罗 云

（云南云电信息通信股份有限公司，云南 昆明 650100）

0 引言

云南中烟经过多年的信息化建设，已建成多个较为成熟的业务应用系统。同时，由于公司内信息系统越来越多，这些系统建设时期不同，开发商来源不一，因业务需要，想要得到一组数据往往要反复多次并且进入不同的业务系统，而每一个业务系统都需要用户输入对应的系统用户名+口令或者进行相关的认证后才能登录，增加了日常工作业务操作的复杂性。为了提炼公司业务操作流程，增加人员的工作响应效率，公司在OA门户系统中搭建了一套涵盖部分应用系统的单点登录平台，为解决单点登录进入多个系统带来了便捷，但未从根本上解决统一账号密码的管理问题、安全身份认证问题以及对应用系统的管理问题，还存在以下问题尚待解决：

1）单点登录平台的登录认证采用“用户名/密码”方式，安全级别较低，出现用户名/密码被盗用的情况会让其他业务系统直接暴露在恶意攻击者面前，将给公司造成极大损失。

2）单点登录平台与公司数十个应用系统对接时采用密码代填的方式，但各系统的用户信息和账号管理仍由各系统自己管理，无法实现统一管理。

3）通过员工登录各应用系统的日志记录，可以很好的分析员工办公和各应用系统的使用情况，目前公司内各应用系统采用独立部署、运行的方式，日志记录也是各自存储于本地，不利于统计和管理。

1 相关技术简介

1.1 PKI体系

PKI是“Public Key Infrastructure”的缩写，意思是“公钥基础设施”。总之，PKI技术就是围绕公钥理论和技术整合建立一个基础设施，用以输出信息安全服务。该系统根据统一的定性定量安全认证标准和规范提供身份认证。一个PKI体系一般可拆解为数字证书认证中心CA子系统、用于支撑数据审核的注册中心RA子系统以及密钥管理中心KMC子系统等一些关键组成模块。

CA证书系统的主要功能职责是围绕用户或者设备的数字证书管理，保障CA公钥证书的使用时有效而且合法；实现数字认证CA证书公开发布，聚焦CA证书的生命周期，渗透关键操作节点记录，布局全流程的审计复盘。

1.2 统一身份认证

对企业和组织内部的用户采用各种身份认证方式，包括数字证书、动态口令、LDAP认证、Radius认证等，提供强身份认证的方式，并拉通各应用系统的身份认证服务。提供一个统一的身份认证源，建立集中的身份管理平台。一次登录认证后，即可实现权限生态体系内各个系统的访问无缝链接，无须再次输入原有系统的账号和口令。

2 身份认证体系设计

PKI、统一身份认证系统和权限认证系统，包括以下部分：CA数字证书系统、移动安全认证子系统、统一身份认证与授权子系统、基于CAS协议或OAuth2.0协议的身份认证子模块、系统各种日志安全审计子模块。采用成熟的认证技术，确保商业系统的安全性和可靠性。建立统一用户管理、授权管理和身份认证，采用静态“用户名+密码”、扫描二维码登录、指纹USB Key认证等方式，进行分级的用户权限赋能与整合身份认证体系，撬动业务系统的安全性和用户使用的方便性，以烟草公司大部分应用的集中认证为抓手，聚合各种信息系统内用户体系，打通用户在体系内系统认证闭环。

图1 身份认证体系

2.1 建设目标

本次系统建设的目标为：基于同一维度的技术矩阵、标准与环境，充分利用现有的CA体系与统一身份认证系统等对云南中烟的应用系统进行全面整合，并用科学规范的方法论，以这些系统的用户和资源为组合拳，进行整合和集成。最终实现从系统登录、身份认证、用户管理、访问入口、系统授权、访问审计等方面，结合差异化的用户信息，实现结构化的统一集中和共享，促进各类系统之间用户资源共享统一，为进一步拉通与其他业务数据，资源串联管理，应用软件落地奠定坚实基础。

2.2 搭建统一认证基础平台

基于CA系统、统一认证系统、移动安全认证系统等基础模板实现统一身份认证服务、统一用户身份管理服务、统一用户权限授权服务、统一用户登录门户服务等，逐步完善平台功能。

2.3 集中用户身份认证功能方式

在公司内多应用系统环境下，基于统一认证系统实现统一用户登录认证功能。在通过CAS或OAuth2.0深度集成后，应用系统的登录认证功能将由统一认证系统完成。用户登录认证过程中使用指纹USBkey内数字证书进行认证用户身份，或通过移动端App扫码登录、手机短信快捷登录、静态口令等认证方式。由统一身份认证系统管理用户基本信息，提高应用系统的数据安全性。在此场景下，统一认证系统提供统一的接口标准用于集成，简化后期系统接入与运维工作。

2.4 指纹USB key登录认证

在用户登录认证时，采用存储有个人数字证书的USBKey登录到统一认证系统门户。用户数字证书与统一认证内用户信息一一对应绑定。在登录统一认证门户系统的同时，需要输入用户的USBKey设置的PIN码或验证指纹。以前的简单静态用户名+密码的方式变更为USBKey+指纹信息的高强度身份认证方式，确保登录用户的安全性与合法性。

2.5 证书扫码登录认证

通过移动安全认证平台结合CA系统，实现App移动客户端的数字证书下载。移动客户端采用秘密分享技术、终端无密钥存储技术和多方协同安全计算技术进行构建设计。移动终端扫描统一认证门户系统二维码，扫码后对登录二维码内容解析，并使用移动终端内数字证书进行签名，提交服务器进行登录。

3 系统应用中的安全设计

3.1 传输安全

作为企业内部门户系统与基础身份认证平台，统一认证系统的安全性非常重要。统一认证门户采用SSL协议发布，通过数字证书实现加密信息的传递，保证了信息的保密性和完整性。

3.2 数据安全

统一认证系统内较为重要的用户数据信息，如密码、用户身份证号码等，均采用相关国密算法进行数据加密。在扫码登录、USBKey登录中，均采用数字签名验签技术进行抗抵赖与可信性验证。

3.3 审计安全

基于SSL网关设备与统一认证系统内部日志审计模块，联合审计用户认证至注销全流程操作行为。统一认证系统提供日志记录功能，包括登录时间、登录用户身份、单点登录系统单点登录业务系统时间、在线时长、客户机IP地址等。

4 结语

统一身份认证管理平台的设计是以公司或者机构信息系统数字资源的集成为基础，搭建日常管理与业务聚焦的开放性、协同运行的支撑生态，为相关人员提供完善的短平快业务服务支持，为公司提供具有价值转换的身份认证服务支撑平台。具有如下意义：

1）从用户角度来看，统一身份认证安全管理平台解决了他们记忆多种系统的用户名、复杂密码以及定期修改密码的烦琐操作问题，减少使用多个应用系统就要进行多次登录身份认证的重复劳动。

2）从系统管理员角度来看，统一身份认证安全管理平台可使他们从繁杂的账号、密码、用户信息等琐碎管理工作中解脱出来，不必每天为解答各种用户重置密码、找回密码的问题而苦恼，使IT人员更好地发挥作用。

3）从应用系统生产商角度来看，统一身份认证安全管理平台使他们不必再为身份认证的需求，重复开发各种方式如CA登录、扫码登录、指纹识别登录等功能，把更多精力投入到具体业务中。

4）从公司管理角度来看，统一身份认证安全管理平台一定程度提高了效率，减少了管理成本，又增强了业务信息系统的安全性。同时，平台提供了强大的用户管理和日志审计等功能可使信息管理部门和公司领导随时了解内部用户办公使用情况，合理优化公司组织架构等。