一种实现单点登录的系统及方法

一种实现单点登录的系统及方法
【技术领域】
[0001]本发明涉及信息应用领域，尤指一种实现单点登录的系统及方法。
【背景技术】
[0002]单点登录(Single Sign ON，SSO)，是目前比较流行的企业业务整合的解决方案之一，在多个应用系统模块中定义SS0，用户只需要登录一次就可以访问所有相互信任的应用系统模块。由于在企业网站实现单点登录，即可将企业内部的各种应用系统模块集成在一起，体现了企业应用系统模块的整体性和完整性，简化了企业用户的操作，减轻了用户的管理和系统维护的成本，因此实现单点登录意义比较重大。
[0003]目前，实现单点登录的方法常常是在门户服务器(portal)进行门户登录、身份认证。针对支持门户验证的应用系统模块，portal在用户通过身份认证之后为其产生一个表示认证通过的认证凭据一票据，并将该票据发送到用户请求访问的应用系统模块，以便该应用系统模块根据该票据允许用户登录并访问该应用系统模块；而针对不支持门户验证的应用系统模块，portal在对用户进行身份认证并认证通过之后，由portal采取代填服务的方式将应用系统模块对该用户进行身份认证的信息通过网络传输给应用系统模块，以便该应用系统模块对该用户进行身份认证以及根据认证结果处理用户的登录请求。
[0004]参见图1，为现有技术中实现单点登录的系统架构图，该系统可包括门户服务器(portal) 1、应用系统模块2(该应用系统模块支持门户验证)、外购应用系统模块3 (该应用系统模块不支持门户验证)、中间件认证系统；portal与应用系统模块2所在设备或外购应用系统模块3所在设备与中间件认证系统之间通过网络(Network)进行信息交互，其中，portal I中包括登录服务模块、验证服务模块、单点登录用户信息存储模块、票据验证服务模块；应用系统模块2中包括门户验证客户端与用户信息存储模块；外购应用系统模块3中包括系统认证服务模块与用户信息存储模块；中间件认证系统包括验证服务模块和用户信息映射服务模块。
[0005]参见图2，为现有技术基于图1所示系统架构实现单点登录的流程示意图，该流程包括以下步骤:
[0006]步骤201?202、用户当前所在的客户端通过portal I的登录服务模块提供的登录界面向portal发送登录应用系统模块的登录请求，其中携带登录应用系统模块时所使用的用户登录信息与业务请求信息；portal I提取该登录请求中的用户登录信息，由验证服务模块根据单点登录用户信息存储模块中存储的该用户登录应用系统模块时所使用的用户登录信息对该用户进行身份验证。
[0007]在验证通过后，portal I根据业务请求信息，判断该用户是访问应用系统模块2还是外购应用系统模块3，如果访问应用系统模块2，则执行步骤203?205 ;如果访问外购应用系统模块3，则执行步骤206?207。
[0008]在步骤203?205中，portal I中的票据验证服务模块根据用户发送的用户登录信息生成与其相关联的凭据，然后将该用户登录信息及票据发送至应用系统模块2 ;应用系统模块2的门户验证客户端解析出票据后对其合法性进行验证，并根据验证结果决定是否允许该用户登录应用系统模块2。
[0009]在步骤206?207中，portal I的代理服务模块根据用户发送的用户登录信息以及用户信息映射表，得到该用户在外购应用系统模块3中的用户登录信息，再将业务请求信息和得到的用户登录信息通过网络发送到外购应用系统模块3的认证服务模块；认证服务模块根据接收到的用户登录信息与用户信息存储模块中的用户登录信息对用户进行身份认证，并根据认证结果决定是否允许该用户登录外购应用系统模块3。
[0010]由于现有单点登录技术中，针对不支持门户认证的外购应用程序需要中间件认证系统进行认证服务，即需要中间件认证系统来填写用来进行用户身份认证的信息并通过网络传输该信息进行身份认证，一方面，由于该中间件认证系统系外购系统，涉及到采购成本及实施难度以及后期的运维开发问题；另一方面，当在网络中集成有大量这种不支持门户验证的应用系统模块时，需要考虑系统集成兼容性问题，以及执行大量的认证服务以及用户信息映射的维护工作，因而导致运维的工作负荷较大。

【发明内容】

[0011](一)要解决的技术问题
[0012]本发明的目的在于提供一种实现单点登录的系统及方法，以解决现有单点登录过程中，数据传输的安全可靠性较低以及门户服务器工作负荷较大的问题。
[0013](二)技术方案
[0014]本发明提供一种实现单点登录的系统，该系统包括门户服务器portal、代理服务集群及应用系统；其中，
[0015]门户服务器portal，用于对用户进行身份认证，认证通过后，生成用户登录票据并发送给代理服务集群；
[0016]应用系统，用于对用户进行身份认证，认证通过后，用户通过客户端向代理服务集群发送业务请求票据；
[0017]代理服务集群，用于比对业务请求票据及用户登录票据，若一致，则控制应用系统向客户端发送业务数据。
[0018]本发明还提供一种实现单点登录的方法，该方法包括:
[0019]步骤1，门户服务器对用户进行身份认证，认证通过后，生成用户登录票据并发送给代理服务集群；
[0020]步骤2，应用系统对用户进行身份认证，认证通过后，用户通过客户端向代理服务集群发送业务请求票据；
[0021]步骤3，代理服务集群比对业务请求票据及用户登录票据，若一致，则控制应用系统向客户端发送业务数据。
[0022](三)有益效果
[0023](I)本发明提供的实现单点登录的系统及方法，通过设置代理服务集群对用户登录信息进行映射，然后通过内部连接将用户登录信息传输给应用系统，避免了在网络层传输过程中被截取或被破解的可能性，提高信息传输的安全可靠性；
[0024](2)本发明提供的实现单点登录的系统及方法，不需要在门户服务器上进行票据，而是采用代理服务集群来进行票据比对验证，因而从一定程度上减轻了门户服务器的工作量。
【附图说明】
[0025]图1是现有技术中实现单点登录的系统架构图。
[0026]图2是现有技术基于图1所示系统架构实现单点登录的流程示意图。
[0027]图3是本发明提供的实现单点登录的系统结构图。
[0028]图4是本发明提供的实现单点登录的方法流程示意图。
【具体实施方式】
[0029]为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。
[0030]本发明提供一种实现单点登录的系统，其包括门户服务器、代理服务集群及应用系统；其中，门户服务器用于对用户进行身份认证，认证通过后，生成用户登录票据并发送给代理服务集群；应用系统用于对用户进行身份认证，认证通过后，用户通过客户端向代理服务集群发送业务请求票据；代理服务集群用于比对业务请求票据及用户登录票据，若一致，则控制应用系统向客户端发送业务数据。本发明提供的实现单点登录的系统解决了现有单点登录过程中，数据传输的安全可靠性较低以及门户服务器工作负荷较大问题。
[0031]如图3所示，图3是本发明提供的一种实现单点登录的系统，结合具体实施例，该系统包括门户服务器、代理服务集群及应用系统。其中，门户服务器用于对用户进行身份认证，认证通过后，生成用户登录票据并发送给代理服务集群；应用系统用于对用户进行身份认证，认证通过后，应用系统向客户端发送认证通过信号，客户端响应于认证通过信号向代理服务集群发送业务请求票据；代理服务集群用于比对业务请求票据及用户登录票据，若一致，则向应用系统发送比对一致信号，应用系统响应于比对一致信号向客户端发送业务数据。其中，门户服务器包括登录服务模块、验证服务模块及票据服务模块；代理服务集群包括信息映射模块、代理服务模块及门户验证客户端；应用系统包括认证服务模块及业务服务t吴块。
[0032]在门户服务器中，用户需要登录应用系统时，登录服务模块提供登