韓凱寧　于雷　高萌

【摘 要】基于各種應(yīng)用系統(tǒng)的信息共享、信息傳遞和信息服務(wù)成為了數(shù)字化政務(wù)的重要組成部分。大多數(shù)系統(tǒng)采用獨立的身份認證模塊對用戶的訪問權(quán)限進行限制，不僅使用戶的登錄操作過于頻繁，而且易造成信息傳送中的安全隱患。通過對傳統(tǒng)認證方式、管理模式和權(quán)限分配機制等關(guān)鍵技術(shù)的深入分析與研究，設(shè)計了一個基于PKI的多域單點政務(wù)網(wǎng)登錄模型，確保了認證與登錄過程的信息安全，有效地提高了用戶和管理人員的工作效率。

【關(guān)鍵詞】PKI；認證；權(quán)限

0 引言

隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用層次的不斷提升，政務(wù)信息網(wǎng)絡(luò)的建設(shè)成為了所有政務(wù)信息建設(shè)的一項重要內(nèi)容，對信息資源的整合、及時更新等需求也日益迫切。一般政務(wù)信息網(wǎng)絡(luò)是由多個政務(wù)信息應(yīng)用系統(tǒng)組成，如政務(wù)一卡通系統(tǒng)、財務(wù)系統(tǒng)、自動化辦公系統(tǒng)、人事管理系統(tǒng)等。由于這些應(yīng)用系統(tǒng)不是在同一時間統(tǒng)一構(gòu)建的，而是在政務(wù)活動過程中逐步完善的，所有應(yīng)用系統(tǒng)都是根據(jù)自己獨特的應(yīng)用特點構(gòu)建獨立的數(shù)據(jù)庫、用戶登錄和使用界面、工作運行流程等，這樣就造成了各個應(yīng)用系統(tǒng)集中化程度不高的問題。而且在很大程度上影響了工作效率，阻礙了政務(wù)管理水平的提升。因此，提出將政務(wù)信息網(wǎng)絡(luò)的各個應(yīng)用系統(tǒng)進行集中化管理，采用統(tǒng)一的標(biāo)準(zhǔn)進行重新定義，構(gòu)建一站式服務(wù)系統(tǒng)，使原有業(yè)務(wù)和管理體系相對獨立、互不協(xié)調(diào)的現(xiàn)象得到有效整合，減少資源浪費和重復(fù)建設(shè)，達到業(yè)務(wù)流程重組、提高效率的戰(zhàn)略意圖；有效緩解政務(wù)管理、人員管理、財務(wù)管理和服務(wù)等繁重的業(yè)務(wù)，提高了政府的管理水平，切實讓信息化成為政府效率提升的重要途徑。

1 單點登錄技術(shù)

從管理的角度講，傳統(tǒng)的多點登錄方式需要管理每個不同的域的用戶賬號，面對不同的用戶接口。基于對可用性和安全性的考慮的不斷增加，迫切要求提出一種整合不同的域，提供一種統(tǒng)一管理用戶登錄和賬號管理的系統(tǒng)。提供這樣一種服務(wù)可以帶來以下的好處：

（1）減少用戶登錄不同系統(tǒng)的次數(shù)，這樣就減少了登錄錯誤的次數(shù)。

（2）通過減少用戶登錄不同系統(tǒng)認證身份的處理次數(shù)，大大提供了系統(tǒng)的安全性保障。

（3）給管理員在系統(tǒng)上添加，刪除用戶信息和修改用戶訪問權(quán)限提供了極大的方便。

（4）有利于系統(tǒng)管理員對不同系統(tǒng)進行整合和管理。

基于單點登錄技術(shù)的發(fā)展和對目前政務(wù)中已出現(xiàn)的統(tǒng)一身份認證系統(tǒng)的研究，提出可對所有被授權(quán)的網(wǎng)絡(luò)資源進行無縫訪問。用戶不用再面對不同的系統(tǒng)記住不同的用戶名和密碼，只需輸入一次用戶名和密碼，就可以訪問所有被授權(quán)的服務(wù)。這樣不但提供了用戶和管理員的工作效率，還提高了網(wǎng)絡(luò)的安全性。

2 單點登錄系統(tǒng)的模型設(shè)計

設(shè)計一個基于PKI的多域單點登錄系統(tǒng)。該系統(tǒng)基于SAML信任與授權(quán)標(biāo)準(zhǔn)架構(gòu)，采用雙因素認證和數(shù)字證書認證方法為用戶進行強身份認證，運用分布式認證技術(shù)支持用戶跨域訪問應(yīng)用服務(wù)器，通過屬性證書支持基于角色的訪問控制有效實現(xiàn)了多域環(huán)境下的單點登錄，實現(xiàn)了與應(yīng)用系統(tǒng)的整合。模型如圖1所示：

該模型是基于經(jīng)紀(jì)人和代理的單點登錄模型，認證服務(wù)器作為經(jīng)紀(jì)人對本域內(nèi)的用戶進行統(tǒng)一的身份認證和授權(quán)，系統(tǒng)整合模塊作為代理充當(dāng)著用戶認證方式和應(yīng)用服務(wù)認證方式間的翻譯，將應(yīng)用系統(tǒng)的修改量減少到最小。由該模型實現(xiàn)的系統(tǒng)應(yīng)用于分布式網(wǎng)絡(luò)環(huán)境中，支持跨域訪問，域A的用戶可以訪問域B的應(yīng)用服務(wù)器，同理，域B的用戶也可以訪問域A的應(yīng)用服務(wù)器。系統(tǒng)跨域訪問的關(guān)鍵是域間的認證服務(wù)器如何建立信任關(guān)系。采用分布式認證技術(shù)，構(gòu)建域間交叉證書，在不同域的認證服務(wù)器通過域間的交叉證書來確認對方身份的合法性，建立一條跨域的安全通道，實現(xiàn)域間的身份認證，從而達到多域間單點登錄的目的。這樣，就把原來相互獨立的安全域集合成一個整體，只要用戶擁有相應(yīng)的權(quán)限，就可以無限制地訪問各個安全域內(nèi)的應(yīng)用服務(wù)器。

3 單點登錄系統(tǒng)設(shè)計

單點登錄系統(tǒng)從功能上可以分為客戶端認證代理模塊；認證授權(quán)模塊、系統(tǒng)整合模塊、憑證庫、數(shù)據(jù)中心、應(yīng)用服務(wù)器等六部分。

客戶端認證代理模塊提供了系統(tǒng)與用戶的交互界面，用戶可以采用多種認證手段進行單點登錄，如輸入用戶名口令，使用數(shù)字證書等。為了防止票據(jù)的重放攻擊，客戶端認證代理還設(shè)置了隨機數(shù)生成器。

認證授權(quán)模塊主要負責(zé)對用戶進行統(tǒng)一的身份認證和授權(quán)，它采用雙因素和數(shù)字證書相結(jié)合的認證方法驗證用戶的身份。在該系統(tǒng)中，用戶的公鑰證書和屬性證書存放于UsbKey中。只有當(dāng)用戶通過雙因素認證后才能成功登錄UsbKey，此時認證授權(quán)模塊讀取UsbKey中用戶的身份信息再一次進行認證。也就是說，只有當(dāng)用戶通過雙重認證后才能成功登錄系統(tǒng)。該模塊還將對合法用戶進行基于角色的訪問控制?；诮巧脑L問控制是將用戶劃分為不同的角色，再給角色授予相應(yīng)的權(quán)限，通過角色用戶就可以擁有一定的權(quán)限來訪問授權(quán)資源。用戶通過身份認證以后，將獲得一個授權(quán)票據(jù)，憑借此票據(jù)就可以對資源進行合法操作。

系統(tǒng)整合模塊使用戶的登錄界面統(tǒng)一化，并且把用戶注冊的單點登錄賬號和系統(tǒng)的原有賬號綁定，維護注冊和綁定信息，有效地解決了單點登錄系統(tǒng)與原有應(yīng)用系統(tǒng)的無縫整合問題。

憑證庫存儲本域內(nèi)所有用戶的票據(jù)和數(shù)字證書信息，并對其進行統(tǒng)一管理，一般采用LDAP目錄服務(wù)器來實現(xiàn)。系統(tǒng)通過判斷用戶身份來自動從憑證庫中獲取對應(yīng)的票據(jù)或數(shù)字證書。

數(shù)據(jù)中心存儲著本域內(nèi)用戶的身份信息、資源（下轉(zhuǎn)第3頁）（上接第1頁）信息、角色信息和授權(quán)信息。系統(tǒng)通過查詢數(shù)據(jù)中心就可以獲得用戶、角色、資源間的對應(yīng)關(guān)系，為實現(xiàn)基于角色的訪問控制提供可靠的依據(jù)。

應(yīng)用服務(wù)器根據(jù)用戶所持有的票據(jù)為其提供相應(yīng)的服務(wù)。

系統(tǒng)在設(shè)計時可采用J2EE標(biāo)準(zhǔn)的Web程序，以達到易實施性的要求，同時系統(tǒng)對舊有的系統(tǒng)采用了接口的實現(xiàn)方法，所以說系統(tǒng)只要按照接口的標(biāo)準(zhǔn)實施就可以了，工作量不大，對現(xiàn)有的應(yīng)用系統(tǒng)幾乎不用作任何修改。所以說以此模型設(shè)計的系統(tǒng)具有良好的可擴展性。

4 結(jié)語

文中提出了一種一個基于PKI的多域單點政務(wù)網(wǎng)登錄模型，將各個應(yīng)用系統(tǒng)采用統(tǒng)一的標(biāo)準(zhǔn)集成，避免了各個應(yīng)用系統(tǒng)各自為政的問題，使得用戶可以迅速找到所需要的信息，提高了政務(wù)信息的利用率，具有較高的使用價值，為政府各管理層提供了輔助決策的依據(jù)。

【參考文獻】

[1]吳波，王晶.基于基本 RBAC 模型的權(quán)限管理框架的設(shè)計與實現(xiàn)[J].計算機系統(tǒng)應(yīng)用，2011（04）：13-16.

[2]Jan De Clereq.Single Sign-on Architectures [S].RSAConferenee2003.

[3]郭理，秦懷斌，梁斌.基于 RBAC 的政務(wù) Web 服務(wù)平臺權(quán)限設(shè)計[J].微計算機信息，2011（02）：99-103.

[4]許小紅，石永革，鄭開新.基于 LDAP 的統(tǒng)一用戶管理系統(tǒng)研究與實現(xiàn)[J].計算機與現(xiàn)代化，2008（05）：76-79.

[責(zé)任編輯：薛俊歌]