专利名称:一种税务云计算系统之间共享身份认证信息的方法
技术领域:
本发明涉及在税务云计算SAAS层业务系统之间共享身份认证信息的应用,具体的说是一种为税局建设统一的“云安全服务平台”,并使用专用E0LA_UKEY设备,存储该平台中集中管理的用户的身份认证信息;同时,对税局云计算平台中SAAS层的各业务系统登录模块、权限验证模块进行改造,使之可安全访问E0LA_UKEY设备,通过E0LA_UKEY设备中存储的相关数据,实现多系统之间身份认证信息共享的方法。
背景技术:
目前,随着云计算技术的不断兴起,各地税局为了对其内部软硬件资源进行更好的管理和对外提供更高效的税务软件服务,纷纷建设自己税务云计算平台,并将现有业务系统进行云计算改造,移植到平台SAAS层中进行运维。但是,这些改造后的“SAAS层业务系统”之间,由于每个系统都独立建设,很难实现各系统之间的数据共享,用户在使用这些系统的时候,仍需要单独记录每个系统的登录账号、密码等身份认证信息,给使用造成了不便。该方法所提出的共享身份认证信息的方法,正是基于该背景下,提出的一种新的在“SAAS层业务系统”间解决身份认证信息数据共享的方法。通过该方法,用户不仅可以通过在E0LA_UKEY设备中安全存储身份认证信息,实现多系统统一身份登陆,更可以扩展实现多税务业务系统单点登陆的支持。
发明内容
本发明的目的是提供一种在税务云计算系统之间共享身份认证信息的方法。本发明的目的是按以下方式实现的,步骤如下
1)参照税局信息化建设要求,为税局建设统一的“云安全服务平台”,对用户身份认证信息进行集中统一身份认证信息管理;
2)对税局云计算SAAS层现有业务系统进行改造,修改各系统的登录模块、权限验证模块,使用“云安全服务平台”的安全服务替代这两个模块原有功能,新建设业务系统可直接使用“云安全服务平台”进行开发;
3)为每个使用“SAAS层业务系统”的用户提供一个专用E0LA_UKEY(Extentof Login Authority)设备,设备中存储用户在“云安全服务平台”中进行集中管理的用户名、密码等身份认证信息,与唯一的设备编号一起作为“SAAS层业务系统”的用户身份识别因素;
4)用户在使用诸如税务网开系统、税务在线客服IM系统的“SAAS层业务系统”进行登录时,自动从E0LA_UKEY设备中读取相应的身份认证信息,经“云安全服务平台”进行数据解密、身份认证信息比对成功后,完成各业务系统的系统登录,实现在税务云计算SAAS层业务系统之间多系统共享身份认证信息。
3
对于已有“SAAS层业务系统”的税局,需要对各系统的登录模块、权限验证模块进行改造,使用“云安全服务平台”的安全服务替代这两个模块的原有功能,并扩展支持对 E0LA_UKEY设备的安全访问;对于新建设的“SAAS层业务系统”,可直接使用“云安全服务平台”进行开发。为每个使用“SAAS层业务系统”的用户发放一个用作身份识别的E0LA_UKEY设备, 并在UKEY设备中存储该用户的相关身份识别信息,例如用户名、密码。在E0LA_UKEY设备中,存储用户的身份识别信息,并按照特定的加密算法,对外提供数据加密查询功能,即通过E0LA_UKEY设备查询接口获得数据全部都是加密后的密文, E0LA_UKEY本身不对外提供任何明文数据信息。E0LA_UKEY设备提供多种数据算法,在对外提供加密数据查询服务时,自动根据本身时钟所属时段,动态选择加密算法和加密密钥。"SAAS层业务系统”在进行身份认证之前,将查询到的密文信息和E0LA_UKEY设备上显示的时间信息,一起发送到税局的“云安全服务平台”进行解密,“云安全服务平台”首先判断时间戳信息与本身时钟的时间差是否在允许的范围内,如果超出允许范围,那么返回解密失败;如果在允许的范围内,那么根据时间戳信息,按照种子算法使用与该时段匹配的解密程序和解密密钥对密文进行解密,并将解密结果返回给业务系统。"SAAS层业务系统”提供从E0LA_UKEY中直接读取身份认证信息的功能。“SAAS层业务系统”本身无需保留系统用户身份认证信息,但必须能够正常访问 “云安全服务平台”。本发明的优异效果是参照税局信息化建设要求,为税局建设统一的“云安全服务平台”,对用户身份认证信息进行集中管理;并对税局云计算SAAS层现有业务系统进行改造,修改各系统的登录模块、权限验证模块,使用“云安全服务平台”的安全服务替代这两个模块原有功能,同时扩展支持对E0LA_UKEY设备的安全访问。为每个使用“SAAS层业务系统”的用户提供一个专用E0LA_UKEY设备,设备中存储用户在“云安全服务平台”中进行集中管理的用户名、密码等身份认证信息,与唯一的设备编号一起作为“SAAS层业务系统”的用户身份识别因素。用户在使用诸如税务网开系统、税务在线客服IM系统等“SAAS层业务系统”进行登录时,自动从E0LA_UKEY设备中读取相应的身份认证信息,经“云安全服务平台”进行数据解密、身份认证信息比对成功后,完成各业务系统的系统登录,实现在税务云计算SAAS 层业务系统之间多系统共享身份认证信息。
图1为E0LA_UKEY设备硬件构成示意图。图2为“SAAS层业务系统”登录流程示意图。图3为“云安全服务平台”身份认证流程示意图。
具体实施例方式
参照说明书附图对本发明的方法作以下详细地说明。 本发明的方法是利用E0LA_UKEY设备强大的数据加密能力,以设备时钟与“云安
4全服务平台”时钟的同步作为基准准则,为系统用户提供身份认证信息安全存储策略,并与 "SAAS层业务系统”作应用对接,实现在多个税务系统之间共享纳税人身份认证信息的目的,其实现步骤如下
1)为税局建设统一的“云安全服务平台”,使用该平台对用户进行统一身份认证信息
管理;
2)对“SAAS层业务系统”已有的登录模块、权限验证模块进行改造,使用“云安全服务平台”的安全服务替代这两个模块的原有功能,同时扩展支持对E0LA_UKEY设备的安全访问;对于新建设的“SAAS层业务系统”,可直接使用“云安全服务平台”进行开发;
3)为每个使用“SAAS层业务系统”的用户发放一个用作身份识别的E0LA_UKEY设备, 并在UKEY设备中存储该用户的相关身份识别信息,例如用户名、密码等;
4)在E0LA_UKEY设备中,存储用户身份识别信息,并按照特定的加密算法,对外提供数据加密查询功能。即通过E0LA_UKEY设备查询接口获得数据全部都是加密后的密文, E0LA_UKEY本身不对外提供任何明文数据信息;
5)E0LA_UKEY设备提供多种数据算法,在对外提供加密数据查询服务时,自动根据本身时钟所属时段,动态选择加密算法和加密密钥,生成密文数据;
6)"SAAS层业务系统”在进行身份认证之前,将查询到的密文信息和E0LA_UKEY设备上显示的时间信息,一起发送到税局的“云安全服务平台”进行解密。“云安全服务平台”首先判断时间戳信息与本身时钟的时间差是否在允许的范围内,如果超出允许范围,那么返回解密失败;如果在允许的范围内,那么根据时间戳信息,按照种子算法使用与该时段匹配的解密程序和解密密钥对密文进行解密,并将解密结果返回给业务系统;
7)“SAAS层业务系统”将解密后的数据,与唯一设备编号一起,发送到“云安全服务平台”中,对用户的身份认证信息进行比对,如果比对成功,则进行后续的登陆加载流程;如果比对失败,那么给用户相应的错误提示信息。 除说明书所述的技术特征外,均为本专业技术人员的已知技术。
权利要求
1.一种在税务云计算系统之间共享身份认证信息的方法,其特征在于,方法步骤如下1)参照税局信息化建设要求,为税局建设统一的“云安全服务平台”,对用户身份认证信息进行集中统一身份认证信息管理;2)对税局云计算SAAS层现有业务系统进行改造,修改各系统的登录模块、权限验证模块,使用“云安全服务平台”的安全服务替代这两个模块原有功能,新建设业务系统可直接使用“云安全服务平台”进行开发;3)为每个使用“SAAS层业务系统”的用户提供一个专用EOLA_UKEY(EXtentof Login Authority)设备,设备中存储用户在“云安全服务平台”中进行集中管理的用户名、密码等身份认证信息,与唯一的设备编号一起作为“SAAS层业务系统”的用户身份识别因素;4)用户在使用诸如税务网开系统、税务在线客服IM系统的“SAAS层业务系统”进行登录时,自动从E0LA_UKEY设备中读取相应的身份认证信息,经“云安全服务平台”进行数据解密、身份认证信息比对成功后,完成各业务系统的系统登录,实现在税务云计算SAAS层业务系统之间多系统共享身份认证信息;登录,实现在税务云计算SAAS层业务系统之间多系统共享身份认证信息。
2.根据权利要求1所述的方法,其特征在于对于已有“SAAS层业务系统”的税局,需要对各系统的登录模块、权限验证模块进行改造,使用“云安全服务平台”的安全服务替代这两个模块的原有功能,并扩展支持对E0LA_UKEY设备的安全访问;对于新建设的“SAAS层业务系统”,可直接使用“云安全服务平台”进行开发。
3.根据权利要求1所述的方法,其特征在于为每个使用“SAAS层业务系统”的用户发放一个用作身份识别的E0LA_UKEY设备,并在UKEY设备中存储该用户的相关身份识别信息,例如用户名、密码。
4.根据权利要求1所述的方法,其特征在于在E0LA_UKEY设备中,存储用户的身份识别信息,并按照特定的加密算法,对外提供数据加密查询功能,即通过E0LA_UKEY设备查询接口获得数据全部都是加密后的密文,E0LA_UKEY本身不对外提供任何明文数据信息。
5.根据权利要求4所述的方法,其特征在于E0LA_UKEY设备提供多种数据算法,在对外提供加密数据查询服务时,自动根据本身时钟所属时段,动态选择加密算法和加密密钥;"SAAS层业务系统”在进行身份认证之前,将查询到的密文信息和E0LA_UKEY设备上显示的时间信息,一起发送到税局的“云安全服务平台”进行解密,“云安全服务平台”首先判断时间戳信息与本身时钟的时间差是否在允许的范围内,如果超出允许范围,那么返回解密失败;如果在允许的范围内,那么根据时间戳信息,按照种子算法使用与该时段匹配的解密程序和解密密钥对密文进行解密,并将解密结果返回给业务系统。
6.根据权利要求4所述的方法,其特征在于“SAAS层业务系统”提供从E0LA_UKEY中直接读取身份认证信息的功能。
7.根据权利要求1所述的方法,其特征在于“SAAS层业务系统”本身无需保留系统用户身份认证信息,但必须能够正常访问“云安全服务平台”。
全文摘要
本发明提供一种在税务云计算系统之间共享身份认证信息的方法,该方法是参照税局信息化建设要求,为税局建设统一的“云安全服务平台”,对用户身份认证信息进行集中管理;并对税局云计算SAAS层现有业务系统进行改造,修改各系统的登录模块、权限验证模块,使用“云安全服务平台”的安全服务替代这两个模块原有功能,同时扩展支持对EOLA_UKEY设备的安全访问。用户在使用诸如税务网开系统、税务在线客服IM系统等“SAAS层业务系统”进行登录时,自动从EOLA_UKEY设备中读取相应的身份认证信息,经“云安全服务平台”进行数据解密、身份认证信息比对成功后,完成各业务系统的系统登录,实现在税务云计算SAAS层业务系统之间多系统共享身份认证信息。
文档编号H04L29/08GK102427447SQ20111033598
公开日2012年4月25日 申请日期2011年10月31日 优先权日2011年10月31日
发明者于治楼, 徐兵兵, 杨培强, 王永军 申请人:浪潮齐鲁软件产业有限公司