企業(yè)信息門戶與統(tǒng)一的用戶安全認(rèn)證體系

1、企業(yè)信息門戶與統(tǒng)一的用戶安全認(rèn)證體系0 引言國家電網(wǎng)公司信息化“ SG186”工程的建設(shè)規(guī)劃和一體化平臺的總體架構(gòu)設(shè)計(jì)，其中一個(gè)重點(diǎn)是：要建立一個(gè)信息共享、安全可靠的企業(yè)門戶；同時(shí)在國家電網(wǎng)公司全網(wǎng)建設(shè)統(tǒng)一目錄管理系統(tǒng)，為八大業(yè)務(wù)應(yīng)用及其他應(yīng)用系統(tǒng)提供用戶認(rèn)證、賬號供應(yīng)、單點(diǎn)登錄等基礎(chǔ)支撐服務(wù)。因電力企業(yè)信息化建設(shè)起步較早，原來大都以部門業(yè)務(wù)為條線進(jìn)行建設(shè)，沒有采用統(tǒng)一的技術(shù)架構(gòu)，限制了系統(tǒng)之間的信息共享和信息交換，形成企業(yè)的信息孤島。同時(shí)，不同的應(yīng)用系統(tǒng)擁有相對獨(dú)立的用戶管理體系，缺乏一種有效的資源訪問管理機(jī)制，導(dǎo)致用戶管理比較混亂。在此情況下，可建立企業(yè)信息門戶和用戶安全認(rèn)證體系，提供統(tǒng)一

2、的信息訪問渠道。企業(yè)信息門戶 ( 以下簡稱企業(yè)門戶) ，是訪問各種信息和應(yīng)用系統(tǒng)的統(tǒng)一人口，用于訪問分布在企業(yè)內(nèi)各種格式，各種來源的內(nèi)容，集成各種現(xiàn)有業(yè)務(wù)應(yīng)用系統(tǒng)( 財(cái)務(wù)管理、營銷管理、OA等 ) ，用戶可通過企業(yè)門戶與其他人共享信息、通信和協(xié)同工作。河南省電力公司已經(jīng)通過對信息資源的整合，建立了公司統(tǒng)一的企業(yè)門戶和用戶安全認(rèn)證體系，為各業(yè)務(wù)應(yīng)用系統(tǒng)提供了一個(gè)方便、快捷的數(shù)據(jù)交換平臺，并為每一位員工提供了可個(gè)性化定制的個(gè)人工作平臺。For personal use only in study and research; not for commercial use1 電力企業(yè)門戶的組成電力企業(yè)

3、門戶總體架構(gòu)可分為3 個(gè)層次：用戶接人層、門戶系統(tǒng)和企業(yè)應(yīng)用系統(tǒng)。如圖1 所示。1.1 用戶接人層企業(yè)門戶支持各種有線、無線的網(wǎng)絡(luò)接人方式，用戶既可以用PC機(jī)、也可通過PDA手機(jī)等移動終端訪問企業(yè)門戶。1.2 門戶系統(tǒng)提供用戶訪問的安全控制手段、個(gè)性化定制、內(nèi)容管理、協(xié)同力、公和門戶相關(guān)服務(wù)功能等應(yīng)用，具體包括：(1) 用戶管理： 提供企業(yè)門戶用戶信息的管理手段，建立電力企業(yè)統(tǒng)一的目錄系統(tǒng)，為實(shí)現(xiàn)通過門戶訪問企業(yè)內(nèi)資源的單一登錄機(jī)制提供人員信息基礎(chǔ)。(2) 認(rèn)證管理：支持多種認(rèn)證方式，包括靜態(tài)密碼、動態(tài)密碼、數(shù)字證書等，對用戶訪問進(jìn)行身份認(rèn)證。同時(shí)可以直接利用已有系統(tǒng)中的用戶帳戶信息進(jìn)行身份認(rèn)

4、證。(3) 系統(tǒng)與安全管理：企業(yè)門戶所承載的應(yīng)用與內(nèi)容大多數(shù)都是企業(yè)的敏感信息，系統(tǒng)安全是需要首先考慮的問題。通過認(rèn)證、加密、授權(quán)等3 個(gè)方面確保接人企業(yè)門戶的業(yè)務(wù)應(yīng)用系統(tǒng)的安全; 同時(shí)，采用負(fù)載均衡、容災(zāi)、備份等措施保證企業(yè)門戶自身的高效和安全可靠。(4) 訪問策略管理：為用戶訪問企業(yè)門戶提供信息訪問權(quán)限控制、訪問渠道管理等多種功能，少 l 定義個(gè)性化服務(wù)的訪問策略。如員上對內(nèi)部的各種應(yīng)用和信息是否在其門戶桌面上可見，是否允許其訪問等，就是通過策略管理來實(shí)現(xiàn)的。策略管理是門戶其他功能( 安全、個(gè)性化展示、定制等) 的基礎(chǔ)。(5) 個(gè)性化服務(wù)： 在系統(tǒng)統(tǒng)一控制管理的基礎(chǔ)上，為員工提供個(gè)性化的管

5、理平臺。訪問者可以根據(jù)自身工作性質(zhì)和對企業(yè)資源的訪問需求，設(shè)置個(gè)性化的訪問界面，并通過這種個(gè)性化的服務(wù)查閱、管理相關(guān)信息。(6) 內(nèi)容管理： 企業(yè)門戶可以對各種結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)( 如業(yè)務(wù)數(shù)據(jù)、 網(wǎng)站新聞等 ) 進(jìn)行處理， 識別各種關(guān)系型和OLAP類型的數(shù)據(jù)庫。(7 協(xié)同辦公：提供在線人員感知、即時(shí)消息、網(wǎng)絡(luò)會議室等功能和信息。(8) 搜索服務(wù)：企業(yè)門戶不但可以整合Tnternet上的各種搜索引擎，也可對門戶中的信息進(jìn)行綜合搜索。(9) 虛擬門戶： 企業(yè)門戶提供在一個(gè)物理實(shí)體上建立多個(gè)虛擬門戶的功能，使公司各部門、 下屬單位都可以建立自己的門戶。舉例來講，假如在某個(gè)網(wǎng)省公司。已經(jīng)實(shí)現(xiàn)了大多

6、數(shù)業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)的大集中，并且在省公司也建立了規(guī)模相對較大的企業(yè)門戶，在這種情況下，其下屬單位就不必再建設(shè)自己單獨(dú)的門戶，而是直接利用省公司門戶的物理設(shè)備，采用虛擬門戶的方式來訪問相關(guān)信息。利用虛擬門戶將明顯減少建設(shè)資金的投入。1.3 企業(yè)應(yīng)用系統(tǒng)企業(yè)應(yīng)用系統(tǒng)包括電力企業(yè)內(nèi)部原有的各應(yīng)用系統(tǒng)，它們主要通過單點(diǎn)登錄和應(yīng)用集成來實(shí)現(xiàn)門戶內(nèi)容的整合。2 統(tǒng)一的用戶安全認(rèn)證體系2.1 統(tǒng)一用戶目錄統(tǒng)一用戶日錄是用戶安全認(rèn)證體系的基礎(chǔ)。它是個(gè)獨(dú)立的目錄系統(tǒng)，可擴(kuò)展、 可縱向連接。 為保證一致性，使日錄信息能在公司系統(tǒng)內(nèi)進(jìn)行同步，應(yīng)進(jìn)行目錄樹結(jié)構(gòu)和目錄schema 的統(tǒng)一規(guī)劃設(shè)計(jì)。2.2 身份認(rèn)證身份認(rèn)

7、證是指通過多種方式對用戶身份進(jìn)行驗(yàn)證，確保個(gè)人身份的真實(shí)性。用戶安全認(rèn)證方式分為基本認(rèn)證、表單認(rèn)證、 Kerberos認(rèn)證、客戶證書認(rèn)證、 IITTP 頭認(rèn)證、工 P 認(rèn)證等。其中基本認(rèn)證、表單認(rèn)證、Kerberos認(rèn)證、客戶證書認(rèn)證主要為最終用戶提供;IITTP頭和 IP 地址認(rèn)證主要用于計(jì)算機(jī)已經(jīng)處于安全級別比較高的位置，簡化認(rèn)證流程。(1) 基本認(rèn)證 (BasicAuthenticate): 是按照 rfc2616( 超文本傳輸協(xié)議 HTTP/1.1) 規(guī)范要求，由認(rèn)證服務(wù)器向客戶端發(fā)送“ WWW-Authenticate ”頭，客戶端將用戶名和密碼提供給認(rèn)證機(jī)制的標(biāo)準(zhǔn)方法。由于傳輸?shù)拿?/p>

8、碼沒有加密，通常需要和HTTPS配合使用 . 以提高安全性。(2) 表單認(rèn)證 : 因?yàn)榇蠖鄶?shù) B/S 系統(tǒng)都采用了表單的方式來提交用戶身份的認(rèn)證請求，所以這種用法最多。這種方法可從認(rèn)證服務(wù)器產(chǎn)生定制的HTML登錄表單，而不是在基本認(rèn)證期間產(chǎn)生標(biāo)準(zhǔn)的登錄提示。(3)Kerberos認(rèn)證 : 幾乎所有的LDAP服務(wù)器都支持Kerberos認(rèn)證，采用Kerberos認(rèn)證的好處是用戶密碼不會在網(wǎng)絡(luò)上傳送，防止密碼泄露。如WindowsActiveDirectory支持 Kerberosv5證主要是解決Windows 域用戶自動認(rèn)證問題。登錄Windows 的用戶可以將Kerberos證服務(wù)器再聯(lián)系A(chǔ)c

9、tiveDirectory，實(shí)現(xiàn)用戶自動認(rèn)證。認(rèn)證協(xié)議，采用 Kerberos 票據(jù)發(fā)送到認(rèn)證服務(wù)器，認(rèn)認(rèn)(4) 客戶證書認(rèn)證 : 是利用 SSL 協(xié)議，由客戶出示客戶證書來達(dá)到識別用戶身份的目的?？蛻糇C書可以導(dǎo)入IE 瀏覽器。 為了加強(qiáng)安全性，客戶證書還可存放在U 盤或智能片中以防止被盜用。客戶證書中包含有客戶所處目錄服務(wù)器 (LDAY) 的位置信息，目錄服務(wù)器也可以存放有客戶證朽，當(dāng)認(rèn)證成功時(shí)，認(rèn)證服務(wù)器可以獲取一個(gè)用于表明用戶身份的憑證，根據(jù)憑證授予該用戶的許可權(quán)和權(quán)限。由于客戶證書采用公私鑰機(jī)制，用戶不需要記憶自己的密碼， 身份識別信息不容易被盜用，安全性較高。 在河南電力OA系統(tǒng)中，

10、 有一部分重要用戶擁有數(shù)字證書，采用的就足這種認(rèn)證方式。(5)HTTP 頭認(rèn)證 : 客戶機(jī)提供的信息通過定制的HTTP頭傳遞給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器信任此定制的HTTP頭數(shù)據(jù)是先前認(rèn)證的結(jié)果，并由認(rèn)證模塊來進(jìn)行認(rèn)證。(6)IP認(rèn)證 :IP認(rèn)證主要用來簡化認(rèn)證手續(xù)或?qū)τ?jì)算機(jī)設(shè)備認(rèn)證。由于IP地址容易偽造， 所以IP認(rèn)證主要用于企業(yè)內(nèi)部等網(wǎng)絡(luò)安全級別已經(jīng)比較高的場合。認(rèn)證服務(wù)器使用http-request參數(shù)確定計(jì)算機(jī)的身份。3 單點(diǎn)登錄系統(tǒng)的應(yīng)用單點(diǎn)登錄 (SingleSignOn，簡稱為SSO)功能是企業(yè)門戶中統(tǒng)一用戶安全認(rèn)證體系的典型應(yīng)用。簡單地講，單點(diǎn)登錄指的是: 登錄 1 次，即可訪問多

11、個(gè)應(yīng)用系統(tǒng)。企業(yè)門戶中， 統(tǒng)一的用戶安全認(rèn)證體系，包含3 個(gè)重要的組成部分: 統(tǒng)一用戶管理、 用戶授權(quán)管理和單點(diǎn)登錄的接入。3.1 統(tǒng)一用戶管理在整個(gè)單點(diǎn)登錄系統(tǒng)中占據(jù)重要地位，而一個(gè)真工意義上的統(tǒng)一用戶管理平臺必須具備數(shù)據(jù)統(tǒng)一、服務(wù)統(tǒng)一、管理統(tǒng)一、同步用戶數(shù)據(jù)等功能。數(shù)據(jù)統(tǒng)一： 包含目錄結(jié)構(gòu)和格式的統(tǒng)一規(guī)劃和初始化數(shù)據(jù)的清理； 服務(wù)統(tǒng)一 : 提供標(biāo)準(zhǔn)化服務(wù)， 用于目錄系統(tǒng)內(nèi)部以及外部應(yīng)用系統(tǒng)和目錄系統(tǒng)之間的交互；管理統(tǒng)一 : 使用盡量少的業(yè)務(wù)人口來進(jìn)行用戶數(shù)據(jù)的維護(hù)，以確保用戶數(shù)據(jù)的唯一性；用戶數(shù)據(jù)同步 : 包含不同業(yè)務(wù)應(yīng)用系統(tǒng)之間用戶信息的同步，以及跨域認(rèn)證時(shí)不同目錄樹之間用戶數(shù)據(jù)的同步。

12、對于它的部署方式，般可以在公司系統(tǒng)內(nèi)建立統(tǒng)一的身份目錄，有選擇地進(jìn)行橫向、縱向的用戶信自、同步，為單點(diǎn)登錄提供人員信息基礎(chǔ)。河南省電力公司企業(yè)門戶于2004 年正式投入運(yùn)行。對于企業(yè)門戶用戶的管理，剛開始以人力資源管理系統(tǒng)作為權(quán)威數(shù)據(jù)源，企業(yè)門戶的用戶來源于人力資源。也就是說，只有當(dāng)人力資源系統(tǒng)中的用戶發(fā)生變化時(shí)，用戶變更信息、才會同步到企業(yè)門戶的LDAP服務(wù)器中，企業(yè)門戶中的用戶才會隨著變化。但在實(shí)際應(yīng)用中，發(fā)現(xiàn)人力資源系統(tǒng)用戶信息的變更不太及時(shí)，影響了門戶用戶的正常登錄。而OA系統(tǒng)的用戶信息、相對更新速度快，也比較準(zhǔn)確，所以改將OA系統(tǒng)作為權(quán)威數(shù)據(jù)源，實(shí)際效果良好。3.2 用戶授權(quán)管理用戶

13、授權(quán)有3 種方式 : 規(guī)則授權(quán)、委托授權(quán)和開通服務(wù)。(1) 規(guī)則授權(quán)是指基于規(guī)則的授權(quán)，系統(tǒng)可以根據(jù)商業(yè)規(guī)則和用戶屬性，動態(tài)地授權(quán)用戶對門戶資源的訪問。(2) 委托授權(quán)為 Portlet 、用戶、授權(quán)等實(shí)現(xiàn)委托管理，委托授權(quán)服務(wù)判斷用戶是否有訪問后臺資源權(quán)限，是由 ACL 和被管理資源以及它們之間的對應(yīng)關(guān)系共同來完成的。(3) 開通服務(wù)是指新員工人職、職位變遷飛員工離職等這些所有的變化時(shí)，都涉及到對用戶在各個(gè)應(yīng)用系統(tǒng)中的權(quán)限變化，在統(tǒng)一的開通服務(wù)中進(jìn)行修改配置，從而可以實(shí)現(xiàn)用戶的生命周期管理和資源的生命周期管理。3.3 接入方式目前電力企業(yè)內(nèi)部各應(yīng)用系統(tǒng)從技術(shù)架構(gòu)上可以分為B/S和 C/S 兩

14、大類，隨著信息技術(shù)的發(fā)展，基于B/S結(jié)構(gòu)的 Web應(yīng)用逐步成為以后應(yīng)用開發(fā)的主流技術(shù)。下面，只對B/S 應(yīng)用系統(tǒng)在單點(diǎn)登錄系統(tǒng)中的接入方式做分析。接人方式大致分為3 種，分別對應(yīng)于不同的情況: 對企業(yè)內(nèi)部應(yīng)用，可采用模擬應(yīng)用系統(tǒng)登錄的方式；對互聯(lián)網(wǎng)應(yīng)用，可使用用戶自助的接人方式；對企業(yè)門戶級聯(lián)等其他有特殊要求的應(yīng)用，就可以采用第3 種方式，改造原有應(yīng)用系統(tǒng)的認(rèn)證方式。(1) 自動填表登錄應(yīng)用系統(tǒng)：對于大多數(shù)B/S 應(yīng)用系統(tǒng)， 通常會提供一個(gè)表單頁面作為系統(tǒng)的登錄頁面。在用戶通過單點(diǎn)登錄系統(tǒng)的身份認(rèn)證后，當(dāng)用戶第1 次訪問某應(yīng)用系統(tǒng)時(shí)，系統(tǒng)要求在表單中輸入身份證明，如果這些信息是準(zhǔn)確的，則會被自

15、動存儲在單點(diǎn)登錄系統(tǒng)中。以后，當(dāng)用戶通過單點(diǎn)登錄系統(tǒng)的身份認(rèn)證再次訪問該應(yīng)用系統(tǒng)時(shí)，單點(diǎn)登錄系統(tǒng)會自動將用戶名和密碼填人表單并提交頁面，使用戶自動登錄該應(yīng)用系統(tǒng)。在河南電力企業(yè)門戶中，對企務(wù)信、財(cái)務(wù)管理、電力營銷、生產(chǎn)MIS 等大多數(shù)應(yīng)用系統(tǒng)采用了這種自動填表的登錄方式。(2) 發(fā)送 HTTP頭登錄應(yīng)用系統(tǒng) : 在用戶通過單點(diǎn)登錄系統(tǒng)身份認(rèn)證后，單點(diǎn)登錄系統(tǒng)將包含用戶身份信息的HTTP頭發(fā)送到應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)獲取HTTP頭中的用戶身份信息，決定是否允許用戶登錄。通過HTTP頭，既可以利用 HTTP協(xié)議中規(guī)定的基本認(rèn)證方式登錄應(yīng)用系統(tǒng)， 也可以使用單點(diǎn)登錄系統(tǒng)與應(yīng)用系統(tǒng)之間約定的頭信息。在河南

16、電力企業(yè)門戶中， OA系統(tǒng)和企業(yè)門戶事先約定了一定格式的 HTTP頭信息，OA系統(tǒng)的普通用戶采用了頭的方式來接人單點(diǎn)登錄系統(tǒng)。IITTP以上介紹的這2 種方式，用戶信息可以在內(nèi)部的各業(yè)務(wù)應(yīng)用系統(tǒng)中獲得，用戶可以納入統(tǒng)一目錄管理之中，由統(tǒng)一目錄進(jìn)行不同業(yè)務(wù)應(yīng)用之間用戶信息的同步。下面要介紹的用戶自助方式主要適用于無法收集用戶信息，且無法進(jìn)行改造的系統(tǒng)。對于互聯(lián)網(wǎng)郵件系統(tǒng)，它們都具備私有的用戶管理機(jī)制，而比無法對其進(jìn)行改造。為了實(shí)現(xiàn)這些郵件系統(tǒng)的單點(diǎn)登錄，可以對不同的郵件系統(tǒng)的Web登錄頁面進(jìn)行分析，開發(fā)統(tǒng)一的郵件系統(tǒng)關(guān)聯(lián)模塊，模擬郵件用戶登錄的功能。門戶用戶使用時(shí)，首先需要在該模塊中設(shè)置個(gè)人的用

17、戶名和密碼，當(dāng)用戶通過郵件的單點(diǎn)登錄功能登錄該郵件系統(tǒng)時(shí)，登錄模塊得到用戶預(yù)先設(shè)置的用戶名和密碼，隨后發(fā)起登錄請求嘗試登錄郵件系統(tǒng)。當(dāng)然，每次用戶修改夸錄密碼，需要在該登錄模塊中再次修改登錄密碼。通過用戶自助的方式，河南省電力公司成功整合了網(wǎng)易、新浪、雅虎、HotMail等多種常用的互聯(lián)網(wǎng)郵件系統(tǒng)。對于有特殊要求的應(yīng)用，可以改造原應(yīng)用系統(tǒng)的認(rèn)證模塊，利用門戶系統(tǒng)提供的統(tǒng)一認(rèn)證平臺實(shí)現(xiàn)不同業(yè)務(wù)應(yīng)用系統(tǒng)的單點(diǎn)登錄。在實(shí)施河南省電力公司與國家電網(wǎng)公司企業(yè)門戶級聯(lián)時(shí)，采用了這種方式，即把河南省電力公司企業(yè)門戶的認(rèn)證模塊進(jìn)行了相應(yīng)修改，來適應(yīng)國家電網(wǎng)公司統(tǒng)的要求。4 結(jié)語總的來講，有了統(tǒng)一的用戶安個(gè)認(rèn)證體系做基礎(chǔ)，分析各應(yīng)用系統(tǒng)的特點(diǎn)，選擇合適的方法，對應(yīng)用系統(tǒng)進(jìn)行加工和集成，一定會搭建出一個(gè)規(guī)范、實(shí)用、安全的企業(yè)門戶，為企業(yè)管理和領(lǐng)導(dǎo)決策提供有力的支持！僅供個(gè)人用于學(xué)習(xí)、研究；不得用于商業(yè)用途。For personal use on