摘要：隨著信息化在國家第三代核電技術自主化依托項目山東核電建設中的應用，信息系統(tǒng)數(shù)量不斷增多，需要驗證用戶信息的模塊也隨之增加，為了簡化手續(xù)提高信息共享使用率，減少后期維護成本，將所有的認證模塊集中在一個系統(tǒng)中進行認證，管理。

關鍵詞：統(tǒng)一身份；認證；應用

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 23-0000-02

1 背景

自山東核電有限公司成立以來，信息管理系統(tǒng)及相關信息化建設已完成了門戶系統(tǒng)、調試生產(chǎn)信息系統(tǒng)（CPIMS）、工程信息管理系統(tǒng)（CMIS）、協(xié)同辦公系統(tǒng)、培訓系統(tǒng)等多個信息管理系統(tǒng)，為山東核電的發(fā)展提供了強有力的信息化支撐，但由于這些應用系統(tǒng)由不同開發(fā)商在不同的項目建設時期采用不同的技術進行建設，并且各個應用系統(tǒng)在公司網(wǎng)絡環(huán)境中完成的服務功能各不同，技術、功能等方面的差異性限制了山東核電管控一體化、信息一體化水平，降低了員工使用系統(tǒng)的效率，增大了系統(tǒng)管理的成本，具體表現(xiàn)在：

（1）對于需要使用多個不同應用系統(tǒng)的用戶來說，由于各系統(tǒng)各自存儲管理一份不同的身份認證方式，使得同一用戶訪問不同應用系統(tǒng)時需要記住并使用不同的賬號，增大了員工使用系統(tǒng)的復雜性，也降低了系統(tǒng)的安全性。。

（2）管理員不能建立統(tǒng)一的用戶管理視圖，當用戶職位發(fā)生變動時，依賴管理員在各個系統(tǒng)中手工調整。尤其是用戶離職的時候，各應用系統(tǒng)無法做到有效的一次性刪除，造成了系統(tǒng)之間信息的不一致、不統(tǒng)一，影響了系統(tǒng)數(shù)據(jù)的準確性。同時，由于需要大量的人工操作去維護用戶信息變更，這種操作方式不僅為用戶的使用帶來許多不便，更重要的是降低了整個信息化建設體系的可用性、可管理性和安全性。

因此，企業(yè)需要一個統(tǒng)一的、高安全性能和高可靠性的身份認證及權限管理系統(tǒng)，以完成對整個網(wǎng)絡內(nèi)分散的用戶的身份和權權限資源進行統(tǒng)一、集中的管理，保證各應用系統(tǒng)基于統(tǒng)一的模式管理，并利用強大的加密與安全技術確保系統(tǒng)安全可靠，實現(xiàn)用戶的“一次登錄、全程訪問、授權使用”。和，統(tǒng)一身份管理的建設將有助于實現(xiàn)公司各個信息系統(tǒng)用戶身份的統(tǒng)一認證和單點登錄，改變原有各業(yè)務系統(tǒng)中的分散式身份認證及授權管理的模式、簡化用戶訪問各系統(tǒng)的過程，提高系統(tǒng)使用效率，提升公司管控一體化、信息一體化水平。

2 統(tǒng)一身份認證系統(tǒng)的邏輯架構及網(wǎng)絡架構

整個系統(tǒng)的邏輯架構如下所示

RA（Register Authority）審核注冊中心

按照上圖所示，統(tǒng)一用戶管理系統(tǒng)及同一用戶目錄服務系統(tǒng)。統(tǒng)一用戶管理系統(tǒng)與門戶與協(xié)同辦公系統(tǒng)進行整合，實現(xiàn)用戶數(shù)據(jù)的統(tǒng)一管理，目錄服務系統(tǒng)。在應用系統(tǒng)整合層面，統(tǒng)一用戶管理系統(tǒng)完成與門戶系統(tǒng)、協(xié)同辦公系統(tǒng)之間的整合，實現(xiàn)兩套應用系統(tǒng)用戶的集中統(tǒng)一管理。其它已經(jīng)通過TDS服務整合在門戶系統(tǒng)下的業(yè)務系統(tǒng)，可依然保持現(xiàn)有方式，以TDS目錄服務接口方式，調用IBM門戶中的用戶信息。

系統(tǒng)部署網(wǎng)絡架構圖如下所示：

上圖中在藍色的框中為部署的統(tǒng)一用戶管理系統(tǒng)所需的設備。

3 統(tǒng)一身份認證的功能特點

3.1 用戶信息的統(tǒng)一管理

通過建設統(tǒng)一用戶管理系統(tǒng)，實現(xiàn)用戶屬性信息的統(tǒng)一維護和管理，包括用戶的基本屬性信息和社會屬性信息。屬性信息基于屬性字典的模式來定義，可以根據(jù)實際的需要進行靈活的擴充。

3.2 用戶賬號的統(tǒng)一管理

針對用戶在各個業(yè)務系統(tǒng)的賬號實現(xiàn)統(tǒng)一的管理，實現(xiàn)和數(shù)字證書的關聯(lián)，為單點登錄提供相應的支撐。

3.3 用戶生命周期的統(tǒng)一管理

針對用戶提供統(tǒng)一的開戶、銷戶、變更等服務，避免用戶在發(fā)生變化時，需要多個系統(tǒng)重復操作，減輕用戶的管理負擔。

3.4 與數(shù)字證書的統(tǒng)一集成

完成后的統(tǒng)一用戶管理系統(tǒng)，和身份認證體系建設的注冊系統(tǒng)實現(xiàn)深入的結合，把證書的相關業(yè)務流程整合到統(tǒng)一用戶管理系統(tǒng)之中，在統(tǒng)一用戶管理系統(tǒng)一個窗口中，實現(xiàn)用戶數(shù)據(jù)、證書的統(tǒng)一管理。

3.5 系統(tǒng)資源的授權訪問

由于門戶平臺集中了大量辦公、業(yè)務系統(tǒng)各個方面的信息，信息并不是對所有人都開放，通過統(tǒng)一身份認證系統(tǒng)提供的統(tǒng)一的集成授權體系，控制各項資源和服務的訪問權限，使得信息資源只能被授權的用戶獲取

4 統(tǒng)一身份認證系統(tǒng)的安全保障與支撐

身份認證系統(tǒng)建設完成后，根據(jù)“安全是應用的基礎、應用是安全的體現(xiàn)”的原則，把數(shù)字證書認證與各統(tǒng)一身份認證系統(tǒng)進行整合，最大限度的體現(xiàn)數(shù)字證書的價值，實現(xiàn)基于數(shù)字證書的統(tǒng)一身份認證，為統(tǒng)一身份認證系統(tǒng)的安全性提供強大的支撐和保障。

5 結論

建立統(tǒng)一用戶管理系統(tǒng)，實現(xiàn)各系統(tǒng)集中的用戶管理中心，替代了手工操作，根據(jù)集中策略和業(yè)務規(guī)則來提供用戶的賬號開通，提供對用戶身份的全生命周期進行全流程管理和維護，實現(xiàn)對應賬號的有效監(jiān)督和審核，提高集中管控的能力。降低成本，延長正常運行時間，提高使用率，資產(chǎn)優(yōu)化，利潤最大化，提高了設備績效，降低了維修成本，實現(xiàn)全生命周期的管理。

參考文獻：

[1]朱宏，仇道霞.基于PKI的統(tǒng)一身份認證系統(tǒng)設計與實現(xiàn)[J].山東輕工業(yè)學院學報（自然科學版），2010，03.