企業級的級聯身份認證架構及應用設計

關鍵詞： 身份單點認證 企業多級部署 企業級級聯認證 無差異訪問

中圖分類號： TP31 文獻標識碼： A 文章編號： 1672-3791（2023）16-0021-05

隨著企業數字化建設的快速深入推進，企業應用對可靠性易用性的要求也逐步提高。在大型央企中，在各個應用的部署模式上，有的應用是在總部實現統一部署，有的應用是總部與子級分公司實現多級部署的模式，這兩種模式并存。在央企推動改革創新的過程中，子級分公司的個性化需求更偏向于切合自身實際情況的需求，因此根據不同應用的實際情況，多種部署方式的情況會一直持續下去。因此，在子級分公司用戶的日常辦公中，子級分公司的本地業務應用與總部業務應用具有系統整合需求。這種系統整合主要采用界面集成的方式，大型企業一般是建設統一門戶[1]作為統一入口，用戶一次登錄之后，可以訪問有權限的業務應用，尤其是跨單位、跨域的場景下，界面集成須依賴具備級聯能力的認證服務支撐。

在此種情況下，如何保障統一部署的應用與多級部署應用之間的認證互通，確保用戶登錄統一門戶之后能直接訪問一級部署與多級部署的業務應用，是一個突出的問題。本文結合支撐國網公司企業內部的級聯認證經驗，從數據同步[2]、級聯認證、安全防護等方面提出的基于企業級的完整級聯認證方案，并闡述了該方案在國網公司的實際應用情況。

1 總體架構

國家電網公司業務應用中，主要分成總部一級部署、省市公司二級部署兩種部署方式：一是在國網總部集中部署，供全網使用的一級部署應用；二是總部網省兩級部署，或是省市自建而部署在省市公司的二級部署應用。

1.1 統一權限平臺

統一權限平臺作為國網公司統一的身份認證、權限管理平臺，承載了全網用戶身份數據的集中管理與業務應用的統一認證業務。業務應用通過與統一權限平臺集成，實現了身份維護與數據同步，用戶訪問業務應用之間的單點登錄[3]，一來可以降低開發成本，二來可通過統一權限的集中化管理，提升國網公司整體身份認證的安全防護能力。

1.2 統一門戶

國網公司通過信息化的不斷深入，建設了一套基于統一單點認證服務的內網企業門戶，形成企業級認證、統一的門戶展示、便捷性業務應用訪問入口、平臺級防護、開放式框架等核心能力，改變了大而全、專業間相互獨立的企業級門戶應用建設方式，實現應用入口集中、防護集中。

統一門戶在總部與網省都有個性化的一套部署，無論是網省還是總部用戶，都會通過各自的門戶平臺去實現線上辦公。統一權限平臺同為兩級部署架構，目前已分別實現了總部、省市公司Web 端業務應用的身份納管和統一認證，如圖1 所示。用戶登錄統一門戶之后，如果訪問總部一級部署的信息化應用，則需要統一權限平臺建立一套針對企業級應用的級聯認證機制。

企業級級聯認證主要采用OAuth2.0[4]協議實現業務應用的授權管理，統一權限在認證協議上支持CAS、OAuth2.0 認證體系。要實現企業級的級聯認證，兩級統一權限的認證服務之間需要形成一種安全互信機制，實現的用戶身份票據互。另外，兩級統一權限之間要建立完善的數據同步機制，確保兩側數據一致。

2 級聯認證

2.1 單點登錄與級聯認證

單點登錄的過程大致如下：首先，用戶登錄統一門戶成功之后，在門戶中點擊業務應用圖標；其次，業務應用跳轉統一認證進行登錄，統一認證校驗業務應用合法性之后，為業務應用頒發一次性單點票據，并重定向回業務應用；最后，業務應用后臺用一次性票據到統一權限獲得用戶信息，登錄結束。普通的單點登錄，整個登錄流程只需要對應部署下統一權限參與，如圖2所示。

一級應用（以黨建系統為例）的單點登錄流程，在票據校驗過程與普通單點登錄產生了差異。門戶為業務應用在本地統一權限申請授權碼；獲得授權碼后，將瀏覽器的請求認證指向一級認證地址，同時攜帶業務應用的回跳地址；接下來一級收到授權碼，到二級統一權限校驗授權碼，并獲取到用戶；獲取成功之后，在一級統一權限為業務應用用戶生成一次性單點票，后續流程同普通單點登錄流程，最后完成級聯認證登錄，如圖3 所示。

2.2 級聯認證詳細過程

圖4 描述了網省用戶在二級統一門戶中點擊一級業務應用開始，直至用戶登錄成功訪問一級業務應用的全過程。下面對登錄過程進行詳細說明。

2.2.1 統一門戶申請權碼

前提條件：用戶首先登錄到統一門戶，當前統一門戶已經完成安全認證。

首先，用戶點擊統一門戶中的一級業務應用，一級業務應用發現用戶是未登錄狀態，告知統一門戶，統一門戶向二級統一權限申請授權碼Authorization Code。其次，二級統一權限對當前用戶身份進行確認，若確認是合法應用，則頒發Authorization Code 并給統一門戶。

2.2.2 統一門戶向一級應用提交登錄票

前提條件：統一門戶已經申請到業務應用的AuthorizationCode，在此步驟中將涉及級聯認證的過程。首先，統一門戶跳轉一級統一認證，同時告知對應Authorization Code、APPID（權限頒發的應用ID）、service（應用的回跳地址）以及申請票據的二級認證服務地址（Proxy Url）。其次，一級統一權限對應用信息進行確認，若確認是合法應用，將根據提供的認證地址，向二級統一權限發起授權碼驗證申請。再次，二級統一權限對請求來源進行互信驗證，明確對方來源之后，對其授權碼進行驗證是否合法有效，確認AuthorizationCode 有效后，響應當前登錄用戶信息。最后，一級統一權限獲取到用戶身份信息之后，獲取本地的用戶身份信息，然后為業務應用生成一次性單點票，并重定向回業務應用。

2.2.3 一級業務應用使用登錄

票完成登錄使用ticket 完成登錄，在此過程中，回到了正常的業務應用與認證的集成流程中。業務應用拿到ticket之后，就可以進行登錄操作了。

首先，業務應用客戶端攜帶ticket 訪問后臺，請求登錄；業務應用后臺攜帶ticket，前往一級部署的統一權限進行身份確認。其次，ticket 由一級權限頒發，因此一級業務應用可以直接識別ticket，同時提供本地用戶信息。最后，業務應用拿到用戶信息，生成自身會話信息，登錄成功。

3 保障機制

3.1 數據一致性

保障總部與網省的數據的一致性是完成級聯認證的基礎，確保用戶在兩級統一權限進行級聯認證時可以通過唯一的身份主鍵信息確認雙方各自身份。依據國家電網信息系統的主要技術路線，在國網目前已集成的信息系統，他們在業務數據持久化上，選擇的是關系型數據庫，而在對數據源的操作上是通過JDBC[5]驅動來完成。在企業應用數據一致性的關鍵技術架構中，有典型如Oracle GodenGate 以及類似產品，用以實現各種關系型數據庫之間的數據同步，保證數據的一致性，其支持如SQL 56^61、032 等多種目前市面上常用的數據庫之間的數據同步，但是其主要依托于數據庫本身數據備份機制去直接實現兩邊數據內容的一致性，對于開發者是無法感知與干預其同步過程，導致其擴展性有限，該方式多用于系統災難級備份。

根據信息化系統的實際情況，各個系統之間的數據模型設計是不一致的，更多各個系統保留有自身獨特的業務，因此通過底層數據同步去完成數據的一致性[6]，是無法在企業信息化建設中所適用的，在數據同步過程中涉及業務的轉換。采用JDBC 驅動的對數據的操作，在每一次的完整業務數據處理操作中，程序設計會對整個業務流程進行控制，確保以業務為單位的每次操作都能統一入庫或者統一回退。但是在基于JDBC 進行原始數據采集時，需要保證數據的一致性與數據同步的時序性問題，具體應對方式如下。

3.1.1 提供JDBC 代理

在當前系統接入之前，國網信息化系統已初具規模，在實際生產邏輯復雜的情況下，要實現兩級身份數據的一致性，是非常復雜、繁瑣的一個過程，并且如何處理已建系統的數據采集，避免過多的系統改造、業務的侵入，是數據采集需要整體考慮的風險。

基于現有實際業務架構的分析與信息化系統的特性，可以JDBC 驅動作為切入點，通過監聽驅動的增刪改操作，來進行數據采集，不僅在現有信息化架構設計的事務性考慮上，滿足每次業務操作的原子性，同時能夠避免對業務層代碼的侵入，保證每次操作的原子性，降低對現有系統業務層的改造帶來的業務風險，同時可以保證原始數據采集的業務連貫性與原子性。

3.1.2 自動重試與手動處理

數據的一致性是在跨多系統的數據同步中最為常見的問題，而在不同的業務需求場景下對數據一致性又區分為強一致性、弱一致性以及最終一致性。在這3 個一致性定義中，強一致性缺點很突出，就是會導致系統整體可用性不高，然而弱一致性雖然是系統可用性更高，但因為數據無法保證完整的一致，最顯著的情況就是導致強關聯業務出現問題，影響正常使用。而基于數據的最終一致性，在滿足系統可用性的同時，也能盡最大可能避免業務不一致帶來的影響。

在系統間數據同步的架構設計中，CAP 理論一直是所有廠商在需求解決的問題，然后卻一直無法有效解決，只能盡可能避免。因此，更多廠商為提升系統的可用性，大多都采用最終一致性來保證數據的最終一致。為了更好地實現數據的最終一致性，系統架構在設計上多采用消息組件來實現，在滿足了系統解耦的同時，依靠消息中間件的高可用也保證了數據不丟失，并且消息中間件的有序消費能夠進一步保證數據的一致性。

雖然消息中間件在數據最終一致性架構中擔任了不可或缺的地位，但其最終也只是為了更好地適應架構，并不能完全解決數據一致性問題。因此，在此基礎上，在通過數據同步的過程中，添加更多機制如重復嘗試與手工同步操作，更好地利用線上、線下兩種方式，來實現達到最終的數據一致性。

3.2 安全防護

3.2.1 多因子認證元素的充分運用，確保用戶憑證信息安全

用戶的身份驗證環節所有業務應用都與統一權限平臺進行集成，業務應用只需要接入統一認證，后續的登錄過程是基于統一門戶認證成功之后，進行授權碼申請、登錄票據的簽發，并再傳輸用戶驗證信息。而統一權限主要多因子與國密等方式實現登錄認證過程，具有較高的安全性。

3.2.2 在級聯認證中融合OAuth2.0認證機制

通過授權碼的申請，授權碼與當前登錄身份信息進行綁定，讓認證過程形成完整閉環。統一權限平臺通過兩級認證的互信機制對授權碼進行核實，確認授權碼有效才可進入后續步驟，各個要素環環相扣，形成閉環。

3.2.3 級聯認證的準入與身份核查雙重校驗

在兩級認證服務的架構設計中，引入自身服務之間的互信機制。在省市公司的統一權限的中注冊一級統一權限的服務地址，同時導入互信的證書。通信過程中基于互信證書采用HTTPS 協議進行通信。

在國網總部的統一權限擁有企業的權威身份數據，維護了全國網的數據，網省公司統一權限頒發票據前需要驗證當前系統的合法性，同時校驗身份信息是否完整，同時頒發的票據為短時間一次有效，避免黑客在網絡截包之后，利用原有請求發起攻擊，引入防重放機制，避免黑客的重復攻擊。總部統一權限在獲取到授權碼去驗證時，攜帶自身身份信息，網省在驗證身份信息之后，再進行下一步授權碼驗證，實現身份的雙重驗證，提升級聯認證的安全性。

4 結語

本文所述方案與級聯認證在國網實際項目中的應用情況基于OAuth2.0 協議，實現了級聯認證流程閉環；通過身份的級聯編碼貫通數據的一致性，通過認證服務自身的互信機制與證書，規避了級聯數據被篡改風險。總體在確保級聯認證流程的安全基礎上，實現了用戶無感知的訪問統一部署應用與多級部署應用。目前，該企業級聯認證設計方案已在國網公司上線應用，支撐了全網多套企業級信息化應用的級聯登錄認證，運行情況良好。