專利名稱：基于數(shù)字證書和多級域下的統(tǒng)一身份管理和認證方法
技術領域：
本發(fā)明屬于信息安全和認證領域，特別是涉及一種基于數(shù)字證書和多級域下 的統(tǒng)一身份管理和認證方法。
背景技術：
隨著信息化建設的不斷發(fā)展和加快，業(yè)務系統(tǒng)建設逐漸豐富到各個業(yè)務部室 和日常工作中。這些業(yè)務系統(tǒng)由于都只是面向各自的業(yè)務部門，造成每個業(yè)務部 門不得不維護一套獨立的用戶身份管理和認證；同時，在實際的業(yè)務過程中，一 旦用戶的信息發(fā)生變動，如崗位變動等，與之相關的業(yè)務系統(tǒng)都需要進行調(diào)整才 能適應這種改變，這種改變帶來的直接問題就是用戶信息數(shù)據(jù)不及時，不同步。 另外，隨著業(yè)務系統(tǒng)建設的不斷完善，用戶同時使用多個業(yè)務系統(tǒng)越來越頻繁， 而各業(yè)務系統(tǒng)的認證相互獨立，用戶密碼也不統(tǒng)一，這樣，用戶不得不在多個業(yè) 務系統(tǒng)之間輸入各種用戶登錄名和密碼進行登錄，造成用戶需要記住多個用戶帳 號和密碼，甚至包括各業(yè)務系統(tǒng)對應的訪問地址，無形中增加用戶業(yè)務操作的復 雜性。隨著企業(yè)"硬件集中、軟件集成"科技項目的開展，需要借助門戶系統(tǒng)， 完成統(tǒng)一用戶身份管理和認證服務的建設。

發(fā)明內(nèi)容
為了實現(xiàn)統(tǒng)一、方便的身份管理和認證，本發(fā)明的目的是提供一種采用AD 域數(shù)字證書，通過標準的LDAP協(xié)議，實現(xiàn)集團性用戶的基于數(shù)字證書和多級 域下的統(tǒng)一身份管理和認證方法。
本發(fā)明的目的是通過以下技術方案來實現(xiàn)的
一種基于數(shù)字證書和多級域下的統(tǒng)一身份管理和認證方法，其特征在于它包 括以下步驟
(1) 首先進行用戶身份維護； 一是采用定時與人力資源系統(tǒng)進行用戶身份信 息同步；二是通過人工維護方式，完成用戶數(shù)據(jù)信息的管理；
(2) 用戶身份信息同步到域；將用戶身份信息通過標準的LDAP協(xié)議，按照用 戶所屬單位同步到相應的AD子域中；其中，用戶密碼的改變通過AD根域分發(fā)的 CA，通過LDAPS方式完成修改。
(3)用戶認證;認證服務通過WebLogic Platform8.1中提供的用于和Windows 客戶端進行Single Sign-On的Single Pass Negotiate Identity Assertion Provider;結 合Microsoft Active Diretory，通過該Provider完成WebLogic Platform8.1和
Windows客戶端的Single Sign-On這種方法；其中，用戶通過此認證服務可實現(xiàn) 兩種方式登錄， 一是用戶的機器登錄到AD域后，不需要輸入用戶名和密碼就可 以訪問各業(yè)務系統(tǒng)；二是用戶只需要輸入一次用戶名和密碼即可訪問各業(yè)務系 統(tǒng)。
本發(fā)明的用戶身份信息有如下兩種管理方式
一是身份管理與人力資源系統(tǒng)每天定時同步；二是手工維護用戶身份信息。 用戶身份管理通過數(shù)據(jù)證書訪問相應的AD子域，實現(xiàn)身份信息與AD之間的自 動同步。同時，身份管理系統(tǒng)提供多種開發(fā)的web服務接口。企業(yè)各業(yè)務系統(tǒng) 通過這些開發(fā)的接口實現(xiàn)與用戶身份管理的同步，從而避免業(yè)務系統(tǒng)之間用戶身 份信息不一致，不及時，造成身份信息滯后，影響業(yè)務系統(tǒng)的正常運行，有效避 免的業(yè)務數(shù)據(jù)信息孤島的產(chǎn)生。
本發(fā)明，實現(xiàn)多級企業(yè)架構下的用戶身份集中管理和集中式的統(tǒng)一認證服 務，完成多級企業(yè)架構下用戶身份份統(tǒng)一管理，借助身份管理和多級的AD域控 制，搭建全省集中的統(tǒng)一認證服務。統(tǒng)一的用戶身份管理通過與人力資源系統(tǒng)用 戶同步和人工維護兩種方式獲取用戶身份數(shù)據(jù)信息，并同步到含有多級子域的 AD中。當用戶機器登錄到相應的AD域后，用戶即可不再輸入用戶名和密碼即 可實現(xiàn)認證，即實現(xiàn)了與AD域之間的單點登錄。
本發(fā)明中，用戶信息資源集中共享，便于管理和維護。用戶身份的統(tǒng)一，分 級管理，極大提高業(yè)務系統(tǒng)的開發(fā)效率，同時，各業(yè)務系統(tǒng)之間的用戶身份統(tǒng)一， 可避免多次重復的用戶維護工作。集中的統(tǒng)一認證，增強了認證的安全性，提高 了系統(tǒng)的可靠性。各業(yè)務系統(tǒng)之間可實現(xiàn)單點登錄，避免了二次登錄或多次登錄， 節(jié)省了技術成本和開發(fā)成本。
具體實施例方式
一種本發(fā)明所述的基于數(shù)字證書和多級域下的統(tǒng)一身份管理和認證方法，其 特征在于它包括以下步驟
(1) 首先進行用戶身份維護； 一是采用定時與人力資源系統(tǒng)進行用戶身份信 息同步；二是通過人工維護方式，完成用戶數(shù)據(jù)信息的管理；
(2) 用戶身份信息同步到域；將用戶身份信息通過標準的LDAP協(xié)議，按照用
戶所屬單位同步到相應的AD子域中；其中，用戶密碼的改變通過AD根域分發(fā)的 CA，通過LDAPS方式完成修改；
(3)用戶認證；認證服務通過WebLogic Platform8.1中提供的用于和Windows 客戶端進行Single Sign-On的Single Pass Negotiate Identity Assertion Provider;結 合Microsoft' Active Diretory，通過該Provider完成AVebLogie Platform8.1禾口 Windows客戶端的Single Sign-On這種方法；其中，用戶通過此認證服務可實現(xiàn) 兩種方式登錄， 一是用戶的機器登錄到AD域后，不需要輸入用戶名和密碼就可 以訪問各業(yè)務系統(tǒng)；二是用戶只需要輸入一次用戶名和密碼即可訪問各業(yè)務系 統(tǒng)。
本發(fā)明中，WebLogic Platform 8.1提供了非常友好的界面，具體同步的實 現(xiàn)細節(jié)如下
用戶數(shù)據(jù)信息流向
流向統(tǒng)一用戶管理平臺----------------+AD。
數(shù)據(jù)用戶信息(用戶名、UserCode、辦公電話、手機、工號、部門)
觸發(fā)者AD同步程序定時運行。
同步方式
統(tǒng)一用戶管理平臺涉及到的表和接口
統(tǒng)一用戶管理平臺在自己的數(shù)據(jù)庫中建一個表"部門用戶變更記錄表"，記
錄統(tǒng)一用戶管理平臺對部門或用戶的變更(增、刪、改)、相應的"部門信息" 或"用戶信息"、變更的時間、變更ID。同時建另一個表"同步目標"，記錄"部
門用戶變更記錄表"中的變更要自動同步到哪些系統(tǒng)。
目前要自動同步的系統(tǒng)是"AD"要同步用戶相關的變更，"Domino"要 同步用戶和部門相關的變更。
統(tǒng)一用戶管理平臺提供兩個接口
1、 獲取最近部門用戶變更記錄的接口，命名為"統(tǒng)接口一"。
2、 讓其它系統(tǒng)(AD和Domino同步程序)告知統(tǒng)一用戶管理平臺哪些變 更同步成功的接口 "統(tǒng)接口二"。
同步過程
統(tǒng)一用戶管理平臺在完成部門或用戶的操作(增、刪、改)后把變更記錄保 存在"部門用戶變更記錄表"表中。
AD同步程序定時(例如每天夜里2點)或者(人工驅動)調(diào)用統(tǒng)一用戶
管理平臺提供的接口 "統(tǒng)接口一"獲取所有最近用戶變記錄后把這些信息同步到
AD。同步完成后AD同步程序調(diào)用統(tǒng)一用戶管理平臺提供的接口 "統(tǒng)接口二" 告知統(tǒng)一用戶管理平臺AD同步成功的變更記錄，統(tǒng)一用戶管理平臺把同步成功 的變更記錄的"同步目標"中的"AD"刪除，如果該記錄沒有"同步目標"了 則把該變更記錄也刪除。
統(tǒng)一身份認證服務采用基于AD域的認證方式，實現(xiàn)認證。具體認證方法如
下
用戶登錄到域
所有應用系統(tǒng)改造為采用統(tǒng)一認證服務進行用戶身份驗證。用戶登錄到域直 接訪問Portal,當用戶單擊Portal中的業(yè)務應用系統(tǒng)鏈接后，業(yè)務系統(tǒng)判斷當 前用戶Session中是否存在？如果存在，則當前用戶擁有使用業(yè)務系統(tǒng)權限。如 果用戶Session不存在，則轉向ServiceApp提供的驗證URL, ServiceApp已經(jīng)配 置釆用AD作為統(tǒng)一認證源。ServiceApp判斷當前用戶Session中是否存在？如 果存在，則直接返回UserCode，表示當前用戶合法。用戶Session不存在，則系 統(tǒng)自動進行AD認證，認證成功，ServiceApp返回用戶的UserCode，同時自動 轉向應用系統(tǒng)，應用系統(tǒng)根據(jù)UserCode驗證當前用戶同時進行權限分配。驗證 失敗如當前用戶是域用戶，但不具有訪問serviceApp資源的權限，則顯示顯示 無權限訪問。
用戶沒有登錄到域
所有應用系統(tǒng)改造為采用統(tǒng)一認證服務進行用戶身份驗證。用戶直接訪問 Portal,系統(tǒng)自動彈出windows登錄對話框，用戶輸入AD的登錄名和口令，通 過AD認證后，用戶方可使用Portal,驗證失敗，則顯示顯示無權限訪問。當用 戶單擊Portal中的業(yè)務應用系統(tǒng)鏈接后，業(yè)務系統(tǒng)判斷當前用戶Session中是否
存在？如果存在，則當前用戶擁有使用業(yè)務系統(tǒng)權限。用戶Session不存在，則 轉向Sen/iceA叩提供的驗證URL， ServiceApp已經(jīng)配置釆用AD作為統(tǒng)一認證 源，與Portal應用同時作為一個企業(yè)應用部署。ServiceApp判斷當前用戶S ssion 中是否存在？如果存在，則直接返回UserCode，表示當前用戶合法。用戶Session 不存在，則系統(tǒng)自動彈出windows登錄對話框，用戶輸入AD的登錄名和口令， 通過AD認證后，ServiceA叩返回用戶的UserCode,同時自動轉向業(yè)務系統(tǒng)具 體頁面。驗證失敗，則顯示顯示無權限訪問。
本發(fā)明使用戶信息資源集中共享，便于管理和維護。用戶身份的統(tǒng)一，分級 管理，極大提高業(yè)務系統(tǒng)的開發(fā)效率，同時，各業(yè)務系統(tǒng)之間的用戶身份統(tǒng)一， 可避免多次重復的用戶維護工作。集中的統(tǒng)一認證，增強了認證的安全性，提高 了系統(tǒng)的可靠性。各業(yè)務系統(tǒng)之間可實現(xiàn)單點登錄，無需通過其他技術實現(xiàn)，節(jié) 省了技術成本和開發(fā)成本。
權利要求
1、一種基于數(shù)字證書和多級域下的統(tǒng)一身份管理和認證方法，其特征在于它包括以下步驟(1)首先進行用戶身份維護；一是采用定時與人力資源系統(tǒng)進行用戶身份信息同步；二是通過人工維護方式，完成用戶數(shù)據(jù)信息的管理；(2)用戶身份信息同步到域；將用戶身份信息通過標準的LDAP協(xié)議，按照用戶所屬單位同步到相應的AD子域中；其中，用戶密碼的改變通過AD根域分發(fā)的CA，通過LDAPS方式完成修改；(3)用戶認證；認證服務通過WebLogic Platform8.1中提供的用于和Windows客戶端進行Single Sign-On的Single Pass Negotiate Identity Assertion Provider；結合Microsoft Active Diretory，通過該Provider完成WebLogic Platform8.1和Windows客戶端的Single Sign-On這種方法；其中，用戶通過此認證服務可實現(xiàn)兩種方式登錄，一是用戶的機器登錄到AD域后，不需要輸入用戶名和密碼就可以訪問各業(yè)務系統(tǒng)；二是用戶只需要輸入一次用戶名和密碼即可訪問各業(yè)務系統(tǒng)。
全文摘要
本發(fā)明公開了一種基于數(shù)字證書和多級域下的統(tǒng)一身份管理和認證方法，首先進行用戶身份維護；采用定時與人力資源系統(tǒng)進行用戶身份信息同步；通過人工維護方式，完成用戶數(shù)據(jù)信息的管理；用戶身份信息同步到域；將用戶身份信息通過標準的LDAP協(xié)議，按照用戶所屬單位同步到相應的AD子域中；實現(xiàn)用戶認證；用戶可實現(xiàn)兩種方式登錄，一是用戶的機器登錄到AD域后，不需要輸入用戶名和密碼就可以訪問各業(yè)務系統(tǒng)；二是用戶只需要輸入一次用戶名和密碼即可訪問各業(yè)務系統(tǒng)。本發(fā)明避免業(yè)務系統(tǒng)之間用戶身份信息不一致，不及時；而且各業(yè)務系統(tǒng)之間相互完成了單點登錄，避免了二次或多次登錄，降低為實現(xiàn)單點登錄而帶來的技術和開發(fā)成本。
文檔編號H04L9/32GK101179387SQ20071019152
公開日2008年5月14日 申請日期2007年12月12日 優(yōu)先權日2007年12月12日
發(fā)明者巍 唐, 王紀軍, 許海清 申請人:江蘇省電力公司