OA系统指纹统一身份认证服务平台(UIAS Server)解决方案

指纹统一身份认证平台设计方案

1

总体 ........................................................................................................................................... 4 1.1 1.2 1.3 1.4 2

应用背景 ................................................................................................................................. 4 UIAS系统体系架构 ................................................................................................................. 5 UIAS网络应用结构 ................................................................................................................. 6 UIAS的典型应用（单点登录） ............................................................................................. 7

系统总体设计 ............................................................................................................................ 9 2.1 2.2 2.3 2.4 2.5 2.6 2.7

系统体系结构 ....................................................................................................................... 10 系统功能特点 ....................................................................................................................... 11 系统环境 ............................................................................................................................... 11 体系架构示意图 ................................................................................................................... 12 系统备用策略部署模式 ....................................................................................................... 13 平台故障的应急处理 ........................................................................................................... 13 设备配置选择 ....................................................................................................................... 13

数据库服务器 ............................................................................................................... 14

2.7.2 统一身份认证服务器 ................................................................................................... 14 2.8 设备部署方案 ....................................................................................................................... 14 2.9 硬件、软件要求 ................................................................................................................... 15 2.9.1 硬件列表 ....................................................................................................................... 15 2.9.2 软件列表 ....................................................................................................................... 15 2.10 系统安全设计 ....................................................................................................................... 15 2.10.1 身份认证 ....................................................................................................................... 15 2.10.2 权限管理 ....................................................................................................................... 15 2.10.3 数字签名和加密 ........................................................................................................... 16 2.10.4 数据安全性 ................................................................................................................... 16 2.10.5 安全审计 ....................................................................................................................... 16

3

单点登录方案概述 .................................................................................................................. 16 3.1 3.2 3.3 3.4

概述 ....................................................................................................................................... 16 账号关联流程 ....................................................................................................................... 17 单点登录流程 ....................................................................................................................... 17 接口规范 ............................................................................................................................... 18

2.7.1

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 4

采用协议 ....................................................................................................................... 18 接口安全 ....................................................................................................................... 18 连接方式 ....................................................................................................................... 18 技术实现 ....................................................................................................................... 18 接口列表 ....................................................................................................................... 19 第三方业务系统开放的接口 ....................................................................................... 19 单点登录系统开放的接口 ........................................................................................... 20

统一身份认证接口 .................................................................................................................. 21 4.1 4.2

业务描述 ............................................................................................................................... 21 业务场景 ............................................................................................................................... 21

4.3 HESSIAN接口 ........................................................................................................................ 21

接口定义 ....................................................................................................................... 21

4.3.2 调用实例 ....................................................................................................................... 22 4.4 WEB服务接口 ....................................................................................................................... 22 4.4.1 接口定义 ....................................................................................................................... 22 4.4.2 调用实例 ....................................................................................................................... 23 4.5 SOCKET接口 ............................................................................................................................ 23 4.5.1 接口定义 ....................................................................................................................... 23 4.5.2 调用实例 ....................................................................................................................... 23

5

项目开发方案 .......................................................................................................................... 23 5.1

编码阶段 ............................................................................................................................... 23

4.3.1

阶段概述 ....................................................................................................................... 23 5.1.2 人员配置 ....................................................................................................................... 24 5.2 第三方系统集成阶段 ........................................................................................................... 24 5.2.1 阶段概述 ....................................................................................................................... 24 5.2.2 人员配置 ....................................................................................................................... 25

6

项目实施及后期服务方案 ....................................................................................................... 26 6.1

实施和培训阶段 ................................................................................................................... 26

5.1.1

阶段概述 ....................................................................................................................... 26 6.1.2 人员配置 ....................................................................................................................... 26 6.2 系统试运行阶段 ................................................................................................................... 28 6.2.1 阶段概述 ....................................................................................................................... 28 6.2.2 人员配置 ....................................................................................................................... 28 6.3 系统维护阶段 ....................................................................................................................... 29 6.3.1 阶段概述 ....................................................................................................................... 29 6.3.2 人员配置 ....................................................................................................................... 29 6.4 系统售后服务 ....................................................................................................................... 30 6.4.1 人员配置 ....................................................................................................................... 30

7 8 9

实施案例 ................................................................................................................................. 30 平台截图 ................................................................................................................................. 33 平台报价 ................................................................................................................................. 35

6.1.1

1 总体

1.1 应用背景

现代企业的信息建设化越来越完善，各种电子邮件系统、网络办公、电子财务、人事管理、针对特定行业的业务系统的信息网络化等进入了千百个企业。而企业业务正常运营时，企业用户需要同时访问多个业务系统，并经常浏览企业内部网络中的相关信息资源。由于用户在访问不同业务系统时需要独立访问业务系统；同时，用户需要在各系统间频繁地切换，操作较复杂，无法快速地获得相关业务信息并加以分析利用，此外，用户在进行业务操作时，需要分别登录到不同的应用系统中，由于系统较多，用户帐号或密码遗忘现象时有发生，或者一套简单用户名和密码多系统使用，造成保密度降低等问题；而在安全性和系统管理方面，企业需要大量的IT技术管理人员，分别管理和维护不同系统（如：ERP、系统分析、OA、财务、Notes系统等）的用户信息。需要建立可靠、安全、保密的业务系统网络环境，保证企业业务系统网络环境，保证企业业务不受破坏和干扰。

针对这种情况，企业希望通过实施建立企业级的统一身份认证系统，为企业用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台；通过实施统一身份认证、单点登录功能，提高信息系统的易用性、安全性、稳定性；在此基础上进一步实现企业用户告诉协同办公和企业知识管理功能。企业的各个业务系统大都采用异构系统（在不同平台上建立不同应用服务器的业务系统）。因此，在确保业务系统独立运行的前提下，要解决统一认证、单点登录、安全防护和信息保密的问题，需要满足如下需求：

? 对多个系统实现统一身份认证功能的需求 ? 业务系统可以在不同的硬件架构中的需求

? 业务系统可以为异构系统，其运行的操作系统平台和应用服务器可以各不相同，客

户端可以使用不同的浏览器的需求

? 用户单点登录时满足用户名/口令，用户名/指纹，证书认证，还能实现少数用户通

过USB KEY等硬件认证的需求

? 最少改动现有的应用模式和业务系统的需求 ? 对后续的业务系统扩充和扩展有良好的兼容性的需求

1.2 UIAS系统体系架构

基于UIAS Server的统一身份认证系统的在企业IT架构中的位置和其他企业应用系统的关系如图所示：

统一身份认证系统（UIAS Server）办公系统财务系统运行管理系统仓库管理系统用户

图一 UIAS系统在企业IT架构中的关系图

统一身份认证系统（UIAS）作为企业应用环境中的一个子系统，按照一种企业自定义规则的基于角色的用户管理机制，统一了各种企业应用系统五花八门的用户管理体系。UIAS系统通过统一存储和管理企业应用系统中的用户组织和管理体系，提供了统一的用户信息管理界面和统一的认证访问接口，可以使各应用系统专注于处理其业务功能，而不用在用户的级别管理、归属管理、授权管理等部分上大费周章。

以上图为例，用户在访问某一个应用系统（比如办公系统时）的某一种功能时，如果是有安全性需求的保护模块，则办公系统要求用户通过输入口令、指纹、UKey、动态口令等各种验证方式进行身份或者访问权限的认证。用户输入完成后，办公系统自动地将调用UIAS Server提供的相关接口，到UIAS Server上去验证此用户的身份及权限。UIAS Server按照企业自定义规则的基于角色的用户认证机制，对此用户进行身份认证和权限判断，并返回办公系统此用户的权限许可是或否，办公系统即可决定是否让该用户继续执行此功能的操作。

UIAS Server提供统一的用户信息管理界面，各种认证信息及用户的基本资料在UIAS Server上通过在客户端使用浏览器的方式进行设置和管理，不通过具体某一个应用系统完

成。而作为单独的应用，办公系统无需再对例如口令、密码、用户基本资料等信息进行设置和管理。在UIAS Server上设置的用户认证信息，可统一为各种应用系统进行服务，提供用户身份认证的功能。所以，各种应用系统可以无需建立自己的用户管理系统，而将其集中到UIAS系统中。

对系统的使用者来说，无需为各种系统记忆不同的用户名和密码以及不同的登录方式；对系统的管理者来说，只需维护UIAS系统这一套用户数据和访问规则即可，无需分别管理不同应用系统中不同的使用者数据库，并且无需为不同的应用系统中无法共享和同步用户登录信息而烦恼。此外，将用户身份认证的功能部分从各应用系统中独立出来，可以方便的随时增加新的应用系统，而无需为每个使用者重复地在新增系统上建立用户信息。

同时，由于统一身份认证系统跨越各个应用系统，所以为各个独立的应用系统建立了一个公共的联系，从而是单点登录功能的实现成为可能，即在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

1.3 UIAS网络应用结构

系统的网络应用典型结构图如下图所示：

图二 统一身份认证平台网络示意图

UIAS 服务器（UIAS Server）是实现统一身份认证系统的中心，是提供统一身份认证服务的核心设备。

在企业应用系统网络中，一般配置两台UIAS Server（也可一台，如一台则无法实现数据实时备份及负载分配），两台UIAS Server 的硬件和软件配置完全一致并建立相同的数据库结构，并同步初始数据。

如果系统中配置两台UIAS Server，则两台服务器的MySql数据库数据通过配置，以数据库复制的方式实现双机数据的实时互同步镜像。应用户要求，系统也可采用外联数据库服务器的方式，不使用UIAS Server上自带的MySql数据库，而通过JDBC连接不同种类的用户数据库系统，如Oracle、SqlServer、DB2、Sybase，Informix等等。如果采用外联数据库系统，则无需配置数据库的镜像功能，数据的安全性和完整性由用户通过原有手段完成。

两台服务器由于具备同样的数据和执行功能，因此除了具备数据的相互实时备份外，通过对调用端的访问顺序配置，可以实现负载平衡的效果。

1.4 UIAS的典型应用（单点登录）

单点登录系统作为UIAS Server的一种典型应用，其应用结构图如下图所示：

单点登录appUIAS ServerLINUX + Tomcat + MySqlUIAS Server LINUX + Tomcat + MySql用户信息管理APP单点登录APP身份认证接口浏览器（B/S方式）客户端程序（C/S方式）HTTP/HHTTP/H企业应用系统管理PC（浏览器）普通用户PC（浏览器）HTTP/HTTPSSO/HAPSESTTPSIATTPS

图三 统一身份认证应用（单点登录）逻辑图

在UIAS SERVER的Tomcat应用服务器上，部署单点登录系统服务端软件。其中，用户信息管理APP模块提供给前端管理员使用浏览器方式进行用户信息的设置和管理（比如人员信息的录入及指纹的采集等等）。身份认证接口用WebService/hessian的方式提供，提供给后端的企业应用系统调用，完成用户身份的验证。

前端管理员可以输入UIAS Server1或者UIAS Server2的URL地址，进行用户信息的设置和系统管理方面的操作；

用户在使用企业应用系统前，可以输入UIAS Server1或者UIAS Server2单点登录系统APP的URL地址。用户登录单点登录系统时，通过单点登录系统用户表中的字段来验证用户身份，登录后得到其被授权使用的各种企业应用系统的信息。用户可在显示的各种应用系统账户图标上，进入需使用的应用系统而无需再次单独登录。

在对某应用系统实现自动登录的功能前，用户需要设置各个系统到该系统用户的映射关系，以保证自动登录功能得以实现：数据加密保存在UIAS SERVER的数据库中。

N

2 系统总体设计

统一身份认证服务平台，将用户信息、应用资源信息以及用户对网络应用资源的访问权限等在关系型数据库进行存储，并在此基础上提出一套统一身份认证、单点登录、集中鉴权以及网络应用资源的统一管理、有效解决了用户重复登录和多点帐号管理的问题。

? 方案1：对第三方业务系统基本不作任何改变，用户通过UIAS认证后，配置业务

系统帐号/密码，随后用户访问业务系统时，由UIAS向业务系统提交认证，业务系统完成认证和授权。

? 方案2：第三方业务系统需进行代码修改和配置，支持统一认证，分布授权。即统

一身份认证系统实现用户身份认证，而授权等操作则由老系统完成。

系统设计方案比较表： 方案名称 介绍 B/S WEB系统 单点登录实现 1、统一平台用户注册 2、平台用户与业务系统账号关联 3、统一平台配置B/S系统参数 4、使用IE控件往B/S系统推送账号/密码等相关参数，进行登录 （登录时需要验证码校验的第三方业务系统要单独进行处理，IE控件对校验码图片进行分析(随机英文字母、随机数字、随机颜色、随机位置、随机长度等参数） C/S桌面系统 单点登录实现 1、统一平台用户注册 2、平台用户与业务系统账号关联 3、在统一平台设置C/S系统基本参数 4、使用客户端工具，在每个用户客户端都需初始化C/S系统的相关参数 5、使用IE控件往C/S系统推送账号/密码等相关参数，进行登录 方案1 ? 对业务系统基本不做任何改变 ? 实施和维护相对简单 ? 一旦出现故障，系统复原相对简单 ? 业务系统需进行身份认证、授权 方案2 ? 每个业务系统需代码修改和配置，与统一身份认证平台进行联调 ? 由统一身份认证平台实现统一的身份认证功能，业务系统只负责对用户授权 ? 一旦出现故障，系统复原相对复杂 ? 实施和维护相对复杂 1、统一平台用户注册 ? 同上 2、平台用户与业务系统账号关联 3、统一平台配置B/S系统参数 4、统一平台与第三方业务系统单点登录接口调用 建议 1、老系统整合，使用方案1。 2、新系统接入，采用方案2。 2.1 系统体系结构

统一身份认证服务平台主要包括资源层、目录服务系统和客户端三部分。

资源层是系统的核心，包含关系型业务数据库和关系型审计数据库，关系型业务数据库用于存储用户数据，关系型审计数据库用于存储用户访问日志；

认证服务系统用于提供基于Web方式的用户管理、身份认证、服务授权、审计管理和外部访问接口；

客户端由若干应用系统和普通用户组成。

客户端B/S系统C/S系统用户外部访问接口应用访问接口用户认证接口SSO单点登录认证服务系统B/S系统单点登录C/S系统单点登录统一身份管理多种身份认证统一身份认证统一用户身份管理统一授权管理访问资源管理访问策略管理分级授权管理统一审计管理访问行为审计审计信息查询审计信息分析统计资源层业务数据库审计数据库

2.2 系统功能特点

? 实现用户单点登录

对于 B/S结构应用系统，用户只需通过浏览器界面登录一次，即可通过统一身份认证系统访问后台的多个用户权限内的Web应用系统，无需逐一输入用户名、密码登录。对于 C/S结构应用系统，通过Active控件或客户端Plugin来实现对C/S系统客户端的单点登录，用户输入一次用户名、密码，即可访问所有被授权的C/S系统资源。 ? 统一用户身份管理

用户注册：用户在UIAS中心注册帐号，该帐号可用于所有使用UIAS的应用系统中； 帐号关联：对于用户在相关应用中已建立的帐号，可与UIAS的帐号进行关联，以便在不改变原有帐号的情况下仍能访问应用系统。 ? 统一身份认证

UIAS系统提供开发接口给新建系统，可为后续新的应用系统开发提供了统一的身份认证接口和标准。

? 多种身份认证方式

UIAS支持多种身份认证方式，如指纹认证，同时也保留了传统的静态口令认证，并且为其他认证方式如短信，数字证书，USB Key，动态口令身份认证等认证方式预留接口，以适应企业对认证方式扩展的需求。 ? 日志和审计报告

UIAS依靠记录最终用户和管理人员的访问过程，建立一套全面的、有效的回溯和追查机制。同时系统管理员可以实时监测用户对企业各应用系统的访问状态，及时发现非法访问事件，对出现的问题进行事后追溯和责任追究提供实证。通过对系统运行状态实时监控审计，还增强了系统的可维护性。主要完成访问行为审计、审计信息查询、审计信息防窜改等几大功能。 ? 系统集中管理

UIAS提供管理功能，实现对用户身份信息，权限，应用系统，审计信息的集中管理。系统管理员通过这个管理中心可对用户，资源，权限及审计信息进行统一的管理，并对UIAS系统本身进行维护管理。同时系统支持分级授权管理功能，支持总部授权下属单位管理自身的用户，并对其授权，减少总部管理员的负担。

2.3 系统环境

? 客户端支持的浏览器：

单点登录、指纹采集等页面使用ocx控件，仅支持IE，其它页面支持firefox等主流浏览器

? 客户端支持的操作系统：

Windows

? 服务器端支持的操作系统：

Windows、Unix、Linux

? 数据库：

Oracle、SQL Server或My SQL等关系型数据库 ? 中间件：

Tomcat、Weblogic等开源或商用中间件

2.4 体系架构示意图

从逻辑架构上，统一身份认证平台由三层组成：客户端、服务层和数据库层。 客户端也称为系统接入层，它可以使用API接口或者浏览器。

服务层由应用服务器构成，实际是由“应用中间件”+“WEB应用”形成的B/S系统中的服务端系统。

数据库层由数据库服务器组成，为整个指纹认证系统提供数据库支持。数据库服务器采用PPRC双备的策略，保证数据的安全性、可靠性和高可用性。

体系架构说明：

统一身份认证平台部署在核心业务区。建立有技术接口规范的统一身份认证平台，可以保证网络上数据传输的保密性、可认证性、完整性及不可抵赖性。实现与第三方业务系统的对接，以此为基础可以将更高安全性需求的业务操作建设在互联网之上，并且使这一操作得到更高效、更安全、更便捷的执行。

统一身份认证平台架构图：

CBS系统EHR人力资源管理系统网站系统。。。。机房1机房2接入层UIAS SERVERUIAS SERVER服务层数据库（备）X39504Core/16GPPRC数据级备份数据库（主）X39504Core/16G数据层

（系统架构图）

2.5 系统备用策略部署模式

接入和应用服务层：

统一身份认证平台采用双中心双活方式部署，两个数据中心各部署一套系统同时对外提供服务，当其中一套系统故障时，另一套系统保持对外服务。

数据库和存储：

统一身份认证平台数据库使用部署在X3950服务器上的4core/16G和DS8100存储700G。 主数据中心和备数据中心的数据库自动进行存储级别的数据同步（PPRC方式）。

2.6 平台故障的应急处理

如遇平台故障，无法在短时内有效修复，为保证业务的正常运行，人力资源系统、CBS系统、网站系统等对接类系统，可以通过前台调整参数，将各自系统设置为不通过统一身份认证平台的方式绕行。

如遇用户个人由于手指受伤或者其它特殊原因导致指纹无法识别，可通过前台，将该用户设置为不启用指纹认证的方式绕行。

2.7 设备配置选择

设备配置满足“双中心双活”要求，且服务器部署满足平台的设计指标：总注册用户数1万，同时1000用户在线，应答在4秒以内到达客户端。

2.7.1 数据库服务器

平台数据库使用部署在核心业务区X3950服务器（虚机4core/16G）上，存储使用DS8100（700G）。

2.7.2 统一身份认证服务器

每个数据中心配置1台2CPU/4G/146G×4 R01的机架式服务器，安装Linux操作系统和Tomcat软件，支持双中心双活，部署在核心业务区的S1区。

2.8 设备部署方案

统一身份认证平台在方案设计上采用双中心双活方案部署。 如下图所示的部署方案：

机房1机房2统一身份认证平台服务器 Linux Redhat AS4Tomcat统一身份认证平台服务器 Linux Redhat AS4TomcatS1区S1区数据库(备)X3950Linux Redhat AS4Oracle 10g数据库(主)X3950Linux Redhat AS4Oracle 10gK1区K1区服务器

部署表：

机房 分区 S1区 机房1 K1区 服务器 统一身份认证服务器×1 数据库服务器（主用）×1 总计 S1区 机房2 K1区 统一身份认证服务器×1 数据库服务器（备用）×1 总计 台数 1 1 2 1 1 2 2.9 硬件、软件要求

2.9.1 硬件列表

所需资源类型 服务器（生产环境） 服务器（数据库） 配置 2U机架，2C/4G，146G×4，RAID0+1 X3950虚机4Core/16G和DS8100存储700G 数量 2台 2台 2.9.2 软件列表

种类 操作系统 WEB服务 数据库

类型 操作系统 应用软件 数据库 软件名称 Linux Redhat（64bit） Tomcat（32bit） Oracle（64bit） 版本号 4.0 6.0 10g 2.10 系统安全设计 2.10.1 身份认证

系统是为广大工作人员提供服务的，为了区分各个用户以及不同级别的用户，需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。

2.10.2 权限管理

权限管理系统是保证业务系统安全的一项重要手段，系统将采用一种基于角色的访问控制RBAC（Role-Based policies Access Control）模型的权限管理系统的设计和实现。基于RBAC模型的权限管理系统具有以下优势：权限分配直观、容易理解，便于使用；扩展性好，支持岗位、权限多变的需求；分级权限适合分层的组织结构形式。 RBAC模型中包含的基本元素主要有：用户（Users）、角色（Role）、资源(Resource)、操作（Operation）。对用户来说，可能拥有几个角色，而不同的角色拥有若干种操作或功能点。这就规定了该用户所拥有的权限是各个角色的操作或功能点之和。用户隶属于用户组，而用

户组可能拥有几个角色，因此用户所拥有的权限是所在用户组的权限之和。

在本方案中，系统可以提供URL、方法、实体等细粒度的权限控制，同时系统也可以提供模块级的粗粒度权限控制。

2.10.3 数字签名和加密

对关键业务数据和电子文档进行数字签名和加密，保证关键业务数据和电子文档的在网络环境下的保密性、不可抵赖性和完整性。

2.10.4 数据安全性

在保证了系统的安全性之后，我们要确定数据的安全性，完整性和可恢复性。对于数据服务器可采用双机热备份。一台作为主机，另一台作为备用机。备用机一直监视主机的工作状态，主机一旦出现故障，备用机取代主机。这样可以保障系统的安全运行。

对服务器系统采用数据备份策略。为系统运行过程设计如下3种备份功能：① 数据实时备份：凡是信息中心接收到的数据作在线备份；②数据定时备份：定时将磁盘上的数据备份在磁带上，备份时间长短由数据的重要性决定。关键数据做到异地备份， 或者备份到Web服务器上或分公司的服务器上；③系统灾难性备份：信息中心的系统软件做到两套以上的灾难备份，最好做到异地备份或者外部存储备份。在遇到破坏时，就可从本地或外部磁带保存地点获得灾难备份磁带，安装应用服务器操作系统并配置网络，配置存储设备，装上灾难备份磁带，从存储设备中取得最新的引导信息，恢复数据库，确认数据库为最新版本，批准系统运行，进行灾难恢复。

系统管理员可以通过操作系统和数据库软件提供的数据备份功能，结合相应的硬件和存储设备，对数据备份进行集中管理，以此实现自动化的备份，文件归档，数据分级存储以及灾难恢复等。

2.10.5 安全审计

安全审计是网络安全中尚待开发的一个新领域。在目前已有的审计软件中，大多数是基于主机的，或者是基于网络的。他们本身存在着各种各样的缺陷。为此，我们依据在安全技术中已有的开发经验，结合其他新的网络技术，提出并设计了一种崭新的分布式审计系统，以期更好地解决应用系统的安全问题。

系统能够记录每个用户的重要操作，拥有权限的人员可以查看审计日志记录。对网络行为、各种操作进行实时的监控;对各种行为进行分类管理，规定行为的范围和期限。

3 单点登录方案概述

3.1 概述

用户登录单点登录系统时，通过单点登录系统用户表中的字段来验证用户身份。登录

以后，用户需要设置各个系统到该系统用户的映射关系。设置好以后，当通过该系统进入其他某个 Web 应用系统时，该系统会为该用户和该系统生成一个临时会话票据（st），并转到 Web 应用系统中的登录检测页面，登录检测页面通过获取到的临时会话票据，来调用单点登录系统的获取用户名密码等相关信息API接口，如果用户名密码正确，则转到正常登录后的页面，如果不正确，则转到登录错误的页面。这里， API接口 在返回用户名和密码后，将删除单点登录系统数据库中相应的临时会话，这样不但用户名、密码都是在服务器之间进行传递的，并且临时会话存在的时间也是尽可能的短，因此只要保证服务器之间的对话不能被监听，即可保证安全性。

第三方业务系统需要增加一个用于单点登录系统的登录验证页面，该页面工作过程大致如下：

? 获取单点登录系统的票据st值 （提供HTTP URL 地址） ? 通过票据值得到用户名和密码（HTTP Servlet方式调用） ? 通过用户名和密码进行身份验证 ? 返回身份验证后的页面

3.2 账号关联流程

登记新的第三方业务系统账号关联：

1、用户向统一身份认证服务发出账号关联注册请求，用户提供了应用系统的标识A，同时提供了可以在该应用系统中使用的用户信息(如用户名和密码等)。

2、服务首先向该应用系统A征询，用户信息是否合法。如果合法则响应服务。

3、如果收到合法响应，那么服务就将这个账号关联注册信息保存到用户注册库中，在该用户登录统一身份认证服务之后，就能够使用相应的应用系统A。

4、当注册库完成保存操作后，统一身份认证服务响应用户，最后注册完成。

3.3 单点登录流程

流程描述如下：

1、用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息，比如数字签名等)登陆统一认证服务；

2、统一认证服务创建了一个会话，同时将与该会话关联的访问认证令牌返回给用户； 3、用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统，不过用户并不将请求消息直接交给应用系统，而是传给统一身份认证服务，在消息中标识了最终

的应用系统的ID；

4、统一认证服务访问应用系统注册库，获取了应用系统的访问入口，并确认这个应用系统的确是支持统一身份认证服务的；

5、统一认证服务将请求消息转发给指定的应用系统，如果该应用系统使用自己的用户系统的话，那么该消息应当包含了预先定义好的相关联的用户名和密码等；

6、应用系统将请求结果返回给统一认证服务，最后统一认证服务将响应消息返回给用户，完成调用。

所有应用系统仅接收来自统一认证服务的访问请求。

3.4 接口规范

3.4.1 采用协议

接口提供方 第三方业务系统 单点登录系统

采用协议 HTTP HTTP 3.4.2 接口安全

采用基于IP地址的身份验证方式。在服务调用的过程中，服务提供者获取调用者的ip地址，在本地保存的授权访问ip地址列表中查询，认证通过执行服务返回数据，不通过则拒绝服务。

3.4.3 连接方式

POST方式

3.4.4 技术实现

接口采用OpenURL技术实现。 接口语法格式说明：

http://url/ ssoAuthService?[query]

[query]部分包括多组参数名称与参数值，其中最主要的verb参数,访问服务的具体名称见接口列表中的接口名称。

OpenURL语法格式：

OpenURL：：= BASE-URL ‘?’ QUERY

BASE-URL：基础URL，服务提供方的URL地址

QUERY：查询，包含ORIGIN-DESCRIPTION（参数名称），OBJECT-DESCRIPTION（参数值）两部分。

3.4.5 接口列表

接口提供方 第三方业务系统 接口类型 单点登录 接口名称 ssoLogin 接口功能 获取单点登录系统票据（st），进行单点登录操作 验证单点登录系统提交的账户和用户唯一标示的信息(身份证)是否有效, 以XML格式响应 验证第三方业务系统票据，校验通过，以XML格式返回第三方系统账户等相关数据 第三方业务系统 验证账户 validatePrincipal 单点登录系统 校验票据 validateServiceTicket

3.4.6 第三方业务系统开放的接口

接口名称 ssoLogin 接口说明 获取单点登录系统票据（st），用于调用单点登录系统的校验票据接口，获取业务系统账户信息，进行单点登录。 请求参数说明 verb st 调用示例 http://url/ssoAuthService?verb= ssoLogin&st=40284b812b562685012b562962f60003 响应说明 第三方系统获取到st值后，调用单点登录系统的校验票据接口获取系统账户等相关信息

ssoLogin 单点登录系统票据 接口名称 validatePrincipal 接口说明 验证单点登录系统提交的账户和用户唯一标示的信息(身份证)是否有效 请求参数说明 verb loginid userid 调用示例 http://url/ssoAuthService?verb=validatePrincipal&loginid=test&userid= idcard 响应格式说明 响应结果。RPC_OK:验证通过;其它:验证失败，返回失败信息 响应格式示例 RPC_OK

validatePrincipal 第三方系统账户 用户唯一标示的信息,比如身份证 3.4.7 单点登录系统开放的接口

接口名称 validateServiceTicket 接口说明 验证第三方业务系统票据，以XML格式返回第三方系统账户等相关数据 请求参数说明 verb st 调用示例 http://url/ssoAuthService?verb=validateServiceTicket&st=40284b812b562685012b562962f60003 响应格式说明 响应结果。RPC_OK:操作成功;其它:操作失败，返回错误信息 用户名 密码,按业务需要可为空 true 为单点登录用户已经登入 false为末登 validateServiceTicket 单点登录系统票据

响应格式示例 RPC_OK pinke 1 false

4 统一身份认证接口

4.1 业务描述

第三方业务系统用户登录或关键性业务操作需进行用户身份认证，业务系统可通过调用认证平台的认证服务接口，发送身份（指纹或密码）认证请求，认证平台响应处理后，将认证结果返回给业务系统。 具体流程如下：

(1) 用户在第三方业务系统输入系统账户、密码或采集指纹，提交给业务系统中间件，由业务系统中间件调用统一身份认证平台的认证服务接口；

(2) 认证平台对用户信息进行认证，将认证结果返回给第三方业务系统。

统一身份认证平台提供了3类接口供应用系统调用，分别为Hessian接口、WebService接口和Socket接口，本文的后续章节将分别描述三类接口的定义、报文格式和调用实例。

4.2 业务场景

CBS应用主管柜员的授权功能，CBS应用调用身份认证接口，进行双岗认证操作。

4.3 HESSIAN接口

4.3.1 接口定义

定义如下：

Public int authenticate(String appType,String appCode, String appUserid,String

fingerFeature,String password, String authType, String extendinfo) 输入参数： 参 数 appType appCode appUserid fingerFeature password authType extendinfo 说 明 第三方系统系统类别编号 第三方系统编号 第三方系统账户 指纹数据 密码 身份认证方式 保留字段,格式：名称1=值|名称2=值|? 预留 需要设置第三方业务系统到单点登录系统的用户映射关系。 1:密码；2：指纹；3：密码和指纹； 预留 备 注

输出参数： 无 返回值： 0：成功 其它：失败

(-1：表示验证失败；-2：无当前用户信息；-3：当前用户为密码认证方式；-4：当前用户未采集指纹;-5: 发送数据异常；-6:系统异常；-99：通讯异常)

4.3.2 调用实例

待补充。

4.4 WEB服务接口

4.4.1 接口定义

同HESSIAN接口定义。

4.4.2 调用实例

待补充。

4.5 Socket接口

4.5.1 接口定义

代补充

4.5.2 调用实例

待补充。

5 项目开发方案

5.1 编码阶段

5.1.1 阶段概述

项目阶段 阶段任务描述 编码 编写所有代码及其注释和文档 编写单元测试用例 所需时间（工作日） 实施方投入人员 客户方参与人员 里程碑标志 主要成果 20 项目经理，技术总监，软件工程师，美工，测试工程师 各有关技术人员 完成编码，完成单元测试用例 完整的代码和注释 完整的单元测试用例和测试数据 完整的测试计划 完整的代码及相关文档 5.1.2 人员配置

角色 项目经理 人数 1 能力描述 本科学历，具有5年以上项目管理经验 技术经理 1 本科学历，具有5年以上开发和系统分析经验，参与过大型企业级应用项目 软件工程师 3 本科学历，具有2年以上Java开发经验 网页美工 2 有2年以上网页美工经验 测试工程师 2 有2年以上网页开发经验或测试经验 编写单元测试用例和测试数据 负责网页美工 职责 统筹项目，充当与客户沟通的桥梁，修正进度表，分配人员工作 系统架构设计修正，组织系统模块级设计的review，排除主要技术障碍，协助项目经理完成技术上的人员安排，编写测试计划 完成后台各模块编码 5.2 第三方系统集成阶段

5.2.1 阶段概述

项目阶段 阶段任务描述 第三方系统集成 编写身份认证接口和单点登录接口协议 身份认证接口和单点登录接口编码实现和调用接口的demo 调用第三方系统接口 集成CBS外加4个应用 所需时间（工作日） 实施方投入人员 客户方参与人员 里程碑标志 主要成果 10 项目经理，软件工程师 各有关技术人员 完成编码 完整的代码和注释 完整的单元测试用例和测试数据 完整的代码及相关文档 5.2.2 人员配置

角色 项目经理 人数 1 能力描述 职责 本科学历，具有5年以上统筹项目，充当与客户沟通的桥梁，修项目管理经验 正进度表，分配人员工作 软件工程师 1 本科学历，具有2年以上完成与第三方系统集成 Java开发经验

6 项目实施及后期服务方案

6.1 实施和培训阶段

6.1.1 阶段概述

项目阶段 阶段任务描述 实施及培训 系统运行制度建设 安装和调试系统 用户权限规划和分配 权限测试 培训各方面相关人员并组织考核 最终产品交付 所需时间（工作日） 实施方投入人员 客户方参与人员 里程碑标志 5 项目经理，技术经理，实施工程师 项目负责人和管理人员，各系统管理员 完成实施报告，完成各相关人员培训 交付最终产品 主要成果 实施报告，培训报告，最终产品 6.1.2 人员配置

角色 项目经理 人数 1 能力描述 本科学历，具有5年以上项目管理经验 技术经理 1 本科学历，具有5年以上职责 统筹培训和实施，牵头组织实施方案和培训计划，修正进度表，分配人员工作 实施培训计划，编写培训报告 开发和系统分析经验，参与过大型企业级应用项目 实施工程师 4 本科学历，至少具有3个以上大型项目的实施经验 进行项目实施，编写实施报告

6.2 系统试运行阶段

6.2.1 阶段概述

项目阶段 阶段任务描述 试运行 进行系统试运行 修正试运行BUG 所需时间 实施方投入人员 3个月 项目经理，维护工程师 （必要时）软件工程师，网页设计师，美工，测试工程师 客户方参与人员 里程碑标志 主要成果 最终用户 完成试运行报告 试运行报告 6.2.2 人员配置

角色 项目经理 人数 1 能力描述 职责 本科学历，具有5年以上统筹项目 项目管理经验 维护工程师 2 本科学历，具有2年以上排除试运行BUG，必要时联系开发团大型项目维护经验 队 完成试运行报告 北京办事处人员可进行技术支持

6.3 系统维护阶段

6.3.1 阶段概述

项目阶段 阶段任务描述 所需时间 实施方投入人员 客户方参与人员 里程碑标志 主要成果 维护 进行系统维护 1年 维护工程师 最终用户 用户使用流畅，无BUG 维护报告 6.3.2 人员配置

角色 维护工程师 人数 2 能力描述 本科学历，具有2年以上大型项目维护经验 职责 修正维护BUG 完成维护报告 北京办事处人员可进行技术支持

6.4 系统售后服务

6.4.1 人员配置

本小组的活动贯穿项目的始终。 角色 售后服务人员 人数 2 能力描述 大专以上学历，具有测试经验以及一年以上售后服务经验 职责 以QQ，电话，网上提问等形式解决客户日常问题 非日常问题则及时转交相关负责人进行处理 负责客户跟踪和回访 记录所有客户提出的问题以及解决方案以备案 非现场，5*8 12小时响应

7 实施案例

2010年09月,《维尔银行指纹押运系统》成功中标华夏银行上海分行

2010年09月,《维尔银行柜员指纹身份认证系统》成功中标漯河市农村信用合作联社 2010年08月,《维尔银行柜员指纹身份认证系统》成功中标营口银行

2010年07月,《维尔银行柜员指纹身份认证系统》成功中标江苏昆山农村商业银行 2010年07月,《维尔银行柜员指纹身份认证系统》成功中标三门峡市农村信用合作联社 2010年07月,《维尔银行信贷客户指纹管理系统》成功中标偃师市农村信用合作联社 2010年06月,《维尔银行柜员指纹身份认证系统》成功中标抚顺商业银行

2010年05月,《维尔银行指纹押运系统》成功中标南通市市郊农村信用合作联社 2010年05月,《维尔银行柜员指纹身份认证系统》成功中标乌鲁木齐市商业银行 2010年04月,《维尔银行信贷指纹身份认证系统》成功中标永嘉农村合作银行 2010年01月,《维尔银行柜员指纹身份认证系统》成功中标黄河农村商业银行

2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行宁波市分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行海南省分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行厦门市分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行福建省分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行苏州市分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行江苏省分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行上海市分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行大连市分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行辽宁省分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行吉林省分行 2009年11月,《维尔银行柜员指纹身份认证系统》成功中标农业银行黑龙江省分行 2009年06月,《维尔银行柜员指纹身份认证系统》成功中标华夏银行 2009年05月,《维尔银行柜员指纹身份认证系统》成功中标招商银行 2009年09月,《维尔银行柜员指纹身份认证系统》成功中标江南银行

2009年09月,《维尔银行柜员指纹身份认证系统》成功中标海门市农村信用合作联社 2009年09月,《维尔银行柜员指纹身份认证系统》成功中标如皋市农村信用合作联社 2009年08月,《维尔银行柜员指纹身份认证系统》成功中标华夏银行苏州分行

2009年08月,《维尔银行柜员指纹身份认证系统》成功中标常州市区农村信用合作联社 2009年08月,《维尔银行柜员指纹身份认证系统》成功中标常州新北区农村信用合作联社 2009年08月,《维尔银行柜员指纹身份认证系统》成功中标金坛农村信用合作联社 2009年08月,《维尔银行柜员指纹身份认证系统》成功中标溧阳农村合作银行 2009年07月,《维尔银行柜员指纹身份认证系统》成功中标江苏新沂农村合作银行 2009年07月,《维尔银行柜员指纹身份认证系统》成功中标南京市区农村信用合作联社 2009年06月,《维尔银行柜员指纹身份认证系统》成功中标南通市市郊农村信用合作联社 2009年06月,《维尔银行柜员指纹身份认证系统》成功中标泰兴农村信用合作联社 2009年06月,《维尔银行柜员指纹身份认证系统》成功中标东海农村信用合作联社 2009年06月,《维尔银行柜员指纹身份认证系统》成功中标华夏银行 2009年05月,《维尔银行柜员指纹身份认证系统》成功中标招商银行

2009年04月,《维尔银行柜员指纹身份认证系统》成功中标商丘市农村信用合作联社 2009年04月,《维尔银行柜员指纹身份认证系统》成功中标姜堰农村合作银行 2009年04月,《维尔银行柜员指纹身份认证系统》成功中标高淳农村合作银行

2009年03月,《维尔银行柜员指纹身份认证系统》成功中标江苏省农村信用社联合社 2009年02月,《维尔指纹身份认证系统》成功中标安邦保险

2008年12月,《维尔银行柜员指纹身份认证系统》成功中标云南省农村信用社联合社 2008年11月,《维尔银行柜员指纹身份认证系统》成功中标哈尔滨银行 2008年11月,《维尔银行柜员指纹身份认证系统》成功中标金华商业银行

2008年11月,《维尔银行柜员指纹身份认证系统》成功中标邳州农村信用合作联社 2008年10月,《维尔银行柜员指纹身份认证系统》成功中标洛阳市农村信用合作联社 2008年10月,《维尔银行柜员指纹身份认证系统》成功中标湖北省农村信用社联合社 2008年10月,《维尔银行柜员指纹身份认证系统》成功中标四川省农村信用社联合社 2008年10月,《维尔银行柜员指纹身份认证系统》成功中标鄞州农村合作银行 2008年09月,《维尔银行柜员指纹身份认证系统》成功中标江苏长江商业银行

2008年08月,《维尔银行柜员指纹身份认证系统》成功中标吉林银行

2008年08月,《维尔银行柜员指纹身份认证系统》成功中标华夏银行无锡分行 2008年07月,《维尔银行柜员指纹身份认证系统》成功中标靖江农村信用合作联社

2008年07月,《维尔银行柜员指纹身份认证系统》成功中标宁夏回族自治区农村信用社联合社

2008年06月,《维尔银行柜员指纹身份认证系统》成功中标华夏银行常州分行 2008年06月,《维尔银行柜员指纹身份认证系统》成功中标武进农村商业银行 2008年06月,《维尔银行柜员指纹身份认证系统》成功中标中信银行苏州分行 2008年06月,《维尔银行柜员指纹身份认证系统》成功中标株洲商业银行 2009年03月,《维尔银行柜员指纹身份认证系统》成功中标深圳平安银行 2008年02月,《维尔银行柜员指纹身份认证系统》成功中标华夏银行沈阳分行 2008年01月,《维尔银行柜员指纹身份认证系统》成功中标中信银行

2007年12月,《维尔银行柜员指纹身份认证系统》成功中标平安银行

2007年09月,《维尔银行柜员指纹身份认证系统》成功中标长沙市商业银行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行宁波市分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行甘肃省分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行青海省分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行辽宁省分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行吉林省分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行西藏自治区分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行江西省分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行山东省分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行河北省分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行黑龙江省分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功中标建设银行北京市分行 2007年07月,《维尔银行柜员指纹身份认证系统》成功台州市商业银行 2007年06月,《维尔银行柜员指纹身份认证系统》成功农业银行浙江省分行

2007年05月,《维尔银行柜员指纹身份认证系统》成功中标长兴农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标宁波农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标慈溪农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标安吉农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标南浔农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标金华成泰农村合作银行 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标磐安农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标武义农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标金华农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标平阳农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标龙湾农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标苍南农村信用合作联社 2007年05月,《维尔银行柜员指纹身份认证系统》成功中标乐清农村合作银行 2007年02月,《维尔银行柜员指纹身份认证系统》成功中标中国工商银行 2007年01月,《维尔银行柜员指纹身份认证系统》成功中标辽阳市商业银行

2006年10月,《维尔银行柜员指纹身份认证系统》成功中标宁波市商业银行（宁波银行） 2006年09月,《维尔银行柜员指纹身份认证系统》成功中标温州市商业银行 2006年08月,《维尔银行柜员指纹身份认证系统》成功中标建设银行厦门市分行 2006年08月,《维尔银行柜员指纹身份认证系统》成功中标建设银行宁夏自治区分行 2006年08月,《维尔银行柜员指纹身份认证系统》成功中标建设银行广东省分行 2006年08月,《维尔银行柜员指纹身份认证系统》成功中标建设银行四川省分行 2006年08月,《维尔银行柜员指纹身份认证系统》成功中标建设银行云南省分行 2006年08月,《维尔银行柜员指纹身份认证系统》成功中标建设银行总行

2006年04月,《维尔银行柜员指纹身份认证系统》成功中标建设银行海南省分行 2005年12月,《维尔银行柜员指纹身份认证系统》成功中标建设银行内蒙古分行 2004年12月,《维尔银行柜员指纹身份认证系统》成功中标建设银行湖北省分行

8 平台截图

单点登录首页

平台用户添加页面

业务系统账户关联页面

9 平台报价

项目 指纹终端设备 软件平台

价格 800RMB/个 15,0000RMB

本文来源：https://www.bwwdw.com/article/sdko.html