一种集成异构舰载信息系统的统一安全认证平台技术方案

本发明专利技术公开了一种集成异构舰载信息系统的统一安全认证平台，包括：基于CAS的统一登录身份认证系统，用于对用户进行登录验证；统一身份认证服务器，用于对用户进行密码验证，验证通过后，由统一身份认证服务器向用户发放登录其他应用系统的一次性身份票据和服务票据；异构系统信息共享数据库，用于用户身份信息共享存储和用户的角色权限信息存储；应用系统安全代理服务器，用于收到用户提供的身份票据后，向统一身份认证服务器求证票据的合法性。本发明专利技术提出了一种基于CAS实现的统一身份认证平台，可实现舰船平台多种异构信息系统的统一集成登录与安全认证管理，提高舰船平台整体信息安全水平。

A unified security authentication platform for integrated heterogeneous shipboard information system

The invention discloses a unified security authentication platform, an integrated heterogeneous shipboard information system includes: a unified login authentication system based on CAS for login to the user; unified identity authentication server for password authentication to the user after authentication, a unified identity authentication server to the user issuing other application system login the one-time identity bill and service bill; heterogeneous system information sharing database for user identity information sharing information storage and user role permissions; application system security proxy server, for users to provide the identity of the bill received after the legitimacy to the unified identity authentication server to verify the bill. The invention provides a unified identity authentication platform based on CAS, can realize the integration and management of ship security authentication login platform for a variety of heterogeneous information systems, raise the overall level of information security platform.

【技术实现步骤摘要】
一种集成异构舰载信息系统的统一安全认证平台
本专利技术涉及船舶电子信息技术，尤其涉及一种集成异构舰载信息系统的统一安全认证平台。
技术介绍
随着各类大型水面舰船信息化程度的提高，各种业务应用系统，包括动力监控、电力监控、辅助系统、综合舰桥、综合保障等，极大地提高了舰载信息系统的敏捷性、智能性和精确性。而根据GJBz20107-93(军队涉密信息系统安全保密要求)，各类舰载信息系统需要对访问用户进行身份认证。然而，当前舰载信息系统的身份鉴别存在如下安全问题：1)舰载信息系统通常采用传统的口令认证方式，但这种方式极易被猜测、非法获取或截获。假冒身份非法访问舰载信息系统，将会导致机密信息泄露，或破坏舰载信息系统，使系统运行不正常。此外，口令繁多也是一个重要问题。由于这些舰载信息系统互相独立，用户在使用每个舰载系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每个系统的用户名和密码，这给用户带来了不少麻烦。2)各舰载信息系统信息无法共享，形成信息孤岛。由于各舰载信息系统的用户身份信息内容和数据格式不统一，没有统一的用户身份信息，无法进行信息共享，无法实现互连互通。舰船用户在所有舰载信息系统中都存在用户信息，而由于对用户信息的管理没有统一的规划设计，造成一个用户在多个舰载信息系统中有不同的用户信息，信息重复且不准确，用户管理十分繁琐，没有统一共享的用户信息，造成许多共享资源信息系统无法向更多的用户开放，或无法确认用户可信的身份，舰船平台的整体信息共享的价值不能体现出来。然而，由于多种舰载信息系统并存环境下用户信息数据的多源性、异构性以及不同登录认证机制，使得舰船的统一安全认证过程非常复杂。对此，本成果提出一种集成异构舰载信息系统的统一身份认证平台，用户只需要在网络中主动地进行一次身份认证过程，通过认证后就携带被信任的授权票据访问其被授权使用的所有处在网络上的资源，而不需要其主动参与其后的身份认证过程，从而实现舰船平台多种异构信息系统的统一集成登录与安全认证管理，提高舰船平台整体信息安全水平。
技术实现思路
本专利技术要解决的技术问题在于针对现有技术中的缺陷，提供一种集成异构舰载信息系统的统一安全认证平台。本专利技术解决其技术问题所采用的技术方案是：一种集成异构舰载信息系统的统一安全认证平台，包括：基于CAS的统一登录身份认证系统，用于对用户进行登录验证；具体如下：首先统一登录身份认证系统将拦截各类舰载信息系统所有的用户请求，如果用户已经登录，则将用户请求直接放行，用户可以访问系统资源；如果用户之前未登录该应用系统，则过滤器检查用户请求中是否含有身份票据，如果有身份票据且通过询问统一身份认证服务器判断身份票据合法，则对用户请求放行，同时设置用户状态为已登录；如果用户没有身份票据或者身份票据不合法，则过滤器将拒绝用户的请求，并将用户重定向至统一身份认证服务器的统一登录界面；统一身份认证服务器，用于对用户进行密码验证，验证通过后，由统一身份认证服务器通过SSL安全通道向用户发放登录其他应用系统的一次性加密身份票据和服务票据；异构系统信息共享数据库，用于多个异构信息系统间的用户身份信息同步交互、共享存储和用户的角色权限信息统一管理存储；应用系统安全代理服务器，用于收到用户提供的身份票据后，向统一身份认证服务器求证票据的合法性，如果统一身份认证服务器返回票据合法信息，则应用系统安全代理服务器确认用户合法。按上述方案，所述身份票据为设置在设定时间(15分钟)后自动过期的身份票据。按上述方案，所述身份票据采用SSL加密传输通道，身份票据内容在传输之前被用证书进行了非对称加密。按上述方案，所述身份票据存储在浏览器程序的内存之中。按上述方案，所述服务票据为用于记录用户每次登录应用系统服务器的行为和日志信息的票据。按上述方案，所述服务票据被设置为一次性票据，服务票据一旦被用过一次以后就失效，如果用户需要再次登录该应用系统则需要再次申请服务票据。按上述方案，所述服务票据被设置了极短的生命周期，生命周期不超过10s，也即服务票据在申请完成之后必须在10s中之内使用，否则就会自动过期。本专利技术产生的有益效果是：本专利技术针对舰船平台下多种舰载信息系统的用户信息数据集成共享及统一安全登录认证机制问题，提出了一种基于CAS实现的统一身份认证平台。可实现舰船平台多种异构信息系统的统一集成登录与安全认证管理，从而提高舰船平台整体信息安全水平。附图说明下面将结合附图及实施例对本专利技术作进一步说明，附图中：图1是本专利技术实施例的统一身份认证平台结构示意图；图2是本专利技术实施例的基于CAS的统一认证集成框架示意图；图3是本专利技术实施例的用户身份信息共享存储示意图；图4是本专利技术实施例的统一身份认证信息流程图；图5是本专利技术实施例中统一认证系统部署示意图；图6是本专利技术实施例中统一认证系统与其它应用系统接口示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。如图1所示，针对舰船平台下多种舰载信息系统的用户数据资源类型与安全访问需求，提出基于CAS实现的统一认证集成框架，建立统一用户认证及角色信息共享模型，并进行角色权限以及认证服务安全管理设计，从而实现舰船平台多种异构信息系统的统一集成登录与安全认证管理。一种集成异构舰载信息系统的统一安全认证平台，包括：(1)基于CAS的统一登录身份认证系统基于CAS的统一登录身份认证系统采用模块化结构设计，由终端用户、注册中心(RA)、认证中心(CA)、RA管理员和CA管理员等构成，其中注册中心(RA)和认证中心(CA)又包含相应的模块，系统架构如图2所示。统一身份认证系统能提供完善的功能，包括：证书签发、证书生命周期管理、证书吊销列表(CRL)查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。统一身份认证系统的所有模块可以安装在同一台服务器上，也可以采用多台服务器分别安装各模块。根据舰载信息系统的实际需求，采用双服务器安装整个CAS认证系统，主备服务进行双活容错设计。(2)统一用户认证及角色信息共享模型总体而言，统一身份认证系统不再使用传统各信息系统基于用户名和密码的身份认证机制，用户只需要在网络中主动地进行一次身份认证过程，用户通过认证后就携带被信任的授权票据访问其被授权使用的所有处在网络上的资源，而不需要其主动参与其后的身份认证过程。用户的账号信息与授权票据是集中保存和管理的，并结合密码学技术进行加密，大大提高系统的安全性，同时也可以保证用户的电子身份标识能安全、高效地在网络中传送。①统一身份认证服务器在舰船平台环境下设立一个集中的统一身份认证服务器，该集中认证服务器通过数字证书向所有用户和应用服务器表明自己的身份。统一身份认证服务器负责对用户进行密码验证，用户登录其他应用系统时，首先通过用户名密码登录到统一身份认证服务器，由统一身份认证服务器向用户发放登录其他应用系统的一次性票据。用户登录使用票据而不是用户名密码向应用系统服务器表明自己的身份，应用系统服务器收到用户提供的票据后，自身不能对票据的有效性进行辨别，应用系统服务器需要在后台向统一身份认证服务器求证票据的合法性，如果票据本文档来自技高网...

【技术保护点】
一种集成异构舰载信息系统的统一安全认证平台，其特征在于，包括：基于CAS的统一登录身份认证系统，用于对用户进行登录验证；具体如下：首先统一登录身份认证系统将拦截各类舰载信息系统所有的用户请求，如果用户已经登录，则将用户请求直接放行，用户可以访问系统资源；如果用户之前未登录该应用系统，则过滤器检查用户请求中是否含有身份票据，如果有身份票据且通过询问统一身份认证服务器判断身份票据合法，则对用户请求放行，同时设置用户状态为已登录；如果用户没有身份票据或者身份票据不合法，则过滤器将拒绝用户的请求，并将用户重定向至统一身份认证服务器的登录界面；统一身份认证服务器，用于对用户进行密码验证，验证通过后，由统一身份认证服务器通过SSL安全通道向用户发放登录其他应用系统的一次性加密身份票据和服务票据；异构系统信息共享数据库，用于多个异构信息系统间的用户身份信息同步交互、共享存储和用户的角色权限信息统一管理存储；应用系统安全代理服务器，用于收到用户提供的身份票据后，向统一身份认证服务器求证票据的合法性，如果统一身份认证服务器返回票据合法信息，则应用系统安全代理服务器确认用户合法。

【技术特征摘要】
1.一种集成异构舰载信息系统的统一安全认证平台，其特征在于，包括：基于CAS的统一登录身份认证系统，用于对用户进行登录验证；具体如下：首先统一登录身份认证系统将拦截各类舰载信息系统所有的用户请求，如果用户已经登录，则将用户请求直接放行，用户可以访问系统资源；如果用户之前未登录该应用系统，则过滤器检查用户请求中是否含有身份票据，如果有身份票据且通过询问统一身份认证服务器判断身份票据合法，则对用户请求放行，同时设置用户状态为已登录；如果用户没有身份票据或者身份票据不合法，则过滤器将拒绝用户的请求，并将用户重定向至统一身份认证服务器的登录界面；统一身份认证服务器，用于对用户进行密码验证，验证通过后，由统一身份认证服务器通过SSL安全通道向用户发放登录其他应用系统的一次性加密身份票据和服务票据；异构系统信息共享数据库，用于多个异构信息系统间的用户身份信息同步交互、共享存储和用户的角色权限信息统一管理存储；应用系统安全代理服务器，用于收到用户提供的身份票据后，向统一身份认证服务器求证票据的合法性，如果统一身份认证服务器返回票据合法信息，则应用系统安全代理服务器确认用户合法。2.根据权利要求1所述的集成异构舰载信息系统的统...

【专利技术属性】
技术研发人员：岳林，王奕，项国富，许嘉，王玫，
申请(专利权)人：中国舰船研究设计中心，
类型：发明
国别省市：湖北,42