統(tǒng)一身份認證與權(quán)限管理平臺設(shè)計方案探討

王平

?

統(tǒng)一身份認證與權(quán)限管理平臺設(shè)計方案探討

王平

（中國石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，青島 266580）

在學(xué)校信息化建設(shè)過程中，為解決用戶登錄不同系統(tǒng)記憶不同賬號和密碼的多賬戶問題，通過建立統(tǒng)一身份認證與權(quán)限管理平臺進行解決，該平臺對用戶身份進行集中存儲、統(tǒng)一管理，通過身份識別與訪問控制進行統(tǒng)一認證和授權(quán)，并且實現(xiàn)用戶單點登錄，改善用戶體驗。

身份認證；身份識別；訪問控制；

0 引言

隨著校園信息化建設(shè)的不斷深入，學(xué)校逐步建立起多個信息系統(tǒng)，包括教務(wù)系統(tǒng)、人事系統(tǒng)、一卡通系統(tǒng)等，由于各信息系統(tǒng)歸屬不同的職能部門管理，從而造成系統(tǒng)之間相互獨立，登錄賬號和密碼各不相同，在沒有建立統(tǒng)一的身份認證和用戶管理的情況下，全校師生作為系統(tǒng)用戶必須記憶不同的登錄賬號和密碼才能使用各應(yīng)用系統(tǒng)。為了解決這種需要記憶多賬號密碼才能使用數(shù)字校園信息系統(tǒng)的問題，迫切需要建立學(xué)校的用戶身份統(tǒng)一認證與權(quán)限管理平臺，統(tǒng)一管理數(shù)字校園內(nèi)各應(yīng)用系統(tǒng)的用戶及其認證方式，形成用戶身份信息的統(tǒng)一管理、集中授權(quán)和安全認證的體系，使學(xué)校工作人員即使進行了調(diào)動、調(diào)級、調(diào)職等變更，其身份認證和使用權(quán)限也能在各系統(tǒng)之間協(xié)調(diào)同步[1,2]，并且，在統(tǒng)一身份認證與權(quán)限管理平臺建立的基礎(chǔ)上實現(xiàn)單點登錄（Single Sign On，SSO）[3]，即用戶只需要在入口處輸入一次賬號密碼登錄后，即可使用數(shù)字校園內(nèi)所有授權(quán)使用的應(yīng)用系統(tǒng)，而不用再次輸入各應(yīng)用系統(tǒng)的賬號和密碼，這樣既方便了用戶使用，又減少了開發(fā)和維護成本，提升各個子系統(tǒng)之間的關(guān)聯(lián)度，還提高了安全性，也為未來數(shù)字化校園其他各類系統(tǒng)的建設(shè)集成奠定了基礎(chǔ)。

1 統(tǒng)一身份認證與權(quán)限管理平臺的設(shè)計

1.1 設(shè)計目標(biāo)

統(tǒng)一身份認證與權(quán)限管理平臺的設(shè)計要從學(xué)校信息化規(guī)劃的頂層設(shè)計入手，自上向下完成如下5個方面目標(biāo)：

第一是構(gòu)建面向全校用戶的身份管理中心，實現(xiàn)對全校各類用戶的集中管理，并確保該平臺用戶信息的準(zhǔn)確性和權(quán)威性，既提高了用戶信息的管理效率，又降低了維護成本；

第二是實現(xiàn)用戶身份的統(tǒng)一認證，提供數(shù)字校園各業(yè)務(wù)系統(tǒng)的單點登錄，減輕用戶管理賬號和密碼的負擔(dān)，避免誤入偽造網(wǎng)址、假冒表單等方式的欺騙式登錄界面；

第三是實現(xiàn)符合學(xué)校實際的組織機構(gòu)、人員、崗位、角色和資源特點的權(quán)限管理、授權(quán)方式及訪問控制策略，建立一套符合學(xué)校特點的用戶身份權(quán)限管理機制，提供便捷的身份異動管理，即用戶的權(quán)限隨其身份的變化而自動撤銷、變更和增加，為其他業(yè)務(wù)系統(tǒng)提供一個方便的身份識別及管理服務(wù)；

第四是一次性建立全局性崗位和角色，可直接應(yīng)用到所有信息系統(tǒng)，與現(xiàn)有系統(tǒng)的無縫集成，除部分角色與特定信息系統(tǒng)的特殊要求外，所有角色均服從統(tǒng)一權(quán)限管理中心的集中管理；

第五是實現(xiàn)更加細粒度的權(quán)限管理：角色、權(quán)限等的管理可實現(xiàn)各系統(tǒng)管理員或指定管理員分級進行管理，但角色權(quán)限信息必須存放在統(tǒng)一身份認證與權(quán)限管理平臺中，為未來新建信息系統(tǒng)的開發(fā)提供統(tǒng)一的用戶身份認證、授權(quán)及安全標(biāo)準(zhǔn)。

1.2 架構(gòu)設(shè)計

學(xué)校數(shù)字校園中所有的用戶信息，均來源于各相關(guān)業(yè)務(wù)系統(tǒng)，例如教職工基本信息來源于人事管理系統(tǒng)，學(xué)生基本信息來自于迎新系統(tǒng)，通過底層技術(shù)手段可及時將各業(yè)務(wù)系統(tǒng)的用戶身份信息同步到LDAP目錄服務(wù)器和身份信息數(shù)據(jù)庫中[4]，使其貫穿到數(shù)字校園的方方面面，統(tǒng)一身份認證與權(quán)限管理平臺設(shè)計架構(gòu)主要包括6個核心部分，包括用戶身份管理、權(quán)限管理、統(tǒng)一認證、認證接口服務(wù)、目錄服務(wù)[5]、身份自助服務(wù)，如圖1所示。

圖1 統(tǒng)一身份認證與權(quán)限管理平臺功能結(jié)構(gòu)圖

該設(shè)計將用戶基本信息的管理放入各自業(yè)務(wù)系統(tǒng)中，而統(tǒng)一身份認證與權(quán)限管理平臺只關(guān)注于機構(gòu)、角色和權(quán)限模型的建立及管理，進而提高了系統(tǒng)的安全性和可靠性。

1.3 技術(shù)路線

為適應(yīng)學(xué)校當(dāng)前及日后系統(tǒng)建設(shè)的發(fā)展和需要，能夠隨著未來信息技術(shù)的發(fā)展而不斷平滑升級，在統(tǒng)一身份認證與權(quán)限管理平臺設(shè)計中，用戶身份數(shù)據(jù)由學(xué)校權(quán)威數(shù)據(jù)源同步取得，認證框架采用耶魯CAS開放框架，通過CAS認證中心進行認證，對用戶登錄信息進行加密傳輸，保證數(shù)據(jù)在傳輸方面的安全性；為了保證系統(tǒng)具有良好的平臺移植性，應(yīng)用程序的編程語言按J2EE規(guī)范，確?？梢砸浦驳絎indows、Linux等不同操作系統(tǒng)中，支持i18n國際化，以及支持系統(tǒng)在IPv4/IPv6網(wǎng)絡(luò)環(huán)境上運行；后臺數(shù)據(jù)庫的架構(gòu)為三層：Web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器，數(shù)據(jù)庫采用Oracle 11g，中間件采用Oracle Weblogic 12c，數(shù)據(jù)復(fù)制工具及ETL工具采用Oracle ODI。在訪問控制策略上，用戶可以定制不同粗細粒度的安全規(guī)則，用戶身份、授權(quán)、認證功能相對獨立，可以靈活的與第三方產(chǎn)品對接，支持單獨授權(quán)、按角色授權(quán)等多種權(quán)限管理方式，支持B/S和C/S等多種應(yīng)用。

2 核心元素建設(shè)流程

2.1 用戶身份管理中心

用戶身份管理中心是用于存儲學(xué)校組織機構(gòu)、用戶身份、可訪問系統(tǒng)角色等信息，保證用戶在學(xué)校開戶、變更、銷戶等狀態(tài)的賬戶管理唯一性。用戶身份管理中心按照自動化流程創(chuàng)建產(chǎn)生用戶身份的賬號信息，可以對賬號信息進行管理維護，平臺管理員與業(yè)務(wù)部門可對用戶狀態(tài)進行雙向核對，對于關(guān)聯(lián)賬號無法同步更新的情況，可采用手工建立的方式進行解決；支持平臺上組織機構(gòu)的拆分、合并和多級管理；支持應(yīng)用接入角色編碼管理，可以管理靜態(tài)角色和動態(tài)角色，支持賬戶在系統(tǒng)間角色遷移，對于角色變更，直接讀取各子系統(tǒng)用戶角色變更狀態(tài)，管理用戶賬戶的全生命周期。

2.2 RBAC權(quán)限管理

RBAC權(quán)限管理[6]是對所有的用戶在訪問資源時根據(jù)其所扮演的角色進行權(quán)限控制，它包括配置與定義、授權(quán)管理、審計管理三個部分。其中配置與定義主要是提供系統(tǒng)基本數(shù)據(jù)的定義功能，配置權(quán)限資源定義數(shù)據(jù)和角色定義；授權(quán)管理是通過角色授權(quán)、范圍授權(quán)、權(quán)限轉(zhuǎn)授等方式對用戶授權(quán)管理；審計管理是用來提供權(quán)限授權(quán)日志查詢、訪問日志記錄、訪問統(tǒng)計等功能。

2.3 統(tǒng)一認證

統(tǒng)一認證提供跨服務(wù)器及業(yè)務(wù)應(yīng)用系統(tǒng)的口令認證服務(wù)，所有被認證系統(tǒng)保護的Web系統(tǒng)都只有一個統(tǒng)一的登錄口令和認證入口，經(jīng)該系統(tǒng)認證通過后方可進入個人門戶或各個應(yīng)用系統(tǒng)中，從而實現(xiàn)漫游校園各應(yīng)用系統(tǒng)的單點登錄，任何采用URL直接訪問都將返回到這個認證入口中。通過該認證入口確認身份后使用不同的應(yīng)用系統(tǒng)時，認證系統(tǒng)會根據(jù)使用的應(yīng)用系統(tǒng)中關(guān)于用戶的角色與權(quán)限，為該用戶提供與之相應(yīng)的“活動場所”，應(yīng)用系統(tǒng)在認證通過后也允許其使用系統(tǒng)的信息資源，提供其權(quán)限下的功能模塊，使用戶無須多次輸入口令就能登錄被集成的應(yīng)用子系統(tǒng)，并在這些已經(jīng)集成的子系統(tǒng)之間無障礙自由進出，而無需記憶和輸入各系統(tǒng)的賬號密碼[7]。校園網(wǎng)絡(luò)上的主要應(yīng)用系統(tǒng)都基于統(tǒng)一認證，通過CAS認證來確認用戶身份。為了系統(tǒng)的安全性，賬號和密碼以加密形式進行存放，防止在認證過程中攻擊者竊聽網(wǎng)絡(luò)上傳輸?shù)拿艽a冒充合法用戶獲得身份認證進入各個信息系統(tǒng)[8]，其認證過程，見圖2所示。

圖2 統(tǒng)一口令認證過程圖

2.4 認證接口服務(wù)

認證接口服務(wù)為各種同構(gòu)或者異構(gòu)的應(yīng)用系統(tǒng)提供多種數(shù)據(jù)訪問認證接口，如表1所示，這是內(nèi)部系統(tǒng)接口，還有外部系統(tǒng)接口和web service接口多種接口，使各種應(yīng)用系統(tǒng)可以方便地通過認證接口服務(wù)使用本認證系統(tǒng)對用戶身份進行統(tǒng)一認證。

表1 內(nèi)部系統(tǒng)接口

2.5 LDAP目錄服務(wù)

目錄服務(wù)是統(tǒng)一身份認證與權(quán)限管理平臺的基礎(chǔ)。學(xué)校所有的用戶信息都以層次結(jié)構(gòu)、面向?qū)ο髷?shù)據(jù)庫的方式集中存儲在LDAP目錄服務(wù)數(shù)據(jù)庫中，通過可靠的機制完成兩者間的同步。在LDAP服務(wù)器中，我們使用基于標(biāo)準(zhǔn)的LDAP目錄服務(wù)器進行身份信息同步存儲，并利用LDAP的標(biāo)準(zhǔn)協(xié)議接口為其他應(yīng)用系統(tǒng)的身份認證提供服務(wù)。在身份管理系統(tǒng)里，可維護不同用戶的身份屬性信息，同時也會針對目錄服務(wù)器對其他系統(tǒng)提供的認證信息的不同需求，與目錄服務(wù)的屬性字段進行擴展和映射，實現(xiàn)身份信息的實時同步與一致，從而保證用戶身份數(shù)據(jù)的一致性和完整性。

2.6 身份自助服務(wù)

身份自助服務(wù)主要面向最終用戶，滿足用戶對自己賬號信息和密碼信息的管理和維護需求。提供密碼變更、密碼有效期設(shè)置、密碼到期提前提醒、密碼找回、個人基本信息修改等個人自助服務(wù)功能。

3 關(guān)鍵技術(shù)

3.1 LDAP

LDAP（Lightweight Directory Access Protocol，輕量目錄訪問協(xié)議）[9]是基于X.500標(biāo)準(zhǔn)的，但是又與X.500不同，既可以根據(jù)需要定制，又簡化了實現(xiàn)方法，而且支持TCP/IP。LDAP目錄以樹狀的層次結(jié)構(gòu)來存儲數(shù)據(jù)，每一個記錄項包括屬性類型和屬性值，只要對象可以用屬性來表示，不論數(shù)據(jù)對象是什么類型，都可以用LDAP存儲，而且可以根據(jù)需要為任何一個對象分配多個對象類型，不必為加入一些新的數(shù)據(jù)就重新創(chuàng)建表和索引。這種存儲數(shù)據(jù)的方式使數(shù)據(jù)庫具有很大的靈活性，可以快速響應(yīng)和大容量查詢，并且提供多目錄服務(wù)器的信息復(fù)制功能。它主要面向數(shù)據(jù)的查詢服務(wù)，不提供事務(wù)的回滾機制，同樣也不提供大量的函數(shù)，LDAP服務(wù)器可以使用簡單或基于安全證書的安全驗證，復(fù)制一部分或者所有的數(shù)據(jù)[10]。

LDAP最大的優(yōu)勢[11]是可以在任何計算機上用LDAP的客戶端程序訪問LDAP目錄，而且LDAP的客戶端程序很容易獲得、也很容易定制應(yīng)用程序，同時數(shù)目可以不斷增加；其缺點是在幾乎所有的LDAP服務(wù)器中，都要根據(jù)自己的需要擴展基本的LDAP目錄的功能，創(chuàng)建新的對象類型或者擴展現(xiàn)存的對象類型。

3.2 RBAC

RBAC（Role-Based Access Control，基于角色的訪問控制）[12]將權(quán)限與角色進行關(guān)聯(lián)，在用戶需要某種權(quán)限的時候給該用戶授予這種權(quán)限相關(guān)聯(lián)的角色，具有角色的用戶就可以得到該角色所具有的權(quán)限，這種方式極大地簡化了權(quán)限的管理。例如對高校教職工的工作，對于學(xué)校不同的工作定義不同的角色，學(xué)校教職工根據(jù)自己的工作職責(zé)被指派相應(yīng)的角色，然后使用角色相關(guān)聯(lián)的權(quán)限進行工作，一旦教職工的工作有變化，則可以很容易地對其從一個角色指派到另一個角色，這樣就保證了學(xué)校教職工在工作調(diào)動等情況變化時可以很簡單輕松的調(diào)整工作內(nèi)容。角色與權(quán)限不是固定死的一一對應(yīng)關(guān)系，而是可依據(jù)新的需求和變化而隨時改變，即角色與權(quán)限是多對多的關(guān)系，并且可以任意且自由的組合，這樣就增加了權(quán)限管理的靈活性與便利性。

4 總結(jié)

校園信息化建設(shè)的推進導(dǎo)致諸多應(yīng)用系統(tǒng)產(chǎn)生，進而產(chǎn)生諸多賬號和密碼，用戶需要記憶諸多數(shù)據(jù)核心敏感信息，導(dǎo)致不同系統(tǒng)運維成本高昂，維護流程復(fù)雜，成為高水平信息化建設(shè)的瓶頸，為解決這一問題，本文在充分考慮學(xué)校現(xiàn)有業(yè)務(wù)系統(tǒng)的基礎(chǔ)上，提出一套建設(shè)統(tǒng)一身份認證與權(quán)限管理平臺的解決思路，設(shè)計了架構(gòu)組成，并針對架構(gòu)中的6個核心要素分解平臺設(shè)計方案和流程，最終通過基于角色的訪問控制，采用統(tǒng)一認證技術(shù)，減少用戶系統(tǒng)間登錄次數(shù)，滿足校內(nèi)師生實際需求，為接入的其他各類系統(tǒng)提供權(quán)限管理服務(wù)，對學(xué)校全局性角色實現(xiàn)統(tǒng)一管理，局部角色和與業(yè)務(wù)系統(tǒng)關(guān)系密切的角色由業(yè)務(wù)系統(tǒng)在自身管理，全局角色可以在跨業(yè)務(wù)的綜合性平臺上使用，也可以供各二級業(yè)務(wù)系統(tǒng)使用。以用戶為中心，方便易用，給師生以良好的用戶體驗，靈活、方便的權(quán)限管理模型，為管理服務(wù)人員減輕管理負擔(dān)。

本文在平臺設(shè)計中，從用戶安全性、數(shù)據(jù)安全性、運行安全性三個方面出發(fā)，充分考慮信息資源保護和隔離，保證用戶的信息安全性以及數(shù)據(jù)和系統(tǒng)運行的安全性。在身份認證機制上支持SSL、U-Key、驗證碼等；在數(shù)據(jù)安全保障層面提供數(shù)據(jù)的傳輸加密和存儲加密；同時，平臺代碼標(biāo)準(zhǔn)和數(shù)據(jù)標(biāo)準(zhǔn)均采用教育部最新頒布的信息標(biāo)準(zhǔn)，符合國家信息標(biāo)準(zhǔn)和學(xué)校信息標(biāo)準(zhǔn)，使平臺具有開放性和標(biāo)準(zhǔn)化原則。

[1] 趙華,王海闊,宋金玉.統(tǒng)一身份認證在跨區(qū)域信息化企業(yè)中的設(shè)計[J].計算機與現(xiàn)代化，2011，(6):57-59.

[2] 王秋平,趙蘭庚,王新艷.高等院校數(shù)字化校園建設(shè)初探[J].河北工程技術(shù)高等?？茖W(xué)校學(xué)報，2013，(2):66-68.

[3] 沈奇力,李林靜,顧俊杰.基于ASP.NET的SSO的設(shè)計與實現(xiàn)[J].電腦知識與技術(shù)，2013,9(33):7463-7466.

[4] 黃秀芳,王海.基于LDAP的高校數(shù)字化校園統(tǒng)一身份認證集成實施方案[J].江蘇科技大學(xué)學(xué)報（自然科學(xué)版），2015，29(6):580-584.

[5] 夏建兵,廖大強.基于LDAP的校園網(wǎng)統(tǒng)一身份認證系統(tǒng)的設(shè)計[J].現(xiàn)代計算機，2013，(3):77-80.

[6] 邵景峰,厲謙,暢朝霞.RBAC在高校智能排考系統(tǒng)中的應(yīng)用[J].西安工程大學(xué)學(xué)報，2013，27(5):660-674.

[7] 顧秉鈺,張新軍.數(shù)字化校園建設(shè)中統(tǒng)一身份認證平臺建設(shè)研究[J].甘肅警察職業(yè)學(xué)院學(xué)報，2014，12(4):75-78.

[8] 戚湧,徐陽,李千目.一種物聯(lián)網(wǎng)密鑰管理和認證方案[J].計算機與現(xiàn)代化，2014，(12):91-112.

[9] 王世軼,基于LDAP協(xié)議的單點登錄系統(tǒng)的研究與設(shè)計[J].煤炭技術(shù)，2012，31(4):212-214.

[10] 唐明靖,陳建兵,吳惠.數(shù)字化校園真正意義的統(tǒng)一身份認證的研究與實現(xiàn) [J].云南大學(xué)學(xué)報（自然科學(xué)版），2013，35(S2):138-142.

[11] 林健,武兵.LDAP協(xié)議下多模型融合校園認證系統(tǒng)的研究與實現(xiàn)[J].太原理工大學(xué)學(xué)報，2013，44(2):169-175.

[12] 辛剛,李勝,陳玉名,張元鵬,游大寧,白魯英.基于角色的訪問控制模型在山東電網(wǎng)調(diào)度管理系統(tǒng)中的應(yīng)用[J].電氣應(yīng)用，2015，(S2):619-622.

Discussion on Design Scheme of a Unified Identity Authentication and Privilege Management Platform

Wang Ping

(China University of Petroleum (East China), Qingdao 266580, China)

In the process of information construction in schools, in order to solve the multiple account problem that users have to remember different user names and passwords while logging in different systems, this paper proposes one solution by establishing a unified identity authentication and privilege management platform. This platform makes centralized storage and unified management to the user's identity, realizes unified authentication and authorization through the identification and access control, and implements user single sign-on and improves user experience.

Identity authentication; Identity recognition; Access control

1007-757X(2016)12-0054-03

TP393

A

王 平（1979-），女，山東威海人，中國石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，工程師，研究方向：網(wǎng)絡(luò)信息化、數(shù)據(jù)挖掘，青島，266580

（2016.07.19）