1統(tǒng)一用戶管理平臺軟件開發(fā)

1.1實(shí)現(xiàn)目標(biāo)

統(tǒng)一用戶管理平臺是為各個(gè)渠道接觸系統(tǒng)提供統(tǒng)一入口，實(shí)現(xiàn)企業(yè)基礎(chǔ)庫的用戶管理、權(quán)限管理和身份認(rèn)證服務(wù)。把功能組件和服務(wù)化，并制定相應(yīng)的合用規(guī)范、標(biāo)準(zhǔn)和指引，在此基礎(chǔ)上實(shí)現(xiàn)各應(yīng)用領(lǐng)域之間的互信雙向單點(diǎn)登陸功能，主要目標(biāo)有：

在東莞地鐵信息化平臺內(nèi)，統(tǒng)一為各業(yè)務(wù)系統(tǒng)提供身份認(rèn)證服務(wù)。

整合多業(yè)務(wù)系統(tǒng)認(rèn)證功能，包括現(xiàn)有系統(tǒng)如OA、ERP、HR等
遵循集中認(rèn)證、分散鑒權(quán)的原則，認(rèn)證后代表的身份及身份對應(yīng)的權(quán)限遵循現(xiàn)有渠道接觸系統(tǒng)的業(yè)務(wù)規(guī)則。

在東莞地鐵公司內(nèi)實(shí)現(xiàn)開發(fā)數(shù)據(jù)同步
實(shí)現(xiàn)多層次的安全級別體系

1.2系統(tǒng)功能及架構(gòu)

平臺的系統(tǒng)架構(gòu)如下圖所示，主要包括以下部分：

門戶系統(tǒng)（Portal ）：各業(yè)務(wù)系統(tǒng)信息資源的綜合展現(xiàn)；
平臺管理系統(tǒng) ：平臺用戶的注冊、授權(quán)、審計(jì)；各業(yè)務(wù)系統(tǒng)的配置；門戶管理；
CA 系統(tǒng) ：平臺用戶的數(shù)字證書申請、簽發(fā)和管理；
用戶統(tǒng)一認(rèn)證 ：用戶身份的 CA 數(shù)字證書認(rèn)證、認(rèn)證過程的 SSL 加密通道；
單點(diǎn)登錄（SSO）：業(yè)務(wù)系統(tǒng)關(guān)聯(lián)（ mapping ）、訪問控制、訪問業(yè)務(wù)系統(tǒng)時(shí)信息的加密簽名和 SSL 加密通道。

圖片 1基于 CA 認(rèn)證的統(tǒng)一身份管理平臺架構(gòu)

1.3系統(tǒng)的實(shí)現(xiàn)和安全機(jī)制

用戶注冊和授權(quán)

企業(yè)每一個(gè)用戶在平臺完成用戶注冊，得到自己的統(tǒng)一帳戶（ passport ）；
如果采用證書文件或 USB 智能卡認(rèn)證方式，則 CA 系統(tǒng)自動為平臺用戶簽發(fā)數(shù)字證書，并與用戶的統(tǒng)一帳戶對應(yīng)。
注冊的用戶可以由管理員進(jìn)行分組，并根據(jù)分組設(shè)定相應(yīng)的業(yè)務(wù)系統(tǒng)訪問權(quán)限。

業(yè)務(wù)系統(tǒng)的配置
接受統(tǒng)一認(rèn)證的業(yè)務(wù)系統(tǒng)必須完成以下工作：

安裝業(yè)務(wù)系統(tǒng)訪問前置并配置證書和私鑰，用以建立客戶端與業(yè)務(wù)系統(tǒng)之間的 SSL 加密通道，并接收處理平臺提供的加密簽名的用戶認(rèn)證信息；
提供關(guān)聯(lián)（ mapping ）接口和訪問驗(yàn)證接口，并在平臺進(jìn)行配置。關(guān)聯(lián)信息主要是平臺統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息（可能包括業(yè)務(wù)系統(tǒng)的用戶名和密碼）的對應(yīng)關(guān)系。

圖片 2 系統(tǒng)的實(shí)現(xiàn)和安全機(jī)制

1.4用戶統(tǒng)一認(rèn)證

如圖 10 所示，用戶統(tǒng)一認(rèn)證過程采用 SSL 加密通道保證安全性。認(rèn)證服務(wù)器負(fù)責(zé) SSL 加密通道的建立。

對于口令認(rèn)證方式，認(rèn)證服務(wù)器配置為單向 SSL 加密通道，客戶端不需要證書；
對于證書文件或 USB 智能卡認(rèn)證方式，認(rèn)證服務(wù)器配置為雙向 SSL 加密通道，客戶端必須提供用戶證書，并由認(rèn)證服務(wù)器完成對用戶證書和用戶身份的校驗(yàn)；

客戶端瀏覽器與認(rèn)證服務(wù)器之間采用 HTTPS 協(xié)議，認(rèn)證服務(wù)器與平臺應(yīng)用服務(wù)器之間采用 HTTP 協(xié)議。在用戶認(rèn)證完成后，可根據(jù)需要設(shè)定客戶端瀏覽器對平臺的訪問是否繼續(xù)走 SSL 加密通道，充分兼顧安全與效率。

1.4.1用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)（ mapping ）

　用戶通過平臺認(rèn)證后，第一次訪問業(yè)務(wù)系統(tǒng)時(shí)，平臺根據(jù)業(yè)務(wù)系統(tǒng)的配置自動生成業(yè)務(wù)關(guān)聯(lián)頁面，要求用戶進(jìn)行關(guān)聯(lián)：

用戶輸入業(yè)務(wù)系統(tǒng)的用戶信息（可能包括業(yè)務(wù)系統(tǒng)用戶名和密碼）；
關(guān)聯(lián)信息連同時(shí)間戳被平臺的訪問控制服務(wù)器進(jìn)行加密和簽名（業(yè)務(wù)系統(tǒng)證書加密，平臺私鑰簽名，時(shí)間戳用于防止重放攻擊）；
加密簽名的關(guān)聯(lián)信息通過 SSL 加密通道，傳遞至業(yè)務(wù)系統(tǒng)訪問前置，并由其進(jìn)行解密驗(yàn)證后交給業(yè)務(wù)系統(tǒng)驗(yàn)證；
關(guān)聯(lián)信息驗(yàn)證通過，則平臺將用戶統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息建立對應(yīng)關(guān)系，以備正常訪問業(yè)務(wù)系統(tǒng)時(shí)使用。

1.4.21.5用戶對業(yè)務(wù)系統(tǒng)的正常訪問

如圖 10 所示，如果用戶完成了平臺統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息的關(guān)聯(lián)，則在通過平臺認(rèn)證后訪問業(yè)務(wù)系統(tǒng)時(shí)：

平臺根據(jù)要訪問的業(yè)務(wù)系統(tǒng) ID 和會話（ session ）中的用戶統(tǒng)一帳戶，查詢用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)信息；
將相應(yīng)信息和時(shí)間戳由訪問控制服務(wù)器加密簽名并經(jīng)由客戶端，通過 SSL 加密通道，傳遞至業(yè)務(wù)系統(tǒng)訪問前置，并由其進(jìn)行解密驗(yàn)證后交給業(yè)務(wù)系統(tǒng)驗(yàn)證；
業(yè)務(wù)系統(tǒng)驗(yàn)證通過后，自動跳轉(zhuǎn)進(jìn)入業(yè)務(wù)系統(tǒng)。

在訪問業(yè)務(wù)系統(tǒng)時(shí)，相關(guān)信息的傳遞均結(jié)合時(shí)間戳、關(guān)鍵信息加密簽名和 SSL 加密通道技術(shù)，在自動認(rèn)證完成后，業(yè)務(wù)系統(tǒng)可根據(jù)需要設(shè)定是否繼續(xù)走 SSL 加密通道。既保證了單點(diǎn)登錄過程中信息傳遞的保密性和真實(shí)性，有效防止了重放攻擊，又兼顧了業(yè)務(wù)系統(tǒng)訪問的安全與效率。.

聯(lián)系方式：北京軟件開發(fā)公司
電話：010-52895342，400-886-7161
郵件：service@hivekion.com
網(wǎng)址：http://bayada.com.cn
【北京華盛恒輝科技有限公司 ——（hivekion）是一家軟件定制開發(fā)公司，在軟件產(chǎn)品研發(fā)與服務(wù)，華盛恒輝堅(jiān)持穩(wěn)健經(jīng)營、持續(xù)創(chuàng)新、開放合作，在安全生產(chǎn)、大數(shù)據(jù)處理等領(lǐng)域構(gòu)筑了端到端的解決方案優(yōu)勢，為企業(yè)客戶提供有競爭力的IT解決方案、產(chǎn)品和服務(wù)。】