統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng)探析

馮俊均

摘 要：加強(qiáng)對(duì)政企網(wǎng)絡(luò)用戶管理，保證信息化系統(tǒng)的安全和保密，建立統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng)，應(yīng)用高科技多媒體等認(rèn)證方式，將眾多應(yīng)用系統(tǒng)整合，實(shí)現(xiàn)單點(diǎn)登錄、統(tǒng)一身份認(rèn)證、權(quán)限控制管理。提升安全等級(jí)，提高人員工作效率，降低政企管理成本。

關(guān)鍵詞：?jiǎn)吸c(diǎn)登錄;身份認(rèn)證;授權(quán)管理

單點(diǎn)登錄英文全稱Single Sign On，簡(jiǎn)稱SSO。解釋：在多個(gè)應(yīng)用系統(tǒng)中，只需要登錄一次，就可以訪問其他相互信任的應(yīng)用系統(tǒng)。

單點(diǎn)登錄（SSO系統(tǒng)）保障了網(wǎng)絡(luò)內(nèi)各業(yè)務(wù)系統(tǒng)用戶資源的安全。如果某個(gè)用戶想獲得各個(gè)業(yè)務(wù)系統(tǒng)的信息資源，通過SSO認(rèn)證，確保這個(gè)用戶能訪問全部應(yīng)用資源。

單點(diǎn)登錄原理：資源都分布在各個(gè)業(yè)務(wù)系統(tǒng)中，存在認(rèn)證服務(wù)器系統(tǒng)內(nèi)。某個(gè)用戶在給業(yè)務(wù)系統(tǒng)提供了用戶名密碼后，作為業(yè)務(wù)系統(tǒng)并不知道這個(gè)用戶名密碼是否正確，不能認(rèn)定這個(gè)認(rèn)證指令是不是用戶偽造的，還是真的有效？不能輕易讓業(yè)務(wù)系統(tǒng)予以確認(rèn)，要傳輸這個(gè)認(rèn)證指令回饋去認(rèn)證服務(wù)器端對(duì)認(rèn)證指令再次確認(rèn)，這個(gè)用戶提供的認(rèn)證回饋是否真實(shí)并且有效？認(rèn)證結(jié)果是真實(shí)有效的，系統(tǒng)才能開放，同意這個(gè)用戶進(jìn)入訪問[1]。

1 現(xiàn)狀介紹

當(dāng)前政企單位經(jīng)過多年的信息化建設(shè)，基于IT環(huán)境的業(yè)務(wù)系統(tǒng)越來越多、越來越大，例如政府單位內(nèi)通常有OA系統(tǒng)、人事系統(tǒng)、郵件系統(tǒng)、政務(wù)系統(tǒng)、監(jiān)控系統(tǒng)以及支撐平臺(tái)等。平均來看，一個(gè)企業(yè)用戶一般有15個(gè)應(yīng)用，也就是說有15套用戶密碼，繁瑣又不安全。傳統(tǒng)賬號(hào)密碼的認(rèn)證方式，存在弱密碼、密碼易丟失問題，不僅讓企業(yè)應(yīng)用系統(tǒng)存在巨大安全隱患，同時(shí)繁瑣的賬戶記錄、密碼輸入大大浪費(fèi)員工的工作時(shí)間，這是企業(yè)管理面臨的一大挑戰(zhàn)。

隨著政企單位信息化建設(shè)不斷深入，單位信息化應(yīng)用具有“智能化信息集成系統(tǒng)、門戶網(wǎng)站、辦公自動(dòng)化系統(tǒng)、郵件系統(tǒng)”等多個(gè)系統(tǒng)，這些系統(tǒng)建設(shè)有效地改善工作環(huán)境，提高了工作效率和工作質(zhì)量，但多個(gè)應(yīng)用系統(tǒng)之間彼此獨(dú)立所帶來的問題也日漸突現(xiàn)出來，系統(tǒng)之間缺乏關(guān)聯(lián)、數(shù)據(jù)共享和流通不暢;組織機(jī)構(gòu)和用戶不統(tǒng)一，不僅帶來工作量增加，也影響了相關(guān)業(yè)務(wù)應(yīng)用。用戶身份的真實(shí)性無法保證，同一用戶登錄必須以不同的身份登錄不同系統(tǒng)，不利于使用。這些問題不解決，將影響整體應(yīng)用的效果，因此實(shí)現(xiàn)權(quán)限的統(tǒng)一管理，整合現(xiàn)有應(yīng)用系統(tǒng)已成為必須盡快解決的重要問題之一，開發(fā)“統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng)”正是為了達(dá)到上述目標(biāo)。

2 方案目標(biāo)

隨著云計(jì)算和移動(dòng)互聯(lián)網(wǎng)的推廣和大規(guī)模應(yīng)用，越來越多的企業(yè)系統(tǒng)應(yīng)用由傳統(tǒng)的機(jī)房轉(zhuǎn)移到云端，系統(tǒng)應(yīng)用的云端化和移動(dòng)化也帶來了新的挑戰(zhàn)。傳統(tǒng)的防火墻構(gòu)建的物理安全邊界起不到作用。身份認(rèn)證是云服務(wù)安全的第一道關(guān)口。近年來，隨著5G運(yùn)用、大數(shù)據(jù)、云計(jì)算、人工智能、物聯(lián)網(wǎng)、虛擬化等新技術(shù)快速發(fā)展，帶動(dòng)各行業(yè)信息化水平不斷提高。眾多信息化應(yīng)用中，幾乎每個(gè)應(yīng)用系統(tǒng)都包含了身份認(rèn)證、權(quán)限管理。當(dāng)用戶同時(shí)登錄多個(gè)系統(tǒng)時(shí)，系統(tǒng)要對(duì)其進(jìn)行多次身份認(rèn)證，這對(duì)于合法用戶來說無疑是重復(fù)、冗余的操作。這種情況下，安全等級(jí)低的用戶信息泄密，會(huì)直接影響安全等級(jí)高的用戶信息泄密，造成不安全漏洞。解決問題的關(guān)鍵，在于保護(hù)好在云計(jì)算和移動(dòng)互聯(lián)網(wǎng)環(huán)境下系統(tǒng)及應(yīng)用的安全性。打造一把“萬能鑰匙”，即在各個(gè)應(yīng)用使用同樣的用戶名密碼來進(jìn)入所有的系統(tǒng)，確保自己不會(huì)被某個(gè)應(yīng)用系統(tǒng)拒之門外。

3 建設(shè)目標(biāo)

設(shè)計(jì)整個(gè)方案的完整實(shí)施將幫助政企單位網(wǎng)絡(luò)達(dá)到如下目標(biāo)：

單位計(jì)算機(jī)網(wǎng)絡(luò)（包括內(nèi)部工作網(wǎng)和外部網(wǎng)接入網(wǎng)）用戶實(shí)行統(tǒng)一的身份認(rèn)證和權(quán)限管理，每個(gè)用戶均配發(fā)個(gè)人電子身份證書和個(gè)人PC和移動(dòng)終端，持有者擁有系統(tǒng)規(guī)定的網(wǎng)絡(luò)使用權(quán)限。

1）建立全網(wǎng)的策略、管理、組織和安全技術(shù)體系。建立起結(jié)合實(shí)際業(yè)務(wù)情況和安全需求的策略，并通過相應(yīng)的管理、組織、和技術(shù)體系進(jìn)行落實(shí)和跟進(jìn)。

2）實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的6個(gè)重要安全屬性：機(jī)密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、可靠性（Reliability）、認(rèn)證性（Authenticity）、審計(jì)性 （Accountability）。

3）全網(wǎng)的安全風(fēng)險(xiǎn)處于可管理、可控制狀態(tài)下。對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的不間斷的評(píng)估和控制措施調(diào)整，使得全網(wǎng)的整體安全狀況和風(fēng)險(xiǎn)情況以定性或半定量的形式及時(shí)展現(xiàn)出來。幫助企業(yè)管理層和客戶建立強(qiáng)大信心。

4）保證全網(wǎng)的“抗打擊能力”處于國(guó)外內(nèi)領(lǐng)先地位。在網(wǎng)絡(luò)攻擊、自然災(zāi)害、災(zāi)難、恐怖事件以及其它不可預(yù)見的威脅出現(xiàn)時(shí)，在運(yùn)維服務(wù)商的幫助下進(jìn)行迅速響應(yīng)和恢復(fù)。

5）保證應(yīng)用網(wǎng)絡(luò)符合國(guó)家保密規(guī)定，建立法律法規(guī)符合性審核制度，保證網(wǎng)絡(luò)安全性。

身份的作用是區(qū)分不同的個(gè)體，身份管理系統(tǒng)就是管理這些不同個(gè)體的系統(tǒng)，能夠給用戶使用帶來極大的便利。新興的身份管理系統(tǒng)，應(yīng)用方會(huì)向連接“網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”發(fā)出請(qǐng)求，以核實(shí)用戶網(wǎng)絡(luò)身份的真實(shí)性和有效性。

智能終端在信息技術(shù)日益發(fā)展的今天，已經(jīng)成為人們獲取信息、交流交往最流行的工具。智能終端功能多樣化，操作智能化，使用便捷化的特點(diǎn)越來越突出。普遍具備上網(wǎng)、拍照、錄音、定位等多種功能。

人臉識(shí)別技術(shù)是通過一系列圖像信息處理、算法模型使計(jì)算機(jī)具備人臉認(rèn)知、識(shí)別能力，相比較指紋識(shí)別、虹膜識(shí)別等生物識(shí)別技術(shù)，人臉識(shí)別技術(shù)具有直觀便捷、非侵?jǐn)_非接觸等特點(diǎn)，應(yīng)用更加廣泛。系統(tǒng)涵蓋了人臉圖像采集、人臉定位、人像識(shí)別處理、人臉對(duì)比、人臉檢索等環(huán)節(jié)。

4 解決方案

4.1 基本結(jié)構(gòu)

統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證和統(tǒng)一授權(quán)管理首先必須基于統(tǒng)一的用戶權(quán)限平臺(tái)，借助成熟、穩(wěn)定、高效的用戶權(quán)限平臺(tái)實(shí)現(xiàn)這三部分功能。用戶權(quán)限平臺(tái)一方面需要提供界面給系統(tǒng)管理員進(jìn)行組織和用戶信息維護(hù)以及授權(quán)操作，另一方面也需要提供各應(yīng)用系統(tǒng)組織、用戶、權(quán)限的調(diào)用接口，因此用戶權(quán)限平臺(tái)必須提供完善的API（應(yīng)用程序接口）[2]接口供其他應(yīng)用程序調(diào)用。

4.2 統(tǒng)一用戶管理

統(tǒng)一用戶管理基于用戶權(quán)限平臺(tái)，主要包括組織機(jī)構(gòu)管理和用戶管理兩部分內(nèi)容，主要的功能需求如下：

1）建立統(tǒng)一的組織機(jī)構(gòu)樹，范圍包括單位所有部門和所有人員，還需要考慮外部注冊(cè)用戶和來自公共服務(wù)平臺(tái)的用戶;

2）對(duì)組織信息（單位編號(hào)、單位名稱、組織關(guān)系等）和用戶信息（用戶名、用戶編號(hào)、密碼、用戶姓名、所屬組織、IP地址等）進(jìn)行統(tǒng)一登記和維護(hù);

3）在組織機(jī)構(gòu)樹中存儲(chǔ)組織的完整結(jié)構(gòu)以及組織中的所有用戶信息，提供一整套管理、維護(hù)組織和用戶信息的界面和功能;

4）建立組織和用戶定義標(biāo)準(zhǔn)，包括存儲(chǔ)方式、編號(hào)規(guī)則、調(diào)用接口等等，著重考慮由于人員頻繁調(diào)動(dòng)帶來的組織關(guān)系混亂以及維護(hù)工作量上升等現(xiàn)實(shí)問題;

5）對(duì)于組織和用戶的存儲(chǔ)方式，建議采用LDAP方式[3]，LDAP服務(wù)器作為本項(xiàng)目的重點(diǎn)支撐軟件，必須選用高性價(jià)比的成熟產(chǎn)品。

4.3 統(tǒng)一授權(quán)管理

統(tǒng)一授權(quán)管理同樣基于用戶權(quán)限平臺(tái)，主要包括資源管理、角色管理、授權(quán)管理和權(quán)限控制接口、系統(tǒng)管理五部分功能：

資源管理：資源是指系統(tǒng)、模塊以及菜單、超鏈接、按鈕等界面元素，它們是進(jìn)入相關(guān)系統(tǒng)或者界面的入口。在本系統(tǒng)中權(quán)限主要針對(duì)系統(tǒng)級(jí)的“大權(quán)限”，即表示用戶可否訪問某個(gè)系統(tǒng)，系統(tǒng)內(nèi)部的權(quán)限（模塊級(jí)權(quán)限和數(shù)據(jù)權(quán)限）由各系統(tǒng)分別維護(hù);

角色管理：建立完善的RBAC（Role-Based Access Control[4]，基于角色的訪問控制）權(quán)限管理機(jī)制，對(duì)中心的公共角色（比如主任、部長(zhǎng)、組長(zhǎng)等）進(jìn)行統(tǒng)一定義、維護(hù)和控制，系統(tǒng)內(nèi)部的業(yè)務(wù)角色由各系統(tǒng)分別維護(hù);

授權(quán)管理：提供便捷的授權(quán)操作界面，包括按角色授權(quán)、按用戶授權(quán)、同權(quán)相賦、選權(quán)授予等多種授權(quán)方式。還可以引入“分級(jí)授權(quán)”的思想，即系統(tǒng)管理員可以授予通用權(quán)限，各部門的系統(tǒng)管理員可以授本部門的權(quán)限，通過授權(quán)的層層分解，減少軟件中心系統(tǒng)管理員授權(quán)操作的工作量;

權(quán)限控制接口：提供完善的權(quán)限控制接口供各應(yīng)用系統(tǒng)調(diào)用;提供完善的數(shù)據(jù)同步策略以實(shí)時(shí)或定時(shí)更新網(wǎng)絡(luò)上其它應(yīng)用系統(tǒng)的權(quán)限信息（主要針對(duì)分級(jí)授權(quán)的情況，在這種情況下，授權(quán)操作統(tǒng)一在用戶權(quán)限平臺(tái)中進(jìn)行，需要同步到各應(yīng)用系統(tǒng)的權(quán)限表中）;

系統(tǒng)管理：提供完善的系統(tǒng)管理后臺(tái)，借助管理后臺(tái)，可對(duì)系統(tǒng)的各種操作進(jìn)行記錄和匯總，例如登入、登出操作，用戶、權(quán)限變更操作等。并能夠提供查詢，對(duì)查詢結(jié)果還可導(dǎo)出Excel審計(jì)報(bào)表。

4.4 統(tǒng)一身份認(rèn)證

各用戶的數(shù)據(jù)權(quán)限和應(yīng)用權(quán)限，由保密辦公室、人事HR部門、信息技術(shù)部門，會(huì)同相關(guān)的業(yè)務(wù)部門，根據(jù)各應(yīng)用系統(tǒng)的功能和處理信息的公開屬性和密級(jí)，以及不同用戶的身份和崗位職責(zé)，分配相應(yīng)的使用權(quán)限。信息技術(shù)部門在密委會(huì)監(jiān)督指導(dǎo)下承擔(dān)用戶證書的管理工作，負(fù)責(zé)證書的申領(lǐng)、制作、設(shè)置、開通等。信息技術(shù)部門的密碼密鑰管理員，承擔(dān)證書的具體管理工作。其他任何人未經(jīng)許可，均不得對(duì)用戶權(quán)限進(jìn)行增加、修改、刪除的操作。如因工作需要對(duì)用戶權(quán)限有所變化時(shí)，必須填寫《權(quán)限維護(hù)操作審批表》，并經(jīng)逐級(jí)審批后，由信息技術(shù)部門專人負(fù)責(zé)授權(quán)操作，并將該表審核歸檔。

統(tǒng)一身份認(rèn)證由用戶權(quán)限平臺(tái)完成。登錄認(rèn)證采用多種認(rèn)證的方式，認(rèn)證通過之后，系統(tǒng)應(yīng)提供一定的安全機(jī)制在用戶操作過程中全程記憶身份信息，除了超時(shí)需要重新登錄之外，盡量避免身份信息在用戶操作過程中出現(xiàn)丟失現(xiàn)象。

歸納起來，統(tǒng)一身份認(rèn)證提供驗(yàn)證服務(wù)和單點(diǎn)登錄兩部分功能：

單點(diǎn)登錄：使用戶只需使用一套用戶名和密碼，通過一次登錄，就可以訪問所有已集成的應(yīng)用系統(tǒng)。在進(jìn)入已集成的應(yīng)用系統(tǒng)中時(shí)，不需要再次輸入用戶名和密碼。

驗(yàn)證服務(wù)：系統(tǒng)可以對(duì)外提供CA認(rèn)證服務(wù)和口令認(rèn)證服務(wù)，通過調(diào)用，其他應(yīng)用系統(tǒng)可以借助統(tǒng)一身份認(rèn)證和授權(quán)管理系統(tǒng)中的權(quán)限管理功能，完成此應(yīng)用系統(tǒng)的身份驗(yàn)證和授權(quán)管理。

4.5 統(tǒng)一信息門戶

未來可以將外部信息門戶作為統(tǒng)一信息門戶。今后不但所有員工可以通過訪問這個(gè)門戶即可瀏覽所有部門的公開信息，比如信息簡(jiǎn)報(bào)、工作動(dòng)態(tài)、相關(guān)政策等信息，并提供部門子網(wǎng)站、相關(guān)網(wǎng)站的鏈接;外部用戶也可以通過訪問這個(gè)門戶進(jìn)行單點(diǎn)登錄，然后根據(jù)權(quán)限的不同進(jìn)入相關(guān)應(yīng)用系統(tǒng)（信息門戶鏈接）進(jìn)行操作。比如，辦公室用戶在統(tǒng)一信息門戶上登錄之后，只要權(quán)限允許就可以進(jìn)行辦公自動(dòng)化系統(tǒng)、郵件系統(tǒng)、圖片音像資料管理系統(tǒng)等業(yè)務(wù)應(yīng)用而無須再次登錄。

4.6 整合方式

應(yīng)用系統(tǒng)的整合時(shí)，需要提供統(tǒng)一的系統(tǒng)整合開發(fā)接口規(guī)范，不論之前建設(shè)的應(yīng)用系統(tǒng)，還是今后建設(shè)的應(yīng)用系統(tǒng)，按照規(guī)范進(jìn)行改造和開發(fā)，整合到統(tǒng)一的信息門戶。

系統(tǒng)應(yīng)支持兩種整合策略：

第一種方式：應(yīng)用系統(tǒng)和管理系統(tǒng)緊密耦合?？梢哉{(diào)整應(yīng)用系統(tǒng)用戶與權(quán)限部分程序，調(diào)用統(tǒng)一身份認(rèn)證和授權(quán)管理系統(tǒng)提供的數(shù)據(jù)服務(wù)。這種情況下可以采用無縫整合的方式，將用戶與權(quán)限數(shù)據(jù)完全整合。

第二種方式：應(yīng)用系統(tǒng)和管理系統(tǒng)松散耦合。由于原程序結(jié)構(gòu)設(shè)計(jì)等因素限制，不能調(diào)整原程序，但可以開放用戶信息，采取用戶映射的整合方式，將原用戶和權(quán)限數(shù)據(jù)與統(tǒng)一后的用戶和權(quán)限數(shù)據(jù)進(jìn)行映射。

5 結(jié)束語(yǔ)

隨著現(xiàn)代云計(jì)算和移動(dòng)互聯(lián)網(wǎng)的飛躍發(fā)展，政企用戶在傳統(tǒng)的針對(duì)PC和網(wǎng)絡(luò)Web業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證基礎(chǔ)上，提出新形式統(tǒng)一認(rèn)證，身份權(quán)限管理需求。通過證書、指紋生物認(rèn)證、掃碼登錄PC端應(yīng)用等多媒體認(rèn)證方式，實(shí)現(xiàn)單點(diǎn)登錄和統(tǒng)一身份認(rèn)證，提升安全等級(jí)，也大大提高員工工作效率，降低企業(yè)管理成本。

參考文獻(xiàn)

[1]范軍，陳威，陳傳龍.基于企業(yè)門戶的單點(diǎn)登錄研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（03）：94-95.

[2]沙曉晨.應(yīng)用程序接口版權(quán)保護(hù)及限制研究[D].南京師范大學(xué)，2017：112.

[3]陳圣楠.基于CAS-LDAP的統(tǒng)一身份認(rèn)證管理系統(tǒng)[J].信息與電腦（理論版），2019（12）：114-115.

[4]桑一梅，韓霞.基于RBAC模式的人力資源管理系統(tǒng)的開發(fā)[J].科技創(chuàng)新與應(yīng)用，2019（29）：90-91.