1 EETrust 统一身份管理及访问控制系统 (UID System) 1. 概述 EETrust 统一身份管理及访问控制系统(UID System)是通过构建企业级用户目录管理,实现不同用户群体之间统一认证,将大量分散的信息和系统进行整合和互联,形成整体企业的信息中心和应用中心。UID System 系统使企业员工通过单一的入口安全地访问企业内部全部信息与应用,为员工集中获取企业内部信息提供渠道,为员工集中处理企业内部IT 系统应用提供统一窗口。 2. 面向服务(SOA)的体系结构 2.1 系统架构 系统采用先进的面向服务的体系架构,基于PKI 理论体系,提供身份认证、单点登录、访问授权、策略管理等相关产品,这些产品以服务的形式展现在 UID 系统中,用户能方便的使用这些服务,形成企业一站式信息服务平台。 在各功能模块的实现和划分上,充分考虑各个功能之间的最少耦合性,对外提供的服务接口设计中,严格按照面向服务思想进行设计,在内部具体实现中,采用CORBA、DCOM、J2EE 体系结构,保证各个模块的跨平台特性。 UID 面向服务关系图 根据上图,应用程序使用服务时,通过UID 提供的服务定位器,配置相关服务接口实现,各服务之间通过服务代理,可以组合成新的服务供服务定位器调用。各服务之间相对独立,任何一个安全功能的调整和增减,不会造成应用程序调用的修改和重复开发。 2.2 功能模块 2.2.1 结构图 2 说明:CA 安全基础设施可以采用自建方式,也可以选择第三方CA。 具体包含以下主要功能模块: 认证中心(AuthDB) 存储企业用户目录,完成对用户身份、角色等信息的统一管理; 授权和访问管理系统(AAMS) 用户的授权、角色分配; 访问策略的定制和管理; 用户授权信息的自动同步; 用户访问的实时监控、安全审计; 身份认证服务(AuthService、AuthAgent) 身份认证前置(AuthAgent)为应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务(AuthService)完成对用户身份的认证和角色的转换; 访问控制服务(AccsService、UIDPlugIn) 应用系统插件(UIDPlugIn)从应用系统获取单点登录所需的用户信息; 用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名; CA 中心及数字证书网上受理系统 用户身份认证和单点登录过程中所需证书的签发; 3 用户身份认证凭证(USB 智能密钥)的制作; 2.2.2 系统(门户)互访模块调用关系图 说明: 1、黑色箭头描...