专利名称:一种统一身份认证的系统的制作方法
技术领域:
本发明涉及身份认证的系统,尤其涉及一种应用于电力系统的统一身份认 证的系统。
背景技术:
目前上海市电力公司已建成较完善的信息网络和应用系统。出于访问不同 应用的要求,许多用户在各个应用系统中都有一套不同的用户名和密码。同时 应用系统的用户范围扩展到非电力公司用户,如应用开发商、网络维护商、以 及其它临时用户。由于采取分布式的用户身份管理模式,同时缺乏统一的用户 身份管理策略,因而存在着较大的安全隐患。在这种情况下,基于"统一身份、 统一认证、统一授权、统一审计"的理念对不同系统或部门的用户身份管理机 制进行整合,建立集中统一的身份管理和认证平台,能为电力公司统一的身份 管理策略的实施提供强有力的支撑。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种高效可 靠的统一身份认证的系统。
本发明的目的可以通过以下技术方案来实现 一种统一身份认证的系统, 其特征在于,包括前台操作模块、帐号管理模块、身份认证模块、单点登录模 块、安全审计模块、接口模块,所述的帐号管理模块、身份认证模块、单点登 录模块、安全审计模块、接口模块分别与前台操作模块连接。
所述的帐号管理模块支持在统一身份认证平台上同步各系统的资源帐号, 维护自然人帐号信息,维护自然人帐号与资源帐号的对应关系,可通过对自然 人帐号或资源帐号的添加、编辑、锁定、删除及两种帐号之间的对应关系的维 护、同步,来对人事事件进行及时响应,从而实现用户帐号全生命周期管理。所述的身份认证模块提供统一的自然人身份认证机制,针对不同权限的用 户及登录环境,提供不同强度的身份认证,对于从网络外面登录的管理员用户,
提供基于USB Token或数字证书等形式强化身份认证,对于从系统内部登录的 用户,可以沿用基于帐号和口令的登录方式,但需引入动态口令。
所述的单点登录模块是在企业门户上建立一个统一的登录口,用户采用自 然人帐号登录成功,则该自然人无需进行再次认证,即可进入他可以访问的系 统中并依据其权限访问相关应用和数据。
所述的安全审计模块是针对人员的登录过程、登录后的详细操作、主机、 设备、系统的操作日志的事件进行综合审计。
所述的接口模块为信息系统开发者提供身份认证、用户业务授权验证和日 志记录功能接口,使业务系统能够实现单点登录、用户操作授权验证和用户操 作日志的自动记录。
与现有技术相比,本发明的统一身份认证系统将原有的分散于各个应用系 统中的用户信息进行整合,通过统一的界面和逻辑对用户进行集中管理,并且 为其他系统提供用户身份认证服务,同时也为适应需求和应用的变化,具备良 好的扩展能力。
图1是本发明一种统一身份认证的系统的结构示意图。
具体实施例方式
下面对照附图及实施例对本发明作进一步说明。
如图1所示, 一种统一身份认证的系统,包括前台操作模块l、帐号管理 模块2、身份认证模块3、单点登录模块4、安全审计模块5、接口模块6,用 户通过对前台操作模块l进行操作,后台调用帐号管理模块2、身份认证模块 3、单点登录模块4、安全审计模块5、接口模块6配合工作。
帐号管理模块2进行集中统一的帐号管理。支持在一个统一的管理平台上 同步以上各个系统的资源帐号,维护自然人帐号信息,维护自然人帐号与资源 帐号的对应关系。可通过对自然人帐号或资源帐号的添加、编辑、锁定、删除 及两种帐号之间的对应关系的维护、同步,来对人事事件进行及时响应,从而实现用户帐号全生命周期管理。
身份认证模块3进行集中统一的身份认证。提供统一的自然人身份认证机 制。针对不同权限的用户及登录环境,提供不同强度的身份认证。对于从上海
电力网络外面登录的管理员用户,提供基于USB Token或数字证书等形式强化 身份认证。对于从上海电力信息系统内部登录的用户,可以沿用基于帐号和口 令的登录方式,但需引入动态口令。
单点登录模块4进行单点登录(SSO, Single Sign On):在企业门户上建 立一个统一的登录口,用户采用自然人帐号登录成功,则该自然人无需进行再 次认证,即可进入他可以访问的系统中并依据其权限访问相关应用和数据(BW 应用、办公自动化系统、电子邮件系统)。
安全审计模块5进行集中统一的安全审计。解决各个信息系统都有自己的 日志审计但无法集中对信息系统进行审计的问题,在统一身份认证平台上建立 相对集中、统一的日志审计管理体系,为业务系统的安全管理提供重要的日志 分析工具。审计事件包括人员的登录过程、登录后的详细操作、主机、设备、 系统的操作日志等。应能针对某个信息系统或针对某个用户进行审计。
接口模块6提供用户身份认证、授权验证及日志记录接口。为信息系统开 发者提供身份认证、用户业务授权验证和日志记录功能接口,使业务系统能够 实现单点登录、用户操作授权验证和用户操作日志的自动记录。
集中统一的访问授权。根据电力公司不同业务类型和岗位结构,形成相关 应用的统一角色体系。基于角色实现对用户权限的统一管理,以解决每个信息 系统都有自己单独一套资源授权管理机制的问题。用户在不同信息系统中的权 限由统一的管理平台进行管理,减少用户的权限管理的复杂性,提高管理的效 率,对用户权限的管理应该基于角色进行。统一身份认证平台的认证服务基于 JAAS (Java认证与授权服务)框架,统一身份认证平台应当提供Java和 XML/HTTP两种应用认证接口以供所要集成的应用系统开发使用。同时系统应 当提供多种认证方式,并应当以插件的方式实现的,多种认证模块通过服务接 口与统一身份认证平台相连。这种实现方式可以使得上海电力的统一身份认证 平台能够支持已经广泛应用的各种标准认证方式,也支持自行定制的认证方 式。
权利要求
1. 一种统一身份认证的系统,其特征在于,包括前台操作模块、帐号管理模块、身份认证模块、单点登录模块、安全审计模块、接口模块,所述的帐号管理模块、身份认证模块、单点登录模块、安全审计模块、接口模块分别与前台操作模块连接。
2. 根据权利要求l所述的一种统一身份认证的系统,其特征在于,所述的 帐号管理模块支持在统一身份认证平台上同步各系统的资源帐号,维护自然人 帐号信息,维护自然人帐号与资源帐号的对应关系,可通过对自然人帐号或资 源帐号的添加、编辑、锁定、删除及两种帐号之间的对应关系的维护、同步, 来对人事事件进行及时响应,从而实现用户帐号全生命周期管理。
3. 根据权利要求l所述的一种统一身份认证的系统,其特征在于,所述的 身份认证模块提供统一的自然人身份认证机制,针对不同权限的用户及登录环 境,提供不同强度的身份认证,对于从网络外面登录的管理员用户,提供基于 USB Token或数字证书等形式强化身份认证,对于从系统内部登录的用户,可 以沿用基于帐号和口令的登录方式,但需引入动态口令。
4. 根据权利要求l所述的一种统一身份认证的系统,其特征在于,所述的 单点登录模块是在企业门户上建立一个统一的登录口,用户采用自然人帐号登 录成功,则该自然人无需进行再次认证,即可进入他可以访问的系统中并依据 其权限访问相关应用和数据。
5. 根据权利要求l所述的一种统一身份认证的系统,其特征在于,所述的 安全审计模块是针对人员的登录过程、登录后的详细操作、主机、设备、系统 的操作日志的事件进行综合审计。
6. 根据权利要求l所述的一种统一身份认证的系统,其特征在于,所述的 接口模块为信息系统开发者提供身份认证、用户业务授权验证和日志记录功能 接口,使业务系统能够实现单点登录、用户操作授权验证和用户操作日志的自 动记录。
全文摘要
本发明涉及一种统一身份认证的系统,包括前台操作模块、帐号管理模块、身份认证模块、单点登录模块、安全审计模块、接口模块,所述的帐号管理模块、身份认证模块、单点登录模块、安全审计模块、接口模块分别与前台操作模块连接。与现有技术相比,本发明的统一身份认证系统将原有的分散于各个应用系统中的用户信息进行整合,通过统一的界面和逻辑对用户进行集中管理,并且为其他系统提供用户身份认证服务,同时也为适应需求和应用的变化,具备良好的扩展能力。
文档编号G06Q10/00GK101441734SQ20071017060
公开日2009年5月27日 申请日期2007年11月19日 优先权日2007年11月19日
发明者华 张, 康 王, 源 蔡 申请人:上海久隆电力科技有限公司