ca与门户整合的解决方案(定稿

ca与门户整合的解决方案(定稿内容摘要：

为了提高系统性能和可靠性，对 CA 和门户系统采取双机负载均衡， 并且当 CA 或者 门户 服务不正常时， 业务人员 仍然 可以通过 原有的用户名 /密码方式 访问 应用系统 来继续业务操作。 . 门户验证服务过程 根据 S I D 是否能在门户中取到相应的 S E S S I O N访问 CA 验证服务验证CA 是否运行正常获取业务系统访问 IP 和创建S E S S I O N 的 IP 并对比是否相同返回 0 表示验证失败 , 提示用户必须从门户登录Y E SNONO返回 2 表示验证通过 ， 应用系统可以直接进入操作界面Y E SNO门户根据 A I D 判断该系统 CA 安全认证功能是否开启Y E S验证服务返回 1 ， 应用系统通过原有用户密码访问NOY E S 图 37 门户验证服务过程图 门户验证服务 首先 根据 AID 参数 得知是 由哪一个 应用系统 发起的 调用， 进而 查看统一用户管理系统中该 应用系统 的“ CA 安全认证功能”配置开关 状态 ， 如果 开关 处于关闭状态，则表示是人为关闭了该 应用系统 的 CA 安全认证功能， 接口 返回 值 为 1， 接下来 需要 改 由应用系统自行通过原有的用户名 /密码方式进行验证 ； 如果 开关 处于开启状态，则 调用一次 CA访问接口，测试 CA 服务是否工作正常 ， 如果返回异常， 则接口返回值为 1，表示需要 改 由应用系统自行通过原有的用户名 /密码方式进行验证 ； 如果没有返回异常，则 根据 SID 值从门户 SESSION 池中查找是否有匹配的 SESSION，如果能够查找 到，证明 SID 值 有效， 再 获取 访问 应用系统 的 源 IP 地址 ，与 创建 SESSION的 IP 进行对比，如果 相同 ， 则 接口 返回 值为 2，表示 验证通过 ， 可以直接 进入 应用系统 操作界面 ； 如果找不到对应的 SESSION 或者 IP地址 ， 则接口返回值为 0， 表示 验证失败。 需要注意的是，当门户验证服务返回值为 0 时，如果是从门户访问应用系统，则代表 用户身份非法 ， 不允许进入操作界面， 要求 用户重新尝试从门户登录 ； 而 如果是直接访问应用系统， 则代表当前 门户和 CA 服务工作正常， 需要 提示用户必须从门户系统登录。 应用系统调用门户验证服务后如果返回异常，则 需要由应用系统自行通过原有的用户名 /密码方式进行 登录 验证。 . 从门户访问应用系统 的 登录 过程 业务人员门户应用系统1 : 登录门户 ()2 : 登录后产生 S I D ( )3 : U S E R I D +S I D + 其他参数访问 ()4 : 根据 S I D 、 U I D 、 A I D 访问门户验证有效性 ()5 : 门户验证服务根据参数进行判断 ()6 : 返回验证信息 ()7 : 验证成功则进入应用系统 () 图 38 从门户访问应用系统的 登录 过程说明 业务人员 使用 CA 数字证书 登录门户。 门户服务器 为用户 产生一个 SESSION，里面包含用户信息、访问计算机的 IP、 SID 等等信息。 其中 SID 是基于 UID，根据机器的 MAC 地址，纳秒级时间，芯片 ID码及许多可能数字组成。 用户点击门户 上 的 应用系统 菜单，门户传递 portalstep（此时为 1）、 标准用户编号 UID、 门户会话编号 SID、业务系统编号AID、业务系统用户编码 BUSUSERID以及 约定 的其他参数 启动 应用系统。 应用系统 启动时 调用 门户验证服务 ， 根据返回结果 分为三种情况：情况一： 返回 值为 2，表示 验证通过， 可直接 进入应用系统操作界面；情况二： 返回 值为 0，表示 验证 失败 ， 用户身份非法， 不允许登录应用系统；情况三： 返回值为 1，表示 CA系统工作不正常，此时改由传统 的用户名 /密码方式进行 登录 验证 ，验证通过后可登录应用系统。 如果 调用门户验证 服务 返回异常 , 则改由传统 的用户名 /密码方式进行 登录 验证。 . 直接访问 应用系统的 登录 过程 应用系统调用门户验证服务返回结果返回异常 ， 说明门户宕机返回 1, 说明 CA 宕机或者该系统没有纳入 CA 安全认证返回 0 ， 说明门户和 CA都正常运行 , 提示用户从门户登录验证用户密码是否匹配进入应用系统Y E S提示用户密码不匹配 ， 请重新登录NO用户打开应用系统输入用户名密码设置 S I D =0123456 789 ，p o rt a ls t e p =0, U I D 和 A I D 图 39 直接访问应用系统的 登录 过程说明 当用户直接访问 应用 系统 时， 应用系统 打开登录界面 ， 用户输入用户名 （即 UID） 、密码等信息点击确定后， 应用系统 将 SID 设置 为任意一个初始值（例如 0123456789）， 然后 访问门户验证服务， 根据验证返回结果可 分两种情况 ： 情况一：返回值为 0，表示 CA 和门户 系统 都 工作正常，应用系统 应 产生提示信息，要求用户必须通过门户 才能 登录 应用系统。 情况二：返回值为 1，表示 CA 服务 不正常， 此时改由 使用用户输入的 用户名 /密码进行 传统方式的 验证 ，验证通过进入 应用系统。 如果 门。