技術領域

本發明涉及單點登錄模式設計的認證平臺，特別涉及基于SAML的單點登錄模式設計的認證平臺。

背景技術

隨著信息技術和網絡技術在企業中的廣泛應用，很多企業擁有各種各樣的應用系統和業務系統，如OA系統，CRM客戶管理系統，財務系統等。這些應用系統所涵蓋的功能，服務能為用戶帶來諸多好處。每個業務平臺都有一套獨立的身份驗證機制。用戶信息沒有采用集中管理，造成用戶信息重復錄入，管理混亂；用戶需要記憶多個業務平臺的帳號、密碼，在不同應用平臺登錄時需進行多次輸入用戶名和密碼的繁瑣操作，這給用戶帶來極大的不便，嚴重影響了用戶體驗的同時降低了系統的使用效率。

發明內容

本發明的目的是為了提高用戶體驗，提高系統的使用效率，實現在各應用平臺進行統一認證鑒權，從而實現用戶的單點登錄。在用戶身份憑證有效期內，都不需要再次進行認證，用戶不需要記憶多個平臺的用戶帳號、密碼，省去多次輸入用戶名和密碼的繁瑣操作，實現“一次登陸，隨處訪問”的目標。

為此，本發明提出一種單點登錄系統按企業系統需求規劃構建的統一身份認證平臺，為企業用戶在各業務系統提供統一的身份認證和綜合安全服務，以實現平臺與平臺之間的信息交互，資源共享。為用戶提供多樣化的服務的同時省掉了重復登錄的操作，實現一次登陸、隨處訪問的目標。在受信任的平臺之間是統一授權和身份認證，用戶只需輸入一次賬號和密碼，可在身份憑證有效期內可隨處訪問。認證中心與網站平臺的信息信息傳輸是通過數字簽名加密，用戶與平臺之間的網絡傳輸通過SSL加密。

其中統一認證平臺具有以下功能：

統一授權——認證平臺為用戶統一頒發數字簽名證書，作為用戶訪問平臺及各應用系統的憑據，并對用戶訪問應用系統的權限進行授權。

認證接口——完善的認證接口，讓多種應用系統可以方便地通過接口使用本地認證系統，統一認證用戶身份。

身份認證——用戶在訪問平臺及各應用系統時，都使用相同的憑據(即用戶的賬戶和密碼)證明其身份的真實性。

單點登錄——用戶在通過平臺認證后，可直接訪問已授權的各應用系統，實現不同應用系統的身份認證共享，從而達到多應用系統的單點登錄。

數據共享——認證平臺存儲了用戶的基本信息，所有應用系統均可以充分利用這些信息，減少用戶信息的重復錄入。

安全通道——平臺提供兩種安全通道：一種是應用層安全通道，一種是網絡層安全通道。它們為應用之間提供安全的傳輸通道，保證其中傳輸的數據的安全性。

為實現上述目的，本發明采用如下技術方案：

一種基于SAML的單點登錄模式設計的認證平臺，由登錄模塊和認證模塊兩個模塊共同完成，其中登錄模塊基于SAML2.0協議使用兩種SAML格式的票據，分別是單點登錄票據和獲取單點登錄票據的請求票據，認證模塊采用的是SSL的握手協議方式或PKI數字簽名證書認證方式。

本發明的有益效果在于，提高了用戶的工作效率，減少操作時間，降低用戶管理的復雜度，有效提升了用戶體驗。

附圖說明

圖1為申請請求票據的流程圖；

圖2為驗證登錄票據的流程圖；

圖3為登錄流程圖；

圖4為登出流程圖；

圖5為業務平臺到認證中心之間數據傳送的簽名和驗證流程圖；

圖6為認證中心到業務平臺之間數據傳送的簽名和驗證流程圖。

具體實施方式

下面結合附圖和實施例對本發明作進一步詳細的說明。

統一認證平臺完成用戶票據生成、會話管理、身份驗證、票據查詢、日志管理、加密算法、單點登錄和登出等功能，這些功能都是由登錄模塊和認證模塊兩個模塊共同完成的。

登錄模塊是決定著用戶是否可以登錄以及他們可以訪問哪些資源。它通過安全地管理用戶身份標識并自動對業務平臺提交正確的用戶標識來完成本功能。它簡化了最終用戶的登錄過程，通過引入數字證書或數字簽名等技術完成對用戶票據的認證，減少了各種密碼、口令等信息的管理工作量，并增強了總體應用的安全性。

其中登錄模塊有會話管理、票據管理和日志管理等幾個主要功能組成。

會話管理：

登錄會話信息管理，提供對用戶訪問的會話(Session)管理功能，保存用戶登錄應用操作時所需要的信息。保證每個登錄用戶，都會保留一個與其唯一對應的會話，利用共享會話(Session)功能，實現單點登錄。即用戶訪問其他受信業務平臺時無需用戶再次進行登錄。

票據管理：