专利名称:一种业务系统的统一认证平台的制作方法
技术领域:
一种业务系统的统一认证平台
技术领域:
本实用新型涉及一种业务系统,特别涉及一种业务系统的统一认证平台。
背景技术:
随着计算机应用的发展,目前各级政府和企业已经建设了很多不同的业务系统并 在日常工作使用,这些业务系统一般是不同的厂商在不同时期使用不同技术来实现的。这 些业务系统一般都有独立的认证体系和授权系统。实际上,这两个模块的具体实现基本上 都是一样的,这种重复开发,既浪费资源、增加开发和维护成本,安全级别又不高。用户在使 用这些业务系统时,必须记住每个业务系统的用户名、密码;而且,登录一个子系统后,如需 在内部调用到另一个子系统,又要进行用户登录。 总之,目前的业务系统普遍存在的问题(l)各个系统的认证模块用户信息都是 系统独立维护的,不能形成一个统一的用户库,因此造成信息的不完整性;(2)各个系统的 认证模块,一般都未考虑帐号的安全性;认证功能都是独立实现,因此不能实现认证的互信 互通;也就是通用性差。
实用新型内容
本实用新型要解决的技术问题,在于提供一种业务系统的统一认证平台,为这些 业务系统之间搭建起统一的认证桥梁,使不同系统间形成身份联邦,即用户执行完一次登 录后,可以在不同的业务系统之间进行透明访问;此外,各个接入的业务系统的访问控制可 通过配置的方式,由该服务器进行统一管理。 本实用新型是这样实现的一种业务系统的统一认证平台,包括一接入终端、一接 入服务器、一统一认证系统、一 LDAP (轻量目录访问协议)服务器、一数据库服务器,所述接 入终端、所述接入服务器、所述统一认证系统依次连接,所述统一认证系统再分别连接至所 述LDAP服务器和所述数据库服务器。 所述统一认证系统进一步包括一证书服务器、一门户服务器、一授权服务器,一认 证服务器,一监控服务器。 所述接入终端包括电脑、手机、掌上电脑的至少一种。 本实用新型的优点在于该统一认证平台,针对企业内部不同业务系统,配以软件 程序,可实现统一的用户库和权限库的配置,并实现各个业务系统之间透明的身份验证和 权限验证,从而达到用户对业务系统的无障碍访问。通过使用完善的安全PKI体系,在安全 传输协议的支持下,确保身份信息的安全性,弥补了各种软件产品所普遍存在的安全性问 题。在统一认证的基础上,我们还建立起一种更为安全的二级认证功能,以提供高安全性系 统的统一认证能力。
下面参照附图结合实施例对本实用新型作进一步的说明。[0010] 图1是本实用新型统一认证平台的硬件架构示意图。 图2是与本实用新型统一认证平台配合的软件架构示意图。
具体实施方式
请参阅图1所示,本实用新型的业务系统的统一认证平台,包括一接入终端1、一 接入服务器2、一统一认证系统3、一 LDAP服务器4、一数据库服务器5 ;所述接入终端1包 括电脑、手机、掌上电脑的至少一种;所述接入终端1、所述接入服务器2、所述统一认证系 统3依次连接,所述统一认证系统3再通过网络线连接至所述LDAP服务器4和所述数据库 服务器5,所述统一认证系统3进一步包括一证书服务器31、一门户服务器32、一授权服务 器33, 一认证服务器34, 一监控服务器35。 再如图2所示,其绘示了与本实用新型统一认证平台配合的软件架构。该软件包 括安全KPI (关键业绩指标)体系、统一认证服务体系、存储体系、服务监控模块、以及认证 代理体系。 所述安全KPI体系其是针对系统安全性问题,提供的内部颁发安全证书的机制, 确保HTTPS通道的安全,并保障数据签名和签名验证的成功实施;该安全KPI体系,通过注 册机构接收证书请求,然后通过密钥管理模块来产生相应密钥,接着由证书机构生成服务 端与客户端证书,发布给相应的证书用户,证书用户可通过证书验证模块来确认证书的有 效性,启用备份与恢复模块完成KPI体系的数据完整性。该安全KPI体系包括颁发机构、注 册机构、密钥管理及0CSP(在线证书状态协议)服务等内容。 所述统一认证服务体系安装在所述统一认证系统,包括 A、身份管理多级别、分层次的用户组管理,资源级别、基于角色的权限控制,实时 交互的用户信息同步,包含对"统一认证平台的唯一身份"及"接入系统的本地身份"两种 身份信息的管理,该两身份绑定。 B、访问控制安全的、签名验证的集中认证;透明的、加密保护的单点认证;一次 性、零交互的单点登出;用户无干预、后台自动处理的代理单点认证;统一身份与本地身份 自动解析转换的映射用户认证;高安全、两层保护的二级认证。 C、系统管理多样化的日志数据采集,形成业务明晰的日志管理;查询灵活,业务 数据与性能数据综合展示的报表管理;具备网管能力的自监控系统。 D、门户管理提供门户服务来集成各种渠道系统、支撑系统和业务系统之间的信 息,认证用户可以通过该门户获得完整的全局信息概览,以此平滑的将信息孤岛连接成信 息综合。 所述存储体系安装在所述数据库服务器5以及所述LDAP服务器4,包括身份信 息存储、证书信息存储、权限信息存储以及配置信息存储。
所述服务监控模块系统管理员可通过该服务监控模块,实时了解当前运行平台
的可用性、业务性能指标、系统性能指标等信息;同时,系统管理员也可以通过日志管理模
块,对当前系统运行的日志进行分析,为系统性能调优与系统完善提供依据。
所述认证代理体系主要包含两个部分"安全配置"和"信息处理"。 A、安全配置完成认证代理的安全、认证代理的启动和禁用;代理认证的方式,可
以分为前置代理认证和后置代理认证。
4[0024] B、信息处理对业务系统的请求信息转发给认证服务器;认证服务器对认证代理 的请求处理完成后,返回响应信息给认证代理;由认证代理对响应信息进行解析,并转发给 业务系统。 统一认证系统使用中间件作为容器,运行过程主要包括认证服务器配置和授权服 务器配置。 认证服务器配置1.部署认证中心服务器,启用SSL,并安装证书。使用keytool 和openssl工具,生成CA(证书授权)根证书、服务器证书和客户端证书,并使用CA根证书 分别对服务器证书和客户端证书进行签名;将签名的服务端证书,安装到服务器上,并将签 名的客户端证书,安装到认证客户端(即业务系统)上;2.为认证中心服务器配置数据源 (支持LDAP和数据库);3.部署业务系统的认证配置;4.业务系统服务注册,登录认证服务 器,添加服务信息;5.用户映射信息配置,登录认证服务器,添加用户映射信息;6.认证信 息的获取接口 ,客户端从请求中获取当前登录成功的用户名。 授权服务器配置1.部署授权服务器,可以独立部署该服务器,作为认证服务器 的一个服务存在,也可以与认证服务器统一部署,还可以与业务系统整合部署;2.为授权 服务器配置数据库存储,根据选择数据库类型,从对象模型中生成该数据库的对应脚本,并 将脚本导入数据库;3.配置授权服务器的认证模块,指定为认证服务器;4.登录授权服务 平台,配置业务系统的资源权限和用户权限。 综上所述,本实用新型提供的业务系统的统一认证平台,为这些业务系统之间搭 建起统一的认证桥梁,使不同系统间形成身份联邦,即用户执行完一次登录后,可以在不同 的业务系统之间进行透明访问;此夕卜,各个接入的业务系统的访问控制可通过配置的方式,
由该服务器进行统一管理。
权利要求一种业务系统的统一认证平台,其特征在于包括一接入终端、一接入服务器、一统一认证系统、一轻量目录访问协议服务器、一数据库服务器,所述接入终端、所述接入服务器、所述统一认证系统依次连接,所述统一认证系统再分别连接至所述LDAP服务器和所述数据库服务器。
2. 根据权利要求1所述的一种业务系统的统一认证平台,其特征在于所述统一认证 系统进一步包括一证书服务器、一门户服务器、一授权服务器,一认证服务器,一监控服务 器。
3. 根据权利要求1或2所述的一种业务系统的统一认证平台,其特征在于所述接入 终端包括电脑、手机、掌上电脑的至少一种。
专利摘要本实用新型提供了一种业务系统的统一认证平台,包括一接入终端、一接入服务器、一统一认证系统、一LDAP服务器、一数据库服务器,所述接入终端、所述接入服务器、所述统一认证系统依次连接,所述统一认证系统再分别连接至所述LDAP服务器和所述数据库服务器。本实用新型为各业务系统之间搭建起统一的认证桥梁,使不同系统间形成身份联邦,进行统一管理。
文档编号H04L29/06GK201491033SQ200920182620
公开日2010年5月26日 申请日期2009年8月20日 优先权日2009年8月20日
发明者俞章健, 吴兆彬, 江勇, 陈华光, 黄震奇 申请人:福建富士通信息软件有限公司