统一身份认证系统技术研究

统一身份认证系统技术研究

一、背景

目前公司产品中的各个子系统正在从原来高耦合的整合系统模式向现在的高内聚低耦合的系统模式发展，例如：现在的LIS、PACS、移动医疗、电子病历已经能够从原来的HIS系统中分离出来独立运行。另外，与第三方系统的互联互通的需求也愈来愈多。各个系统之间的低耦合使得系统的访问控制和信息安全问题愈见突出，原来整合系统的统一的认证、授权、账号管理模式被各个系统的分立的状况打破，特别是对于外部系统的互联互通，原来的模式更是走不通。另外,目前所采用的数据库内部认证和授权方式以及通过调用接口或者WebService接口，虽然是一种有效地补充，但是仍然存在效率和规范的问题。

因此，构建一个完整统一、高效稳定、安全可靠的统一身份认证和管理平台已经成为目前产品体系下的一种需要。

二、统一身份认证系统的功能、规范与技术要求

统一身份认证系统的最基本功能要求就是对于各个系统间的用户进行统一管理，让用户使用系统时更加方便，无需反复登录系统。统一身份认证系统应从功能方面满足以下要求：

1、用户只需在统一身份认证系统中登陆一次后，就可以使用基于统一身

份认证系统认证的所有系统，无需再记忆多套用户名和密码。

2、管理员可以对所有系统的用户进行统一管理，可以对用户的权限进行

统一分配。实现系统的分布式应用，集中式的管理。

3、统一身份认证系统下的各个业务系统之间，用户数据必须保持一致性。

用户数据必须同步更新。

统一身份认证平台应满足4A安全管理框架规范，4A框架的内容为

身份认证（Authentication）

身份认证是信息安全的第一道防线，用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。身份认证的方式可以有多种，包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。

●账号管理（Account）

账号管理是将自然人与其拥有的所有系统账号关联，集中进行管理，包括按照密码策略自动更改密码，不同系统间的账号同步等。

●授权（Authorization）

授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术，实现不同用户对系统不同部分资源的访问

●安全审计（Audit）

审计是指收集、记录用户对支撑系统资源的使用情况，以便于统计用户对网络资源的访问情况，并且在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络资源造成的安全危害。

统一身份认证系统从技术上应满足以下要求：

●技术先进：统一身份认证系统采用的技术实现方案应与主流规范同步。

●跨平台：统一身份认证系统应可为多种操作系统和多种应用系统构架的各类

应用程序提供身份认证服务。

●灵活部署模式：统一身份认证系统应能够部署在一台或多台服务器中。同时

为了提供优异的性能和高可用性，系统部署应能够实现双机或多机负载均衡。

●性能：统一身份认证系统应可支持万级的用户容量，可以在为数百个应用提

供统一身份认证服务的同时保证亚秒级的认证操作时间。

三、统一身份认证系统技术初步

统一身份认证系统应符合以下技术特点：

1、支持SAML的身份认证实和SSO

安全性断言标记语言（Secure Assertion Markup Language，简称SAML）把S2ML 和AuthML规范结合在一起，是OASIS发布的一个复杂规范。顾名思义，SAML 是一种标记安全断言的XML扩展，它提供了一种封装验证、授权等安全信息的形式，已经被用来解决SSO（单点登陆）和Web服务安全等重要问题。

SAML具有以下优点

●平台无关性——SAML的设计屏蔽了任何平台架构的特殊性。

●松耦合性——SAML不需要用户信息的同步更新等复杂的实现。

●便捷性——终端用户只需登陆一次即可访问所有服务（即SSO）。

●管理方便性——服务提供商对用户的管理将更加方便。

●减少风险——服务提供商可以将验证的工作交给身份验证服务提供商。

统一身份认证系统实现统一身份认证和单点登录均遵从SAML规范，能够支持实现SAML规范的其他应用。

单点登录（Single Sign On，SSO），SSO有以下好处：

1)更优的管理控制

2)更高的用户工作效率

3)更高的网络安全性

4)异构网络的合并

2、管理身份会话

支持对身份认证会话的查找和删除，同时实现了对会话的配额限制功能，允许管理员设置“活动用户会话”属性，以限制允许某个用户拥有的最大并发会话数。管理员可在全局级别上为所有用户设置会话配额限制，或为某个实体（如组织、领域、角色或用户）设置仅应用于一个或多个特定用户的会话配额限制。

3、符合LDAP v3版本标准

LDAP(Lightweight Directory Access Protocol)是一种基于计算模型的客户机/服务器X.500目录服务访问协议。LDAP是从X.500目录访问协议的基础上发展过来的，它是对X.500的简化。

LDAP协议的版本目前是3.0，绝大部分目录服务器均支持这一版本的LDAP 协议。LDAP v3版本使用面向所有文本字符串属性的UTF-8，以便支持扩展的字符集，同时支持更强大的schema规范并且发布所有的schema。

四、统一身份认证系统架构

1、统一身份认证系统架构图

统一身份认证系统架构图如下：

2、统一身份认证系统工作流程

当一个用户或者应用需要访问某个系统中的资源时，部署在被访问系统的授权服务截获当前的请求，检查访问者能否访问该项资源，如果访问者还没有登录，则会重定向到统一身份认证系统的认证界面上，通过认证后在返回要访问的服务器。授权服务检查存放在统一身份认证系统中的当前的资源的访问策略，判断当前的用户能否访问，如果能访问，则通过，否则显示拒绝服务界面。