【文章內(nèi)容簡(jiǎn)介】 HTML頁(yè)面 J2EE 組件技術(shù) XML/SOAP 事務(wù)處理 連接池 數(shù)據(jù)庫(kù)映射 緩存技術(shù) 數(shù)據(jù)庫(kù) 數(shù)據(jù) 訪問(wèn)層 業(yè)務(wù)邏輯層 應(yīng)用接入層 電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 10 系統(tǒng)應(yīng)用三層架構(gòu)圖 系統(tǒng) 羅輯 架構(gòu) 圖 系統(tǒng) 網(wǎng)絡(luò)架構(gòu) 認(rèn)證系統(tǒng)的核心網(wǎng)絡(luò)是一個(gè)基于交換式的以太網(wǎng)絡(luò)組成的高速網(wǎng)絡(luò)。系統(tǒng)部署在電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 11 內(nèi)網(wǎng)（ LAN），內(nèi)、外網(wǎng)間由防火 墻保證系統(tǒng)的安全。 系統(tǒng)由兩臺(tái)服務(wù)器（數(shù)據(jù)庫(kù)服務(wù)器＋ WEB服務(wù)器）組成 .布署圖如下： I n t e r n e tW E B 服 務(wù) 器數(shù) 據(jù) 庫(kù) 服 務(wù) 器防 火 墻L A N 內(nèi) 部 網(wǎng)客 戶(hù) 端客 戶(hù) 端內(nèi) 部 用 戶(hù) 3 系統(tǒng)功能設(shè)計(jì) 平臺(tái)的總體框架 統(tǒng)一認(rèn)證系統(tǒng) 應(yīng)定位為信息安全的基礎(chǔ)平臺(tái)，所以在制定實(shí)施方案時(shí)要充分考慮其總體架構(gòu)的安全性、用戶(hù)信息存儲(chǔ)和訪問(wèn)的安全性、認(rèn)證過(guò)程中認(rèn)證信息傳遞的安全性。統(tǒng)一認(rèn)證系統(tǒng)是企業(yè)門(mén)戶(hù)系統(tǒng)的其中一個(gè)支撐平臺(tái)，所以在介紹統(tǒng)一認(rèn)證系統(tǒng)前先介紹一下企業(yè)門(mén)戶(hù)系統(tǒng)的總體框架和功能。 吉海統(tǒng)一認(rèn)證平臺(tái)在內(nèi)容展現(xiàn)過(guò)程中，涉及用戶(hù)訪問(wèn)策略管理、信息內(nèi)容的個(gè)性化展示、跨系統(tǒng)單點(diǎn)登錄等多方面 內(nèi)容。我們可以將企業(yè)各系統(tǒng)的核心內(nèi)容設(shè)計(jì)為三個(gè)支撐平臺(tái)，即統(tǒng)一認(rèn)證平臺(tái)、 統(tǒng)一資源管理平臺(tái) 和企業(yè)信息 統(tǒng) 一展 示平臺(tái) 。三個(gè)平臺(tái)共同構(gòu)成企業(yè)各系統(tǒng)及管理核心。 統(tǒng)一認(rèn)證平臺(tái) 總體框架如下圖所示： 電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 12 客 戶(hù) 層統(tǒng) 一 認(rèn)證 平 臺(tái)企 業(yè) 應(yīng) 用領(lǐng) 導(dǎo) 、 員 工 、 合 作 伙 伴 、 客 戶(hù)P C 、 P D A 、 移 動(dòng) 電 話 等訪 問(wèn) 接 入統(tǒng) 一 展 現(xiàn) 管 理系 統(tǒng)與 安全 管理策 略 管 理訪 問(wèn) 控 制 、 內(nèi) 容 / 應(yīng) 用 聚 集統(tǒng) 一資 源管 理E R P系 統(tǒng)核 心業(yè) 務(wù)系 統(tǒng)生 產(chǎn) 系 統(tǒng)基 本 業(yè) 務(wù) 管 理工 程項(xiàng) 目管 理系 統(tǒng)財(cái) 務(wù)管 理人 力資 源管 理日 常 事 務(wù) 與 服 務(wù)信 息與 發(fā)布O A系 統(tǒng)交 流與 協(xié)作文 檔管 理. . . 統(tǒng)一認(rèn)證平臺(tái)總體框架圖 總體框架圖 2 統(tǒng)一認(rèn)證平臺(tái) 統(tǒng)一認(rèn)證平臺(tái)將為用戶(hù)提供跨系統(tǒng)訪問(wèn)的單一認(rèn)證服務(wù)功能。統(tǒng)一認(rèn)證平臺(tái)在系統(tǒng)設(shè)計(jì)中，與企業(yè)各系統(tǒng)展現(xiàn)層的業(yè)務(wù)邏輯相對(duì)獨(dú)立，其目的是為企業(yè)建立起完整的單點(diǎn)登錄支撐平臺(tái)。將用戶(hù)認(rèn)證功能與企業(yè)各系統(tǒng)展現(xiàn)平臺(tái)相分離 業(yè)務(wù)系統(tǒng)用戶(hù) 操作系統(tǒng)用戶(hù) 數(shù)據(jù)庫(kù)用戶(hù) 業(yè)務(wù)系統(tǒng)菜單 業(yè)務(wù)系統(tǒng)權(quán)限 編程接口 統(tǒng)一認(rèn)證 MOS服務(wù) 統(tǒng)一客戶(hù)端 統(tǒng)一門(mén)戶(hù) 電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 13 的目的，是充分考慮用戶(hù)的使用習(xí)慣以及未來(lái)的系統(tǒng)擴(kuò)展。用戶(hù)在訪問(wèn)企業(yè)應(yīng)用系統(tǒng)時(shí)，可以首先通過(guò)企業(yè)各系統(tǒng)的認(rèn)證授權(quán)功能，獲取訪問(wèn)其他應(yīng)用系統(tǒng)的權(quán)限， 實(shí)現(xiàn)單點(diǎn)登錄 。 同時(shí)，用戶(hù)也可以通過(guò)直接訪問(wèn)特定應(yīng)用系統(tǒng)，由統(tǒng)一認(rèn)證平臺(tái)對(duì)用戶(hù)進(jìn)行認(rèn)證，授予用戶(hù)跨系統(tǒng)訪問(wèn)的權(quán)限。通過(guò)統(tǒng)一認(rèn)證平臺(tái)，用戶(hù)可以方便靈活的訪問(wèn)其所能訪問(wèn)的應(yīng)用系統(tǒng)。另外，將統(tǒng)一認(rèn)證平臺(tái)與企業(yè)門(mén)戶(hù)系統(tǒng)相分離，可為今后的系統(tǒng)建設(shè)提供可擴(kuò)展性，使新建系統(tǒng)能夠方面的部署到企業(yè)門(mén)戶(hù)系統(tǒng)訪問(wèn)體系中。 統(tǒng)一認(rèn)證平臺(tái)包括以統(tǒng)一用戶(hù)管理、統(tǒng)一權(quán)限管理、統(tǒng)一認(rèn)證管理、單點(diǎn)登錄功能等幾部分功能： 統(tǒng)一用戶(hù)管理 統(tǒng)一用戶(hù)管理 實(shí)現(xiàn)用戶(hù)信息的集中管理，并提供標(biāo)準(zhǔn)接口。 統(tǒng)一用戶(hù)管理的基本原理 如下： 一般來(lái)說(shuō)，每個(gè)應(yīng)用系統(tǒng)都 擁有獨(dú)立的用戶(hù)信息管理功能，用戶(hù)信息的格式、命名與存儲(chǔ)方式也多種多樣。當(dāng)用戶(hù)需要使用多個(gè)應(yīng)用系統(tǒng)時(shí)就會(huì)帶來(lái)用戶(hù)信息同步問(wèn)題。用戶(hù)信息同步會(huì)增加系統(tǒng)的復(fù)雜性，增加管理的成本。 例如，用戶(hù) X 需要同時(shí)使用 A 系統(tǒng)與 B 系統(tǒng)，就必須在 A 系統(tǒng)與 B 系統(tǒng)中都創(chuàng)建用戶(hù) X，這樣在 A、 B 任一系統(tǒng)中用戶(hù) X 的信息更改后就必須同步至另一系統(tǒng)。如果用戶(hù) X 需要同時(shí)使用 10 個(gè)應(yīng)用系統(tǒng)，用戶(hù)信息在任何一個(gè)系統(tǒng)中做出更改后就必須同步至其他 9個(gè)系統(tǒng)。用戶(hù)同步時(shí)如果系統(tǒng)出現(xiàn)意外，還要保證數(shù)據(jù)的完整性，因而同步用戶(hù)的程序可能會(huì)非常復(fù)雜。 解決用戶(hù)同 步問(wèn)題的根本辦法是建立統(tǒng)一用戶(hù)管理系統(tǒng)（ UUMS）。 UUMS 統(tǒng)一存儲(chǔ)所有應(yīng)用系統(tǒng)的用戶(hù)信息，應(yīng)用系統(tǒng)對(duì)用戶(hù)的相關(guān)操作全部通過(guò) UUMS 完成，而授權(quán)等操作則由各應(yīng)用系統(tǒng)完成，即統(tǒng)一存儲(chǔ)、分布授權(quán)。 UUMS 應(yīng)具備以下基本功能 : 1．用戶(hù)信息規(guī)范命名、統(tǒng)一存儲(chǔ)，用戶(hù) ID全局惟一。用戶(hù) ID 猶如身份證，區(qū)分和標(biāo)識(shí)了不同的個(gè)體。 2． UUMS 向各應(yīng)用系統(tǒng)提供用戶(hù)屬性列表，如姓名、電話、地址、郵件等屬性，各應(yīng)用系統(tǒng)可以選擇本系統(tǒng)所需要的部分或全部屬性。 3．應(yīng)用系統(tǒng)對(duì)用戶(hù)基本信息的增加、修改、刪除和查詢(xún)等請(qǐng)求由 UUMS處理。 電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 14 4．應(yīng)用系統(tǒng)保留用戶(hù)管理功能，如用戶(hù)分組、用戶(hù)授權(quán)等功能。 5． UUMS 應(yīng)具有完善的日志功能，詳細(xì)記錄各應(yīng)用系統(tǒng)對(duì) UUMS 的操作。 統(tǒng)一用戶(hù)認(rèn)證是以 UUMS 為基礎(chǔ)，對(duì)所有應(yīng)用系統(tǒng)提供統(tǒng)一的認(rèn)證方式和認(rèn)證策略，以識(shí)別用戶(hù)身份的合法性。統(tǒng)一用戶(hù)認(rèn)證應(yīng)支持以下幾種認(rèn)證方式 : 1. 匿名認(rèn)證方式 : 用戶(hù)不需要任何認(rèn)證，可以匿名的方式登錄系統(tǒng)。 2. 用戶(hù)名 /密碼認(rèn)證 : 這是最基本的認(rèn)證方式。 3. PKI/CA 數(shù)字證書(shū)認(rèn)證 : 通過(guò)數(shù)字證書(shū)的方式認(rèn)證用戶(hù)的身份。 4. IP 地址認(rèn)證 : 用戶(hù)只能 從指定的 IP 地址或者 IP 地址段訪問(wèn)系統(tǒng)。 5. 時(shí)間段認(rèn)證 : 用戶(hù)只能在某個(gè)指定的時(shí)間段訪問(wèn)系統(tǒng)。 6. 訪問(wèn)次數(shù)認(rèn)證 : 累計(jì)用戶(hù)的訪問(wèn)次數(shù)，使用戶(hù)的訪問(wèn)次數(shù)在一定的數(shù)值范圍之內(nèi)。 以上認(rèn)證方式應(yīng)采用模塊化設(shè)計(jì)，管理員可靈活地進(jìn)行裝載和卸載，同時(shí)還可按照用戶(hù)的要求方便地?cái)U(kuò)展新的認(rèn)證模塊。 認(rèn)證策略是指認(rèn)證方式通過(guò)與、或、非等邏輯關(guān)系組合后的認(rèn)證方式。管理員可以根據(jù)認(rèn)證策略對(duì)認(rèn)證方式進(jìn)行增、刪或組合，以滿(mǎn)足各種認(rèn)證的要求。比如，某集團(tuán)用戶(hù)多人共用一個(gè)賬戶(hù)，用戶(hù)通過(guò)用戶(hù)名密碼訪問(wèn)系統(tǒng)，訪問(wèn)必須限制在某個(gè) IP 地址段上。該認(rèn)證策略可表示為 : 用戶(hù)名 /密碼 “ 與 ”IP 地址認(rèn)證。 PKI/CA 數(shù)字證書(shū)認(rèn)證雖不常用，但卻很有用，通常應(yīng)用在安全級(jí)別要求較高的環(huán)境中。 PKI（ Public Key Infrastructure）即公鑰基礎(chǔ)設(shè)施是利用公鑰理論和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全的一種體系。 在公鑰體制中，密鑰成對(duì)生成，每對(duì)密鑰由一個(gè)公鑰和一個(gè)私鑰組成，公鑰公布于眾，私鑰為所用者私有。發(fā)送者利用接收者的公鑰發(fā)送信息，稱(chēng)為數(shù)字加密，接收者利用自己的私鑰解密 。 發(fā)送者利用自己的私鑰發(fā)送信息，稱(chēng)為數(shù)字簽名，接收者利用發(fā)送 者的公鑰解密。 PKI 通過(guò)使用數(shù)字加密和數(shù)字簽名技術(shù)，保證了數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性（不被非法授權(quán)者偷看）、完整性（不能被非法篡改）和有效性（數(shù)據(jù)不能被簽發(fā)者否認(rèn)）。 數(shù)字證書(shū)有時(shí)被稱(chēng)為數(shù)字身份證，數(shù)字證書(shū)是一段包含用戶(hù)身份信息、用戶(hù)公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗(yàn)證機(jī)構(gòu)的數(shù)字簽名可以電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 15 確保證書(shū)信息的真實(shí)性。 完整的 PKI 系統(tǒng)應(yīng)具有權(quán)威認(rèn)證機(jī)構(gòu) CA（ Certificate Authority）、證書(shū)注冊(cè)系統(tǒng) RA（ Registration Authority）、密鑰管理中心 KMC（ Key Manage Center）、證書(shū)發(fā)布查詢(xún)系統(tǒng)和備份恢復(fù)系統(tǒng)。 CA 是 PKI 的核心，負(fù)責(zé)所有數(shù)字證書(shū)的簽發(fā)和注銷(xiāo) 。 RA 接受用戶(hù)的證書(shū)申請(qǐng)或證書(shū)注銷(xiāo)、恢復(fù)等申請(qǐng)，并對(duì)其進(jìn)行審核 。 KMC 負(fù)責(zé)加密密鑰的產(chǎn)生、存貯、管理、備份以及恢復(fù) 。 證書(shū)發(fā)布查詢(xún)系統(tǒng)通常采用 OCSP（ Online Certificate Status Protocol，在線證書(shū)狀態(tài)協(xié)議）協(xié)議提供查詢(xún)用戶(hù)證書(shū)的服務(wù)，用來(lái)驗(yàn)證用戶(hù)簽名的合法性 。 備份恢復(fù)系統(tǒng)負(fù)責(zé)數(shù)字證書(shū)、密鑰和系統(tǒng)數(shù)據(jù)的備份與恢復(fù)。 統(tǒng)一權(quán)限管理 通過(guò) 平臺(tái) 對(duì)用戶(hù) 在各個(gè)業(yè)務(wù)系統(tǒng)的 權(quán)限分配 進(jìn)行統(tǒng)一 控制。 實(shí)現(xiàn) 各業(yè)務(wù)系統(tǒng) 對(duì)用戶(hù)的權(quán)限控制、用戶(hù)對(duì) 各成員系統(tǒng) 的權(quán)限控制。用戶(hù)向某 業(yè)務(wù)系統(tǒng) 申請(qǐng)分配權(quán)限時(shí)，需向該 業(yè)務(wù)系統(tǒng) 提供他的某些信息，這些信息就是用戶(hù)提供給 業(yè)務(wù)系統(tǒng) 的權(quán)限，而成員站點(diǎn)通過(guò) 統(tǒng)一 身份認(rèn)證后就可以查詢(xún)用戶(hù)信息，并給該用戶(hù)分配權(quán)限，獲得權(quán)限的用戶(hù)通過(guò) 統(tǒng)一 身份認(rèn)證后就可以以某種身份訪問(wèn)該 業(yè)務(wù)系統(tǒng) 。 在統(tǒng)一認(rèn)證的前 提下，按照指定的規(guī)則將用戶(hù)劃分為不同用戶(hù)群，可以為相關(guān)業(yè)務(wù)系統(tǒng)提供會(huì)員鑒權(quán)服務(wù)，使各個(gè)子系統(tǒng)定制不同的會(huì)員服務(wù)等級(jí) 。 統(tǒng)一認(rèn)證 管理 用戶(hù)認(rèn)證是集中統(tǒng)一的，支持 PKI、用戶(hù)名 /密碼、 B/S 和 C/S 等多種身份認(rèn)證方式。 統(tǒng)一 身份認(rèn)證是指多個(gè)系統(tǒng)的用戶(hù)賬號(hào)、密碼等信息資源統(tǒng)一集中在網(wǎng)站統(tǒng)一認(rèn)證鑒權(quán)中心，各個(gè)系統(tǒng)以中心數(shù)據(jù)作為用戶(hù)認(rèn)證的唯一依據(jù)。用戶(hù)可以通過(guò)相應(yīng)接口來(lái)實(shí)現(xiàn)網(wǎng)站已有用戶(hù)賬號(hào)密碼信息對(duì)于相關(guān)業(yè)務(wù)系統(tǒng)的共享，同時(shí)通過(guò)專(zhuān)有模塊來(lái)進(jìn)行各子系統(tǒng)權(quán)限控制 統(tǒng)一認(rèn)證的兩種方式 統(tǒng)一身份認(rèn)證系統(tǒng)的核心思想是將用戶(hù)統(tǒng)一存 儲(chǔ) ,對(duì)應(yīng)用系統(tǒng)統(tǒng)一授權(quán) ,規(guī)范內(nèi)容業(yè)務(wù)系統(tǒng)的用戶(hù)認(rèn)證方式 ,從而達(dá)到提高整個(gè)系統(tǒng)的整體性、可管理性和安全性的效果。內(nèi)容業(yè)務(wù)系統(tǒng)要想判斷某一用戶(hù)是否可以訪問(wèn)自己，必須和身份認(rèn)證系統(tǒng)進(jìn)行交互。由身份認(rèn)證系統(tǒng)負(fù)責(zé)對(duì)用戶(hù)進(jìn)行集中認(rèn)證。 電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 16 用戶(hù)訪問(wèn)內(nèi)容服務(wù)系統(tǒng)可以有兩種方式：通過(guò)寬帶門(mén)戶(hù)網(wǎng)站訪問(wèn)內(nèi)容服務(wù)系統(tǒng)，或者是直接訪問(wèn)內(nèi)容服務(wù)系統(tǒng)。根據(jù)這兩種訪問(wèn)方式身份認(rèn)證系統(tǒng)要提供兩種認(rèn)證方式。 第一種認(rèn)證方式：用戶(hù)直接登陸內(nèi)容業(yè)務(wù)系統(tǒng)，內(nèi)容業(yè)務(wù)系統(tǒng)將用戶(hù)提供的用戶(hù)名 /密碼等轉(zhuǎn)發(fā)給統(tǒng)一身份認(rèn)證服務(wù)以檢驗(yàn)其是否通過(guò)授權(quán)。流程如圖1所示 圖 1 第一種身份認(rèn)證方式 第二種認(rèn)證方式：用戶(hù)首先登錄統(tǒng)一身份認(rèn)證系統(tǒng)，驗(yàn)證其是否為合法注冊(cè)用戶(hù)，如果是合法用戶(hù)可獲取權(quán)限值。由于合法用戶(hù)不一定開(kāi)通了所有的內(nèi)容服務(wù)，所以使用這個(gè)權(quán)限值訪問(wèn)內(nèi)容業(yè)務(wù)系統(tǒng)時(shí)，