统一身份认证在信息化企业中的应用研究

摘要：为解决跨区域企业各应用系统中用户身份认证管理及信息孤岛等问题，基于LDAP目录和Liberty网络身份认证管理框架，研究并设计实现了企业的统一身份认证管理系统，该系统能有效解决企业多个应用系统的统一身份验证、以及用户的单点登陆问题。

关键词：统一身份认证；轻量目录访问协议；安全断言标记语言；单点登录；级联认证

中***分类号：TP311文献标识码：A文章编号：1009-3044(2011)24-5916-02

The Application Research of Uniform Identity Authentication In Cross-Regional Information Enterprises

ZHAO Hua1,WANG Hai-kuo2,YANG Lan-juan1,SHEN Li-jun1

(1.PLA University of Science and Technology, Nanjing 210007, China; 2. Nanjing Army Command College, Nanjing 210045, China)

Abstract: In order to solve user authentication management and information silos and other issues in the application systems of Cross-Regional Information Enterprises, based on the LDAP directory and the liberty network identity management framework, research and implement a unified corporate identity management system, which solves unified authentication, and user's single sign-on in the multiple information systems of the enterprises.

Key words: suniform identity authentication; LDAP; SAML; single sign-on; cascading authentication

随着企业不断建立健全公司信息化系统，建设包括财务管理、营销管理、生产管理、人力资源管理、物资管理、项目管理等应用系统，这些信息化资源的大量投入使用，极大提高了企业的工作效率。但是随着企业规模的不断扩大，这些各自为***所实施的局部应用使得各系统之间彼此***，成为一个个“信息孤岛”。企业的用户就不得不在各个应用系统之间来回穿梭，频繁登录，用户信息混乱，企业的信息资源面临巨大威胁。因此，急需在现有的应用系统的基础上建立一个覆盖各区域、各部门，涵盖企业各个方面的企业信息门户。建立一个高安全性和可靠性的统一身份认证系统是建立该信息门户首要解决的问题。

1 企业统一身份认证系统的目标

统一身份认证系统的建设目标是为跨区域企业的各种网络服务和应用系统提供统一的用户管理平台和身份认证服务。企业用户只需要使用同一用户名、同一密码就可以登录所有允许他登录的系统；并且，用户只需登陆一次，就能在允许他登陆的多个系统间游走。另外，从管理角度出发，管理人员可以在同一认证系统中集中对各个应用系统的用户进行管理，有效提高整个企业的管理和运行效率。总之，统一身份认证平台功能重点包括三个方面：用户资料集中存储和管理，用户身份集中验证，用户单点登录。

2 企业统一身份认证系统的设计

2.1 LDAP目录系统设计

与一般的关系型数据库不同，LDAP(Light Directory Access Protocol )[1]是一种特殊的数据库。它的主要任务不是数据的存储和操作，因此并不像传统的数据库一样支持复杂的事务或者回滚技术，它对查询进行了优化，与写性能相比LDAP的读性能要强很多。LDAP还是一个安全的协议，它使用SASL (Simple Authentication Security Layer)协议[2]，提供访问控制。LDAP通过SSL/TLS(Secure Sockets Layer/Transport Layer Security)认证机制来保护数据的完整性和私密性。基于LDAP的应用开发有标准的规范，可以在任何计算机平台上访问LDAP目录，因此利用LDAP服务可以设计出跨平台和应用的统一身份认证系统。

本文设计的系统采用LDAP目录服务作为统一身份认证的基础，针对跨区域企业的机构地理分布、应用系统部署、网络状况等实际需求，企业的目录系统采用企业总部/分公司两级架构设计，如***1所示。各分公司在本地身份认证目录中存放和管理着本公司范围内的用户身份信息，身份认证管理系统会将这些目录自动实时同步到企业总部的身份认证目录中。因此，用户在公司总部认证目录和分公司认证目录中都具有用户身份，通过Mail属性关联，将Mail属性作为标识用户身份的关键信息。

2.2 统一身份认证系统的管理架构设计

企业的统一身份认证系统采用自由联盟项目(Liberty Alliance Project)创建的开放及联合的网络身份认证管理框架，如***2所示。系统由两大组件构成：访问网关和身份认证管理服务器。访问网关作为用户的统一访问入口，来提升企业门户与应用的访问安全；身份认证管理服务器管理用户相关的访问控制策略，并负责与访问网关通讯。

访问网关基于反向技术对后端的身份认证管理系统、应用系统等提供访问保护、审计监控等服务。身份认证管理系统利用PORTLET[3]集成到企业门户中。企业的统一身份认证系统在访问网关中建立企业门户的EIPProxy，对外的IP地址与企业门户的IP地址不同，不允许用户直接访问企业门户服务器。DNS域名系统中企业门户的域名将指向访问网关中企业门户EIPProxy的IP地址，这样，用户在浏览器中输入企业门户的域名时，实际访问的是访问网关中企业门户的。

访问网关可以根据用户请求资源的保护策略，决定是否对用户身份进行认证，如果用户请求企业门户中受保护的资源，则访问网关将用户重定向到身份认证管理系统，身份认证管理系统认证用户身份，若用户通过认证，身份认证管理系统将用户的身份信息传送给企业门户，企业门户将用户请求的相关应用系统中的资源返回给访问网关，再由访问网关将响应返回给用户。

2.3 单点登录的设计

用户的单点登录[4]主要是实现身份认证管理系统将经过鉴定的用户信息以安全的方式传递给应用系统，应用系统利用身份认证系统传递的用户信息确认用户身份，完成登录，并将请求的资源返回给企业门户。单点登录涉及两种情况[5-6]：一种是用户访问本地的应用系统，一种是用户访问其它地域的子公司或总公司的应用系统。系统在设计时将同一个子公司的各个系统作为一个信任域，每个信任域内都设有***的身份认证管理系统。企业本部的身份认证管理系统与分公司的身份认证管理系统将建立级联认证关系。

当用户访问本地的应用系统时，先从身份认证管理系统登录认证，如果通过验证，用户就可以自由访问该信任域内的应用系统。如果用户跨域访问其它地域的子公司或总公司受保护的应用系统，分公司身份认证管理系统将公司总部身份认证管理系统作为“身份提供者IP（Identity Provider）”，公司总部身份认证管理系统将分公司身份认证管理系统作为“服务提供者SP（Service Provider）”，双方基于SAML/Liberty协议进行协商，确认用户是否已被认证，如果已被认证，则允许用户访问相关受保护的应用系统。另外，如果要实现企业总部到分公司的跨域单点登录，可以通过身份认证管理系统将企业总部有权限访问分公司系统的用户身份同步到分公司的认证目录中，身份认证管理服务器再通过SAML/Liberty协商，实现公司总部到分公司的跨域级联认证。

3 企业统一身份认证系统的实现

基于如上的设计思想实现了某跨区域大集团公司的统一身份认证入口，该集团公司各分公司的员工以及外部人员均采用如下门户网站统一登陆，如***3所示。

4 结束语

建立一个高安全性和可靠性的统一身份认证系统是企业集成各应用系统建立企业信息门户首要解决的问题。笔者综合考虑了跨区域企业机构地理分布、应用系统部署情况，采用了LDAP目录系统，设计了企业总部/分公司两级目录架构存储用户身份信息。基于Liberty的网络身份认证管理框架，设计了两大组件：访问网关和身份认证管理服务器。访问网关作为用户的统一访问入口，基于反向技术对后端的企业门户提供访问保护服务；身份认证管理服务器对各应用系统的用户身份集中认证。设计了企业的级联认证架构，各域的身份认证管理服务器基于级联认证架构，通过SAML/Liberty协议协商，支持用户的单点登录。基于该设计实现的统一身份认证管理系统实现了跨区域信息化企业多个应用系统用户的集中管理、统一身份认证和用户的单点登录问题，目前系统运行良好。

参考文献：

[1] 郑辉.基于LDAP的统一身份认证目录服务系统研究与设计[D].西安:电子科技大学,2008.

[2] Jeff Hodges,Sun Microsystems.liberty-architecture-overview-v1.1[EB/OL]./liberty/content/download/1467/9650/file/.

[3] Sandy Stevens. Novell Single Sign-On 2.0[J].Novell Connection Magazine,2000,3:12-20.

[4] 马华.基于SOA的数字化校园系统的研究与设计[D].北京:北京邮电大学,2008.

[5] 程宏斌,孙霞.单点登录技术研究[J].计算机时代,2004,5:3-4.

[6] 许学洋.数字化校园统一身份认证平台的作用与实践[J].中原工学院学报,2009,20(6):72-75.

[7] Bindings and Profiles for the OASIS Security Assertion Markup Language.(SAML)V1.1[EB/OL]..

[8] 张星,严承华.基于PKI/PMI的Web系统安全机制设计[J].计算机与数字工程,2010,38(1):107-110.

注：本文中所涉及到的***表、注解、公式等内容请以PDF格式阅读原文

转载请注明出处学文网 » 统一身份认证在信息化企业中的应用研究