系统架构 系统采用先进的面向服务的体系架构,基于PKI理论体系,提供身份认证、单点登录、访问授权、策略管理等相关产品,这些产品以服务的形式展现在UID系统中,用户能方便的使用这些服务,形成企业一站式信息服务平台。 在各功能模块的实现和划分上,充分考虑各个功能之间的最少耦合性,对外提供的服务接口设计中,严格按照面向服务思想进行设计,在内部具体实现中,采用CORBA、DCOM、Dot Net/J2EE体系结构,保证各个模块的跨平台特性。
根据上图,应用程序使用服务时,通过UID提供的服务定位器,配置相关服务接口实现,各服务之间通过服务代理,可以组合成新的服务供服务定位器调用。各服务之间相对独立,任何一个安全功能的调整和增减,不会造成应用程序调用的修改和重复开发。
功能模块 说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。 具体包含以下主要功能模块: 认证中心(AuthDB) 存储企业用户目录,完成对用户身份、角色等信息的统一管理; 授权和访问管理系统(AAMS) 用户的授权、角色分配; 访问策略的定制和管理; 用户授权信息的自动同步; 用户访问的实时监控、安全审计; 身份认证服务(AuthService、AuthAgent) 身份认证前置(AuthAgent)为应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务(AuthService)完成对用户身份的认证和角色的转换; 访问控制服务(AccsService、UIDPlugIn) 应用系统插件(UIDPlugIn)从应用系统获取单点登录所需的用户信息; 用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名; CA中心及数字证书网上受理系统 用户身份认证和单点登录过程中所需证书的签发; 用户身份认证凭证(USB智能密钥)的制作; 统一身份凭证管理(SSO统一身份认证管理) 统一身份凭证是UID实现SSO的基础,在结构上采用统一存储,分散管理。身份凭证在UID系统中主要选用数字证书+用户信息,用户名+口令+用户信息作为身份凭证的补充。当用户业务系统众多时,无论访问哪个系统,都采用统一的认证凭证,用户不需要记住各系统对应的用户名和口令。