經(jīng)典案例
  • 金融大數(shù)據(jù)解決方案
  • 汽車大數(shù)據(jù)解決方案
  • 政府大數(shù)據(jù)解決方案
  • 鐵路大數(shù)據(jù)解決方案
  • 電力大數(shù)據(jù)解決方案
  • 軍工大數(shù)據(jù)解決方案
  • 解放軍總裝備部
  • 中國航天科工集團(tuán)
  • 航天科技集團(tuán)

統(tǒng)一用戶管理軟件開發(fā)

發(fā)布于:2019-11-28 16:19來源:北京軟件開發(fā)公司 作者:北京大數(shù)據(jù)公司 點(diǎn)擊:

1統(tǒng)一用戶管理平臺軟件開發(fā)

1.1實現(xiàn)目標(biāo)

        統(tǒng)一用戶管理平臺是為各個渠道接觸系統(tǒng)提供統(tǒng)一入口,實現(xiàn)企業(yè)基礎(chǔ)庫的用戶管理、權(quán)限管理和身份認(rèn)證服務(wù)。把功能組件和服務(wù)化,并制定相應(yīng)的合用規(guī)范、標(biāo)準(zhǔn)和指引,在此基礎(chǔ)上實現(xiàn)各應(yīng)用領(lǐng)域之間的互信雙向單點(diǎn)登陸功能,主要目標(biāo)有:
  • 在東莞地鐵信息化平臺內(nèi),統(tǒng)一為各業(yè)務(wù)系統(tǒng)提供身份認(rèn)證服務(wù)。
  1. 整合多業(yè)務(wù)系統(tǒng)認(rèn)證功能,包括現(xiàn)有系統(tǒng)如OA、ERP、HR等
  2. 遵循集中認(rèn)證、分散鑒權(quán)的原則,認(rèn)證后代表的身份及身份對應(yīng)的權(quán)限遵循現(xiàn)有渠道接觸系統(tǒng)的業(yè)務(wù)規(guī)則。
  • 在東莞地鐵公司內(nèi)實現(xiàn)開發(fā)數(shù)據(jù)同步
  • 實現(xiàn)多層次的安全級別體系

1.2系統(tǒng)功能及架構(gòu)

       平臺的系統(tǒng)架構(gòu)如下圖所示,主要包括以下部分:
  • 門戶系統(tǒng)(Portal :各業(yè)務(wù)系統(tǒng)信息資源的綜合展現(xiàn);
  • 平臺管理系統(tǒng) :平臺用戶的注冊、授權(quán)、審計;各業(yè)務(wù)系統(tǒng)的配置;門戶管理;
  • CA 系統(tǒng) :平臺用戶的數(shù)字證書申請、簽發(fā)和管理;
  • 用戶統(tǒng)一認(rèn)證 :用戶身份的 CA 數(shù)字證書認(rèn)證、認(rèn)證過程的 SSL 加密通道;
  • 單點(diǎn)登錄(SSO:業(yè)務(wù)系統(tǒng)關(guān)聯(lián)( mapping )、訪問控制、訪問業(yè)務(wù)系統(tǒng)時信息的加密簽名和 SSL 加密通道。
統(tǒng)一用戶管理平臺解決方案
圖片 1基于 CA 認(rèn)證的統(tǒng)一身份管理平臺架構(gòu)

1.3系統(tǒng)的實現(xiàn)和安全機(jī)制

用戶注冊和授權(quán)
  • 企業(yè)每一個用戶在平臺完成用戶注冊,得到自己的統(tǒng)一帳戶( passport );
  • 如果采用證書文件或 USB 智能卡認(rèn)證方式,則 CA 系統(tǒng)自動為平臺用戶簽發(fā)數(shù)字證書,并與用戶的統(tǒng)一帳戶對應(yīng)。
  • 注冊的用戶可以由管理員進(jìn)行分組,并根據(jù)分組設(shè)定相應(yīng)的業(yè)務(wù)系統(tǒng)訪問權(quán)限。
業(yè)務(wù)系統(tǒng)的配置
       接受統(tǒng)一認(rèn)證的業(yè)務(wù)系統(tǒng)必須完成以下工作:

  • 安裝業(yè)務(wù)系統(tǒng)訪問前置并配置證書和私鑰,用以建立客戶端與業(yè)務(wù)系統(tǒng)之間的 SSL 加密通道,并接收處理平臺提供的加密簽名的用戶認(rèn)證信息;
  • 提供關(guān)聯(lián)( mapping )接口和訪問驗證接口,并在平臺進(jìn)行配置。關(guān)聯(lián)信息主要是平臺統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息(可能包括業(yè)務(wù)系統(tǒng)的用戶名和密碼)的對應(yīng)關(guān)系。
統(tǒng)一用戶管理平臺解決方案
  圖片 2 系統(tǒng)的實現(xiàn)和安全機(jī)制

1.4用戶統(tǒng)一認(rèn)證

如圖 10 所示,用戶統(tǒng)一認(rèn)證過程采用 SSL 加密通道保證安全性。認(rèn)證服務(wù)器負(fù)責(zé) SSL 加密通道的建立。
  • 對于口令認(rèn)證方式,認(rèn)證服務(wù)器配置為單向 SSL 加密通道,客戶端不需要證書;
  • 對于證書文件或 USB 智能卡認(rèn)證方式,認(rèn)證服務(wù)器配置為雙向 SSL 加密通道,客戶端必須提供用戶證書,并由認(rèn)證服務(wù)器完成對用戶證書和用戶身份的校驗;
客戶端瀏覽器與認(rèn)證服務(wù)器之間采用 HTTPS 協(xié)議,認(rèn)證服務(wù)器與平臺應(yīng)用服務(wù)器之間采用 HTTP 協(xié)議。在用戶認(rèn)證完成后,可根據(jù)需要設(shè)定客戶端瀏覽器對平臺的訪問是否繼續(xù)走 SSL 加密通道,充分兼顧安全與效率。

1.4.1用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)( mapping )

 用戶通過平臺認(rèn)證后,第一次訪問業(yè)務(wù)系統(tǒng)時,平臺根據(jù)業(yè)務(wù)系統(tǒng)的配置自動生成業(yè)務(wù)關(guān)聯(lián)頁面,要求用戶進(jìn)行關(guān)聯(lián):
  • 用戶輸入業(yè)務(wù)系統(tǒng)的用戶信息(可能包括業(yè)務(wù)系統(tǒng)用戶名和密碼);
  • 關(guān)聯(lián)信息連同時間戳被平臺的訪問控制服務(wù)器進(jìn)行加密和簽名(業(yè)務(wù)系統(tǒng)證書加密,平臺私鑰簽名,時間戳用于防止重放攻擊);
  • 加密簽名的關(guān)聯(lián)信息通過 SSL 加密通道,傳遞至業(yè)務(wù)系統(tǒng)訪問前置,并由其進(jìn)行解密驗證后交給業(yè)務(wù)系統(tǒng)驗證;
  • 關(guān)聯(lián)信息驗證通過,則平臺將用戶統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息建立對應(yīng)關(guān)系,以備正常訪問業(yè)務(wù)系統(tǒng)時使用。

1.4.21.5用戶對業(yè)務(wù)系統(tǒng)的正常訪問

如圖 10 所示,如果用戶完成了平臺統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息的關(guān)聯(lián),則在通過平臺認(rèn)證后訪問業(yè)務(wù)系統(tǒng)時:
  • 平臺根據(jù)要訪問的業(yè)務(wù)系統(tǒng) ID 和會話( session )中的用戶統(tǒng)一帳戶,查詢用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)信息;
  •  將相應(yīng)信息和時間戳由訪問控制服務(wù)器加密簽名并經(jīng)由客戶端,通過 SSL 加密通道,傳遞至業(yè)務(wù)系統(tǒng)訪問前置,并由其進(jìn)行解密驗證后交給業(yè)務(wù)系統(tǒng)驗證;
  • 業(yè)務(wù)系統(tǒng)驗證通過后,自動跳轉(zhuǎn)進(jìn)入業(yè)務(wù)系統(tǒng)。
在訪問業(yè)務(wù)系統(tǒng)時,相關(guān)信息的傳遞均結(jié)合時間戳、關(guān)鍵信息加密簽名和 SSL 加密通道技術(shù),在自動認(rèn)證完成后,業(yè)務(wù)系統(tǒng)可根據(jù)需要設(shè)定是否繼續(xù)走 SSL 加密通道。既保證了單點(diǎn)登錄過程中信息傳遞的保密性和真實性,有效防止了重放攻擊,又兼顧了業(yè)務(wù)系統(tǒng)訪問的安全與效率。.

聯(lián)系方式:北京軟件開發(fā)公司
電話:010-52895342,400-886-7161
郵件:service@hivekion.com
網(wǎng)址:http://ziyuangx.cn
【北京華盛恒輝科技有限公司 ——(hivekion)是一家軟件定制開發(fā)公司,在軟件產(chǎn)品研發(fā)與服務(wù),華盛恒輝堅持穩(wěn)健經(jīng)營、持續(xù)創(chuàng)新、開放合作,在安全生產(chǎn)、大數(shù)據(jù)處理等領(lǐng)域構(gòu)筑了端到端的解決方案優(yōu)勢,為企業(yè)客戶提供有競爭力的IT解決方案、 產(chǎn)品和服務(wù)。
 
------分隔線----------------------------
------分隔線----------------------------
QQ客服熱線