统一认证系统设计方案

基础支撑平台

第一章统一身份认证平台

一、概述

建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能：

为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。

提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。

系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。

单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务

单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。

同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。

二、系统技术规范

单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。

Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的

Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。

Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点：

(1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点

登录服务；

(2). 联盟的应用系统无需大量改造，不需要用户信息大集中，不影响系统原有业务逻

辑与性能；

(3). 以用户为中心，保护用户信息安全和隐私；

(4). 支持多种、多等级的、安全的用户登录认证方式等。

支持的认证技术

联盟化单点登录原理与场景图示：

同域单点登录

跨域单点登录

三、单点登录系统功能

1. 单点登录

(1).支持单点登录、单点登出

(2).支持平台安全域下用户的“一点认证，全网通行”和“一点登出，整体退出”。

(3).支持多个IDP/SP间的联合互信

(4).支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度

决定是否联盟。

(5).支持联盟信息的管理

(6).支持IDP联盟信息的管理或配置功能。

(7).不影响正常的业务逻辑与性能。

2. 支持Liberty ID-FF v1.2规范

(1). 系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准

Liberty ID-FF 1.2规范；

(2). 支持Liberty规范中的所有功能，包括单点登录、整体退出、账号联盟和解盟、

注册名重新注册(Account Linking)、联合互信等功能；

(3). 系统本身提供了一个完整的Liberty Alliance联合互信平台，以部署在各个需要

通过联合互信标准集成的SP方，以加快IDP和各SP的集成；

(4). 提供扩展的站点转送功能，为客户提供更符合实际应用的功能；

(5). 一个IDP服务器可以同时支持一个或多个SP服务器；

(6). 一个SP服务器可以同时支持一个或多个IDP服务器；

(7). 系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以

支持方便和灵活的应用集成；

3. 支持多种、多级别认证方式

(1). 支持多种认证方式，已经支持的就包括LDAP认证、JDBC认证、SecurID认证

等；

(2). 系统具有标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持

第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证；

(3). 支持分布式认证的部署方式：即将认证界面部署在任何一个Web应用服务器上，

而实现多种认证支持的统一认证服务器部署在内网中，以保证认证的安全性和扩展性；

(4). 系统本身支持session的互信机制；

(5). 系统支持多级别认证方式：用户名/密码认证、数字证书认证、动态口令认证，

等等。通过适配器的扩展，可以支持更多的认证方式；

(6). 支持多种应用场景的认证请求

(7). 门户认证：支持接收自服务门户的认证（个人用户门户、SP门户、运营商门户）

请求；

(8). 支付认证：支持支付流程中需要用到的支付安全认证请求；

(9). 业务认证：支持业务流程中需要用到的用户身份认证请求；

(10). 单点登录认证：支持单点登录的认证请求；

(11). 支持认证方式的生命周期管理；

(12). 支持认证方式的注册、修改、删除；

(13). 支持认证方式状态的变更（开通、暂停、恢复、注销）；

(14). 支持认证方式相关参数的配置；

(15). 支持认证等级的配置。

4. 认证的安全控制

主要保障身份认证的安全，基本要求如下：

(1).平台用户身份认证安全控制

凡是输入用户名/密码的页面均由平台提供；

凡是输入用户名/密码的地方均采用HTTPS的方式进行通信；

(2).第三方系统用户身份认证安全控制

对于第三方系统身份识别主要依赖于第三方系统，身份识别流程应综合考虑用户体验和流程安全性，所有传送过程中都对信息进行加密操作。

(3).其它认证安全手段控制

服务器与服务器之间都采用数字证书认证，保障通讯双方的安全性，防止盗链等现象的发生。

5. 兼顾灵活性和通用性

(1). 单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器，不需要依赖

其它的应用服务器；

(2). 集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括：Apache,

Microsoft IIS，Sun/Netscape Web Server；Tomcat，BEA WebLogic, IBM

WebSphere, Sun Java System Application Server；等等。

(3). 单点登录支持保护型单点登录方式（即将应用通过Agent保护起来的安全方式），

也支持代理单点登录方式；

(4). 支持同域或跨域的联合互信、单点登录。