一種統一身份認證的系統的製作方法

2023-05-17 22:26:51 1

專利名稱：一種統一身份認證的系統的製作方法
技術領域：
本發明涉及身份認證的系統，尤其涉及一種應用於電力系統的統一身份認 證的系統。
背景技術：
目前上海市電力公司已建成較完善的信息網絡和應用系統。出於訪問不同 應用的要求，許多用戶在各個應用系統中都有一套不同的用戶名和密碼。同時 應用系統的用戶範圍擴展到非電力公司用戶，如應用開發商、網絡維護商、以 及其它臨時用戶。由於採取分布式的用戶身份管理模式，同時缺乏統一的用戶 身份管理策略，因而存在著較大的安全隱患。在這種情況下，基於"統一身份、 統一認證、統一授權、統一審計"的理念對不同系統或部門的用戶身份管理機 制進行整合，建立集中統一的身份管理和認證平臺，能為電力公司統一的身份 管理策略的實施提供強有力的支撐。

發明內容
本發明的目的就是為了克服上述現有技術存在的缺陷而提供一種高效可 靠的統一身份認證的系統。
本發明的目的可以通過以下技術方案來實現 一種統一身份認證的系統， 其特徵在於，包括前臺操作模塊、帳號管理模塊、身份認證模塊、單點登錄模 塊、安全審計模塊、接口模塊，所述的帳號管理模塊、身份認證模塊、單點登 錄模塊、安全審計模塊、接口模塊分別與前臺操作模塊連接。
所述的帳號管理模塊支持在統一身份認證平臺上同步各系統的資源帳號， 維護自然人帳號信息，維護自然人帳號與資源帳號的對應關係，可通過對自然 人帳號或資源帳號的添加、編輯、鎖定、刪除及兩種帳號之間的對應關係的維 護、同步，來對人事事件進行及時響應，從而實現用戶帳號全生命周期管理。所述的身份認證模塊提供統一的自然人身份認證機制，針對不同權限的用 戶及登錄環境，提供不同強度的身份認證，對於從網絡外面登錄的管理員用戶，
提供基於USB Token或數字證書等形式強化身份認證，對於從系統內部登錄的 用戶，可以沿用基於帳號和口令的登錄方式，但需引入動態口令。
所述的單點登錄模塊是在企業門戶上建立一個統一的登錄口，用戶採用自 然人帳號登錄成功，則該自然人無需進行再次認證，即可進入他可以訪問的系 統中並依據其權限訪問相關應用和數據。
所述的安全審計模塊是針對人員的登錄過程、登錄後的詳細操作、主機、 設備、系統的操作日誌的事件進行綜合審計。
所述的接口模塊為信息系統開發者提供身份認證、用戶業務授權驗證和日 志記錄功能接口，使業務系統能夠實現單點登錄、用戶操作授權驗證和用戶操 作日誌的自動記錄。
與現有技術相比，本發明的統一身份認證系統將原有的分散於各個應用系 統中的用戶信息進行整合，通過統一的界面和邏輯對用戶進行集中管理，並且 為其他系統提供用戶身份認證服務，同時也為適應需求和應用的變化，具備良 好的擴展能力。


圖1是本發明一種統一身份認證的系統的結構示意圖。
具體實施例方式
下面對照附圖及實施例對本發明作進一步說明。
如圖1所示， 一種統一身份認證的系統，包括前臺操作模塊l、帳號管理 模塊2、身份認證模塊3、單點登錄模塊4、安全審計模塊5、接口模塊6，用 戶通過對前臺操作模塊l進行操作，後臺調用帳號管理模塊2、身份認證模塊 3、單點登錄模塊4、安全審計模塊5、接口模塊6配合工作。
帳號管理模塊2進行集中統一的帳號管理。支持在一個統一的管理平臺上 同步以上各個系統的資源帳號，維護自然人帳號信息，維護自然人帳號與資源 帳號的對應關係。可通過對自然人帳號或資源帳號的添加、編輯、鎖定、刪除 及兩種帳號之間的對應關係的維護、同步，來對人事事件進行及時響應，從而實現用戶帳號全生命周期管理。
身份認證模塊3進行集中統一的身份認證。提供統一的自然人身份認證機 制。針對不同權限的用戶及登錄環境，提供不同強度的身份認證。對於從上海
電力網絡外面登錄的管理員用戶，提供基於USB Token或數字證書等形式強化 身份認證。對於從上海電力信息系統內部登錄的用戶，可以沿用基於帳號和口 令的登錄方式，但需引入動態口令。
單點登錄模塊4進行單點登錄(SSO， Single Sign On):在企業門戶上建 立一個統一的登錄口，用戶採用自然人帳號登錄成功，則該自然人無需進行再 次認證，即可進入他可以訪問的系統中並依據其權限訪問相關應用和數據(BW 應用、辦公自動化系統、電子郵件系統)。
安全審計模塊5進行集中統一的安全審計。解決各個信息系統都有自己的 日誌審計但無法集中對信息系統進行審計的問題，在統一身份認證平臺上建立 相對集中、統一的日誌審計管理體系，為業務系統的安全管理提供重要的日誌 分析工具。審計事件包括人員的登錄過程、登錄後的詳細操作、主機、設備、 系統的操作日誌等。應能針對某個信息系統或針對某個用戶進行審計。
接口模塊6提供用戶身份認證、授權驗證及日誌記錄接口。為信息系統開 發者提供身份認證、用戶業務授權驗證和日誌記錄功能接口，使業務系統能夠 實現單點登錄、用戶操作授權驗證和用戶操作日誌的自動記錄。
集中統一的訪問授權。根據電力公司不同業務類型和崗位結構，形成相關 應用的統一角色體系。基於角色實現對用戶權限的統一管理，以解決每個信息 系統都有自己單獨一套資源授權管理機制的問題。用戶在不同信息系統中的權 限由統一的管理平臺進行管理，減少用戶的權限管理的複雜性，提高管理的效 率，對用戶權限的管理應該基於角色進行。統一身份認證平臺的認證服務基於 JAAS (Java認證與授權服務)框架，統一身份認證平臺應當提供Java和 XML/HTTP兩種應用認證接口以供所要集成的應用系統開發使用。同時系統應 當提供多種認證方式，並應當以插件的方式實現的，多種認證模塊通過服務接 口與統一身份認證平臺相連。這種實現方式可以使得上海電力的統一身份認證 平臺能夠支持已經廣泛應用的各種標準認證方式，也支持自行定製的認證方 式。
權利要求
1. 一種統一身份認證的系統，其特徵在於，包括前臺操作模塊、帳號管理模塊、身份認證模塊、單點登錄模塊、安全審計模塊、接口模塊，所述的帳號管理模塊、身份認證模塊、單點登錄模塊、安全審計模塊、接口模塊分別與前臺操作模塊連接。
2. 根據權利要求l所述的一種統一身份認證的系統，其特徵在於，所述的 帳號管理模塊支持在統一身份認證平臺上同步各系統的資源帳號，維護自然人 帳號信息，維護自然人帳號與資源帳號的對應關係，可通過對自然人帳號或資 源帳號的添加、編輯、鎖定、刪除及兩種帳號之間的對應關係的維護、同步， 來對人事事件進行及時響應，從而實現用戶帳號全生命周期管理。
3. 根據權利要求l所述的一種統一身份認證的系統，其特徵在於，所述的 身份認證模塊提供統一的自然人身份認證機制，針對不同權限的用戶及登錄環 境，提供不同強度的身份認證，對於從網絡外面登錄的管理員用戶，提供基於 USB Token或數字證書等形式強化身份認證，對於從系統內部登錄的用戶，可 以沿用基於帳號和口令的登錄方式，但需引入動態口令。
4. 根據權利要求l所述的一種統一身份認證的系統，其特徵在於，所述的 單點登錄模塊是在企業門戶上建立一個統一的登錄口，用戶採用自然人帳號登 錄成功，則該自然人無需進行再次認證，即可進入他可以訪問的系統中並依據 其權限訪問相關應用和數據。
5. 根據權利要求l所述的一種統一身份認證的系統，其特徵在於，所述的 安全審計模塊是針對人員的登錄過程、登錄後的詳細操作、主機、設備、系統 的操作日誌的事件進行綜合審計。
6. 根據權利要求l所述的一種統一身份認證的系統，其特徵在於，所述的 接口模塊為信息系統開發者提供身份認證、用戶業務授權驗證和日誌記錄功能 接口，使業務系統能夠實現單點登錄、用戶操作授權驗證和用戶操作日誌的自 動記錄。
全文摘要
本發明涉及一種統一身份認證的系統，包括前臺操作模塊、帳號管理模塊、身份認證模塊、單點登錄模塊、安全審計模塊、接口模塊，所述的帳號管理模塊、身份認證模塊、單點登錄模塊、安全審計模塊、接口模塊分別與前臺操作模塊連接。與現有技術相比，本發明的統一身份認證系統將原有的分散於各個應用系統中的用戶信息進行整合，通過統一的界面和邏輯對用戶進行集中管理，並且為其他系統提供用戶身份認證服務，同時也為適應需求和應用的變化，具備良好的擴展能力。
文檔編號G06Q10/00GK101441734SQ20071017060
公開日2009年5月27日 申請日期2007年11月19日 優先權日2007年11月19日
發明者華 張, 康 王, 源 蔡 申請人:上海久隆電力科技有限公司