统一认证与单点登录解决方案(详细介绍了统一认证和单点登录).pdfVIP

统一用户认证和单点登录解决方案

本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基

于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系

统时所遇到的重复登录问题。

随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒

体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、

财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统

等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系

统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来

了不少麻烦。特别是随着系统的增多，出错的可能性就会增加，受到非法截获和

破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、

单点登录等概念应运而生，同时不断地被应用到企业应用系统中。

1统一用户管理的基本原理

一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、

命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息

同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。

例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中

都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一

系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做

出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外，还要保证

数据的完整性，因而同步用户的程序可能会非常复杂。

解决用户同步问题的根本办法是建立统一用户管理系统（UUMS）。UUMS

统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS

完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。UUMS应

具备以下基本功能：

1．用户信息规范命名、统一存储，用户ID全局惟一。用户ID犹如身份证，

区分和标识了不同的个体。

2．UUMS向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等

属性，各应用系统可以选择本系统所需要的部分或全部属性。

3．应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处

理。

4．应用系统保留用户管理功能，如用户分组、用户授权等功能。

5．UUMS应具有完善的日志功能，详细记录各应用系统对UUMS的操作。

统一用户认证是以UUMS为基础，对所有应用系统提供统一的认证方式和

认证策略，以识别用户身份的合法性。统一用户认证应支持以下几种认证方式：

1.匿名认证方式:用户不需要任何认证，可以匿名的方式登录系统。

2.用户名/密码认证:这是最基本的认证方式。

3.PKI/CA数字证书认证:通过数字证书的方式认证用户的身份。

4.IP地址认证:用户只能从指定的IP地址或者IP地址段访问系统。

5.时间段认证:用户只能在某个指定的时间段访问系统。

6.访问次数认证:累计用户的访问次数，使用户的访问次数在一定的数值范

围之内。

以上认证方式应采用模块化设计，管理员可灵活地进行装载和卸载，同时还

可按照用户的要求方便地扩展新的认证模块。

认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。管理

员可以根据认证策略对认证方式进行增、删或组合，以满足各种认证的要求。比

如，某集团用户多人共用一个账户，用户通过用户名密码访问系统，访问必须限

制在某个IP地址段上。该认证策略可表示为:用户名/密码“与”IP地址认证。

PKI/CA数字证书认证虽不常用，但却很有用，通常应用在安全级别要求较

高的环境中。PKI（PublicKeyInfrastructure）即公钥基础设施是利用公钥理论和

数字证书来确保系统信息安全的一种体系。

在公钥体制中，密钥成对生成，每对密钥由一个公钥和一个私钥组成，公钥

公布于众，私钥为所用者私有。发送者利用接收者的公钥发送信息，称为数字加

密，接收者利用自己的私钥解密;发送者利用自己的私钥发送信息，称为数字签

名，接收者利用发送者的公钥解密。PKI通过使用数字加密和数字签名技术，保

证了数据在传输过程中的机密性（不被非法授权者偷看）、完整性（不能被非