電力企業(yè)中目錄認(rèn)證服務(wù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

顧楊青,景棟盛,周 堃

蘇州供電公司,江蘇蘇州 215004

“十一五”期間，江蘇省電力公司圍繞公司發(fā)展的總體目標(biāo)，全面推動(dòng)企業(yè)級信息化建設(shè)，按照“數(shù)據(jù)共享、流程互通、門戶集成”的目標(biāo)，構(gòu)建了由信息網(wǎng)絡(luò)、數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成、企業(yè)門戶五個(gè)部分組成的一體化企業(yè)級信息化集成平臺（以下簡稱“一體化平臺”）[1]。目錄認(rèn)證服務(wù)系統(tǒng)作為一體化平臺中應(yīng)用集成部分的重點(diǎn)項(xiàng)目，提供了跨平臺身份信息存儲管理和認(rèn)證支持功能，是統(tǒng)一身份管理系統(tǒng)所依賴的主要支撐技術(shù)，在省公司范圍內(nèi)企業(yè)門戶和大部分應(yīng)用系統(tǒng)的統(tǒng)一訪問入口，提供了對用戶身份的集中認(rèn)證功能，是貫穿一體化平臺各個(gè)應(yīng)用系統(tǒng)的一條主線。

1 設(shè)計(jì)目標(biāo)和原則

1.1 設(shè)計(jì)目標(biāo)

江蘇省電力公司的目錄認(rèn)證服務(wù)系統(tǒng)的設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)江蘇目錄與國網(wǎng)目錄的實(shí)時(shí)雙向同步；減少目錄的運(yùn)維工作量，規(guī)范目錄的管理與監(jiān)控；為企業(yè)的信息化業(yè)務(wù)應(yīng)用提供安全可靠的認(rèn)證服務(wù)；實(shí)現(xiàn)與國網(wǎng)認(rèn)證的無縫級聯(lián)；降低業(yè)務(wù)應(yīng)用接入的改造工作量。

1.2 設(shè)計(jì)原則和思路

目錄認(rèn)證服務(wù)系統(tǒng)的設(shè)計(jì)原則為六統(tǒng)一原則，即統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一調(diào)研、統(tǒng)一設(shè)計(jì)、統(tǒng)一驗(yàn)證和統(tǒng)一標(biāo)準(zhǔn)的原則[2]。

首先需要對江蘇省電力公司的信息化建設(shè)現(xiàn)狀、復(fù)雜性、差異性進(jìn)行全面、深入的理解，為今后建設(shè)實(shí)施提供可靠、實(shí)用的系統(tǒng)功能依據(jù)，并且在設(shè)計(jì)中要合理考慮節(jié)約系統(tǒng)建設(shè)成本和簡化后期運(yùn)維管理。

系統(tǒng)設(shè)計(jì)時(shí)，考慮采用國際先進(jìn)的技術(shù)路線，基于先進(jìn)的系統(tǒng)架構(gòu)，結(jié)合國內(nèi)外成功先例的設(shè)計(jì)經(jīng)驗(yàn)，從根本上保證了系統(tǒng)運(yùn)行的高效、穩(wěn)定、安全，并充分考慮系統(tǒng)的實(shí)用、靈活、易用、易維護(hù)和可擴(kuò)展性以及與其它應(yīng)用系統(tǒng)的集成[3]。考慮到未來系統(tǒng)進(jìn)一步完善和增強(qiáng)系統(tǒng)功能的需要及各建設(shè)單位應(yīng)用系統(tǒng)的差異性，設(shè)計(jì)時(shí)需要考慮擴(kuò)展基礎(chǔ)。

目前江蘇省電力公司， 擁有多個(gè)系統(tǒng)，在未來也會(huì)繼續(xù)建設(shè)新的應(yīng)用系統(tǒng)，因此在設(shè)計(jì)時(shí)必須著重考慮、解決與現(xiàn)有以及未來建設(shè)的相關(guān)應(yīng)用系統(tǒng)間的集成問題，要在新建系統(tǒng)和歷史遺留系統(tǒng)兩個(gè)層面進(jìn)行全面的考慮，采用靈活、實(shí)用的系統(tǒng)設(shè)計(jì)方法，既著眼于今后的應(yīng)用建設(shè)，又能有效地、最大程度地將現(xiàn)有系統(tǒng)信息和系統(tǒng)資源整合起來，避免“信息孤島”的發(fā)生和資源的浪費(fèi)[4]。

設(shè)計(jì)同時(shí)要著重考慮系統(tǒng)長期7×24 h運(yùn)行的穩(wěn)定性，對設(shè)計(jì)中的關(guān)鍵組件應(yīng)靈活采用雙機(jī)熱備HA和Cluster集群等高可用性方案，并提供較完善的備份恢復(fù)策略，較好地解決單點(diǎn)故障和系統(tǒng)災(zāi)難問題[5]。同時(shí)也需要考慮系統(tǒng)安全，在系統(tǒng)監(jiān)控、數(shù)據(jù)通信、物理部署等多個(gè)層面上落實(shí)系統(tǒng)的安全性原則。設(shè)計(jì)必須要遵循各種標(biāo)準(zhǔn)的設(shè)計(jì)方法和原則，在架構(gòu)、結(jié)構(gòu)、數(shù)據(jù)、接口等多個(gè)層面上形成今后建設(shè)實(shí)施的參照標(biāo)準(zhǔn)，并提供對相關(guān)標(biāo)準(zhǔn)協(xié)議的支持。

2 系統(tǒng)功能簡介

2.1 整體架構(gòu)

江蘇省電力公司目錄認(rèn)證服務(wù)系統(tǒng)嚴(yán)格遵循國家電網(wǎng)公司目錄系統(tǒng)典型設(shè)計(jì)的要求，由目錄子系統(tǒng)、身份管理子系統(tǒng)和認(rèn)證子系統(tǒng)三個(gè)子系統(tǒng)構(gòu)成[6]，用于實(shí)現(xiàn)江蘇省電力公司全省范圍內(nèi)基于目錄子系統(tǒng)的用戶集中管理、基于身份管理子系統(tǒng)的應(yīng)用系統(tǒng)帳號管理，以及基于認(rèn)證子系統(tǒng)的單點(diǎn)登錄、訪問控制[7]。依據(jù)江蘇省電力公司本部與下級地市公司的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、人員管理要求、應(yīng)用系統(tǒng)分布等實(shí)際情況，江蘇省電力公司全省目錄服務(wù)系統(tǒng)可采用全省集中部署架構(gòu)[8]。

圖1 目錄服務(wù)系統(tǒng)全省集中部署整體架構(gòu)Fig.1 The provincial centralized deployment architecture of directory service system

2.2 目錄子系統(tǒng)

目錄子系統(tǒng)包括“身份目錄”、“企業(yè)資源目錄”、“認(rèn)證目錄”3個(gè)目錄系統(tǒng)，其中“身份目錄”保存了省電力公司本部與各地市公司范圍內(nèi)最為完整、準(zhǔn)確、及時(shí)的用戶身份等信息。身份目錄通過IDM將用戶身份及必要的屬性信息復(fù)制到企業(yè)資源目錄與認(rèn)證目錄[9,10]。

根據(jù)江蘇省電力公司本部與下級地市公司的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、人員管理要求、應(yīng)用系統(tǒng)分布等實(shí)際情況，江蘇省電力公司的目錄子系統(tǒng)應(yīng)采用多種架構(gòu)。對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施良好的地市公司，可以直接使用全省大集中的目錄系統(tǒng)，此時(shí)地市公司的組織機(jī)構(gòu)、用戶等信息統(tǒng)一存放在江蘇省電力公司的身份目錄中。對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施較差、或要求地市公司對自身人員信息進(jìn)行管理、或存在網(wǎng)省/地市兩級部署的應(yīng)用系統(tǒng)的地市公司，可以考慮建設(shè)地市級的身份目錄，通過IDM，將地市身份目錄中的身份信息同步到省公司本部的身份目錄[10]。

身份目錄作為身份同步相關(guān)信息的中轉(zhuǎn)站與統(tǒng)一的集中點(diǎn)，是身份同步引擎的基礎(chǔ)所在。在其中保存著最為權(quán)威、全面的身份、管理與策略信息。

認(rèn)證目錄的功能是提供用戶身份認(rèn)證服務(wù)，保存有用戶認(rèn)證所需的數(shù)據(jù)，是身份目錄的子集，主要從訪問效率與性能等方面來考慮[11]。

企業(yè)資源目錄用于層次化展現(xiàn)、分級管理與授權(quán)，其保存有全面的用戶組織架構(gòu)、授權(quán)、角色等數(shù)據(jù)。此外，可利用企業(yè)資源目錄，實(shí)現(xiàn)對借調(diào)用戶、非員工用戶（如臨時(shí)人員、合作伙伴等）的創(chuàng)建、管理與維護(hù)[12]。

目錄系統(tǒng)服務(wù)器軟件將采用Novell公司的eDirectory目錄服務(wù)器產(chǎn)品（前身為NDS）[7]。

2.3 身份管理子系統(tǒng)

身份管理子系統(tǒng)提供了身份數(shù)據(jù)同步引擎，身份目錄是身份管理系統(tǒng)同步交換用戶身份數(shù)據(jù)的中心，也稱為身份庫（Identity Vault），通過設(shè)計(jì)身份目錄與應(yīng)用系統(tǒng)、其它目錄之間的同步驅(qū)動(dòng)，可實(shí)現(xiàn)將權(quán)威數(shù)據(jù)源系統(tǒng)（如統(tǒng)一框架系統(tǒng)）中管理的員工信息或企業(yè)資源目錄中管理的非員工用戶信息同步至身份目錄，再將用戶信息同步（創(chuàng)建、更新、刪除/禁用）至各應(yīng)用系統(tǒng)。從而實(shí)現(xiàn)應(yīng)用系統(tǒng)帳號的自動(dòng)創(chuàng)建、變更、刪除/禁用，取代現(xiàn)有的人工方式的帳號管理模式。同時(shí)，身份管理系統(tǒng)能將關(guān)鍵事件等日志信息存儲在數(shù)據(jù)庫中，供日后審計(jì)[13]。

圖2 江蘇省電力公司身份管理系統(tǒng)架構(gòu)Fig.2 Architecture of identity management system in Jiangsu Electric Power Company

身份管理系統(tǒng)軟件將采用Novell公司的Identity Manager身份管理服務(wù)器產(chǎn)品（前身為DirXML）。

2.4 認(rèn)證子系統(tǒng)

如圖1所示，根據(jù)江蘇省電力公司的機(jī)構(gòu)地理分布、應(yīng)用系統(tǒng)部署、網(wǎng)絡(luò)狀況等實(shí)際需求，江蘇省電力公司的認(rèn)證系統(tǒng)采用省集中部署架構(gòu)設(shè)計(jì)。

省公司的認(rèn)證系統(tǒng)提供了對公司范圍內(nèi)用戶身份的統(tǒng)一認(rèn)證和訪問控制，以認(rèn)證目錄作為用戶身份的認(rèn)證庫，支持用戶名/密碼、X.509數(shù)字證書、令牌等多種認(rèn)證方式，通過自動(dòng)填表（Form Fill）等身份注入（Identity Injection）機(jī)制實(shí)現(xiàn)各應(yīng)用系統(tǒng)間的單點(diǎn)登錄集成[11]。認(rèn)證系統(tǒng)由訪問網(wǎng)關(guān)（Access Gateway，簡稱AG）和身份認(rèn)證管理服務(wù)器（Identity Server，簡稱IDS）兩大組件構(gòu)成[14]。

認(rèn)證系統(tǒng)軟件將采用Novell公司的Access Manager訪問管理服務(wù)器產(chǎn)品（前身為iChain）[6]。

2.5 級聯(lián)架構(gòu)設(shè)計(jì)

2.5.1 級聯(lián)架構(gòu) 遵循國家電網(wǎng)公司目錄系統(tǒng)典型設(shè)計(jì)的要求，省級電力公司與國網(wǎng)總部統(tǒng)一目錄、身份管理、認(rèn)證系統(tǒng)的縱向級聯(lián)包括：

1) 省公司身份目錄與國網(wǎng)總部身份目錄之間的用戶身份信息同步。

2) 省公司認(rèn)證系統(tǒng)與國網(wǎng)總部認(rèn)證系統(tǒng)的級聯(lián)。

江蘇省電力公司與國網(wǎng)總部縱向級聯(lián)總體架構(gòu)如圖3所示。

圖3 江蘇省電力公司與國網(wǎng)總部縱向級聯(lián)總體架構(gòu)示例圖Fig.3 Cascade architecture diagram between Jiangsu Power Electric Power Company and the headquarter of State Grid Corporation of China

2.5.2 身份同步 國網(wǎng)總部身份目錄將集中存儲國家電網(wǎng)公司下屬各網(wǎng)省公司和直屬單位的用戶身份信息，省級電力公司身份目錄中的用戶身份信息，將通過在省公司身份管理子系統(tǒng)與國網(wǎng)總部身份管理子系統(tǒng)之間建立同步通道，同步到國網(wǎng)總部的身份目錄中；同時(shí)國網(wǎng)總部身份目錄中指定的用戶信息（如擁有跨域訪問權(quán)限的用戶信息）也可通過同步通道，同步到省公司的身份目錄中。

2.5.3 級聯(lián)認(rèn)證 國網(wǎng)公司總部和省級電力公司通過相互獨(dú)立的認(rèn)證系統(tǒng)構(gòu)成不同的安全域，用戶在所屬的安全域認(rèn)證成功后，可以通過單點(diǎn)登錄實(shí)現(xiàn)對企業(yè)門戶和其它應(yīng)用系統(tǒng)的自由訪問。此外，國網(wǎng)公司總部用戶可以訪問指定的省級電力公司的企業(yè)門戶和其它應(yīng)用系統(tǒng)資源，為了避免重復(fù)登錄，需要借助總部和省級電力公司的統(tǒng)一認(rèn)證系統(tǒng)中身份認(rèn)證服務(wù)器間的級聯(lián)認(rèn)證，實(shí)現(xiàn)跨域的單點(diǎn)登錄[15]。

3 安全管理機(jī)制

3.1 主機(jī)安全管理

系統(tǒng)的高可用性是指當(dāng)系統(tǒng)服務(wù)因主機(jī)設(shè)備異常而無法繼續(xù)運(yùn)行時(shí)，在最短的時(shí)間內(nèi)在其它主機(jī)上自動(dòng)啟動(dòng)該服務(wù)，如此即使故障的主機(jī)無法立即修復(fù)，此特定系統(tǒng)的服務(wù)仍然可以正常運(yùn)行，不影響依賴此系統(tǒng)的其它服務(wù)正常運(yùn)行。由于目錄、身份管理、認(rèn)證系統(tǒng)是江蘇省電力公司重要的基礎(chǔ)設(shè)施，支撐著企業(yè)門戶、應(yīng)用系統(tǒng)的正常運(yùn)行，因此在設(shè)計(jì)中根據(jù)實(shí)際情況，綜合運(yùn)用了HA、集群等高可用技術(shù)保證系統(tǒng)整體的高可用性。

3.2 網(wǎng)絡(luò)安全管理

可以通過多種方式加強(qiáng)目錄服務(wù)系統(tǒng)的安全性，提供安全的訪問、傳輸、存儲等操作。措施包括：

1) 建立內(nèi)外網(wǎng)，保證內(nèi)外網(wǎng)的物理隔離。

2) 采用DMZ防火墻策略，提高防火墻的安全級別。

3) 限制有權(quán)訪問的IP地址或網(wǎng)段，阻止非法用戶的訪問。

4) 禁用操作系統(tǒng)無用的端口，并對開發(fā)端口進(jìn)行實(shí)時(shí)監(jiān)控。

3.3 審計(jì)監(jiān)控管理

系統(tǒng)監(jiān)控是目錄、身份管理、認(rèn)證系統(tǒng)中物理設(shè)計(jì)的重要組成部分，通過系統(tǒng)監(jiān)控可以及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行中出現(xiàn)的錯(cuò)誤，并能根據(jù)對監(jiān)控日志的分析及時(shí)解決問題，是系統(tǒng)穩(wěn)定運(yùn)行的有力保障。

通過對系統(tǒng)監(jiān)控報(bào)告的匯總分析，可以很好的對系統(tǒng)運(yùn)行狀態(tài)、穩(wěn)定性進(jìn)行評估，對系統(tǒng)可能存在的隱患及頻繁問題進(jìn)行分析處理，根據(jù)分析結(jié)果對服務(wù)器配置進(jìn)行優(yōu)化。

系統(tǒng)監(jiān)控的設(shè)計(jì)有兩個(gè)因素需要考慮，一個(gè)是系統(tǒng)監(jiān)控對系統(tǒng)性能的影響，系統(tǒng)監(jiān)控事件過多，占用的系統(tǒng)資源將會(huì)增加，會(huì)使系統(tǒng)性能下降；另一個(gè)是需要考慮對于監(jiān)控記錄的匯總分析和檢索的影響，監(jiān)控的內(nèi)容過于復(fù)雜，將會(huì)出現(xiàn)大量的冗余數(shù)據(jù)，不便于對歷史日志報(bào)告匯總分析和檢索。

3.4 數(shù)據(jù)安全管理

備份數(shù)據(jù)的過程就是復(fù)制重要到數(shù)據(jù)到其它存儲介質(zhì)（如磁帶、光盤）上，以保證在原始數(shù)據(jù)丟失或損壞的情況下可以恢復(fù)數(shù)據(jù)。在物理層面上，可以通過定期備份文件系統(tǒng)到磁帶進(jìn)行冷備份，然后根據(jù)信息更新頻率定期（如每天晚上）將數(shù)據(jù)信息進(jìn)行邏輯備份（建議采用專業(yè)備份軟件），邏輯備份又可分為全局備份，即對所有數(shù)據(jù)進(jìn)行備份，以及增量備份，對上次備份以來的更新數(shù)據(jù)進(jìn)行備份，可根據(jù)業(yè)務(wù)需要結(jié)合使用全局備份和增量備份。

由于數(shù)據(jù)災(zāi)難的不可預(yù)測性，做好目錄、身份管理、認(rèn)證系統(tǒng)的備份是非常必要的，是今后相關(guān)管理人員的重要工作。

4 結(jié)語

經(jīng)過國家電網(wǎng)公司信息通信有限公司、江蘇省電力公司信息通信公司和江蘇省電力公司目錄項(xiàng)目組的共同努力，從2010年7月進(jìn)場開始，目錄認(rèn)證服務(wù)系統(tǒng)經(jīng)過需求調(diào)研、分析設(shè)計(jì)、實(shí)施、測試、調(diào)試、上線、試運(yùn)行、優(yōu)化八個(gè)階段，實(shí)現(xiàn)了目錄樹之間的數(shù)據(jù)同步、用戶身份數(shù)據(jù)的集中管理、企業(yè)門戶和應(yīng)用系統(tǒng)的反向代理、企業(yè)門戶和應(yīng)用系統(tǒng)的單點(diǎn)登錄、與國網(wǎng)總部的級聯(lián)訪問和數(shù)據(jù)同步等主要功能，符合國網(wǎng)公司目錄服務(wù)典型設(shè)計(jì)要求，系統(tǒng)經(jīng)過6個(gè)多月的運(yùn)行觀察，系統(tǒng)穩(wěn)定運(yùn)行，對相關(guān)電力行業(yè)目錄系統(tǒng)建設(shè)具有參考意義。

[1] 魏曉菁,劉冬梅,溫 超.國家電網(wǎng)公司目錄服務(wù)、身份管理與認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電力信息化,2007,5(10):43-47

[2] 鄭 輝.基于LDAP的統(tǒng)一身份認(rèn)證目錄服務(wù)系統(tǒng)研究與設(shè)計(jì)[D].西安:西安電子科技大學(xué),2008

[3] 楊洪賓.建立電力信息化系統(tǒng)的統(tǒng)一目錄服務(wù)規(guī)范[J].電力信息化,2010,(6):51-53

[4] 景 峰,徐澄宇,李 欣.通信加密與數(shù)字認(rèn)證在企業(yè)信息系統(tǒng)的應(yīng)用[J].山西電力,2010(4):38-39

[5] 劉順潮.企業(yè)統(tǒng)一目錄系統(tǒng)接口體系研究[J].計(jì)算機(jī)與現(xiàn)代化,2009(12):99-102

[6] 胡利輝.目錄技術(shù)在地市局身份整合中的應(yīng)用[C].2008年電力行業(yè)信息化年會(huì),2008:164-167

[7] Sandy Stevens.Novell Single Sign-On2.0[J].Novell Connection Magazine,2000(10):12-20

[8] 任 軍.基于LDAP的目錄服務(wù)綜述[J].計(jì)算機(jī)應(yīng)用研究,2005,22(5):8-10

[9] 張 明,嚴(yán) 莉,趙 忱.目錄系統(tǒng)與Domino系統(tǒng)密碼同步策略的研究與應(yīng)用[J].電力信息化,2011,09(4):31-33

[10] 魏 亮.身份管理(IDM)策略思考[J].電信網(wǎng)技術(shù),2009(3):36-39

[11] 汪 星.Novell環(huán)境下的入侵檢測系統(tǒng)的實(shí)現(xiàn)[J].計(jì)算機(jī)與現(xiàn)代化,2003(11):71-76

[12] 程宏斌,孫 霞.單點(diǎn)登錄技術(shù)研究[J].計(jì)算機(jī)時(shí)代,2004(5):3-4

[13] 屠敏欣,王忠仁.用戶統(tǒng)一身份認(rèn)證系統(tǒng)中目錄服務(wù)的應(yīng)用[J].福建電腦,2008,24(5)：85-86,81

[14] 鄧 軍,葉柏龍,薛 輝,等.基于驗(yàn)證代理的單點(diǎn)登錄技術(shù)解決方案[J].電腦與信息技術(shù),2006,14(3):77-79

[15] 張穎江,鄭秋華,李臘元.單次登錄技術(shù)分析及集中身份認(rèn)證平臺設(shè)計(jì)[J].武漢理工大學(xué)學(xué)報(bào)(交通科學(xué)與工程版),2004,28(2):240-243