石化企业统一身份认证用户管理的认识与设计

【摘要】石化企业通过构建统一身份认证系统、主要针对B/S模式的应用系统，支持不同平台下（JAVA、等）信息系统实现系统用户的统一认证功能，同时也支持C/S模式信息系统的使用。各信息系统通过调用统一认证接口，实现基于数字证书、基于本企业AD目录和基于SSO的Token的身份认证。

【关键词】统一身份认证；数字证书；SSO服务

随着信息化应用的迅猛发展，石化企业不断增加基于Internet/Intranet的业务系统，如LIMS、实时数据库系统、MES系统、ERP系统；各类网上申报系统，网上审批系统，OA系统等。这些系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题：

（1）如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度；

（2）多个身份认证系统会增加整个信息系统的管理工作成本；

（3）用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨；

（4）无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化；

（5）无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求的石化企业，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个信息系统的应用成本。

中国石化用户统一身份管理系统就是为这些应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关"的目标，方便用户使用。

一、石化企业统一身份认证服务云

1、总部统一认证服务云简介

中国石化用户统一身份管理系统认证服务云采用联邦认证体系进行建设，统一认证服务云是一个支撑全石化所有应用的集中服务，为确保认证服务云的可靠性和稳定性，认证服务云部署在多个节点上，包括：总部、区域中心和灾备中心。

在联邦认证体系中，主要组件包括IDP、SP、DS和TS。IDP（identity provider身份服务提供方）负责提供身份认证和票据签发服务。SP（service provider服务提供方）作为服务使用端，接收票据并通过IDP验证票据的有效性，完成后转换为应用自己的会话信息。在各节点中还包括DS（IDP Discovery Service身份服务提供方查找服务），IDP DS作为SP请求时的第一服务点，会根据用户的认证或SSO请求，判断由统一认证服务云中的哪个节点来提供认证服务或由哪个IDP来完成对用户已有SSO票据进行验证。通过IDP DS来帮助应用完成在整个认证服务云中的访问和使用，确保认证服务云中只要有一个节点可提供服务，就不会中断IDP的服务能力。TS（topologry service拓扑服务）管理整个统一认证云中各节点的IDP、SP、DS的注册和。

其中IDP、DS、TS组件运行在统一认证服务云服务端。SP运行在应用服务器环境中。

身份票据将在标准的安全断言标记语言（SAML）基础上，扩展中国石化SIAM系统扩展定义的信息，通过扩展信息实现除验证断言外的身份、访问控制信息断言。

2、认证流程

在使用SAML用户认证过程中，统一认证服务云各组件IDP、SP、DS、TS完成用户身份认证业务流程如图1如示：

应用程序注册在应用程序启动时由SP向TS注册，主要是提供SP注册文件。

用户认证过程如下：

用户访问应用服务程序，请求应用资源。应用服务器检查用户是否经过身份认证，如会话中没有用户认证结果信息，将控制权交给SP组件。

SP请求DS返回可用的IDP节点信息。

SP根据配置策略，选择一个IDP节点（程序自动选择或用户主动选择），生成身份认证请求信息（包含应用程序、希望的用户认证方式、签名要求、加密要求等信息），重定向到IDP节点。

IDP根据要求的认证方式认证用户。

IDP签发身份断言，签名，加密，重定向回应用程序。

SP验证断言，解析出用户身份。返回用户请求的资源。

3、统一登出流程

统一认证服务云支持统一登出功能，用户在一个应用程序提出登出，将登出用户此次登录后访问过的所有B/S应用程序。

用户在登录后访问过的任一应用系统发出登出指令（如按登出链接）。

SP获得登出消息，根据应用系统配置要求（如登录后返回页面要求等），生成登出请求，重定向到IDP。

IDP查找用户登录后访问过的应用系统。

依次向用户访问过的应用系统发出登出指令。

根据系统配置要求，返回到指定的页面。

二、企业信息系统统一认证体系结构

由于企业是隶属于中国石化下属的企业，统一认证系统既要兼容总部的规范，又能满足企业的具体应用。由此本企业的信息系统统一认证、单点登录有三种实现方式：基于数字证书的统一身份认证、基于AD域目录的统一认证和基于SSO服务器的统一认证方式，其中SSO服务器支持用户名/口令认证和数字证书身份认证，与各信息系统间采用Token传递用户身份信息。具体框架如图2所示：

三、主要应用技术

1、基于企业AD目录的身份认证

基于AD域目录的身份认证，和信息系统通常的用户名/口令的身份认证过程相类似，工作流程如图3所示（AD域目录为该炼油厂AD目录）：

认证过程主要包括以下几个步骤：

用户请求信息系统的服务；