電力企業中目錄認證服務系統的設計與實現

顧楊青,景棟盛,周 堃

蘇州供電公司,江蘇蘇州 215004

“十一五”期間，江蘇省電力公司圍繞公司發展的總體目標，全面推動企業級信息化建設，按照“數據共享、流程互通、門戶集成”的目標，構建了由信息網絡、數據交換、數據中心、應用集成、企業門戶五個部分組成的一體化企業級信息化集成平臺（以下簡稱“一體化平臺”）[1]。目錄認證服務系統作為一體化平臺中應用集成部分的重點項目，提供了跨平臺身份信息存儲管理和認證支持功能，是統一身份管理系統所依賴的主要支撐技術，在省公司范圍內企業門戶和大部分應用系統的統一訪問入口，提供了對用戶身份的集中認證功能，是貫穿一體化平臺各個應用系統的一條主線。

1 設計目標和原則

1.1 設計目標

江蘇省電力公司的目錄認證服務系統的設計目標是實現江蘇目錄與國網目錄的實時雙向同步；減少目錄的運維工作量，規范目錄的管理與監控；為企業的信息化業務應用提供安全可靠的認證服務；實現與國網認證的無縫級聯；降低業務應用接入的改造工作量。

1.2 設計原則和思路

目錄認證服務系統的設計原則為六統一原則，即統一領導、統一規劃、統一調研、統一設計、統一驗證和統一標準的原則[2]。

首先需要對江蘇省電力公司的信息化建設現狀、復雜性、差異性進行全面、深入的理解，為今后建設實施提供可靠、實用的系統功能依據，并且在設計中要合理考慮節約系統建設成本和簡化后期運維管理。

系統設計時，考慮采用國際先進的技術路線，基于先進的系統架構，結合國內外成功先例的設計經驗，從根本上保證了系統運行的高效、穩定、安全，并充分考慮系統的實用、靈活、易用、易維護和可擴展性以及與其它應用系統的集成[3]。考慮到未來系統進一步完善和增強系統功能的需要及各建設單位應用系統的差異性，設計時需要考慮擴展基礎。

目前江蘇省電力公司， 擁有多個系統，在未來也會繼續建設新的應用系統，因此在設計時必須著重考慮、解決與現有以及未來建設的相關應用系統間的集成問題，要在新建系統和歷史遺留系統兩個層面進行全面的考慮，采用靈活、實用的系統設計方法，既著眼于今后的應用建設，又能有效地、最大程度地將現有系統信息和系統資源整合起來，避免“信息孤島”的發生和資源的浪費[4]。

設計同時要著重考慮系統長期7×24 h運行的穩定性，對設計中的關鍵組件應靈活采用雙機熱備HA和Cluster集群等高可用性方案，并提供較完善的備份恢復策略，較好地解決單點故障和系統災難問題[5]。同時也需要考慮系統安全，在系統監控、數據通信、物理部署等多個層面上落實系統的安全性原則。設計必須要遵循各種標準的設計方法和原則，在架構、結構、數據、接口等多個層面上形成今后建設實施的參照標準，并提供對相關標準協議的支持。

2 系統功能簡介

2.1 整體架構

江蘇省電力公司目錄認證服務系統嚴格遵循國家電網公司目錄系統典型設計的要求，由目錄子系統、身份管理子系統和認證子系統三個子系統構成[6]，用于實現江蘇省電力公司全省范圍內基于目錄子系統的用戶集中管理、基于身份管理子系統的應用系統帳號管理，以及基于認證子系統的單點登錄、訪問控制[7]。依據江蘇省電力公司本部與下級地市公司的網絡基礎設施、人員管理要求、應用系統分布等實際情況，江蘇省電力公司全省目錄服務系統可采用全省集中部署架構[8]。

圖1 目錄服務系統全省集中部署整體架構Fig.1 The provincial centralized deployment architecture of directory service system

2.2 目錄子系統

目錄子系統包括“身份目錄”、“企業資源目錄”、“認證目錄”3個目錄系統，其中“身份目錄”保存了省電力公司本部與各地市公司范圍內最為完整、準確、及時的用戶身份等信息。身份目錄通過IDM將用戶身份及必要的屬性信息復制到企業資源目錄與認證目錄[9,10]。

根據江蘇省電力公司本部與下級地市公司的網絡基礎設施、人員管理要求、應用系統分布等實際情況，江蘇省電力公司的目錄子系統應采用多種架構。對于網絡基礎設施良好的地市公司，可以直接使用全省大集中的目錄系統，此時地市公司的組織機構、用戶等信息統一存放在江蘇省電力公司的身份目錄中。對于網絡基礎設施較差、或要求地市公司對自身人員信息進行管理、或存在網省/地市兩級部署的應用系統的地市公司，可以考慮建設地市級的身份目錄，通過IDM，將地市身份目錄中的身份信息同步到省公司本部的身份目錄[10]。

身份目錄作為身份同步相關信息的中轉站與統一的集中點，是身份同步引擎的基礎所在。在其中保存著最為權威、全面的身份、管理與策略信息。

認證目錄的功能是提供用戶身份認證服務，保存有用戶認證所需的數據，是身份目錄的子集，主要從訪問效率與性能等方面來考慮[11]。

企業資源目錄用于層次化展現、分級管理與授權，其保存有全面的用戶組織架構、授權、角色等數據。此外，可利用企業資源目錄，實現對借調用戶、非員工用戶（如臨時人員、合作伙伴等）的創建、管理與維護[12]。

目錄系統服務器軟件將采用Novell公司的eDirectory目錄服務器產品（前身為NDS）[7]。

2.3 身份管理子系統

身份管理子系統提供了身份數據同步引擎，身份目錄是身份管理系統同步交換用戶身份數據的中心，也稱為身份庫（Identity Vault），通過設計身份目錄與應用系統、其它目錄之間的同步驅動，可實現將權威數據源系統（如統一框架系統）中管理的員工信息或企業資源目錄中管理的非員工用戶信息同步至身份目錄，再將用戶信息同步（創建、更新、刪除/禁用）至各應用系統。從而實現應用系統帳號的自動創建、變更、刪除/禁用，取代現有的人工方式的帳號管理模式。同時，身份管理系統能將關鍵事件等日志信息存儲在數據庫中，供日后審計[13]。

圖2 江蘇省電力公司身份管理系統架構Fig.2 Architecture of identity management system in Jiangsu Electric Power Company

身份管理系統軟件將采用Novell公司的Identity Manager身份管理服務器產品（前身為DirXML）。

2.4 認證子系統

如圖1所示，根據江蘇省電力公司的機構地理分布、應用系統部署、網絡狀況等實際需求，江蘇省電力公司的認證系統采用省集中部署架構設計。

省公司的認證系統提供了對公司范圍內用戶身份的統一認證和訪問控制，以認證目錄作為用戶身份的認證庫，支持用戶名/密碼、X.509數字證書、令牌等多種認證方式，通過自動填表（Form Fill）等身份注入（Identity Injection）機制實現各應用系統間的單點登錄集成[11]。認證系統由訪問網關（Access Gateway，簡稱AG）和身份認證管理服務器（Identity Server，簡稱IDS）兩大組件構成[14]。

認證系統軟件將采用Novell公司的Access Manager訪問管理服務器產品（前身為iChain）[6]。

2.5 級聯架構設計

2.5.1 級聯架構 遵循國家電網公司目錄系統典型設計的要求，省級電力公司與國網總部統一目錄、身份管理、認證系統的縱向級聯包括：

1) 省公司身份目錄與國網總部身份目錄之間的用戶身份信息同步。

2) 省公司認證系統與國網總部認證系統的級聯。

江蘇省電力公司與國網總部縱向級聯總體架構如圖3所示。

圖3 江蘇省電力公司與國網總部縱向級聯總體架構示例圖Fig.3 Cascade architecture diagram between Jiangsu Power Electric Power Company and the headquarter of State Grid Corporation of China

2.5.2 身份同步 國網總部身份目錄將集中存儲國家電網公司下屬各網省公司和直屬單位的用戶身份信息，省級電力公司身份目錄中的用戶身份信息，將通過在省公司身份管理子系統與國網總部身份管理子系統之間建立同步通道，同步到國網總部的身份目錄中；同時國網總部身份目錄中指定的用戶信息（如擁有跨域訪問權限的用戶信息）也可通過同步通道，同步到省公司的身份目錄中。

2.5.3 級聯認證 國網公司總部和省級電力公司通過相互獨立的認證系統構成不同的安全域，用戶在所屬的安全域認證成功后，可以通過單點登錄實現對企業門戶和其它應用系統的自由訪問。此外，國網公司總部用戶可以訪問指定的省級電力公司的企業門戶和其它應用系統資源，為了避免重復登錄，需要借助總部和省級電力公司的統一認證系統中身份認證服務器間的級聯認證，實現跨域的單點登錄[15]。

3 安全管理機制

3.1 主機安全管理

系統的高可用性是指當系統服務因主機設備異常而無法繼續運行時，在最短的時間內在其它主機上自動啟動該服務，如此即使故障的主機無法立即修復，此特定系統的服務仍然可以正常運行，不影響依賴此系統的其它服務正常運行。由于目錄、身份管理、認證系統是江蘇省電力公司重要的基礎設施，支撐著企業門戶、應用系統的正常運行，因此在設計中根據實際情況，綜合運用了HA、集群等高可用技術保證系統整體的高可用性。

3.2 網絡安全管理

可以通過多種方式加強目錄服務系統的安全性，提供安全的訪問、傳輸、存儲等操作。措施包括：

1) 建立內外網，保證內外網的物理隔離。

2) 采用DMZ防火墻策略，提高防火墻的安全級別。

3) 限制有權訪問的IP地址或網段，阻止非法用戶的訪問。

4) 禁用操作系統無用的端口，并對開發端口進行實時監控。

3.3 審計監控管理

系統監控是目錄、身份管理、認證系統中物理設計的重要組成部分，通過系統監控可以及時發現系統運行中出現的錯誤，并能根據對監控日志的分析及時解決問題，是系統穩定運行的有力保障。

通過對系統監控報告的匯總分析，可以很好的對系統運行狀態、穩定性進行評估，對系統可能存在的隱患及頻繁問題進行分析處理，根據分析結果對服務器配置進行優化。

系統監控的設計有兩個因素需要考慮，一個是系統監控對系統性能的影響，系統監控事件過多，占用的系統資源將會增加，會使系統性能下降；另一個是需要考慮對于監控記錄的匯總分析和檢索的影響，監控的內容過于復雜，將會出現大量的冗余數據，不便于對歷史日志報告匯總分析和檢索。

3.4 數據安全管理

備份數據的過程就是復制重要到數據到其它存儲介質（如磁帶、光盤）上，以保證在原始數據丟失或損壞的情況下可以恢復數據。在物理層面上，可以通過定期備份文件系統到磁帶進行冷備份，然后根據信息更新頻率定期（如每天晚上）將數據信息進行邏輯備份（建議采用專業備份軟件），邏輯備份又可分為全局備份，即對所有數據進行備份，以及增量備份，對上次備份以來的更新數據進行備份，可根據業務需要結合使用全局備份和增量備份。

由于數據災難的不可預測性，做好目錄、身份管理、認證系統的備份是非常必要的，是今后相關管理人員的重要工作。

4 結語

經過國家電網公司信息通信有限公司、江蘇省電力公司信息通信公司和江蘇省電力公司目錄項目組的共同努力，從2010年7月進場開始，目錄認證服務系統經過需求調研、分析設計、實施、測試、調試、上線、試運行、優化八個階段，實現了目錄樹之間的數據同步、用戶身份數據的集中管理、企業門戶和應用系統的反向代理、企業門戶和應用系統的單點登錄、與國網總部的級聯訪問和數據同步等主要功能，符合國網公司目錄服務典型設計要求，系統經過6個多月的運行觀察，系統穩定運行，對相關電力行業目錄系統建設具有參考意義。

[1] 魏曉菁,劉冬梅,溫 超.國家電網公司目錄服務、身份管理與認證系統的設計與實現[J].電力信息化,2007,5(10):43-47

[2] 鄭 輝.基于LDAP的統一身份認證目錄服務系統研究與設計[D].西安:西安電子科技大學,2008

[3] 楊洪賓.建立電力信息化系統的統一目錄服務規范[J].電力信息化,2010,(6):51-53

[4] 景 峰,徐澄宇,李 欣.通信加密與數字認證在企業信息系統的應用[J].山西電力,2010(4):38-39

[5] 劉順潮.企業統一目錄系統接口體系研究[J].計算機與現代化,2009(12):99-102

[6] 胡利輝.目錄技術在地市局身份整合中的應用[C].2008年電力行業信息化年會,2008:164-167

[7] Sandy Stevens.Novell Single Sign-On2.0[J].Novell Connection Magazine,2000(10):12-20

[8] 任 軍.基于LDAP的目錄服務綜述[J].計算機應用研究,2005,22(5):8-10

[9] 張 明,嚴 莉,趙 忱.目錄系統與Domino系統密碼同步策略的研究與應用[J].電力信息化,2011,09(4):31-33

[10] 魏 亮.身份管理(IDM)策略思考[J].電信網技術,2009(3):36-39

[11] 汪 星.Novell環境下的入侵檢測系統的實現[J].計算機與現代化,2003(11):71-76

[12] 程宏斌,孫 霞.單點登錄技術研究[J].計算機時代,2004(5):3-4

[13] 屠敏欣,王忠仁.用戶統一身份認證系統中目錄服務的應用[J].福建電腦,2008,24(5)：85-86,81

[14] 鄧 軍,葉柏龍,薛 輝,等.基于驗證代理的單點登錄技術解決方案[J].電腦與信息技術,2006,14(3):77-79

[15] 張穎江,鄭秋華,李臘元.單次登錄技術分析及集中身份認證平臺設計[J].武漢理工大學學報(交通科學與工程版),2004,28(2):240-243