一种人社信息多重身份管理认证平台的制作方法

本发明属于身份管理认证技术领域，尤其涉及一种人社信息多重身份管理认证平台。

背景技术：

为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于pkica技术为基础架构的统一身份认证服务平台；为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案：

内部建设基于pki/ca技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标；提供现有统一门户系统，通过集成单点登录模块和调用统-身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容；可以根据用户的关注点不同来为用户提供定制桌面的功能；建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。

技术实现要素：

本发明提供一种人社信息多重身份管理认证平台，能够加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，建立统一身份认证服务平台，实现针对不同的用户登录，可以展示不同的内容。

本发明是这样实现的，一种人社信息多重身份管理认证平台，包括ca安全基础设施，交互系统，授权管理系统和安全通道；所述ca安全基础设施包括以下主要功能模块：身份认证中心；存储企业用户目录，完成对用户身份、角色等信息的统一管理；授权和访问管理系统；用户的授权、角色分配；访问策略的定制和管理；用户授权信息的自动同步；用户访问的实时监控、安全审计；身份认证服务；身份认证前置为应用系统提供安全认证服务接口，中转认证和访问请求；身份认证服务完成对用户身份的认证和角色的转换；访问控制服务；应用系统插件从应用系统获取单点登录所需的用户信息；用户单点登录过程中，生成访问业务系统的请求，对敏感信息加密签名；ca中心及数字证书网上受理系统；用户身份认证和单点登录过程中所需证书的签发；用户身份认证凭证的制作。

所述交互系统处理顺序如下：

a.每个信息资源配置一个访问代理，并为不同的代理分配不同的数字证书，用来保证和系统服务之间的安全通信；

b.用户登录中心后，根据用户提供的数字证书确认用户的身份；

c.访问一个具体的信息资源时，系统服务用访问代理对应的数字证书，把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器；

d.信息资源服务器在接受到数字信封后，通过访问代理，进行解密验证，得到用户身份，根据用户身份，进行内部权限的认证。

所述授权管理系统包括以下授权流程：

第一步：用户信息统一管理，包括了用户的注册、用户信息变更、用户注销；

第二步：权限管理系统自动获取新增(或注销)用户信息，并根据设置自动分配(或删除)默认权限和用户角色；

第三步：用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权。

所述安全通道包括握手协议，记录协议和警告协议。

所述握手协议用于客户机和服务器之间会话的加密参数，当一个ssl客户机和服务器第一次开始通信时，它们在一个协议版本上达成-致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥。

所述记录协议用于交换应用数据，应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个mac(消息认证代码)，然后结果被加密并传输，接受方接受数据并对它解密，校验mac，解压并重新组合，把结果提供给应用程序协议。

所述警告协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。

与现有技术相比，本发明的有益效果是：

1、本装置采用了ca安全基础设施采用集中部署方式，所有模块部署在同一台服务器上，为企业提供统一信任管理服务，部署方式主要是采用专有定制硬件服务设备，将集中帐户管理、集中授权管理、集中认证管理和集中审计管理等功能服务模块统一部署和安装在该硬件设备当中，通过连接外部服务区域当中的从ldap目录服务(现有ad目录服务)来完成对用户帐户的操作和管理；

2、本装置采用了交互系统是基于数字证书的单点登录技术，使各信息资源和本防护系统站成为一个有机的整体；通过在各信息资源端安装访问控制代理中间件，和防护系统的认证服务器通信，利用系统提供的安全保障和信息服务，共享安全优势；

3、本装置采用了授权管理系统，当增加一个应用系统时，只需要增加平台用户证书序列号或平台用户id与该应用系统账户的一个映射关系即可，不会对其它应用系统产生任何影响，从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题，单点登录过程均通过安全通道来保证数据传输的安全；

4、本装置采用了安全通道，集中用户管理系统主要是完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统用户管理的安全风险。

附图说明

图1为本发明ca安全基础设施总体框架图；

图2为本发明交互系统图；

图3为本发明授权管理系统图；

图4为本发明安全通道图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明的描述中，需要理解的是，术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

实施例一

请参阅图1-4，本发明提供一种技术方案：一种人社信息多重身份管理认证平台，包括ca安全基础设施，交互系统，授权管理系统和安全通道；所述ca安全基础设施包括以下主要功能模块：身份认证中心；存储企业用户目录，完成对用户身份、角色等信息的统一管理；授权和访问管理系统；用户的授权、角色分配；访问策略的定制和管理；用户授权信息的自动同步；用户访问的实时监控、安全审计；身份认证服务；身份认证前置为应用系统提供安全认证服务接口，中转认证和访问请求；身份认证服务完成对用户身份的认证和角色的转换；访问控制服务；应用系统插件从应用系统获取单点登录所需的用户信息；用户单点登录过程中，生成访问业务系统的请求，对敏感信息加密签名；ca中心及数字证书网上受理系统；用户身份认证和单点登录过程中所需证书的签发；用户身份认证凭证的制作。

实施例二

请参阅图1-4，一种人社信息多重身份管理认证平台，与实施例一基本相同，更进一步的是，所述交互系统处理顺序如下：

a.每个信息资源配置一个访问代理，并为不同的代理分配不同的数字证书，用来保证和系统服务之间的安全通信；

b.用户登录中心后，根据用户提供的数字证书确认用户的身份；

c.访问一个具体的信息资源时，系统服务用访问代理对应的数字证书，把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器；

d.信息资源服务器在接受到数字信封后，通过访问代理，进行解密验证，得到用户身份，根据用户身份，进行内部权限的认证。

实施例三

请参阅图1-4，一种人社信息多重身份管理认证平台，与实施例一基本相同，更进一步的是，授权管理系统包括以下授权流程：

第一步：用户信息统一管理，包括了用户的注册、用户信息变更、用户注销；

第二步：权限管理系统自动获取新增(或注销)用户信息，并根据设置自动分配(或删除)默认权限和用户角色；

第三步：用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权。

实施例四

请参阅图1-4，一种人社信息多重身份管理认证平台，与实施例一基本相同，更进一步的是，所述安全通道包括握手协议，记录协议和警告协议；

所述握手协议用于客户机和服务器之间会话的加密参数，当一个ssl客户机和服务器第一次开始通信时，它们在一个协议版本上达成-致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥；

所述记录协议用于交换应用数据，应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个mac(消息认证代码)，然后结果被加密并传输，接受方接受数据并对它解密，校验mac，解压并重新组合，把结果提供给应用程序协议：

所述警告协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。

实施例五

请参阅图1-4，一种人社信息多重身份管理认证平台，其优点体现在，能够加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，建立统一身份认证服务平台，实现针对不同的用户登录，可以展示不同的内容；

1、本装置采用了ca安全基础设施采用集中部署方式，所有模块部署在同一台服务器上，为企业提供统一信任管理服务，部署方式主要是采用专有定制硬件服务设备，将集中帐户管理、集中授权管理、集中认证管理和集中审计管理等功能服务模块统一部署和安装在该硬件设备当中，通过连接外部服务区域当中的从ldap目录服务(现有ad目录服务)来完成对用户帐户的操作和管理；

2、本装置采用了交互系统是基于数字证书的单点登录技术，使各信息资源和本防护系统站成为一个有机的整体；通过在各信息资源端安装访问控制代理中间件，和防护系统的认证服务器通信，利用系统提供的安全保障和信息服务，共享安全优势；

3、本装置采用了授权管理系统，当增加一个应用系统时，只需要增加平台用户证书序列号或平台用户id与该应用系统账户的一个映射关系即可，不会对其它应用系统产生任何影响，从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题，单点登录过程均通过安全通道来保证数据传输的安全；

4、本装置采用了安全通道，集中用户管理系统主要是完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统用户管理的安全风险。

以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。