The Application Research of Uniform Identity Authentication In Cross-Regional Information Enterprises
　　ZHAO Hua1,WANG Hai-kuo2,YANG Lan-juan1,SHEN Li-jun1
　　(1.PLA University of Science and Technology, Nanjing 210007, China; 2. Nanjing Army Command College, Nanjing 210045, China)
　　Abstract: In order to solve user authentication management and information silos and other issues in the application systems of Cross-Regional Information Enterprises, based on the LDAP directory and the liberty network identity management framework, research and implement a unified corporate identity management system, which solves unified authentication, and user's single sign-on in the multiple information systems of the enterprises.
　　Key words: suniform identity authentication; LDAP; SAML; single sign-on; cascading authentication
　　随着企业不断建立健全公司信息化系统，建设包括财务管理、营销管理、生产管理、人力资源管理、物资管理、项目管理等应用系统，这些信息化资源的大量投入使用，极大提高了企业的工作效率。但是随着企业规模的不断扩大，这些各自为政所实施的局部应用使得各系统之间彼此独立，成为一个个“信息孤岛”。企业的用户就不得不在各个应用系统之间来回穿梭，频繁登录，用户信息混乱，企业的信息资源面临巨大威胁。因此，急需在现有的应用系统的基础上建立一个覆盖各区域、各部门，涵盖企业各个方面的企业信息门户。建立一个高安全性和可靠性的统一身份认证系统是建立该信息门户首要解决的问题。
　　1 企业统一身份认证系统的目标
　　统一身份认证系统的建设目标是为跨区域企业的各种网络服务和应用系统提供统一的用户管理平台和身份认证服务。企业用户只需要使用同一用户名、同一密码就可以登录所有允许他登录的系统；并且，用户只需登陆一次，就能在允许他登陆的多个系统间游走。另外，从管理角度出发，管理人员可以在同一认证系统中集中对各个应用系统的用户进行管理，有效提高整个企业的管理和运行效率。总之，统一身份认证平台功能重点包括三个方面：用户资料集中存储和管理，用户身份集中验证，用户单点登录。
　　2 企业统一身份认证系统的设计
　　2.1 LDAP目录系统设计
　　与一般的关系型数据库不同，LDAP(Light Directory Access Protocol )[1]是一种特殊的数据库。它的主要任务不是数据的存储和操作，因此并不像传统的数据库一样支持复杂的事务或者回滚技术，它对查询进行了优化，与写性能相比LDAP的读性能要强很多。LDAP还是一个安全的协议，它使用SASL (Simple Authentication Security Layer)协议[2]，提供访问控制。LDAP通过SSL/TLS(Secure Sockets Layer/Transport Layer Security)认证机制来保护数据的完整性和私密性。基于LDAP的应用开发有标准的规范，可以在任何计算机平台上访问LDAP目录，因此利用LDAP服务可以设计出跨平台和应用的统一身份认证系统。
　　本文设计的系统采用LDAP目录服务作为统一身份认证的基础，针对跨区域企业的机构地理分布、应用系统部署、网络状况等实际需求，企业的目录系统采用企业总部/分公司两级架构设计，如图1所示。各分公司在本地身份认证目录中存放和管理着本公司范围内的用户身份信息，身份认证管理系统会将这些目录自动实时同步到企业总部的身份认证目录中。因此，用户在公司总部认证目录和分公司认证目录中都具有用户身份，通过Mail属性关联，将Mail属性作为标识用户身份的关键信息。
　　2.2 统一身份认证系统的管理架构设计
　　企业的统一身份认证系统采用自由联盟项目(Liberty Alliance Project)创建的开放及联合的网络身份认证管理框架，如图2所示。系统由两大组件构成：访问网关和身份认证管理服务器。访问网关作为用户的统一访问入口，来提升企业门户与应用的访问安全；身份认证管理服务器管理用户相关的访问控制策略，并负责与访问网关通讯。
　　访问网关基于反向代理技术对后端的身份认证管理系统、应用系统等提供访问保护、审计监控等服务。身份认证管理系统利用PORTLET[3]集成到企业门户中。企业的统一身份认证系统在访问网关中建立企业门户的代理EIPProxy，代理对外的IP地址与企业门户的IP地址不同，不允许用户直接访问企业门户服务器。DNS域名系统中企业门户的域名将指向访问网关中企业门户代理EIPProxy的IP地址，这样，用户在浏览器中输入企业门户的域名时，实际访问的是访问网关中企业门户的代理。
　　访问网关可以根据用户请求资源的保护策略，决定是否对用户身份进行认证，如果用户请求企业门户中受保护的资源，则访问网关将用户重定向到身份认证管理系统，身份认证管理系统认证用户身份，若用户通过认证，身份认证管理系统将用户的身份信息传送给企业门户，企业门户将用户请求的相关应用系统中的资源返回给访问网关，再由访问网关将响应返回给用户。
　　2.3 单点登录的设计
　　用户的单点登录[4]主要是实现身份认证管理系统将经过鉴定的用户信息以安全的方式传递给应用系统，应用系统利用身份认证系统传递的用户信息确认用户身份，完成登录，并将请求的资源返回给企业门户。单点登录涉及两种情况[5-6]：一种是用户访问本地的应用系统，一种是用户访问其它地域的子公司或总公司的应用系统。系统在设计时将同一个子公司的各个系统作为一个信任域，每个信任域内都设有独立的身份认证管理系统。企业本部的身份认证管理系统与分公司的身份认证管理系统将建立级联认证关系。
当用户访问本地的应用系统时，先从身份认证管理系统登录认证，如果通过验证，用户就可以自由访问该信任域内的应用系统。如果用户跨域访问其它地域的子公司或总公司受保护的应用系统，分公司身份认证管理系统将公司总部身份认证管理系统作为“身份提供者IP（Identity Provider）”，公司总部身份认证管理系统将分公司身份认证管理系统作为“服务提供者SP（Service Provider）”，双方基于SAML/Liberty协议进行协商，确认用户是否已被认证，如果已被认证，则允许用户访问相关受保护的应用系统。另外，如果要实现企业总部到分公司的跨域单点登录，可以通过身份认证管理系统将企业总部有权限访问分公司系统的用户身份同步到分公司的认证目录中，身份认证管理服务器再通过SAML/Liberty协商，实现公司总部到分公司的跨域级联认证。 (责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）