电力企业中目录认证服务系统的设计与实现

2014-05-02顾杨青景栋盛

山东农业大学学报（自然科学版） 2014年2期

顾杨青,景栋盛,周堃

苏州供电公司,江苏苏州 215004

“十一五”期间，江苏省电力公司围绕公司发展的总体目标，全面推动企业级信息化建设，按照“数据共享、流程互通、门户集成”的目标，构建了由信息网络、数据交换、数据中心、应用集成、企业门户五个部分组成的一体化企业级信息化集成平台（以下简称“一体化平台”）[1]。目录认证服务系统作为一体化平台中应用集成部分的重点项目，提供了跨平台身份信息存储管理和认证支持功能，是统一身份管理系统所依赖的主要支撑技术，在省公司范围内企业门户和大部分应用系统的统一访问入口，提供了对用户身份的集中认证功能，是贯穿一体化平台各个应用系统的一条主线。

1 设计目标和原则

1.1 设计目标

江苏省电力公司的目录认证服务系统的设计目标是实现江苏目录与国网目录的实时双向同步；减少目录的运维工作量，规范目录的管理与监控；为企业的信息化业务应用提供安全可靠的认证服务；实现与国网认证的无缝级联；降低业务应用接入的改造工作量。

1.2 设计原则和思路

目录认证服务系统的设计原则为六统一原则，即统一领导、统一规划、统一调研、统一设计、统一验证和统一标准的原则[2]。

首先需要对江苏省电力公司的信息化建设现状、复杂性、差异性进行全面、深入的理解，为今后建设实施提供可靠、实用的系统功能依据，并且在设计中要合理考虑节约系统建设成本和简化后期运维管理。

系统设计时，考虑采用国际先进的技术路线，基于先进的系统架构，结合国内外成功先例的设计经验，从根本上保证了系统运行的高效、稳定、安全，并充分考虑系统的实用、灵活、易用、易维护和可扩展性以及与其它应用系统的集成[3]。考虑到未来系统进一步完善和增强系统功能的需要及各建设单位应用系统的差异性，设计时需要考虑扩展基础。

目前江苏省电力公司，拥有多个系统，在未来也会继续建设新的应用系统，因此在设计时必须着重考虑、解决与现有以及未来建设的相关应用系统间的集成问题，要在新建系统和历史遗留系统两个层面进行全面的考虑，采用灵活、实用的系统设计方法，既着眼于今后的应用建设，又能有效地、最大程度地将现有系统信息和系统资源整合起来，避免“信息孤岛”的发生和资源的浪费[4]。

设计同时要着重考虑系统长期7×24 h运行的稳定性，对设计中的关键组件应灵活采用双机热备HA和Cluster集群等高可用性方案，并提供较完善的备份恢复策略，较好地解决单点故障和系统灾难问题[5]。同时也需要考虑系统安全，在系统监控、数据通信、物理部署等多个层面上落实系统的安全性原则。设计必须要遵循各种标准的设计方法和原则，在架构、结构、数据、接口等多个层面上形成今后建设实施的参照标准，并提供对相关标准协议的支持。

2 系统功能简介

2.1 整体架构

江苏省电力公司目录认证服务系统严格遵循国家电网公司目录系统典型设计的要求，由目录子系统、身份管理子系统和认证子系统三个子系统构成[6]，用于实现江苏省电力公司全省范围内基于目录子系统的用户集中管理、基于身份管理子系统的应用系统帐号管理，以及基于认证子系统的单点登录、访问控制[7]。依据江苏省电力公司本部与下级地市公司的网络基础设施、人员管理要求、应用系统分布等实际情况，江苏省电力公司全省目录服务系统可采用全省集中部署架构[8]。

图1 目录服务系统全省集中部署整体架构Fig.1 The provincial centralized deployment architecture of directory service system

2.2 目录子系统

目录子系统包括“身份目录”、“企业资源目录”、“认证目录”3个目录系统，其中“身份目录”保存了省电力公司本部与各地市公司范围内最为完整、准确、及时的用户身份等信息。身份目录通过IDM将用户身份及必要的属性信息复制到企业资源目录与认证目录[9,10]。

根据江苏省电力公司本部与下级地市公司的网络基础设施、人员管理要求、应用系统分布等实际情况，江苏省电力公司的目录子系统应采用多种架构。对于网络基础设施良好的地市公司，可以直接使用全省大集中的目录系统，此时地市公司的组织机构、用户等信息统一存放在江苏省电力公司的身份目录中。对于网络基础设施较差、或要求地市公司对自身人员信息进行管理、或存在网省/地市两级部署的应用系统的地市公司，可以考虑建设地市级的身份目录，通过IDM，将地市身份目录中的身份信息同步到省公司本部的身份目录[10]。

身份目录作为身份同步相关信息的中转站与统一的集中点，是身份同步引擎的基础所在。在其中保存着最为权威、全面的身份、管理与策略信息。

认证目录的功能是提供用户身份认证服务，保存有用户认证所需的数据，是身份目录的子集，主要从访问效率与性能等方面来考虑[11]。

企业资源目录用于层次化展现、分级管理与授权，其保存有全面的用户组织架构、授权、角色等数据。此外，可利用企业资源目录，实现对借调用户、非员工用户（如临时人员、合作伙伴等）的创建、管理与维护[12]。

目录系统服务器软件将采用Novell公司的eDirectory目录服务器产品（前身为NDS）[7]。

2.3 身份管理子系统

身份管理子系统提供了身份数据同步引擎，身份目录是身份管理系统同步交换用户身份数据的中心，也称为身份库（Identity Vault），通过设计身份目录与应用系统、其它目录之间的同步驱动，可实现将权威数据源系统（如统一框架系统）中管理的员工信息或企业资源目录中管理的非员工用户信息同步至身份目录，再将用户信息同步（创建、更新、删除/禁用）至各应用系统。从而实现应用系统帐号的自动创建、变更、删除/禁用，取代现有的人工方式的帐号管理模式。同时，身份管理系统能将关键事件等日志信息存储在数据库中，供日后审计[13]。

图2 江苏省电力公司身份管理系统架构Fig.2 Architecture of identity management system in Jiangsu Electric Power Company

身份管理系统软件将采用Novell公司的Identity Manager身份管理服务器产品（前身为DirXML）。

2.4 认证子系统

如图1所示，根据江苏省电力公司的机构地理分布、应用系统部署、网络状况等实际需求，江苏省电力公司的认证系统采用省集中部署架构设计。

省公司的认证系统提供了对公司范围内用户身份的统一认证和访问控制，以认证目录作为用户身份的认证库，支持用户名/密码、X.509数字证书、令牌等多种认证方式，通过自动填表（Form Fill）等身份注入（Identity Injection）机制实现各应用系统间的单点登录集成[11]。认证系统由访问网关（Access Gateway，简称AG）和身份认证管理服务器（Identity Server，简称IDS）两大组件构成[14]。

认证系统软件将采用Novell公司的Access Manager访问管理服务器产品（前身为iChain）[6]。

2.5 级联架构设计

2.5.1 级联架构遵循国家电网公司目录系统典型设计的要求，省级电力公司与国网总部统一目录、身份管理、认证系统的纵向级联包括：

1) 省公司身份目录与国网总部身份目录之间的用户身份信息同步。

2) 省公司认证系统与国网总部认证系统的级联。

江苏省电力公司与国网总部纵向级联总体架构如图3所示。

图3 江苏省电力公司与国网总部纵向级联总体架构示例图Fig.3 Cascade architecture diagram between Jiangsu Power Electric Power Company and the headquarter of State Grid Corporation of China

2.5.2 身份同步国网总部身份目录将集中存储国家电网公司下属各网省公司和直属单位的用户身份信息，省级电力公司身份目录中的用户身份信息，将通过在省公司身份管理子系统与国网总部身份管理子系统之间建立同步通道，同步到国网总部的身份目录中；同时国网总部身份目录中指定的用户信息（如拥有跨域访问权限的用户信息）也可通过同步通道，同步到省公司的身份目录中。

2.5.3 级联认证国网公司总部和省级电力公司通过相互独立的认证系统构成不同的安全域，用户在所属的安全域认证成功后，可以通过单点登录实现对企业门户和其它应用系统的自由访问。此外，国网公司总部用户可以访问指定的省级电力公司的企业门户和其它应用系统资源，为了避免重复登录，需要借助总部和省级电力公司的统一认证系统中身份认证服务器间的级联认证，实现跨域的单点登录[15]。

3 安全管理机制

3.1 主机安全管理

系统的高可用性是指当系统服务因主机设备异常而无法继续运行时，在最短的时间内在其它主机上自动启动该服务，如此即使故障的主机无法立即修复，此特定系统的服务仍然可以正常运行，不影响依赖此系统的其它服务正常运行。由于目录、身份管理、认证系统是江苏省电力公司重要的基础设施，支撑着企业门户、应用系统的正常运行，因此在设计中根据实际情况，综合运用了HA、集群等高可用技术保证系统整体的高可用性。

3.2 网络安全管理

可以通过多种方式加强目录服务系统的安全性，提供安全的访问、传输、存储等操作。措施包括：

1) 建立内外网，保证内外网的物理隔离。

2) 采用DMZ防火墙策略，提高防火墙的安全级别。

3) 限制有权访问的IP地址或网段，阻止非法用户的访问。

4) 禁用操作系统无用的端口，并对开发端口进行实时监控。

3.3 审计监控管理

系统监控是目录、身份管理、认证系统中物理设计的重要组成部分，通过系统监控可以及时发现系统运行中出现的错误，并能根据对监控日志的分析及时解决问题，是系统稳定运行的有力保障。

通过对系统监控报告的汇总分析，可以很好的对系统运行状态、稳定性进行评估，对系统可能存在的隐患及频繁问题进行分析处理，根据分析结果对服务器配置进行优化。

系统监控的设计有两个因素需要考虑，一个是系统监控对系统性能的影响，系统监控事件过多，占用的系统资源将会增加，会使系统性能下降；另一个是需要考虑对于监控记录的汇总分析和检索的影响，监控的内容过于复杂，将会出现大量的冗余数据，不便于对历史日志报告汇总分析和检索。

3.4 数据安全管理

备份数据的过程就是复制重要到数据到其它存储介质（如磁带、光盘）上，以保证在原始数据丢失或损坏的情况下可以恢复数据。在物理层面上，可以通过定期备份文件系统到磁带进行冷备份，然后根据信息更新频率定期（如每天晚上）将数据信息进行逻辑备份（建议采用专业备份软件），逻辑备份又可分为全局备份，即对所有数据进行备份，以及增量备份，对上次备份以来的更新数据进行备份，可根据业务需要结合使用全局备份和增量备份。

由于数据灾难的不可预测性，做好目录、身份管理、认证系统的备份是非常必要的，是今后相关管理人员的重要工作。

4 结语

经过国家电网公司信息通信有限公司、江苏省电力公司信息通信公司和江苏省电力公司目录项目组的共同努力，从2010年7月进场开始，目录认证服务系统经过需求调研、分析设计、实施、测试、调试、上线、试运行、优化八个阶段，实现了目录树之间的数据同步、用户身份数据的集中管理、企业门户和应用系统的反向代理、企业门户和应用系统的单点登录、与国网总部的级联访问和数据同步等主要功能，符合国网公司目录服务典型设计要求，系统经过6个多月的运行观察，系统稳定运行，对相关电力行业目录系统建设具有参考意义。

[1] 魏晓菁,刘冬梅,温超.国家电网公司目录服务、身份管理与认证系统的设计与实现[J].电力信息化,2007,5(10):43-47

[2] 郑辉.基于LDAP的统一身份认证目录服务系统研究与设计[D].西安:西安电子科技大学,2008

[3] 杨洪宾.建立电力信息化系统的统一目录服务规范[J].电力信息化,2010,(6):51-53

[4] 景峰,徐澄宇,李欣.通信加密与数字认证在企业信息系统的应用[J].山西电力,2010(4):38-39

[5] 刘顺潮.企业统一目录系统接口体系研究[J].计算机与现代化,2009(12):99-102

[6] 胡利辉.目录技术在地市局身份整合中的应用[C].2008年电力行业信息化年会,2008:164-167

[7] Sandy Stevens.Novell Single Sign-On2.0[J].Novell Connection Magazine,2000(10):12-20

[8] 任军.基于LDAP的目录服务综述[J].计算机应用研究,2005,22(5):8-10

[9] 张明,严莉,赵忱.目录系统与Domino系统密码同步策略的研究与应用[J].电力信息化,2011,09(4):31-33

[10] 魏亮.身份管理(IDM)策略思考[J].电信网技术,2009(3):36-39

[11] 汪星.Novell环境下的入侵检测系统的实现[J].计算机与现代化,2003(11):71-76

[12] 程宏斌,孙霞.单点登录技术研究[J].计算机时代,2004(5):3-4