基于統(tǒng)一身份認證的信息系統(tǒng)整合實踐研究

張 楠

（中國信息通信研究院 信息管理中心，北京 100191）

0 引言

在信息系統(tǒng)整合的過程中，需要重點匯集身份認證、授權、審計方案，落實多用戶的身份表示以及認證信息的升級，統(tǒng)一審計信息系統(tǒng)中存在的問題，給用戶落實統(tǒng)一的身份認證以及一站式的信息聚合服務，確保整個信息系統(tǒng)的運行高效、便捷、安全[1]。

1 踐行統(tǒng)一身份認證信息體系的整體方案搭建

1.1 統(tǒng)一門戶網(wǎng)站的功能設計以及優(yōu)化

本文進行統(tǒng)一用戶網(wǎng)站系統(tǒng)設計、建設以及認證，突出信息資源系統(tǒng)的綜合性能。基于用戶的個性化需求，優(yōu)化使用單點登錄功能、整合功能、個性化服務[2]，能夠通過網(wǎng)頁設計以及應用入口來搭建整個網(wǎng)站體系以及網(wǎng)絡頁面，使得用戶能夠經(jīng)過一次身份認證就可以順利拿到對應數(shù)據(jù)的訪問權限。

1.2 統(tǒng)一用戶身份管理系統(tǒng)的設計

筆者在統(tǒng)一身份認證信息系統(tǒng)建設以及功能完善的過程中，對于身份認證的各種使用環(huán)境建立統(tǒng)一的身份管理體系[3]，例如用戶基本信息搜集以及存儲、組織機構信息存儲和分析、認證權限的管理等。統(tǒng)一用戶信息系統(tǒng)的系統(tǒng)辦公在自動化用戶管理中作為系統(tǒng)架構的基礎，直接對應并實現(xiàn)網(wǎng)絡數(shù)據(jù)庫的辦公自動化、用戶數(shù)據(jù)自動化。網(wǎng)絡系統(tǒng)要提高網(wǎng)站信息的標識度，集中進行密碼的管理以及系統(tǒng)的優(yōu)化。在網(wǎng)站運營的過程中，減少弱口令、過期密碼等問題的發(fā)生。在網(wǎng)站業(yè)務功能整合的過程中，建立辦公自動化系統(tǒng)，提煉其便利性，達成信息的自動化管理以及系統(tǒng)的逐一操作[4]。

1.3 統(tǒng)一身份認證平臺的搭建

在進行統(tǒng)一身份認證平臺搭建以及設計的過程中，要將其看作一個獨立的網(wǎng)站系統(tǒng)。對身份認證、安全管理、賬號信息保存、權限設定以及統(tǒng)一功能的認定，逐步構建完整的網(wǎng)站功能體系。統(tǒng)一身份認證平臺要對整個網(wǎng)站信息進行現(xiàn)有系統(tǒng)的認定，升級用戶權限的認定，統(tǒng)一功能的升級、優(yōu)化，最終提升網(wǎng)站的整體使用體驗[5]。統(tǒng)一身份認證平臺設計的總體架構包括了展現(xiàn)層、業(yè)務層、數(shù)據(jù)層以及存儲層，如圖1所示。

圖1 統(tǒng)一身份認證平臺的架構設計

統(tǒng)一身份認證平臺架構中的展現(xiàn)層主要是從Web應用端和移動應用端兩個端口入手，直接呈現(xiàn)給用戶，所應用的技術包括了JSP，JavaScript，HTML5以及Portal等技術，用戶在登錄網(wǎng)站和小程序端口的時候可以直接呈現(xiàn)出來[6]。

在平臺架構的業(yè)務層，將用戶的登錄端口與業(yè)務系統(tǒng)中的各個賬號一一對應，同步賬號與業(yè)務接口之間的關系，形成基于業(yè)務系統(tǒng)的本地用戶管理體系。統(tǒng)一身份認證的管理系統(tǒng)利用的是動態(tài)密碼、PKI證書、生物認證技術等，進行全部的登錄過程認證。本系統(tǒng)基于當代信息系統(tǒng)運用的需求，綜合用戶登錄權限管理、靜態(tài)密碼存儲、動態(tài)密碼更新、數(shù)字證書下發(fā)以及二維碼登錄方式的建立，組合多重認證形式以及組合提高方式，不斷落實身份認證的要求以及業(yè)務系統(tǒng)升級的需求。在移動網(wǎng)站支持下，本系統(tǒng)不斷強化數(shù)字證書的功能應用，提升網(wǎng)站權限管理的能力以及訪問功能的建立，逐步搭建出完整的統(tǒng)一身份認證平臺。

數(shù)據(jù)交換層搭建了業(yè)務系統(tǒng)的服務體系，完成了服務的集成及協(xié)調。統(tǒng)一認證平臺的數(shù)據(jù)交換層在建設的過程中運用了Oauth2，CAS，SAML等多元化的單點協(xié)議，完善了單點認證系統(tǒng)。在進行B/S架構搭建以及認證設計的過程中，用戶系統(tǒng)設定了訪問限制，推動二次結構以及認證功能的實現(xiàn)。集成網(wǎng)站接口使用了http以及https的通信協(xié)議，實現(xiàn)了Retful風格的建立，并在這一過程中使用了API接口。

存儲層包括了網(wǎng)站信息系統(tǒng)的數(shù)據(jù)庫，例如在網(wǎng)站搭建的過程中常用MySQL數(shù)據(jù)庫系統(tǒng)以及LDAP數(shù)據(jù)庫，借助數(shù)據(jù)庫系統(tǒng)能力的搭建實現(xiàn)數(shù)據(jù)的全方位管理，并對各類數(shù)據(jù)業(yè)務進行分類存儲以及運用分析，生成用戶信息的存儲和管理中心，包括日常業(yè)務的管理、網(wǎng)站管理日志等。

1.4 統(tǒng)一身份認證信息的安全系統(tǒng)功能設計

網(wǎng)站系統(tǒng)功能設計以及搭建，要綜合網(wǎng)站的各類業(yè)務，設計系統(tǒng)訪問權限、登錄以及退出功能，落實關鍵業(yè)務操作，強化網(wǎng)站信息系統(tǒng)的記錄、審計以及安全保障的分析能力以及功能。

網(wǎng)站審計的設計要支持時間查詢，針對用戶的每一個信息賬號、訪問權限、訪問日期以及訪問日志等使用痕跡，逐步完善系統(tǒng)的追蹤，實現(xiàn)安全審查以及信息的編輯，一旦發(fā)現(xiàn)網(wǎng)站信息系統(tǒng)中出現(xiàn)非法操作、非法登錄等都會及時采取措施，進行差異化的分析以及操作響應等。在審計功能設計的過程中，為了實現(xiàn)系統(tǒng)的安全，對審計信息設計要做防篡改的處理，防止人為修改的情況出現(xiàn)，一旦出現(xiàn)試圖修改審計信息的情況，就會對信息系統(tǒng)采取特殊的存儲處理，將網(wǎng)站的管理結果以最直觀的方式呈現(xiàn)在管理人面前。

2 統(tǒng)一身份認證平臺系統(tǒng)的功能的優(yōu)化

對于統(tǒng)一認證信息系統(tǒng)平臺的建設，認證管理平臺要從幾個角度進行改善：

（1）傳統(tǒng)的CAS模式的網(wǎng)絡接口實現(xiàn)方式，從基礎的CAS Server功能到CAS Client的系統(tǒng)功能對接，進行CAS Server系統(tǒng)的獨立設計，承擔起客戶端資源保護以及訪問權限管理的工作責任。在系統(tǒng)登錄后，重新認定CAS Server系統(tǒng)，具體的定位流程如圖2所示。

圖2 傳統(tǒng)CAS模式單點登錄對接流程

（2）布置CAS客戶端與網(wǎng)站中需要受保護的客戶端系統(tǒng)時，應當都以Filter操作功能的信息資源保護方式進行操作。對每一個訪問受限的Web請求進行用戶憑證的設計，在網(wǎng)絡請求發(fā)起的過程中指定CAS服務端登錄網(wǎng)址，并將其傳遞給Service。在此基礎上，根據(jù)網(wǎng)站信息系統(tǒng)的個性化功能改良CAS流程，搭建一個網(wǎng)站頁面進行統(tǒng)一身份認證信息參數(shù)的處理以及應用，實現(xiàn)網(wǎng)站驗證需求的落實，并在未來用戶可以順利登錄，操作流程如圖3所示。

圖3 操作流程

對上述操作界面，用戶基于客戶端實現(xiàn)登錄操作，并在統(tǒng)一身份認證信息系統(tǒng)中利用單擊的操作完成，將SSO功能應用到未來的統(tǒng)一身份認證系統(tǒng)中，并進行url參數(shù)的上傳。

使用統(tǒng)一認證信息系統(tǒng)平臺進行用戶身份的認證以及核查，要采用回調的方式進行數(shù)據(jù)校驗，核對用戶的憑證以及身份。如果校驗結果是成功的，則會返回用戶信息；如果校驗失敗，將會收到登錄失敗的提示。

3 結語

在信息時代，網(wǎng)站的應用以及信息的管理有效擴展了社會的認可度以及接受度，通過網(wǎng)站信息系統(tǒng)的安全建設，優(yōu)化風險管理，統(tǒng)一身份認證信息系統(tǒng)的應用以及優(yōu)化成為一種必然。統(tǒng)一身份認證信息系統(tǒng)的設計以及運用，使網(wǎng)站經(jīng)過信息系統(tǒng)的整合以及多個層面的應用，既提升用戶的體驗，又規(guī)范網(wǎng)站信息系統(tǒng)的管理以及后續(xù)的推廣，不僅提升了網(wǎng)站的管理安全性，還提升了用戶管理、開發(fā)人員以及管理人員的統(tǒng)一管理協(xié)調性，便于業(yè)務系統(tǒng)的升級以及更替，推動更加規(guī)范的網(wǎng)站管理體系建設。