基于統一身份認證的信息系統整合實踐研究

張 楠

（中國信息通信研究院 信息管理中心，北京 100191）

0 引言

在信息系統整合的過程中，需要重點匯集身份認證、授權、審計方案，落實多用戶的身份表示以及認證信息的升級，統一審計信息系統中存在的問題，給用戶落實統一的身份認證以及一站式的信息聚合服務，確保整個信息系統的運行高效、便捷、安全[1]。

1 踐行統一身份認證信息體系的整體方案搭建

1.1 統一門戶網站的功能設計以及優化

本文進行統一用戶網站系統設計、建設以及認證，突出信息資源系統的綜合性能。基于用戶的個性化需求，優化使用單點登錄功能、整合功能、個性化服務[2]，能夠通過網頁設計以及應用入口來搭建整個網站體系以及網絡頁面，使得用戶能夠經過一次身份認證就可以順利拿到對應數據的訪問權限。

1.2 統一用戶身份管理系統的設計

筆者在統一身份認證信息系統建設以及功能完善的過程中，對于身份認證的各種使用環境建立統一的身份管理體系[3]，例如用戶基本信息搜集以及存儲、組織機構信息存儲和分析、認證權限的管理等。統一用戶信息系統的系統辦公在自動化用戶管理中作為系統架構的基礎，直接對應并實現網絡數據庫的辦公自動化、用戶數據自動化。網絡系統要提高網站信息的標識度，集中進行密碼的管理以及系統的優化。在網站運營的過程中，減少弱口令、過期密碼等問題的發生。在網站業務功能整合的過程中，建立辦公自動化系統，提煉其便利性，達成信息的自動化管理以及系統的逐一操作[4]。

1.3 統一身份認證平臺的搭建

在進行統一身份認證平臺搭建以及設計的過程中，要將其看作一個獨立的網站系統。對身份認證、安全管理、賬號信息保存、權限設定以及統一功能的認定，逐步構建完整的網站功能體系。統一身份認證平臺要對整個網站信息進行現有系統的認定，升級用戶權限的認定，統一功能的升級、優化，最終提升網站的整體使用體驗[5]。統一身份認證平臺設計的總體架構包括了展現層、業務層、數據層以及存儲層，如圖1所示。

圖1 統一身份認證平臺的架構設計

統一身份認證平臺架構中的展現層主要是從Web應用端和移動應用端兩個端口入手，直接呈現給用戶，所應用的技術包括了JSP，JavaScript，HTML5以及Portal等技術，用戶在登錄網站和小程序端口的時候可以直接呈現出來[6]。

在平臺架構的業務層，將用戶的登錄端口與業務系統中的各個賬號一一對應，同步賬號與業務接口之間的關系，形成基于業務系統的本地用戶管理體系。統一身份認證的管理系統利用的是動態密碼、PKI證書、生物認證技術等，進行全部的登錄過程認證。本系統基于當代信息系統運用的需求，綜合用戶登錄權限管理、靜態密碼存儲、動態密碼更新、數字證書下發以及二維碼登錄方式的建立，組合多重認證形式以及組合提高方式，不斷落實身份認證的要求以及業務系統升級的需求。在移動網站支持下，本系統不斷強化數字證書的功能應用，提升網站權限管理的能力以及訪問功能的建立，逐步搭建出完整的統一身份認證平臺。

數據交換層搭建了業務系統的服務體系，完成了服務的集成及協調。統一認證平臺的數據交換層在建設的過程中運用了Oauth2，CAS，SAML等多元化的單點協議，完善了單點認證系統。在進行B/S架構搭建以及認證設計的過程中，用戶系統設定了訪問限制，推動二次結構以及認證功能的實現。集成網站接口使用了http以及https的通信協議，實現了Retful風格的建立，并在這一過程中使用了API接口。

存儲層包括了網站信息系統的數據庫，例如在網站搭建的過程中常用MySQL數據庫系統以及LDAP數據庫，借助數據庫系統能力的搭建實現數據的全方位管理，并對各類數據業務進行分類存儲以及運用分析，生成用戶信息的存儲和管理中心，包括日常業務的管理、網站管理日志等。

1.4 統一身份認證信息的安全系統功能設計

網站系統功能設計以及搭建，要綜合網站的各類業務，設計系統訪問權限、登錄以及退出功能，落實關鍵業務操作，強化網站信息系統的記錄、審計以及安全保障的分析能力以及功能。

網站審計的設計要支持時間查詢，針對用戶的每一個信息賬號、訪問權限、訪問日期以及訪問日志等使用痕跡，逐步完善系統的追蹤，實現安全審查以及信息的編輯，一旦發現網站信息系統中出現非法操作、非法登錄等都會及時采取措施，進行差異化的分析以及操作響應等。在審計功能設計的過程中，為了實現系統的安全，對審計信息設計要做防篡改的處理，防止人為修改的情況出現，一旦出現試圖修改審計信息的情況，就會對信息系統采取特殊的存儲處理，將網站的管理結果以最直觀的方式呈現在管理人面前。

2 統一身份認證平臺系統的功能的優化

對于統一認證信息系統平臺的建設，認證管理平臺要從幾個角度進行改善：

（1）傳統的CAS模式的網絡接口實現方式，從基礎的CAS Server功能到CAS Client的系統功能對接，進行CAS Server系統的獨立設計，承擔起客戶端資源保護以及訪問權限管理的工作責任。在系統登錄后，重新認定CAS Server系統，具體的定位流程如圖2所示。

圖2 傳統CAS模式單點登錄對接流程

（2）布置CAS客戶端與網站中需要受保護的客戶端系統時，應當都以Filter操作功能的信息資源保護方式進行操作。對每一個訪問受限的Web請求進行用戶憑證的設計，在網絡請求發起的過程中指定CAS服務端登錄網址，并將其傳遞給Service。在此基礎上，根據網站信息系統的個性化功能改良CAS流程，搭建一個網站頁面進行統一身份認證信息參數的處理以及應用，實現網站驗證需求的落實，并在未來用戶可以順利登錄，操作流程如圖3所示。

圖3 操作流程

對上述操作界面，用戶基于客戶端實現登錄操作，并在統一身份認證信息系統中利用單擊的操作完成，將SSO功能應用到未來的統一身份認證系統中，并進行url參數的上傳。

使用統一認證信息系統平臺進行用戶身份的認證以及核查，要采用回調的方式進行數據校驗，核對用戶的憑證以及身份。如果校驗結果是成功的，則會返回用戶信息；如果校驗失敗，將會收到登錄失敗的提示。

3 結語

在信息時代，網站的應用以及信息的管理有效擴展了社會的認可度以及接受度，通過網站信息系統的安全建設，優化風險管理，統一身份認證信息系統的應用以及優化成為一種必然。統一身份認證信息系統的設計以及運用，使網站經過信息系統的整合以及多個層面的應用，既提升用戶的體驗，又規范網站信息系統的管理以及后續的推廣，不僅提升了網站的管理安全性，還提升了用戶管理、開發人員以及管理人員的統一管理協調性，便于業務系統的升級以及更替，推動更加規范的網站管理體系建設。