基于PKI的多域單點政務網登錄模型

韓凱寧　于雷　高萌

【摘 要】基于各種應用系統(tǒng)的信息共享、信息傳遞和信息服務成為了數字化政務的重要組成部分。大多數系統(tǒng)采用獨立的身份認證模塊對用戶的訪問權限進行限制，不僅使用戶的登錄操作過于頻繁，而且易造成信息傳送中的安全隱患。通過對傳統(tǒng)認證方式、管理模式和權限分配機制等關鍵技術的深入分析與研究，設計了一個基于PKI的多域單點政務網登錄模型，確保了認證與登錄過程的信息安全，有效地提高了用戶和管理人員的工作效率。

【關鍵詞】PKI；認證；權限

0 引言

隨著信息網絡技術的發(fā)展和應用層次的不斷提升，政務信息網絡的建設成為了所有政務信息建設的一項重要內容，對信息資源的整合、及時更新等需求也日益迫切。一般政務信息網絡是由多個政務信息應用系統(tǒng)組成，如政務一卡通系統(tǒng)、財務系統(tǒng)、自動化辦公系統(tǒng)、人事管理系統(tǒng)等。由于這些應用系統(tǒng)不是在同一時間統(tǒng)一構建的，而是在政務活動過程中逐步完善的，所有應用系統(tǒng)都是根據自己獨特的應用特點構建獨立的數據庫、用戶登錄和使用界面、工作運行流程等，這樣就造成了各個應用系統(tǒng)集中化程度不高的問題。而且在很大程度上影響了工作效率，阻礙了政務管理水平的提升。因此，提出將政務信息網絡的各個應用系統(tǒng)進行集中化管理，采用統(tǒng)一的標準進行重新定義，構建一站式服務系統(tǒng)，使原有業(yè)務和管理體系相對獨立、互不協(xié)調的現象得到有效整合，減少資源浪費和重復建設，達到業(yè)務流程重組、提高效率的戰(zhàn)略意圖；有效緩解政務管理、人員管理、財務管理和服務等繁重的業(yè)務，提高了政府的管理水平，切實讓信息化成為政府效率提升的重要途徑。

1 單點登錄技術

從管理的角度講，傳統(tǒng)的多點登錄方式需要管理每個不同的域的用戶賬號，面對不同的用戶接口?；趯捎眯院桶踩缘目紤]的不斷增加，迫切要求提出一種整合不同的域，提供一種統(tǒng)一管理用戶登錄和賬號管理的系統(tǒng)。提供這樣一種服務可以帶來以下的好處：

（1）減少用戶登錄不同系統(tǒng)的次數，這樣就減少了登錄錯誤的次數。

（2）通過減少用戶登錄不同系統(tǒng)認證身份的處理次數，大大提供了系統(tǒng)的安全性保障。

（3）給管理員在系統(tǒng)上添加，刪除用戶信息和修改用戶訪問權限提供了極大的方便。

（4）有利于系統(tǒng)管理員對不同系統(tǒng)進行整合和管理。

基于單點登錄技術的發(fā)展和對目前政務中已出現的統(tǒng)一身份認證系統(tǒng)的研究，提出可對所有被授權的網絡資源進行無縫訪問。用戶不用再面對不同的系統(tǒng)記住不同的用戶名和密碼，只需輸入一次用戶名和密碼，就可以訪問所有被授權的服務。這樣不但提供了用戶和管理員的工作效率，還提高了網絡的安全性。

2 單點登錄系統(tǒng)的模型設計

設計一個基于PKI的多域單點登錄系統(tǒng)。該系統(tǒng)基于SAML信任與授權標準架構，采用雙因素認證和數字證書認證方法為用戶進行強身份認證，運用分布式認證技術支持用戶跨域訪問應用服務器，通過屬性證書支持基于角色的訪問控制有效實現了多域環(huán)境下的單點登錄，實現了與應用系統(tǒng)的整合。模型如圖1所示：

該模型是基于經紀人和代理的單點登錄模型，認證服務器作為經紀人對本域內的用戶進行統(tǒng)一的身份認證和授權，系統(tǒng)整合模塊作為代理充當著用戶認證方式和應用服務認證方式間的翻譯，將應用系統(tǒng)的修改量減少到最小。由該模型實現的系統(tǒng)應用于分布式網絡環(huán)境中，支持跨域訪問，域A的用戶可以訪問域B的應用服務器，同理，域B的用戶也可以訪問域A的應用服務器。系統(tǒng)跨域訪問的關鍵是域間的認證服務器如何建立信任關系。采用分布式認證技術，構建域間交叉證書，在不同域的認證服務器通過域間的交叉證書來確認對方身份的合法性，建立一條跨域的安全通道，實現域間的身份認證，從而達到多域間單點登錄的目的。這樣，就把原來相互獨立的安全域集合成一個整體，只要用戶擁有相應的權限，就可以無限制地訪問各個安全域內的應用服務器。

3 單點登錄系統(tǒng)設計

單點登錄系統(tǒng)從功能上可以分為客戶端認證代理模塊；認證授權模塊、系統(tǒng)整合模塊、憑證庫、數據中心、應用服務器等六部分。

客戶端認證代理模塊提供了系統(tǒng)與用戶的交互界面，用戶可以采用多種認證手段進行單點登錄，如輸入用戶名口令，使用數字證書等。為了防止票據的重放攻擊，客戶端認證代理還設置了隨機數生成器。

認證授權模塊主要負責對用戶進行統(tǒng)一的身份認證和授權，它采用雙因素和數字證書相結合的認證方法驗證用戶的身份。在該系統(tǒng)中，用戶的公鑰證書和屬性證書存放于UsbKey中。只有當用戶通過雙因素認證后才能成功登錄UsbKey，此時認證授權模塊讀取UsbKey中用戶的身份信息再一次進行認證。也就是說，只有當用戶通過雙重認證后才能成功登錄系統(tǒng)。該模塊還將對合法用戶進行基于角色的訪問控制?；诮巧脑L問控制是將用戶劃分為不同的角色，再給角色授予相應的權限，通過角色用戶就可以擁有一定的權限來訪問授權資源。用戶通過身份認證以后，將獲得一個授權票據，憑借此票據就可以對資源進行合法操作。

系統(tǒng)整合模塊使用戶的登錄界面統(tǒng)一化，并且把用戶注冊的單點登錄賬號和系統(tǒng)的原有賬號綁定，維護注冊和綁定信息，有效地解決了單點登錄系統(tǒng)與原有應用系統(tǒng)的無縫整合問題。

憑證庫存儲本域內所有用戶的票據和數字證書信息，并對其進行統(tǒng)一管理，一般采用LDAP目錄服務器來實現。系統(tǒng)通過判斷用戶身份來自動從憑證庫中獲取對應的票據或數字證書。

數據中心存儲著本域內用戶的身份信息、資源（下轉第3頁）（上接第1頁）信息、角色信息和授權信息。系統(tǒng)通過查詢數據中心就可以獲得用戶、角色、資源間的對應關系，為實現基于角色的訪問控制提供可靠的依據。

應用服務器根據用戶所持有的票據為其提供相應的服務。

系統(tǒng)在設計時可采用J2EE標準的Web程序，以達到易實施性的要求，同時系統(tǒng)對舊有的系統(tǒng)采用了接口的實現方法，所以說系統(tǒng)只要按照接口的標準實施就可以了，工作量不大，對現有的應用系統(tǒng)幾乎不用作任何修改。所以說以此模型設計的系統(tǒng)具有良好的可擴展性。

4 結語

文中提出了一種一個基于PKI的多域單點政務網登錄模型，將各個應用系統(tǒng)采用統(tǒng)一的標準集成，避免了各個應用系統(tǒng)各自為政的問題，使得用戶可以迅速找到所需要的信息，提高了政務信息的利用率，具有較高的使用價值，為政府各管理層提供了輔助決策的依據。

【參考文獻】

[1]吳波，王晶.基于基本 RBAC 模型的權限管理框架的設計與實現[J].計算機系統(tǒng)應用，2011（04）：13-16.

[2]Jan De Clereq.Single Sign-on Architectures [S].RSAConferenee2003.

[3]郭理，秦懷斌，梁斌.基于 RBAC 的政務 Web 服務平臺權限設計[J].微計算機信息，2011（02）：99-103.

[4]許小紅，石永革，鄭開新.基于 LDAP 的統(tǒng)一用戶管理系統(tǒng)研究與實現[J].計算機與現代化，2008（05）：76-79.

[責任編輯：薛俊歌]