1統(tǒng)一用戶(hù)管理平臺(tái)軟件開(kāi)發(fā)

1.1實(shí)現(xiàn)目標(biāo)

• 在東莞地鐵信息化平臺(tái)內(nèi)，統(tǒng)一為各業(yè)務(wù)系統(tǒng)提供身份認(rèn)證服務(wù)。

1. 整合多業(yè)務(wù)系統(tǒng)認(rèn)證功能，包括現(xiàn)有系統(tǒng)如OA、ERP、HR等
2. 遵循集中認(rèn)證、分散鑒權(quán)的原則，認(rèn)證后代表的身份及身份對(duì)應(yīng)的權(quán)限遵循現(xiàn)有渠道接觸系統(tǒng)的業(yè)務(wù)規(guī)則。

• 在東莞地鐵公司內(nèi)實(shí)現(xiàn)開(kāi)發(fā)數(shù)據(jù)同步
• 實(shí)現(xiàn)多層次的安全級(jí)別體系

1.2系統(tǒng)功能及架構(gòu)

• 門(mén)戶(hù)系統(tǒng)（Portal ）：各業(yè)務(wù)系統(tǒng)信息資源的綜合展現(xiàn)；
• 平臺(tái)管理系統(tǒng) ：平臺(tái)用戶(hù)的注冊(cè)、授權(quán)、審計(jì)；各業(yè)務(wù)系統(tǒng)的配置；門(mén)戶(hù)管理；
• CA 系統(tǒng) ：平臺(tái)用戶(hù)的數(shù)字證書(shū)申請(qǐng)、簽發(fā)和管理；
• 用戶(hù)統(tǒng)一認(rèn)證 ：用戶(hù)身份的 CA 數(shù)字證書(shū)認(rèn)證、認(rèn)證過(guò)程的 SSL 加密通道；
• 單點(diǎn)登錄（SSO）：業(yè)務(wù)系統(tǒng)關(guān)聯(lián)（ mapping ）、訪問(wèn)控制、訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)信息的加密簽名和 SSL 加密通道。

圖片 1基于 CA 認(rèn)證的統(tǒng)一身份管理平臺(tái)架構(gòu)

1.3系統(tǒng)的實(shí)現(xiàn)和安全機(jī)制

• 企業(yè)每一個(gè)用戶(hù)在平臺(tái)完成用戶(hù)注冊(cè)，得到自己的統(tǒng)一帳戶(hù)（ passport ）；
• 如果采用證書(shū)文件或 USB 智能卡認(rèn)證方式，則 CA 系統(tǒng)自動(dòng)為平臺(tái)用戶(hù)簽發(fā)數(shù)字證書(shū)，并與用戶(hù)的統(tǒng)一帳戶(hù)對(duì)應(yīng)。
• 注冊(cè)的用戶(hù)可以由管理員進(jìn)行分組，并根據(jù)分組設(shè)定相應(yīng)的業(yè)務(wù)系統(tǒng)訪問(wèn)權(quán)限。

• 安裝業(yè)務(wù)系統(tǒng)訪問(wèn)前置并配置證書(shū)和私鑰，用以建立客戶(hù)端與業(yè)務(wù)系統(tǒng)之間的 SSL 加密通道，并接收處理平臺(tái)提供的加密簽名的用戶(hù)認(rèn)證信息；
• 提供關(guān)聯(lián)（ mapping ）接口和訪問(wèn)驗(yàn)證接口，并在平臺(tái)進(jìn)行配置。關(guān)聯(lián)信息主要是平臺(tái)統(tǒng)一帳戶(hù)與業(yè)務(wù)系統(tǒng)用戶(hù)信息（可能包括業(yè)務(wù)系統(tǒng)的用戶(hù)名和密碼）的對(duì)應(yīng)關(guān)系。

1.4用戶(hù)統(tǒng)一認(rèn)證

• 對(duì)于口令認(rèn)證方式，認(rèn)證服務(wù)器配置為單向 SSL 加密通道，客戶(hù)端不需要證書(shū)；
• 對(duì)于證書(shū)文件或 USB 智能卡認(rèn)證方式，認(rèn)證服務(wù)器配置為雙向 SSL 加密通道，客戶(hù)端必須提供用戶(hù)證書(shū)，并由認(rèn)證服務(wù)器完成對(duì)用戶(hù)證書(shū)和用戶(hù)身份的校驗(yàn)；

1.4.1用戶(hù)的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)（ mapping ）

• 用戶(hù)輸入業(yè)務(wù)系統(tǒng)的用戶(hù)信息（可能包括業(yè)務(wù)系統(tǒng)用戶(hù)名和密碼）；
• 關(guān)聯(lián)信息連同時(shí)間戳被平臺(tái)的訪問(wèn)控制服務(wù)器進(jìn)行加密和簽名（業(yè)務(wù)系統(tǒng)證書(shū)加密，平臺(tái)私鑰簽名，時(shí)間戳用于防止重放攻擊）；
• 加密簽名的關(guān)聯(lián)信息通過(guò) SSL 加密通道，傳遞至業(yè)務(wù)系統(tǒng)訪問(wèn)前置，并由其進(jìn)行解密驗(yàn)證后交給業(yè)務(wù)系統(tǒng)驗(yàn)證；
• 關(guān)聯(lián)信息驗(yàn)證通過(guò)，則平臺(tái)將用戶(hù)統(tǒng)一帳戶(hù)與業(yè)務(wù)系統(tǒng)用戶(hù)信息建立對(duì)應(yīng)關(guān)系，以備正常訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)使用。

1.4.21.5用戶(hù)對(duì)業(yè)務(wù)系統(tǒng)的正常訪問(wèn)

• 平臺(tái)根據(jù)要訪問(wèn)的業(yè)務(wù)系統(tǒng) ID 和會(huì)話(huà)（ session ）中的用戶(hù)統(tǒng)一帳戶(hù)，查詢(xún)用戶(hù)的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)信息；
•  將相應(yīng)信息和時(shí)間戳由訪問(wèn)控制服務(wù)器加密簽名并經(jīng)由客戶(hù)端，通過(guò) SSL 加密通道，傳遞至業(yè)務(wù)系統(tǒng)訪問(wèn)前置，并由其進(jìn)行解密驗(yàn)證后交給業(yè)務(wù)系統(tǒng)驗(yàn)證；
• 業(yè)務(wù)系統(tǒng)驗(yàn)證通過(guò)后，自動(dòng)跳轉(zhuǎn)進(jìn)入業(yè)務(wù)系統(tǒng)。