張 楠

（中國信息通信研究院 信息管理中心，北京 100191）

0 引言

在信息系統(tǒng)整合的過程中，需要重點匯集身份認(rèn)證、授權(quán)、審計方案，落實多用戶的身份表示以及認(rèn)證信息的升級，統(tǒng)一審計信息系統(tǒng)中存在的問題，給用戶落實統(tǒng)一的身份認(rèn)證以及一站式的信息聚合服務(wù)，確保整個信息系統(tǒng)的運行高效、便捷、安全[1]。

1 踐行統(tǒng)一身份認(rèn)證信息體系的整體方案搭建

1.1 統(tǒng)一門戶網(wǎng)站的功能設(shè)計以及優(yōu)化

本文進(jìn)行統(tǒng)一用戶網(wǎng)站系統(tǒng)設(shè)計、建設(shè)以及認(rèn)證，突出信息資源系統(tǒng)的綜合性能?；谟脩舻膫€性化需求，優(yōu)化使用單點登錄功能、整合功能、個性化服務(wù)[2]，能夠通過網(wǎng)頁設(shè)計以及應(yīng)用入口來搭建整個網(wǎng)站體系以及網(wǎng)絡(luò)頁面，使得用戶能夠經(jīng)過一次身份認(rèn)證就可以順利拿到對應(yīng)數(shù)據(jù)的訪問權(quán)限。

1.2 統(tǒng)一用戶身份管理系統(tǒng)的設(shè)計

筆者在統(tǒng)一身份認(rèn)證信息系統(tǒng)建設(shè)以及功能完善的過程中，對于身份認(rèn)證的各種使用環(huán)境建立統(tǒng)一的身份管理體系[3]，例如用戶基本信息搜集以及存儲、組織機構(gòu)信息存儲和分析、認(rèn)證權(quán)限的管理等。統(tǒng)一用戶信息系統(tǒng)的系統(tǒng)辦公在自動化用戶管理中作為系統(tǒng)架構(gòu)的基礎(chǔ)，直接對應(yīng)并實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫的辦公自動化、用戶數(shù)據(jù)自動化。網(wǎng)絡(luò)系統(tǒng)要提高網(wǎng)站信息的標(biāo)識度，集中進(jìn)行密碼的管理以及系統(tǒng)的優(yōu)化。在網(wǎng)站運營的過程中，減少弱口令、過期密碼等問題的發(fā)生。在網(wǎng)站業(yè)務(wù)功能整合的過程中，建立辦公自動化系統(tǒng)，提煉其便利性，達(dá)成信息的自動化管理以及系統(tǒng)的逐一操作[4]。

1.3 統(tǒng)一身份認(rèn)證平臺的搭建

在進(jìn)行統(tǒng)一身份認(rèn)證平臺搭建以及設(shè)計的過程中，要將其看作一個獨立的網(wǎng)站系統(tǒng)。對身份認(rèn)證、安全管理、賬號信息保存、權(quán)限設(shè)定以及統(tǒng)一功能的認(rèn)定，逐步構(gòu)建完整的網(wǎng)站功能體系。統(tǒng)一身份認(rèn)證平臺要對整個網(wǎng)站信息進(jìn)行現(xiàn)有系統(tǒng)的認(rèn)定，升級用戶權(quán)限的認(rèn)定，統(tǒng)一功能的升級、優(yōu)化，最終提升網(wǎng)站的整體使用體驗[5]。統(tǒng)一身份認(rèn)證平臺設(shè)計的總體架構(gòu)包括了展現(xiàn)層、業(yè)務(wù)層、數(shù)據(jù)層以及存儲層，如圖1所示。

圖1 統(tǒng)一身份認(rèn)證平臺的架構(gòu)設(shè)計

統(tǒng)一身份認(rèn)證平臺架構(gòu)中的展現(xiàn)層主要是從Web應(yīng)用端和移動應(yīng)用端兩個端口入手，直接呈現(xiàn)給用戶，所應(yīng)用的技術(shù)包括了JSP，JavaScript，HTML5以及Portal等技術(shù)，用戶在登錄網(wǎng)站和小程序端口的時候可以直接呈現(xiàn)出來[6]。

在平臺架構(gòu)的業(yè)務(wù)層，將用戶的登錄端口與業(yè)務(wù)系統(tǒng)中的各個賬號一一對應(yīng)，同步賬號與業(yè)務(wù)接口之間的關(guān)系，形成基于業(yè)務(wù)系統(tǒng)的本地用戶管理體系。統(tǒng)一身份認(rèn)證的管理系統(tǒng)利用的是動態(tài)密碼、PKI證書、生物認(rèn)證技術(shù)等，進(jìn)行全部的登錄過程認(rèn)證。本系統(tǒng)基于當(dāng)代信息系統(tǒng)運用的需求，綜合用戶登錄權(quán)限管理、靜態(tài)密碼存儲、動態(tài)密碼更新、數(shù)字證書下發(fā)以及二維碼登錄方式的建立，組合多重認(rèn)證形式以及組合提高方式，不斷落實身份認(rèn)證的要求以及業(yè)務(wù)系統(tǒng)升級的需求。在移動網(wǎng)站支持下，本系統(tǒng)不斷強化數(shù)字證書的功能應(yīng)用，提升網(wǎng)站權(quán)限管理的能力以及訪問功能的建立，逐步搭建出完整的統(tǒng)一身份認(rèn)證平臺。

數(shù)據(jù)交換層搭建了業(yè)務(wù)系統(tǒng)的服務(wù)體系，完成了服務(wù)的集成及協(xié)調(diào)。統(tǒng)一認(rèn)證平臺的數(shù)據(jù)交換層在建設(shè)的過程中運用了Oauth2，CAS，SAML等多元化的單點協(xié)議，完善了單點認(rèn)證系統(tǒng)。在進(jìn)行B/S架構(gòu)搭建以及認(rèn)證設(shè)計的過程中，用戶系統(tǒng)設(shè)定了訪問限制，推動二次結(jié)構(gòu)以及認(rèn)證功能的實現(xiàn)。集成網(wǎng)站接口使用了http以及https的通信協(xié)議，實現(xiàn)了Retful風(fēng)格的建立，并在這一過程中使用了API接口。

存儲層包括了網(wǎng)站信息系統(tǒng)的數(shù)據(jù)庫，例如在網(wǎng)站搭建的過程中常用MySQL數(shù)據(jù)庫系統(tǒng)以及LDAP數(shù)據(jù)庫，借助數(shù)據(jù)庫系統(tǒng)能力的搭建實現(xiàn)數(shù)據(jù)的全方位管理，并對各類數(shù)據(jù)業(yè)務(wù)進(jìn)行分類存儲以及運用分析，生成用戶信息的存儲和管理中心，包括日常業(yè)務(wù)的管理、網(wǎng)站管理日志等。

1.4 統(tǒng)一身份認(rèn)證信息的安全系統(tǒng)功能設(shè)計

網(wǎng)站系統(tǒng)功能設(shè)計以及搭建，要綜合網(wǎng)站的各類業(yè)務(wù)，設(shè)計系統(tǒng)訪問權(quán)限、登錄以及退出功能，落實關(guān)鍵業(yè)務(wù)操作，強化網(wǎng)站信息系統(tǒng)的記錄、審計以及安全保障的分析能力以及功能。

網(wǎng)站審計的設(shè)計要支持時間查詢，針對用戶的每一個信息賬號、訪問權(quán)限、訪問日期以及訪問日志等使用痕跡，逐步完善系統(tǒng)的追蹤，實現(xiàn)安全審查以及信息的編輯，一旦發(fā)現(xiàn)網(wǎng)站信息系統(tǒng)中出現(xiàn)非法操作、非法登錄等都會及時采取措施，進(jìn)行差異化的分析以及操作響應(yīng)等。在審計功能設(shè)計的過程中，為了實現(xiàn)系統(tǒng)的安全，對審計信息設(shè)計要做防篡改的處理，防止人為修改的情況出現(xiàn)，一旦出現(xiàn)試圖修改審計信息的情況，就會對信息系統(tǒng)采取特殊的存儲處理，將網(wǎng)站的管理結(jié)果以最直觀的方式呈現(xiàn)在管理人面前。

2 統(tǒng)一身份認(rèn)證平臺系統(tǒng)的功能的優(yōu)化

對于統(tǒng)一認(rèn)證信息系統(tǒng)平臺的建設(shè)，認(rèn)證管理平臺要從幾個角度進(jìn)行改善：

（1）傳統(tǒng)的CAS模式的網(wǎng)絡(luò)接口實現(xiàn)方式，從基礎(chǔ)的CAS Server功能到CAS Client的系統(tǒng)功能對接，進(jìn)行CAS Server系統(tǒng)的獨立設(shè)計，承擔(dān)起客戶端資源保護(hù)以及訪問權(quán)限管理的工作責(zé)任。在系統(tǒng)登錄后，重新認(rèn)定CAS Server系統(tǒng)，具體的定位流程如圖2所示。

圖2 傳統(tǒng)CAS模式單點登錄對接流程

（2）布置CAS客戶端與網(wǎng)站中需要受保護(hù)的客戶端系統(tǒng)時，應(yīng)當(dāng)都以Filter操作功能的信息資源保護(hù)方式進(jìn)行操作。對每一個訪問受限的Web請求進(jìn)行用戶憑證的設(shè)計，在網(wǎng)絡(luò)請求發(fā)起的過程中指定CAS服務(wù)端登錄網(wǎng)址，并將其傳遞給Service。在此基礎(chǔ)上，根據(jù)網(wǎng)站信息系統(tǒng)的個性化功能改良CAS流程，搭建一個網(wǎng)站頁面進(jìn)行統(tǒng)一身份認(rèn)證信息參數(shù)的處理以及應(yīng)用，實現(xiàn)網(wǎng)站驗證需求的落實，并在未來用戶可以順利登錄，操作流程如圖3所示。

圖3 操作流程

對上述操作界面，用戶基于客戶端實現(xiàn)登錄操作，并在統(tǒng)一身份認(rèn)證信息系統(tǒng)中利用單擊的操作完成，將SSO功能應(yīng)用到未來的統(tǒng)一身份認(rèn)證系統(tǒng)中，并進(jìn)行url參數(shù)的上傳。

使用統(tǒng)一認(rèn)證信息系統(tǒng)平臺進(jìn)行用戶身份的認(rèn)證以及核查，要采用回調(diào)的方式進(jìn)行數(shù)據(jù)校驗，核對用戶的憑證以及身份。如果校驗結(jié)果是成功的，則會返回用戶信息；如果校驗失敗，將會收到登錄失敗的提示。

3 結(jié)語

在信息時代，網(wǎng)站的應(yīng)用以及信息的管理有效擴(kuò)展了社會的認(rèn)可度以及接受度，通過網(wǎng)站信息系統(tǒng)的安全建設(shè)，優(yōu)化風(fēng)險管理，統(tǒng)一身份認(rèn)證信息系統(tǒng)的應(yīng)用以及優(yōu)化成為一種必然。統(tǒng)一身份認(rèn)證信息系統(tǒng)的設(shè)計以及運用，使網(wǎng)站經(jīng)過信息系統(tǒng)的整合以及多個層面的應(yīng)用，既提升用戶的體驗，又規(guī)范網(wǎng)站信息系統(tǒng)的管理以及后續(xù)的推廣，不僅提升了網(wǎng)站的管理安全性，還提升了用戶管理、開發(fā)人員以及管理人員的統(tǒng)一管理協(xié)調(diào)性，便于業(yè)務(wù)系統(tǒng)的升級以及更替，推動更加規(guī)范的網(wǎng)站管理體系建設(shè)。