統一身份認證與授權管理系統探析

馮俊均

摘 要：加強對政企網絡用戶管理，保證信息化系統的安全和保密，建立統一身份認證與授權管理系統，應用高科技多媒體等認證方式，將眾多應用系統整合，實現單點登錄、統一身份認證、權限控制管理。提升安全等級，提高人員工作效率，降低政企管理成本。

關鍵詞：單點登錄;身份認證;授權管理

單點登錄英文全稱Single Sign On，簡稱SSO。解釋：在多個應用系統中，只需要登錄一次，就可以訪問其他相互信任的應用系統。

單點登錄（SSO系統）保障了網絡內各業務系統用戶資源的安全。如果某個用戶想獲得各個業務系統的信息資源，通過SSO認證，確保這個用戶能訪問全部應用資源。

單點登錄原理：資源都分布在各個業務系統中，存在認證服務器系統內。某個用戶在給業務系統提供了用戶名密碼后，作為業務系統并不知道這個用戶名密碼是否正確，不能認定這個認證指令是不是用戶偽造的，還是真的有效？不能輕易讓業務系統予以確認，要傳輸這個認證指令回饋去認證服務器端對認證指令再次確認，這個用戶提供的認證回饋是否真實并且有效？認證結果是真實有效的，系統才能開放，同意這個用戶進入訪問[1]。

1 現狀介紹

當前政企單位經過多年的信息化建設，基于IT環境的業務系統越來越多、越來越大，例如政府單位內通常有OA系統、人事系統、郵件系統、政務系統、監控系統以及支撐平臺等。平均來看，一個企業用戶一般有15個應用，也就是說有15套用戶密碼，繁瑣又不安全。傳統賬號密碼的認證方式，存在弱密碼、密碼易丟失問題，不僅讓企業應用系統存在巨大安全隱患，同時繁瑣的賬戶記錄、密碼輸入大大浪費員工的工作時間，這是企業管理面臨的一大挑戰。

隨著政企單位信息化建設不斷深入，單位信息化應用具有“智能化信息集成系統、門戶網站、辦公自動化系統、郵件系統”等多個系統，這些系統建設有效地改善工作環境，提高了工作效率和工作質量，但多個應用系統之間彼此獨立所帶來的問題也日漸突現出來，系統之間缺乏關聯、數據共享和流通不暢;組織機構和用戶不統一，不僅帶來工作量增加，也影響了相關業務應用。用戶身份的真實性無法保證，同一用戶登錄必須以不同的身份登錄不同系統，不利于使用。這些問題不解決，將影響整體應用的效果，因此實現權限的統一管理，整合現有應用系統已成為必須盡快解決的重要問題之一，開發“統一身份認證與授權管理系統”正是為了達到上述目標。

2 方案目標

隨著云計算和移動互聯網的推廣和大規模應用，越來越多的企業系統應用由傳統的機房轉移到云端，系統應用的云端化和移動化也帶來了新的挑戰。傳統的防火墻構建的物理安全邊界起不到作用。身份認證是云服務安全的第一道關口。近年來，隨著5G運用、大數據、云計算、人工智能、物聯網、虛擬化等新技術快速發展，帶動各行業信息化水平不斷提高。眾多信息化應用中，幾乎每個應用系統都包含了身份認證、權限管理。當用戶同時登錄多個系統時，系統要對其進行多次身份認證，這對于合法用戶來說無疑是重復、冗余的操作。這種情況下，安全等級低的用戶信息泄密，會直接影響安全等級高的用戶信息泄密，造成不安全漏洞。解決問題的關鍵，在于保護好在云計算和移動互聯網環境下系統及應用的安全性。打造一把“萬能鑰匙”，即在各個應用使用同樣的用戶名密碼來進入所有的系統，確保自己不會被某個應用系統拒之門外。

3 建設目標

設計整個方案的完整實施將幫助政企單位網絡達到如下目標：

單位計算機網絡（包括內部工作網和外部網接入網）用戶實行統一的身份認證和權限管理，每個用戶均配發個人電子身份證書和個人PC和移動終端，持有者擁有系統規定的網絡使用權限。

1）建立全網的策略、管理、組織和安全技術體系。建立起結合實際業務情況和安全需求的策略，并通過相應的管理、組織、和技術體系進行落實和跟進。

2）實現關鍵業務的6個重要安全屬性：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、可靠性（Reliability）、認證性（Authenticity）、審計性 （Accountability）。

3）全網的安全風險處于可管理、可控制狀態下。對網絡安全風險的不間斷的評估和控制措施調整，使得全網的整體安全狀況和風險情況以定性或半定量的形式及時展現出來。幫助企業管理層和客戶建立強大信心。

4）保證全網的“抗打擊能力”處于國外內領先地位。在網絡攻擊、自然災害、災難、恐怖事件以及其它不可預見的威脅出現時，在運維服務商的幫助下進行迅速響應和恢復。

5）保證應用網絡符合國家保密規定，建立法律法規符合性審核制度，保證網絡安全性。

身份的作用是區分不同的個體，身份管理系統就是管理這些不同個體的系統，能夠給用戶使用帶來極大的便利。新興的身份管理系統，應用方會向連接“網絡身份識別系統”發出請求，以核實用戶網絡身份的真實性和有效性。

智能終端在信息技術日益發展的今天，已經成為人們獲取信息、交流交往最流行的工具。智能終端功能多樣化，操作智能化，使用便捷化的特點越來越突出。普遍具備上網、拍照、錄音、定位等多種功能。

人臉識別技術是通過一系列圖像信息處理、算法模型使計算機具備人臉認知、識別能力，相比較指紋識別、虹膜識別等生物識別技術，人臉識別技術具有直觀便捷、非侵擾非接觸等特點，應用更加廣泛。系統涵蓋了人臉圖像采集、人臉定位、人像識別處理、人臉對比、人臉檢索等環節。

4 解決方案

4.1 基本結構

統一用戶管理、統一身份認證和統一授權管理首先必須基于統一的用戶權限平臺，借助成熟、穩定、高效的用戶權限平臺實現這三部分功能。用戶權限平臺一方面需要提供界面給系統管理員進行組織和用戶信息維護以及授權操作，另一方面也需要提供各應用系統組織、用戶、權限的調用接口，因此用戶權限平臺必須提供完善的API（應用程序接口）[2]接口供其他應用程序調用。

4.2 統一用戶管理

統一用戶管理基于用戶權限平臺，主要包括組織機構管理和用戶管理兩部分內容，主要的功能需求如下：

1）建立統一的組織機構樹，范圍包括單位所有部門和所有人員，還需要考慮外部注冊用戶和來自公共服務平臺的用戶;

2）對組織信息（單位編號、單位名稱、組織關系等）和用戶信息（用戶名、用戶編號、密碼、用戶姓名、所屬組織、IP地址等）進行統一登記和維護;

3）在組織機構樹中存儲組織的完整結構以及組織中的所有用戶信息，提供一整套管理、維護組織和用戶信息的界面和功能;

4）建立組織和用戶定義標準，包括存儲方式、編號規則、調用接口等等，著重考慮由于人員頻繁調動帶來的組織關系混亂以及維護工作量上升等現實問題;

5）對于組織和用戶的存儲方式，建議采用LDAP方式[3]，LDAP服務器作為本項目的重點支撐軟件，必須選用高性價比的成熟產品。

4.3 統一授權管理

統一授權管理同樣基于用戶權限平臺，主要包括資源管理、角色管理、授權管理和權限控制接口、系統管理五部分功能：

資源管理：資源是指系統、模塊以及菜單、超鏈接、按鈕等界面元素，它們是進入相關系統或者界面的入口。在本系統中權限主要針對系統級的“大權限”，即表示用戶可否訪問某個系統，系統內部的權限（模塊級權限和數據權限）由各系統分別維護;

角色管理：建立完善的RBAC（Role-Based Access Control[4]，基于角色的訪問控制）權限管理機制，對中心的公共角色（比如主任、部長、組長等）進行統一定義、維護和控制，系統內部的業務角色由各系統分別維護;

授權管理：提供便捷的授權操作界面，包括按角色授權、按用戶授權、同權相賦、選權授予等多種授權方式。還可以引入“分級授權”的思想，即系統管理員可以授予通用權限，各部門的系統管理員可以授本部門的權限，通過授權的層層分解，減少軟件中心系統管理員授權操作的工作量;

權限控制接口：提供完善的權限控制接口供各應用系統調用;提供完善的數據同步策略以實時或定時更新網絡上其它應用系統的權限信息（主要針對分級授權的情況，在這種情況下，授權操作統一在用戶權限平臺中進行，需要同步到各應用系統的權限表中）;

系統管理：提供完善的系統管理后臺，借助管理后臺，可對系統的各種操作進行記錄和匯總，例如登入、登出操作，用戶、權限變更操作等。并能夠提供查詢，對查詢結果還可導出Excel審計報表。

4.4 統一身份認證

各用戶的數據權限和應用權限，由保密辦公室、人事HR部門、信息技術部門，會同相關的業務部門，根據各應用系統的功能和處理信息的公開屬性和密級，以及不同用戶的身份和崗位職責，分配相應的使用權限。信息技術部門在密委會監督指導下承擔用戶證書的管理工作，負責證書的申領、制作、設置、開通等。信息技術部門的密碼密鑰管理員，承擔證書的具體管理工作。其他任何人未經許可，均不得對用戶權限進行增加、修改、刪除的操作。如因工作需要對用戶權限有所變化時，必須填寫《權限維護操作審批表》，并經逐級審批后，由信息技術部門專人負責授權操作，并將該表審核歸檔。

統一身份認證由用戶權限平臺完成。登錄認證采用多種認證的方式，認證通過之后，系統應提供一定的安全機制在用戶操作過程中全程記憶身份信息，除了超時需要重新登錄之外，盡量避免身份信息在用戶操作過程中出現丟失現象。

歸納起來，統一身份認證提供驗證服務和單點登錄兩部分功能：

單點登錄：使用戶只需使用一套用戶名和密碼，通過一次登錄，就可以訪問所有已集成的應用系統。在進入已集成的應用系統中時，不需要再次輸入用戶名和密碼。

驗證服務：系統可以對外提供CA認證服務和口令認證服務，通過調用，其他應用系統可以借助統一身份認證和授權管理系統中的權限管理功能，完成此應用系統的身份驗證和授權管理。

4.5 統一信息門戶

未來可以將外部信息門戶作為統一信息門戶。今后不但所有員工可以通過訪問這個門戶即可瀏覽所有部門的公開信息，比如信息簡報、工作動態、相關政策等信息，并提供部門子網站、相關網站的鏈接;外部用戶也可以通過訪問這個門戶進行單點登錄，然后根據權限的不同進入相關應用系統（信息門戶鏈接）進行操作。比如，辦公室用戶在統一信息門戶上登錄之后，只要權限允許就可以進行辦公自動化系統、郵件系統、圖片音像資料管理系統等業務應用而無須再次登錄。

4.6 整合方式

應用系統的整合時，需要提供統一的系統整合開發接口規范，不論之前建設的應用系統，還是今后建設的應用系統，按照規范進行改造和開發，整合到統一的信息門戶。

系統應支持兩種整合策略：

第一種方式：應用系統和管理系統緊密耦合。可以調整應用系統用戶與權限部分程序，調用統一身份認證和授權管理系統提供的數據服務。這種情況下可以采用無縫整合的方式，將用戶與權限數據完全整合。

第二種方式：應用系統和管理系統松散耦合。由于原程序結構設計等因素限制，不能調整原程序，但可以開放用戶信息，采取用戶映射的整合方式，將原用戶和權限數據與統一后的用戶和權限數據進行映射。

5 結束語

隨著現代云計算和移動互聯網的飛躍發展，政企用戶在傳統的針對PC和網絡Web業務系統的統一認證基礎上，提出新形式統一認證，身份權限管理需求。通過證書、指紋生物認證、掃碼登錄PC端應用等多媒體認證方式，實現單點登錄和統一身份認證，提升安全等級，也大大提高員工工作效率，降低企業管理成本。

參考文獻

[1]范軍，陳威，陳傳龍.基于企業門戶的單點登錄研究與應用[J].網絡安全技術與應用，2020（03）：94-95.

[2]沙曉晨.應用程序接口版權保護及限制研究[D].南京師范大學，2017：112.

[3]陳圣楠.基于CAS-LDAP的統一身份認證管理系統[J].信息與電腦（理論版），2019（12）：114-115.

[4]桑一梅，韓霞.基于RBAC模式的人力資源管理系統的開發[J].科技創新與應用，2019（29）：90-91.