基于统一身份认证的信息系统整合实践研究

张 楠

（中国信息通信研究院 信息管理中心，北京 100191）

0 引言

在信息系统整合的过程中，需要重点汇集身份认证、授权、审计方案，落实多用户的身份表示以及认证信息的升级，统一审计信息系统中存在的问题，给用户落实统一的身份认证以及一站式的信息聚合服务，确保整个信息系统的运行高效、便捷、安全[1]。

1 践行统一身份认证信息体系的整体方案搭建

1.1 统一门户网站的功能设计以及优化

本文进行统一用户网站系统设计、建设以及认证，突出信息资源系统的综合性能。基于用户的个性化需求，优化使用单点登录功能、整合功能、个性化服务[2]，能够通过网页设计以及应用入口来搭建整个网站体系以及网络页面，使得用户能够经过一次身份认证就可以顺利拿到对应数据的访问权限。

1.2 统一用户身份管理系统的设计

笔者在统一身份认证信息系统建设以及功能完善的过程中，对于身份认证的各种使用环境建立统一的身份管理体系[3]，例如用户基本信息搜集以及存储、组织机构信息存储和分析、认证权限的管理等。统一用户信息系统的系统办公在自动化用户管理中作为系统架构的基础，直接对应并实现网络数据库的办公自动化、用户数据自动化。网络系统要提高网站信息的标识度，集中进行密码的管理以及系统的优化。在网站运营的过程中，减少弱口令、过期密码等问题的发生。在网站业务功能整合的过程中，建立办公自动化系统，提炼其便利性，达成信息的自动化管理以及系统的逐一操作[4]。

1.3 统一身份认证平台的搭建

在进行统一身份认证平台搭建以及设计的过程中，要将其看作一个独立的网站系统。对身份认证、安全管理、账号信息保存、权限设定以及统一功能的认定，逐步构建完整的网站功能体系。统一身份认证平台要对整个网站信息进行现有系统的认定，升级用户权限的认定，统一功能的升级、优化，最终提升网站的整体使用体验[5]。统一身份认证平台设计的总体架构包括了展现层、业务层、数据层以及存储层，如图1所示。

图1 统一身份认证平台的架构设计

统一身份认证平台架构中的展现层主要是从Web应用端和移动应用端两个端口入手，直接呈现给用户，所应用的技术包括了JSP，JavaScript，HTML5以及Portal等技术，用户在登录网站和小程序端口的时候可以直接呈现出来[6]。

在平台架构的业务层，将用户的登录端口与业务系统中的各个账号一一对应，同步账号与业务接口之间的关系，形成基于业务系统的本地用户管理体系。统一身份认证的管理系统利用的是动态密码、PKI证书、生物认证技术等，进行全部的登录过程认证。本系统基于当代信息系统运用的需求，综合用户登录权限管理、静态密码存储、动态密码更新、数字证书下发以及二维码登录方式的建立，组合多重认证形式以及组合提高方式，不断落实身份认证的要求以及业务系统升级的需求。在移动网站支持下，本系统不断强化数字证书的功能应用，提升网站权限管理的能力以及访问功能的建立，逐步搭建出完整的统一身份认证平台。

数据交换层搭建了业务系统的服务体系，完成了服务的集成及协调。统一认证平台的数据交换层在建设的过程中运用了Oauth2，CAS，SAML等多元化的单点协议，完善了单点认证系统。在进行B/S架构搭建以及认证设计的过程中，用户系统设定了访问限制，推动二次结构以及认证功能的实现。集成网站接口使用了http以及https的通信协议，实现了Retful风格的建立，并在这一过程中使用了API接口。

存储层包括了网站信息系统的数据库，例如在网站搭建的过程中常用MySQL数据库系统以及LDAP数据库，借助数据库系统能力的搭建实现数据的全方位管理，并对各类数据业务进行分类存储以及运用分析，生成用户信息的存储和管理中心，包括日常业务的管理、网站管理日志等。

1.4 统一身份认证信息的安全系统功能设计

网站系统功能设计以及搭建，要综合网站的各类业务，设计系统访问权限、登录以及退出功能，落实关键业务操作，强化网站信息系统的记录、审计以及安全保障的分析能力以及功能。

网站审计的设计要支持时间查询，针对用户的每一个信息账号、访问权限、访问日期以及访问日志等使用痕迹，逐步完善系统的追踪，实现安全审查以及信息的编辑，一旦发现网站信息系统中出现非法操作、非法登录等都会及时采取措施，进行差异化的分析以及操作响应等。在审计功能设计的过程中，为了实现系统的安全，对审计信息设计要做防篡改的处理，防止人为修改的情况出现，一旦出现试图修改审计信息的情况，就会对信息系统采取特殊的存储处理，将网站的管理结果以最直观的方式呈现在管理人面前。

2 统一身份认证平台系统的功能的优化

对于统一认证信息系统平台的建设，认证管理平台要从几个角度进行改善：

（1）传统的CAS模式的网络接口实现方式，从基础的CAS Server功能到CAS Client的系统功能对接，进行CAS Server系统的独立设计，承担起客户端资源保护以及访问权限管理的工作责任。在系统登录后，重新认定CAS Server系统，具体的定位流程如图2所示。

图2 传统CAS模式单点登录对接流程

（2）布置CAS客户端与网站中需要受保护的客户端系统时，应当都以Filter操作功能的信息资源保护方式进行操作。对每一个访问受限的Web请求进行用户凭证的设计，在网络请求发起的过程中指定CAS服务端登录网址，并将其传递给Service。在此基础上，根据网站信息系统的个性化功能改良CAS流程，搭建一个网站页面进行统一身份认证信息参数的处理以及应用，实现网站验证需求的落实，并在未来用户可以顺利登录，操作流程如图3所示。

图3 操作流程

对上述操作界面，用户基于客户端实现登录操作，并在统一身份认证信息系统中利用单击的操作完成，将SSO功能应用到未来的统一身份认证系统中，并进行url参数的上传。

使用统一认证信息系统平台进行用户身份的认证以及核查，要采用回调的方式进行数据校验，核对用户的凭证以及身份。如果校验结果是成功的，则会返回用户信息；如果校验失败，将会收到登录失败的提示。

3 结语

在信息时代，网站的应用以及信息的管理有效扩展了社会的认可度以及接受度，通过网站信息系统的安全建设，优化风险管理，统一身份认证信息系统的应用以及优化成为一种必然。统一身份认证信息系统的设计以及运用，使网站经过信息系统的整合以及多个层面的应用，既提升用户的体验，又规范网站信息系统的管理以及后续的推广，不仅提升了网站的管理安全性，还提升了用户管理、开发人员以及管理人员的统一管理协调性，便于业务系统的升级以及更替，推动更加规范的网站管理体系建设。