一种基于端口复用与路由转发的统一数字身份认证方法

技术领域

本申请属于数字身份认证领域，特别涉及一种基于端口复用与路由转发的统一数字身份认证方法。

背景技术

统一身份认证技术的研究是在应用系统蓬勃发展，然而发展过程中却呈现破碎离散化分布的背景下而生，目的是为了统一分布在多个系统中的身份信息以及认证手段，使用户获得一致的身份认证体验，避免记忆一个应用域中多应用系统的多份密码或规避同一个用户在多个系统中身份不一致的情况。

现行的统一身份认证解决方案普遍通过架设身份认证服务与身份信息数据库(如LDAP身份服务)，被动式接受来自应用的身份请求，无法主动路由至对应系统，应用系统间的导航与切换仍然是割裂的。值得注意的是，安全保密要求较高的系统多要求提供软硬件结合的CA认证方式以取代常见的用户名密码登录。更高的安全性也意味着更高的成本，CA认证供应商通常的做法是采用限制认证端口的形式，从而提供单个应用高达数万的身份认证服务，高安全性与高成本之间急需寻求一个平衡点。此外，当用户首次登录或身份凭证过期时，为数众多通过登录页面登录的系统往往存在无法直达系统内任意页面的问题，它们或是不对外提供具体页面的导航即动态链接，或是会直接将这些访问拦截至登录页面。出于安全的考虑，这样的设计是合理的，但是给用户带来的操作上的繁琐也不容忽视：当用户仅仅想在系统中处理一个小小的事项就需要进行登录、找到处理事项的入口(如果用户不熟悉系统的话，这一步会相当耗时)、处理事项三步操作。

因此，如何实现高效的多系统的统一身份认证是一个需要解决的问题。

发明内容

本申请的目的是提供了一种基于端口复用与路由转发的统一数字身份认证方法，以解决现有技术中用户在使用多个系统时使用不便的问题。

本申请的技术方案是：一种基于端口复用与路由转发的统一数字身份认证方法，包括：

通过用户本机向IAM前端发送身份认证请求，IAM前端解析身份认证请求信息，得到对应的业务系统标识，并向CA网关指定端口发送身份令牌获取请求；

CA网关收到身份令牌获取请求后验证本机的key信息，形成认证信息压缩包，并向预先配置的IAM后端发送身份认证信息压缩包解析请求，IAM后端接收身份解析认证信息压缩包内的cookie信息，根据cookie信息向数据库内查找该cookie信息对应的身份信息，进行后台校验后生成身份令牌，而后IAM后端向IAM前端传输该身份令牌；

IAM前端向IAM后端发送业务系统标识，IAM后端根据业务系统标识向数据库内查找该业务系统标识对应的业务系统地址，并传输至IAM前端；

IAM前端接收身份令牌与对应用户操作的业务系统的拼接地址信息，通过路由转发的方式发送至对应的业务系统，业务系统接收到身份令牌后向IAM后端验证身份令牌的合法性，若验证通过则IAM后端向对应的业务系统返还身份令牌所代表的用户信息，该业务系统根据对应的用户信息并进行登录操作。

优选地，所述身份令牌的签发和解密方法为：IAM后端key信息从数据库内查找用户对应的身份信息，并对用户的工号、账号、部门和当前时间进行对称加密，生成身份令牌；同时IAM后端记录该身份令牌对应的秘钥并保存至指定位置；业务系统在接收到身份令牌后，将该身份令牌发送至IAM后端，IAM后端调取该身份令牌对应的秘钥并进行解密，得到用户对应的身份信息，并将用户的身份信息返回值业务系统，业务信息对根据用户的身份信息对该用户进行认证。

优选地，所述IAM后端设置秘钥设计模块具有两种，并且两种秘钥能够进行轮换。

优选地，所述IAM设置os路由转发表，管理员及用户向os路由转发表注册其业务系统的os标识及其对应的业务系统的转发地址，在用户发送身份认证请求后，根据os标识获取对应的业务系统的转发地址。

优选地，所述业务系统拼接地址信息的生成方法为：获取身份令牌、os对应的业务系统的转发地址，在IAM内设置拼接地址生成模板，拼接地址生成模板内设置有拼接信息填写位置其对应的信息类型，将身份令牌、os对应的业务系统的转发地址根据信息类型填入至拼接地址生成模板的对应位置，生成拼接地址。

优选地，所述用户本体在发送身份认证请求时判断用户是否发送detail信息，若是，则生成身份认证请求的动态链接，动态链接将detail信息发送至拼接地址生成模板的对应位置，生成动态拼接地址。

本申请的一种基于端口复用与路由转发的统一数字身份认证方法，在用户本机向IAM前端发送身份认证请求时，IAM前端通过CA网关指定端口发送身份令牌获取请求，CA网关收到身份令牌后形成认证信息压缩包，IAM后端接收身份解析认证信息压缩包内的cookie信息，进行后台校验后生成身份令牌，向IAM前端传输该身份令牌；IAM前端向IAM后端发送业务系统标识，IAM后端根据业务系统标识向数据库内查找该业务系统标识对应的业务系统地址，IAM前端接收身份令牌与对应用户操作的业务系统的拼接地址信息，通过拼接地址信息向业务系统验证。通过该设计使得用户本体与业务系统完全解耦，使得用户本体仅需要与IAM进行对接，IAM与各个业务系统进行对接，用户在完成多系统统一身份认证的同时，用户操作的便捷性大幅增加。

附图说明

为了更清楚地说明本申请提供的技术方案，下面将对附图作简单地介绍。显而易见地，下面描述的附图仅仅是本申请的一些实施例。

图1为本申请IAM身份认证体系架构与整体流程示意图；

图2为本申请IAM基于端口复用与路由转发设计的网关代理工作流程图；

图3为本申请IAM登录业务系统的流程图；

图4为本申请IAM处理动态待办的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于端口复用与路由转发的统一数字身份认证方法，如图1所示，包括如下步骤：

步骤S100，IAM的端口复用与路由转发

通过用户本机向IAM前端发送身份认证请求，IAM前端解析身份认证请求信息，得到对应的业务系统标识，并向CA网关指定端口发送身份令牌获取请求。

优选地，用户本机向IAM前端发起请求形如：

{iam_ip}:{iam_port}/navi/#/ca？os＝{your_os}

其中iam_ip表示IAM服务ip，iam_port表示IAM服务端口，your_os表示应用系统实际地址。

IAM前端先清除本地os-cookie，再保存os信息至本地浏览器cookie，并向CA网关指定端口发起请求，由于CA认证网关严格限制认证端口数，因此IAM以占用CA认证网关单个端口为多个应用系统提供认证服务这一认证端口复用的形式，达成安全性与成本的平衡。

如图2所示，步骤S200，CA网关收到身份令牌获取请求后验证本机的key信息，形成认证信息压缩包，并向预先配置的IAM后端发送身份认证信息压缩包解析请求，IAM后端接收身份解析认证信息压缩包内的cookie信息，根据cookie信息向数据库内查找该cookie信息对应的身份信息，进行后台校验后生成身份令牌，而后IAM后端向IAM前端传输该身份令牌。

身份令牌用于实现1AM系统与业务系统之间的对接，身份令牌的设计能够同时实现认证数据传输的高效性与安全性。

通过设计了CA认证端口的复用机制，在保证安全性的基础上，降低CA认证的使用成本，达成安全性与成本之间的平衡。

步骤S300，身份令牌仅能够代表用户的信息，还需要与对应的业务系统对接才能够实现身份的认证。

也即是：IAM前端向IAM后端发送业务系统标识，IAM后端根据认证系统标识向数据库内查找该业务系统标识对应的业务系统地址，并传输至IAM前端。

优选地，IAM提供了注册单元，使得业务系统可以在IAM在登记注册独属于本系统的唯一os名与默认跳转的业务系统地址，也即是地址url。

如图3所示，步骤S400，IAM前端根据身份令牌与对应用户操作的业务系统地址形成拼接地址信息，通过路由转发的方式发送至对应的业务系统。

优选地，业务系统地址注册到IAM上，业务系统地址的获取方法为：IAM设置os路由转发表，管理员及用户向os路由转发表注册其业务系统的os标识及其对应的业务系统的转发地址，在用户发送身份认证请求后，根据os标识获取对应的业务系统的转发地址。通过该设计，能够实现业务系统转发地址的快速获取。

设计路由注册管理与转发机制，在解决端口转发带来的路径丢失问题的前提下，实现应用系统的注册管理与免显性登录的主动式应用导航，通过注册管理形成在统一身份认证体系内对离散系统的准入约束，通过主动式应用导航弥合离散多系统之间切换造成的割裂感。

优选地，业务系统拼接地址信息的生成方法为：获取身份令牌、os对应的业务系统的转发地址，在IAM内设置拼接地址生成模板，拼接地址生成模板内设置有拼接信息填写位置其对应的信息类型，将身份令牌、os对应的业务系统的转发地址根据信息类型填入至拼接地址生成模板的对应位置，生成拼接地址。

IAM前端拼接地址如下：

{os_ip}:{os_port}/caLogin？token＝{token}

打开目标系统指定页面，其中os_ip表示应用系统ip，os_port表示应用系统端口，token为IAM颁发的身份凭证。基于os与对应url的注册，IAM就会通过os标识将带有身份的token转发至与os对应的默认地址，实现路由转发。

前端根据此链接打开应用系统页面，应用系统截取请求中的用户身份信息(token)，向IAM后端验证token合法性，验证通过后则返回用户详细信息，应用系统至此完成身份认证，成功登录。

值得注意的是，上文所说的，注册的默认跳转地址url实际上是一个静态地址，在实际使用场景中，用户并不会直接点击静态跳转导航进入业务系统，而是会通过动态待办链接推送给企业工作门户OA，用户在OA点击代办事项直接进入到业务系统详情处理页。这就要求IAM能够在通过进行身份认证、地址转发的同时携带具体参数用以指示业务系统跳转的详情地址以及参数。

具体地：用户本体在发送身份认证请求时判断用户是否发送detail信息，若是，则生成身份认证请求的动态链接，动态链接将detail信息发送至拼接地址生成模板的对应位置，生成动态拼接地址。

通过设置detail信息，在不影响业务系统本身实现的前提下，拆分不断变化的业务系统动态地址为业务系统实际地址(注册os时填入的默认跳转地址url)、业务系统内变化地址(detail信息)，从而实现通过待办(动态链接)进入系统。

优选地，IAM处理动态待办的流程如图4所示，具体流程如下：

步骤一，IAM支持在detail中写入具体跳转链接与参数，也就是访问IAM的链接拓展:

{iam_ip}:{iam_port}/navi/#/ca？os＝{your_os}&detail＝{your_detai l_url}

其中detail＝{your_detail_url}具体分解为:

detail＝/{your_spec_url}％3F{param1}＝{param1Value}％26{param2}＝{param2Value}

其中{your_spec_url}代表着系统的详情页地址，{param1}、{param2}也别代表着可接受的参数，{param1Value}、{param2Value}分别代表着参数值，％3F、％26分别为&、？经过URL编码处理后的值。

步骤二，进行上文设计的IAM基于端口复用与路由转发设计的网关代理，获取身份认证信息、os对应的实际地址，随后将根据实际地址、detail参数内详细地址与用户身份凭证拼接成类似链接：

{os_ip}{your_detail_url}:{os_port}/caLogin？token＝{token}

步骤三，根据链接地址向业务系统发起访问。

至此，本发明设计的通过静态链接与动态链接向业务系统发起登录请求的步骤以及全部结束，下文将介绍IAM登录应用系统的流程，即应用系统应当如何接受IAM发起的登录请求中携带的身份凭证以及IAM将如何验证这一凭证。

具体为：业务系统接收到身份令牌后向IAM后端验证身份令牌的合法性，若验证通过则IAM后端向对应的业务系统返还身份令牌所代表的用户信息，该业务系统根据对应的用户信息并进行登录操作，若接收到用户信息则成功登录，否则登录失败。

IAM后端需要对身份令牌进行签发，业务系统需要对身份令牌进行解密，则身份令牌的签发和解密方法为：IAM后端key信息从数据库内查找用户对应的身份信息，并对用户的工号、账号、部门和当前时间进行对称加密，生成身份令牌；同时IAM后端记录该身份令牌对应的秘钥并保存至指定位置；业务系统在接收到身份令牌后，将该身份令牌发送至IAM后端，IAM后端调取该身份令牌对应的秘钥并进行解密，得到用户对应的身份信息，并将用户的身份信息返回值业务系统，业务信息对根据用户的身份信息对该用户进行认证。

通过密匙的设计，通过密匙的设计大幅提高了身份令牌的保密性与安全性，优选地，IAM后端设置秘钥设计模块具有两种，并且两种秘钥能够进行轮换，该设计能够进一步提升身份令牌的安全性。

本申请在用户本机向IAM前端发送身份认证请求时，IAM前端通过CA网关指定端口发送身份令牌获取请求，CA网关收到身份令牌后形成认证信息压缩包，IAM后端接收身份解析认证信息压缩包内的cookie信息，进行后台校验后生成身份令牌，向IAM前端传输该身份令牌；IAM前端向IAM后端发送业务系统标识，IAM后端根据业务系统标识向数据库内查找该业务系统标识对应的业务系统地址，IAM前端根据身份令牌与对应用户操作的业务系统地址形成拼接地址信息，通过拼接地址信息向业务系统验证。通过该设计使得用户本体与业务系统完全解耦，使得用户本体仅需要与IAM进行对接，IAM与各个业务系统进行对接，用户在完成多系统统一身份认证的同时，用户操作的便捷性大幅增加。

最后应说明的几点是：首先，在本申请的描述中，需要说明的是，除非另有规定和限定，术语“安装”、“相连”、“连接”应做广义理解，可以是机械连接或电连接，也可以是两个元件内部的连通，可以是直接相连，“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变，则相对位置关系可能发生改变；

其次：本发明公开实施例附图中，只涉及到与本公开实施例涉及到的结构，其他结构可参考通常设计，在不冲突情况下，本发明同一实施例及不同实施例可以相互组合；

最后：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。