統(tǒng)一身份認(rèn)證系統(tǒng)在山東核電信息化建設(shè)中的應(yīng)用

摘要：隨著信息化在國家第三代核電技術(shù)自主化依托項(xiàng)目山東核電建設(shè)中的應(yīng)用，信息系統(tǒng)數(shù)量不斷增多，需要驗(yàn)證用戶信息的模塊也隨之增加，為了簡化手續(xù)提高信息共享使用率，減少后期維護(hù)成本，將所有的認(rèn)證模塊集中在一個(gè)系統(tǒng)中進(jìn)行認(rèn)證，管理。

關(guān)鍵詞：統(tǒng)一身份；認(rèn)證；應(yīng)用

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 23-0000-02

1 背景

自山東核電有限公司成立以來，信息管理系統(tǒng)及相關(guān)信息化建設(shè)已完成了門戶系統(tǒng)、調(diào)試生產(chǎn)信息系統(tǒng)（CPIMS）、工程信息管理系統(tǒng)（CMIS）、協(xié)同辦公系統(tǒng)、培訓(xùn)系統(tǒng)等多個(gè)信息管理系統(tǒng)，為山東核電的發(fā)展提供了強(qiáng)有力的信息化支撐，但由于這些應(yīng)用系統(tǒng)由不同開發(fā)商在不同的項(xiàng)目建設(shè)時(shí)期采用不同的技術(shù)進(jìn)行建設(shè)，并且各個(gè)應(yīng)用系統(tǒng)在公司網(wǎng)絡(luò)環(huán)境中完成的服務(wù)功能各不同，技術(shù)、功能等方面的差異性限制了山東核電管控一體化、信息一體化水平，降低了員工使用系統(tǒng)的效率，增大了系統(tǒng)管理的成本，具體表現(xiàn)在：

（1）對于需要使用多個(gè)不同應(yīng)用系統(tǒng)的用戶來說，由于各系統(tǒng)各自存儲管理一份不同的身份認(rèn)證方式，使得同一用戶訪問不同應(yīng)用系統(tǒng)時(shí)需要記住并使用不同的賬號，增大了員工使用系統(tǒng)的復(fù)雜性，也降低了系統(tǒng)的安全性。。

（2）管理員不能建立統(tǒng)一的用戶管理視圖，當(dāng)用戶職位發(fā)生變動時(shí)，依賴管理員在各個(gè)系統(tǒng)中手工調(diào)整。尤其是用戶離職的時(shí)候，各應(yīng)用系統(tǒng)無法做到有效的一次性刪除，造成了系統(tǒng)之間信息的不一致、不統(tǒng)一，影響了系統(tǒng)數(shù)據(jù)的準(zhǔn)確性。同時(shí)，由于需要大量的人工操作去維護(hù)用戶信息變更，這種操作方式不僅為用戶的使用帶來許多不便，更重要的是降低了整個(gè)信息化建設(shè)體系的可用性、可管理性和安全性。

因此，企業(yè)需要一個(gè)統(tǒng)一的、高安全性能和高可靠性的身份認(rèn)證及權(quán)限管理系統(tǒng)，以完成對整個(gè)網(wǎng)絡(luò)內(nèi)分散的用戶的身份和權(quán)權(quán)限資源進(jìn)行統(tǒng)一、集中的管理，保證各應(yīng)用系統(tǒng)基于統(tǒng)一的模式管理，并利用強(qiáng)大的加密與安全技術(shù)確保系統(tǒng)安全可靠，實(shí)現(xiàn)用戶的“一次登錄、全程訪問、授權(quán)使用”。和，統(tǒng)一身份管理的建設(shè)將有助于實(shí)現(xiàn)公司各個(gè)信息系統(tǒng)用戶身份的統(tǒng)一認(rèn)證和單點(diǎn)登錄，改變原有各業(yè)務(wù)系統(tǒng)中的分散式身份認(rèn)證及授權(quán)管理的模式、簡化用戶訪問各系統(tǒng)的過程，提高系統(tǒng)使用效率，提升公司管控一體化、信息一體化水平。

2 統(tǒng)一身份認(rèn)證系統(tǒng)的邏輯架構(gòu)及網(wǎng)絡(luò)架構(gòu)

整個(gè)系統(tǒng)的邏輯架構(gòu)如下所示

RA（Register Authority）審核注冊中心

按照上圖所示，統(tǒng)一用戶管理系統(tǒng)及同一用戶目錄服務(wù)系統(tǒng)。統(tǒng)一用戶管理系統(tǒng)與門戶與協(xié)同辦公系統(tǒng)進(jìn)行整合，實(shí)現(xiàn)用戶數(shù)據(jù)的統(tǒng)一管理，目錄服務(wù)系統(tǒng)。在應(yīng)用系統(tǒng)整合層面，統(tǒng)一用戶管理系統(tǒng)完成與門戶系統(tǒng)、協(xié)同辦公系統(tǒng)之間的整合，實(shí)現(xiàn)兩套應(yīng)用系統(tǒng)用戶的集中統(tǒng)一管理。其它已經(jīng)通過TDS服務(wù)整合在門戶系統(tǒng)下的業(yè)務(wù)系統(tǒng)，可依然保持現(xiàn)有方式，以TDS目錄服務(wù)接口方式，調(diào)用IBM門戶中的用戶信息。

系統(tǒng)部署網(wǎng)絡(luò)架構(gòu)圖如下所示：

上圖中在藍(lán)色的框中為部署的統(tǒng)一用戶管理系統(tǒng)所需的設(shè)備。

3 統(tǒng)一身份認(rèn)證的功能特點(diǎn)

3.1 用戶信息的統(tǒng)一管理

通過建設(shè)統(tǒng)一用戶管理系統(tǒng)，實(shí)現(xiàn)用戶屬性信息的統(tǒng)一維護(hù)和管理，包括用戶的基本屬性信息和社會屬性信息。屬性信息基于屬性字典的模式來定義，可以根據(jù)實(shí)際的需要進(jìn)行靈活的擴(kuò)充。

3.2 用戶賬號的統(tǒng)一管理

針對用戶在各個(gè)業(yè)務(wù)系統(tǒng)的賬號實(shí)現(xiàn)統(tǒng)一的管理，實(shí)現(xiàn)和數(shù)字證書的關(guān)聯(lián)，為單點(diǎn)登錄提供相應(yīng)的支撐。

3.3 用戶生命周期的統(tǒng)一管理

針對用戶提供統(tǒng)一的開戶、銷戶、變更等服務(wù)，避免用戶在發(fā)生變化時(shí)，需要多個(gè)系統(tǒng)重復(fù)操作，減輕用戶的管理負(fù)擔(dān)。

3.4 與數(shù)字證書的統(tǒng)一集成

完成后的統(tǒng)一用戶管理系統(tǒng)，和身份認(rèn)證體系建設(shè)的注冊系統(tǒng)實(shí)現(xiàn)深入的結(jié)合，把證書的相關(guān)業(yè)務(wù)流程整合到統(tǒng)一用戶管理系統(tǒng)之中，在統(tǒng)一用戶管理系統(tǒng)一個(gè)窗口中，實(shí)現(xiàn)用戶數(shù)據(jù)、證書的統(tǒng)一管理。

3.5 系統(tǒng)資源的授權(quán)訪問

由于門戶平臺集中了大量辦公、業(yè)務(wù)系統(tǒng)各個(gè)方面的信息，信息并不是對所有人都開放，通過統(tǒng)一身份認(rèn)證系統(tǒng)提供的統(tǒng)一的集成授權(quán)體系，控制各項(xiàng)資源和服務(wù)的訪問權(quán)限，使得信息資源只能被授權(quán)的用戶獲取

4 統(tǒng)一身份認(rèn)證系統(tǒng)的安全保障與支撐

身份認(rèn)證系統(tǒng)建設(shè)完成后，根據(jù)“安全是應(yīng)用的基礎(chǔ)、應(yīng)用是安全的體現(xiàn)”的原則，把數(shù)字證書認(rèn)證與各統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行整合，最大限度的體現(xiàn)數(shù)字證書的價(jià)值，實(shí)現(xiàn)基于數(shù)字證書的統(tǒng)一身份認(rèn)證，為統(tǒng)一身份認(rèn)證系統(tǒng)的安全性提供強(qiáng)大的支撐和保障。

5 結(jié)論

建立統(tǒng)一用戶管理系統(tǒng)，實(shí)現(xiàn)各系統(tǒng)集中的用戶管理中心，替代了手工操作，根據(jù)集中策略和業(yè)務(wù)規(guī)則來提供用戶的賬號開通，提供對用戶身份的全生命周期進(jìn)行全流程管理和維護(hù)，實(shí)現(xiàn)對應(yīng)賬號的有效監(jiān)督和審核，提高集中管控的能力。降低成本，延長正常運(yùn)行時(shí)間，提高使用率，資產(chǎn)優(yōu)化，利潤最大化，提高了設(shè)備績效，降低了維修成本，實(shí)現(xiàn)全生命周期的管理。

參考文獻(xiàn)：

[1]朱宏，仇道霞.基于PKI的統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].山東輕工業(yè)學(xué)院學(xué)報(bào)（自然科學(xué)版），2010，03.