方案介绍

一次认证，BS、CS共享登录，简单、安全、高效

方案概述

• 传统认证技术方案的分析
  • 从有无数字证书角度分析，现有的身份认证解决方案分为基于数字证书的身份认证、无数字证书的身份认证，前者比如最为常见的单、双向认证的SSL握手，后者比如SM9或基于对称密钥体系的认证方式等；
  • 从是否和链路加密耦合角度分析，分为与链路加密耦合的身份认证、不与链路加密无耦合的身份认证，前者比如SSLVPN、SSL代理等，后者比如包括多种协议的OAuth、CAS等单点登录。
• 传统方案的问题
  • 令牌的传输和存储安全较为薄弱
  • 与链路加密耦合性强增加服务端处理复杂度
  • 单点登录共享状态无法跨越BS/CS应用类型
  • 无数字证书参与的单点登录身份认证能力薄弱
  • 多个应用APP认证复杂，每次登录输入多次认证口令等。
• 本解决方案针对上述存在的问题，进行了有针对性的设计处理，集成了多种安全安全元素，包括了基于数字证书的SSL身份认证的票据管理、CAS认证体系和认证应用中台等。

方案优势

• PC端和移动端的跨屏互动：PC端应用发起认证进行访问时，移动端通过扫描PC端的二维码，完成PC端的认证过程。该技术在无外设（比如键盘）的终端发起的认证应用访问时，尤其方便，其作用是明显的。
• 一次认证，多个APP登录：通过提供集成单点登录中间件，普通APP就具备了发起单点登录身份认证、注销等能力。当多个APP各自集成中间件时，中间件会记忆上次的登录状态，下次APP发起认证时，就不用再登录了，相当于共享了认证状态。
• 跨BS、CS应用类型的共享：通过安全中间件，在B/S和C/S应用之间同步登录状态。
• 支持可扩展的认证手段：设计上考虑的扩展性支持多种认证手段，比如口令认证、短信授权码以及多种生物特征识别技术，包括人脸识别、指纹识别和声纹识别等。
• 票据的安全传输与存储：采用SSL和Session Ticket技术保护OAuth/CAS协议中的Cookie，使Cookie无法被窃取和伪造。