基于企业目录的统一认证与应用互访技术的实现

陈哲 李烨 杨盛楠

一、概述

（一）现状概述

随着大中型集团公司信息化工作的不断推进，集团内总部与下属成员单位均在积极推进各级应用系统的信息集成、流程协作等工作，但由于用户资源、认证资源、信息资源整合缺失或不一致等问题，现有各应用系统普遍存在用户管理分散、认证分散、信息展示分散的问题。

与此同时，通过网络传输的数据的安全性也日益受到人们的关注，特别是对于一些涉及国家安全的重要单位，传统的身份认证系统在安全性方面已难以适应其提出的越来越高的要求，这是因为传统的基于用户名+口令的身份认证方式在网络中是以明文的形式传递，没有采取必要的安全防护措施来保证数据在本地以及网络中的安全。采用这种认证方式的应用系统的安全性较差，这就使得数据面临着被截获、篡改、破坏的危险，甚至会产生不法份子利用系统进行欺骗等不良行为。

（二）建设目标

建设集团级企业目录，作为全集团IT系统的基础用户信息库以及全国证书用户的证书信息，并基于规范的数据结构定义，实现集团和下属单位两级目录的用户数据同步。

通过规范总部与下属单位各自的统一用户管理系统，建立统一用户管理体系，结合用户生命周期管理，实现企业目录数据的管理。

在企业目录和统一用户管理的基础上，建设企业统一认证平台，实现企业门户和应用系统的安全认证、单点登录和访问控制；构建集团统一认证体系，实现两级门户互访以及门户和集团级应用的单点登录，满足门户信息共享、流程协作等互联互通应用安全需求。

二、设计方案

（一）总述

集团企业目录统一认证及统一身份管理体系主要包括企业目录、统一认证平台、统一用户管理三部分组成，同时，为保证身份认证的安全性，公钥基础设施通过可信第三方——认证中心（Certificate Authority， CA）引入了数字证书的概念。

企业目录是门户及应用系统的基础用户信息库，包括用户、组织机构、群组、角色、岗位等数据。通过建立规范化的数据结构，实现目录数据的同步，为统一认证、纵向互联提供数据支撑。

统一用户管理系统实现对企业目录的数据管理，并提供企业用户目录和应用系统之间的数据同步管理。

统一认证平台是在建立企业目录之上，提供对企业门户及应用系统的安全认证、单点登录、访问控制等安全支撑。

通过统一认证平台，实现集团、总部及各下属成员单位门户及应用系统间的互访单点登录，提供纵向互联互通应用的安全支撑，满足门户纵向信息互访、流程协作等应用需求。如图1所示。

（二） 企业目录

1.概述

建设集团级统一的企业目录，总部与各下属单位分别建设本地用户目录系统，通过自上而下和自下而上相结合的方式，进行集团企业目录和集团总部目录、各下属单位目录定时同步。自上而下方式用于集团统一定义的规范数据，如数据字典等的同步，自下而上方式用于同步各下属单位节点到集团企业目录，如图2所示。

2.目录的同步设计

集团目录的同步主要包含以下几个步骤：

下属单位用户目录到集团目录：把下属单位用户目录中部分用户的部分属性信息同步到集团目录中。这部分复制工作的主要目的是为了实现下属单位用户到集团门户的单点登录功能。

总部用户目录到集团目录：把总部用户目录中部分用户的部分属性信息同步到集团目录中。这部分复制工作的主要目的是为了实现总部用户到集团门户的单点登录功能。

集团目录到下属单位用户目录：把存放在集团目录中的总部用户信息同步到下属单位用户目录中。这部分复制工作的主要目的是为了实现总部用户到下属单位门户的单点登录功能。如图3所示。

除了基于目录的同步外，考虑到有些下属单位没有建立企业目录，或者对于企业目录的改造不易实现，那么全国目录提供了同步接口，下属成员单位可以在本单位统一用户管理系统中进行全国目录同步接口的调用。这种方式也可以实现下属成员单位用户管理系统和全国目录的同步。

（三） 统一用户管理系统

1.概述

统一用户管理系统作为集团公司总部和各下属成员单位的用户基础设施， 实现对企业目录的同步管理，可作为企业门户等应用的用户数据源，为其他应用系统提供用户同步，同时可扩展支持从现有的HR、OA等系统导入用户。如图4所示。

总部与下属单位分别建立各自统一用户管理系统，通过统一用户管理系统管理操作各自的目录服务，并基于目录服务的向上同步复制机制形成全國目录服务。总部与下属单位可以通过CA提供的接口，为统一用户管理系统中的用户申请数字证书，并将用户数字证书同步到本地，与用户建立关联关系。

（四） 统一认证平台

集团统一认证平台基于集团企业目录，实现对于集团级应用系统的统一认证和单点登录。集团统一认证平台提供证书认证和短信认证两种强认证方式，对于证书认证，需要建立企业级CA认证体系。同时，该平台也对实现纵向互联互通应用提供支撑。

由于目前大部分集团总部和下属单位IT系统的管理相对独立，可以视为同级。企业门户与OA系统分为集团、总部和成员单位两级架构部署，并实现两级之间的信息互访。统一认证平台提供门户与应用的集成、门户间的互访，也同样采用两级架构进行部署。图5是基于统一认证平台的两级体系架构示意图。

集团、总部和各下属单位两级认证平台实现互访认证。通过互访认证机制，实现集团、总部和各下属单位两级应用之间的单点登录，并完成总部和各下属单位应用到全集团性应用的单点登录。

（五）企业级CA认证体系

根据系统安全认证体系建设的实际需求，CA认证体系整体设计将采用以下的设计思路。

1.“双中心、双证书、双密钥”机制

双中心则是指证书管理中心与密钥管理中心，双证书是指签名证书和加密证书，双密钥是指签名密钥和加密密钥。

密钥管理中心负责向证书管理中心提供密钥管理服务，而证书管理中心则具体的向用户提供证书业务服务和证书认证服务。双证书中的加密证书对应加密密钥，签名密钥用于数字签名（具有保证行为不可抵赖性功能），加密密钥用于信息加密。签名密钥归用户独自拥有。签名证书和加密证书一起保存在用户的证书载体中，这样既解决了密钥恢复问题，又保证了行为的不可抵赖性。

2.“集中式生产、分布式服务”模式

根据CA认证体系的建设要求，CA体系采用集中式生产、分布式服务模式，即证书的生产（签发、发布、管理、撤销等）集中在管理中心执行，而证书的申请、注册、审核等则由分布的证书审核注册系统执行，以提高系统服务效率。这种服务模式的实现需要与证书业务服务系统建设策略紧密结合。

3.系统可伸缩动态平滑配置

CA认证体系要满足证书业务量的运行要求，并可根据将来业务量的增长而逐步扩展。证书业务服务系统具有动态平滑可扩展能力，可根据业务量的改变动态调整证书业务服务系统的业务能力。

三、 两级互访技术方案

（一）概述

信息的共享及互访是纵向互联互通的重要内容，主要包括如下三类互访需求：

集团门户、总部门户和下属单位门户之间互访；

从总部、下属单位门户单点访问集团级应用；

通过集团统一认证平台直接访问集团级应用。

信息互访基于集团企业目录实现，信息互访支持静态密码、数字证书、短信动态密码等多种认证方式。CA数字证书作为一种已经使用的强认证方式，满足特定应用场景的高安全性需求。信息互访凭证可以采用数字证书或者用户主账号名标识，身份凭证传输过程通过数字证书加密保证安全性。同时，信息互访支持安全访问策略的设定，被访问的应用可以根据用户的身份、用户采用的认证方式等因素，决定是否允许互访或是否进行二次认证。

（二）两级互访

通过两级互访访问控制服务器实现门户间的单点登录。当用户进行互访时，由互访发起端的两级互访访问控制服务器获取当前用户身份，生成互访唯一凭证，并将凭证加密传递到被访问端两级互访访问控制服务器，被访问端验证用户身份，并按照设定的授权策略进行访问控制，被访问端访问控制服务器通过和本地统一认证平台的交互，完成和门户的单点登录。

企业目录提供用户信息查询服务，两级互访访问控制服务器和认证平台可以通过单点登录传递的身份唯一凭证，从企业目录查询用户职务、部门、群组等信息。总部门户访问下属单位门户，互访基本流程如图6所示。

（三）总部、成员单位访问集团级应用

从门户到集团级应用的单点访问通过互访认证来实现，互访认证由集团统一认证平台和两级互访访问控制服务器提供。

基于企业目录建设集团统一认证平台，实现对集团级应用的统一认证和单点登录，同时在集团级应用域内也需部署两级互访访问控制服务器。两级互访访问控制服务器实现访问身份凭证的传递，统一认证平台完成应用的单点登录。

在进行访问时，两级互访访问控制服务器之间主要传递的是用户身份信息，由于集团企业目录和下属单位、总部的结构是一致的，并且包含總部和下属单位目录数据。集团两级互访访问控制服务器器获取到访问用户的身份凭证后，可以在集团目录中找到用户的身份及部门、角色、群组等信息，对此进行访问控制策略的判定。在策略通过之后，由于统一认证平台已经和各应用系统实现了SSO，因此就可以访问相关应用了。

应用需要在自身系统中创建用户账号以实现用户的访问授权，或者通过角色账号实现某一类用户的访问授权。

不同于门户间互访流程，从总部、下属单位门户访问集团级应用时，最终通过集团统一认证平台登录到应用系统。下属单位门户访问集团级应用，流程如图7所示。

（四）通过统一认证平台直接访问集团级应用

基于企业目录建设集团统一认证平台，实现对集团级应用的统一认证和单点登录，同时在集团级应用域内也需部署单点登录服务。单点登录服务实现访问身份凭证的传递，统一认证平台完成应用的单点登录。

在进行访问时，统一认证平台获取到访问用户的身份凭证后，可以在全国目录中找到用户的身份及部门、角色、群组等信息，对此进行访问控制策略的判定。在策略通过之后，由于统一认证平台已经和各应用系统实现了SSO，因此就可以访问相关应用了。

用户直接访问集团级应用时，通过全国统一认证平台登录到应用系统，流程如图8所示。

四、结语

随着全社会信息技术的不断发展，如何在确保信息安全的前提下解决企业内部身份认证分散，充分利用信息资源，避免信息孤岛等问题成为一个亟待解决的问题。本文以传统的信息安全技术为前提，以最新的信息体统基础架构为背景，在同一解决单位内部身份认证的同时，着力解决企业内部，特别是跨区域的大中型企业内部的应用系统与认证中心之间统一用户同步与单点登录的问题，从而解决企业内部不同单位间的系统互访问题，在大大提高单位信息系统使用效率的同时，促进单位信息化建设的规范性与时效性。

作者单位：核工业理化工程研究院