全 文 :第 wu卷 增刊 t
u s s y年 | 月
林 业 科 学
≥≤∞× ≥∂ ∞ ≥≤∞
∂²¯1wu o≥³qt
≥ ³¨qou s s y
数字林业平台中统一身份认证系统的研究
陕 勇 张 旭
k中国林业科学研究院资源信息研究所 北京 tsss|tl
摘 要 } 在综合各相关技术特性的基础上 o分析数字林业平台k⁄ƒ°l的安全特性和身份认证现状 o提出一个适合
⁄ƒ°应用的统一身份认证与用户管理系统k≥l的新型体系结构 ∀在系统的功能实现部分 o主要解决用户状态的
保存 !信息的交换以及统一认证和授权 o同时以 ⁄ƒ°中的两种资源访问情景和 ≥解决方案来阐述 ≥的实现 ∀
关键词 } 数字林业平台 ~统一身份认证系统
中图分类号 }×°vsu1t 文献标识码 } 文章编号 }tsst p zw{{kussyl增 t p ssyu p sy
收稿日期 }ussx p sy p uw ∀
基金项目 }国家 {yv课题/数字林业平台技术研究与应用0kussvus|sysl ∀
Ρεσεαρχη οφ Υνιφιεδ Αυτηεντιχατιον Σψστεµ ον ∆ιγιταλ Φορεστρψ Πλατφορµ
≥«¤± ≠²±ª «¤±ª÷∏
k Ρεσεαρχη Ινστιτυτε οφ Φορεστ ΡεσουρχεσΙνφορµατιον Τεχηνιθυεσo ΧΑΦ Βειϕινγ tsss|tl
Αβστραχτ} ׫¨ ¬§¨±·¬·¼ ¤∏·«¨ ±·¬¦¤·¬²± ¤¶·«¨ ©¬µ¶·³µ²·¨¦·¬²±¬±·«¨ ¬±©²µ°¤·¬²± ¶¤©¨·¼¬¶°²µ¨ ¤±§ °²µ¨ ¬°³²µ·¤±·q׫¨ ¤¥∏¶¨
¬¨¬¶·¶¬± ¤¨¦«¬±§¨ ³¨ ±§¨±·¬§¨±·¬·¼ ¤∏·«¨ ±·¬¦¤·¬²± ²©√¤µ¬²∏¶®¬±§¶²©¤³³¯¬¦¤·¬²± ¶¼¶·¨°¶q ≥¨ ·¬±ª∏³¤ ∏±¬©¬¨§¤∏·«¨ ±·¬¦¤·¬²±
¶¼¶·¨° k≥l oº«¬¦«¦¤±¦²°³¯ ·¨¯¨¼ ∏±¬©¼ ¤∏·«¨ ±·¬¦¤·¬²±o¤∏·«²µ¬·¼¤±§¤§°¬±¬¶·µ¤·¬²±©²µ·«¨ ∏¶¨µ²©·«¨ ¤³³¯¬¦¤·¬²±¶¼¶·¨°¶¬¶
¤±¬°³²µ·¤±·¯¬±®¬±¦²±¶·µ∏¦·¬²±²©¬±©²µ°¤·¬²±¶¨¦∏µ¬·¼¶¼¶·¨° ²©·«¨ §¬ª¬·¤¯ ©²µ¨¶·µ¼ ³¯¤·©²µ° k⁄ƒ°l q
¤¶¨§²±·«¨ ¤±¤¯¼½¬±ª·«¨
¦«¤µ¤¦·¨µ¬¶·¬¦¶²© µ¨¯¨ √¤±··¨¦«±¬´∏¨¶o·«¨ ¶¨¦∏µ¬·¼ ©¨¤·∏µ¨ ²©·«¨ ⁄ƒ° ¤±§¬§¨±·¬·¼ ¤∏·«¨ ±·¬¦¤·¬²± ¦∏µµ¨±·¶¬·∏¤·¬²± º¨ µ¨ ¤¯¶²
¤±¤¯¼¶¨§q׫¬¶³¤³¨µ«¤¶³∏·©²µº¤µ§¤±¨ º2·¼³¨ ¤µ¦«¬·¨¦·∏µ¨ ²©·«¨ ∏±¬©¬¨§¬§¨±·¬·¼¤∏·«¨ ±·¬¦¤·¬²±¶¼¶·¨° º«¬¦«º¤¶¶∏¬·¤¥¯¨©²µ
·«¨ ⁄ƒ°¤±§¶∏¨µ°¤±¤ª¨ °¨ ±·¶¼¶·¨°q·µ¨¤¯¬½¤·¬²±¶¨¦·¬²±o·«¬¶³¤³¨µ°¤¬±¯¼µ¨¶²¯√¨ ¶·«¨ ¦²±¶¨µ√¤·¬²±²©∏¶¨µ¶·¤·∏¶o ¬¨¦«¤±ª¨
²©¬±©²µ°¤·¬²±o¤±§∏±¬©¬¨§¤∏·«¨ ±·¬¦¤·¬²± ¤±§¤∏·«²µ¬½¤·¬²±q ¤¨±º«¬¯¨ o·«¨ µ¨¤¯¬½¤·¬²± ²© ≥ º¤¶¦¯¤µ¬©¬¨§¥¼ ¶¦¨±¨ ¶²©·º²
®¬±§¶²©µ¨¶²∏µ¦¨¶¤¦¦¨¶¶¬±ª¬± ⁄ƒ° ¤±§·«¨ ¶²¯∏·¬²± ²©≥ q
Κεψ ωορδσ} §¬ª¬·¤¯ ©²µ¨¶·µ¼ ³¯¤·©²µ°k⁄ƒ°l ~∏±¬©¬¨§¤∏·«¨ ±·¬¦¤·¬²±¶¼¶·¨°k≥l
随着计算机及其网络技术的广泛应用 o数字林业平台k§¬ª¬·¤¯ ©²µ¨¶·µ¼ ³¯¤·©²µ°o⁄ƒ°l中各个子系统重组后
的平台资源可以是由异地 !异构的多个资源信息子中心通过资源整合和互联而构成的网络资源共享环境和
资源共享服务体系 ∀因此 ⁄ƒ°资源共享环境是为 ⁄ƒ°中其他各子系统提供信息技术支撑 o是 ⁄ƒ°整合 !共
享 !服务在网络层的体现 o同时也为 ⁄ƒ°的运行管理提供技术支持 ∀为实现 ⁄ƒ°资源的整合 o共享环境需要
建设统一的资源管理站点 !用户统一身份认证系统k∏±¬©¬¨§¤∏·«¨ ±·¬¦¤·¬²± ¶¼¶·¨° o≥l !资源安全系统 !数据复
制备份管理系统和运行管理信息系统等 ∀目前 o面对分布式系统的系统安全和用户身份认证问题 o普遍采用
的是分散登录 !分散管理 o各子系统之间由于缺乏良好的通用性 o频繁的身份注册和隐藏的安全隐患成为突
出问题 ∀在众多需要登陆的管理系统中 o最通常的方法是注册通用的用户名和口令 ∀然而 o由于不同系统的
安全机制强弱不同 o一旦用户在某个系统中的注册信息丢失 o则意味着其他系统安全机制丧失k • ²²¯§µ¬ª ετ
αλqot||xl ~若不同系统用不同的身份注册 o则又要记住太多的信息 ∀因此 o在 ⁄ƒ°中 o我们旨在建立一个统
一的 !具有较高安全控制的身份验证系统 o以保证数据安全和用户操作的方便 ∀
t 统一身份认证系统k≥l的设计思想
统一身份认证作为 ⁄ƒ°网络安全解决方案的一个组成部分 o设计时 o一方面要了解现有的系统 o保护现
有的投资 o避免系统做大规模的变动 o因为现有的林业各应用系统是在不同的时间伴随着不同的技术背景而
建立起来的 o有各种互异运行平台和体系结构 o而且也投入了大量的资金及人力物力 ~另一方面 o要让 ≥
有可扩展性和可集成性 o不仅要支持现有的应用 o而且运用于不带身份认证和用户管理的新应用系统中 o且
要具备灵活方便的使用模式k李晏虞等 oussvl ∀
在安全性方面 o由于用户登录方式的多样性 o不同的用户级别和不同的使用方式有不同的应用安全要
求 ∀同时在设计 ≥时要考虑到某些机密应用需求 o故要提供一个可选的安全链接方式 o即凭数字证书来
登录k刘兰娟等 oussvl ∀在性能方面 o由于轻量级目录访问协议k⁄°l服务器的特点和优势 o⁄°目录服
务适合读密集型的数据 o所以 ≥使用⁄°服务器存放 v种数据 }t种是用户的账号信息 o即为用户的个人
基本资料和在其各个应用系统中的信息 ~另 t种数据是用户和服务器的证书 o即为公开密钥基础设施k°l
中的密钥库 ~第 v类信息是统一描述 !发现和集成协议k⁄⁄l数据k贾克斌等 ousssl o考虑到将来的扩展性以
及和其他安全组件的结合 o在目录库中留有 ⁄⁄服务类条目 o一些应用系统需要时采用 • ¥¨方式来发布其
相关的服务时 o可使用已经搭建好的组件 ∀
u 统一身份认证系统的体系结构
从 • ¥¨服务的技术特点可以看到 o利用 • ¥¨服务体系 o可以简单地实现各个系统之间的无缝整合 o其完
好的封装性 !松散耦合 !高度可集成和简单性正是适合于旧系统的整合和新系统的集成k李晨等 oussul ∀
≥把认证这部分功能作为 • ¥¨服务 o而把服务管理 !策略管理和用户管理作为 • ¥¨应用 o应用系统根据自
身的技术方案进行简单的编程 o通过开放的接口访问 • ¥¨服务 o可加入到统一身份认证服务k柴晓路等 o
ussvl ∀按照上面的设计思想 o⁄ƒ°的 ≥体系结构如图 t所示 ∀
图 t ≥体系结构图
ƒ¬ªqt ¨ º2·¼³¨ ¤µ¦«¬·¨¦·∏µ¨ ²© ≥ ¶¼¶·¨°
图 t中 o中间的部分属于系统的组件 o包括接口构件 !核心构件 !后台构件和可选择构件 w部分 ∀接口构
件包括身份认证维护平台 !管理界面普通接口 ∀管理员通过安全套接层k≥≥l链接登录系统 o在管理界面中
对本系统进行业务方面的监控和管理 o除此之外 o系统还提供了普通接口 o供普通用户通过安全认证通道直
接登录并使用服务 ∀由于本系统的一部分功能为公开的 • ¥¨服务 o故浏览器或者第三方开发的应用程序也
vy 增刊 t 陕 勇等 }数字林业平台中统一身份认证系统的研究
可以通过简单对象访问协议k≥°l连接使用 • ¥¨服务k李安逾 oussvl ∀接口构件通过调用核心构件的功能
来完成业务逻辑 ∀核心构件包括账号户管理 !访问管理 !应用系统服务管理和认证服务等模块 o一般是架构
在安全的 • ¥¨服务器上 ∀这在多层结构中属于业务层 o由多种中间件来完成不同的功能 ∀核心层通过目录
接口 !数据库接口等与后台的目录库及数据库连接 ∀后台构件是 ≥的数据中心 o包括运行于 ⁄°服务器
上的 ⁄°目录库和数据库 ∀可选构件包括证书服务器 !副的 ⁄°目录库 ∀证书认证服务是用来构建 °
体系的 o这是适应高安全的应用而设计的k田李等 oussul o副 ⁄°目录库是为备份主 ⁄°目录库的 o还可
以增加辅助的 • ¥¨安全服务器用来同步身份认证服务 ∀
v 统一身份认证系统的实现
从 ≥的设计思想和其体系结构可知 }≥是一个非常复杂的系统 o这既是应用的集成 o又是技术的集
成 o涉及多种技术和多个应用系统 ∀下面首先从技术层面来描述 ≥的实现 o同时以 ⁄ƒ°中的两种资源访
问情景和 ≥解决方案来阐述 ≥的实现 o最后提出了完善的解决方案 ∀
311 实现 ΥΑΣ的关键技术
统一身份认证就是要让所有加入它的应用系统 o不管它是基于浏览器还是客户机 o用户一次登陆就可以
在令牌生命期内持续使用及跨域使用 ∀
v1t1t 用户状态的保存方式 基于 • ¥¨的应用中 o可以使用浏览器的 ≥¨ ¶¶¬²±和 ≤²²¯¬¨来保存用户的认证信
息 o把用户的认证信息和权限信息编码以密文的形式保存在 ≥¨ ¶¶¬²±中并写入 ≤²²®¬¨ 中 o凭此可以确定用户
的状态 ~然而 o⁄ƒ°中的应用系统是多样的 o不仅有基于 • ¥¨方式的 o而且有基于非 • ¥¨方式的 o如邮件系
统 !个人网络存储服务等 ∀解决的办法是在客户端和服务器断分别要有保持已经登陆的用户的在线信息 ∀
v1t1u 认证过程中的消息交换 ≥的认证过程是通过编码用户身份及用户的权限认证相关信息 o加密成
≥≥令牌 o通过安全传输通道来交换认证信息并确认 ∀≥≥认证过程采用改进的 ¨µ¥¨µ²¶认证过程 o系统中
包括 v个角色 }身份服务中心 !应用服务器和客户机 o其中身份服务中心的作用是分配和保存密钥及令牌 o包
括认证服务器 ≥和令牌服务器 ×≥ ∀
v1t1v 统一认证和统一授权 在 ≥中定义了应用程序代码与将要执行业务逻辑的物理实现之间干净的
抽象 ∀这个抽象层不用重新编译现有的应用系统代码就可以作为登录模块的运行时替代 ∀应用程序只是跟
登录内容 °k²ª¬±≤²±·¨¬·°l打交道 o而认证技术实现提供程序k登录模块接口 ²ª¬±²§∏¯ l¨则提供一组动
态配置的登陆模块 ∀在运行时 o²ª¬±≤²±·¨¬·将读取配置文件以确定应使用哪些登录模块对访问特定应用程
序的用户进行认证 ∀
312 以统一身份认证系统为基础的资源访问
在 ⁄ƒ°中 o用户访问资源有 u种方式 }通过统一身份认证框架访问资源 ~直接访问资源站点 ∀ ≥在 u
种访问中都起到了核心作用 ∀
图 u 用户通过 ≥访问资源
ƒ¬ªqu ¦¦¨¶¶¬±ªµ¨¶²∏µ¦¨¶º¬·« ≥ ¥¼ ∏¶¨µ
v1u1t 用户通过统一身份认证框架
访问资源 如图 u所示 o此种情况下 o
用户访问资源的实现流程包括 }tl用
户向 ≥注册 o经 ≥管理员审查批
准后建立用户账户 o并赋予该用户相
应的角色 ∀用户的相关信息存储在
⁄°中 ∀ul用户想访问资源时 o与
≥建立 ××°≥连接 o使用属性值对
k用户 ⁄!密码l向 ≥ 发送登录请
求 ∀vl如果该用户是一个合法用户 o
≥获取并记录该用户的 °地址 o为
该用户生成临时 ⁄k×⁄l并设置有效期间 o≥使用 ×⁄重定向到用户所要访问的资源站点 ∀wl该资源
站点获取该用户的 °地址并与 ≥建立 ××°≥连接 ∀然后用 ×⁄和该用户的 °地址去取回 ⁄°中该用
户的角色 o如果该用户合法 o比较 ×⁄的有效性 ∀xl如果该用户 ×⁄有效 o资源网站把该用户的相关信息存
wy 林 业 科 学 wu卷
储在本地的一个 ¦¤¦«¨ 中 o以备重复登录使用 ∀k根据/角色 p权限0映射规则把此角色映射到一个本地账号
上 o这样该用户就拥有了此本地账号的权限 ∀该工作由资源站点本身完成l ∀yl接受用户的资源访问请求 ∀
图 v 用户直接访问单个资源站点
ƒ¬ªqv ¦¦¨¶¶¬±ª¬±§¬√¬§∏¤¯ µ¨¶²∏µ¦¨¶§¬µ¨¦·¯¼ º¬·«²∏·≥
v1u1u 用户直接访问资源站点 用户直
接访问资源站点并非意味着跳出了 ≥ o
这种情况下 o更能体现出 ≥的价值 o用
户此时可能感觉不到 ≥ 的存在 o但实
际上他的操作都是建立在 ≥之上 o≥
在无形中确保了他的访问安全 ∀如图 v
所示 o此种情况下的用户访问资源的实现
流程包括 }tl用户直接访问资源站点时 o
资源站点检测其传递参数是否有用户临
时 ⁄∀若有则转向第 u步 o否则转向第 v
步 ∀ul根据这些参数信息通过 ××°≥通
道访问 ≥ o以确保用户角色的安全性 ∀ ≥根据用户临时 ⁄和获取的 °地址判断用户是否已经登录 o或
者登录是否在有效期内 ∀如果临时 ⁄和 °地址几经登录且在有效期内返回其对应的用户角色k≥¦«±¨ ¬§¨µo
usssl o同时将相关信息存储到¦¤¦«¨ 中 o转向第 x步 ~如果临时⁄和°地址无效或者登录不在有效期内则让
返回用户重新登录页面 ∀vl用户将进入 ¦²²®¬¨获取页面 ∀将本地访问 ≥登录后存储在 ¦²²®¬¨中的用户临
时 ⁄等信息提取出来 o根据本资源站点的地址改造 ¦²²®¬¨ 为能被本资源站点所接受的 ¦²²®¬¨ ∀然后再根据
这个¦²²®¬¨去访问资源站点 o此时将重复用户直接将临时⁄和°地址发送给资源站点的操作 ∀wl根据上述
¦²²®¬¨去访问资源站点 o资源站点从 ¦²²®¬¨中提取用户临时 ⁄等信息转向第 u步 ∀xl接受用户的资源访问
请求 ∀
313 统一身份认证系统的解决方案
根据数字林业平台应用的特点 o≥共有 w个角色和 y个用例 ∀w个角色即普通用户 ∏¶¨µ!域管理员
°¤±¤ª¨µ!系统管理员 ¤§°¬±¬¶·µ¤·²µ和应用系统Π服务 ∀普通用户使用前 v个用例 ∀系统管理员负责整个系统
的管理和监控 o如统一授权 !访问控制 !账户管理 !应用系统Π服务的注册和删除等 o同时还要对系统进行日志
分析 !状态检测等 ∀而域管理员的权限由系统管理员授权并执行一部分系统管理员的功能 o管辖一个或几个
应用系统 ∀y个用例可以分成 u组 o前 v个即用户注册 !账户关联和身份认证是位于图 t的身份认证组件中 o
这 v个功能作为 • ¥¨¶¨µ√¬¦¨ o后 v个用例即账号管理 !服务注册和访问管理是系统管理的支撑功能 o一般只
是供管理员使用 ∀图 w为统一身份认证系统的用例图 ∀
在设计 ≥时 o考虑到 ⁄ƒ°用户规模可能达到 ts万左右 o因此必须保证系统处理能力的扩展性 o开发
和运行平台为 ¬¦µ²¶²©·公司 ∂¬¶∏¤¯ q∞× ussv o其提供各种组件的透明的分布部署能力 o可以逐步地将系统部
署到服务器上 o以提高系统的处理能力 ∀操作系统采用的是 •¬±§²º¶usss ≥¨ µ√¨ µo是架设服务器的最为稳定的
操作系统之一 o选用的 • ¥¨服务器为 ¬¦µ²¶²©·≥ ∀编程语言采用的是 ≤ f o它结合了 ∂¬¶∏¤¯
¤¶¬¦的高效和 ≤
n n的质朴 o能与 q∞×平台无缝连接 o充分利用 q∞×的先进性 ∀图 x简要介绍了开发 ≥的类和页面 ∀
≥¤∏±¦«¨µ⁄¤·¤中的 ¤¶¶类用语检索指定用户的程序列表 o它还将生成一个新的令牌 o根据给定的令
牌检索用户的标识信息以及删除令牌 o≥ײ®¨ ±类包含从 ¤¶¶类返回令牌所需的属性 o≥¶¨µ ²¯ ¶¨类用
户检索试图登录应用程序的用户的信息 ∀ ≥¤∏±¦«¨µ应用程序中的 ⁄¨©¤∏¯·q¤¶³¬用户检索通过了 ≥身份
验证的 •¬±§²º¶用户 o并返回允许这些用户访问的应用程序的列表 ∀网站 t可看做 ⁄ƒ°中某个应用系统 o其
中 ≥¯ ²ª¬±q¤¶³¬保证只能从应用程序启动器调用此 • ¥¨页类 ~²ª¬±q¤¶³¬是常规的 • ¥¨登录页面 o它要求用
户输入凭据 o并在数据库中检查这些凭据 o以确保是有效用户 o还将创建相应的身份验证票据 o并在用户进入
站点时 o重定向用户请求的页面k王胜顺等 oussul ~⁄¨©¤²∏¯·q¤¶³¬是每个应用系统的主登陆页面 o只有通过了
³³¯²ª¬±或 ²ª¬± • ¥¨页面的身份验证的用户才能浏览此网站 ∀
w 结论
⁄ƒ°是基于网格技术的新一代林业信息平台和基础设施 o⁄ƒ°提供各种服务的发现 !调度 !访问和应用
xy 增刊 t 陕 勇等 }数字林业平台中统一身份认证系统的研究
图 w 统一身份认证系统用例图
ƒ¬ªqw ¶¨ ¦¤¶¨ ²© ≥
图 x 统一身份认证系统的概要类和页面
ƒ¬ªqx ≤¯ ¤¶¶¨¶¤±§³¤ª¨¶²© ≥
环境构造的方法 o实现对广泛分布的计算 !数据 !设备等资源的共享和管理 ∀针对目前身份认证系统的现状 o
基于 ⁄ƒ°对身份认证的需求 o实现 ⁄ƒ°中的统一身份认证具有重要意义 o本文利用 • ¥¨服务和信息安全技
术 o提出了 ⁄ƒ°中 ≥的设计思想 o体系结构 o并简要阐述了其实现 ∀目前 o≥的原型系统已经实现 o并在
数字林业速生林工程信息服务系统 !数字林业森林资源管理应用系统 !数字林业数据交换系统中都得到了初
步应用 ∀
当然 o≥中还有很多需要改进的地方 }本系统使用的令牌为 ⁄类型 o它强制用户回数据库 o以检索
用户的配置文件信息 o以后可以考虑使用基于 • ≥2≥¨ ¦∏µ¬·¼增强标准的令牌加密配置文件信息 ~增强自动添
yy 林 业 科 学 wu卷
加不在系统中的域用户的能力 ~优化用户界面自定义的功能等等 ~这些将是下一步研究的方向 ∀
参 考 文 献
柴晓路 o梁羽奇 qussv1 • ¥¨ ≥¨ µ√¬¦¨¶技术 !架构与应用 q北京 }电子工业出版社 ot p w ot{x p uuy ouzs p uzt ovwy p xtt
贾克斌 o沈 波 o刘俊千 o等 qusss1 校园信息系统中内部安全机制的研究 q北京工业大学学报 ow }vw p v{
李 晨 o张礼平 o杨富平 qussu1 松散耦合分布式计算中的互操作 q微型电脑应用 ot }wv p wy
李安逾 qussv1 • ¥¨ ≥¨ µ√¬¦¨¶技术与实现 q北京 }国防工业出版社 oyw p |y otvv p utz
李晏虞 o赵 政 qussv1 一种基于 °Π°的企业安全构架 q计算机工程与设计 ouwktul }|x p |z
刘兰娟 o张庆华 qussv1 信息安全工程理论与实践 q计算机应用研究 ow }{x p {|
田 李 o林卫明 o鲁汉榕 qussu1 一种新的一次性口令认证方案 q武汉理工大学学报 ox }wu p wz
王胜顺 o金 海 qussu1 • ¥¨ ≥¨ µ√¬¦¨¶身份认证与授权系统的研究与实践 q南昌大学学报 }理科版 ov }tu p ty
≥¦«±¨ ¬§¨µ
qusss1³³¯¬¨§¦µ¼³·²ªµ¤³«¼}³µ²·²¦²¯¶o¤¯ª²µ¬·«°¶o¤±§¶²∏µ¦¨ ¦²§¨ ¬± ≤ q≥ ¦¨²±§∞§¬·¬²±q≤«¬±¤ ¤¦«¬±¨ °µ¨¶¶ot{{ p uts
• ²²¯§µ¬ª¨ o¨±±¬±ª qt||x1±·¨¯ ¬¯ª¨ ±·¤ª¨ ±·¶}·«¨²µ¼ ¤±§³µ¤¦·¬¦¨ q׫¨ ±²º¯ §¨ª¨ ∞±ª¬±¨ µ¨¬±ª √¨¬¨º otskul }ttx p txu
k责任编辑 于静娴 郑槐明 石红青l
zy 增刊 t 陕 勇等 }数字林业平台中统一身份认证系统的研究