劉日初 蔣嶸 張以皓

1解放軍理工大學指揮自動化學院 江蘇 210007 2解放軍后勤指揮學院 北京 100858

0 引言

本文分析了當前主流SSO系統(tǒng)及其存在的問題，以面向服務的思想為基本出發(fā)點，借鑒Kerberos認證協(xié)議的用戶認證方式，提出一種基于 SOA的集中式用戶認證授權(quán)服務架構(gòu)，解決了現(xiàn)有信息系統(tǒng)中用戶認證繁瑣冗余，可管理性差，存在安全缺陷等問題。針對當前信息化發(fā)展現(xiàn)狀和未來發(fā)展趨勢，實現(xiàn)了支持C/S和B/S架構(gòu)的單點登錄系統(tǒng)，該系統(tǒng)可在異構(gòu)的信息系統(tǒng)中實現(xiàn)應用系統(tǒng)單點登錄，簡化了用戶的登錄過程，同時提供集中和便捷的身份管理、安全的認證機制、權(quán)限管理和審計，以滿足對信息系統(tǒng)使用的便捷性和安全管理的需求。

1 主流身份認證技術(shù)及其問題

目前單點登錄方案主要包括基于中間人、基于代理以及基于網(wǎng)關等幾類，其中最具影響力的是Kerberos 認證協(xié)議。Kerberos目前已發(fā)展出多個版本，其功能在不斷得到發(fā)展完善，但也還存在一些局限性，主要表現(xiàn)為使用共享密鑰為認證依據(jù)，在密鑰分發(fā)與管理方面存在困難以及口令和會話密鑰難以安全存放在計算機系統(tǒng)中。

隨著PKI技術(shù)的發(fā)展，又出現(xiàn)了基于證書的單點登錄方案。證書機制沿用了PKI思想，通過可信第三方發(fā)放的證書實現(xiàn)用戶和服務器之間的相互認證?；谧C書的單點登錄系統(tǒng)由證書授權(quán)(certificate authority，CA)、用戶和服務器3個部分組成。其中，CA主要負責用戶和服務器的證書分發(fā)、更新和用戶權(quán)限的管理；用戶和服務器通過CA分發(fā)的證書實現(xiàn)相互認證。該方案的特點是利用非對稱密碼認證機制實現(xiàn)單點登錄。

Kerberos方案與基于證書的方案各有優(yōu)缺點。Kerberos方案采用對稱密碼認證機制，計算資源的消耗低，單位時間響應認證請求能力強；而證書認證方案中，Server對 Client的身份驗證無需CA在線；短期的CA故障不會使得整個系統(tǒng)崩潰。但是Kerberos方案存在重放攻擊問題、單點失效問題，而證書方案對性能要求高，防御DDoS攻擊能力差。

2 系統(tǒng)架構(gòu)設計

在多應用系統(tǒng)中，統(tǒng)一認證服務的主要目的是為多種應用提供單點登錄解決方案，用戶可以將后臺應用系統(tǒng)(B/S結(jié)構(gòu)的WEB應用系統(tǒng)和C/S結(jié)構(gòu)的應用系統(tǒng))和單點登錄系統(tǒng)無縫整合在一起而無須修改原有應用系統(tǒng)。

統(tǒng)一認證服務架構(gòu)選擇以 SOA(Service Oriented Architecture)模型為基礎構(gòu)建。SOA是一種軟件架構(gòu)模型，它可以根據(jù)需要對松耦合的粗粒度應用組件進行分布式部署、組合和使用。服務之間采用松耦合有兩大好處，第一是各種服務能夠靈活組合，第二是每個服務的內(nèi)部結(jié)構(gòu)和實現(xiàn)發(fā)生改變時，其構(gòu)成的整個應用程序無需改變。系統(tǒng)使用了基于SOAP協(xié)議的Web服務技術(shù)來構(gòu)建統(tǒng)一身份認證服務架構(gòu)，該技術(shù)正快速發(fā)展。是未來的發(fā)展方向，它提供了一個系統(tǒng)架構(gòu)以及一系列的技術(shù)標準與規(guī)范。

在基于SOA的統(tǒng)一身份認證服務架構(gòu)中，依據(jù)SOA定義的服務提供者和服務使用者角色，將統(tǒng)一身份認證服務所要實現(xiàn)的功能封裝成為服務提供者，作為服務使用者的各應用系統(tǒng)必須依據(jù)統(tǒng)一服務接口所定義的調(diào)用方法才能調(diào)用服務。服務提供者按三層結(jié)構(gòu)來設計，分別為統(tǒng)一認證中心數(shù)據(jù)庫、統(tǒng)一信息管理和統(tǒng)一服務接口。對統(tǒng)一認證中心數(shù)據(jù)庫的訪問操作經(jīng)過封裝后。只有經(jīng)過統(tǒng)一服務接口才能進行訪問，同時在統(tǒng)一服務接口處設置相應的安全性檢查和訪問控制的策略匹配來提高對中心數(shù)據(jù)庫的訪問安全。

服務使用者調(diào)用一次服務的過程為：

（1）服務使用者依據(jù)認證語言及語法構(gòu)造認證指令。

（2）使用與服務提供者約定的加密算法對認證指令進行加密。

（3）將加密后的密文封裝成SOAP消息，并將消息發(fā)送到服務提供者。

（4）服務提供者收到SOAP消息后拆封并提取消息。

（5）使用與服務使用者約定的加密算法解密密文。

（6）對明文進行語法、語義進行有效性驗證，通過驗證后執(zhí)行認證指令。

（7）將執(zhí)行的結(jié)果加密、封裝為SOAP消息并再發(fā)送給服務使用者。

（8）服務使用者收到 SOAP消息后拆封、解密并提取執(zhí)行的結(jié)果。

上述過程中，認證指令選擇采用XML(擴展標記語言)格式。這主要是考慮到XML是一種定義表示語言，它獨立于操作平臺和實現(xiàn)語言，能夠被不同的應用解析表現(xiàn)。作為一種自描述性的語言，它實現(xiàn)了數(shù)據(jù)內(nèi)容和表現(xiàn)形式的分離，已成為通用語言。正是XML的平臺無關性，它為統(tǒng)一身份認證提供了一種理想的實現(xiàn)方法。

由于認證指令是基于XML格式的，所以構(gòu)造與解析認證指令實際上是對XML的序列化與反序列化的過程，同時執(zhí)行結(jié)果也是XML格式的，所以提取執(zhí)行結(jié)果實際上也是對XML的處理。對認證指令及執(zhí)行結(jié)果的加密與否在這里是可選的。當返回的執(zhí)行結(jié)果的信息量很大而對安全性要求不高的內(nèi)容可以不進行加密而直接返回明文，從而減少加密與解密所花的時間。

統(tǒng)一身份認證采用圖1所示系統(tǒng)體系結(jié)構(gòu)。

圖1 統(tǒng)一認證系統(tǒng)體系結(jié)構(gòu)

統(tǒng)一認證系統(tǒng)服務架構(gòu)由單點登錄，統(tǒng)一身份管理，統(tǒng)一授權(quán)管理，統(tǒng)一審計和統(tǒng)一安全管理中心組成。單點登錄服務既能支持B/S系統(tǒng)，也能支持C/S系統(tǒng)。統(tǒng)一身份管理為多應用系統(tǒng)提供全局的用戶身份管理，支持賬號密碼、USBKey、智能卡等多種不同方式的用戶身份認證。統(tǒng)一授權(quán)管理管理所有可訪問資源，提供資源的訪問控制策略，能滿足多級安全需求。安全管理中心提供對用戶身份信息，權(quán)限，應用系統(tǒng)，審計信息的集中管理，并對統(tǒng)一認證服務系統(tǒng)本身進行維護管理，系統(tǒng)管理員通過Web界面進行統(tǒng)一管理。

3 關鍵技術(shù)及其實現(xiàn)

3.1 用戶賬號管理研究

（1）LDAP統(tǒng)一賬號及賬號同步管理

用戶賬號管理是統(tǒng)一身份認證的基礎。賬號管理考慮以若干賬號管理組件提供用戶賬號全生命期管理，這些組件共同構(gòu)成賬號管理平臺。

賬號生命周期管理中首要的是對賬號信息源的管理。利用賬號管理平臺作為統(tǒng)一的賬號信息源提供用戶主賬號。利用LDAP技術(shù)的查詢優(yōu)勢，通過LDAP技術(shù)構(gòu)建LDAP服務器作為賬號信息源。由于在許多實際系統(tǒng)中不能將所有的用戶信息都集中存儲，通常不同的應用系統(tǒng)有各自不同的用戶信息源，單點登錄系統(tǒng)允許用戶信息有多個不同的可信來源，信息的不健全與不一致，為此采取同步技術(shù)實現(xiàn)了LDAP服務器和其它各可信賬號信息源點之間的同步。在同步的實現(xiàn)方面，如果同步的數(shù)據(jù)源都以LDAP技術(shù)構(gòu)建，則通過在賬號管理平臺中進行配置實現(xiàn)同步；如果要求同步的數(shù)據(jù)源構(gòu)建技術(shù)不一致，則通過使用同步代理技術(shù)實現(xiàn)同步。

（2）委托管理和自注冊管理

具有良好可用性的用戶賬號信息管理平臺必須提供靈活的賬號信息管理方式，為此，本系統(tǒng)將委托管理和自注冊管理作為管理平臺必備的基本功能。委托管理允許將某項管理功能分配給指定的下級單位或代理人員，是他們可以管理被委托部門或單位內(nèi)部的特定用戶，執(zhí)行特定的權(quán)限，委托考慮以角色賦予的方式實現(xiàn)。自注冊管理方面，根據(jù)定制的策略，使用戶可以自助完成某些工作，無需管理員介入。

良好的擴展性是統(tǒng)一身份認證和管理平臺必須支持的。通過開發(fā)認證服務接口來使得新開發(fā)的應用系統(tǒng)通過調(diào)用認證服務接口，從而實現(xiàn)與統(tǒng)一身份認證管理平臺的集成，用戶在平臺上通過一次認證后，就可以被與其接口的應用系統(tǒng)認可。新開發(fā)的系統(tǒng)無需再建立用戶數(shù)據(jù)庫，只在LDAP服務器中擁有一套用戶身份信息(用戶名和密碼，或數(shù)字證書標識)即可。

3.2 數(shù)字證書中心

CA是證書認證的基礎，本系統(tǒng)以PKI體系為藍本，構(gòu)建了一個濃縮版的PKI作為CA，為統(tǒng)一身份認證服務提供支持。構(gòu)建的CA具備認證系統(tǒng)所需的所有重要功能，同時具有建設簡便，使用靈活的特點。采用軟件加密方式，也支持硬件加密方式的擴展，通過多級CA結(jié)構(gòu)方式，形成分布式、模塊化、安全的數(shù)字認證體系。系統(tǒng)的證書簽發(fā)中心(CA)和用戶密鑰管理中心(KMC)，分別完成簽發(fā)數(shù)字證書和管理用戶解密私鑰的功能。系統(tǒng)所簽發(fā)的證書遵循X.509 標準，證書介質(zhì)支持磁盤、IC卡和USB Key等多種存儲設備。簽發(fā)的證書支持SSL、VPN、S/MIME安全電子郵件、智能卡登錄等多種應用。

3.3 統(tǒng)一認證系統(tǒng)安全性

作為應用系統(tǒng)的基礎平臺，統(tǒng)一認證系統(tǒng)的安全特別是單點登錄系統(tǒng)平臺的安全性非常重要。在系統(tǒng)采用以下的方法保證安全：

（1）內(nèi)容安全。通過應用安全級別較高的加密算法，對存儲的用戶登錄信息。包括用戶登錄名稱、登錄 ID號碼、電子數(shù)字證書等進行加密，保證即使系統(tǒng)管理員也無法獲得或更改這些信息；

（2）傳輸安全。對于B/S系統(tǒng)，采用HTTPS/SSL安全傳輸通道，保證信息在傳輸中的安全；對于C/S系統(tǒng)，應用業(yè)界標準的安全認證協(xié)議，在傳輸前進行雙向認證，同時，對通信內(nèi)容進行加密和散列，也能保證信息在傳輸中的安全；

（3）事后安全。在安全模型中，除了事前評估，事中控制外，還有事后的審計。單點登錄平臺提供完善的日志記錄功能，日志內(nèi)容包括登錄時間、登錄用戶身份、登錄的應用系統(tǒng)、登錄時使用的客戶機IP地址、計算機名和MAC地址等。

4 結(jié)論

隨著信息化建設的不斷推進，信息系統(tǒng)的功能規(guī)模持續(xù)擴展，各種業(yè)務系統(tǒng)在用戶認證管理方面迫切需要進行有效的整合，通過整合來提高系統(tǒng)使用管理方面的便捷性以及系統(tǒng)整體的安全性。從長遠角度看，未來新的多業(yè)務系統(tǒng)的建設都要提供統(tǒng)一認證服務，有關統(tǒng)一認證技術(shù)的研究及相關系統(tǒng)的開發(fā)應當成為信息化建設的重要組成部分，當前需要在現(xiàn)有技術(shù)的基礎上，積極研究開發(fā)適合已有信息系統(tǒng)環(huán)境的統(tǒng)一認證服務系統(tǒng)，開發(fā)的系統(tǒng)既要對原有的系統(tǒng)認證方式提供一定的兼容性，同時也要具備良好的擴展性，使新增的應用系統(tǒng)能夠“即插即用”。本文通過研究提出了統(tǒng)一身份認證服務架構(gòu)，討論了該系統(tǒng)的服務架構(gòu)設計的參考模型選擇，架構(gòu)依賴的技術(shù)基礎，架構(gòu)的組成要素及邏輯關系，架構(gòu)要素的設計技術(shù)與方法，架構(gòu)的功能特性分析等，并基于SOA的統(tǒng)一身份認證系統(tǒng)實現(xiàn)了用戶管理、身份認證、分級權(quán)限管理和單點登錄等功能，從而提高了系統(tǒng)安全性和開發(fā)便利性。

[1]魏東,陳曉江,房鼎益.基于 SOA 體系結(jié)構(gòu)的軟件開發(fā)方法研究[J].微電子學與計算機.2005.

[2]何珍祥,董逸生.基于Web服務的SOA設計與傳統(tǒng)軟件設計方法的關系[J].計算機系統(tǒng)應用.2008.