SSO身份统一认证系统技术实现.doc

用户身份统一认证系统 西安维信软件有限公司 2014年4月22日 目 录 一、 认证中心的主要功能： 3 二、 认证中心的设计要求： 3 三、 对业务系统的要求： 4 四、 认证中心的登录 4 五、 SSO验证实现过程 5 六、 接口设计 7 七、 业务系统的集成工作 10 认证中心的主要功能： 用户登录认证（平台机构、用户名和密码的校验、数字证书签名校验、实时短信校验） 凭证生成和传递 凭证有效性检查 记录日志、提供审计 关联系统信息的维护 证书的管理和公共服务 认证中心的设计要求： 考虑到凭证的安全性，引入了加密和数字签名技术； 不提供注册功能，而是分别在各自应用进行注册，但提供到各个系统的注册链接； 注销系统时，只需清除认证中心的Session信息即可，其它已经通过认证登录过的业务系统不受影响； 各应用系统的用户信息分别各自管理，综合接入平台提供平台统一机构和统一用户信息的生成和维护功能，并提供平台统一用户和应用系统用户的绑定功能； 认证中心专有凭证模块负责凭证的创建，解析及验证，并对外提供服务接口； 业务系统可根据凭证得到用户的相关信息，比如业务系统用户机构、用户名等信息，认证中心对外提供用户信息获取服务； 提供应用系统管理功能，方便统计登录行为，提供审计和日志功能，方便将其他应用系统经过简单配置，就可加入认证整合系统中，方便证书的注册、注销、查询等； 为了确保认证中心的健壮，系统支持热备份等功能。 对业务系统的要求： 凭证信息的相互传送都是已加密的方式进行传送，即使凭证信息被截取到，也无法解析到凭证信息中的内容，各业务系统只可使用自己的私钥才可以解密凭证信息； 业务系统不可以每次都去认证中心验证，所以可将凭证保存在会话中，即Session的方式； 业务系统不要过于复杂，以方便和现有系统的整合，建议采用过滤器或Servlet方式； 由于业务系统的权限管理机制可能不同，故认证中心不做权限管理，由业务系统自己负责； 业务系统和认证中心的通信采用Web Services 接口服务。 认证中心的登录 业务系统要使用认证中心进行验证操作，第一次需要登录一次认证中心，之后的认证的操作则不需要再次登录认证中心。 当认证中心登录成功之后，用户便可在认证中心的“业务应用列表”当中选择相应的业务系统，进行业务系统的用户登录验证操作。 SSO验证实现过程 当用户要使用认证中心进行业务系统的统一认证时候，分为两种情况： 用户未登录过统一认证系统 此时用户的浏览器界面首先会跳转到认证中心的登录地址，用户输入相关的登录信息（机构号、柜员号、密码、短信效验码等），待验证通过后，则会跳转到认证中心的“业务系统列表”页面； 用户已登录过统一认证系统 如果用户之前已经登录过认证中心，则当前用户的浏览器页面会直接跳转到“业务系统列表”。 当进入到“业务系统列表”之后，用户通过选择相应的业务系统，然后页面会跳转到业务系统中“用于重定向到SSO验证服务认证地址的转发地址”，跳转完成后，业务系统自身会生成一个用于验证本次认证请求的随机码，并携带认证中心所提供的应用编号，向认证中心发起一次用户验证请求（即将页面重定向到认证中心所提供的“用于业务系统请求SSO验证服务的认证地址”）。 当认证中心接收到业务系统发起的用户验证请求后，首先认证中心会从SSO服务端的Session中获取到当前所登录用户的用户信息，然后再从业务系统的请求当中接收到由业务系统所发送的随机码和应用编号，根据认证中心登陆的用户编号，业务系统的应用编号，从数据库查询到业务系统所需要的映射用户信息。然后再将业务系统所发送的随机码等信息通过相关加密方式生成一个用于本次业务系统登录认证的凭证信息，返还给业务系统。 业务系统通过回调地址接收到认证中心所返回的凭证信息，然后对其的可用性进行检测（验签、随机码比对、凭证可用性效验等）。如果当前凭证信息正确无误且可用，则对其进行解密。随后业务系统根据自己的需求，从凭证信息中获取到相应的用户信息，加载自己系统的用户权限、菜单等信息，跳转到业务系统自身的系统界面，即完成了一次SSO登录验证过程。 接口设计 凭证的设计（算法、结构） 凭证采用RAS非对称密码算法，服务端采用电子信封和数字签名生成一个用于业务系统登录验证的凭证信息； 凭证的数据采用JSON格式存储，结构包括： 当验证成功后，返回响应码(00)和验证通过的用户信息凭证，如： 响应码{user:[brhId:用户机构编号,userId:用户编号,caSerialId:CA证书序列号],ssoUseId:”SSO用户编号”,tokenMark:凭证唯一标识,clientMark:业务系统所生成的随机码,sign