铁路企业社会保障管理信息系统统一身份认证平台的设计与实现

洪 铂，朱韦桥

（中国铁道科学研究院 电子计算机研究所，北京 100081）

针对铁路企业点多、线长、面广的行业特征，统一规划建设的铁路企业社会保障管理信息系统（简称：铁路社保系统），主要涵盖铁路企业社会保险（五险）、企业年金、补充医疗保险等方面业务，在解决企业社会保障日常业务管理存在政策差异大、内容琐碎、量大、复杂等问题的同时，帮助铁路企业实现职工社会保障“记录一生、保障一生、服务一生”的服务宗旨[1-2]。

铁路社保系统具有政策性很强、需求变化频繁等特点，在系统的建设过程中社会保险、企业年金和补充医疗保险的业务划分较为独立。集中式的架构不仅难以满足这种相对独立的开发模式，更在可扩展性、可维护性、灵活性、维护成本等方面很难满足业务快速变化的需要。

在实践中，我们采用了分布式架构，它是一套构建系统的准则，可以把一个复杂的系统划分为一套简单系统的计划，各系统之间应该保持相互独立，并与整个系统架构保持一致，采用分布式架构搭建的系统具有更加经济、更易扩展、数据共享性更好等特点。

使用分布式架构建设的铁路社保系统在软件上解决了各项应用和独立系统之间的在架构上的融合问题，也提高了系统在集群部署环境下的适应性。同时在技术复杂度不断提高的情况下，随之而来的信息安全风险也日益凸显[3]，身份认证作为系统的第一道安全防线，研究与实现符合铁路社保系统需求的统一身份认证平台就显得尤为重要。

1 铁路社保系统统一身份认证平台的设计

1.1 相关技术

1.1.1 单点登录技术

铁路社保系统使用基于票据的方式来实现单点登录。通过票据认证服务器功能的扩展，令票据认证服务器不仅可以为用户生成认证票据完成授权应用服务器的访问[4]，也可以提供访问控制、集中审计等功能，来满足铁路社保系统的个性化需求。

1.1.2 Session共享技术

铁路社保系统采用分布式服务集群进行部署，引入Session共享服务器方式解决集群中Session不可跨服务器而存在的问题。Session共享服务器是在集群中设置服务器来统一存放和提供所有系统的Session[5-6]。这是实现Session共享最为复杂的方式，但只要配置得当，其性能、可靠性、扩展性和适应性也是最高的。

1.1.3 Redis内存数据库技术

铁路统一身份认证平台采取Redis集群作为票据存储和Session共享服务器，主要是出于2个方面的考虑：

（1）内存数据库的I/O操作的高效，使用集群部署后其安全性和稳定性提升[7]；

（2）Redis内存数据库能够提供较为丰富的数据结构，为系统扩展提供了更多的可能[8]。

1.2 统一身份认证平台的总体设计思路

铁路社保系统的统一身份认证有两方面的特点：

（1）需支持单位信息、身份证、工号、用户名等组合认证方式；

（2）满足多个自主建设应用和各类商业软件的集成需求。因此铁路社保系统的身份认证平台将票据方式的单点登录和Session共享服务器结合，即将Session共享服务器的功能扩展，使其支持票据管理。

平台设计的核心：将内存数据库作为登录信息、Session信息和票据信息的存储介质，规避登录信息的跨域传递、减少与客户端的交互，达到全面提高系统的安全性的目的。

铁路社保系统统一身份认证平台面临3个方面的挑战：票据生命周期管理、Session共享服务策略和Session的销毁机制设计。

1.3 统一身份认证平台的功能设计

铁路社保系统统一身份认证平台的功能，主要体现在5个“集中”上，如图1所示。

图1 社保系统统一身份认证功能设计

集中用户管理：铁路企业职工既是铁路社保系统的业务主体，也是铁路社保系统的用户主体，集中用户管理应满足业务办理和集中授权管理的需要。

集中票据管理：票据生成规则的灵活配置，可以集成第三方证书或密钥，对票据的生命周期进行管理。

集中认证管理：在访问策略的规范下实现统一认证，防止不安全的链接入侵。

集中授权管理：这是社保系统集中菜单展示的必要手段，也支持应用或子系统独立授权。

集中审计管理：记录、查询、分析各类审计信息，包括用户登录、系统操作等。

Session管理：对用户登录信息进行记录，提供Session有效期管理和同步服务。

2 铁路社保系统统一身份认证平台的实现

2.1 统一身份认证实现过程

如图2所示，统一身份认证的实现过程为：

（1）统一入口进行单点登录，通过身份认证中心验证后，将用户登录信息存储至Session信息中心。

图2 铁路社保系统统一身份认证实现过程

（2）访问应用和子系统时，生成票据信息存入Session共享服务器，凭证传递给应用或子系统。应用或子系统从Session共享服务器中取得票据信息和登录信息，依据登录信息生成应用或系统的Session。

（3）登录信息可跨集群中进行共享，应用或系统的Session信息存储在Session共享服务器中，满足应用或系统自身集群的同步需要。

2.2 票据管理实现

登录完成，第1次访问应用或子系统时，如图3所示，单点登录服务生成合法生成票据，将票据存入Session共享服务器，凭证传送给应用或子系统。应用或子系统依据凭证从Session共享服务器中取得票据信息和登录信息，生成自身Session。

图3 第1次访问应用时票据使用的顺序图

第2次访问应用或子系统时需使用新的票据和凭证，如图4所示，验证登录信息。如登录信息已失效，应用或子系统同时失效；如登录信息未失效，更新登录信息失效时间，将登录信息返回给应用或子系统。应用或子系统在取得登录信息后，如果自身Session未失效，则更新自身Session的失效时间；否则，使用登录信息再次获取应用或子系统的Session。

2.3 基于Redis的Session共享服务实现

铁路社保系统中自主开发的应用使用统一身份认证平台的Session共享服务，实现方式，如图5所示。

（1）单点登录成功后，生成一个主Session ID和各应用的Session ID，在应用生成自身Session后，主Session ID和应用的Session ID形成联合主键（简称：Session共享主键）用于存储应用的Session。

图4 第2次访问应用时票据使用的顺序图

图5 Session共享服务实现流程图

（2）票据信息中含Session共享主键，如果主Session ID无法检索到对应的信息则登录失效；如果主Session ID和Session共享主键在Session共享服务器中均有效，同时更新主Session和本应用Session的失效时间；如果Session共享主键未被检索到，但是主Session ID可以检索到信息，则通过登录信息为应用再次创建Session；。在Session变化时，应及时推送到应用集群中。

（3）票据信息中不包含Session共享主键意味着应用非法或认证失效，需进行应用注册或重新认证。

2.4 Session销毁机制实现

Session的销毁机制包括3个方面：

（1）有效时间控制：使用Session共享服务器提供的Session有效时间管理实现统一控制。

（2）退出登录：任一系统操作退出登录，即删除Session共享服务器中用户所有信息。

（3）关闭浏览器：将上述2.3中所描述的主Session ID存入客户端Cookie。浏览器关闭时，依据朱Session ID清除信息，如图6所示。

图6 Session销毁机制实现的顺序图

2.5 统一身份认证平台在铁路企业社保系统中应用情况

该平台已经在铁路社保系统中成功应用，覆盖了所有子系统及功能模块，实现了数十万用户、百余个角色的统一身份认证，保证了用户在系统中进行身份一致的有限访问。统一身份认证平台确保社保系统安全认证策略的统一，为用户行为分析打下基础，初步实现了资源的集约复用和服务的灵活交付，其关键技术都得到了验证。

例如，在社保系统中，企业年金管理子系统不仅要对年金理事会的日常业务进行管理，也需要对年金基金市场化运作数据进行分析，实现年金基金的有效监督。因此企业年金管理子系统由自主开发的理事会管理业务模块和第三方专业分析系统组成，且需要与多方外部机构业务系统（账管人、托管人和投资管理人等）进行频繁交互。统一身份认证平台的成功应用，不仅平滑连通了各系统和模块，也为数据交互提供了访问控制策略，使数据的传输过程更加安全。

3 结束语

通过统一身份认平台的建设，改善了铁路社保系统的用户体验，使系统的结构和功能更加合理。统一身份认平台作为系统网络安全的重要组成部分，还需要在结合业务系统发展需求的基础上，进一步与商业级的PKI/CA和云计算技术进行结合，使系统更加安全可靠。

[1]中国铁道科学研究院. 中国铁路总公司人力资源管理信息系统社会保障管理应用总体方案[R]. 北京：中国铁道科学研究院，2015，12.

[2]中国铁路总公司.铁路信息化总体规划[R]. 北京：中国铁路总公司，2017.

[3]史天运.铁路行业信息安全管理面临的挑战及对策探讨[J].铁路计算机应用，2015，24 （2）：1-4.

[4]淡 艳,尹 谦.单点登录系统模型分析 [J].成都大学学报：自然科学版，2008（27）：123-126.

[5]赵艳芳，蒋云起.Web服务器负载均衡会话保持的研究 [J].云南民族大学学报：自然科学版，2011，20（4）：296-300.

[6]任国庆.基于内容分类和会话共享的集群负载均衡研究 [D].长沙：湖南大学，2010.

[7]梅巧玲，王明哲，张志强，等.内存数据库在互联网余票查询中的应用[J].铁路计算机应用，2014，23 （3）： 41-44.

[8]Josiah L. Carlson. Redis实战[M].北京：人民邮电出版社，2015.