CNNIC单点登录功能技术标准.docxVIP

CNNIC单点登录功能技术标准

1.引言

1.1背景与意义

随着中国互联网络的蓬勃发展，各类在线服务日益丰富，用户往往需要记忆多个服务平台的账号和密码，这不仅降低了用户体验，也增加了账号管理的安全风险。单点登录（SingleSign-On,SSO）技术作为一种能够有效解决上述问题的身份认证与授权机制，其重要性日益凸显。中国互联网络信息中心（CNNIC）作为我国互联网基础资源的管理和服务机构，有责任和义务推动SSO技术在国内的规范化应用，保障用户权益，提升服务质量，促进互联网行业的健康发展。本标准旨在为CNNIC及相关合作单位提供SSO功能建设的技术指引，确保系统的安全性、可靠性、易用性和互操作性。

1.2适用范围

本标准规定了CNNIC单点登录系统（以下简称“SSO系统”）的总体技术要求、核心功能、安全机制、用户体验、运维管理等方面的内容。本标准适用于CNNIC主导建设的SSO系统，以及接入该SSO系统的各类服务提供方（ServiceProvider,SP）和身份提供方（IdentityProvider,IdP）的技术实现与对接集成。相关技术开发、测试、运维人员及管理人员应遵循本标准。

1.3规范性引用文件

*[相关国际标准，如OASISSAML,IETFOAuth/OpenIDConnect系列规范]

*[国内相关信息安全标准，如《信息安全技术网络安全等级保护基本要求》等]

2.术语和定义

2.1单点登录（SingleSign-On,SSO）

一种身份认证服务，允许用户使用一组凭证（如用户名和密码）登录一次后，便能访问多个相互信任的应用系统，而无需在每个应用系统中单独登录。

2.2身份提供方（IdentityProvider,IdP）

负责验证用户身份，并向服务提供方提供用户身份断言的实体。在本标准体系中，CNNICSSO系统作为核心IdP。

2.3服务提供方（ServiceProvider,SP）

依赖IdP进行用户身份验证，并为已认证用户提供特定服务的应用系统。

2.4票据（Token）

由IdP生成的，用于证明用户身份已通过认证的结构化数据。常见的票据类型包括SAMLAssertion、JWT(JSONWebToken)等。

2.5会话（Session）

用户登录系统后，在特定时间段内与系统进行交互的状态。SSO系统中存在用户与IdP间的全局会话，以及用户与各SP间的局部会话。

2.6联合身份认证（FederatedIdentityAuthentication）

不同安全域中的IdP和SP之间，基于共同的信任机制和标准协议，实现用户身份信息的共享和跨域认证。

3.总体技术要求

3.1基本原则

3.1.1安全性原则

SSO系统的设计与实现应以保障用户身份信息安全和服务访问安全为首要目标，采用成熟、健壮的安全技术和机制，抵御各类常见的网络攻击。

3.1.2易用性原则

应简化用户的登录操作流程，提供一致、便捷的用户体验，降低用户的认知和操作成本。

3.1.3可靠性原则

系统应具备高可用性和稳定性，确保用户能够稳定、持续地使用SSO服务，关键功能组件应考虑冗余备份。

3.1.4可扩展性原则

系统架构应具备良好的可扩展性，能够支持新增SP的便捷接入，适应用户规模和业务需求的增长。

3.1.5开放性与标准性原则

应优先采用国际通用的、成熟的标准协议（如SAML2.0,OAuth2.0/OpenIDConnect1.0等），确保与不同厂商、不同平台的SP系统能够顺利对接，降低集成复杂度。

3.1.6用户隐私保护原则

严格遵守相关法律法规，规范用户身份信息的收集、存储、传输和使用行为，明确数据处理的目的和范围，保障用户的隐私权。

3.1.7可审计性原则

系统应具备完善的日志记录功能，对关键操作（如用户登录、注销、权限变更等）进行详细记录，确保操作行为可追溯、可审计。

3.2体系架构

SSO系统宜采用分层架构，主要包括接入层、认证授权层、数据层和支撑层。各层之间应保持相对独立，通过标准化接口进行交互。

*接入层：负责接收SP的认证请求和用户的访问请求，进行协议转换和请求分发。

*认证授权层：核心业务逻辑层，负责用户身份验证、会话管理、票据生成与验证、权限判断等。

*数据层：负责存储用户身份信息、认证凭证、会话数据、审计日志等关键数据。

*支撑层：提供安全加密、密钥管理、日志审计、监控告警、配置管理等基础支撑服务。

4.核心功能与流程

4.1用户认证流程

SSO系统应支持基于用户名密码的基本认证，并鼓励支持多因素认证（MFA）以增强安全性。认证流程应符合所选标准协议的规范。典型的认证流程包括：

1.