CINMS2.0总体设计之信息层认证/授权系统工作流程
以下介绍四个系统流程:
• 系统整体工作流程:系统几个部分配合工作的整体工作过程
• 发放 GobCookie 流程:用户领取全国身份证 GobCookie 的过程
• 发放 LocCookie 流程:用户领取本地身份证 LocCookie 的过程
• 用户持 LocCookie 访问流程:用户持身份证访问 WWW 过程
系统整体工作流程
利用上述集中式发证,分布式验证的系统,信息层认证系统的大致工作流程如下图:
• 用户到发证中心进行二次登录,申请电子身份证
• 发证中心将用户的登录信息送到 RADIUS 系统中进行认证,并提取用户信息
• 发证中心根据用户身份和信息制作一张电子身份证,发放到用户端
• 用户访问 WWW 时,用户端浏览器自动向 WWW 服务器提交电子身份证
• WWW 验证身份证的真伪,识别用户身份并判断用户是否有权访问,如果有权,则返回 WWW 信息并记录用户访问,供计费和统计使用
发放 GobCookie 流程
用户访问信息层资源,要领取信息源所在省的 LocCookie ,而领取 LocCookie 前,必须首先领取 GobCookie 。
用户 a 初次访问 B 省的一个信息源(无 GobCookie );
B 省信息源( Web Server 或 Proxy Server )发现无电子身份证,自动将用户引导到本省(信息源所在省)省中心的发证中心;
B 省发证中心提示用户进行信息层二次登录;
用户 a 输入用户名和密码;
B 省发证中心将用户名和密码发送到本省中心的认证服务器( Radius Server )请求验证用户身份;
B 省认证中心通过 RADIUS 分布式认证体系,对用户身份进行认证;
B 省认证中心将 RADIUS 的认证结果和用户 a 的访问权限返回给 B 省发证中心;
B 省发证中心依据用户身份和访问权限为用户制作 GobCookie ,发放到用户端。
发放 LocCookie 流程
用户仅仅持有 GobCookie ,并不能访问信息源,还需要领取信息源所在省的 LocCookie 。
用户 a 访问 B 省信息源,客户端浏览器自动携带 GobCookie ;
B 省信息源发现用户未携带本省 LocCookie ,自动将用户引导到本省的发证中心,并转交用户的 GobCookie ;
B 省发证中心收到 GobCookie 后,验证其真实性,根据 GobCookie 为用户制作 LocCookie
B 省发证中心将 LocCookie 发放给用户 a
用户持 LocCookie 访问流程
用户领取到信息源所在省的 LocCookie 后,就可以访问信息源了。
用户 a 访问 B 省信息源,客户端浏览器自动携带 B 省的 LocCookie ;
B 省信息源接收用户端提交的 LocCookie ,分析其中的用户信息(含用户信息层权限),并与自己的信息级别进行比较;
如果用户级别低于信息源级别,信息源拒绝用户访问;
如果用户级别高于信息源级别,信息源将用户要访问的页面返回给用户浏览器,并对用户的本次访问进行计费记录;
E-MAIL 认证 / 授权
定义 :用户访问 E-MAIL 时,系统对用户的身份进行验证。
一般 E-MAIL 系统都有自己的用户管理和认证系统,例如: Send Mail 直接利用 UNIX 的系统用户进行认证,网易的早期产品使用自己的用户数据库进行认证。这些系统都有完整的用户管理和认证功能,但 E-MAIL 系统的用户与 ISP 的用户之间没有直接的联系,用户需要在两个系统中注册两个帐号,非常不方便。
为此,我们开发了与这些 E-MAIL 系统的用户管理和认证的接口,使两个系统共同管理用户、统一认证。但是,由于各种 E-MAIL 系统的用户管理和认证方式都不同,需要为每一种 E-MAIL 系统单独开发一个接口,速度慢、成熟性差。
CINMS 2.0 将支持 LDAP ,对于任何支持 LDAP 的 E-MAIL 系统, CINMS 都可以通过 LDAP 接口为其统一管理用户,用户在两个系统中可以使用同一个帐号。
目前的 E-MAIL 系统一般都支持 LDAP ,例如: Netscape Message Server 、网易 Web Mail 的最新版本、 SUN Internet Mail System 、 Microsoft MCIS Mail 等。
应用层认证 / 授权
定义 :用户访问网上其他应用系统时,系统对用户的身份进行验证、判断用户是否有权访问此应用系统。
应用层认证 / 授权系统结构
由于网上的应用系统种类繁多,有的具有完整的用户管理和认证 / 授权功能,有的没有,使用单一的方法很难将它们统一到一起。因此,应用层的认证 / 授权系统需要具备非常强大的开放性和标准性,将现在繁多的应用系统的认证 / 授权服务统一到单一的平台上,并为将来出现的新应用系统提供统一的认证 / 授权接口,避免每个应用系统开发自己独有的认证 / 授权功能。
CINMS 在设计时充分考虑到了这种认证 / 授权的扩展要求, CINMS 的用户管理支持 LDAP ,只要应用系统也支持 LDAP ,就可以通过标准的 LDAP 到用户管理系统中进行统一的认证 / 授权。目前许多 Internet 应用系统都开始支持 LDAP ,例如: Netscape 公司的 Enterprise Server 和 Messaging Server 等。
同时, CINMS 的应用层认证 / 授权也可以于其他支持 LDAP 的系统互通,提供更广泛的应用层认证 / 授权。例如: Microsoft 公司的 MCIS ( Microsoft Commercial Internet System )是一套以 Membership System (成员资格管理系统)为基础的 Internet 信息服务体系, Membership System 也是支持 LDAP 的管理系统,提供 MCIS 中所有组件的认证 / 授权和集中管理。 CINMS 可以与 Membership System 通过标准的 LDAP 互通,使系统中基于 NT 平台的应用系统也能被统一管理。
系统的可扩展性
LDAP 协议本身就是一个分布式的体系结构,支持将系统的各个部分分布到不同的地理位置和不同的物理主机。这样系统将具有良好的可伸缩性,系统的性能和投资可以随着系统规模的不断扩大而逐步升级。
