基于企業目錄的統一認證與應用互訪技術的實現

陳哲 李燁 楊盛楠

一、概述

（一）現狀概述

隨著大中型集團公司信息化工作的不斷推進，集團內總部與下屬成員單位均在積極推進各級應用系統的信息集成、流程協作等工作，但由于用戶資源、認證資源、信息資源整合缺失或不一致等問題，現有各應用系統普遍存在用戶管理分散、認證分散、信息展示分散的問題。

與此同時，通過網絡傳輸的數據的安全性也日益受到人們的關注，特別是對于一些涉及國家安全的重要單位，傳統的身份認證系統在安全性方面已難以適應其提出的越來越高的要求，這是因為傳統的基于用戶名+口令的身份認證方式在網絡中是以明文的形式傳遞，沒有采取必要的安全防護措施來保證數據在本地以及網絡中的安全。采用這種認證方式的應用系統的安全性較差，這就使得數據面臨著被截獲、篡改、破壞的危險，甚至會產生不法份子利用系統進行欺騙等不良行為。

（二）建設目標

建設集團級企業目錄，作為全集團IT系統的基礎用戶信息庫以及全國證書用戶的證書信息，并基于規范的數據結構定義，實現集團和下屬單位兩級目錄的用戶數據同步。

通過規范總部與下屬單位各自的統一用戶管理系統，建立統一用戶管理體系，結合用戶生命周期管理，實現企業目錄數據的管理。

在企業目錄和統一用戶管理的基礎上，建設企業統一認證平臺，實現企業門戶和應用系統的安全認證、單點登錄和訪問控制；構建集團統一認證體系，實現兩級門戶互訪以及門戶和集團級應用的單點登錄，滿足門戶信息共享、流程協作等互聯互通應用安全需求。

二、設計方案

（一）總述

集團企業目錄統一認證及統一身份管理體系主要包括企業目錄、統一認證平臺、統一用戶管理三部分組成，同時，為保證身份認證的安全性，公鑰基礎設施通過可信第三方——認證中心（Certificate Authority， CA）引入了數字證書的概念。

企業目錄是門戶及應用系統的基礎用戶信息庫，包括用戶、組織機構、群組、角色、崗位等數據。通過建立規范化的數據結構，實現目錄數據的同步，為統一認證、縱向互聯提供數據支撐。

統一用戶管理系統實現對企業目錄的數據管理，并提供企業用戶目錄和應用系統之間的數據同步管理。

統一認證平臺是在建立企業目錄之上，提供對企業門戶及應用系統的安全認證、單點登錄、訪問控制等安全支撐。

通過統一認證平臺，實現集團、總部及各下屬成員單位門戶及應用系統間的互訪單點登錄，提供縱向互聯互通應用的安全支撐，滿足門戶縱向信息互訪、流程協作等應用需求。如圖1所示。

（二） 企業目錄

1.概述

建設集團級統一的企業目錄，總部與各下屬單位分別建設本地用戶目錄系統，通過自上而下和自下而上相結合的方式，進行集團企業目錄和集團總部目錄、各下屬單位目錄定時同步。自上而下方式用于集團統一定義的規范數據，如數據字典等的同步，自下而上方式用于同步各下屬單位節點到集團企業目錄，如圖2所示。

2.目錄的同步設計

集團目錄的同步主要包含以下幾個步驟：

下屬單位用戶目錄到集團目錄：把下屬單位用戶目錄中部分用戶的部分屬性信息同步到集團目錄中。這部分復制工作的主要目的是為了實現下屬單位用戶到集團門戶的單點登錄功能。

總部用戶目錄到集團目錄：把總部用戶目錄中部分用戶的部分屬性信息同步到集團目錄中。這部分復制工作的主要目的是為了實現總部用戶到集團門戶的單點登錄功能。

集團目錄到下屬單位用戶目錄：把存放在集團目錄中的總部用戶信息同步到下屬單位用戶目錄中。這部分復制工作的主要目的是為了實現總部用戶到下屬單位門戶的單點登錄功能。如圖3所示。

除了基于目錄的同步外，考慮到有些下屬單位沒有建立企業目錄，或者對于企業目錄的改造不易實現，那么全國目錄提供了同步接口，下屬成員單位可以在本單位統一用戶管理系統中進行全國目錄同步接口的調用。這種方式也可以實現下屬成員單位用戶管理系統和全國目錄的同步。

（三） 統一用戶管理系統

1.概述

統一用戶管理系統作為集團公司總部和各下屬成員單位的用戶基礎設施， 實現對企業目錄的同步管理，可作為企業門戶等應用的用戶數據源，為其他應用系統提供用戶同步，同時可擴展支持從現有的HR、OA等系統導入用戶。如圖4所示。

總部與下屬單位分別建立各自統一用戶管理系統，通過統一用戶管理系統管理操作各自的目錄服務，并基于目錄服務的向上同步復制機制形成全國目錄服務。總部與下屬單位可以通過CA提供的接口，為統一用戶管理系統中的用戶申請數字證書，并將用戶數字證書同步到本地，與用戶建立關聯關系。

（四） 統一認證平臺

集團統一認證平臺基于集團企業目錄，實現對于集團級應用系統的統一認證和單點登錄。集團統一認證平臺提供證書認證和短信認證兩種強認證方式，對于證書認證，需要建立企業級CA認證體系。同時，該平臺也對實現縱向互聯互通應用提供支撐。

由于目前大部分集團總部和下屬單位IT系統的管理相對獨立，可以視為同級。企業門戶與OA系統分為集團、總部和成員單位兩級架構部署，并實現兩級之間的信息互訪。統一認證平臺提供門戶與應用的集成、門戶間的互訪，也同樣采用兩級架構進行部署。圖5是基于統一認證平臺的兩級體系架構示意圖。

集團、總部和各下屬單位兩級認證平臺實現互訪認證。通過互訪認證機制，實現集團、總部和各下屬單位兩級應用之間的單點登錄，并完成總部和各下屬單位應用到全集團性應用的單點登錄。

（五）企業級CA認證體系

根據系統安全認證體系建設的實際需求，CA認證體系整體設計將采用以下的設計思路。

1.“雙中心、雙證書、雙密鑰”機制

雙中心則是指證書管理中心與密鑰管理中心，雙證書是指簽名證書和加密證書，雙密鑰是指簽名密鑰和加密密鑰。

密鑰管理中心負責向證書管理中心提供密鑰管理服務，而證書管理中心則具體的向用戶提供證書業務服務和證書認證服務。雙證書中的加密證書對應加密密鑰，簽名密鑰用于數字簽名（具有保證行為不可抵賴性功能），加密密鑰用于信息加密。簽名密鑰歸用戶獨自擁有。簽名證書和加密證書一起保存在用戶的證書載體中，這樣既解決了密鑰恢復問題，又保證了行為的不可抵賴性。

2.“集中式生產、分布式服務”模式

根據CA認證體系的建設要求，CA體系采用集中式生產、分布式服務模式，即證書的生產（簽發、發布、管理、撤銷等）集中在管理中心執行，而證書的申請、注冊、審核等則由分布的證書審核注冊系統執行，以提高系統服務效率。這種服務模式的實現需要與證書業務服務系統建設策略緊密結合。

3.系統可伸縮動態平滑配置

CA認證體系要滿足證書業務量的運行要求，并可根據將來業務量的增長而逐步擴展。證書業務服務系統具有動態平滑可擴展能力，可根據業務量的改變動態調整證書業務服務系統的業務能力。

三、 兩級互訪技術方案

（一）概述

信息的共享及互訪是縱向互聯互通的重要內容，主要包括如下三類互訪需求：

集團門戶、總部門戶和下屬單位門戶之間互訪；

從總部、下屬單位門戶單點訪問集團級應用；

通過集團統一認證平臺直接訪問集團級應用。

信息互訪基于集團企業目錄實現，信息互訪支持靜態密碼、數字證書、短信動態密碼等多種認證方式。CA數字證書作為一種已經使用的強認證方式，滿足特定應用場景的高安全性需求。信息互訪憑證可以采用數字證書或者用戶主賬號名標識，身份憑證傳輸過程通過數字證書加密保證安全性。同時，信息互訪支持安全訪問策略的設定，被訪問的應用可以根據用戶的身份、用戶采用的認證方式等因素，決定是否允許互訪或是否進行二次認證。

（二）兩級互訪

通過兩級互訪訪問控制服務器實現門戶間的單點登錄。當用戶進行互訪時，由互訪發起端的兩級互訪訪問控制服務器獲取當前用戶身份，生成互訪唯一憑證，并將憑證加密傳遞到被訪問端兩級互訪訪問控制服務器，被訪問端驗證用戶身份，并按照設定的授權策略進行訪問控制，被訪問端訪問控制服務器通過和本地統一認證平臺的交互，完成和門戶的單點登錄。

企業目錄提供用戶信息查詢服務，兩級互訪訪問控制服務器和認證平臺可以通過單點登錄傳遞的身份唯一憑證，從企業目錄查詢用戶職務、部門、群組等信息。總部門戶訪問下屬單位門戶，互訪基本流程如圖6所示。

（三）總部、成員單位訪問集團級應用

從門戶到集團級應用的單點訪問通過互訪認證來實現，互訪認證由集團統一認證平臺和兩級互訪訪問控制服務器提供。

基于企業目錄建設集團統一認證平臺，實現對集團級應用的統一認證和單點登錄，同時在集團級應用域內也需部署兩級互訪訪問控制服務器。兩級互訪訪問控制服務器實現訪問身份憑證的傳遞，統一認證平臺完成應用的單點登錄。

在進行訪問時，兩級互訪訪問控制服務器之間主要傳遞的是用戶身份信息，由于集團企業目錄和下屬單位、總部的結構是一致的，并且包含總部和下屬單位目錄數據。集團兩級互訪訪問控制服務器器獲取到訪問用戶的身份憑證后，可以在集團目錄中找到用戶的身份及部門、角色、群組等信息，對此進行訪問控制策略的判定。在策略通過之后，由于統一認證平臺已經和各應用系統實現了SSO，因此就可以訪問相關應用了。

應用需要在自身系統中創建用戶賬號以實現用戶的訪問授權，或者通過角色賬號實現某一類用戶的訪問授權。

不同于門戶間互訪流程，從總部、下屬單位門戶訪問集團級應用時，最終通過集團統一認證平臺登錄到應用系統。下屬單位門戶訪問集團級應用，流程如圖7所示。

（四）通過統一認證平臺直接訪問集團級應用

基于企業目錄建設集團統一認證平臺，實現對集團級應用的統一認證和單點登錄，同時在集團級應用域內也需部署單點登錄服務。單點登錄服務實現訪問身份憑證的傳遞，統一認證平臺完成應用的單點登錄。

在進行訪問時，統一認證平臺獲取到訪問用戶的身份憑證后，可以在全國目錄中找到用戶的身份及部門、角色、群組等信息，對此進行訪問控制策略的判定。在策略通過之后，由于統一認證平臺已經和各應用系統實現了SSO，因此就可以訪問相關應用了。

用戶直接訪問集團級應用時，通過全國統一認證平臺登錄到應用系統，流程如圖8所示。

四、結語

隨著全社會信息技術的不斷發展，如何在確保信息安全的前提下解決企業內部身份認證分散，充分利用信息資源，避免信息孤島等問題成為一個亟待解決的問題。本文以傳統的信息安全技術為前提，以最新的信息體統基礎架構為背景，在同一解決單位內部身份認證的同時，著力解決企業內部，特別是跨區域的大中型企業內部的應用系統與認證中心之間統一用戶同步與單點登錄的問題，從而解決企業內部不同單位間的系統互訪問題，在大大提高單位信息系統使用效率的同時，促進單位信息化建設的規范性與時效性。

作者單位：核工業理化工程研究院