SSO身份统一认证系统技术实现资料.docVIP

用户身份统一认证系统技术实现方案 本文内容原创，仅供技术交流分享，版权归发布者所有，如需详细技术咨询可发至邮箱 HYPERLINK mailto:hqx@?subject=hqx@ hqx@第  PAGE 12 页 共  NUMPAGES 12 页 用户身份统一认证系统 西安维信软件有限公司 2014年4月22日 目 录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc434678590 一、 认证中心的主要功能：  PAGEREF _Toc434678590 \h 3  HYPERLINK \l _Toc434678591 二、 认证中心的设计要求：  PAGEREF _Toc434678591 \h 3  HYPERLINK \l _Toc434678592 三、 对业务系统的要求：  PAGEREF _Toc434678592 \h 4  HYPERLINK \l _Toc434678593 四、 认证中心的登录  PAGEREF _Toc434678593 \h 4  HYPERLINK \l _Toc434678594 五、 SSO验证实现过程  PAGEREF _Toc434678594 \h 5  HYPERLINK \l _Toc434678595 六、 接口设计  PAGEREF _Toc434678595 \h 7  HYPERLINK \l _Toc434678596 七、 业务系统的集成工作  PAGEREF _Toc434678596 \h 10  认证中心的主要功能： 用户登录认证（平台机构、用户名和密码的校验、数字证书签名校验、实时短信校验） 凭证生成和传递 凭证有效性检查 记录日志、提供审计 关联系统信息的维护 证书的管理和公共服务 认证中心的设计要求： 考虑到凭证的安全性，引入了加密和数字签名技术； 不提供注册功能，而是分别在各自应用进行注册，但提供到各个系统的注册链接； 注销系统时，只需清除认证中心的Session信息即可，其它已经通过认证登录过的业务系统不受影响； 各应用系统的用户信息分别各自管理，综合接入平台提供平台统一机构和统一用户信息的生成和维护功能，并提供平台统一用户和应用系统用户的绑定功能； 认证中心专有凭证模块负责凭证的创建，解析及验证，并对外提供服务接口； 业务系统可根据凭证得到用户的相关信息，比如业务系统用户机构、用户名等信息，认证中心对外提供用户信息获取服务； 提供应用系统管理功能，方便统计登录行为，提供审计和日志功能，方便将其他应用系统经过简单配置，就可加入认证整合系统中，方便证书的注册、注销、查询等； 为了确保认证中心的健壮，系统支持热备份等功能。 对业务系统的要求： 凭证信息的相互传送都是已加密的方式进行传送，即使凭证信息被截取到，也无法解析到凭证信息中的内容，各业务系统只可使用自己的私钥才可以解密凭证信息； 业务系统不可以每次都去认证中心验证，所以可将凭证保存在会话中，即Session的方式； 业务系统不要过于复杂，以方便和现有系统的整合，建议采用过滤器或Servlet方式； 由于业务系统的权限管理机制可能不同，故认证中心不做权限管理，由业务系统自己负责； 业务系统和认证中心的通信采用Web Services 接口服务。 认证中心的登录 业务系统要使用认证中心进行验证操作，第一次需要登录一次认证中心，之后的认证的操作则不需要再次登录认证中心。  当认证中心登录成功之后，用户便可在认证中心的“业务应用列表”当中选择相应的业务系统，进行业务系统的用户登录验证操作。 SSO验证实现过程 当用户要使用认证中心进行业务系统的统一认证时候，分为两种情况： 用户未登录过统一认证系统 此时用户的浏览器界面首先会跳转到认证中心的登录地址，用户输入相关的登录信息（机构号、柜员号、密码、短信效验码等），待验证通过后，则会跳转到认证中心的“业务系统列表”页面； 用户已登录过统一认证系统 如果用户之前已经登录过认证中心，则当前用户的浏览器页面会直接跳转到“业务系统列表”。 当进入到“业务系统列表”之后，用户通过选择相应的业务系统，然后页面会跳转到业务系统中“用于重定向到SSO验证服务认证地址的转发地址”，跳转完成后，业务系统自身会生成一个用于验证本次认证请求的随机码，并携带认证中心所提供的应用编号，向认证中心发起一次用户验证请求（即将页面重定向到认证中心所提供的“用于业务系统请求SSO验证服务的认证地址”）。 当认证中心接收到业务系统发起的用户验证请求后，首先认证中心会从SSO服务