基于web服務(wù)的統(tǒng)一認(rèn)證平臺(tái)探討

摘要：本文的目的在探討一個(gè)簡單有效的方案，將有一定聯(lián)系，擁有統(tǒng)一用戶群的系統(tǒng)進(jìn)行關(guān)聯(lián)，統(tǒng)一用戶的登錄資料，并提供統(tǒng)一的登錄認(rèn)證入口。統(tǒng)一認(rèn)證系統(tǒng)與不同應(yīng)用子系統(tǒng)之間建立一定的信任關(guān)系，通過一定的渠道交換認(rèn)證信息，在保證用戶信息安全的基礎(chǔ)上，實(shí)現(xiàn)認(rèn)證關(guān)系的共享機(jī)制。使用戶一個(gè)地方一次登錄之后，便可以在相應(yīng)的應(yīng)用系統(tǒng)群中遨游，而不用沒到一個(gè)系統(tǒng)就進(jìn)行登錄，甚至使用不同的賬號(hào)和密碼進(jìn)行登錄。

關(guān)鍵詞：統(tǒng)一認(rèn)證信息化web服務(wù)

一、前言

隨著企業(yè)信息建設(shè)進(jìn)程的逐步深入，企業(yè)內(nèi)部運(yùn)行的應(yīng)用系統(tǒng)也隨之增加.傳統(tǒng)上這些應(yīng)用系統(tǒng)各自擁有一套用戶及不同的身份認(rèn)證方式，結(jié)果造成多套用戶共存及用戶信息冗余，用戶多密碼記憶及多點(diǎn)登陸.這嚴(yán)重影響了用戶使用的效率，并對整個(gè)系統(tǒng)的安全帶來了極大的隱患.所以，在企業(yè)信息化建設(shè)過程必須通過科學(xué)的集中認(rèn)證技術(shù)，實(shí)現(xiàn)應(yīng)用系統(tǒng)的用戶集中管理和統(tǒng)一認(rèn)證，徹底改變各自為政，管理松散的用戶管理模式，充分發(fā)揮企業(yè)內(nèi)部網(wǎng)絡(luò)管理維護(hù)部門的管理職責(zé)，規(guī)范用戶操作行為。

二、平臺(tái)建設(shè)工具的確定

無論是何種應(yīng)用環(huán)境，都將面對不同的平臺(tái)、不同的系統(tǒng)和不同的編程環(huán)境，要能最大可能地支持所有的平臺(tái)、系統(tǒng)和編程環(huán)境，同時(shí)又要確保服務(wù)的實(shí)現(xiàn)代價(jià)保持相對固定。目前看來，選擇基于規(guī)范的.net Web服務(wù)解決方案將是最佳的選擇。

三、平臺(tái)架構(gòu)

1.統(tǒng)一身份管理

平臺(tái)在統(tǒng)一、可伸縮、健壯的基礎(chǔ)架構(gòu)上有效的實(shí)現(xiàn)了用戶分組管理、用戶賬號(hào)管理、用戶角色管理和用戶自注冊等統(tǒng)一的身份管理功能。

分組管理：分組管理用戶可以按照企業(yè)內(nèi)部的用戶、部門組織結(jié)構(gòu)并分別進(jìn)行管理。

用戶賬號(hào)管理：用戶賬號(hào)管理統(tǒng)一管理用戶的賬號(hào)信息，包括創(chuàng)建，修改，刪除，或停止賬號(hào)。當(dāng)對一個(gè)賬號(hào)進(jìn)行上述操作時(shí)，即可改變其訪問行為。

角色管理：為配合平臺(tái)基于角色的授權(quán)機(jī)制。在管理中心，可以根據(jù)組織機(jī)構(gòu)自身的特點(diǎn)及其職能職權(quán)的劃分，創(chuàng)建各種角色，對其進(jìn)行定義，為角色分配用戶，通過用戶的ID與角色映射。同時(shí)統(tǒng)一賬號(hào)管理系統(tǒng)提供了基于Web的自注冊服務(wù)功能。自注冊系統(tǒng)使用戶可以自己注冊基本信息及其在各應(yīng)用系統(tǒng)上的賬號(hào)信息。

2.統(tǒng)一授權(quán)

在統(tǒng)一認(rèn)證平臺(tái)上注冊企業(yè)內(nèi)所有需要保護(hù)的應(yīng)用系統(tǒng)，并對所有用戶進(jìn)行統(tǒng)一的授權(quán)。采用基于角色的授權(quán)機(jī)制，按照企業(yè)內(nèi)部的組織結(jié)構(gòu)劃分角色，并為用戶綁定角色。對于不同的角色分配不同應(yīng)用系統(tǒng)的訪問權(quán)限。

對于B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)，統(tǒng)一身份認(rèn)證平臺(tái)可以為其提供基于URL的細(xì)粒度訪問權(quán)限。為用戶或組設(shè)置其可以訪問的哪個(gè)Web系統(tǒng)的哪些頁面可以訪問，哪些頁面不可以訪問。同時(shí)對C/S系統(tǒng)的訪問進(jìn)行統(tǒng)一授權(quán)，為不同的用戶角色提供不同的訪問策略。

統(tǒng)一認(rèn)證系統(tǒng)平臺(tái)列出每一個(gè)應(yīng)用系統(tǒng)下所具有的用戶情況。在每個(gè)系統(tǒng)下查詢用戶情況，以直觀的方式顯示每一個(gè)資源下有權(quán)訪問的用戶信息。為不同的角色定制不同的訪問策略。訪問策略包括可以訪問的資源和訪問控制規(guī)則。訪問規(guī)則設(shè)置靈活，如按時(shí)間段，網(wǎng)絡(luò)IP.或MAC地址等，也可以根據(jù)組織結(jié)構(gòu)不同需求定制不同的訪問策略。

將各個(gè)應(yīng)用系統(tǒng)的授權(quán)管理界面集中的統(tǒng)一授權(quán)管理平臺(tái)，系統(tǒng)管理員從統(tǒng)一授權(quán)管理系統(tǒng)登陸進(jìn)去后，即可實(shí)現(xiàn)對各自的應(yīng)用系統(tǒng)進(jìn)行授權(quán)。

3.統(tǒng)一身份認(rèn)證

對訪問企業(yè)內(nèi)所有應(yīng)用系統(tǒng)資源（B/S或C/S結(jié)構(gòu)）的用戶進(jìn)行統(tǒng)一的身份認(rèn)證，使用了Web服務(wù)實(shí)現(xiàn)了子系統(tǒng)和統(tǒng)一認(rèn)證系統(tǒng)之間的交互驗(yàn)證。當(dāng)子系統(tǒng)將用戶重定向到統(tǒng)一登錄系統(tǒng)的時(shí)候，驗(yàn)證的交互過程開始（如圖二），詳細(xì)步驟如下：

（1）統(tǒng)一登錄系統(tǒng)獲取用戶的Session ID和登錄名。

（2）統(tǒng)一登錄系統(tǒng)將Session ID和登錄名插入到數(shù)據(jù)庫，產(chǎn)生一個(gè)隨機(jī)的數(shù)據(jù)庫ID。

（3）將Session ID和數(shù)據(jù)庫ID結(jié)合起來，進(jìn)行MD5加密。

（4）使用MD5密文和數(shù)據(jù)庫ID構(gòu)建一個(gè)登錄等待頁面，返回給用戶。

（5）用戶將登錄等待頁面中的信息自動(dòng)提交給子系統(tǒng)。

（6）子系統(tǒng)通過Web服務(wù)將MD5密文和數(shù)據(jù)庫ID提交回統(tǒng)一登錄系統(tǒng)。

（7）統(tǒng)一登錄系統(tǒng)查詢數(shù)據(jù)庫，并進(jìn)行驗(yàn)證。

（8）統(tǒng)一登錄系統(tǒng)返回用戶登錄名，并刪除數(shù)據(jù)庫中的登錄記錄。

（9）子系統(tǒng)與用戶建立認(rèn)證關(guān)系。

4.統(tǒng)一審計(jì)

統(tǒng)一審計(jì)功能主要依靠記錄最終用戶和管理人員的訪問過程，建立一套全面的、有效的回溯和追查機(jī)制。可以讓系統(tǒng)管理員實(shí)時(shí)監(jiān)測用戶對企業(yè)各應(yīng)用系統(tǒng)的訪問狀態(tài)，及時(shí)發(fā)現(xiàn)非法訪問事件，對出現(xiàn)的問題進(jìn)行事后追溯和責(zé)任追究提供實(shí)證。通過對系統(tǒng)運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控審計(jì)，還增強(qiáng)了系統(tǒng)的可維護(hù)性。統(tǒng)一審計(jì)主要完成訪問行為審計(jì)、審計(jì)信息查詢、審計(jì)信息防竄改等幾大功能。

四、平臺(tái)特點(diǎn)

1.實(shí)現(xiàn)了對多個(gè)業(yè)務(wù)系統(tǒng)的用戶統(tǒng)一身份認(rèn)證、單點(diǎn)登錄和訪問控制；

2.實(shí)現(xiàn)了認(rèn)證過程中用戶賬戶信息的安全傳輸；

3.系統(tǒng)的部署實(shí)施簡便，且有強(qiáng)大的管理功能；

4.系統(tǒng)易于擴(kuò)展，增加新的業(yè)務(wù)系統(tǒng)不影響其他業(yè)務(wù)系統(tǒng)的正常運(yùn)行；

5.用戶操作使用方便，形式上易于接受。

五、結(jié)束語

統(tǒng)一認(rèn)證平臺(tái)，基本實(shí)現(xiàn)了以下功能：

資源整合：認(rèn)證平臺(tái)以資源整合為中心，通過平臺(tái)的管理系統(tǒng)和數(shù)據(jù)庫，統(tǒng)一用戶資源和各增值業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)用戶的統(tǒng)一管理和訪問控制，實(shí)現(xiàn)各系統(tǒng)資源的統(tǒng)籌管理。

身份認(rèn)證和單點(diǎn)登錄：認(rèn)證平臺(tái)通過統(tǒng)一的用戶賬戶對用戶身份進(jìn)行認(rèn)證，在通過平臺(tái)認(rèn)證后，用戶可直接訪問各個(gè)業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)用戶身份認(rèn)證信息的共享，從而達(dá)到多業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄。

相信隨著統(tǒng)一認(rèn)證平臺(tái)的出現(xiàn)會(huì)改變目前認(rèn)證方式簡單以及員工多次重復(fù)登陸等弊端，提高企業(yè)員工工作效率。

參考文獻(xiàn)：

[1]白珣.基于IT治理的企業(yè)IT風(fēng)險(xiǎn)管理框架的研究[D]. 中國海洋大學(xué) 2008.

[2]貴穎祺.基于LINQ TO SQL三層架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代企業(yè)教育2012（22）.

[3] 竇蒙.云計(jì)算在企業(yè)信息建設(shè)和商務(wù)智能領(lǐng)域的應(yīng)用[J]. 程序員. 2009（05）.