黑龙江移动SSO项目技术交流

黑龙江移动SSO项目交流公司简介炎黄新星项目优势SSO项目概述SSO技术架构及功能实现目录公司概况公司简介炎黄新星于1999年诞生于美国硅谷总部设在北京，在上海、福建、山东、浙江等地设有分公司；在江西、宁夏、海南、广西、山西等地设有办事处。公司注册资本6,650万，资金实力雄厚人员规模：600人，工程技术人员比重超过70%国家认证高新技术企业、系统集成企业公司概况公司简介北京炎黄新星网络科技有限公司---国内领先的互联网及电子商务领域的独立软件开发商及运营服务提供商。合作伙伴BEA\IBM\HP\SUN国外知名厂商长期合作伙伴，合作开发如北京社保、工商银行门户等多个大型项目炎黄新星定位于国内大型企业IT技术服务市场，多年来承建了众多大型电信运营商级应用平台、互联网系统，服务于国内知名企业如中国移动、中国联通、中国电信、中国网通、中国铁通、卫通及首创安泰保险公司、美国友邦保险公司、太平洋保险公司、恒安人寿、松下通讯、携程、中国电力等企业公司概况公司简介北京天津山东安徽上海广西江西河北福建内蒙古宁夏海南重庆山西贵州湖南湖南河南炎黄新星客户分布全国20个省份浙江对系统建设、运营全程参与公司简介1〉业务咨询＋需求调研2〉设计策划原型设计：交互式演进3〉技术开发以技术平台为基础4〉系统维护＋优化建议5〉运营管理服务一体化网站及电子渠道业务咨询网站及电子渠道策划设计网站及电子渠道应用技术网站及电子渠道系统维护网站及电子渠道运营服务5大服务炎黄新星服务理念-------让客户满意，为客户的客户服务！公司简介成熟的电子渠道系统运营商中国移动2000年-2011年移动电子商务入围厂商，中标承建多省移动电子商务系统完成福建、宁夏、山西、重庆、河北、江西、安徽、广西、海南、浙江等移动网上业务系统建设运营，包括门户网站、网上营业厅、网上商城、WAP营业厅、手机营业厅、SSO系统等；参与中国移动业务规范编写，包括电子商务规范、业务百分百规范、门户网站安全技术规范等中国联通2000-2011为联通总部及全国多省联通建立网上电子渠道业务系统目前已经为联通总部、上海联通、湖南联通、北京联通、山东联通、湖北联通、黑龙江联通等省份建设了各类电子渠道系统……参与多期中国联通电子渠道ECS系统工程技术规范编写。成功案例---中国移动公司简介山西移动网上商城福建移动网上商城（含12580）重庆移动网上商城安徽移动网上商城（含12580）海南移动网上商城江西移动网上商城宁夏移动网上营业厅福建移动网上营业厅江西移动网上营业厅(客户端)广西、山西移动FLASH网上营业厅浙江移动网上营业厅海南移动网上营业厅福建移动门户网站（1-4期）海南移动门户网站（3-4期）山西移动门户网站（1-3期）宁夏移动门户网站广西移动门户网站江西移动门户网站浙江移动门户网站山西移动门户网站SSO工程福建移动门户网站SSO工程河北移动门户网站SSO工程江西移动门户网站SSO工程宁夏移动门户网站SSO工程河北移动门户网站SSO工程其它山东移动网上支付系统福建移动办公助理系统（1-4期）移动梦网UMS平台（5省试点）江苏移动爱心工程广西移动门户网站SSO工程海南移动门户网站SSO工程成功案例---中国联通公司简介中国联通企业门户网站中国联通A股网站联通总部05年门户网站整合福建联通05年门户网站整合上海联通05年门户网站整合湖北联通05年门户网站整合湖南联通05年门户网站整合河南联通05年门户网站整合海南联通05年门户网站整合江西联通05年门户网站整合北京联通05年门户网站整合山东联通05年门户网站整合联通总部IPhone门户网站黑龙江联通SP增值门户网站上海联通电子商务系统联通总部ECS系统（含网上营业厅）联通总部短信营业厅联通总部WAP营业厅湖北联通短信营业厅联通总部Iphone客户端湖南联通短信营业厅湖南联通SSO工程其它联通总部中间账户系统联通总部统一通知平台联通总部内部OA系统联通总部项目管理平台系统上海联通SSO工程联通支付公司SSO工程成功案例---大型企业网站建设公司简介中国家庭网中国电信数据局海关电子报税系统合肥电信公众缴费平台网交会系统（7省电信）天津网通企信通铁通成长E站网络教育门户网站合肥电信公众服务平台长城宽带网络增值服务社区网站中国卫通门户网站江西电信信息田园门户内蒙古电信移动信息服务与营销管理平台中荷人寿门户网站及业务同仁网友邦保险公司门户网站友邦保险公司INTRANET网站系统太平洋保险公司门户网站其它运营商成功案例保险行业其它行业开心辞典（02年7月后，由央视自己支持）八佰拜网上商城中国邮政183网站海龙电子商城网络系统松下魔力盒网站系统中电投统一消息平台新奥燃气网站（一期、二期）中电投办公助理系统曹安商贸城电子商务平台劳动部社会保险系统领土网络游戏卡平台及计费系统青牛软件网上商城福建龙岩政府通用信息平台阳光100SCM信息系统SSO项目概述炎黄新星项目优势公司简介SSO技术架构及功能实现目录产品定义SSO项目概述SSO（SingleSign-On）----单点登录。门户网站使用SSO系统后，无论用户从哪个业务网站（或客户端）登录，只要在没有退出的情况下，都可以用首次登录时的身份认证级别在各业务网站进行业务办理。用户在各个业务网站之间的切换，无须再次进行登录及身份认证。以上功能都是由后台的SSO认证中心来完成的，用户毫无感知，极大的方便了用户在不同的业务网站间进行业务的查询及办理。产品注册名称：炎黄新星统一认证平台系统炎黄新星SSO产品优势SSO项目概述炎黄新星的SSO产品，是“电信级”的统一认证平台炎黄新星SSO产品具有自主知识产权；炎黄新星SSO产品支持多厂商实现环境：支持多种商业中间件环境上的实现SAMLv2.0的断言处理；炎黄新星SSO产品有着大量的成功使用案例，有着丰富的产品实施经验：炎黄新星SSO产品采用了SSL3.0和服务器间证书验证等技术，具有较高的安全性。炎黄新星SSO产品完全支持不同密级认证关系传递或分层的认证体系。应用场景举例SSO项目概述案例汇总炎黄SSO项目案例宁夏移动河北移动江西移动福建移动广西移动联通集团支付公司、湖南、上海联通炎黄新星SSO成功案例我们有着丰富的电信级SSO平台开发、实施经验海南移动山西移动案例介绍炎黄SSO项目案例SSO技术架构及功能实现炎黄新星项目优势SSO项目概述公司简介目录体系架构说明SSO技术架构登录服务认证服务A省CRM系统一级业务平台一级门户网站A省业务平台A省门户网站登录服务认证服务B省CRM系统认证服务登录服务A省认证中心B省认证中心一级认证枢纽B省业务平台B省门户网站单点登录数据流统一认证数据流一级系统A省系统B省系统总体功能架构SSO技术架构登录服务模块功能SSO功能实现网站的登录页面通过iFrame嵌入统一认证中心的登录页面实现用以标识已经登录用户身份信息。生成32位的UID。接口交互时使用，用户获取后需写入Cookie认证中心的登录服务要在相应的浏览器的cookie中写入相应的信息。用户在SSO的过程中，门户网站和业务平台读取Cookie中的内容。认证服务模块功能SSO功能实现业务网站统一认证要求SSO功能实现当用户访问受限页面时，会提示用户输入用户认证，认证成功之后，获得用户的认证信息，门户网站或者业务平台将认证信息写入用户的业务会话。业务会话作用是用户后续访问门户网站或业务平台时，门户网站或业务平台根据用户业务会话识别用户的身份，避免频繁访问登录服务器，造成登录服务器负荷过重。。用户业务会话的有效期设置为30分钟。日志处理SSO功能实现记录用户的访问情况记录内容：用户登录帐号，登录时间，登录的网站，在本网站停留时长，用户来源网站，用户登出时间，登出网站用于分析和统计记录内容：用户帐号、访问时间(格式：YYYY-MM-DDHI24:MI:SS)、访问地址来源(格式：)、状态（http状态比如：200访问成功、302访问跳转、40X客户端错、50X服务端错误等等）、当前地址(格式：)、用户归属省编号、登出时间(格式：YYYY-MM-DDHI24:MI:SS)、登录服务的访问次数、用户的浏览器类型。单点登录的响应时间分析用户登录帐号、登录请求时间（毫秒的长整型）、需要访问的省份（ID）请求CRM系统开始时间、请求CRM系统结束时间（毫秒的长整型）、登录响应时间（毫秒的长整型）。接口结构SSO功能实现登录服务认证服务IF2省级业务平台省级门户网站一级门户网站登录服务认证服务IF3省级认证中心IF1IF1IF1IF3IF2一级认证枢纽省CRM系统IF4一级门户网站IF1单点登录数据流统一认证数据流SAMLDiameter信息安全SSO远程通信接口描述SSO功能实现①SAML（安全断言标记语言）不仅为用户提供XML安全信息格式，同时定义了这些消息与SOAP等应用协议的协作方式。②Diameter是IETFAAA工作组确定的下一代的AAA标准协议，其中DiameterNASREQ（RFC4005）是用于网络接入服务访问、认证的应用协议。认证中心采用DiameterNASREQ应用协议实现用户认证，通过对NASREQ协议扩展属性的设置，处理用户提交的登录请求，并返回认证结果。③认证服务模块与登录服务模块之间采用Socket通信，使用SSL来保证远程通信数据的安全。数据传输全部采用HTTPS方式。接口描述SSO功能实现网站和认证中心接口单点登录会话报活接口网站登出接口登录服务模块和认证服务模块之间接口认证中心和CRM之间的接口SSO安全控制模式SSO安全控制炎黄接口安全服务安全传输协议服务器安全证书SAML断言用户凭证服务请求ID绑定SSL3.0、https等通过CA证书实现SP根据断言提供服务应用身份token应用层底层安全证书验证SSO安全控制•SSO中心与业务子网站间的安全控制实现之一——信任关系的数字证书实现硬件网络规划InternetDMZ区INSIDE区防火墙（1）防火墙（2）三层交换机(1)三层交换机(2)负载均衡交换机负载均衡交换机数据库服务器1磁盘阵列三层交换机(1)三层交换机(2)SSO平台网络拓扑图防火墙（1）防火墙（2）Web服务器1Web服务器n。。。。接口服务器1接口服务器2。。数据库服务器2应用服务器1应用服务器2CRM等支撑系统IPS服务器IDS服务器防篡改服务器。。。DMZ区的服务器指的是统一门户下属各个网站的设备，与SSO项目没有直接关系。本次SSO项目所需的主机都集中在拓扑图中的INSIDE区，包括2台应用服务器，2台数据库服务器（SSO数据库负载较低，可多系统共用；下挂磁盘阵列，做双机热备），2台接口服务器。未登录用户访问网站流程SSO关键流程介绍省级网站A认证模块用户5、提示用户没有登录1、用户访问网站2、检查用户登录状态登录模块3、重定向到登录模块4、检查SSO状态省级认证中心6、显示未登录页面（登录框）用户登录流程图SSO关键流程介绍省级网站A认证模块CRM客户管理域4、向CRM系统请求验证6、CRM返回验证结果用户10、重定向到网站A（携带查询依据）1、用户输入手机号/密码15、根据权限，提供服务页面7、返回认证结果3、发出认证请求5、CRM处理登录模块14、检查身份凭证11、提取用户身份凭证13、回复用户身份凭证8、设置公共Cookie12、生成身份凭证省级认证中心9、生成用户省份凭证查询依据2、进行必要的格式检查建立SSL安全通道建立SSL安全通道用户SSO流程（已登录省级网站）SSO关键流程介绍省级网站B用户1、用户访问网站2、检查用户登录状态10、检查用户身份凭证11、根据权限，提供服务页面省级认证中心登录模块3、重定向到登录模块4、检查SSO状态6、重定向到网站B（携带查询依据）7、提取用户身份凭证9、回复用户身份凭证8、生成用户身份凭证5、生成查询依据建立SSL安全通道会话存在