單點(diǎn)登錄系統(tǒng)在特檢行業(yè)中的設(shè)計(jì)與實(shí)現(xiàn)

摘 要：根據(jù)目前特檢行業(yè)信息建設(shè)的需求提出了單點(diǎn)登陸解決方案，將原有的辦公自動(dòng)化系統(tǒng)、檢驗(yàn)業(yè)務(wù)系統(tǒng)、內(nèi)部管理平臺(tái)等多個(gè)信息化系統(tǒng)集成到單點(diǎn)登錄系統(tǒng)，用戶只需一次登陸即可訪問各個(gè)授權(quán)系統(tǒng)。根據(jù)系統(tǒng)的物理結(jié)構(gòu)，詳述了系統(tǒng)的體系設(shè)計(jì)，最后給出了基于web services單點(diǎn)登錄解決方案。

關(guān)鍵詞：特檢行業(yè)；單點(diǎn)登錄；web 服務(wù)；安全斷言標(biāo)記語言；輕量級(jí)目錄服務(wù)協(xié)議

中圖分類號(hào)：TP311.52

1 特檢行業(yè)信息建設(shè)現(xiàn)狀

在特檢行業(yè)多年的信息化建設(shè)過程中，為了滿足不同的信息服務(wù)，積累了很多企業(yè)應(yīng)用系統(tǒng)，包括辦公自動(dòng)化系統(tǒng)、檢驗(yàn)業(yè)務(wù)系統(tǒng)、內(nèi)部管理平臺(tái)等多個(gè)信息化系統(tǒng)，各web應(yīng)用系統(tǒng)的基本情況如表1所示：

這些web應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)體系是相互獨(dú)立的，用戶在使用每個(gè)應(yīng)用系統(tǒng)之前都必須輸入用戶名和口令，過程繁瑣影響效率。用戶使用的應(yīng)用系統(tǒng)越多，需要記住的身份標(biāo)識(shí)越多，信息泄露和出錯(cuò)的可能性就越大。并且在企業(yè)內(nèi)部分別管理和維護(hù)多個(gè)應(yīng)用系統(tǒng)的用戶信息十分困難。

針對(duì)上述問題，本文提出了在特檢行業(yè)中使用單點(diǎn)登錄技術(shù)的解決方案，該系統(tǒng)對(duì)用戶只需一次身份認(rèn)證，就可以對(duì)所有被授權(quán)的系統(tǒng)進(jìn)行訪問。

2 整體架構(gòu)

特檢行業(yè)單點(diǎn)登錄系統(tǒng)物理架構(gòu)如圖1所示：

圖1 特檢行業(yè)單點(diǎn)登錄系統(tǒng)物理架構(gòu)

（1）客戶端主要為了緩存用戶登錄信息，包括用戶ID，用戶姓名，登陸時(shí)間，登錄系統(tǒng)ID，用戶IP，用戶驗(yàn)證碼等信息；（2）服務(wù)器端分為兩個(gè)部分：認(rèn)證服務(wù)和授權(quán)服務(wù)，認(rèn)證服務(wù)負(fù)責(zé)驗(yàn)證應(yīng)用層發(fā)送上來的用戶名和密碼匹配，并返回確認(rèn)信息，授權(quán)服務(wù)負(fù)責(zé)為應(yīng)用層的系統(tǒng)分配和更新授權(quán)數(shù)據(jù)；（3）應(yīng)用層首先部署了應(yīng)用認(rèn)證程序和應(yīng)用授權(quán)程序，其次緩存了登錄此應(yīng)用系統(tǒng)的用戶信息和可以登錄此應(yīng)用系統(tǒng)的所有用戶的授權(quán)信息。應(yīng)用認(rèn)證程序負(fù)責(zé)比對(duì)客戶層緩存的用戶信息，如有差異，就將其信息發(fā)送給服務(wù)層進(jìn)一步校驗(yàn)，應(yīng)用授權(quán)程序負(fù)責(zé)為用戶分配具體權(quán)限并構(gòu)建用戶菜單。

3 系統(tǒng)設(shè)計(jì)及具體實(shí)現(xiàn)

3.1 總體設(shè)計(jì)。系統(tǒng)的總體設(shè)計(jì)如圖3所示：

圖2 系統(tǒng)的總體設(shè)計(jì)

系統(tǒng)認(rèn)證中心是一個(gè)SAML認(rèn)證服務(wù)器，其功能是對(duì)全體用戶進(jìn)行認(rèn)證和管理，是單點(diǎn)登錄系統(tǒng)的核心部分，對(duì)所有web應(yīng)用程序來說，SAML服務(wù)器的身份認(rèn)證是絕對(duì)可信的。SAML認(rèn)證服務(wù)器包括一個(gè)web應(yīng)用程序，此應(yīng)用能夠?yàn)橛脩籼峁┑卿浀慕缑婧徒涌?，為系統(tǒng)管理員提供對(duì)系統(tǒng)進(jìn)行管理的接口；另外它還包括一個(gè)web服務(wù)，在web應(yīng)用程序調(diào)用web服務(wù)以實(shí)現(xiàn)對(duì)用戶的認(rèn)證和管理。Web應(yīng)用程序的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫中，而用戶信息則由LDAP統(tǒng)一管理和存儲(chǔ)。

3.2 SAML認(rèn)證。通常的基于SAML的單點(diǎn)登錄的模型有兩種：Pull模型和Push模型。在使用這兩種模型時(shí)存在靈活性不高，實(shí)現(xiàn)過程復(fù)雜，在訪問量大的時(shí)候容易發(fā)生堵塞等不足。本文采取了改進(jìn)的SAML單點(diǎn)登錄模型，它在兩種基本模型的基礎(chǔ)上減少了源站點(diǎn)和目標(biāo)站點(diǎn)之間SAML令牌傳輸。主體向目標(biāo)站點(diǎn)請(qǐng)求資源時(shí)，源站點(diǎn)對(duì)主體進(jìn)行驗(yàn)證，在返回的SAML令牌中使用SAML斷言添加主體信息，通過加密處理形成安全的令牌。當(dāng)主體訪問與源站點(diǎn)相關(guān)聯(lián)的授權(quán)應(yīng)用時(shí)，該授權(quán)目標(biāo)站點(diǎn)根據(jù)SAML令牌中的信息就可以確認(rèn)主體身份，從而判斷該主體是否有權(quán)限訪問，而不需要與源站點(diǎn)進(jìn)行交互，這樣就減少了系統(tǒng)中的數(shù)據(jù)傳輸量。改進(jìn)的模型如圖3所示：

圖3 單點(diǎn)登錄登錄流程

該模型SAML令牌傳輸過程和處理過程如下：主體向源站點(diǎn)發(fā)起請(qǐng)求，將自己的用戶信息和口令發(fā)送至源站點(diǎn)。（2）源站點(diǎn)對(duì)主體信息進(jìn)行身份驗(yàn)證，如果用戶信息合法，則使用SAML斷言經(jīng)過加密處理生成SAML令牌，并發(fā)送給主體。（3） 主體發(fā)送該SAML令牌給目標(biāo)站點(diǎn)，目標(biāo)站點(diǎn)對(duì)SAML令牌進(jìn)行驗(yàn)證，解析生成該令牌的源站點(diǎn)信息和發(fā)起請(qǐng)求的主體信息，以驗(yàn)證主體權(quán)限。（4）目標(biāo)站點(diǎn)驗(yàn)證了該令牌之后，決定是否可以為該主題提供網(wǎng)絡(luò)服務(wù)。

3.3 用戶身份映射建立和撤銷。用戶訪問應(yīng)用程序時(shí)，進(jìn)入該應(yīng)用的登錄界面，輸入正確的用戶名和口令，該應(yīng)用允許用戶訪問，但LDAP目錄中不存在該用戶，則會(huì)向SAML服務(wù)器發(fā)送一個(gè)建立身份映射的請(qǐng)求，SAML服務(wù)會(huì)把接收到用戶在該應(yīng)用程序上的信息作為參數(shù)，調(diào)用creatUserReference（）方法建立映射關(guān)系，最后將信息寫入LDAP目錄中。系統(tǒng)管理員通過調(diào)用deleteUserReference（）方法，刪除用戶在應(yīng)用程序上的身份認(rèn)證就可以撤銷用戶的身份映射。

3.4 統(tǒng)一用戶目錄管理。因?yàn)楦鱾€(gè)系統(tǒng)的用戶權(quán)限設(shè)置復(fù)雜，如果在認(rèn)證中心統(tǒng)一設(shè)置權(quán)限非常麻煩，所以保留各個(gè)系統(tǒng)的原有的權(quán)限管理，同時(shí)在認(rèn)證中心對(duì)用戶統(tǒng)一管理。web應(yīng)用程序要改變用戶信息時(shí)，它會(huì)向認(rèn)證中心發(fā)送身份確認(rèn)請(qǐng)求，認(rèn)證中心回應(yīng)SAML響應(yīng)，獲取SAML響應(yīng)后才可以對(duì)用戶信息進(jìn)行操作。而統(tǒng)一認(rèn)證中心的用戶信息發(fā)生改變時(shí)，認(rèn)證中心會(huì)查找LDAP目錄，獲得該用戶對(duì)應(yīng)的所有web應(yīng)用程序的信息，并分別通知各個(gè)應(yīng)用程序改變相應(yīng)的用戶信息，減少用戶操作防止遺漏。

4 結(jié)束語

本文結(jié)合當(dāng)前特檢行業(yè)需求和現(xiàn)有的單點(diǎn)登錄技術(shù)，分析了web services的單點(diǎn)登錄的不足，采用改進(jìn)的SAML認(rèn)證技術(shù)確保了系統(tǒng)的安全性，提高系統(tǒng)的性能；采用查詢性能極高的LDAP信息存儲(chǔ)大大提高了系統(tǒng)的可靠性。并給出了系統(tǒng)總體設(shè)計(jì)和實(shí)現(xiàn)方法，在對(duì)原有應(yīng)用系統(tǒng)盡可能進(jìn)行少修改的情況下，使用戶容易掌握該單點(diǎn)登錄系統(tǒng)的使用。

參考文獻(xiàn)：

[1]辛桂中.基于SAML的單點(diǎn)登錄系統(tǒng)的研究與實(shí)現(xiàn)[D].北京工業(yè)大學(xué)，2008（04）：27-34.

[2]馬曉強(qiáng).WebLogic平臺(tái)的Web SSO（SAML）解決方案[J/OL].

[3]黃寶軍.基于Web Service的單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京交通大學(xué)，2012（06）：43-57.

[4]陳天玉.基于Web Service的單點(diǎn)登錄認(rèn)證模型的研究與實(shí)現(xiàn)[D].湖南大學(xué)工程，2010（04）：42-54.

作者單位：四川省特種設(shè)備檢驗(yàn)研究院，成都 610061；成都億信互動(dòng)科技有限公司，成都 610000