謝紹均， 洪 雯

(1.暨南大學(xué)信息管理辦公室，廣東 廣州 510632;2.廣東省廣播電視網(wǎng)絡(luò)股份有限公司技術(shù)部，廣東 廣州 510012)

隨著高校信息化進(jìn)程的加深，信息門戶的應(yīng)用規(guī)模日益擴(kuò)大，用戶身份認(rèn)證管理的效率和安全性越來越受到挑戰(zhàn)，隸屬于不同業(yè)務(wù)部門或者由不同開發(fā)商開發(fā)的應(yīng)用需要進(jìn)行整合，打通應(yīng)用交互通道，在統(tǒng)一平臺下提供一站式服務(wù)［1］.

解決應(yīng)用集成過程中解決用戶賬戶管理和認(rèn)證問題，集成化的用戶認(rèn)證技術(shù)應(yīng)運(yùn)而生.在沒有集成化認(rèn)證的情況下，每個(gè)應(yīng)用都有各自的賬號密碼，并且很多應(yīng)用的賬號規(guī)則是不一樣的，用戶就需要記住多個(gè)賬號密碼，容易造成混亂或者登陸失敗，或者有的用戶為了記住這么多的密碼將所有的賬號密碼記在筆記本上，造成賬號泄露，處理用戶忘記密碼的工作量也增加了系統(tǒng)管理員的負(fù)擔(dān)［2］.

1 IDM與SSO

SSO(Single Sign-On，單點(diǎn)登錄)是傳統(tǒng)意義上的系統(tǒng)集成登錄認(rèn)證解決方案，實(shí)現(xiàn)了一個(gè)賬號通行多個(gè)應(yīng)用系統(tǒng)［3］，現(xiàn)在很多高校的系統(tǒng)集成采用的就是這種解決方案，典型的SSO就是CAS認(rèn)證體系.

SSO沒有解決的幾個(gè)問題:

(1)集成的應(yīng)用系統(tǒng)各自需要建額外的授權(quán)管理及權(quán)限認(rèn)證機(jī)制，應(yīng)用之間權(quán)限認(rèn)證不互通，這就很難實(shí)現(xiàn)基于服務(wù)驅(qū)動的應(yīng)用規(guī)劃.

(2)權(quán)限管理的分散造成對信息門戶管理員的困擾，越權(quán)授權(quán)、過期回收不及時(shí)等現(xiàn)象時(shí)有發(fā)生.

(3)應(yīng)用系統(tǒng)有各自的一套日志留存機(jī)制，甚至有的應(yīng)用沒有建立用戶的訪問日志.

IDM是用戶身份標(biāo)識管理和認(rèn)證的深度集成，在當(dāng)前高校信息化程度越來越高，應(yīng)用越來越復(fù)雜的情況下，IDM比SSO更符合實(shí)際應(yīng)用的需求［4-8］.

2 IDM平臺的構(gòu)建

IDM包含了賬戶信息庫、權(quán)限信息庫、授權(quán)管理平臺、集中認(rèn)證、日志管理幾個(gè)模塊，結(jié)構(gòu)如圖1.

圖1 IDM平臺結(jié)構(gòu)Fig.1 IDM platform structure

2.1 賬戶信息庫

賬戶信息庫是信息門戶的核心資產(chǎn)，記錄了所有系統(tǒng)合法用戶的賬戶信息，也是系統(tǒng)重點(diǎn)保護(hù)對象.IDM的賬戶信息庫將門戶內(nèi)部應(yīng)用的用戶進(jìn)行整合，有效提高賬戶管理效率，為系統(tǒng)實(shí)名制使用提供了保證.

IDM包含了授權(quán)管理平臺，因此，信息門戶內(nèi)的應(yīng)用不需要對賬戶權(quán)限信息進(jìn)行核對，也即不需要對賬戶信息進(jìn)行讀取，因此，IDM的賬戶信息庫可以做更高級別的加密措施.

2.2 權(quán)限信息庫

權(quán)限信息庫按照應(yīng)用系統(tǒng)來劃分主題，在每個(gè)主題內(nèi)部定義了應(yīng)用系統(tǒng)相應(yīng)的角色和權(quán)限，應(yīng)用系統(tǒng)的用戶對應(yīng)的權(quán)限由IDM來統(tǒng)一存儲.

目前沒有做單點(diǎn)登錄的系統(tǒng)都將權(quán)限列表保存在各自的系統(tǒng)中，即使做了單點(diǎn)登錄也沒有解決應(yīng)用系統(tǒng)的權(quán)限統(tǒng)一管理問題，而IDM采用工廠化的用戶身份生產(chǎn)模式，應(yīng)用系統(tǒng)直接繞過用戶權(quán)限信息管理環(huán)節(jié)，既提高了系統(tǒng)開發(fā)效率，也降低了身份管理復(fù)雜度［9］，將所有應(yīng)用系統(tǒng)的用戶權(quán)限置于安全審計(jì)機(jī)制中.

2.3 授權(quán)管理平臺

IDM授權(quán)管理平臺體現(xiàn)了集成化管理的優(yōu)勢，首先，IDM授權(quán)管理平臺將應(yīng)用系統(tǒng)權(quán)限統(tǒng)一管理，提高了系統(tǒng)授權(quán)的可控性和安全性;其次，該平臺采用基于主題的授權(quán)方式，面向服務(wù)授權(quán)而不是面向系統(tǒng)授權(quán);此外，該平臺實(shí)現(xiàn)跨平臺應(yīng)用系統(tǒng)的無縫接合，在系統(tǒng)間可以自由跳轉(zhuǎn)，使應(yīng)用系統(tǒng)能提供更好的用戶體驗(yàn).

在IDM授權(quán)管理平臺可以完成用戶創(chuàng)建、授權(quán)、回收權(quán)限、凍結(jié)、注銷，關(guān)于用戶身份標(biāo)識的所有變化都及時(shí)反映到應(yīng)用系統(tǒng)，取消了身份同步環(huán)節(jié)，避免應(yīng)用系統(tǒng)越權(quán)授權(quán)［10-11］.

2.4 集中認(rèn)證

基于IDM的集中認(rèn)證與非基于IDM的認(rèn)證過程(SSO)相比，前者多了一個(gè)攜帶用戶權(quán)限的結(jié)點(diǎn)，其用戶認(rèn)證授權(quán)過程如下圖:

圖2 IDM的集中認(rèn)證Fig.2 Centralized authentication of IDM

應(yīng)用系統(tǒng)使用IDM的授權(quán)平臺進(jìn)行了過濾，通過與IDM集中認(rèn)證會話的權(quán)限進(jìn)行比對來授權(quán)訪問，而不是與應(yīng)用系統(tǒng)本身的權(quán)限管理機(jī)制來進(jìn)行比對，甚至在完全基于IDM構(gòu)件的身份標(biāo)識體系中，應(yīng)用系統(tǒng)完全取消了權(quán)限管理的模塊［12］.

這種認(rèn)證模式存在一個(gè)問題，由于IDM認(rèn)證的用戶權(quán)限令牌除了攜帶用戶賬戶信息外還需對用戶角色及權(quán)限進(jìn)行處理，令牌的數(shù)據(jù)量較非IDM認(rèn)證要大許多.針對這個(gè)問題，IDM提供了兩種解決方式，一個(gè)是按照主題來封裝權(quán)限，二個(gè)是令牌只封裝主題，兩者各有優(yōu)劣.

按主題封裝權(quán)限是用戶認(rèn)證過后進(jìn)入某主題應(yīng)用時(shí)，將用戶屬于該應(yīng)用的權(quán)限信息封裝于會話令牌中，用戶漫游時(shí)直接與該令牌進(jìn)行權(quán)限比對，這種方式比對效率高，用戶訪問速度快，對于規(guī)模較小的應(yīng)用尤其合適;缺點(diǎn)是會話攜帶的數(shù)據(jù)量較大，權(quán)限信息的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)要求較高.

令牌只封裝主題的方式是，用戶認(rèn)證身份后將用戶已被授權(quán)訪問的主題封裝于會話中，用戶訪問某主題的具體功能模塊時(shí)應(yīng)用提取用戶賬戶與IDM平臺交互，比對用戶權(quán)限后返回應(yīng)用判斷用戶是否擁有該模塊的權(quán)限，會話無需攜帶大量數(shù)據(jù)，適合權(quán)限體系較復(fù)雜的大型應(yīng)用系統(tǒng);缺點(diǎn)是所有應(yīng)用的權(quán)限比對交互過程都要訪問IDM，增加IDM的壓力，用戶的訪問速度也較第一種方式稍慢［13］.

通常高校信息門戶的應(yīng)用之間復(fù)雜度差異較大，可以采用兩種方式結(jié)合來平衡數(shù)據(jù)量和訪問速度的矛盾.

2.5 日志管理

高校信息門戶包含了人、財(cái)、物、教學(xué)資源、科研成果等應(yīng)用，是高校的核心IT資產(chǎn)，構(gòu)建IDM平臺的另外一個(gè)重要環(huán)節(jié)是建立日志留存、審計(jì)機(jī)制，對門戶用戶的訪問進(jìn)行監(jiān)控及安全過濾，既要承擔(dān)保護(hù)IT資產(chǎn)安全性的任務(wù)又要為用戶提供快速的認(rèn)證管理服務(wù).

IDM的賬戶信息集中存儲、集中認(rèn)證簡化了信息門戶的日志管理流程，應(yīng)用系統(tǒng)無需建立單獨(dú)的日志，用戶的認(rèn)證記錄，錯誤操作記錄，非法操作嘗試等信息都記錄在IDM的日志管理庫中，具體應(yīng)用的操作痕跡保留通過數(shù)據(jù)同步接口進(jìn)入IDM日志，實(shí)行信息門戶認(rèn)證整體的集中監(jiān)控及審計(jì)［14-15］.

3 IDM的標(biāo)準(zhǔn)建設(shè)

3.1 IDM信息標(biāo)準(zhǔn)

作為高校信息門戶信息標(biāo)準(zhǔn)的一個(gè)重要分支，IDM平臺遵循教育部教育信息化標(biāo)準(zhǔn)2012版的基礎(chǔ)上，擴(kuò)充平臺自有信息標(biāo)準(zhǔn)，涵蓋賬戶信息、權(quán)限信息、日志信息，形成IDM的信息標(biāo)準(zhǔn)體系.

信息門戶的應(yīng)用必須遵循IDM信息標(biāo)準(zhǔn)構(gòu)建，為用戶創(chuàng)造一個(gè)高效協(xié)同的身份管理環(huán)境.

3.2 數(shù)據(jù)同步接口標(biāo)準(zhǔn)

IDM的數(shù)據(jù)同步接口標(biāo)準(zhǔn)包含數(shù)據(jù)表實(shí)時(shí)同步標(biāo)準(zhǔn)和數(shù)據(jù)查詢接口標(biāo)準(zhǔn)，基于這兩中接口的標(biāo)準(zhǔn)，應(yīng)用可以與IDM進(jìn)行雙向的動態(tài)交互.

通過數(shù)據(jù)表實(shí)時(shí)同步接口，應(yīng)用可以將用戶操作記錄信息推送到IDM日志信息庫，便于管理員進(jìn)行監(jiān)審;數(shù)據(jù)查詢接口則提供了快速的用戶信息、權(quán)限信息的查詢通道，便于應(yīng)用對用戶擴(kuò)展信息進(jìn)行比對及定制［16］.

4 小結(jié)

高校信息門戶的用戶基數(shù)大、應(yīng)用數(shù)量多、權(quán)限信息復(fù)雜等因素使得IDM平臺的便利性和通用性逐步受到重視，IDM也正在成為高校信息門戶的基礎(chǔ)設(shè)施;基于IDM構(gòu)建的應(yīng)用，共享了信息門戶賬戶集中管理帶來的便利性，縮短項(xiàng)目開發(fā)周期，使應(yīng)用更安全、高效［17］.

在實(shí)際項(xiàng)目應(yīng)用中，IDM平臺構(gòu)建方案為超過5萬名師生提供了約30個(gè)應(yīng)用的身份管理服務(wù)，而在IDM管理下的應(yīng)用在開發(fā)的過程中則無需進(jìn)行用戶信息、權(quán)限信息、日志信息、安全審計(jì)的開發(fā)，節(jié)約了大量的成本;IDM通過用戶身份的分發(fā)和管理，為用戶展現(xiàn)的是服務(wù)，而不是一個(gè)個(gè)割裂的子系統(tǒng)，更好地體現(xiàn)了SOA的架構(gòu)設(shè)計(jì)理念.

［1］ 羅偉其.信息大系統(tǒng)綜合集成研究的體系模型［J］.暨南大學(xué)學(xué)報(bào):自然科學(xué)版，2004，25(5):557-561.

［2］ 馬榮飛.統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與科學(xué).2009，31(2):145-149.

［3］ 王振輝.一種安全登錄子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.科學(xué)技術(shù)與工程.2012，12(22):5624-5629.

［4］ 陳泉冰，王會進(jìn).一種改進(jìn)的基于任務(wù)-角色的訪問控制模型［J］.暨南大學(xué)學(xué)報(bào):自然科學(xué)版，2010，31(1):29-34.

［5］ 何云強(qiáng)，李建鳳.RBAC中基于概念格的權(quán)限管理研究［J］.河南大學(xué)學(xué)報(bào):自然科學(xué)版，2011，41(3):308-310.

［6］ 李 鍵，陳 杰.RBAC模型權(quán)限管理中三種新的角色繼承機(jī)制和授權(quán)策略［J］.四川大學(xué)學(xué)報(bào):自然科學(xué)版，2007，44(3):521-524.

［7］ 杜 梅，曹蔚然，周傳生.RBAC在WEB環(huán)境OA系統(tǒng)權(quán)限控制中的應(yīng)用［J］.沈陽師范大學(xué)學(xué)報(bào):自然科學(xué)版，2009，27(1):78-80.

［8］ 何麗波，郝林.基于角色管理的訪問控制在USSP項(xiàng)目中的應(yīng)用［J］.云南大學(xué)學(xué)報(bào):自然科學(xué)版，2006，28(S2):64-67.

［9］ 曾雪梅，許 春，粟 海.基于IDM的高校數(shù)據(jù)整合分析與實(shí)現(xiàn)［J］.微計(jì)算機(jī)信息，2011，27(4):113-115.

［10］ 李 建，沈昌祥，韓 臻.身份管理研究綜述［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2009，30(6):1365-1370.

［11］ 黎軍軍.基于JZEE的身份管理模式的研究與實(shí)現(xiàn)［D］.北京:北京交通大學(xué)，2007:32-42.

［12］ 倪 亮.多級跨域聯(lián)盟身份管理的研究與實(shí)現(xiàn)［D］.北京:北京交通大學(xué)，2007:57-60.

［13］ 盧建朱，陳火炎.基于共享驗(yàn)證的認(rèn)證加密方案［J］.暨南大學(xué)學(xué)報(bào):自然科學(xué)版，2001，22(5):81-83.

［14］ 趙 琨.身份管理系統(tǒng)與企業(yè)信息系統(tǒng)的集成與應(yīng)用研究［D］.上海:上海交通大學(xué)，2008:28-31.

［15］ 朱少敏，劉建明，魏曉菁.基于LDAP的企業(yè)級統(tǒng)一用戶身份管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.核電子學(xué)與探測技術(shù)，2008，28(3):662-666.

［16］ 徐元區(qū).基于統(tǒng)一身份管理的企業(yè)安全體系架構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)［D］.北京:北京郵電大學(xué)，2007:53-55.

［17］ 艾 飛，鄒 杜，張 凌.數(shù)字校園統(tǒng)一身份管理模型及關(guān)鍵技術(shù)［J］.大連海事大學(xué)學(xué)報(bào)，2010，36(1):126-128.