eetrust统一身份管理及访问控制系统

eetrust统一身份管理及访问控制系统

ID:22509279

大小:540.00 KB

页数:12页

时间:2018-10-29

eetrust统一身份管理及访问控制系统_第1页
eetrust统一身份管理及访问控制系统_第2页
eetrust统一身份管理及访问控制系统_第3页
eetrust统一身份管理及访问控制系统_第4页
eetrust统一身份管理及访问控制系统_第5页
资源描述:

《eetrust统一身份管理及访问控制系统》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、EETrust统一身份管理及访问控制系统(UIDSystem)1.概述EETrust统一身份管理及访问控制系统(UIDSystem)是通过构建企业级用户目录管理,实现不同用户群体之间统一认证,将大量分散的信息和系统进行整合和互联,形成整体企业的信息中心和应用中心。UIDSystem系统使企业员工通过单一的入口安全地访问企业内部全部信息与应用,为员工集中获取企业内部信息提供渠道,为员工集中处理企业内部IT系统应用提供统一窗口。2.面向服务(SOA)的体系结构2.1  系统架构系统采用先进的面向服务的体系架构,基于PK

2、I理论体系,提供身份认证、单点登录、访问授权、策略管理等相关产品,这些产品以服务的形式展现在UID系统中,用户能方便的使用这些服务,形成企业一站式信息服务平台。在各功能模块的实现和划分上,充分考虑各个功能之间的最少耦合性,对外提供的服务接口设计中,严格按照面向服务思想进行设计,在内部具体实现中,采用CORBA、DCOM、J2EE体系结构,保证各个模块的跨平台特性。UID面向服务关系图根据上图,应用程序使用服务时,通过UID提供的服务定位器,配置相关服务接口实现,各服务之间通过服务代理,可以组合成新的服务供服务定位器

3、调用。各服务之间相对独立,任何一个安全功能的调整和增减,不会造成应用程序调用的修改和重复开发。2.2功能模块2.2.1结构图12说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。具体包含以下主要功能模块:²认证中心(AuthDB)存储企业用户目录,完成对用户身份、角色等信息的统一管理;²授权和访问管理系统(AAMS)用户的授权、角色分配;访问策略的定制和管理;用户授权信息的自动同步;用户访问的实时监控、安全审计;²身份认证服务(AuthService、AuthAgent)身份认证前置(AuthAgent

4、)为应用系统提供安全认证服务接口,中转认证和访问请求;身份认证服务(AuthService)完成对用户身份的认证和角色的转换;²访问控制服务(AccsService、UIDPlugIn)应用系统插件(UIDPlugIn)从应用系统获取单点登录所需的用户信息;用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名;²12CA中心及数字证书网上受理系统用户身份认证和单点登录过程中所需证书的签发;用户身份认证凭证(USB智能密钥)的制作;2.2.2系统(门户)互访模块调用关系图说明:1、黑色箭头描述了员工通过A系

5、统访问B系统的模块调用逻辑关系;2、红箭头描述了员工通过B系统访问A系统的模块调用逻辑关系;2.2.3角色管理和认证为了实现门户及相关系统的统一认证,建设统一的身份管理中心,身份管理中心集中对用户身份进行管理。目前存在以下几种身份管理情况:1、统一采用密钥棒(CA证书)进行身份管理;2、完全采用用户名+口令进行身份管理;3、部分用户采用密钥,部分用户采用用户名+口令。第一种情况,有统一的身份标识,只须授权就能实现各自门户和系统的统一认证。第二种情况,可以在本地系统依然采用用户名+口令认证认证,在互访其它系统时,将所

6、有这些用户绑定到一个或几个特定权限的证书角色上,实现系统之间互访。第三重情况,可以采用两个登录入口,用户名+口令的走一个入口,有证书的走另一个入口,两个入口不能同时被一个用户使用,即有证书的不能用用户名+口令登录认证。在进行统一认证时,有证书的用户在授权后,可以直接进行系统间访问,没有证书的用户,在通过用户名+口令认证后,绑定到特定的角色证书上实现统一认证。122.3统一身份凭证管理统一身份凭证是UID实现SSO的基础,在结构上采用统一存储,分散管理。身份凭证在UID系统中主要选用数字证书+用户信息,用户名+口令+

7、用户信息作为身份凭证的补充。当用户业务系统众多时,无论访问哪个系统,都采用统一的认证凭证,用户不需要记住各系统对应的用户名和口令。12图:UID身份管理逻辑图1、证书受理采用集中受理模式,所有员工的数字证书通过网上受理中心统一提交到CA中心签发;2、所有员工证书统一存放在CA中心LDAP数据库中;3、建立企业认证体系,由总认证中心和分认证中心组成;4、总认证中心的证书库直接采用网上受理系统的证书库,总认证中心可负责所有员工的统一认证;5、分认证中心的证书库采用同步定时分发机制,从总LDAP数据库中获取证书信息;6、

8、各业务系统或门户需要认证时,采用就近原则,到离业务系统最近的认证中心进行认证;若认证失败,可以直接到总认证中心进行认证;7、所有认证中心采用负载均衡技术,保证认证效率和速度;2.4信息资源接入UID逻辑关系图UID整合各种信息资源,通过标准XML语言,方便的将信息资源进行接入和使用。图:UID资源接入逻辑图3.技术原理3.1数字证书身份认证原理3.1.112

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。