1統(tǒng)一用戶管理平臺軟件開發(fā)

1.1實現(xiàn)目標(biāo)

統(tǒng)一用戶管理平臺是為各個渠道接觸系統(tǒng)提供統(tǒng)一入口，實現(xiàn)企業(yè)基礎(chǔ)庫的用戶管理、權(quán)限管理和身份認(rèn)證服務(wù)。把功能組件和服務(wù)化，并制定相應(yīng)的合用規(guī)范、標(biāo)準(zhǔn)和指引，在此基礎(chǔ)上實現(xiàn)各應(yīng)用領(lǐng)域之間的互信雙向單點登陸功能，主要目標(biāo)有：

在東莞地鐵信息化平臺內(nèi)，統(tǒng)一為各業(yè)務(wù)系統(tǒng)提供身份認(rèn)證服務(wù)。

整合多業(yè)務(wù)系統(tǒng)認(rèn)證功能，包括現(xiàn)有系統(tǒng)如OA、ERP、HR等
遵循集中認(rèn)證、分散鑒權(quán)的原則，認(rèn)證后代表的身份及身份對應(yīng)的權(quán)限遵循現(xiàn)有渠道接觸系統(tǒng)的業(yè)務(wù)規(guī)則。

在東莞地鐵公司內(nèi)實現(xiàn)開發(fā)數(shù)據(jù)同步
實現(xiàn)多層次的安全級別體系

1.2系統(tǒng)功能及架構(gòu)

平臺的系統(tǒng)架構(gòu)如下圖所示，主要包括以下部分：

門戶系統(tǒng)（Portal ）：各業(yè)務(wù)系統(tǒng)信息資源的綜合展現(xiàn)；
平臺管理系統(tǒng) ：平臺用戶的注冊、授權(quán)、審計；各業(yè)務(wù)系統(tǒng)的配置；門戶管理；
CA 系統(tǒng) ：平臺用戶的數(shù)字證書申請、簽發(fā)和管理；
用戶統(tǒng)一認(rèn)證 ：用戶身份的 CA 數(shù)字證書認(rèn)證、認(rèn)證過程的 SSL 加密通道；
單點登錄（SSO）：業(yè)務(wù)系統(tǒng)關(guān)聯(lián)（ mapping ）、訪問控制、訪問業(yè)務(wù)系統(tǒng)時信息的加密簽名和 SSL 加密通道。

圖片 1基于 CA 認(rèn)證的統(tǒng)一身份管理平臺架構(gòu)

1.3系統(tǒng)的實現(xiàn)和安全機制

用戶注冊和授權(quán)

企業(yè)每一個用戶在平臺完成用戶注冊，得到自己的統(tǒng)一帳戶（ passport ）；
如果采用證書文件或 USB 智能卡認(rèn)證方式，則 CA 系統(tǒng)自動為平臺用戶簽發(fā)數(shù)字證書，并與用戶的統(tǒng)一帳戶對應(yīng)。
注冊的用戶可以由管理員進行分組，并根據(jù)分組設(shè)定相應(yīng)的業(yè)務(wù)系統(tǒng)訪問權(quán)限。

業(yè)務(wù)系統(tǒng)的配置
接受統(tǒng)一認(rèn)證的業(yè)務(wù)系統(tǒng)必須完成以下工作：

安裝業(yè)務(wù)系統(tǒng)訪問前置并配置證書和私鑰，用以建立客戶端與業(yè)務(wù)系統(tǒng)之間的 SSL 加密通道，并接收處理平臺提供的加密簽名的用戶認(rèn)證信息；
提供關(guān)聯(lián)（ mapping ）接口和訪問驗證接口，并在平臺進行配置。關(guān)聯(lián)信息主要是平臺統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息（可能包括業(yè)務(wù)系統(tǒng)的用戶名和密碼）的對應(yīng)關(guān)系。

圖片 2 系統(tǒng)的實現(xiàn)和安全機制

1.4用戶統(tǒng)一認(rèn)證

如圖 10 所示，用戶統(tǒng)一認(rèn)證過程采用 SSL 加密通道保證安全性。認(rèn)證服務(wù)器負(fù)責(zé) SSL 加密通道的建立。

對于口令認(rèn)證方式，認(rèn)證服務(wù)器配置為單向 SSL 加密通道，客戶端不需要證書；
對于證書文件或 USB 智能卡認(rèn)證方式，認(rèn)證服務(wù)器配置為雙向 SSL 加密通道，客戶端必須提供用戶證書，并由認(rèn)證服務(wù)器完成對用戶證書和用戶身份的校驗；

客戶端瀏覽器與認(rèn)證服務(wù)器之間采用 HTTPS 協(xié)議，認(rèn)證服務(wù)器與平臺應(yīng)用服務(wù)器之間采用 HTTP 協(xié)議。在用戶認(rèn)證完成后，可根據(jù)需要設(shè)定客戶端瀏覽器對平臺的訪問是否繼續(xù)走 SSL 加密通道，充分兼顧安全與效率。

1.4.1用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)（ mapping ）

　用戶通過平臺認(rèn)證后，第一次訪問業(yè)務(wù)系統(tǒng)時，平臺根據(jù)業(yè)務(wù)系統(tǒng)的配置自動生成業(yè)務(wù)關(guān)聯(lián)頁面，要求用戶進行關(guān)聯(lián)：

用戶輸入業(yè)務(wù)系統(tǒng)的用戶信息（可能包括業(yè)務(wù)系統(tǒng)用戶名和密碼）；
關(guān)聯(lián)信息連同時間戳被平臺的訪問控制服務(wù)器進行加密和簽名（業(yè)務(wù)系統(tǒng)證書加密，平臺私鑰簽名，時間戳用于防止重放攻擊）；
加密簽名的關(guān)聯(lián)信息通過 SSL 加密通道，傳遞至業(yè)務(wù)系統(tǒng)訪問前置，并由其進行解密驗證后交給業(yè)務(wù)系統(tǒng)驗證；
關(guān)聯(lián)信息驗證通過，則平臺將用戶統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息建立對應(yīng)關(guān)系，以備正常訪問業(yè)務(wù)系統(tǒng)時使用。

1.4.21.5用戶對業(yè)務(wù)系統(tǒng)的正常訪問

如圖 10 所示，如果用戶完成了平臺統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息的關(guān)聯(lián)，則在通過平臺認(rèn)證后訪問業(yè)務(wù)系統(tǒng)時：

平臺根據(jù)要訪問的業(yè)務(wù)系統(tǒng) ID 和會話（ session ）中的用戶統(tǒng)一帳戶，查詢用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)信息；
將相應(yīng)信息和時間戳由訪問控制服務(wù)器加密簽名并經(jīng)由客戶端，通過 SSL 加密通道，傳遞至業(yè)務(wù)系統(tǒng)訪問前置，并由其進行解密驗證后交給業(yè)務(wù)系統(tǒng)驗證；
業(yè)務(wù)系統(tǒng)驗證通過后，自動跳轉(zhuǎn)進入業(yè)務(wù)系統(tǒng)。

在訪問業(yè)務(wù)系統(tǒng)時，相關(guān)信息的傳遞均結(jié)合時間戳、關(guān)鍵信息加密簽名和 SSL 加密通道技術(shù)，在自動認(rèn)證完成后，業(yè)務(wù)系統(tǒng)可根據(jù)需要設(shè)定是否繼續(xù)走 SSL 加密通道。既保證了單點登錄過程中信息傳遞的保密性和真實性，有效防止了重放攻擊，又兼顧了業(yè)務(wù)系統(tǒng)訪問的安全與效率。.

聯(lián)系方式：北京軟件開發(fā)公司
電話：010-52895342，400-886-7161
郵件：service@hivekion.com
網(wǎng)址：http://www.bayada.com.cn
【北京華盛恒輝科技有限公司 ——（hivekion）是一家軟件定制開發(fā)公司，在軟件產(chǎn)品研發(fā)與服務(wù)，華盛恒輝堅持穩(wěn)健經(jīng)營、持續(xù)創(chuàng)新、開放合作，在安全生產(chǎn)、大數(shù)據(jù)處理等領(lǐng)域構(gòu)筑了端到端的解決方案優(yōu)勢，為企業(yè)客戶提供有競爭力的IT解決方案、產(chǎn)品和服務(wù)。】