统一身份认证与授权管理系统探析

冯俊均

摘 要：加强对政企网络用户管理，保证信息化系统的安全和保密，建立统一身份认证与授权管理系统，应用高科技多媒体等认证方式，将众多应用系统整合，实现单点登录、统一身份认证、权限控制管理。提升安全等级，提高人员工作效率，降低政企管理成本。

关键词：单点登录;身份认证;授权管理

单点登录英文全称Single Sign On，简称SSO。解释：在多个应用系统中，只需要登录一次，就可以访问其他相互信任的应用系统。

单点登录（SSO系统）保障了网络内各业务系统用户资源的安全。如果某个用户想获得各个业务系统的信息资源，通过SSO认证，确保这个用户能访问全部应用资源。

单点登录原理：资源都分布在各个业务系统中，存在认证服务器系统内。某个用户在给业务系统提供了用户名密码后，作为业务系统并不知道这个用户名密码是否正确，不能认定这个认证指令是不是用户伪造的，还是真的有效？不能轻易让业务系统予以确认，要传输这个认证指令回馈去认证服务器端对认证指令再次确认，这个用户提供的认证回馈是否真实并且有效？认证结果是真实有效的，系统才能开放，同意这个用户进入访问[1]。

1 现状介绍

当前政企单位经过多年的信息化建设，基于IT环境的业务系统越来越多、越来越大，例如政府单位内通常有OA系统、人事系统、邮件系统、政务系统、监控系统以及支撑平台等。平均来看，一个企业用户一般有15个应用，也就是说有15套用户密码，繁琐又不安全。传统账号密码的认证方式，存在弱密码、密码易丢失问题，不仅让企业应用系统存在巨大安全隐患，同时繁琐的账户记录、密码输入大大浪费员工的工作时间，这是企业管理面临的一大挑战。

随着政企单位信息化建设不断深入，单位信息化应用具有“智能化信息集成系统、门户网站、办公自动化系统、邮件系统”等多个系统，这些系统建设有效地改善工作环境，提高了工作效率和工作质量，但多个应用系统之间彼此独立所带来的问题也日渐突现出来，系统之间缺乏關联、数据共享和流通不畅;组织机构和用户不统一，不仅带来工作量增加，也影响了相关业务应用。用户身份的真实性无法保证，同一用户登录必须以不同的身份登录不同系统，不利于使用。这些问题不解决，将影响整体应用的效果，因此实现权限的统一管理，整合现有应用系统已成为必须尽快解决的重要问题之一，开发“统一身份认证与授权管理系统”正是为了达到上述目标。

2 方案目标

随着云计算和移动互联网的推广和大规模应用，越来越多的企业系统应用由传统的机房转移到云端，系统应用的云端化和移动化也带来了新的挑战。传统的防火墙构建的物理安全边界起不到作用。身份认证是云服务安全的第一道关口。近年来，随着5G运用、大数据、云计算、人工智能、物联网、虚拟化等新技术快速发展，带动各行业信息化水平不断提高。众多信息化应用中，几乎每个应用系统都包含了身份认证、权限管理。当用户同时登录多个系统时，系统要对其进行多次身份认证，这对于合法用户来说无疑是重复、冗余的操作。这种情况下，安全等级低的用户信息泄密，会直接影响安全等级高的用户信息泄密，造成不安全漏洞。解决问题的关键，在于保护好在云计算和移动互联网环境下系统及应用的安全性。打造一把“万能钥匙”，即在各个应用使用同样的用户名密码来进入所有的系统，确保自己不会被某个应用系统拒之门外。

3 建设目标

设计整个方案的完整实施将帮助政企单位网络达到如下目标：

单位计算机网络（包括内部工作网和外部网接入网）用户实行统一的身份认证和权限管理，每个用户均配发个人电子身份证书和个人PC和移动终端，持有者拥有系统规定的网络使用权限。

1）建立全网的策略、管理、组织和安全技术体系。建立起结合实际业务情况和安全需求的策略，并通过相应的管理、组织、和技术体系进行落实和跟进。

2）实现关键业务的6个重要安全属性：机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、可靠性（Reliability）、认证性（Authenticity）、审计性 （Accountability）。

3）全网的安全风险处于可管理、可控制状态下。对网络安全风险的不间断的评估和控制措施调整，使得全网的整体安全状况和风险情况以定性或半定量的形式及时展现出来。帮助企业管理层和客户建立强大信心。

4）保证全网的“抗打击能力”处于国外内领先地位。在网络攻击、自然灾害、灾难、恐怖事件以及其它不可预见的威胁出现时，在运维服务商的帮助下进行迅速响应和恢复。

5）保证应用网络符合国家保密规定，建立法律法规符合性审核制度，保证网络安全性。

身份的作用是区分不同的个体，身份管理系统就是管理这些不同个体的系统，能够给用户使用带来极大的便利。新兴的身份管理系统，应用方会向连接“网络身份识别系统”发出请求，以核实用户网络身份的真实性和有效性。

智能终端在信息技术日益发展的今天，已经成为人们获取信息、交流交往最流行的工具。智能终端功能多样化，操作智能化，使用便捷化的特点越来越突出。普遍具备上网、拍照、录音、定位等多种功能。

人脸识别技术是通过一系列图像信息处理、算法模型使计算机具备人脸认知、识别能力，相比较指纹识别、虹膜识别等生物识别技术，人脸识别技术具有直观便捷、非侵扰非接触等特点，应用更加广泛。系统涵盖了人脸图像采集、人脸定位、人像识别处理、人脸对比、人脸检索等环节。

4 解决方案

4.1 基本结构

统一用户管理、统一身份认证和统一授权管理首先必须基于统一的用户权限平台，借助成熟、稳定、高效的用户权限平台实现这三部分功能。用户权限平台一方面需要提供界面给系统管理员进行组织和用户信息维护以及授权操作，另一方面也需要提供各应用系统组织、用户、权限的调用接口，因此用户权限平台必须提供完善的API（应用程序接口）[2]接口供其他应用程序调用。

4.2 统一用户管理

统一用户管理基于用户权限平台，主要包括组织机构管理和用户管理两部分内容，主要的功能需求如下：

1）建立统一的组织机构树，范围包括单位所有部门和所有人员，还需要考虑外部注册用户和来自公共服务平台的用户;

2）对组织信息（单位编号、单位名称、组织关系等）和用户信息（用户名、用户编号、密码、用户姓名、所属组织、IP地址等）进行统一登记和维护;

3）在组织机构树中存储组织的完整结构以及组织中的所有用户信息，提供一整套管理、维护组织和用户信息的界面和功能;

4）建立组织和用户定义标准，包括存储方式、编号规则、调用接口等等，着重考虑由于人员频繁调动带来的组织关系混乱以及维护工作量上升等现实问题;

5）对于组织和用户的存储方式，建议采用LDAP方式[3]，LDAP服务器作为本项目的重点支撑软件，必须选用高性价比的成熟产品。

4.3 统一授权管理

统一授权管理同样基于用户权限平台，主要包括资源管理、角色管理、授权管理和权限控制接口、系统管理五部分功能：

资源管理：资源是指系统、模块以及菜单、超链接、按钮等界面元素，它们是进入相关系统或者界面的入口。在本系统中权限主要针对系统级的“大权限”，即表示用户可否访问某个系统，系统内部的权限（模块级权限和数据权限）由各系统分别维护;

角色管理：建立完善的RBAC（Role-Based Access Control[4]，基于角色的访问控制）权限管理机制，对中心的公共角色（比如主任、部长、组长等）进行统一定义、维护和控制，系统内部的业务角色由各系统分别维护;

授权管理：提供便捷的授权操作界面，包括按角色授权、按用户授权、同权相赋、选权授予等多种授权方式。还可以引入“分级授权”的思想，即系统管理员可以授予通用权限，各部门的系统管理员可以授本部门的权限，通过授权的层层分解，减少软件中心系统管理员授权操作的工作量;

权限控制接口：提供完善的权限控制接口供各应用系统调用;提供完善的数据同步策略以实时或定时更新网络上其它应用系统的权限信息（主要针对分级授权的情况，在这种情况下，授权操作统一在用户权限平台中进行，需要同步到各应用系统的权限表中）;

系统管理：提供完善的系统管理后台，借助管理后台，可对系统的各种操作进行记录和汇总，例如登入、登出操作，用户、权限变更操作等。并能够提供查询，对查询结果还可导出Excel审计报表。

4.4 统一身份认证

各用户的数据权限和应用权限，由保密办公室、人事HR部门、信息技术部门，会同相关的业务部门，根据各应用系统的功能和处理信息的公开属性和密级，以及不同用户的身份和岗位职责，分配相应的使用权限。信息技术部门在密委会监督指导下承担用户证书的管理工作，负责证书的申领、制作、设置、开通等。信息技术部门的密码密钥管理员，承担证书的具体管理工作。其他任何人未经许可，均不得对用户权限进行增加、修改、删除的操作。如因工作需要对用户权限有所变化时，必须填写《权限维护操作审批表》，并经逐级审批后，由信息技术部门专人负责授权操作，并将该表审核归档。

统一身份认证由用户权限平台完成。登录认证采用多种认证的方式，认证通过之后，系统应提供一定的安全机制在用户操作过程中全程记忆身份信息，除了超时需要重新登录之外，尽量避免身份信息在用户操作过程中出现丢失现象。

归纳起来，统一身份认证提供验证服务和单点登录两部分功能：

单点登录：使用户只需使用一套用户名和密码，通过一次登录，就可以访问所有已集成的应用系统。在进入已集成的应用系统中时，不需要再次输入用户名和密码。

验证服务：系统可以对外提供CA认证服务和口令认证服务，通过调用，其他应用系统可以借助统一身份认证和授权管理系统中的权限管理功能，完成此应用系统的身份验证和授权管理。

4.5 统一信息门户

未来可以将外部信息门户作为统一信息门户。今后不但所有员工可以通过访问这个门户即可浏览所有部门的公开信息，比如信息简报、工作动态、相关政策等信息，并提供部门子网站、相关网站的链接;外部用户也可以通过访问这个门户进行单点登录，然后根据权限的不同进入相关应用系统（信息门户链接）进行操作。比如，辦公室用户在统一信息门户上登录之后，只要权限允许就可以进行办公自动化系统、邮件系统、图片音像资料管理系统等业务应用而无须再次登录。

4.6 整合方式

应用系统的整合时，需要提供统一的系统整合开发接口规范，不论之前建设的应用系统，还是今后建设的应用系统，按照规范进行改造和开发，整合到统一的信息门户。

系统应支持两种整合策略：

第一种方式：应用系统和管理系统紧密耦合。可以调整应用系统用户与权限部分程序，调用统一身份认证和授权管理系统提供的数据服务。这种情况下可以采用无缝整合的方式，将用户与权限数据完全整合。

第二种方式：应用系统和管理系统松散耦合。由于原程序结构设计等因素限制，不能调整原程序，但可以开放用户信息，采取用户映射的整合方式，将原用户和权限数据与统一后的用户和权限数据进行映射。

5 结束语

随着现代云计算和移动互联网的飞跃发展，政企用户在传统的针对PC和网络Web业务系统的统一认证基础上，提出新形式统一认证，身份权限管理需求。通过证书、指纹生物认证、扫码登录PC端应用等多媒体认证方式，实现单点登录和统一身份认证，提升安全等级，也大大提高员工工作效率，降低企业管理成本。

参考文献

[1]范军，陈威，陈传龙.基于企业门户的单点登录研究与应用[J].网络安全技术与应用，2020（03）：94-95.

[2]沙晓晨.应用程序接口版权保护及限制研究[D].南京师范大学，2017：112.

[3]陈圣楠.基于CAS-LDAP的统一身份认证管理系统[J].信息与电脑（理论版），2019（12）：114-115.

[4]桑一梅，韩霞.基于RBAC模式的人力资源管理系统的开发[J].科技创新与应用，2019（29）：90-91.