基于SSO技术的统一用户认证系统的开发和应用

操亚松

摘要：提出了一个基于SSO技术的统一用户认证系统，介绍了统一用户认证系统的系统架构和分析设计，详细描述了系统的认证过程。文章介绍了统一用户认证系统在在电子政务办公平台的应用，研究如何在电子政务平台中实现用户统一管理、统一登录、组织机构统一管理。

关键词 ：SSO；系统设计；电子政务；统一用户

中图分类号 TP311 文献标识码：A 文章编号：1009-3044（2015）25-0195-02

Development and Application of Unified User Authentication System Based on SSO Technology

CAO Ya-song

（Anhui Economic Information Center， Hefei 230000， China）

Abstract： The paper proposed a unified user authentication system based on the technology of SSO， and introduced the system architecture and design of the unified user authentication system ， and the process of the system is described in detail. This paper introduces the application of the unified user authentication system in the electronic government affairs office platform， and studies how to realize the unified management of users in the e-government platform.

Key words： SSO； system design； E-government； unified user

1 引言

随着信息技术和网络的飞速发展，各个应用平台接入的应用系统越来越多。比如在电子政务领域，常见的应用系统就有办公自动化系统、项目信息管理系统、智能决策支持系统、政府的行政审批系统、各单位的信息公开系统和各机构门户网站等。这些系统相互独立，用户在使用每个应用系统之前都必须使用各自的系统身份进行登录，为此用户必须记住每个应用系统用户名及密码，随着使用的系统增多，丢失密码或泄露密码的可能性就会增大，安全性就会降低。每个系统的管理人员也需要维护大量的用户信息，工作量增多。针对这一情况，统一用户认证、单点登录技术被大量的应用在电子政务及各类大型平台中[1]。

2 系统架构

2.1 关键技术

基于SSO技术，采用java语言开发，利用面向对象的方法，采用LDAP标准协议目录服务器，为接入系统提供统一的身份认证，管理和存储平台。统一认证系统提供基于Web Service和HTTP的两种API认证接口， API接口认证方式和接入系统采用的平台和语言无关[2]。接入系统认证过程如图1。

2.2 系统架构

统一认证平台在架构上从外到内分为对外接口、展现模块、安全模块、监控和报警模块、用户中心、认证中心、管理中心、内部接口。对外接口：实现和第三方系统组织用户对接；展现模块：实现给用户的界面展现，如PC端、移动端；内部接口：实现内部各个独立模块之间的接口调用；用户中心：实现用户管理，组织管理、角色管理和职务管理等功能；管理中心：实现资源管理、日志和和统计等功能；安全模块：负责数据传输安全、接口、认证等；监控模块：对接口运行和平台运行的运行状态进行监控。架构图见图2。

3 系统模块分析与设计

统一认证平台建设工作在具体建设上分为以下几个模块：数据和管理规范、数据层、数据访问控制层、业务逻辑层、界面表现层、接口服务六部分组成，通过接口服务和第三方应用系统实现统一认证单点登录。

3.1数据和管理规范

统一认证平台建设的目標是规范本单位已建、在建、未建的所有应用系统用户体系，实现统一管理、统一认证和单点登录，这是一个长期的过程，需要制定一系列规范，以保障项目建设工作的有序进行[5]。本系统建立在《安徽省政府权力清单运行平台技术标准规范》中的统一身份认证技术规范基础之上。

3.2 数据层

数据层通过LDAP、关系数据库、文件存储统一认证平台所有用户和业务数据。LDAP存储用户认证信息，支持百万级用户数据。关系数据库存储统一认证平台所有业务数据。文件主要存储统一认证平台的一些配置信息[3]。

3.3 数据访问控制层

数据访问控制层主要负责对数据层的访问，通过Hibernate框架技术对数据库的数据进行操作维护，并为业务逻辑层提供数据支持。

3.4 业务逻辑层

业务逻辑层是本系统的核心层，主要有业务支撑套件和业务功能两部分组成，其中业务支撑套件主要是对本系统所用到的一些核心公共技术和业务进行封装，提高代码利用率，提升开发效率。业务功能主要实现统一认证平台的业务逻辑，并封装成一个个独立的功能，供界面展现层调用。

3.5 界面表现层

界面表现层通过调用业务逻辑层的功能，供使用人员、维护人员、监控人员、管理人员使用。

3.6 接口服务

通过接口服务，和已有应用系统（卡管系统、账户系统、电子钱包、OA系统、呼叫系统）实现统一身份管理、统一认证和单点登录。本系统提供SDK、Web Service、HTTP三类接口，接口实现具体见图3。

4 支持的认证接口

统一用户认证系统提供了多种的认证接口和认证流程[4][7]。

4.1用户名密码认证接口

是统一用户认证系统的最基础认证方式，在本系统用户名与密码采用LDAP目录结构进行存储，LDAP具有比较高的读取效率。在用户登录时，接入系统调用用户名密码认证接口，将用户的用户名与密码信息与LDAP存储的用户信息进行匹配，若匹配成功，则返回正确的信息给子系统，登录成功，反之则失败。

统一用户认证系统管理员为系统用户分配账号及其他信息，系统平台同时将新建用户信息同步给LDAP目录服务器。新系统用户输入系统要求的用户名密码等相关信息建立新用户，同时系统将新用户信息同步到LDAP目录完成新用户自注册。

4.2证书认证接口

在用户输入证书口令后，统一用户认证系统使用第三方CA证书认证接口获取用户的数字证书，并将相应的证书信息与LDAP目录服务器中存储的证书信息进行匹配，若存在接返回相应的用户登录成功信息，完成证书登录认证。

4.3匿名认证接口

在接入的开放子系统中，给予访问用户匿名访问权限。

考虑到老系统接入时对原有用户登录接口改造的成本，以及主流的新系统的用户登录模式，统一身份认证系统提供了两套认证流程（commnetAuth和easyAuth，commnetAuth是基于安全性考慮，为用户的信息安全提供的强大的保障，在流程上的严格控制保障数据的隐私性）。这两种认证流程已经基本满足大部分系统的认证需求。

5 统一用户认证系统在电子政务个系统中的应用

目前，政府经过长期的信息化改造，电子政务领域已经出现了各类成熟的业务系统，从面上几乎涵盖了政府所有职能，这些系统来源不一，开发的初期大多是独立进行的。这样分散式的应用系统使得用户完成某项工作需要进入不同的系统，而每一个系统大都需要用户输入用户名、口令等验证身份，这样用户还要面对多个系统的用户名、密码；用户对访问业务系统 的不便性可想而知。用户需要频繁登录各个应用系统，增加了业务操作的复杂性，有效工作时间减少，工作效率降低；所以需要一个对用户、系统高度整合，并对用户透明，使用户单点登录，多点漫游，简化了用户的操作，提高了工作效率，增加了安全性[6]。

6 结束语

该系统的设计和实现，立足于政府电子政务平台的用户认证管理需求，为整个统一电子政务平台提供组织管理、用户管理、统一认证、用户审计、单点登录、登录入口等服务，从而提高项目应用效率，降低用户使用电子政务平台的门槛，提高政府部门处理行政权力事项的协同能力。

参考文献：

[1] 王萍利.基于J2EE Web服务的统一身份认证系统的设计与实现[J]. 电子设计工程，2012（24）：36-37

[2] 毕娅.电子商务平台身份认证系统的设计与实现[J]. 科技情报开发与经济，2006（03）：215～216

[3] 李黎明.基于目录的资源信息模型[J]. 计算机系统应用，2011（11）：227-228

[4] 严耿城.浅析单点登录[J]. 金融科技时代，2011（08）：61-62

[5] 安徽省电子政务服务大厅.安徽省政府权力清单运行平台技术标准规范（征求意见稿）[EB/OL]. http：//ahzwfw.ah.gov.cn/private/cms/zwdt/zwdtview？params=id%3D261.

[6] 金斌，薛质.单点登录机制的设计与应用[J]. 电信快报，2007（6）：19-23

[7] 李立. 统一身份认证系统的设计与实现[D]. 电子科技大学，2012.