一、項目簡介

　　某軍工單位是我國規(guī)模最大、體系最完整、集軍民品生產科研為一體的特大型工業(yè)生產科研基地，目前已經建設了多個業(yè)務系統(tǒng)為生產、科研任務服務，形成了由大量的網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)構成的信息系統(tǒng)運行環(huán)境，業(yè)務部門在業(yè)務開展中對信息系統(tǒng)的依賴程度也日益增加，員工必須訪問多個系統(tǒng)以完成必要的日常工作，信息系統(tǒng)在提高業(yè)務處理效率的同時，也為員工的使用帶來了一些不便之處。

二、項目需求

　　為了解決當前業(yè)務系統(tǒng)使用上的實際問題，時代億信認真分析公司系統(tǒng)現(xiàn)狀，提出了以下建設目標：

• 建立統(tǒng)一認證平臺，實現(xiàn)對業(yè)務系統(tǒng)的統(tǒng)一認證、單點登錄和訪問控制。

• 統(tǒng)一認證平臺分兩級部署，以便分別管理各自范圍內的業(yè)務系統(tǒng)，實現(xiàn)與業(yè)務系統(tǒng)的帳號信息同步。

• 統(tǒng)一認證平臺實現(xiàn)管理員分級管理。

• 兩級統(tǒng)一認證平臺之間實現(xiàn)信息同步，兩級應用系統(tǒng)在任意一級平臺上都能進行用戶認證；

• 對C/S業(yè)務系統(tǒng)提供認證、單點登錄接入；

• 實現(xiàn)用戶對業(yè)務系統(tǒng)的訪問控制。
   

三、項目建設效果

3.1整體體系結構

 

體系組成說明：

總部統(tǒng)一認證平臺

　　總部統(tǒng)一認證平臺基于CA數(shù)字證書認證的智能密鑰身份認證方式，通過數(shù)字證書、數(shù)字簽名等機制充分保證認證過程的安全性。平臺整合多個業(yè)務系統(tǒng)，通過對用戶身份的統(tǒng)一認證和訪問控制，實現(xiàn)各個業(yè)務系統(tǒng)的單點登錄。

　　總部統(tǒng)一認證平臺負責集中簽發(fā)數(shù)字證書，作為用戶登錄認證的唯一憑證。

下屬單位統(tǒng)一認證平臺

　　下屬單位統(tǒng)一認證平臺基于CA數(shù)字證書認證的智能密鑰身份認證方式，通過數(shù)字證書、數(shù)字簽名等機制充分保證認證過程的安全性。平臺整合多個業(yè)務系統(tǒng)，通過對用戶身份的統(tǒng)一認證和訪問控制，實現(xiàn)各個業(yè)務系統(tǒng)的單點登錄。

　　下屬單位統(tǒng)一認證平臺負責收集用戶證書申請信息，提交到總部統(tǒng)一認證平臺進行簽發(fā)。

3.2單點登錄

　　用戶在通過統(tǒng)一認證平臺認證后，可直接訪問已授權的各應用系統(tǒng)，實現(xiàn)不同應用系統(tǒng)的身份認證共享，從而達到多應用系統(tǒng)的單點登錄。

　　公司現(xiàn)有的業(yè)務系統(tǒng)比較多，對業(yè)務系統(tǒng)的維護情況也各有差異，因此根據(jù)現(xiàn)有情況對進行必要的改造。

　　在可以改造的業(yè)務系統(tǒng)使用插件方式的單點登錄。

　　不可以改造的業(yè)務系統(tǒng)使用反向代理方式的單點登錄。

插件方式

　　插件方式為緊耦合改造方式，采用集成插件的方式與統(tǒng)一認證平臺的SSO認證服務進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。緊耦合方式提供多種API，通過簡單調用即可實現(xiàn)SSO。

　　J2EE  JAR包

　　ASP/.net  COM組件

　　Domino  DSAPI 

　　對于有原廠商配合開發(fā)的應用系統(tǒng)，可以使用該方式高效地接入統(tǒng)一認證平臺。

　　插件方式下通過平臺訪問應用系統(tǒng)的流程如下：

　　(1)用戶在統(tǒng)一認證平臺上點擊訪問的應用系統(tǒng)URL鏈接；

　　(2)由統(tǒng)一認證平臺驗證用戶權限，有權限則在平臺數(shù)據(jù)庫中查詢用戶和應用系統(tǒng)的關聯(lián)表，無權限則提示用戶無權訪問；

　　(3)如關聯(lián)表中無相應記錄，則該用戶未授權，不允許訪問；如關聯(lián)表中有相應記錄，則平臺服務器提取用戶在該應用系統(tǒng)中的身份信息，送至SSO服務加密簽名形成數(shù)字信封后，返還給統(tǒng)一認證平臺；

　　(4)由平臺將加密信息發(fā)送給相應的應用系統(tǒng)；

　　(5)應用系統(tǒng)調用SSO API，對加密信息進行解密，得到用戶身份信息并返回給應用系統(tǒng)；

　　(6)應用系統(tǒng)收到用戶身份信息后通過信任機制允許用戶訪問應用系統(tǒng)。

反向代理方式

　　用戶先登錄進入統(tǒng)一認證平臺，然后利用反向代理技術，使得通過認證后的用戶可以直接訪問進入有權限的業(yè)務系統(tǒng)。

　　這種方式下業(yè)務系統(tǒng)基本不需改動和開發(fā)，對于不能作改動或沒有原廠商配合的業(yè)務系統(tǒng)，可以使用該方式接入統(tǒng)一認證平臺。實現(xiàn)上，采用SSO服務和SSOAgent進行交互驗證用戶信息，完成業(yè)務系統(tǒng)單點登錄。

　　反向代理登錄方式下通過統(tǒng)一認證平臺訪問業(yè)務系統(tǒng)的流程如下：

(1)用戶在統(tǒng)一認證平臺提供的用戶頁面上點擊訪問的業(yè)務系統(tǒng)URL鏈接；

(2)由統(tǒng)一認證平臺驗證用戶權限，有權限則在統(tǒng)一認證平臺數(shù)據(jù)庫中查詢用戶和業(yè)務系統(tǒng)的關聯(lián)表，無權限則提示用戶無權訪問；

(3)如關聯(lián)表中無相應記錄，則瀏覽器彈出建立關聯(lián)的頁面；如關聯(lián)表中有相應記錄，則平臺服務器提取用戶和業(yè)務系統(tǒng)的關聯(lián)信息，送至SSO服務加密簽名形成數(shù)字信封后，返還給平臺；

(4)由統(tǒng)一認證平臺將加密信息發(fā)送給業(yè)務系統(tǒng)前端的SSO Agent；

(5)SSO Agent收到加密信息后進行解密，并向業(yè)務系統(tǒng)提交用戶關聯(lián)信息；

(6)業(yè)務系統(tǒng)收到用戶關聯(lián)信息后進行驗證，驗證成功則允許用戶訪問應用，失敗則提示用戶更新關聯(lián)信息。

3.3 帳號集中管理

　　公司統(tǒng)一認證平臺中的用戶帳號信息統(tǒng)一管理組件基于關系型數(shù)據(jù)庫，用于存儲用戶的帳號信息，并實現(xiàn)對接入平臺的所有應用系統(tǒng)均可以同步帳號信息，節(jié)省了用戶投入，實現(xiàn)了資源利用最大化。

帳號集中管理

　　統(tǒng)一認證平臺內置應用帳號管理組件，提供了對多個業(yè)務系統(tǒng)的用戶帳號信息集中管理，并與企業(yè)現(xiàn)有AD系統(tǒng)無縫結合，滿足多種類型的連接和互操作標準。

　　帳號管理實現(xiàn)的功能如下：

　　（1）管理員可在一點操作，實現(xiàn)對各業(yè)務系統(tǒng)帳號的注冊、變更和注銷管理；

　�。�2）保證用戶帳號唯一性，實現(xiàn)操作可追溯，可定責；

　�。�3）集成AD帳號信息；

　�。�4）提供兩級信息自動同步功能，可實現(xiàn)用戶信息的分級管理。 

帳號同步

　　統(tǒng)一認證平臺的帳號管理功能通過標準的Web Service接口，向各個業(yè)務系統(tǒng)自動同步帳號信息。 

3.4 統(tǒng)一授權

　　統(tǒng)一認證平臺通過統(tǒng)一授權功能，可對用戶組與業(yè)務系統(tǒng)或資源的關聯(lián)關系，角色與應用系統(tǒng)或資源的關聯(lián)關系進行創(chuàng)建和維護，以此來完成用戶對應用系統(tǒng)與資源訪問的授權。

　　公司根據(jù)系統(tǒng)現(xiàn)狀選擇了實體級授權方式。

　　實體級授權主要指用戶可以訪問哪些資源（包括系統(tǒng)和應用）的授權。

　　業(yè)務系統(tǒng)的實體級授權主要通過統(tǒng)一用戶管理、統(tǒng)一認證、統(tǒng)一授權功能的相互配合完成：

　�。�1）根據(jù)用戶的權限策略制定相應的ACL（訪問控制列表）；

　�。�2）將制定的ACL通過附屬到組中形成一定顆粒度的授權單元；

　�。�3）當一個用戶進行實體級授權時，可以通過在統(tǒng)一用戶管理功能中分配權限組的方式對用戶進行授權。

四、經驗總結

　　“軍工單位統(tǒng)一認證工程”的成功經驗總結如下：

　　1.采用時代億信UAP統(tǒng)一認證與訪問控制系統(tǒng)產品，擁有良好的產品成熟度，豐富的標準接口，可快速實施上線并滿足多種開發(fā)語言、多種類型的業(yè)務系統(tǒng)接入需求。

　　2.采用分級部署、分級管理模式，實現(xiàn)與業(yè)務系統(tǒng)現(xiàn)狀的無縫對接。

　　3.內置CA系統(tǒng)，與用戶管理功能直接集成，添加用戶自動簽發(fā)證書，提高了管理員工作效率，減少了維護工作量。

　　4.單點登錄接入方式完善，對公司已有的C/S架構業(yè)務系統(tǒng)提供了良好支撐，可以在業(yè)務系統(tǒng)不做改動或少量改動情況下，實現(xiàn)單點登錄與訪問控制。

　　5.時代億信UAP統(tǒng)一認證與訪問控制系統(tǒng)產品經過國家保密局檢測，具備管理員三員分立、智能卡PIN碼安全策略、管理平臺安全防護等安全保護措施，并在源代碼層面進行了安全加固與抗反向工程，有效保證了企業(yè)網(wǎng)絡的使用安全。