基于SOA的統(tǒng)一身份認(rèn)證服務(wù)技術(shù)研究與實(shí)現(xiàn)

劉日初 蔣嶸 張以皓

1解放軍理工大學(xué)指揮自動化學(xué)院 江蘇 210007 2解放軍后勤指揮學(xué)院 北京 100858

0 引言

本文分析了當(dāng)前主流SSO系統(tǒng)及其存在的問題，以面向服務(wù)的思想為基本出發(fā)點(diǎn)，借鑒Kerberos認(rèn)證協(xié)議的用戶認(rèn)證方式，提出一種基于 SOA的集中式用戶認(rèn)證授權(quán)服務(wù)架構(gòu)，解決了現(xiàn)有信息系統(tǒng)中用戶認(rèn)證繁瑣冗余，可管理性差，存在安全缺陷等問題。針對當(dāng)前信息化發(fā)展現(xiàn)狀和未來發(fā)展趨勢，實(shí)現(xiàn)了支持C/S和B/S架構(gòu)的單點(diǎn)登錄系統(tǒng)，該系統(tǒng)可在異構(gòu)的信息系統(tǒng)中實(shí)現(xiàn)應(yīng)用系統(tǒng)單點(diǎn)登錄，簡化了用戶的登錄過程，同時提供集中和便捷的身份管理、安全的認(rèn)證機(jī)制、權(quán)限管理和審計，以滿足對信息系統(tǒng)使用的便捷性和安全管理的需求。

1 主流身份認(rèn)證技術(shù)及其問題

目前單點(diǎn)登錄方案主要包括基于中間人、基于代理以及基于網(wǎng)關(guān)等幾類，其中最具影響力的是Kerberos 認(rèn)證協(xié)議。Kerberos目前已發(fā)展出多個版本，其功能在不斷得到發(fā)展完善，但也還存在一些局限性，主要表現(xiàn)為使用共享密鑰為認(rèn)證依據(jù)，在密鑰分發(fā)與管理方面存在困難以及口令和會話密鑰難以安全存放在計算機(jī)系統(tǒng)中。

隨著PKI技術(shù)的發(fā)展，又出現(xiàn)了基于證書的單點(diǎn)登錄方案。證書機(jī)制沿用了PKI思想，通過可信第三方發(fā)放的證書實(shí)現(xiàn)用戶和服務(wù)器之間的相互認(rèn)證?；谧C書的單點(diǎn)登錄系統(tǒng)由證書授權(quán)(certificate authority，CA)、用戶和服務(wù)器3個部分組成。其中，CA主要負(fù)責(zé)用戶和服務(wù)器的證書分發(fā)、更新和用戶權(quán)限的管理；用戶和服務(wù)器通過CA分發(fā)的證書實(shí)現(xiàn)相互認(rèn)證。該方案的特點(diǎn)是利用非對稱密碼認(rèn)證機(jī)制實(shí)現(xiàn)單點(diǎn)登錄。

Kerberos方案與基于證書的方案各有優(yōu)缺點(diǎn)。Kerberos方案采用對稱密碼認(rèn)證機(jī)制，計算資源的消耗低，單位時間響應(yīng)認(rèn)證請求能力強(qiáng)；而證書認(rèn)證方案中，Server對 Client的身份驗(yàn)證無需CA在線；短期的CA故障不會使得整個系統(tǒng)崩潰。但是Kerberos方案存在重放攻擊問題、單點(diǎn)失效問題，而證書方案對性能要求高，防御DDoS攻擊能力差。

2 系統(tǒng)架構(gòu)設(shè)計

在多應(yīng)用系統(tǒng)中，統(tǒng)一認(rèn)證服務(wù)的主要目的是為多種應(yīng)用提供單點(diǎn)登錄解決方案，用戶可以將后臺應(yīng)用系統(tǒng)(B/S結(jié)構(gòu)的WEB應(yīng)用系統(tǒng)和C/S結(jié)構(gòu)的應(yīng)用系統(tǒng))和單點(diǎn)登錄系統(tǒng)無縫整合在一起而無須修改原有應(yīng)用系統(tǒng)。

統(tǒng)一認(rèn)證服務(wù)架構(gòu)選擇以 SOA(Service Oriented Architecture)模型為基礎(chǔ)構(gòu)建。SOA是一種軟件架構(gòu)模型，它可以根據(jù)需要對松耦合的粗粒度應(yīng)用組件進(jìn)行分布式部署、組合和使用。服務(wù)之間采用松耦合有兩大好處，第一是各種服務(wù)能夠靈活組合，第二是每個服務(wù)的內(nèi)部結(jié)構(gòu)和實(shí)現(xiàn)發(fā)生改變時，其構(gòu)成的整個應(yīng)用程序無需改變。系統(tǒng)使用了基于SOAP協(xié)議的Web服務(wù)技術(shù)來構(gòu)建統(tǒng)一身份認(rèn)證服務(wù)架構(gòu)，該技術(shù)正快速發(fā)展。是未來的發(fā)展方向，它提供了一個系統(tǒng)架構(gòu)以及一系列的技術(shù)標(biāo)準(zhǔn)與規(guī)范。

在基于SOA的統(tǒng)一身份認(rèn)證服務(wù)架構(gòu)中，依據(jù)SOA定義的服務(wù)提供者和服務(wù)使用者角色，將統(tǒng)一身份認(rèn)證服務(wù)所要實(shí)現(xiàn)的功能封裝成為服務(wù)提供者，作為服務(wù)使用者的各應(yīng)用系統(tǒng)必須依據(jù)統(tǒng)一服務(wù)接口所定義的調(diào)用方法才能調(diào)用服務(wù)。服務(wù)提供者按三層結(jié)構(gòu)來設(shè)計，分別為統(tǒng)一認(rèn)證中心數(shù)據(jù)庫、統(tǒng)一信息管理和統(tǒng)一服務(wù)接口。對統(tǒng)一認(rèn)證中心數(shù)據(jù)庫的訪問操作經(jīng)過封裝后。只有經(jīng)過統(tǒng)一服務(wù)接口才能進(jìn)行訪問，同時在統(tǒng)一服務(wù)接口處設(shè)置相應(yīng)的安全性檢查和訪問控制的策略匹配來提高對中心數(shù)據(jù)庫的訪問安全。

服務(wù)使用者調(diào)用一次服務(wù)的過程為：

（1）服務(wù)使用者依據(jù)認(rèn)證語言及語法構(gòu)造認(rèn)證指令。

（2）使用與服務(wù)提供者約定的加密算法對認(rèn)證指令進(jìn)行加密。

（3）將加密后的密文封裝成SOAP消息，并將消息發(fā)送到服務(wù)提供者。

（4）服務(wù)提供者收到SOAP消息后拆封并提取消息。

（5）使用與服務(wù)使用者約定的加密算法解密密文。

（6）對明文進(jìn)行語法、語義進(jìn)行有效性驗(yàn)證，通過驗(yàn)證后執(zhí)行認(rèn)證指令。

（7）將執(zhí)行的結(jié)果加密、封裝為SOAP消息并再發(fā)送給服務(wù)使用者。

（8）服務(wù)使用者收到 SOAP消息后拆封、解密并提取執(zhí)行的結(jié)果。

上述過程中，認(rèn)證指令選擇采用XML(擴(kuò)展標(biāo)記語言)格式。這主要是考慮到XML是一種定義表示語言，它獨(dú)立于操作平臺和實(shí)現(xiàn)語言，能夠被不同的應(yīng)用解析表現(xiàn)。作為一種自描述性的語言，它實(shí)現(xiàn)了數(shù)據(jù)內(nèi)容和表現(xiàn)形式的分離，已成為通用語言。正是XML的平臺無關(guān)性，它為統(tǒng)一身份認(rèn)證提供了一種理想的實(shí)現(xiàn)方法。

由于認(rèn)證指令是基于XML格式的，所以構(gòu)造與解析認(rèn)證指令實(shí)際上是對XML的序列化與反序列化的過程，同時執(zhí)行結(jié)果也是XML格式的，所以提取執(zhí)行結(jié)果實(shí)際上也是對XML的處理。對認(rèn)證指令及執(zhí)行結(jié)果的加密與否在這里是可選的。當(dāng)返回的執(zhí)行結(jié)果的信息量很大而對安全性要求不高的內(nèi)容可以不進(jìn)行加密而直接返回明文，從而減少加密與解密所花的時間。

統(tǒng)一身份認(rèn)證采用圖1所示系統(tǒng)體系結(jié)構(gòu)。

圖1 統(tǒng)一認(rèn)證系統(tǒng)體系結(jié)構(gòu)

統(tǒng)一認(rèn)證系統(tǒng)服務(wù)架構(gòu)由單點(diǎn)登錄，統(tǒng)一身份管理，統(tǒng)一授權(quán)管理，統(tǒng)一審計和統(tǒng)一安全管理中心組成。單點(diǎn)登錄服務(wù)既能支持B/S系統(tǒng)，也能支持C/S系統(tǒng)。統(tǒng)一身份管理為多應(yīng)用系統(tǒng)提供全局的用戶身份管理，支持賬號密碼、USBKey、智能卡等多種不同方式的用戶身份認(rèn)證。統(tǒng)一授權(quán)管理管理所有可訪問資源，提供資源的訪問控制策略，能滿足多級安全需求。安全管理中心提供對用戶身份信息，權(quán)限，應(yīng)用系統(tǒng)，審計信息的集中管理，并對統(tǒng)一認(rèn)證服務(wù)系統(tǒng)本身進(jìn)行維護(hù)管理，系統(tǒng)管理員通過Web界面進(jìn)行統(tǒng)一管理。

3 關(guān)鍵技術(shù)及其實(shí)現(xiàn)

3.1 用戶賬號管理研究

（1）LDAP統(tǒng)一賬號及賬號同步管理

用戶賬號管理是統(tǒng)一身份認(rèn)證的基礎(chǔ)。賬號管理考慮以若干賬號管理組件提供用戶賬號全生命期管理，這些組件共同構(gòu)成賬號管理平臺。

賬號生命周期管理中首要的是對賬號信息源的管理。利用賬號管理平臺作為統(tǒng)一的賬號信息源提供用戶主賬號。利用LDAP技術(shù)的查詢優(yōu)勢，通過LDAP技術(shù)構(gòu)建LDAP服務(wù)器作為賬號信息源。由于在許多實(shí)際系統(tǒng)中不能將所有的用戶信息都集中存儲，通常不同的應(yīng)用系統(tǒng)有各自不同的用戶信息源，單點(diǎn)登錄系統(tǒng)允許用戶信息有多個不同的可信來源，信息的不健全與不一致，為此采取同步技術(shù)實(shí)現(xiàn)了LDAP服務(wù)器和其它各可信賬號信息源點(diǎn)之間的同步。在同步的實(shí)現(xiàn)方面，如果同步的數(shù)據(jù)源都以LDAP技術(shù)構(gòu)建，則通過在賬號管理平臺中進(jìn)行配置實(shí)現(xiàn)同步；如果要求同步的數(shù)據(jù)源構(gòu)建技術(shù)不一致，則通過使用同步代理技術(shù)實(shí)現(xiàn)同步。

（2）委托管理和自注冊管理

具有良好可用性的用戶賬號信息管理平臺必須提供靈活的賬號信息管理方式，為此，本系統(tǒng)將委托管理和自注冊管理作為管理平臺必備的基本功能。委托管理允許將某項管理功能分配給指定的下級單位或代理人員，是他們可以管理被委托部門或單位內(nèi)部的特定用戶，執(zhí)行特定的權(quán)限，委托考慮以角色賦予的方式實(shí)現(xiàn)。自注冊管理方面，根據(jù)定制的策略，使用戶可以自助完成某些工作，無需管理員介入。

良好的擴(kuò)展性是統(tǒng)一身份認(rèn)證和管理平臺必須支持的。通過開發(fā)認(rèn)證服務(wù)接口來使得新開發(fā)的應(yīng)用系統(tǒng)通過調(diào)用認(rèn)證服務(wù)接口，從而實(shí)現(xiàn)與統(tǒng)一身份認(rèn)證管理平臺的集成，用戶在平臺上通過一次認(rèn)證后，就可以被與其接口的應(yīng)用系統(tǒng)認(rèn)可。新開發(fā)的系統(tǒng)無需再建立用戶數(shù)據(jù)庫，只在LDAP服務(wù)器中擁有一套用戶身份信息(用戶名和密碼，或數(shù)字證書標(biāo)識)即可。

3.2 數(shù)字證書中心

CA是證書認(rèn)證的基礎(chǔ)，本系統(tǒng)以PKI體系為藍(lán)本，構(gòu)建了一個濃縮版的PKI作為CA，為統(tǒng)一身份認(rèn)證服務(wù)提供支持。構(gòu)建的CA具備認(rèn)證系統(tǒng)所需的所有重要功能，同時具有建設(shè)簡便，使用靈活的特點(diǎn)。采用軟件加密方式，也支持硬件加密方式的擴(kuò)展，通過多級CA結(jié)構(gòu)方式，形成分布式、模塊化、安全的數(shù)字認(rèn)證體系。系統(tǒng)的證書簽發(fā)中心(CA)和用戶密鑰管理中心(KMC)，分別完成簽發(fā)數(shù)字證書和管理用戶解密私鑰的功能。系統(tǒng)所簽發(fā)的證書遵循X.509 標(biāo)準(zhǔn)，證書介質(zhì)支持磁盤、IC卡和USB Key等多種存儲設(shè)備。簽發(fā)的證書支持SSL、VPN、S/MIME安全電子郵件、智能卡登錄等多種應(yīng)用。

3.3 統(tǒng)一認(rèn)證系統(tǒng)安全性

作為應(yīng)用系統(tǒng)的基礎(chǔ)平臺，統(tǒng)一認(rèn)證系統(tǒng)的安全特別是單點(diǎn)登錄系統(tǒng)平臺的安全性非常重要。在系統(tǒng)采用以下的方法保證安全：

（1）內(nèi)容安全。通過應(yīng)用安全級別較高的加密算法，對存儲的用戶登錄信息。包括用戶登錄名稱、登錄 ID號碼、電子數(shù)字證書等進(jìn)行加密，保證即使系統(tǒng)管理員也無法獲得或更改這些信息；

（2）傳輸安全。對于B/S系統(tǒng)，采用HTTPS/SSL安全傳輸通道，保證信息在傳輸中的安全；對于C/S系統(tǒng)，應(yīng)用業(yè)界標(biāo)準(zhǔn)的安全認(rèn)證協(xié)議，在傳輸前進(jìn)行雙向認(rèn)證，同時，對通信內(nèi)容進(jìn)行加密和散列，也能保證信息在傳輸中的安全；

（3）事后安全。在安全模型中，除了事前評估，事中控制外，還有事后的審計。單點(diǎn)登錄平臺提供完善的日志記錄功能，日志內(nèi)容包括登錄時間、登錄用戶身份、登錄的應(yīng)用系統(tǒng)、登錄時使用的客戶機(jī)IP地址、計算機(jī)名和MAC地址等。

4 結(jié)論

隨著信息化建設(shè)的不斷推進(jìn)，信息系統(tǒng)的功能規(guī)模持續(xù)擴(kuò)展，各種業(yè)務(wù)系統(tǒng)在用戶認(rèn)證管理方面迫切需要進(jìn)行有效的整合，通過整合來提高系統(tǒng)使用管理方面的便捷性以及系統(tǒng)整體的安全性。從長遠(yuǎn)角度看，未來新的多業(yè)務(wù)系統(tǒng)的建設(shè)都要提供統(tǒng)一認(rèn)證服務(wù)，有關(guān)統(tǒng)一認(rèn)證技術(shù)的研究及相關(guān)系統(tǒng)的開發(fā)應(yīng)當(dāng)成為信息化建設(shè)的重要組成部分，當(dāng)前需要在現(xiàn)有技術(shù)的基礎(chǔ)上，積極研究開發(fā)適合已有信息系統(tǒng)環(huán)境的統(tǒng)一認(rèn)證服務(wù)系統(tǒng)，開發(fā)的系統(tǒng)既要對原有的系統(tǒng)認(rèn)證方式提供一定的兼容性，同時也要具備良好的擴(kuò)展性，使新增的應(yīng)用系統(tǒng)能夠“即插即用”。本文通過研究提出了統(tǒng)一身份認(rèn)證服務(wù)架構(gòu)，討論了該系統(tǒng)的服務(wù)架構(gòu)設(shè)計的參考模型選擇，架構(gòu)依賴的技術(shù)基礎(chǔ)，架構(gòu)的組成要素及邏輯關(guān)系，架構(gòu)要素的設(shè)計技術(shù)與方法，架構(gòu)的功能特性分析等，并基于SOA的統(tǒng)一身份認(rèn)證系統(tǒng)實(shí)現(xiàn)了用戶管理、身份認(rèn)證、分級權(quán)限管理和單點(diǎn)登錄等功能，從而提高了系統(tǒng)安全性和開發(fā)便利性。

[1]魏東,陳曉江,房鼎益.基于 SOA 體系結(jié)構(gòu)的軟件開發(fā)方法研究[J].微電子學(xué)與計算機(jī).2005.

[2]何珍祥,董逸生.基于Web服務(wù)的SOA設(shè)計與傳統(tǒng)軟件設(shè)計方法的關(guān)系[J].計算機(jī)系統(tǒng)應(yīng)用.2008.