“一網通辦”人才落戶系統的跨域SSO設計與實現

谷 寧 靜

(上海市人力資源和社會保障局信息中心 上海 200051)

0 引 言

為進一步推動“互聯網+”政務服務，加快構建一體化的網上政務服務體系[1]，在市委市政府的統一部署下，上海市人力資源和社會保障局堅持推進人才領域“一網通辦”工作，通過“一網通辦”促進人才落戶引進工作效率提升。為了提升公眾用戶訪問和業務管理部門運維效率，將“人才引進”、“持有《上海市居住證》人員申辦本市常住戶口”、“留學人員落戶”、“外省市職工(家屬)進滬”四個人才落戶應用系統從原來分散的四個應用系統集成為一個統一的應用系統，并接入“一網通辦大平臺”。申報用戶只需一次登錄即可直接訪問所有系統，同時關鍵業務信息和狀態實時共享至一網通辦大平臺，實現數據整合。在支持單點登錄的同時，允許各應用系統在全面升級系統前保留原有的登錄賬戶信息和登錄入口。為此，本文構建了基于“一網通辦”的人才落戶跨域單點登錄(singlesign-on，SSO)系統。

1 平臺總體框架

1.1 技術架構設計

本系統采用符合J2EE規范的B/S/S三層應用架構，基于分布式架構、應用云技術支撐框架進行設計。系統整體的IT架構如圖1所示。

圖1 技術架構框架

應用系統構建于應用系統技術支撐框架(核心框架)之上，為用戶提供登錄業務應用。PAAS平臺提供了基礎的PAAS支持，包括分布式緩存、分布式日志、分布式服務框架等，應用系統技術支撐框架(擴展框架)用于定義應用系統與分布式服務的接口。IAAS平臺提供系統運行所依賴的基礎設施，除開放架構的X86硬件設備以外，還應支持使用已有的小型機設備。

在技術架構設計上，本系統采用JavaEE體系和Spring核心框架。框架制定了分布式緩存、并行計算、分布式消息隊列、非結構化存儲可擴展技術服務的接口規范，對應用集成管理、組織機構管理、操作員管理、權限管理、日志跟蹤管理等分布式應用管理功能進行封裝，且分布式應用管理功能可在應用層面復用。在核心框架基礎上，通過分布式技術產品擴展出相應的技術實現。采用SpringMVC作為控制層框架，應用開發需要按照SpringMVC控制器Controller的規范進行控制層實現。在控制層和視圖層，通過SpringSecurity提供聲明式的安全訪問控制，通過動態令牌實現單點登錄，基于角色模型實現URL權限聚合。

針對本系統架構面向互聯網訪問的應用特點，前端通過Nginx進行負載轉發、靜態文件處理；應用服務器采用WAS9的libertyprofile，作為前端頁面運行環境；通過redis搭建緩存層集群，存儲會話、字典表信息，采用zookeeper+dubbo的微服務架構；搭建日志平臺及監控平臺，方便日常運維及故障排查。

1.2 軟件框架設計

針對四個人才落戶系統政策條線較多、受理操作復雜的情況，基于統一標準化運行環境，本系統通過改造登錄模塊來接入一網通辦統一受理平臺。各業務單位分拆現有受辦一體的業務系統將現有業務系統中申報受理部分登錄模塊整體遷移至一網通辦統一受理平臺，納入一網通辦統一受理平臺管理，并與統一平臺數據交換中心對接。同時按照統一規范、統一標準進行用戶認證、Web登錄界面風格改造、數據實時共享。

一網通辦單點登錄實現涉及SSO認證中心的實現和人才落戶系統登入登出模塊、業務數據共享交換、權限模塊的改造，各系統要能夠與SSO統一認證中心進行通信，以實現授權令牌的校驗、用戶身份信息的獲取及登入登出等請求處理，同時各種關鍵業務數據通過安全接口實時傳輸至一網通辦大平臺[2]。圖2描述了整個系統的軟件總體框架。

圖2 軟件總體框架

單點登錄過程中完成令牌驗證、身份信息、注銷請求、統一審批編碼、關鍵業務數據的傳遞。部門網上辦事平臺入口登錄對應單部門上網中的“原有入口、統一編碼”模式，即公眾在部門網上辦事平臺通過點擊“網上政務大廳用戶登錄”實現登錄后，跳轉到人社人才落戶系統進行網上申報的模式。網上申報填寫時通過數據交換接口來獲取申請用戶的基礎信息進行預填。申請用戶調用“登錄獲取安全令牌”接口獲取安全令牌，再根據統一編碼獲取該辦件信息以開展協同辦理，中間的辦理環節信息和結果信息通過數據交換接口反饋至一網通辦統一受理平臺的辦件庫和證照庫。整體業務對接流程框架如圖3所示。

圖3 業務對接流程框架

2 SSO具體實現

2.1 登錄流程

人才落戶事項網上辦事入口必須與一網通辦統一受理平臺整合，由平臺提供統一的入口。人才落戶業務系統與統一受理平臺實現跨域單點登錄，即用戶在統一平臺登錄后，跳轉到人才落戶業務系統遷入的系統進行填報時無需再次登錄。登錄流程如圖4所示。

圖4 登錄流程

(1) 申請用戶登錄，調用“登錄獲取安全令牌”接口獲取安全令牌，網上政務大廳給該用戶授權一個動態的登錄令牌access_token。

(2) 人才落戶網上辦事平臺通過令牌校驗接口和網上政務大廳頒發的私鑰，向網上政務大廳請求驗證令牌。

(3) 網上政務大廳令牌驗證通過后，將會返回該access_token所對應的用戶信息，用戶信息為json格式字符串。

(4) 生成本地用戶，人才落戶網上辦事平臺在令牌驗證通過后，應確認網上政務大廳用戶唯一id(zwdtsw_user_id)是否在用戶庫中關聯，如未關聯，則需新增一個用戶，該用戶部分信息可從驗證登錄令牌的接口中獲取，用戶生成后記錄zwdtsw_user_id；如已關聯，則根據名為zwdtsw_last_update的數據項，即該用戶上一次更新時間，結合本地用戶上一次更新時間進行更新。

2.2 令牌生成和校驗

整個單點登錄系統主要依賴令牌access_token來驗證身份，zwdtsw_user_id被用作唯一的身份信息，對應一個系統唯一的用戶身份。身份信息是存儲在access_token令牌中的一個用戶身份明文信息，用來與公鑰對簽名驗證的結果比對確認用戶的身份。簽名信息是使用非對稱加密對一組身份信息的簽名結果信息，用戶登錄系統使用公鑰對其進行驗證。令牌使用橢圓曲線簽名算法(ECDSA)來實現驗證，對令牌M進行橢圓曲線算法來簽名[3]。access_token令牌組成結構如下：

{

“zwdtsw_user_id”：網上政務大廳用戶唯一id

“cas_id”： 單位統一社會信用碼

“nonce”：動態隨機數

“exp”：Token失效時間

“iat”：Token簽發時間

“簽名信息”：SHA256加密

}

2.3 登錄狀態保持

用戶當前登錄認證狀態在四個人才落戶系統和一網通辦平臺是否能夠被共享是單點登入與登出的關鍵。本系統采用access_token登錄令牌來實現用戶當前登錄認證狀態的共享，并將該令牌存儲在session會話里面，借此access_token令牌應用系統端可以區分登錄用戶身份。客戶端的身份信息數據存儲在Cookie里，客戶每次訪問時可讀取這些身份數據來獲取相應的權限。如果用戶客戶端的Cookie被禁用，則采用URL重寫技術，使得用戶端每次訪問服務器端時可傳回此session的ID和登錄令牌。Cookie和URL重寫技術的組合，可以確保整個應用系統服務器能獲取到用戶之間是否處在有效的登錄會話中，同時獲取到用戶的身份及其他狀態信息。申報單位已經登錄A落戶系統后再登錄B落戶系統時，不需要用戶再次登錄，但需要經過如下處理流程：

(1) 申報單位訪問應用系統B。

(2) 應用系統B發現該用戶無授權令牌未登錄，則將該用戶的身份信息和應用系統B的事項代碼請求重定向到一網通辦統一認證中心。

(3) 統一認證中心驗證該用戶的身份合法，發送動態登錄令牌access_token，之后將攜帶授權令牌的申報單位用戶重定向到系統B。

(4) 應用系統B將接收到的申報單位用戶的登錄令牌access_token向SSO統一認證中心發送令牌驗證請求。

(5)SSO統一認證中心驗證到令牌為有效的，則在本地用戶表中登記系統B，并向系統B返回確認和其他必要的授權信息。

(6) 系統B與用戶之間建立局部會話，本地保存授權令牌，為用戶開放相應資源[4]。

2.4 統一審批編碼

統一編碼由統一受理平臺統一分發，貫穿審批及服務辦理全過程。人才落戶系統在用戶暫存或者提交辦件時，調用統一的接口獲取編碼，并將統一編碼與辦件綁定。一條統一編碼只能綁定唯一一條業務辦件。統一編碼規則：統一編碼由區域代碼、事項大類碼、事項類別碼、事項申請年度和事項流水號組成，共15位阿拉伯數字。區域代碼為其所屬上海市行政區域代碼表；事項的具體類別代碼采用4位阿拉伯數字表示，以分段方式區分市、區兩級事項[5]；事項申請年度指生成統一編碼的公歷年度；事項流水號指事項當年的申請流水號，采用6位阿拉伯數字表示，每年從000001開始順序編碼。統一編碼生成：業務單位在用戶暫存或者提交辦件時，調用下面的接口獲取編碼，并將統一編碼與辦件綁定。一條統一編碼只能綁定唯一一條業務辦件。編碼結構如圖5所示。

圖5 統一編碼結構

2.5 數據交換接口服務調用

對數據交換平臺服務接口訪問時，采用簽名/驗簽機制進行訪問權限控制，未通過驗簽的請求會被拒絕。具體操作步驟如下：

(1) 服務授權信息：在一網通辦平臺進行數據交換服務的申請，首先獲取到服務的授權信息，包括服務編碼shgxjhpt_sid、appkey和請求者身份標識shgxjhpt_rid信息。根據前面獲得的授權碼(appkey)，對請求者身份標識shgxjhpt_rid、服務標識shgxjhpt_sid和請求時間戳(shgxjhpt_rtime)進行計算簽名，得到簽名信息(shgxjhpt_sign)。

(2) 調用平臺的簽名密鑰獲取接口，將shgxjhpt_rid、shgxjhpt_sid、shgxjhpt_rtime和shgxjhpt_sign值傳入接口中。

(3) 獲取簽名密鑰：服務接口調用成功后會返回加密后的密鑰(secret)及該密鑰的有效期(secretEndTime)，然后根據appkey使用AES解密算法對返回的信息進行解密，最終獲得真正的簽名密鑰。使用appkey獲得簽名密鑰后，默認密鑰有效期為1天，返回值中提示了密鑰過期時間，在此過期時間之前，不能頻繁獲取密鑰?？蛻舳嗣刻?點進行密鑰的獲取和更新，并緩存到本地，當天服務調用時都使用此密鑰。

(4) 在后續的服務接口調用過程中，首先使用簽名密鑰對請求者身份標識、服務標識和請求時間戳(shgxjhpt_rtime)進行計算簽名，調用加密算法獲取簽名(sign)，此簽名有效期為5分鐘。

(5) 在Headers中添加rid、sid、rtime、sign消息體，然后進行服務接口調用。該sign簽名密鑰可以連續多次使用，直至密鑰過期或主動更新。

2.6 單點注銷的實現

SSO認證中心一直監聽全局會話的狀態，一旦全局會話銷毀，監聽器將通知所有注冊系統執行注銷操作。人才落戶系統整個單點注銷流程如下所示：

(1) 申請單位用戶向A系統發起注銷請求。

(2)A系統獲取該用戶的令牌，然后向SSO認證中心發起注銷請求，并撤銷局部會話和全局會話，同時取出所有用此令牌注冊的系統地址。

(3) 認證中心通知登記表中登記的其他應用系統，SSO認證中心向所有注冊系統發起注銷請求，銷毀局部會話。

(4)SSO認證中心引導用戶至登錄頁面，進行登出處理[4]。

2.7 用戶關聯原有用戶

為實現公眾憑一網通辦大平臺登錄后能在部門網上辦事平臺繼續使用人才落戶原有賬號資源，如歷史辦件查詢，部門網上辦事平臺應在用戶信息完善頁面一并提供原有用戶關聯功能。本文不采用完全集中的統一用戶身份認證和授權機制，而是通過建立SSO系統的身份認證、授權機制與各應用系統原有賬號之間的聯系來完成[6]。公眾輸入原有用戶賬號信息，驗證通過后實現一網通辦大平臺用戶與之關聯，即一網通辦大平臺唯一用戶id與該賬號實現關聯，同時去除該id之前的關聯。關聯一網通辦大平臺用戶，部門網上辦事平臺原則上可保留自身用戶體系，但需在用戶注冊成功等頁面添加“關聯一網通辦大平臺大廳用戶”按鈕，提示公眾可關聯一網通辦大平臺大廳用戶[7]。一網通辦大平臺大廳將會把單位法人一證通里的唯一身份標識碼zwdtsw_user_id，即網上政務大廳用戶唯一id傳遞到應用系統，在html頁面需要插入一網通辦大平臺大廳登錄按鈕的位置，公眾點擊該按鈕后，頁面會跳轉至網上政務大廳。公眾在網上政務一網通辦大平臺大廳頁面輸入用戶登錄信息，如驗證通過，則將該一網通辦大平臺大廳用戶唯一id以名為zwdtsw_user_id的參數提交至data-redirect指向頁面。部門確認該id是否已被其他用戶關聯，如未關聯則實施關聯，完成后提示關聯成功，否則提示錯誤信息。

2.8 分層授權體系

對于大型企業來說，每年落戶申請人員眾多，所以單位的法人一證通需要開通多個賬號，但是每個賬號的功能權限有所不同，有的只有填報功能，有的有材料審核上報和電子簽章功能等。對于一網通辦大平臺，由于接入的委辦應用系統眾多，通過一網通辦來具體管理所有權限可行性不高，故針對權限系統復雜的應用系統，如人才落戶系統，這里設計了分層授權體系。對單位的法人一證通用戶來說，設置了主key和非主key用戶，首次登錄的單位唯一用戶設為主key，后續賬號登錄人才落戶應用系統時，會提示讓主key來進行授權行為，權限由主key設置完成后才能登錄進行使用。這樣既實現了一網通辦統一登錄，又可以讓各應用系統靈活管理自己的權限菜單，方便后續管理[8]。

3 安全性分析

本系統主要為互聯網用戶提供服務。公眾服務網互聯網用戶訪問應用系統時需經過安全路由交換區的入侵防御、防毒墻、防火墻、WAF等安全設備，并將訪問限制在前置交互區，無法直接訪問業務應用區，接入時還配置了網閘做隔離，更加保障了安全性。建立獨立的安全管理區，部署統一安全管理中心、數據庫審計、網頁防篡改、運維審計、日志審計、漏洞掃描、身份認證、移動終端管理等安全設施，為系統提供統一的安全服務。在應用層面上，申報用戶必須使用上海市數字認證中心頒發的單位法人一證通登錄，保證了用戶身份證書的唯一性和機密性。本系統采用橢圓曲線簽名加密算法生成動態令牌，對令牌進行了SSL加密傳輸，保證關鍵的登錄身份信息在傳輸過程中不會被篡改。本系統對授權的用戶設置唯一的統一審批編碼，通過“簽名+驗簽”和動態簽名密鑰機制數據實時交換接口接收的json申報信息保持數據共享，從而保證了數據的可用性。

4 結 語

人才落戶“一網通辦”系統投入應用以來，得到了社會各方的廣泛好評。本系統基于分布式架構、應用云技術支撐框架進行設計，采用zookeeper+dubbo的微服務架構，將跨域SSO單點登錄等技術進行分析﹑集成，實現了各業務系統統一身份認證、分層靈活授權管理的工作機制，允許各應用系統在全面升級系統前保留原有的登錄賬戶信息和登錄入口，保證系統無縫接入“一網通辦平臺”。同時基于事項統一審批編碼的數據交換模式還為各業務部門實現了實時信息共享，消滅了“數據孤島”，整合了全網數據，加快了構建一體化的網上政務服務體系，極大提升了人才落戶引進工作效率。