【技術(shù)領(lǐng)域】

本實(shí)用新型涉及一種業(yè)務(wù)系統(tǒng)，特別涉及一種業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證平臺(tái)。

【背景技術(shù)】

隨著計(jì)算機(jī)應(yīng)用的發(fā)展，目前各級(jí)政府和企業(yè)已經(jīng)建設(shè)了很多不同的業(yè)務(wù)系統(tǒng)并在日常工作使用，這些業(yè)務(wù)系統(tǒng)一般是不同的廠商在不同時(shí)期使用不同技術(shù)來實(shí)現(xiàn)的。這些業(yè)務(wù)系統(tǒng)一般都有獨(dú)立的認(rèn)證體系和授權(quán)系統(tǒng)。實(shí)際上，這兩個(gè)模塊的具體實(shí)現(xiàn)基本上都是一樣的，這種重復(fù)開發(fā)，既浪費(fèi)資源、增加開發(fā)和維護(hù)成本，安全級(jí)別又不高。用戶在使用這些業(yè)務(wù)系統(tǒng)時(shí)，必須記住每個(gè)業(yè)務(wù)系統(tǒng)的用戶名、密碼；而且，登錄一個(gè)子系統(tǒng)后，如需在內(nèi)部調(diào)用到另一個(gè)子系統(tǒng)，又要進(jìn)行用戶登錄。

總之，目前的業(yè)務(wù)系統(tǒng)普遍存在的問題：(1)各個(gè)系統(tǒng)的認(rèn)證模塊用戶信息都是系統(tǒng)獨(dú)立維護(hù)的，不能形成一個(gè)統(tǒng)一的用戶庫(kù)，因此造成信息的不完整性；(2)各個(gè)系統(tǒng)的認(rèn)證模塊，一般都未考慮帳號(hào)的安全性；認(rèn)證功能都是獨(dú)立實(shí)現(xiàn)，因此不能實(shí)現(xiàn)認(rèn)證的互信互通；也就是通用性差。

【實(shí)用新型內(nèi)容】

本實(shí)用新型要解決的技術(shù)問題，在于提供一種業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證平臺(tái)，為這些業(yè)務(wù)系統(tǒng)之間搭建起統(tǒng)一的認(rèn)證橋梁，使不同系統(tǒng)間形成身份聯(lián)邦，即用戶執(zhí)行完一次登錄后，可以在不同的業(yè)務(wù)系統(tǒng)之間進(jìn)行透明訪問；此外，各個(gè)接入的業(yè)務(wù)系統(tǒng)的訪問控制可通過配置的方式，由該服務(wù)器進(jìn)行統(tǒng)一管理。

本實(shí)用新型是這樣實(shí)現(xiàn)的：一種業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證平臺(tái)，包括一接入終端、一接入服務(wù)器、一統(tǒng)一認(rèn)證系統(tǒng)、一LDAP(輕量目錄訪問協(xié)議)服務(wù)器、一數(shù)據(jù)庫(kù)服務(wù)器，所述接入終端、所述接入服務(wù)器、所述統(tǒng)一認(rèn)證系統(tǒng)依次連接，所述統(tǒng)一認(rèn)證系統(tǒng)再分別連接至所述LDAP服務(wù)器和所述數(shù)據(jù)庫(kù)服務(wù)器。

所述統(tǒng)一認(rèn)證系統(tǒng)進(jìn)一步包括一證書服務(wù)器、一門戶服務(wù)器、一授權(quán)服務(wù)器，一認(rèn)證服務(wù)器，一監(jiān)控服務(wù)器。

所述接入終端包括電腦、手機(jī)、掌上電腦的至少一種。

本實(shí)用新型的優(yōu)點(diǎn)在于：該統(tǒng)一認(rèn)證平臺(tái)，針對(duì)企業(yè)內(nèi)部不同業(yè)務(wù)系統(tǒng)，配以軟件程序，可實(shí)現(xiàn)統(tǒng)一的用戶庫(kù)和權(quán)限庫(kù)的配置，并實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)之間透明的身份驗(yàn)證和權(quán)限驗(yàn)證，從而達(dá)到用戶對(duì)業(yè)務(wù)系統(tǒng)的無障礙訪問。通過使用完善的安全PKI體系，在安全傳輸協(xié)議的支持下，確保身份信息的安全性，彌補(bǔ)了各種軟件產(chǎn)品所普遍存在的安全性問題。在統(tǒng)一認(rèn)證的基礎(chǔ)上，我們還建立起一種更為安全的二級(jí)認(rèn)證功能，以提供高安全性系統(tǒng)的統(tǒng)一認(rèn)證能力。

【附圖說明】

下面參照附圖結(jié)合實(shí)施例對(duì)本實(shí)用新型作進(jìn)一步的說明。

圖1是本實(shí)用新型統(tǒng)一認(rèn)證平臺(tái)的硬件架構(gòu)示意圖。

圖2是與本實(shí)用新型統(tǒng)一認(rèn)證平臺(tái)配合的軟件架構(gòu)示意圖。

【具體實(shí)施方式】

請(qǐng)參閱圖1所示，本實(shí)用新型的業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證平臺(tái)，包括一接入終端1、一接入服務(wù)器2、一統(tǒng)一認(rèn)證系統(tǒng)3、一LDAP服務(wù)器4、一數(shù)據(jù)庫(kù)服務(wù)器5；所述接入終端1包括電腦、手機(jī)、掌上電腦的至少一種；所述接入終端1、所述接入服務(wù)器2、所述統(tǒng)一認(rèn)證系統(tǒng)3依次連接，所述統(tǒng)一認(rèn)證系統(tǒng)3再通過網(wǎng)絡(luò)線連接至所述LDAP服務(wù)器4和所述數(shù)據(jù)庫(kù)服務(wù)器5，所述統(tǒng)一認(rèn)證系統(tǒng)3進(jìn)一步包括一證書服務(wù)器31、一門戶服務(wù)器32、一授權(quán)服務(wù)器33，一認(rèn)證服務(wù)器34，一監(jiān)控服務(wù)器35。

再如圖2所示，其繪示了與本實(shí)用新型統(tǒng)一認(rèn)證平臺(tái)配合的軟件架構(gòu)。該軟件包括安全KPI(關(guān)鍵業(yè)績(jī)指標(biāo))體系、統(tǒng)一認(rèn)證服務(wù)體系、存儲(chǔ)體系、服務(wù)監(jiān)控模塊、以及認(rèn)證代理體系。

所述安全KPI體系：其是針對(duì)系統(tǒng)安全性問題，提供的內(nèi)部頒發(fā)安全證書的機(jī)制，確保HTTPS通道的安全，并保障數(shù)據(jù)簽名和簽名驗(yàn)證的成功實(shí)施；該安全KPI體系，通過注冊(cè)機(jī)構(gòu)接收證書請(qǐng)求，然后通過密鑰管理模塊來產(chǎn)生相應(yīng)密鑰，接著由證書機(jī)構(gòu)生成服務(wù)端與客戶端證書，發(fā)布給相應(yīng)的證書用戶，證書用戶可通過證書驗(yàn)證模塊來確認(rèn)證書的有效性，啟用備份與恢復(fù)模塊完成KPI體系的數(shù)據(jù)完整性。該安全KPI體系包括頒發(fā)機(jī)構(gòu)、注冊(cè)機(jī)構(gòu)、密鑰管理及OCSP(在線證書狀態(tài)協(xié)議)服務(wù)等內(nèi)容。

所述統(tǒng)一認(rèn)證服務(wù)體系：安裝在所述統(tǒng)一認(rèn)證系統(tǒng)，包括

A、身份管理：多級(jí)別、分層次的用戶組管理，資源級(jí)別、基于角色的權(quán)限控制，實(shí)時(shí)交互的用戶信息同步，包含對(duì)“統(tǒng)一認(rèn)證平臺(tái)的唯一身份”及“接入系統(tǒng)的本地身份”兩種身份信息的管理，該兩身份綁定。

B、訪問控制：安全的、簽名驗(yàn)證的集中認(rèn)證；透明的、加密保護(hù)的單點(diǎn)認(rèn)證；一次性、零交互的單點(diǎn)登出；用戶無干預(yù)、后臺(tái)自動(dòng)處理的代理單點(diǎn)認(rèn)證；統(tǒng)一身份與本地身份自動(dòng)解析轉(zhuǎn)換的映射用戶認(rèn)證；高安全、兩層保護(hù)的二級(jí)認(rèn)證。