒng)中存儲統(tǒng)一身份的技術(shù)主要借助LDAP（Lightweight Directory Access Protocol）技術(shù)，協(xié)助完成存儲用戶權(quán)限、身份認(rèn)證和信息識別[1]。

1.1.1 登錄方式一

動態(tài)密碼登錄實(shí)現(xiàn)需有短信網(wǎng)關(guān)，UCP接口或二次開發(fā)對接，在imp（Identity Management Platform）管控臺開啟配置短信網(wǎng)關(guān)。操作步驟大致如下：登陸imp管控臺，系統(tǒng)管理—>配置管理—>網(wǎng)關(guān)配置，設(shè)置ucp接口地址，開啟短信驗(yàn)證碼，如圖1所示；登錄配置策略，開啟動態(tài)密碼，其中動態(tài)密碼可配置化（支持不同組合方式，如純數(shù)字、大小寫字母與數(shù)字組合等），修改方法如圖2；最后綁定用戶通訊號碼。RTX集成登錄跟動態(tài)密碼登錄方式相似，不在詳細(xì)敘述。

圖1 imp 管控臺設(shè)置

圖2 配置策略

1.1.2 登錄方式二

聯(lián)合登錄，即借助第三方登錄方式，以學(xué)校為單位申請成為開發(fā)者，添加至統(tǒng)一身份認(rèn)證平臺，最后在imp管控臺配置即可完成，如圖3。

圖3 聯(lián)合登錄

1.2 加密算法

密碼加密采用多值擴(kuò)展加密方法[2]，該方法對認(rèn)證系統(tǒng)版本要求較高，適用于IDS6以上版本，優(yōu)點(diǎn)是可提供擴(kuò)展多個(gè)加密密碼字段，也可設(shè)置自定義加密方式。目前市場上的很多硬件只支持密文認(rèn)證或需要可解密密碼字段，同時(shí)LDAP工具自帶加密方式且不可逆，因此需要采用多值擴(kuò)展加密方法解決此弊端。實(shí)現(xiàn)算法如下：

1.3 身份認(rèn)證功能

身份認(rèn)證功能提供了認(rèn)證服務(wù)系統(tǒng)的核心服務(wù)，主要用于學(xué)校對所有使用者的數(shù)字化身份進(jìn)行登錄驗(yàn)證，其登錄界面包括PC端、手機(jī)端，并且為不同終端提供不同的登錄界面。通過統(tǒng)一認(rèn)證的登錄界面，系統(tǒng)對用戶輸入的賬號和密碼進(jìn)行認(rèn)證，進(jìn)而為集成的應(yīng)用系統(tǒng)提供訪問控制功能（SSO）[3]。認(rèn)證管理模塊主要提供對全校師生身份認(rèn)證需要集成應(yīng)用的管理功能，以及認(rèn)證統(tǒng)計(jì)的一些匯總，實(shí)際的身份認(rèn)證服務(wù)提供并不在此進(jìn)行，通過LDAP服務(wù)進(jìn)行。認(rèn)證應(yīng)用是用于管理全校已經(jīng)集成的所有系統(tǒng)，即每個(gè)集成的應(yīng)用系統(tǒng)均需要在此注冊，最終是所有應(yīng)用系統(tǒng)在認(rèn)證應(yīng)用中的功能清晰明了。認(rèn)證統(tǒng)計(jì)模塊主要展現(xiàn)平臺賬號的認(rèn)證情況，形成認(rèn)證成功和失敗日志，提供各個(gè)認(rèn)證細(xì)節(jié)的查詢，包括認(rèn)證的賬號、認(rèn)證時(shí)間、認(rèn)證IP等信息。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)如圖4、5。

圖4 認(rèn)證登錄邏輯結(jié)構(gòu)圖

圖5 認(rèn)證登錄物理結(jié)構(gòu)圖

1.4 J2ee技術(shù)

J2ee技術(shù)是統(tǒng)一身份認(rèn)證系統(tǒng)中的核心技術(shù)之一，它是 Java語言的企業(yè)級開發(fā)標(biāo)準(zhǔn)，是web應(yīng)用B/S網(wǎng)絡(luò)計(jì)算模式開發(fā)的核心技術(shù)，優(yōu)點(diǎn)在于可移植性高、安全性強(qiáng)[4]。統(tǒng)一身份認(rèn)證系統(tǒng)開發(fā)中借助J2ee技術(shù)，使得開發(fā)效果高，周期短，對運(yùn)行環(huán)境要求相對較低。J2ee技術(shù)和開放授權(quán)（Open Authorization，OAuth）的結(jié)合使得開發(fā)系統(tǒng)程序可以在異構(gòu)環(huán)境中進(jìn)行移植，不需要針對不同的部署環(huán)境單獨(dú)部署不同的程序。OAuth協(xié)議是第三方授權(quán)的開放標(biāo)準(zhǔn)，本文中的認(rèn)證系統(tǒng)是用的OAuth2.0，通過該標(biāo)準(zhǔn)可訪問某一系統(tǒng)應(yīng)用中的相關(guān)開放信息（如證件照、工號、辦公電話等）。OAuth2.0有五種不同的授權(quán)模式，分別是授權(quán)碼（authorization code）、簡化（implicit）、密碼（resource owner password credentials）、客戶端（client credentials）和擴(kuò)展（extension）模式[4]。采用雙認(rèn)證系統(tǒng)模式，其邏輯結(jié)構(gòu)圖如圖6。

圖6 oauth2.0 部署邏輯圖

1.5 審計(jì)管理

審計(jì)管理是系統(tǒng)管理員發(fā)現(xiàn)登錄賬號、認(rèn)證和授權(quán)中出現(xiàn)的一些問題，院?？勺远x審計(jì)的閾值來滿足個(gè)性化需求，主要分為賬號審計(jì)、認(rèn)證審計(jì)、授權(quán)審計(jì)和差異審計(jì)[5]。審計(jì)管理包括休眠賬號、孤兒賬號、密碼強(qiáng)度不符合要求的賬號和不規(guī)范賬號，通過賬號審計(jì)功能可查看詳情，解決異常賬號問題；惡意認(rèn)證、暴力破解賬號密碼和惡意認(rèn)證的IP地址可通過認(rèn)證審計(jì)解決；空組或無容器賬號，可通過授權(quán)審計(jì)查看詳情；LDAP丟失賬號和數(shù)據(jù)庫丟失賬號通過差異審計(jì)辨認(rèn)出差錯(cuò)；系統(tǒng)的實(shí)時(shí)運(yùn)行狀態(tài)可通過監(jiān)控管理查看各項(xiàng)服務(wù)運(yùn)行的可能性，其界面如圖7。

圖7 系統(tǒng)實(shí)時(shí)運(yùn)行狀態(tài)

2 系統(tǒng)實(shí)現(xiàn)的論述

系統(tǒng)設(shè)計(jì)的實(shí)現(xiàn)，主要包括方案規(guī)劃、系統(tǒng)設(shè)計(jì)、編碼規(guī)則、具體實(shí)施等方面，其中安全因素是首要準(zhǔn)則。系統(tǒng)采用瀏覽器/服務(wù)器（B/S）架構(gòu)，嚴(yán)格執(zhí)行身份認(rèn)證服務(wù)，實(shí)現(xiàn)手動、自動備份兩種模式，同時(shí)備份到服務(wù)器和客戶端，預(yù)防服務(wù)器癱瘓和硬盤損壞時(shí)造成的數(shù)據(jù)丟失。B/S架構(gòu)的優(yōu)勢在于部署簡單，方便用戶隨時(shí)隨地查看，權(quán)限層次分明，即不同身份人員權(quán)限不同。密碼規(guī)則采用非對稱（RSA）且不可逆解析加密方法（MD5）進(jìn)行加密，避免用戶使用跟銀行賬號、郵箱等相同密碼或弱密碼，造成因密碼泄露導(dǎo)致的相關(guān)損失[6-7]。

系統(tǒng)設(shè)計(jì)約束包括業(yè)務(wù)無關(guān)性、標(biāo)準(zhǔn)化規(guī)則、高安全性、可集成性、易用性、高穩(wěn)定性和開放性。業(yè)務(wù)無關(guān)性，與各個(gè)被保護(hù)的子系統(tǒng)相關(guān)業(yè)務(wù)邏輯無關(guān)，支持系統(tǒng)間的單點(diǎn)登錄，選擇性廣，完全基于J2EE技術(shù)研發(fā)；標(biāo)準(zhǔn)化規(guī)則，以國際認(rèn)證標(biāo)準(zhǔn)的CAS單點(diǎn)登陸方案為基調(diào)， 其中標(biāo)準(zhǔn)包括LDAP、OAuth、JASS、SSL等；高安全性指符合安全審計(jì)要求，通過安全等級保護(hù)測試，多種控制手段結(jié)合；可集成性是系統(tǒng)實(shí)現(xiàn)過程中最重要的一部分，對不同開發(fā)平臺和模式下的應(yīng)用系統(tǒng)實(shí)現(xiàn)認(rèn)證集成，接入方式簡單、易操作；高穩(wěn)定性，實(shí)時(shí)監(jiān)控設(shè)備結(jié)合自動預(yù)警方案；開放性指OAuth協(xié)議是目前互聯(lián)網(wǎng)普遍認(rèn)可且使用率最高的，通過身份認(rèn)證開放OAuth協(xié)議，且被騰訊、Facebook、Google等使用的開放標(biāo)準(zhǔn)。

系統(tǒng)配置和軟硬件配備，統(tǒng)一身份認(rèn)證服務(wù)系統(tǒng)在2臺服務(wù)器上分別部署Web服務(wù)+應(yīng)用系統(tǒng)、數(shù)據(jù)庫。從穩(wěn)定、可控性能上看，采用2臺刀片服務(wù)器，具體配置2CPU，32G內(nèi)存，2T*2硬盤以保證有足夠計(jì)算能力，運(yùn)算空間和數(shù)據(jù)安全，采用Linux服務(wù)器版操作系統(tǒng)。軟硬件配置清單如表1。

表1 統(tǒng)一身份認(rèn)證系統(tǒng)軟硬件配置

3 結(jié)語

本文以上海工程技術(shù)大學(xué)高職學(xué)院為例，研發(fā)基礎(chǔ)OAUTH2.0統(tǒng)一身份認(rèn)證的多應(yīng)用系統(tǒng)，很大程度上滿足了師生的日常工作、學(xué)習(xí)需求。經(jīng)過6個(gè)月的上線試運(yùn)行，系統(tǒng)穩(wěn)定、安全性高、可用性強(qiáng)、兼容性強(qiáng)和界面友好等優(yōu)化功能。