论文部分内容阅读
【摘 要】由于缺乏统一的技术标准,政府信息化深入发展中经常形成众多应用系统各自独立,数据无法互联互通等问题。本文以检验检疫业务为例,提出采用基于SOA的总体架构,建立检验检疫统一身份认证系统,来实现统一安全认证和统一服务入口。
【关键词】身份认证 单点登录
引言:随着浙江检验检疫局信息化的不断深入和发展,应用系统越来越多,在充分推动检验检疫事业科学发展的同时,也出现了新的问题。各应用大多分散建设,独立运行,每个应用系统都采用了专用的、不同的身份认证技术,系统管理员需要在不同的业务应用系统上配置、维护不同的身份认证方式,维护工作量很大且不能统一管理。用户在使用不同的业务系统时需要记忆、使用不同的口令多次登录,操作繁琐,造成系统使用效率低下。不少系统采用弱安全认证机制,易被截获和分析而造成系统安全隐患;各应用的数据无法互连互通,不能形成统一的一站式服务。因此,为了彻底改变这种现状,建立检验检疫统一身份认证系统,提供统一的身份安全认证机制和统一服务入口。
一、总体架构
浙江检验检疫统一身份认证系统采用J2EE技术架构进行开发部署,整体采用基于SOA(面向服务的架构)的总体架构,是一种高可扩展的多层架构的信息平台,总体结构由数据层、应用支撑层、表现层和标准规范层构建的综合系统。
(一)数据层。提供统一身份认证系统和接入应用系统所需的数据平台,实现与外部接入应用系统的数据集成。
(二)应用支撑层。提供统一认证和统一入口的应用支撑,包括内容发布、统一身份管理和单点登录组件。
(三)表现层。提供统一入口的界面显示管理,包括内容表单、界面导航、栏目、样式等对外显示管理组件。
(四)标准规范层。提供应用系统接入技术接口和技术规范,包括统一认证应用接口、单点登录接口,以及数据整合接口和规范。
二、系统功能
检验检疫统一身份认证系统整体上以门户形式进行展示,主要包括下列功能:
(一)统一服务入口。将整合后的数据、单点登录、统一认证CAS功能入口以门户方式统一对外展示,人机交互的统一服务门户。门户能够实现信息内容集中发布,也可实现内容表单、界面导航、栏目、样式的定义管理和展示。
(二)统一认证系统(CAS)服务。统一认证系统(CAS) 服务实现统一的用户身份认证管理,为整个系统运行提供统一的安全认证平台,支持多种认证方式及认证策略,使得各个应用系统的认证集中在统一认证系统中完成。通过将应用系统注册到统一认证系统管理平台中,实现对应用系统进行统一的资源管理。实施基于角色的访问控制策略,为角色分配可以访问的系统,并实施安全访问控制规则。从而完成用户身份的统一建设与管理,以及用户身份的统一认证。统一认证服务提供的安全认证策略主要包括:静态口令验证、PKI/CA数字证书认证、时间段认证、失败次数认证等。
(三)单点登录。单点登录(SSO)用户单次登录就可访问所有相互信任的应用系统。通过SSO建立与各应用系统用户的对照关系,实现众多系统的单点登录,登录统一平台后,用户即可获得相对应访问统一应用平台和应用系统的授权。
(四)应用系统数据集成。应用系统数据集成是针对接入的应用系统中的数据资源进行聚集、关联、变换和采集,整合形成统一的、有效的数据资源。
三、关键技术
(一)SOA总线数据集成技术。基于SOA的总线技术能显著降低这种集成的复杂性。系统采用统一、标准的Adapter接口技术,通过SOA总线与应用建立相互的连接。这样每增加一个新应用,只需按规范定制一个适配器(Adapter),就可实现与其它系统和应用的数据集成。
(二)Web Services技术。采用Web Services技术,将应用功能或业务过程构造成有相应粒度的服务组件。这些标准的服务组件按照统一的规范接口可以彼此“对话”,并可以在不同的业务流程中被重用。
(三)通用适配器技术。采用通用适配器技术,实现了统一的客户化应用服务接口,支持大多数主流的数据库、消息中间件产品和通信协议,以及通过扩展开发支持非标准的信息连接要求。
(四)CAS技术。CAS系统基于PKI技术提供安全可靠的实体认证服务,可以为用户提供集中、统一的身份认证,同时为通过身份认证的合法用户签发令牌,从而可以实现“单点登录、多点漫游”的功能;支持多种认证方式;另外统一认证系统还提供多种接口,以方便和应用系统的整合。
四、开发设计
系统开发采用JAVA语言、ECLIPSE开发工具和ORACLE 9I 数据库。下面提供了统一认证系统的开发接口示例,此接口支持PKI安全认证,通过接口调用实现用户登录的标识校验和证书相关信息的获取。
(一)loginCheck 用户登录函数
public static final AuthBrokerIF loginCheck(HttpServletRequest request, HttpServletResponse response) throws java.lang.Exception
验证用户登录令牌,如果没有发现令牌,则重定向到门户进行登录, 登录成功后,再重新返回到本接口。
(二)tokenCheck令牌有效性函数
public static final AuthBrokerIF tokenCheck(HttpServletRequest request, HttpServletResponse response)throws java.lang.Exception
验证目前已经登录用户的令牌是否继续有效,当用户重新登录后,前次登录令牌将失效。
五、结束语
通过检验检疫统一身份认证系统的建设,提供统一的身份认证安全管理机制,制定规范、统一的接口标准;以平台化实施集中资源,提供统一服务入口,实现一站式服务,解决多次登录、应用效率低下问题,为解决检验检疫行业信息化中的“应用孤岛”问题提供了借鉴的解决方案。
【关键词】身份认证 单点登录
引言:随着浙江检验检疫局信息化的不断深入和发展,应用系统越来越多,在充分推动检验检疫事业科学发展的同时,也出现了新的问题。各应用大多分散建设,独立运行,每个应用系统都采用了专用的、不同的身份认证技术,系统管理员需要在不同的业务应用系统上配置、维护不同的身份认证方式,维护工作量很大且不能统一管理。用户在使用不同的业务系统时需要记忆、使用不同的口令多次登录,操作繁琐,造成系统使用效率低下。不少系统采用弱安全认证机制,易被截获和分析而造成系统安全隐患;各应用的数据无法互连互通,不能形成统一的一站式服务。因此,为了彻底改变这种现状,建立检验检疫统一身份认证系统,提供统一的身份安全认证机制和统一服务入口。
一、总体架构
浙江检验检疫统一身份认证系统采用J2EE技术架构进行开发部署,整体采用基于SOA(面向服务的架构)的总体架构,是一种高可扩展的多层架构的信息平台,总体结构由数据层、应用支撑层、表现层和标准规范层构建的综合系统。
(一)数据层。提供统一身份认证系统和接入应用系统所需的数据平台,实现与外部接入应用系统的数据集成。
(二)应用支撑层。提供统一认证和统一入口的应用支撑,包括内容发布、统一身份管理和单点登录组件。
(三)表现层。提供统一入口的界面显示管理,包括内容表单、界面导航、栏目、样式等对外显示管理组件。
(四)标准规范层。提供应用系统接入技术接口和技术规范,包括统一认证应用接口、单点登录接口,以及数据整合接口和规范。
二、系统功能
检验检疫统一身份认证系统整体上以门户形式进行展示,主要包括下列功能:
(一)统一服务入口。将整合后的数据、单点登录、统一认证CAS功能入口以门户方式统一对外展示,人机交互的统一服务门户。门户能够实现信息内容集中发布,也可实现内容表单、界面导航、栏目、样式的定义管理和展示。
(二)统一认证系统(CAS)服务。统一认证系统(CAS) 服务实现统一的用户身份认证管理,为整个系统运行提供统一的安全认证平台,支持多种认证方式及认证策略,使得各个应用系统的认证集中在统一认证系统中完成。通过将应用系统注册到统一认证系统管理平台中,实现对应用系统进行统一的资源管理。实施基于角色的访问控制策略,为角色分配可以访问的系统,并实施安全访问控制规则。从而完成用户身份的统一建设与管理,以及用户身份的统一认证。统一认证服务提供的安全认证策略主要包括:静态口令验证、PKI/CA数字证书认证、时间段认证、失败次数认证等。
(三)单点登录。单点登录(SSO)用户单次登录就可访问所有相互信任的应用系统。通过SSO建立与各应用系统用户的对照关系,实现众多系统的单点登录,登录统一平台后,用户即可获得相对应访问统一应用平台和应用系统的授权。
(四)应用系统数据集成。应用系统数据集成是针对接入的应用系统中的数据资源进行聚集、关联、变换和采集,整合形成统一的、有效的数据资源。
三、关键技术
(一)SOA总线数据集成技术。基于SOA的总线技术能显著降低这种集成的复杂性。系统采用统一、标准的Adapter接口技术,通过SOA总线与应用建立相互的连接。这样每增加一个新应用,只需按规范定制一个适配器(Adapter),就可实现与其它系统和应用的数据集成。
(二)Web Services技术。采用Web Services技术,将应用功能或业务过程构造成有相应粒度的服务组件。这些标准的服务组件按照统一的规范接口可以彼此“对话”,并可以在不同的业务流程中被重用。
(三)通用适配器技术。采用通用适配器技术,实现了统一的客户化应用服务接口,支持大多数主流的数据库、消息中间件产品和通信协议,以及通过扩展开发支持非标准的信息连接要求。
(四)CAS技术。CAS系统基于PKI技术提供安全可靠的实体认证服务,可以为用户提供集中、统一的身份认证,同时为通过身份认证的合法用户签发令牌,从而可以实现“单点登录、多点漫游”的功能;支持多种认证方式;另外统一认证系统还提供多种接口,以方便和应用系统的整合。
四、开发设计
系统开发采用JAVA语言、ECLIPSE开发工具和ORACLE 9I 数据库。下面提供了统一认证系统的开发接口示例,此接口支持PKI安全认证,通过接口调用实现用户登录的标识校验和证书相关信息的获取。
(一)loginCheck 用户登录函数
public static final AuthBrokerIF loginCheck(HttpServletRequest request, HttpServletResponse response) throws java.lang.Exception
验证用户登录令牌,如果没有发现令牌,则重定向到门户进行登录, 登录成功后,再重新返回到本接口。
(二)tokenCheck令牌有效性函数
public static final AuthBrokerIF tokenCheck(HttpServletRequest request, HttpServletResponse response)throws java.lang.Exception
验证目前已经登录用户的令牌是否继续有效,当用户重新登录后,前次登录令牌将失效。
五、结束语
通过检验检疫统一身份认证系统的建设,提供统一的身份认证安全管理机制,制定规范、统一的接口标准;以平台化实施集中资源,提供统一服务入口,实现一站式服务,解决多次登录、应用效率低下问题,为解决检验检疫行业信息化中的“应用孤岛”问题提供了借鉴的解决方案。