基于PKI的多域单点政务网登录模型

韩凯宁　于雷　高萌

【摘 要】基于各种应用系统的信息共享、信息传递和信息服务成为了数字化政务的重要组成部分。大多数系统采用独立的身份认证模块对用户的访问权限进行限制，不仅使用户的登录操作过于频繁，而且易造成信息传送中的安全隐患。通过对传统认证方式、管理模式和权限分配机制等关键技术的深入分析与研究，设计了一个基于PKI的多域单点政务网登录模型，确保了认证与登录过程的信息安全，有效地提高了用户和管理人员的工作效率。

【关键词】PKI；认证；权限

0 引言

随着信息网络技术的发展和应用层次的不断提升，政务信息网络的建设成为了所有政务信息建设的一项重要内容，对信息资源的整合、及时更新等需求也日益迫切。一般政务信息网络是由多个政务信息应用系统组成，如政务一卡通系统、财务系统、自动化办公系统、人事管理系统等。由于这些应用系统不是在同一时间统一构建的，而是在政务活动过程中逐步完善的，所有应用系统都是根据自己独特的应用特点构建独立的数据库、用户登录和使用界面、工作运行流程等，这样就造成了各个应用系统集中化程度不高的问题。而且在很大程度上影响了工作效率，阻碍了政务管理水平的提升。因此，提出将政务信息网络的各个应用系统进行集中化管理，采用统一的标准进行重新定义，构建一站式服务系统，使原有业务和管理体系相对独立、互不协调的现象得到有效整合，减少资源浪费和重复建设，达到业务流程重组、提高效率的战略意图；有效缓解政务管理、人员管理、财务管理和服务等繁重的业务，提高了政府的管理水平，切实让信息化成为政府效率提升的重要途径。

1 单点登录技术

从管理的角度讲，传统的多点登录方式需要管理每个不同的域的用户账号，面对不同的用户接口。基于对可用性和安全性的考虑的不断增加，迫切要求提出一种整合不同的域，提供一种统一管理用户登录和账号管理的系统。提供这样一种服务可以带来以下的好处：

（1）减少用户登录不同系统的次数，这样就减少了登录错误的次数。

（2）通过减少用户登录不同系统认证身份的处理次数，大大提供了系统的安全性保障。

（3）给管理员在系统上添加，删除用户信息和修改用户访问权限提供了极大的方便。

（4）有利于系统管理员对不同系统进行整合和管理。

基于单点登录技术的发展和对目前政务中已出现的统一身份认证系统的研究，提出可对所有被授权的网络资源进行无缝访问。用户不用再面对不同的系统记住不同的用户名和密码，只需输入一次用户名和密码，就可以访问所有被授权的服务。这样不但提供了用户和管理员的工作效率，还提高了网络的安全性。

2 单点登录系统的模型设计

设计一个基于PKI的多域单点登录系统。该系统基于SAML信任与授权标准架构，采用双因素认证和数字证书认证方法为用户进行强身份认证，运用分布式认证技术支持用户跨域访问应用服务器，通过属性证书支持基于角色的访问控制有效实现了多域环境下的单点登录，实现了与应用系统的整合。模型如图1所示：

该模型是基于经纪人和代理的单点登录模型，认证服务器作为经纪人对本域内的用户进行统一的身份认证和授权，系统整合模块作为代理充当着用户认证方式和应用服务认证方式间的翻译，将应用系统的修改量减少到最小。由该模型实现的系统应用于分布式网络环境中，支持跨域访问，域A的用户可以访问域B的应用服务器，同理，域B的用户也可以访问域A的应用服务器。系统跨域访问的关键是域间的认证服务器如何建立信任关系。采用分布式认证技术，构建域间交叉证书，在不同域的认证服务器通过域间的交叉证书来确认对方身份的合法性，建立一条跨域的安全通道，实现域间的身份认证，从而达到多域间单点登录的目的。这样，就把原来相互独立的安全域集合成一个整体，只要用户拥有相应的权限，就可以无限制地访问各个安全域内的应用服务器。

3 单点登录系统设计

单点登录系统从功能上可以分为客户端认证代理模块；认证授权模块、系统整合模块、凭证库、数据中心、应用服务器等六部分。

客户端认证代理模块提供了系统与用户的交互界面，用户可以采用多种认证手段进行单点登录，如输入用户名口令，使用数字证书等。为了防止票据的重放攻击，客户端认证代理还设置了随机数生成器。

认证授权模块主要负责对用户进行统一的身份认证和授权，它采用双因素和数字证书相结合的认证方法验证用户的身份。在该系统中，用户的公钥证书和属性证书存放于UsbKey中。只有当用户通过双因素认证后才能成功登录UsbKey，此时认证授权模块读取UsbKey中用户的身份信息再一次进行认证。也就是说，只有当用户通过双重认证后才能成功登录系统。该模块还将对合法用户进行基于角色的访问控制。基于角色的访问控制是将用户划分为不同的角色，再给角色授予相应的权限，通过角色用户就可以拥有一定的权限来访问授权资源。用户通过身份认证以后，将获得一个授权票据，凭借此票据就可以对资源进行合法操作。

系统整合模块使用户的登录界面统一化，并且把用户注册的单点登录账号和系统的原有账号绑定，维护注册和绑定信息，有效地解决了单点登录系统与原有应用系统的无缝整合问题。

凭证库存储本域内所有用户的票据和数字证书信息，并对其进行统一管理，一般采用LDAP目录服务器来实现。系统通过判断用户身份来自动从凭证库中获取对应的票据或数字证书。

数据中心存储着本域内用户的身份信息、资源（下转第3页）（上接第1页）信息、角色信息和授权信息。系统通过查询数据中心就可以获得用户、角色、资源间的对应关系，为实现基于角色的访问控制提供可靠的依据。

应用服务器根据用户所持有的票据为其提供相应的服务。

系统在设计时可采用J2EE标准的Web程序，以达到易实施性的要求，同时系统对旧有的系统采用了接口的实现方法，所以说系统只要按照接口的标准实施就可以了，工作量不大，对现有的应用系统几乎不用作任何修改。所以说以此模型设计的系统具有良好的可扩展性。

4 结语

文中提出了一种一个基于PKI的多域单点政务网登录模型，将各个应用系统采用统一的标准集成，避免了各个应用系统各自为政的问题，使得用户可以迅速找到所需要的信息，提高了政务信息的利用率，具有较高的使用价值，为政府各管理层提供了辅助决策的依据。

【参考文献】

[1]吴波，王晶.基于基本 RBAC 模型的权限管理框架的设计与实现[J].计算机系统应用，2011（04）：13-16.

[2]Jan De Clereq.Single Sign-on Architectures [S].RSAConferenee2003.

[3]郭理，秦怀斌，梁斌.基于 RBAC 的政务 Web 服务平台权限设计[J].微计算机信息，2011（02）：99-103.

[4]许小红，石永革，郑开新.基于 LDAP 的统一用户管理系统研究与实现[J].计算机与现代化，2008（05）：76-79.

[责任编辑：薛俊歌]