CN101277193A - 基于面向服务架构认证服务代理的信息门户单点登录和访问*** - Google Patents

Abstract

本发明公开了一种基于面向服务架构认证服务代理的信息门户单点登录和访问***，包括有基于面向服务架构的认证服务端(1)、认证服务代理(2)、应用***(3)和用户浏览器(4)。认证服务端(1)由认证服务端数据结构集(11)、认证服务端原子服务集(12)和认证服务端辅助服务集(13)组成，认证服务端数据结构集(11)用于承载单点登录执行过程中交换的数据；认证服务端原子服务集(12)通过响应认证服务代理(2)的调用请求，从而完成单点登录和对应用***(3)的访问；认证服务端辅助服务集(13)用于(A)维护所述认证服务端(1)单点登录中的局部用户角色映射LURM、全局用户身份信息GUII，(B)辅助完成单点登录和对应用***(3)的访问。

Description

基于面向服务架构认证服务代理的信息门户单点登录和访问***

技术领域

本发明涉及一种适用于对信息门户进行整合的、基于面向服务架构认证服务代理的、信息门户单点登录和访问***，该信息门户单点登录和访问***属于IPC分类中的电通信技术领域。

背景技术

随着万维网的普及与发展，现代Web应用已成为现代人所不可或缺的信息交流平台，而信息门户更是重中之重。信息门户是一种Web应用技术，它将不同应用***(Application System，AS)集成在一个统一的入口，为用户提供多元、集中、快捷的信息服务，其涉及内容管理、数据集成、单点登录(Single Sign On，SSO)等多方面的内容，其中单点登录是必须首先解决的问题。单点登录技术的核心思想是在信息门户与应用***之间建立一种身份映射关系，用户只需在信息门户的认证服务端进行登录，则在该次登录有效期内无需再次登录就可以访问信息门户内的多个应用***。

目前，随着信息门户应用领域的蓬勃发展，已相继推出了一些商业化、成熟的SSO机制，如微软的NET Passport单点登录服务，其为中央统筹式的登录服务器，保存着用户的登录信息和个人信息，用户只要在NET Passport单点登录服务上进行一次登录，即可访问Passport的合作站点。但其核心的认证服务器和用户信息服务器都由微软垄断，技术细节没有遵循统一标准且不对外公开，无法进行进一步推广。自由联盟Liberty SSO机制，其认证流程依赖于安全断言标记语言(SecurityAssertion Markup Language，SAML)，需要信息门户和其中整合的AS都能够理解基于SAML的认证信息，其本身复杂度过高，使用不易。综上所述，现有SSO机制存在如下缺陷：

(1)编程接口复杂，开放度低，整合时需对AS进行大范围改造；

(2)对于采用不同技术的AS往往存在可移植性差的问题；

(3)现有的SSO机制由于其自身的高复杂性，在信息门户的AS频繁变动时不能够对其进行快速整合。

另一方面，面向服务架构(Service-Oriented Architecture，SOA)是一种重要的架构模型，它可以根据需求对松散耦合的粗粒度应用组件进行分布式部署、组合和使用。SOA具有松散耦合、可重用、标准化等特征，在很多领域都得到了广泛和有效的应用。因此，能否借助SOA的思想，来解决现有SSO机制存在的缺陷，是一个很重要的问题。

发明内容

为了解决现有门户应用***整合复杂、开放度低等缺陷，本发明提出一种结构简单、松散耦合、快速灵活、完善通用、轻量级的基于面向服务架构认证服务代理的信息门户单点登录和访问***。所述的单点登录采用了数据封装和服务封装策略，开放度高；通过引入服务代理将身份认证的相关功能从应用***中独立出来，并由服务代理来控制用户单点登录和***访问请求，有效的降低了应用***整合复杂度，提高了门户整合性能。

本发明基于面向服务架构认证服务代理的信息门户单点登录和访问***，包括有应用***(3)、用户浏览器(4)，以及基于面向服务架构的认证服务端(1)和认证服务代理(2)；

所述的认证服务端(1)用于提供单点登录服务；其由认证服务端数据结构集(11)、认证服务端原子服务集(12)和认证服务端辅助服务集(13)组成，认证服务端数据结构集(11)用于承载单点登录执行过程中交换的数据；认证服务端原子服务集(12)通过响应认证服务代理(2)的调用请求，从而完成单点登录和对应用***(3)的访问；认证服务端辅助服务集(13)用于(A)维护所述认证服务端(1)单点登录中的局部用户角色映射LURM、全局用户身份信息GUII，(B)辅助完成单点登录和对应用***(3)的访问；

所述的认证服务代理(2)是基于面向服务架构的，通过调用认证服务端(1)提供的单点登录服务，使得用户通过用户浏览器(4)能够使用单点登录服务进行登录，并实现对应用***(3)的访问。

认证服务端数据结构集(11)是一个八元组D₀＝{ASID，PRID，ARID，UIT，URT，UTS，GUII，LURM}，ASID表示应用***编号，PRID表示门户角色编号，ARID表示应用***角色编号，UIT表示用户身份令牌，URT表示用户角色令牌，UTS表示用户令牌存根，GUII表示全局用户身份信息，LURM表示局部用户角色映射。

认证服务端原子服务集(12)是一个五元组S₀＝{serviceUITF，serviceUITV，serviceUFPC，servicePMRF，serviceUITI}，serviceUITF表示用户身份令牌获取服务，serviceUITV表示用户身份令牌验证服务，serviceUFPC表示用户一级权限校验服务，servicePMRF表示门户映射角色获取服务，serviceUITI表示身份令牌废弃服务。

认证服务端辅助服务集(13)是一个六元组A₀＝{serviceUGIF，serviceUIS，servicePRF，serviceURMR，serviceASIQ，serviceASIR}，serviceUGIF表示用户全局身份获取服务，serviceUIS表示用户信息同步服务，servicePRF表示针对应用***ASID的门户角色PRID的获取服务，serviceURMR表示用户角色映射注册服务，serviceASIQ表示认证服务调用接口查询服务，serviceASIR表示认证服务调用接口注册服务。

本发明基于面向服务架构认证服务代理的信息门户单点登录和访问***的设计特点在于：

①对认证服务端1采用了数据封装和服务封装策略，使本发明信息门户单点登录和访问***的开放度高，编程接口简单；

②在本发明信息门户单点登录和访问***中引入认证服务代理2，使得身份认证从应用***3中独立出来，由认证服务代理2调用认证服务端1中的原子服务来完成，从而降低了本发明***的整合的复杂度；

③在执行单点登录过程中通过认证服务代理2与认证服务端1的请求-访问模式，有利于应用***3的整合和更新；

④将单点登录封装为多个原子服务集，各服务间耦合度低，从而可以对各原子服务独立地进行更新和维护；

⑤本发明提供的轻量级单点登录服务，有利于信息门户在动态松耦合环境下实现快速整合。

附图说明

图1是用户通过本发明的认证代理服务进行登录、访问应用***的简示图。

图2是本发明认证服务端的结构框图。

图3是本发明认证服务端在执行单点登录的流程图。

图中：                 1.认证服务端        11.认证服务端数据结构集12.认证服务端原子服务集    13.认证服务端辅助服务集2.认证服务代理             3.应用***

具体实施方式

下面将结合附图对本发明做进一步的详细说明。

本发明是一种基于面向服务架构认证服务代理的信息门户单点登录及访问***，包括有基于面向服务架构的认证服务端1、认证服务代理2和应用***3。所述的认证服务代理2是基于面向服务架构的，通过调用认证服务端1提供的单点登录服务，使得用户通过用户浏览器4能够使用单点登录服务进行登录，并实现对应用***3的访问。

在本发明中，所述的应用***3为互联网络中的用于管理、分析、发布信息等的应用***。

在本发明中，所述的认证服务代理2是用于调用所述的认证服务端1中的单点登录服务，起到用户与应用***3的桥梁作用。由于所述的认证服务端1中采用了数据封装和服务封装策略，针对用户的单点登录和访问的开放度较高；在执行单点登录过程中通过所述的认证服务代理2与所述的认证服务端1的请求-访问模式，有利于所述的应用***3的整合和更新，真正实现了松散耦合。

在本发明中，所述的认证服务端1用于提供单点登录服务。所述的单点登录服务设计为多个原子服务集，各服务间耦合度低，从而可以对各原子服务独立地进行更新和维护，体现了所述的认证服务端1具有快速灵活性。

在本发明中，(参见图1所示)用户通过用户浏览器4登录时，首先经认证服务代理2通过调用原子服务进入认证服务端1实现单点登录；然后即可访问应用***3，根据多个权限范围的设置应用***可以有，如A应用***31、B应用***32……N应用***33。

在本发明中，(参见图2所示)认证服务端1由认证服务端数据结构集11、认证服务端原子服务集12和认证服务端辅助服务集13组成；

认证服务端数据结构集11用于承载单点登录执行过程中交换的数据；

认证服务端原子服务集12通过响应认证服务代理2的调用请求，从而完成单点登录和对应用***3的访问；

认证服务端辅助服务集13用于(A)维护单点登录中的LURM、GUII，(B)辅助完成单点登录和对应用***3的访问。

认证服务端数据结构集11是一个八元组D₀＝{ASID，PRID，ARID，UIT，URT，UTS，GUII，LURM}，ASID表示应用***编号，PRID表示门户角色编号，ARID表示应用***角色编号，UIT表示用户身份令牌，URT表示用户角色令牌，UTS表示用户令牌存根，GUII表示全局用户身份信息，LURM表示局部用户角色映射。在本发明中，认证服务端数据结构集11采用数据封装模式，有利于信息门户单点登录和访问，提高了本发明***的开放度。

ASID：代表应用***3中的A应用***31、B应用***32……N应用***33在信息门户中的唯一标识，简称：应用***编号。

PRID：用以标识门户角色。简称：门户角色编号。

ARID：用以标识应用***的角色编号，该角色编号包含有应用***3中的A应用***31、B应用***32……N应用***33在信息门户中的应用***编号，简称应用***角色编号。

UIT：用以标识用户是否处于已登录状态，是以当前时间的毫秒级单位为基础生成的一个32位随机字符串，在用户通过认证服务代理2进行身份验证后由认证服务端1生成，简称：用户身份令牌。

URT：说明已登录用户所具备的门户角色信息，是用户拥有的门户角色编号PRID所组成的数组，该数组结构为：URT＝{PRID₁，PRID₂，…，PRID_n}，简称：用户角色令牌。

UTS：用以标识用户身份令牌UIT和用户角色令牌URT的有效性，在用户登录后由认证服务端1生成并保存，其格式为：UTS＝{用户名，UIT，URT}，简称：用户令牌存根。

GUII：用以标识用户身份信息，其格式为：GUII＝{用户名，用户登录密码}，简称：全局用户身份信息。

LURM：用以维护门户角色编号PRID与应用***角色编号ARID之间的映射，其格式为：LURM＝{PRID，ASID，ARID}，简称：局部用户角色映射。

认证服务端原子服务集12是一个五元组S₀＝{serviceUITF，serviceUITV，serviceUFPC，servicePMRF，serviceUITI}，serviceUITF表示用户身份令牌获取服务，serviceUITV表示用户身份令牌验证服务，serviceUFPC表示用户一级权限校验服务，servicePMRF表示门户映射角色获取服务，serviceUITI表示身份令牌废弃服务。

serviceUITF：用于(A)对全局用户身份信息GUII进行验证用户身份；(B)对身份验证通过的用户授予用户身份令牌UIT；(C)对授予用户身份令牌UIT的用户采用自动顺序码生成方式产生用户令牌存根UTS，并将用户令牌存根UTS保存在认证服务端。在本发明中，对用户输入的全局用户身份信息GUII(用户名和用户登录密码)进行验证，并根据验证结果决定是否授予UIT，若是则授予用户身份令牌UIT，并生成用户令牌存根UTS保存在认证服务端，若否，则返回无效的UIT。该服务的输入为GUII，输出为UIT。简称：用户身份令牌获取服务。

serviceUITV：用以验证用户所持有的用户身份令牌UIT的有效性。针对用户所持有的用户身份令牌UIT，根据用户令牌存根UTS检验UIT的有效性并返回检验结果。输入为用户身份令牌UIT，输出为布尔值验证结果。简称：用户身份令牌验证服务。

serviceUFPC：用以检验用户对请求的应用***3中是否具备入口访问权限。负责根据用户身份令牌UIT和用户令牌存根UTS取得用户角色令牌URT，结合应用***编号ASID，检验用户是否对所请求的应用***3具备入口访问权。输入为用户身份令牌UIT和应用***编号ASID，输出为布尔值验证结果。简称：用户一级权限校验服务。

servicePMRF：用以取得门户角色映射到对应的应用***3中的角色。根据用户所持有的UIT和UTS取得URT、GUII、LURM，并结合ASID进行求积，取得门户角色映射到该应用***的角色。输入为用户身份令牌UIT和应用***编号ASID，输出为对应应用***的内部角色编号数组{ARID₁，ARID₂，…，ARID_n}。简称：门户映射角色获取服务。

serviceUITI：将用户当前持有的用户身份令牌UIT标记为无效。根据用户当前持有的UIT，废弃URT、UTS、UIT。输入为用户身份令牌UIT，简称：身份令牌废弃服务。

认证服务端辅助服务集13是一个六元组A₀＝{serviceUGIF，serviceUIS，servicePRF，serviceURMR，serviceASIQ，serviceASIR}，serviceUGIF表示用户全局身份获取服务，serviceUIS表示用户信息同步服务，servicePRF表示针对应用***ASID的门户角色PRID的获取服务，serviceURMR表示用户角色映射注册服务，serviceASIQ表示认证服务调用接口查询服务，serviceASIR表示认证服务调用接口注册服务。

serviceUGIF：获取用户在门户中的身份信息。根据用户持有的UIT和UTS取得对应的用户名，再根据用户名取得GUII。输入为用户当前持有的用户身份令牌UIT，输出为全局用户身份信息GUII。简称：用户全局身份获取服务。

serviceUIS：取出对指定应用***具备访问权限的全部用户的全局身份信息GUII，并保存到指定应用***中。根据ASID，取出对该应用***具备入口访问权的用户的GUII并保存。输入为应用***编号ASID。简称：用户信息同步服务。

servicePRF：取出对指定应用***具备访问权限的门户角色信息。根据ASID取出门户中对指定ASID的应用***具备入口访问权的全部角色信息。输入为应用***编号ASID，输出为门户角色信息。简称：应用***门户角色获取服务。

serviceURMR：注册从门户角色到应用***角色的映射。根据指定的ASID、ARID、门户角色编号PRID，对用户角色映射LURM进行注册或变更，即维护认证服务端数据结构集11中的LURM元素。输入为应用***编号ASID、ARID、PRID，输出为布尔值执行结果。简称：用户角色映射注册服务。

serviceASIQ：查询特定的认证服务调用接口。事先约定的认证服务调用接口编号，取出认证服务调用接口编号所对应的认证服务调用接口描述，当认证代理2调用认证服务端1提供的原子服务接口失败时，认证代理2可以调用该服务重新获得认证服务端1所提供的原子服务的调用接口。输入为认证服务调用接口编号，输出为认证服务调用接口描述。简称：认证服务调用接口查询服务。

serviceASIR：对认证服务调用接口编号进行注册或变更。将进行过修改的认证服务调用接口描述和编号注册，并返回动作的执行结果。当修改了认证服务端1提供的原子服务接口时，可以通过调用该服务实现修改后原子服务接口的自动注册和变更。输入为希望注册或更改的认证服务调用接口描述和编号，输出为布尔值执行结果。简称：认证服务调用接口注册服务。

在本发明中，用户通过用户浏览器4进行单点登录访问应用***3的执行步骤为(参见图3所示)：

***初始化后，信息门户提供一个单一登录入口，用户通过所述登录入口输入GUII(用户名和密码)请求进行登录后进入步骤101；

步骤101：认证服务代理2截获所述GUII请求后，调用serviceUITF，并将GUII传递给认证服务端1，执行步骤102；

步骤102：认证服务端1执行认证服务serviceUITF，并对GUII进行验证；所述GUII验证通过后，(A)生成UIT、URT、UTS；(B)保存URT和UTS；(C)发送UIT给认证服务代理2，执行步骤103；如果GUII验证不通过，则返回无效的UIT给认证服务代理2；

步骤103：认证服务代理2判断返回的无效UIT是否有效？否，返回开始状态；是，执行步骤104；

步骤104：用户通过用户浏览器4发送访问请求给指定应用***，执行步骤105；在本发明中，指定应用***是指用户发送访问请求给应用***3中的A应用***31或者A应用***31、B应用***32或者A应用***31、B应用***32……N应用***33(参见图1所示)。所述访问请求是指带有编号的指定应用***，表达形式可以为ASID_N，N表示指定应用***的编号。例如，用户通过用户浏览器4需要访问B应用***32，则发送的访问请求则为ASID_B或者ASID₃₂。为了简述方便，下文的指定应用***用B应用***32代替。

步骤105：认证服务代理2截获所述的访问请求，调用serviceUITV，并将用户的全局身份令牌UIT传递给认证服务端1；认证服务端1执行serviceUITV来验证UIT的有效性，并返回UIT给认证服务代理2，执行步骤106；

步骤106：认证服务代理2判断UIT是否有效，否，返回开始状态；是，执行步骤107；

步骤107：认证服务代理2调用serviceUFPC，并将serviceUFPC输出给认证服务端1；认证服务端1执行serviceUFPC来验证用户是否具有访问B应用***32的权限，并将该访问权限返回给认证服务代理2，执行步骤108；

步骤108：认证服务代理2对步骤107中的访问权限与阈值进行比较后，输出(A)用户具有访问权限，执行步骤109；(B)不具有访问权限，执行步骤111a；在本发明中，阈值为“1”表示用户不具有访问权限，阈值为“0”表示用户具有访问权限。

步骤111a：用于提示用户无权访问，并执行步骤114；

步骤109：认证服务代理2判断是否缓存用户在B应用***32中的角色编号，即URT；是，则执行步骤110；否，则执行步骤901；

步骤901：认证服务代理2调用servicePMRF来将UIT和ASID_B，发送至认证服务端1，执行步骤902；

步骤902：认证服务端1从认证服务端数据结构集11中获得LURM，并执行servicePMRF后得到在B应用***32中的角色编号，并将所述角色编号发送给认证服务代理2；认证服务代理2对接收的所述角色编号进行缓存后执行步骤110；

步骤110：认证服务代理2将缓存的所述角色编号发送给B应用***32，执行步骤111；

步骤111：B应用***32根据URT检验用户对B应用***32的访问请求操作是否具备权限；否，执行步骤111a；是，执行步骤114；

步骤111a：用于提示用户无权访问，并执行步骤114；

步骤112：B应用***32响应用户的访问请求，从而达到用户实现单点登录B应用***32。

步骤113：询问用户是否再次登录应用***3中的其它应用***，若“是”则执行步骤104；若“否”则执行步骤114；

步骤114：认证服务代理2调用serviceUITI，并将用户的全局身份令牌UIT发送给认证服务端1；认证服务端1执行身份认证服务serviceUITI后，将用户身份令牌UIT废弃，并将废弃确认指令发送给认证服务代理2。

本发明基于面向服务架构认证服务代理的信息门户单点登录和访问***中各模块的具体设计理念为：

一、认证服务设计

认证服务端提供的SSO服务是整个机制的核心。其中权限管理、安全策略和原子服务划分是SSO服务设计的重点。下面将分别从这三个方面对认证服务设计进行阐述。

1、权限管理策略

应用***AS中用户权限的分配极其严格。门户***中集成的AS在业务逻辑和工作流程上的差异通常会以最直观的方式反映到权限划分上。在本发明中以降低AS整合难度和门户权限管理复杂度，提高本发明***的灵活性和可复用性为目标，设计了以二次鉴权制度为主、角色映射管理制度为辅的权限管理策略。

二次鉴权制度：指将单个AS视作一个门户资源，门户角色仅负责提供用户对于AS的入口访问权，用户在AS中的权限由AS另行分配、管理。本发明***权限管理策略通过采用二次鉴权制度，避免在门户中对AS的权限管理进行过多干涉。但二次鉴权制度中，新增的门户用户存在权限空白期——即新增用户具备可提供AS入口访问权的门户角色，但其不具备AS内部角色的时间段。本发明***采用角色映射管理制度来解决权限空白期问题。

角色映射管理制度：指在门户角色和AS内部角色之间建立映射关系。用户在访问AS时根据其所持有的门户角色和角色映射之积，得出对应的AS内部角色。如此，用户一旦具备对AS的入口访问权也就同时具备了一定的AS内部角色，从而弥补二次鉴权制度中新增门户用户存在权限空白期的不足。

通过权限管理策略进行权限管理，在本***中避免了由于权限问题导致的对AS和门户的修改，同时对用户在门户和子***中的权限一致性提供了保障。

2、安全策略设计

鉴于本发明***中的基本数据结构所装载信息均为敏感信息，安全要求高，故本发明***安全策略除依赖于具体实现的安全框架外，还需实现以下两种安全策略：

(1)利用安全套接层(Secure Socket Layer：SSL)协议保证传输安全

AS内嵌的服务代理在调用认证服务时必须出示认证服务端颁发的SSL数字证书，否则视作非法调用。

(2)利用非对称加密保证数据元素级安全

采用RSA非对称加密算法与AES对称加密算法相结合的方式，对服务代理和认证服务端交互过程中传输的数据结构进行加密。具体步骤为：①服务代理发出服务调用请求时，生成一对RSA非对称密钥，并将公钥附在请求信息中；②认证服务端发送响应数据时，生成AES对称密钥，先用AES对称密钥对响应数据加密，再用服务代理提供的RSA公钥将AES密钥加密，将响应数据和加密后的AES密钥一并发送给服务代理；③服务代理先使用RSA私钥将AES密钥解密，再用AES密钥将响应数据解密。

以上安全策略可有效地保证机制在数据传输级别和数据元素级别的数据安全。在实际运用中可与机制的具体实现所提供的安全框架共同保护机制的信息安全。

3、原子服务划分

本发明***以降低门户整合难度，提高门户灵活性为目标，以SOA思想为指导，将单点登录分解成为一组原子服务，这组原子服务对外提供统一、通用的调用接口供AS中的认证代理调用，实现SSO功能。为了保证原子服务的原子性和完整性，在对本发明***认证流程进行原子服务划分时，需满足：

单一性原则：一个原子服务只能包括唯一一次认证代理与认证服务端之间的请求/响应通信；

完备性原则：一个原子服务对认证代理的一次调用请求而言应该是功能完备的，不能与其它原子服务在功能上有所交叉。

二、本发明***认证代理设计

在本发明***中，AS通过认证代理调用SSO服务。由于结合SOA思想的本发明***所设计的认证服务具备统一、通用的调用接口，故认证代理的工作仅限于结合AS的具体实现情况将认证服务的调用接口转化为AS可直接使用的形式。

本发明中，引用字母的简写与全称，以及中文意义见下表：

简写	全称	中文意义
			ASID	Application System ID	应用服务***编号
PRID	Portal Role ID	门户角色编号
			ARID	Application Role ID	应用***角色编号
UIT	User Identity Token	用户身份令牌
			URT	User Role Token	用户角色令牌
UTS	User Token Stub	用户令牌存根
			GUII	Global User Identity Info	全局用户身份信息
LURM	Local User Role Mapping	局部用户角色映射
			serviceUITF	User Identity Token Fetching	用户身份令牌获取服务
serviceUITV	User Identity Token Validation	用户身份令牌验证服务
			serviceUFPC	User First Privilege Check	用户一级权限校验服务
servicePMRF	Portal Mapping Role Fetching	门户映射角色获取服务
			serviceUITI	User Identity Token Invalidation	身份令牌废弃服务
serviceUGIF	User Global Identity Fetching	用户全局身份获取服务
			serviceUIS	User Information Synchronization	用户信息同步服务
servicePRF	Portal Role Fetching	门户角色获取服务
			serviceURMR	User Role Mapping Registration	用户角色映射注册服务
serviceASIQ	Authorization Service InterfaceQuery	认证服务调用接口查询服务
			serviceASIR	Authorization Service InterfaceRegistration	认证服务调用接口注册服务

Claims (7)

1、一种基于面向服务架构认证服务代理的信息门户单点登录和访问***，包括有应用***(3)、用户浏览器(4)，其特征在于：还包括有基于面向服务架构的认证服务端(1)和认证服务代理(2)；

所述的认证服务端(1)用于提供单点登录服务；其由认证服务端数据结构集(11)、认证服务端原子服务集(12)和认证服务端辅助服务集(13)组成，认证服务端数据结构集(11)用于承载单点登录执行过程中交换的数据；认证服务端原子服务集(12)通过响应认证服务代理(2)的调用请求，从而完成单点登录和对应用***(3)的访问；认证服务端辅助服务集(13)用于(A)维护所述认证服务端(1)单点登录中的局部用户角色映射LURM、全局用户身份信息GUII，(B)辅助完成单点登录和对应用***(3)的访问；

所述的认证服务代理(2)是基于面向服务架构的，通过调用认证服务端(1)提供的单点登录服务，使得用户通过用户浏览器(4)能够使用单点登录服务进行登录，并实现对应用***(3)的访问。

2、根据权利要求1所述的信息门户单点登录和访问***，其特征在于：应用***(3)包括有根据不同权限范围设置的如A应用***(31)、B应用***(32)……N应用***(33)。

3、根据权利要求1所述的信息门户单点登录和访问***，其特征在于：认证服务端数据结构集(11)是一个八元组D₀＝{ASID，PRID，ARID，UIT，URT，UTS，GUII，LURM}，ASID表示应用***编号，PRID表示门户角色编号，ARID表示应用***角色编号，UIT表示用户身份令牌，URT表示用户角色令牌，UTS表示用户令牌存根，GUII表示全局用户身份信息，LURM表示局部用户角色映射。

4、根据权利要求1所述的信息门户单点登录和访问***，其特征在于：认证服务端原子服务集(12)是一个五元组S₀＝{serviceUITF，serviceUITV，serviceUFPC，servicePMRF，serviceUITI}，serviceUITF表示用户身份令牌获取服务，serviceUITV表示用户身份令牌验证服务，serviceUFPC表示用户一级权限校验服务，servicePMRF表示门户映射角色获取服务，serviceUITI表示身份令牌废弃服务。

5、根据权利要求1所述的信息门户单点登录和访问***，其特征在于：认证服务端辅助服务集(13)是一个六元组A₀＝{serviceUGIF，serviceUIS，servicePRF，serviceURMR，serviceASIQ，serviceASIR}，serviceUGIF表示用户全局身份获取服务，serviceUIS表示用户信息同步服务，servicePRF表示针对应用***ASID的门户角色PRID的获取服务，serviceURMR表示用户角色映射注册服务，serviceASIQ表示认证服务调用接口查询服务，serviceASIR表示认证服务调用接口注册服务。

6、根据权利要求1或2所述的信息门户单点登录和访问***，其特征在于：用户通过用户浏览器(4)进行单点登录访问应用***(3)的执行步骤为：

***初始化后，信息门户提供一个单一登录入口，用户通过所述登录入口输入GUII请求进行登录后进入步骤101；

步骤101：认证服务代理(2)截获所述GUII请求后，调用serviceUITF，并将GUII传递给认证服务端(1)，执行步骤102；

步骤102：认证服务端(1)执行认证服务serviceUITF，并对GUII进行验证；所述GUII验证通过后，(A)生成UIT、URT、UTS；(B)保存URT和UTS；(C)发送UIT给认证服务代理(2)，执行步骤103；如果GUII验证不通过，则返回无效的UIT给认证服务代理(2)；

步骤103：认证服务代理(2)判断返回的无效UIT是否有效？否，返回开始状态；是，执行步骤104；

步骤104：用户通过用户浏览器(4)发送访问请求给B应用***(32)，执行步骤105；

步骤105：认证服务代理(2)截获所述的访问请求，调用serviceUITV，并将用户的全局身份令牌UIT传递给认证服务端(1)；认证服务端(1)执行serviceUITV来验证UIT的有效性，并返回UIT给认证服务代理(2)，执行步骤106；

步骤106：认证服务代理(2)判断UIT是否有效，否，返回开始状态；是，执行步骤107；

步骤107：认证服务代理(2)调用serviceUFPC，并将serviceUFPC输出给认证服务端(1)；认证服务端(1)执行serviceUFPC来验证用户是否具有访问B应用***(32)的权限，并将该访问权限返回给认证服务代理(2)，执行步骤108；

步骤108：认证服务代理(2)对步骤107中的访问权限与阈值进行比较后，输出(A)用户具有访问权限，执行步骤109；(B)不具有访问权限，执行步骤111a；

步骤111a：用于提示用户无权访问，并执行步骤114；

步骤109：认证服务代理(2)判断是否缓存用户在B应用***(32)中的角色编号，即URT；是，则执行步骤110；否，则执行步骤901；

步骤901：认证服务代理(2)调用servicePMRF来将UIT和ASID_B，发送至认证服务端(1)，执行步骤902；

步骤902：认证服务端(1)从认证服务端数据结构集(11)中获得LURM，并执行servicePMRF后得到在B应用***(32)中的角色编号，并将所述角色编号发送给认证服务代理(2)；认证服务代理(2)对接收的所述角色编号进行缓存后执行步骤110；

步骤110：认证服务代理(2)将缓存的所述角色编号发送给B应用***(32)，执行步骤111；

步骤111：B应用***(32)根据URT检验用户对B应用***(32)的访问请求操作是否具备权限；否，执行步骤111a；是，执行步骤114；

步骤111a：用于提示用户无权访问，并执行步骤114；

步骤112：B应用***(32)响应用户的访问请求，从而达到用户实现单点登录B应用***(32)；

步骤113：询问用户是否再次登录应用***(3)中的其它应用***，若“是”则执行步骤104；若“否”则执行步骤114；

步骤114：认证服务代理(2)调用serviceUITI，并将用户的全局身份令牌UIT发送给认证服务端(1)；认证服务端(1)执行身份认证服务serviceUITI后，将用户身份令牌UIT废弃，并将废弃确认指令发送给认证服务代理(2)。

7、根据权利要求6所述的信息门户单点登录和访问***，其特征在于：步骤108中的阈值“1”和“0”，阈值为“1”表示用户不具有访问权限，阈值为“0”表示用户具有访问权限。

Images