统一身份认证平台建设研究

2017-07-25杜佳李凯丰西安航天动力技术研究所

数码世界 2017年7期

关键词：统一身份架构

杜佳李凯丰西安航天动力技术研究所

统一身份认证平台建设研究

杜佳李凯丰西安航天动力技术研究所

为了解决同一用户在不同应用系统之间频繁进行身份认证的问题，对统一身份认证平台的建设进行了深入的研究，给出了基于Web Service的统一认证平台的系统整体结构及身份认证流程，并对系统实现过程中的关键问题进行了研究探讨。

身份认证单点登录 Web Service

1 引言

随着企业信息化建设的逐步深入，支撑业务的各种应用系统越来越多，而这些应用系统的建立没有遵循统一的数据标准，数据格式和身份认证方式也各不相同。因此，对于需要使用多个不同应用系统的用户来说，就必须记忆不同的用户名和口令登录不同的系统，如果是涉密的应用系统，密码还要满足复杂性要求并定期进行更换，这给用户造成了沉重的记忆上的负担，而用户为了方便记忆，往往会选择简单的或统一的密码口令，存在极大的系统安全风险和隐患。对于系统运维人员来说，需要创建和维护不同应用系统的用户信息，容易造成各系统之间用户数据的不一致，而且还要应付相当数量的因忘记密码而造成的需要重置密码的请求。因此，建设一个统一的身份认证平台显得尤为重要。

统一身份认证平台对用户的身份信息进行集中统一的管理，保证用户电子身份的唯一性、真实性和权威性，规范应用系统的用户认证方式，提高应用系统的安全性和用户使用的方便性，实现全部应用的单点登录。即用户经统一身份认证平台登录后，就可以访问所有支持统一身份认证平台的应用系统而不需要再次进行身份认证。而且，由于用户信息是集中保存和管理的，系统运维人员只需创建和维护一个统一的用户信息数据库，在人员进行了调动、调级、调职等变更后，或者单位体制改革、组织机构变动后，只修改这一个用户数据库即可，而不必在多个应用系统中分别设置，保证了用户数据的一致性，并大大减少了应用系统的维护成本。

2 系统方案

2.1 系统结构

统一身份认证平台以统一用户管理和统一用户认证为基础，对外提供用户数据同步服务和统一身份认证服务，各应用系统使用统一身份认证平台提供的服务进行认证整合并结合自身的权限控制提供与登录用户相匹配的功能模块和信息资源。用户登录统一身份认证平台后，无需再次登录即可使用所有支持统一身份认证平台的应用系统。平台的系统结构如图1所示。

管理员可以登录到系统后台进行系统的日常维护和管理，监控系统的运行状态，如用户和组织信息维护、系统日志管理等。普通用户可以修改部分个人信息和系统登录密码。

图1 统一身份认证平台系统结构

2.2 身份认证流程

统一身份认证平台的验证流程如图2所示。

图2 统一身份认证平台验证流程

当用户访问某个支持统一身份认证平台的应用系统时，具体的认证流程如下：

①用户请求访问某个应用系统，该应用系统可以是B/S架构的，也可以是C/S架构的。

②如果访问的是非受保护的资源，则应用系统响应用户请求，直接返回用户请求的资源，结束请求；如果访问的是受保护资源，则转到步骤3。

③应用系统拦截用户请求，并尝试获取用户的单点登录凭据，如果获取成功，转到步骤4。如果获取不到用户登录凭据或获取到的用户凭据无效，转到步骤5。

④平台验证用户凭据的有效性，凭据有效，返回用户请求的资源，结束请求；凭据无效，则转到步骤5。

⑤重定向到统一身份认证平台的登录页面，用户输入用户名和密码，平台验证用户身份的合法性，身份认证成功，则生成用户登录凭据，返回用户请求的资源；身份认证失败则结束请求。

3 关键问题研究

3.1 系统通用性问题

考虑到企业内部应用系统平台及架构的多样性，如何使统一身份认证平台适用于Java、．Net等不同软件框架，Windows、Linux等不同操作系统平台，以及B/S、C/S或两者混合的不同架构，是平台要考虑的一个关键问题，而Web Service是基于XML的，它可以使应用程序之间的通信能够以一种独立于特定编程语言、操作系统和硬件平台的方式进行。因此，平台使用Web Service的方式对外提供平台无关性的接口。

Web Service是一种轻量级的独立的通信技术，是通过简单对象访问协议（Simple Object Access Protocol，SOAP）在Web上提供的软件服务，它使用网络服务描述语言（Web Services Description Language，WSDL）文件进行说明，并通过UDDI（Universal Description Discovery and Integration，通用描述、发现与集成服务）进行注册。如图3所示，用户通过UDDI找到应用的WSDL描述文档后，就可以通过SOAP调用该应用提供的Web服务中的一个或多个操作。Web Service的一个最基本的目的就是提供在各个不同平台的不同应用系统的协同工作能力，即跨平台性，无论是B/S架构还是C/S架构的应用，无论是用Java实现的应用还是用．NET实现的应用等，都可以访问Web Service，只要给出Web Service服务器的IP和接口名称就可以对其进行访问。

在统一身份认证平台中采用Web Service对用户数据同步服务和统一身份认证服务进行封装，其实现步骤如下：

①开发用户数据同步服务和统一身份认证服务。用户数据同步服务实现统一身份认证平台和其它应用系统间的数据同步功能，统一身份认证服务主要实现用户在各系统间的单点登录功能。

②为开发完成的用户数据同步服务和统一身份认证服务创建服务描述文件WSDL；

③在应用服务器中部署Web Service；

④将Web Service发布到本地UDDI注册中心；

⑤应用程序客户端检索WSDL文件产生一个客户端代理对象；

⑥应用时，客户端通过所产生的客户端代理对象实现对Web Service的调用。

3.2 系统稳定性问题

由于统一身份认证平台建成之后，将会成为整个企业应用系统的门户，用户访问任何一个应用系统都要经过平台的认证，平台的故障将会引起整个应用系统体系的瘫痪，所以平台的稳定性和可靠性是至关重要的。在设计过程中除了要考虑平台本身的可靠性，如信息的加密存储与传输，系统的并发控制等之外，还需要考虑服务器本身的安全问题与网络带宽的性能及系统的冗余，例如采用高性能的服务器，安装网络防火墙及入侵检测系统，采取双机热备和负载均衡等措施。