本發明公開了基于公鑰認證的SSO認證系統，屬于認證系統領域，基于公鑰認證的SSO認證系統，包括客戶端，所述客戶端雙向信號連接有用戶中心模塊，所述客戶端雙向信號連接有認證中心模塊，所述客戶端雙向信號連接有服務網關模塊，所述服務網關模塊雙向信號連接有業務邏輯模塊，所述業務邏輯模塊通過服務網關模塊傳遞具體的請求信息參數，調用內部接口實現業務功能需求。該發明，解決單點登錄其他系統如何驗證這個信息的有效性及通過基于PKI的公鑰密碼體制驗證公鑰證書的合法性確定用戶的信息正確性，使公鑰認證實現系統與系統之間互通。

技術領域

本發明涉及認證系統領域，更具體地說，涉及基于公鑰認證的SSO認證系統。

背景技術

在常見的軟件體系中不可能就一個單一系統而是多個不同的子系統組成，日常生活中，我們經常會遇到需要多個系統數據交互訪問的情況，但是用戶在不同系統的賬號和密碼是不一樣的，無法讓用戶登錄一個賬號去訪問所有系統，如果讓用戶輸入所有系統的賬號密碼，數據安全是一個很大的問題。

為了解決不同服務之間的子系統安全訪問問題，需要有一個用戶授權認證系統來做這件事情，讓客戶端安全可控的獲取用戶的授權，與服務提供商之間進行交互，可以免去用戶同步的麻煩，同時也增加了用戶信息的安全性，為此我們推出了基于公鑰認證的SSO認證系統來解決上述問題。

發明內容

針對現有技術中存在的問題，本發明的目的在于提供基于公鑰認證的SSO認證系統，以解決單點登錄信息安全認證與公鑰認證實現系統與系統之間無法互通的問題。

為解決上述問題，本發明采用如下的技術方案。

基于公鑰認證的SSO認證系統，包括客戶端，所述客戶端雙向信號連接有用戶中心模塊，所述客戶端雙向信號連接有認證中心模塊，所述客戶端雙向信號連接有服務網關模塊，所述服務網關模塊雙向信號連接有業務邏輯模塊，所述業務邏輯模塊通過服務網關模塊傳遞具體的請求信息參數，調用內部接口實現業務功能需求。

作為上述技術方案的進一步描述：

所述用戶中心模塊包括驗證模塊與數據庫，所述客戶端通過與用戶中心模塊交互，驗證用戶輸入的賬號密碼，所述驗證模塊核對校驗數據庫302用戶數據之后，所述認證中心模塊可獲得用戶公鑰和有效期登錄證書。

相比于現有技術，本發明的優點在于：

(1)本方案客戶端的功能是管理用戶信息，簽發證書與用戶中心模塊交互，驗證用戶輸入的賬號密碼，用戶中心模塊核對校驗數據庫用戶數據之后，通過認證中心模塊獲得用戶公鑰和有效期登錄證書，認證中心模塊的作用是，注冊登錄功能，將用戶證書的生成和管理，登錄系統圍繞的核心是獨立存在的認證中心系統，將用戶的注冊登錄獨立出來，不依賴于其他系統，即，所有業務系統都可以通過認證中心模塊發的通過密碼學加密算法的得到的證書登錄，用戶中心模塊的作用是管理用戶的信息與操作，用戶訪問業務系統A是需要登錄的，通過用戶輸入的用戶名和密碼，業務系統A去認證系統拿用戶的唯一證書，服務網關模塊的作用是處理不同服務之間的網絡互聯，內外網是隔離的，外部服務所有請求都要通過此網關模塊訪問內部服務的數據，實現用戶身份驗證的功能，業務邏輯模塊的功能是根據具體的請求信息參數，調用內部接口實現業務功能需求。

(2)本方案利用驗證模塊與數據庫的設置，若A業務需獲取B業務系統數據，側A業務系統獲取用戶客戶端的用戶名和密碼A，B業務系統生成自己的公私鑰，將各自的公鑰發給認證中心A業務系統用拿到的用戶信息進行私鑰簽名生成證書，里面包含用戶有效信息，證書有效期等信息，攜帶證書到認證中心系統，查詢對應用戶的信息的簽名證書，核對驗證證書的公鑰信息，與數據庫內數據進行對比，利用驗證模塊的設置，驗證通過后，認證中心生成公私鑰，認證中心在拿到的證書上用A的公鑰加密并且使用私鑰進行自簽名，并將公鑰告訴A，B業務系統，返回簽名過后的證書給A，A業務系統進行私鑰解密，獲取證書信息。

附圖說明

圖1為本發明的系統流程示意圖；