阅读说明：本技术 一种基于门户的跨域软件系统集成方法 (Cross-domain software system integration method based on portal ) 是由 李航 屈小杰 杨光宏 李龚亮 文泽鹏 于 2021-11-08 设计创作，主要内容包括：本发明公开了一种基于门户的跨域软件系统集成方法,用于新的外部系统接入企业门户的系统集成组件,系统集成组件支持将外部系统的可见性授权给合法用户,该方法包括以下步骤：外部系统；接入用户配置和IP地址限制；消息请求；单点登录认证。本发明将基于企业的统一门户,通过集成系统注册机制为跨域外部系统提供包含特征码加解密算法的集成方法,辅以接入用户配置和IP地址限制等手段,提高系统集成组件的安全性,达到与基于统一认证的系统集成相当的安全效果；同时,系统集成组件支持跨域外部系统集成,具有接入模式简单、开发效率高、扩展性好、可热插拔等特点,能够支持集成各类信息系统,并能够降低企业信息系统建设成本。(The invention discloses a cross-domain software system integration method based on a portal, which is used for a system integration component of a new external system accessing an enterprise portal, wherein the system integration component supports the authorization of the visibility of the external system to a legal user, and the method comprises the following steps: an external system; access user configuration and IP address restriction; a message request; and (4) single sign-on authentication. The invention provides an integration method containing a feature code encryption and decryption algorithm for a cross-domain external system through an integrated system registration mechanism based on a unified portal of an enterprise, and is assisted by means of access user configuration, IP address limitation and the like, so that the safety of system integration components is improved, and the safety effect equivalent to that of system integration based on unified authentication is achieved; meanwhile, the system integration component supports cross-domain external system integration, has the characteristics of simple access mode, high development efficiency, good expansibility, hot plugging and the like, can support integration of various information systems, and can reduce the construction cost of enterprise information systems.)

一种基于门户的跨域软件系统集成方法

技术领域

本发明涉及一种软件系统集成方法，尤其涉及一种基于门户的跨域软件系统集成方法。

背景技术

随着企业信息系统的快速发展，企业内部广泛存在不同架构、不同认证与访问控制策略与实现方式、基于域控和没基于域控等不同形式下的各类信息系统，表现出体系结构上的分布式、域内自治、域间协作等复杂应用系统的特征。基于这些特征的信息系统面临着无法进行统一认证和访问控制、跨系统协同和系统集成困难的新问题和新挑战。

系统集成主要提供消息集成和单点登录服务，集成系统依据系统集成组件的消息查询和身份认证接口规范进行集成开发。现有的与此相关的研究主要集中在基于活动目录的认证系统等方面，还有通过共享库进行跨域统一认证的应用，需要大量的额外开发和维护工作，另外大量并发请求对认证系统的性能要求高，容易形成服务能力瓶颈问题，不利于企业信息系统的后续发展和建设。

发明内容

本发明的目的就在于为了解决上述问题而提供一种基于门户的跨域软件系统集成方法。

本发明通过以下技术方案来实现上述目的：

一种基于门户的跨域软件系统集成方法，用于新的外部系统接入企业门户的系统集成组件，系统集成组件支持将外部系统的可见性授权给合法用户，所述基于门户的跨域软件系统集成方法包括以下步骤：

步骤1、外部系统注册：外部系统先在企业门户的系统集成组件进行注册，注册内容包括外部系统的名称、登录地址、编码、消息查询接口、消息查询秘钥，系统集成组件根据注册信息生成全局唯一的特征码，并将该特征码同步给外部系统，双方约定依据该特征码对用户信息进行加解密；

步骤2、接入用户配置和IP地址限制：系统集成组件支持限制不同权限用户可见外部系统的范围，支持对每个外部系统分别配置授权，在登录门户成功后，检查当前用户的外部系统的权限和IP地址，将授权的外部系统显示在门户上，对于权限之外的外部系统不予显示；

步骤3、消息请求：用户登录门户后，对用户的IP地址和用户的权限进行认证，将用户可见的外部系统显示在门户上，根据系统管理人员设定的时间间隔，系统集成组件携带外部系统注册的消息查询秘钥，向外部系统发送消息查询请求，外部系统的查询接口通过秘钥检查后，将请求的当前用户消息通过约定的加密方式传输给集成系统组件；

步骤4、单点登录认证：包括以下步骤：

步骤4.1、用户请求登录外部系统，用户向系统集成组件请求加密认证票据；

步骤4.2、系统集成组件随机生成一串同当前用户身份对应的一次性加密票据返回给用户，票据有效期过期则作废以防止不法分子利用，票据有效期根据具体系统要求设定，比如根据服务提供方或信息管理部门要求设定，一般为1分钟左右；

步骤4.3、用户将票据随登录请求网络地址发送给外部系统；

步骤4.4、外部系统收到票据后，按照集成系统注册时得到的特征码将其二次加密后随票据验证请求发送给集成系统组件；

步骤4.5、如果集成系统组件解密验证通过，则将当前用户信息通过加密方式传输给外部系统，并将本次票据作废以防止重放攻击，外部系统收到用户信息后生成会话，实现用户的单点登录；否则，集成系统组件验证失败，外部系统提示用户单点登录失败，提供输入认证凭据进行登录的选项。

具体地，所述步骤1中，加解密算法为PBE、DES、AES对称加密算法中的一种或多种。

本发明的有益效果在于：

本发明将基于企业的统一门户，通过集成系统注册机制为跨域外部系统提供包含特征码加解密算法的集成方法，辅以接入用户配置和IP地址限制等手段，提高系统集成组件的安全性，达到与基于统一认证的系统集成相当的安全效果；同时，系统集成组件支持跨域外部系统集成，只需第三方集成系统确保消息查询接口和票据认证接口可用，不会影响其业务功能和内部的管控认证与访问控制策略，也不会约束其未来的升级拓展空间，具有接入模式简单、开发效率高、扩展性好、可热插拔等特点，能够支持集成不同架构、不同认证与访问控制策略与实现方式、基于域控和没基于域控等不同形式下的各类信息系统，并能够降低企业信息系统建设成本。

附图说明

图1是本发明所述基于门户的跨域软件系统集成方法涉及的外部系统和系统集成组件之间的结构关系示意图；

图2是本发明所述基于门户的跨域软件系统集成方法的外部系统注册步骤的流程示意图；

图3是本发明所述基于门户的跨域软件系统集成方法的接入用户配置和IP地址限制步骤的流程示意图；

图4是本发明所述基于门户的跨域软件系统集成方法的消息请求步骤的流程示意图；

图5是本发明所述基于门户的跨域软件系统集成方法的单点登录认证步骤的流程示意图。

具体实施方式

下面结合附图对本发明作进一步说明：

如图1所示，本发明所述基于门户的跨域软件系统集成方法用于新的外部系统接入企业门户的系统集成组件，系统集成组件支持将外部系统的可见性授权给合法用户；

如图2-图5所示，本发明所述基于门户的跨域软件系统集成方法包括以下步骤：

步骤1、集成系统注册：如图2所示，外部系统注册：外部系统先在企业门户的系统集成组件进行注册，注册内容包括外部系统的名称、登录地址、编码、消息查询接口、消息查询秘钥，系统集成组件根据注册信息生成全局唯一的特征码，并将该特征码同步给外部系统，双方约定依据该特征码对用户信息进行加解密，加解密算法为PBE、DES、AES对称加密算法中的一种或多种；

步骤2、接入用户配置和IP地址限制：如图3所示，系统集成组件支持限制不同权限用户可见外部系统的范围，支持对每个外部系统分别配置授权，在登录门户成功后，检查当前用户的外部系统的权限和IP地址，将授权的外部系统显示在门户上，对于权限之外的外部系统不予显示；

步骤3、消息请求：如图4所示，用户登录门户后，对用户的IP地址和用户的权限进行认证，将用户可见的外部系统显示在门户上，根据系统管理人员设定的时间间隔，系统集成组件携带外部系统注册的消息查询秘钥，向外部系统发送消息查询请求，外部系统的查询接口通过秘钥检查后，将请求的当前用户消息通过约定的加密方式传输给集成系统组件；

步骤4、单点登录认证：如图5所示，包括以下步骤：

步骤4.1、用户请求登录外部系统，用户向系统集成组件请求加密认证票据；

步骤4.2、系统集成组件随机生成一串同当前用户身份对应的一次性加密票据返回给用户，票据有效期过期则作废以防止不法分子利用；

步骤4.3、用户将票据随登录请求网络地址（即URL）发送给外部系统；

步骤4.4、外部系统收到票据后，按照集成系统注册时得到的特征码将其二次加密后随票据验证请求发送给集成系统组件；

步骤4.5、如果集成系统组件解密验证通过，则将当前用户信息通过加密方式传输给外部系统，并将本次票据作废以防止重放攻击，外部系统收到用户信息后生成会话，实现用户的单点登录；否则，集成系统组件验证失败，外部系统提示用户单点登录失败，提供输入认证凭据进行登录的选项。

上述实施例只是本发明的较佳实施例，并不是对本发明技术方案的限制，只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案，均应视为落入本发明专利的权利保护范围内。