旅游集团公司统一身份认证系统开发实践

2018-02-22 07:39李江鑫张晓韬刘廷峰周平

网络空间安全 2018年11期

李江鑫，张晓韬，刘廷峰，周平

（四川中电启明星信息技术有限公司，四川成都 610000）

1 引言

随着信息技术的飞速发展，有价值的业务不断被发掘，旅游集团公司不断构建面向不同业务需求的信息系统。与此同时，面临的网络主体身份难以确认，网络资源非授权访问等网络安全问题日益突出，极大地阻碍了企业发展，员工个人隐私、企业信息安全面临着严重的威胁。2 0 1 6 年我国颁布的《网络安全法》中第二十四条提到，“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认”[1]，因此梳理身份认证技术发展现状和趋势，针对旅游集团公司现状构建符合企业实际需求的统一身份认证系统具有重要意义。

2 旅游集团公司统一身份认证系统功能需求

旅游集团公司因其业务特殊性，形成了以旅游文化为主业，旅游地产、旅游金融及相关业务并举的产业格局，在管理上存在人员分布广、流动性强，组织机构变更频繁等特点。随着大量的信息系统被建立和推广， IT系统在几个方面问题变得越来越突出：

（1）各信息系统用户管理彼此孤立；

（2）各系统缺乏账号的全生命周期管理；

（3）账户管理和命名规则不统一；

（4）数据和访问安全无法得到保障。

为了统一公司的用户身份安全管理，实现统一的账户全生命周期管理、统一的访问安全管理、统一的认证、授权及单点登录，提升集团的合规水平与用户体验，提高运维工作效率并降低实体运营成本，需建设统一身份管理平台。

3 旅游集团公司统一身份认证系统设计

3.1 总体架构设计

中国旅游集团有限公司统一身份认证系统采用三层B/S（浏览器/服务器）架构设计，即客户端浏览器层、Web服务层、数据库层，如图1所示。服务器的操作系统环境是CentOS 7，客户端浏览器的品牌种类不限。

图1 系统架构图

系统主要由三个层次构成，展现管理层、服务层、数据存储。展现管理主要负责系统的业务功能、集成功能及审计功能的展现和交互；服务层为展现管理层提供各类服务接口支持；数据存储负责持久化数据的读取与保存。展现管理层与服务层通过HTTP、HTTPS、TCP协议通信，服务层与数据存储通过JDBC、LDAP及SOAP协议进行通信。

3.1.1 展现管理层

由统一认证、身份管理、权限管理、资源管理、审计管理、集成管理、平台展现组件构成。主要负责系统业务管理与服务交互的代理接口、业务功能与用户的页面交互、权限系统与业务应用的集成交互等。

3.1.2 服务层

由核心业务接口、安全控制、缓存管理、事件管理及平台基础组件构成。主要负责提供系统对外的核心业务接口服务，包括资源管理、用户鉴权、资源注册等服务。

3.1.3 数据存储

提供对整个系统的数据持久化，数据存储类型包括数据库、文件和LDAP。

3.2 应用架构设计

将平台分为六大应用模块，分别是接口服务、身份认证模块、权限管理模块、身份管理模块、安全审计模块、数据集成模块；平台通过这六大服务模块实现企业身份对象、身份认证、权限与安全审计的统一与整体管控，系统应用架构如图2所示。

3.2.1 接口服务模块

接口服务是平台面向企业应用系统或设备开放的远程业务接口，企业应用系统通过调用此远程服务接口来获得平台的相关业务支持。按平台业务分类将接口分为认证接口、会话接口、权限接口、审计接口四个类型。认证接口主要提供身份认证和鉴别等业务；会话接口提供会话查询、注销等相关业务；权限接口主要提供身份权限查询和鉴别方面的业务；审计接口则提供审计日志写入与查询方面的业务。

图2 系统应用架构

3.2.2 身份认证模块

身份认证服务主要处理身份有效性验证逻辑，提供多样的、灵活的身份认证方式和策略，满足不同级别的身份鉴别要求。除此之外，还支持与外部的第三方认证源的集成，例如目录服务、CA认证服务等，实现分发认证，形成强大的联盟认证机制。身份认证服务在整个企业信息化架构中扮演着身份鉴别中心的重要角色，因此身份认证服务也称“统一认证服务”。

3.2.3 权限管理模块

权限管理服务是平台实现权限控制的最主要的业务，实现授权实体管理和授权过程管理，实体管理包括角色管理和资源管理；授权过程管理主要实现身份权限授予，权限委托、归并

和回收等。

3.2.4 身份管理模块

身份管理实现对多种身份实体的定义和管理，涵盖企业行政组织、人员、岗位等数据管理维护的过程，具体体现在用户、账号、口令、组织机构等业务域。

3.2.5 安全审计模块

安全审计服务的应用目标是收集企业信息架构中应用系统、中间件服务、第三方设备以及权限平台本身的用户行为日志，为审计人员提供信息安全审计基础数据。通过提供审计信息检索、多样的定制性审计分析以及报表展示来辅助审计人员实现对企业信息安全的监管。

3.2.6 数据集成模块

数据集成服务负责平台与外部系统或数据源间的数据交互。交互方法典型地包括数据推送、数据抽取、数据接口等，并且在交互过程中记录交互日志，确保交互数据的可追溯。通过此服务打通平台核心业务与外部应用的数据共享，确保用户身份权限在企业内部的整体一致性。

3.3 逻辑架构设计

整个平台由若干个服务模块(逻辑单元)构成，通过各个服务或模块间的相互协作来支撑客户需求。按应用逻辑划分，平台由六大逻辑单元构成，包括平台基础服务、平台业务服务、平台管理服务、平台接口服务、运行监控服务、数据集成服务，如图3所示。

图3 逻辑架构图

3.3.1 平台基础服务

平台基础服务主要为整个平台提供基础支撑，它主要由一系列的第三方服务或中间件构成，例如消息服务、缓存服务、配置服务、存储服务等；平台的上层应用功能均通过利用这些基础服务来达成。

3.3.2 平台业务服务

平台业务服务是平台系统的业务核心，包括身份管理、认证管理、权限管理与审计管理。该服务是实现产品具体业务逻辑的企业级组件，从技术架构上它依赖于平台基础服务完成业务数据的管理与存储；另一方面，平台业务服务对外开放远程接口，供前端应用或其它企业应用调用。业务服务中的几大模块对于客户实施来说是可选的，客户可以根据自身情况选择所需部署的业务模块。

3.3.3 运行监控服务

运行监控服务在逻辑上是划分到平台基础服务范围内，但从应用架构上其是一个可独立运行的模块。它主要收集平台各方面的运行状态，向管理员提供平台环境健康报告和预警。监控服务也对外发布接口，可供上层或前端应用调用；运行监控服务也是客户可选模块。

3.3.4 平台管理服务

平台管理服务即平台产品管理端应用。向管理员和用户提供平台业务与系统的管理主界面，此管理服务是平台客户的必选服务。

3.3.5 平台接口服务

平台接口服务是向外部应用开放权限查询的接口；所有的权限查询相关的业务都由此服务代理，目的是提供一个支撑高性能、大并发的权限查询服务。

3.3.6 数据集成服务

4 旅游集团公司统一身份认证系统关键技术

旅游集团公司统一身份认证系统需要与多个异构系统完成集成，实现数据同步，需要设计一个满足异构系统的数据同步机制。同时，因统一身份认证系统作为集团认证中心，对系统运行稳定性具有极高的要求，面临较大的运行风险，通过采用分布式缓存结合热点数据监控技术，可有效提升系统稳定性[2]。

4.1 异构系统数据同步技术

旅游集团公司统一身份认证平台在运业务系统多且身份权限独立建设，导致身份权限数据结构和授权方式存在较大的差异性，采用传统的分发方式数据量大，不仅占用网络资源，目标系统还会收到大量冗余信息，导致在数据解析上消耗性能。

图4 同步策略图

本系统通过建立一种基于消息和分发策略的数据同步方式，首先建立一套数据传输规范，规定了数据分发格式，明确了字段意义；同时在平台管理端，为各个注册到管理平台的业务提供分发策略配置界面，各个系统根据集成方案配置各自的分发策略。管理端的权限管理操作会以消息形式发送至同步适配器端，适配器分析消息并依照对应系统的分发策略，将其需要的数据准确投送至目标系统[3]。

本系统作为业务系统的鉴权中心，因此每日要承载上亿次鉴权服务，性能压力巨大，且一旦服务意外中止，将影响所有相关业务系统的正常访问。该同步模式满足了对不同权限模型业务系统间在数据同步可靠性和稳定性的需求，以最小的代价实现了对在运业务系统的权限集中管控。

4.2 前置鉴权节点技术

为有效支撑鉴权服务稳定性，本系统采用鉴权节点前置技术，通过将鉴权和查询计算放到前置节点来均衡访问压力。同时，通过与分布式缓存集成，建立起了由远程缓存、接口服务和前置节点文件缓存组成的三重服务保障，结合消息服务，实现当管理端权限变更时，各级缓存同步更新，有效提升了服务的稳定性。

图5 鉴权节点前置技术示意

图6 热点数据监控技术

4.3 热点数据监控技术

为了提高缓存命中，使鉴权前置节点效能最大化，本系统利用热点数据监控，通过计算并生成热点数据表并设定其范围，使热点数据在缓存中被持久化，以应对高频率的访问，同时及时清理非热点数据缓存释放内存。随着访问的进行，热点表里的数据也随之变化，并根据热点表记录动态地更新缓存中持久化的热点数据。热点数据监控极大地提高了缓存命中率，使鉴权前置节点效能最大化。该套前置鉴权节点体系的建立，有效解决了集中鉴权服务所面对的大数据、大并发问题，提升了系统服务的稳定性[4]。

5 结束语

本文提出了一种适用于多应用架构模式的统一身份认证建设思路，满足当前所有不同应用架构系统的统一身份认证问题，保证了各业务集成系统的松散耦合。在此基础上，给出了统一身份认证平台的设计模型。该模型能很好地解决企业内部的Web应用系统的集中管理和集中认证授权的问题，具有良好的应用价值。