石化企业统一身份认证用户管理的认识与设计

2024年6月2日发(作者：)

石化企业统一身份认证用户管理的认识与设计

【摘要】石化企业通过构建统一身份认证系统、主要针对B/S模式的应用系统，支持

不同平台下（JAVA、等）信息系统实现系统用户的统一认证功能，同时也支持

C/S模式信息系统的使用。各信息系统通过调用统一认证接口，实现基于数字证书、基于

本企业AD目录和基于SSO的Token的身份认证。

【关键词】统一身份认证；数字证书；SSO服务

随着信息化应用的迅猛发展，石化企业不断增加基于Internet/Intranet的业务系统，

如LIMS、实时数据库系统、MES系统、ERP系统；各类网上申报系统，网上审批系统，

OA系统等。这些系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可

少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户

群，会带来以下的问题：

（1）如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并

延缓开发进度；

（2）多个身份认证系统会增加整个信息系统的管理工作成本；

（3）用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的

支持费用不断上涨；

（4）无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统

内进行设置，因而造成修改策略的进度可能跟不上策略的变化；

（5）无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求的石化企业，

需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个信息系统的

应用成本。

中国石化用户统一身份管理系统就是为这些应用系统提供集中统一的身份认证，实现

“一点登录、多点漫游、即插即用、应用无关”的目标，方便用户使用。

一、石化企业统一身份认证服务云

1、总部统一认证服务云简介

中国石化用户统一身份管理系统认证服务云采用联邦认证体系进行建设，统一认证服

务云是一个支撑全石化所有应用的集中服务，为确保认证服务云的可靠性和稳定性，认证

服务云部署在多个节点上，包括：总部、区域中心和灾备中心。

在联邦认证体系中，主要组件包括IDP、SP、DS和TS。IDP（identity provider身

份服务提供方）负责提供身份认证和票据签发服务。SP（service provider服务提供方）

作为服务使用端，接收票据并通过IDP验证票据的有效性，完成后转换为应用自己的会话

信息。在各节点中还包括DS（IDP Discovery Service身份服务提供方查找服务），IDP DS

作为SP请求时的第一服务点，会根据用户的认证或SSO请求，判断由统一认证服务云中

的哪个节点来提供认证服务或由哪个IDP来完成对用户已有SSO票据进行验证。通过IDP

DS来帮助应用完成在整个认证服务云中的访问和使用，确保认证服务云中只要有一个节点

可提供服务，就不会中断IDP的服务能力。TS（topologry service拓扑服务）管理整个

统一认证云中各节点的IDP、SP、DS的注册和发布。

其中IDP、DS、TS组件运行在统一认证服务云服务端。SP运行在应用服务器环境中。

身份票据将在标准的安全断言标记语言（SAML）基础上，扩展中国石化SIAM系统

扩展定义的信息，通过扩展信息实现除验证断言外的身份、访问控制信息断言。

2、认证流程

在使用SAML用户认证过程中，统一认证服务云各组件IDP、SP、DS、TS完成用户

身份认证业务流程如图1如示：

应用程序注册在应用程序启动时由SP向TS注册，主要是提供SP注册文件。

用户认证过程如下：

用户访问应用服务程序，请求应用资源。应用服务器检查用户是否经过身份认证，如

会话中没有用户认证结果信息，将控制权交给SP组件。

SP请求DS返回可用的IDP节点信息。

SP根据配置策略，选择一个IDP节点（程序自动选择或用户主动选择），生成身份认

证请求信息（包含应用程序、希望的用户认证方式、签名要求、加密要求等信息），重定向

到IDP节点。

IDP根据要求的认证方式认证用户。

IDP签发身份断言，签名，加密，重定向回应用程序。

SP验证断言，解析出用户身份。返回用户请求的资源。

3、统一登出流程

统一认证服务云支持统一登出功能，用户在一个应用程序提出登出，将登出用户此次

登录后访问过的所有B/S应用程序。

用户在登录后访问过的任一应用系统发出登出指令（如按登出链接）。

SP获得登出消息，根据应用系统配置要求（如登录后返回页面要求等），生成登出请

求，重定向到IDP。

IDP查找用户登录后访问过的应用系统。

依次向用户访问过的应用系统发出登出指令。

根据系统配置要求，返回到指定的页面。

二、企业信息系统统一认证体系结构

由于企业是隶属于中国石化下属的企业，统一认证系统既要兼容总部的规范，又能满

足企业的具体应用。由此本企业的信息系统统一认证、单点登录有三种实现方式：基于数

字证书的统一身份认证、基于AD域目录的统一认证和基于SSO服务器的统一认证方式，

其中SSO服务器支持用户名/口令认证和数字证书身份认证，与各信息系统间采用Token

传递用户身份信息。具体框架如图2所示：

三、主要应用技术

1、基于企业AD目录的身份认证

基于AD域目录的身份认证，和信息系统通常的用户名/口令的身份认证过程相类似，

工作流程如图3所示（AD域目录为该炼油厂AD目录）：

认证过程主要包括以下几个步骤：

用户请求信息系统的服务；信息系统返回登录页面至客户端；

用户在登录页面中填入用户名、口令信息，点击提交（登录）按钮，系统程序将用户

名/口令提交到信息系统服务器端程序；

服务器端程序获得用户身份认证信息数据后，将用户名/口令通过调用AD域目录的的

认证接口（包中t方法），通过AD域目录完成

用户认证信息的校验；

要求信息系统不能通过目录查询接口进行身份认证，必须通过connect接口完成认证。

主要使用接口函数包括：服务器端调用（AD域目录身份认证

t和nect）。

2、基于SSO服务Token的身份认证

基于SSO服务Token的身份认证主要包括以下几个步骤：

用户通过证书或用户名/口令登录SSO服务系统；

点击SSO中的信息系统链接后，跳转至信息系统中。跳转过程中，SSO服务将统一

用户名和用户Token认证数据通过Http Post方法传递各信息系统，各信息系统可使用

Request方法获取（变量名称：统一用户名login_username、用户Token认证数据

login_password）。

信息系统获取统一用户名及Token后，通过调用SSO服务提供的接口，认证用户统

一认证状态，获取统一用户名，完成身份认证过程。

使用SSO服务系统时，各信息系统服务器操作系统时间必须设置为与AD域的时间服

务同步。

主要使用接口函数包括：服务器端调用（验证用户Token的VerifyToken）。

结束语

石化企业统一身份认证主要针对B/S模式的应用系统，实现认证统一认证功能，同时

也支持C/S模式信息系统的使用。通过石化统一身份认证系统的建设，实现基于数字证书、

基于本企业AD目录、和基于SSO的Token的身份认证，为企业信息化规范奠定基础，

必会促进企业信息化的健康发展。

参考文献

[1]王鑫磊.统一安全认证平台的设计与实现[D].北京：北京邮电大学，2007.

[2]郑焕.基于web services统一身份认证系统研究[D].武汉：武汉理工大学，2007.

[3]erl eoriented architecture： concepts， technology， and design[m].

new york：

[4]袁利永，屠雄刚.基于web services实现身份统一认证[J].计算机与数字工程，2005，

33（9）：134-136.