企业级的级联身份认证架构及应用设计.pdf

1、SCIENCE&TECHNOLOGY INFORMATION科技资讯 2023 NO.16 信 息 与 智 能科技资讯SCIENCE&TECHNOLOGY INFORMATION企业级的级联身份认证架构及应用设计杨智 王宏 徐凯(四川中电启明星信息技术有限公司 四川成都 610041)摘要：随着企业信息化建设的不断深入，企业对信息化系统的应用需求也逐步深入。在各个应用的部署模式上，有的应用是在总部实现统一部署，有的应用是总部与子级分公司实现多级部署的模式并存。而在各子级分公司中，用户会涉及同时访问多套信息化应用进行办公，在此种情况下如何实现用户无差异访问统一部署应用与本地应用，并确保用户身份认

2、证的可靠性和安全性，是企业信息化应用实现单点认证一个必须解决的问题。该文结合在国网公司的实践经验，提出一套企业级的级联身份认证架构及应用设计方案，方案在确保总部与网省公司的身份认证的可靠性和安全性基础上，同时实现网省公司可以无差异访问统一部署业务应用与本地应用。关键词：身份单点认证 企业多级部署 企业级级联认证 无差异访问中图分类号：TP31文献标识码：A 文章编号：1672-3791(2023)16-0021-05Design of Eenterprise-level Cascaded Authentication Architecture and Its ApplicationYANG Z

3、hi WANG Hong XU Kai(Aostar Information Technologies Co.,Ltd.,Chengdu,Sichuan Province,610041 China)Abstract:With the continuous deepening of enterprise informatization construction,the application requirements of enterprises for the informatization system are also gradually deepening.In the deployme

4、nt mode of each application,some applications are deployed uniformly at headquarters,and some applications coexist in the multi-level deployment mode of headquarters and subsidiaries.In each subsidiary,users will be involved in accessing multiple sets of information applications for office work at t

5、he same time,and in this case,how to realize users undifferentiated access to unified deployment applications and local applications and ensure the reliability and security of user identity authentication is a problem that must be solved for enterprise information applications to achieve single sign

6、-on authentication.Based on the practical experience in State Grid Corporation of China,this paper proposes a design scheme of a set of enterprise-level cascaded identity authentication architecture and application.On the basis of ensuring the reliability and security of the identity authentication

7、of headquarters and provincial companies,the scheme also enables provincial companies to achieve the undifferentiated access to uniformly deployed business applications and local applications.Key Words:Single sign-on identity authentication;Multi-level enterprise deployment;Enterprise-level cascaded

8、 authentication;Undifferentiated access随着企业数字化建设的快速深入推进，企业应用对可靠性易用性的要求也逐步提高。在大型央企中，在各个应用的部署模式上，有的应用是在总部实现统一部署，有的应用是总部与子级分公司实现多级部署的模式，这两种模式并存。在央企推动改革创新的过程中，子级分公司的个性化需求更偏向于切合自身实DOI：10.16661/ki.1672-3791.2211-5042-4894作者简介：杨智（1990），男，本科，工程师，研究方向为企业信息化建设开发。21SCIENCE&TECHNOLOGY INFORMATION科技资讯信 息 与 智 能 2

9、023 NO.16 SCIENCE&TECHNOLOGY INFORMATION科技资讯际情况的需求，因此根据不同应用的实际情况，多种部署方式的情况会一直持续下去。因此，在子级分公司用户的日常办公中，子级分公司的本地业务应用与总部业务应用具有系统整合需求。这种系统整合主要采用界面集成的方式，大型企业一般是建设统一门户1作为统一入口，用户一次登录之后，可以访问有权限的业务应用，尤其是跨单位、跨域的场景下，界面集成须依赖具备级联能力的认证服务支撑。在此种情况下，如何保障统一部署的应用与多级部署应用之间的认证互通，确保用户登录统一门户之后能直接访问一级部署与多级部署的业务应用，是一个突出的问题。本文

10、结合支撑国网公司企业内部的级联认证经验，从数据同步2、级联认证、安全防护等方面提出的基于企业级的完整级联认证方案，并阐述了该方案在国网公司的实际应用情况。1 总体架构国家电网公司业务应用中，主要分成总部一级部署、省市公司二级部署两种部署方式：一是在国网总部集中部署，供全网使用的一级部署应用；二是总部网省两级部署，或是省市自建而部署在省市公司的二级部署应用。1.1 统一权限平台统一权限平台作为国网公司统一的身份认证、权限管理平台，承载了全网用户身份数据的集中管理与业务应用的统一认证业务。业务应用通过与统一权限平台集成，实现了身份维护与数据同步，用户访问业务应用之间的单点登录3，一来可以降低开发成

11、本，二来可通过统一权限的集中化管理，提升国网公司整体身份认证的安全防护能力。1.2 统一门户国网公司通过信息化的不断深入，建设了一套基于统一单点认证服务的内网企业门户，形成企业级认证、统一的门户展示、便捷性业务应用访问入口、平台级防护、开放式框架等核心能力，改变了大而全、专业间相互独立的企业级门户应用建设方式，实现应用入口集中、防护集中。统一门户在总部与网省都有个性化的一套部署，无论是网省还是总部用户，都会通过各自的门户平台去实现线上办公。统一权限平台同为两级部署架构，目前已分别实现了总部、省市公司Web端业务应用的身份纳管和统一认证，如图1所示。用户登录统一门户之后，如果访问总部一级部署的信

12、息化应用，则需要统一权限平台建立一套针对企业级应用的级联认证机制。企业级级联认证主要采用OAuth2.04协议实现业务应用的授权管理，统一权限在认证协议上支持CAS、OAuth2.0认证体系。要实现企业级的级联认证，两级统一权限的认证服务之间需要形成一种安全互信机制，实现的用户身份票据互。另外，两级统一权限之间要建立完善的数据同步机制，确保两侧数据一致。2 级联认证2.1 单点登录与级联认证单点登录的过程大致如下：首先，用户登录统一门户成功之后，在门户中点击业务应用图标；其次，业务统一权限平台统一权限平台身份管理认证管理权限管理 统一权限平台统一权限平台身份管理认证管理权限管理 一级部署应用一

13、级部署应用经法系统协同办公 党建系统I6000PMS2.0营销2.0 统一门户统一门户集成应用地址集成应用地址认证认证认证认证数数据据同同步步级级联联认认证证证证书书互互信信访问访问统一门户统一门户总部总部网省网省 图1 省市两级部署架构图22SCIENCE&TECHNOLOGY INFORMATION科技资讯 2023 NO.16 信 息 与 智 能科技资讯SCIENCE&TECHNOLOGY INFORMATION应用跳转统一认证进行登录，统一认证校验业务应用合法性之后，为业务应用颁发一次性单点票据，并重定向回业务应用；最后，业务应用后台用一次性票据到统一权限获得用户信息，登录结束。普通的

14、单点登录，整个登录流程只需要对应部署下统一权限参与，如图2所示。一级应用（以党建系统为例）的单点登录流程，在票据校验过程与普通单点登录产生了差异。门户为业务应用在本地统一权限申请授权码；获得授权码后，将浏览器的请求认证指向一级认证地址，同时携带业务应用的回跳地址；接下来一级收到授权码，到二级统一权限校验授权码，并获取到用户；获取成功之后，在一级统一权限为业务应用用户生成一次性单点票，后续流程同普通单点登录流程，最后完成级联认证登录，如图3所示。2.2 级联认证详细过程图4描述了网省用户在二级统一门户中点击一级业务应用开始，直至用户登录成功访问一级业务应用的全过程。下面对登录过程进行详细说明。2

15、.2.1 统一门户申请权码前提条件：用户首先登录到统一门户，当前统一门户已经完成安全认证。首先，用户点击统一门户中的一级业务应用，一级业务应用发现用户是未登录状态，告知统一门户，统一门户向二级统一权限申请授权码Authorization Code。其次，二级统一权限对当前用户身份进行确认，若确认是合法应用，则颁发Authorization Code并给统一门户。2.2.2 统一门户向一级应用提交登录票前提条件：统一门户已经申请到业务应用的Authorization Code，在此步骤中将涉及级联认证的过程。首先，统一门户跳转一级统一认证，同时告知对应Authorization Code、APP

16、ID（权限颁发的应用ID）、service（应用的回跳地址）以及申请票据的二级认证服务地址（Proxy Url）。其次，一级统一权限对应用信息进统一门户统一门户经法系统PMS2.0营销2.0 统一权限平台访问访问请求认证颁发一次性票据验证票据响应用户信息 图2 单点登录过程统一门户统一门户经法系统协同办公党建系统 统一权限平台统一权限平台申请授权票据携带授权票据以及待跳转应用地址级级联联认认证证证证书书互互信信颁发一次性票据验证票据响应用户信息总部总部网省网省 图3 级联登录过程23SCIENCE&TECHNOLOGY INFORMATION科技资讯信 息 与 智 能 2023 NO.16 S

17、CIENCE&TECHNOLOGY INFORMATION科技资讯行确认，若确认是合法应用，将根据提供的认证地址，向二级统一权限发起授权码验证申请。再次，二级统一权限对请求来源进行互信验证，明确对方来源之后，对其授权码进行验证是否合法有效，确认Authorization Code有效后，响应当前登录用户信息。最后，一级统一权限获取到用户身份信息之后，获取本地的用户身份信息，然后为业务应用生成一次性单点票，并重定向回业务应用。2.2.3 一级业务应用使用登录票完成登录使用ticket完成登录，在此过程中，回到了正常的业务应用与认证的集成流程中。业务应用拿到ticket之后，就可以进行登录操作了。

18、首先，业务应用客户端携带ticket访问后台，请求登录；业务应用后台携带ticket，前往一级部署的统一权限进行身份确认。其次，ticket由一级权限颁发，因此一级业务应用可以直接识别ticket，同时提供本地用户信息。最后，业务应用拿到用户信息，生成自身会话信息，登录成功。3 保障机制3.1 数据一致性保障总部与网省的数据的一致性是完成级联认证的基础，确保用户在两级统一权限进行级联认证时可以通过唯一的身份主键信息确认双方各自身份。依据国家电网信息系统的主要技术路线，在国网目前已集成的信息系统，他们在业务数据持久化上，选择的是关系型数据库，而在对数据源的操作上是通过JDBC5驱动来完成。在企业

19、应用数据一致性的关键技术架构中，有典型如Oracle GodenGate以及类似产品，用以实现各种关系型数据库之间的数据同步，保证数据的一致性，其支持如SQL 5661、032等多种目前市面上常用的数据库之间的数据同步，但是其主要依托于数据库本身数据备份机制去直接实现两边数据内容的一致性，对于开发者是无法感知与干预其同步过程，导致其扩展性有限，该方式多用于系统灾难级备份。根据信息化系统的实际情况，各个系统之间的数据模型设计是不一致的，更多各个系统保留有自身独特的业务，因此通过底层数据同步去完成数据的一致性6，是无法在企业信息化建设中所适用的，在数据同步过程中涉及业务的转换。采用JDBC驱动的对

20、数据的操作，在每一次的完整业务数据处理操作中，程序设计会对整个业务流程进行控制，确保以业务为单位的每次操作都能统一入库或者统一回退。但是在基于JDBC进行原始数据采集时，需要保证数据的一致性与数据同步的时序性问题，具体应对方式如下。3.1.1 提供JDBC代理在当前系统接入之前，国网信息化系统已初具规模，在实际生产逻辑复杂的情况下，要实现两级身份数据的一致性，是非常复杂、繁琐的一个过程，并且如何处理已建系统的数据采集，避免过多的系统改造、业务的侵入，是数据采集需要整体考虑的风险。基于现有实际业务架构的分析与信息化系统的特性，可以JDBC驱动作为切入点，通过监听驱动的增删用户用户二级统一门户二级

21、统一门户一级业务应用一级业务应用二级统一权限二级统一权限一级统一权限一级统一权限通过门户访问一级业务应用申请访问授权码响应用户对应授权码携带授权码/回跳应用地址以及认证地址互信验证授权码验证验证成功响应身份信息获取本地身份信息重定向回业务应用并颁发一次性授权码应用后台携带授权码验证验证授权码并返回用户响应用户信息用户正常显示 图4 级联登录时序图24SCIENCE&TECHNOLOGY INFORMATION科技资讯 2023 NO.16 信 息 与 智 能科技资讯SCIENCE&TECHNOLOGY INFORMATION改操作，来进行数据采集，不仅在现有信息化架构设计的事务性考虑上，满足每

22、次业务操作的原子性，同时能够避免对业务层代码的侵入，保证每次操作的原子性，降低对现有系统业务层的改造带来的业务风险，同时可以保证原始数据采集的业务连贯性与原子性。3.1.2 自动重试与手动处理数据的一致性是在跨多系统的数据同步中最为常见的问题，而在不同的业务需求场景下对数据一致性又区分为强一致性、弱一致性以及最终一致性。在这3个一致性定义中，强一致性缺点很突出，就是会导致系统整体可用性不高，然而弱一致性虽然是系统可用性更高，但因为数据无法保证完整的一致，最显著的情况就是导致强关联业务出现问题，影响正常使用。而基于数据的最终一致性，在满足系统可用性的同时，也能尽最大可能避免业务不一致带来的影响。

23、在系统间数据同步的架构设计中，CAP理论一直是所有厂商在需求解决的问题，然后却一直无法有效解决，只能尽可能避免。因此，更多厂商为提升系统的可用性，大多都采用最终一致性来保证数据的最终一致。为了更好地实现数据的最终一致性，系统架构在设计上多采用消息组件来实现，在满足了系统解耦的同时，依靠消息中间件的高可用也保证了数据不丢失，并且消息中间件的有序消费能够进一步保证数据的一致性。虽然消息中间件在数据最终一致性架构中担任了不可或缺的地位，但其最终也只是为了更好地适应架构，并不能完全解决数据一致性问题。因此，在此基础上，在通过数据同步的过程中，添加更多机制如重复尝试与手工同步操作，更好地利用线上、线下两

24、种方式，来实现达到最终的数据一致性。3.2 安全防护3.2.1 多因子认证元素的充分运用，确保用户凭证信息安全用户的身份验证环节所有业务应用都与统一权限平台进行集成，业务应用只需要接入统一认证，后续的登录过程是基于统一门户认证成功之后，进行授权码申请、登录票据的签发，并再传输用户验证信息。而统一权限主要多因子与国密等方式实现登录认证过程，具有较高的安全性。3.2.2 在级联认证中融合OAuth2.0认证机制通过授权码的申请，授权码与当前登录身份信息进行绑定，让认证过程形成完整闭环。统一权限平台通过两级认证的互信机制对授权码进行核实，确认授权码有效才可进入后续步骤，各个要素环环相扣，形成闭环。3

25、.2.3 级联认证的准入与身份核查双重校验在两级认证服务的架构设计中，引入自身服务之间的互信机制。在省市公司的统一权限的中注册一级统一权限的服务地址，同时导入互信的证书。通信过程中基于互信证书采用HTTPS协议进行通信。在国网总部的统一权限拥有企业的权威身份数据，维护了全国网的数据，网省公司统一权限颁发票据前需要验证当前系统的合法性，同时校验身份信息是否完整，同时颁发的票据为短时间一次有效，避免黑客在网络截包之后，利用原有请求发起攻击，引入防重放机制，避免黑客的重复攻击。总部统一权限在获取到授权码去验证时，携带自身身份信息，网省在验证身份信息之后，再进行下一步授权码验证，实现身份的双重验证，提

26、升级联认证的安全性。4 结语本文所述方案与级联认证在国网实际项目中的应用情况基于OAuth2.0协议，实现了级联认证流程闭环；通过身份的级联编码贯通数据的一致性，通过认证服务自身的互信机制与证书，规避了级联数据被篡改风险。总体在确保级联认证流程的安全基础上，实现了用户无感知的访问统一部署应用与多级部署应用。目前，该企业级联认证设计方案已在国网公司上线应用，支撑了全网多套企业级信息化应用的级联登录认证，运行情况良好。参考文献1 张向阳.基于CAS的统一认证及门户管理在铁路企业的研究与应用D.北京:中国铁道科学研究院,2018.2 黄彬航.跨境数据同步系统设计与实现D.北京:北京交通大学,2021.3 龚欢欢.改进的CAS多Web应用单点登录D.南京:南京大学,2021.4 范文星.基于Oauth2.0协议的跨域互信身份认证研究与应用D.北京:北京交通大学,2019.5 沈冲.基于JDBC数据缓存管理的研究与应用D.北京:北方工业大学,2019.6 纪业.弱数据一致性协议的TLA+描述与验证D.南京:南京大学,2021.25