1. 應用背景
計算機網絡和信息技術的迅速發(fā)展使得企業(yè)信息化的程度不斷提高，在企業(yè)信息化過程中，諸如OA、CRM、ERP、OSS等越來越多的業(yè)務系統(tǒng)應運而生，提高了企業(yè)的管理水平和運行效率。與此同時，各個應用系統(tǒng)都有自己的認證體系，隨著應用系統(tǒng)的不斷增加，一方面企業(yè)員工在業(yè)務系統(tǒng)的訪問過程中，不得不記憶大量的帳戶口令，而口令又極易遺忘或泄露，為企業(yè)帶來損失；另一方面，企業(yè)信息的獲取途徑不斷增多，但是缺乏對這些信息進行綜合展示的平臺。
在上述背景下，企業(yè)信息資源的整合逐步提上日程，并在此基礎上形成了各業(yè)務系統(tǒng)統(tǒng)一認證、單點登錄（SSO）和信息綜合展示的企業(yè)門戶（Portal）?，F有的產品多集中于口令方式的身份認證，如何更安全的進行統(tǒng)一認證，并保證業(yè)務系統(tǒng)訪問的安全性，成為關注的焦點。
2. 基于CA認證的統(tǒng)一認證平臺
基于CA認證的統(tǒng)一認證平臺解決方案應該以資源整合（業(yè)務系統(tǒng)整合和內容整合）為目標，以CA認證和PKI技術為基礎，通過對用戶身份的統(tǒng)一認證和訪問控制，更安全地實現各業(yè)務系統(tǒng)的單點登錄和信息資源的整合。
平臺兼容口令認證、PFX證書文件認證、USB智能卡認證等多種認證方式，并采用SSL加密通道、關鍵信息加密簽名、訪問控制策略等安全技術充分保證身份認證和業(yè)務系統(tǒng)訪問過程的安全性。
2.1 系統(tǒng)功能及架構
平臺的系統(tǒng)架構如圖1所示，主要包括以下部分：
門戶系統(tǒng)（Portal）：各業(yè)務系統(tǒng)信息資源的綜合展現；
平臺管理系統(tǒng)：平臺用戶的注冊、授權、審計；各業(yè)務系統(tǒng)的配置；門戶管理；
CA系統(tǒng)：平臺用戶的數字證書申請、簽發(fā)和管理；
用戶統(tǒng)一認證：用戶身份的CA數字證書認證、認證過程的SSL加密通道；
單點登錄（SSO）：業(yè)務系統(tǒng)關聯（mapping）、訪問控制、訪問業(yè)務系統(tǒng)時信息的加密簽名和SSL加密通道；

圖1

2.2 系統(tǒng)的實現和安全機制
2.2.1 用戶注冊和授權
（1）企業(yè)每一個用戶在平臺完成用戶注冊，得到自己的統(tǒng)一帳戶（passport）；
（2）如果采用證書文件或USB智能卡認證方式，則CA系統(tǒng)自動為平臺用戶簽發(fā)數字證書，并與用戶的統(tǒng)一帳戶對應。
（3）注冊的用戶可以由管理員進行分組，并根據分組設定相應的業(yè)務系統(tǒng)訪問權限。
2.2.2 業(yè)務系統(tǒng)的配置
接受統(tǒng)一認證的業(yè)務系統(tǒng)必須完成以下工作：
（1）安裝業(yè)務系統(tǒng)訪問前置并配置證書和私鑰，用以建立客戶端與業(yè)務系統(tǒng)之間的SSL加密通道，并接收處理平臺提供的加密簽名的用戶認證信息；
（2）提供關聯（mapping）接口和訪問驗證接口，并在平臺進行配置。關聯信息主要是平臺統(tǒng)一帳戶與業(yè)務系統(tǒng)用戶信息（可能包括業(yè)務系統(tǒng)的用戶名和密碼）的對應關系。

圖2 系統(tǒng)的實現和安全機制

 
2.2.3 用戶統(tǒng)一認證
如圖2所示，用戶統(tǒng)一認證過程采用SSL加密通道保證安全性。認證服務器負責SSL加密通道的建立。
（1）對于口令認證方式，認證服務器配置為單向SSL加密通道，客戶端不需要證書；
（2）對于證書文件或USB智能卡認證方式，認證服務器配置為雙向SSL加密通道，客戶端必須提供用戶證書，并由認證服務器完成對用戶證書和用戶身份的校驗；
客戶端瀏覽器與認證服務器之間采用HTTPS協議，認證服務器與平臺應用服務器之間采用HTTP協議。在用戶認證完成后，可根據需要設定客戶端瀏覽器對平臺的訪問是否繼續(xù)走SSL加密通道，充分兼顧安全與效率。
2.2.4 用戶的業(yè)務系統(tǒng)關聯（mapping）
用戶通過平臺認證后，第一次訪問業(yè)務系統(tǒng)時，平臺根據業(yè)務系統(tǒng)的配置自動生成業(yè)務關聯頁面，要求用戶進行關聯：
（1）用戶輸入業(yè)務系統(tǒng)的用戶信息（可能包括業(yè)務系統(tǒng)用戶名和密碼）；
（2）關聯信息連同時間戳被平臺的訪問控制服務器進行加密和簽名（業(yè)務系統(tǒng)證書加密，平臺私鑰簽名，時間戳用于防止重放攻擊）；
（3）加密簽名的關聯信息通過SSL加密通道，傳遞至業(yè)務系統(tǒng)訪問前置，并由其進行解密驗證后交給業(yè)務系統(tǒng)驗證；
（4）關聯信息驗證通過，則平臺將用戶統(tǒng)一帳戶與業(yè)務系統(tǒng)用戶信息建立對應關系，以備正常訪問業(yè)務系統(tǒng)時使用。
2.2.5 用戶對業(yè)務系統(tǒng)的正常訪問
如圖2所示，如果用戶完成了平臺統(tǒng)一帳戶與業(yè)務系統(tǒng)用戶信息的關聯，則在通過平臺認證后訪問業(yè)務系統(tǒng)時：
（1）平臺根據要訪問的業(yè)務系統(tǒng)ID和會話（session）中的用戶統(tǒng)一帳戶，查詢用戶的業(yè)務系統(tǒng)關聯信息；
（2）將相應信息和時間戳由訪問控制服務器加密簽名并經由客戶端，通過SSL加密通道，傳遞至業(yè)務系統(tǒng)訪問前置，并由其進行解密驗證后交給業(yè)務系統(tǒng)驗證；
（3）業(yè)務系統(tǒng)驗證通過后，自動跳轉進入業(yè)務系統(tǒng)。
在訪問業(yè)務系統(tǒng)時，相關信息的傳遞均結合時間戳、關鍵信息加密簽名和SSL加密通道技術，在自動認證完成后，業(yè)務系統(tǒng)可根據需要設定是否繼續(xù)走SSL加密通道。既保證了單點登錄過程中信息傳遞的保密性和真實性，有效防止了重放攻擊，又兼顧了業(yè)務系統(tǒng)訪問的安全與效率。
3. 系統(tǒng)特點
基于CA認證的統(tǒng)一認證解決方案與傳統(tǒng)的門戶產品相比，在進行業(yè)務系統(tǒng)整合和內容整合的同時，更加注重資源整合的效果和統(tǒng)一認證的安全性，具有以下特點：
（1）身份認證和單點登錄的高安全性
充分運用了CA認證、SSL加密通道、關鍵信息加密簽名、時間戳等技術，保證了信息傳遞的保密性，真實性，有效防止了重放攻擊。
（2）業(yè)務系統(tǒng)的實施工作量少
業(yè)務系統(tǒng)只需安裝配置訪問前置，并按規(guī)范提供關聯接口和訪問驗證接口即可。訪問前置支持Windows、Linux、Unix平臺，充分滿足各種平臺下業(yè)務系統(tǒng)的需求。
（3）充分兼顧系統(tǒng)安全與效率
在身份認證和單點登錄這樣的高風險階段，采用多種技術保證安全性，而在正常訪問業(yè)務系統(tǒng)數據時，可以綜合考慮安全與效率，靈活設置是否采用SSL加密通道。
（4）系統(tǒng)具有高可靠性和可用性
平臺支持軟件方式的負載均衡，充分滿足并發(fā)認證的需求；同時，平臺與業(yè)務系統(tǒng)之間采取松散耦合的方式，靈活滿足業(yè)務系統(tǒng)的調整和升級。