智慧交通统一应用架构与数据管理平台建设方案.doc

智慧交通统一应用架构与数据管理平台建设方案 基础支撑能力平台 安全认证系统 系统概述 安全认证系统是为一套体系下各系统的统一安全认证模块，负责用户信息的集中管理和集中授权、鉴权、认证，是实现“一站式登录”的基础。“一站式登录”简单说，就是用户通过一次性鉴别登录后，即可获得访问系统和应用软件的授权，在此条件下，管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。 体系架构 安全认证中心由统一认证核心模块和增强模块组成，核心模块包括系统接入、身份认证、权限管理、资源管理与信息同步模块；增强模块包括信息回显、入侵检测、动态口令管理以及安全证书管理。其具体架构见如图： 系统架构图 系统功能 系统接入 系统接入主要是指安全认证中心为指挥交通基础支撑体系、智能化综合交通管控平台、多元化交通信息服务平台下的各应用系统及门户分配相应系统接入密钥及开放API，以便于各应用接入至安全认证中心来。系统接入管理功能主要包含系统接入密钥管理及接入鉴权验证功能。 身份认证 身份认证即单点登录认证SSO（Single Sign On），采用业务组件的形式，以便于异构应用系统，使用认证API调用原子服务来完成。用户在一点登录后，在访问不同的业务应用时无需重复登录, 做到一次登录，即可访问所有服务系统。平台门户接收用户的认证请求，将用户请求信息发送到统一认证平台，由统一认证平台为合法用户生成用户身份凭证，并将凭证反馈至平台门户，从而完成用户登录认证过程。 权限管理 权限管理是指根据业务需要，对用户使用系统的资源的安全规则、安全策略的配置管理功能。权限管理采用角色权限模型，包含用户管理、角色管理、角色资源管理以及用户角色管理等功能。 资源管理 资源管理是指将各平台及应用系统的功能操作、数据、图片、视频、文件等均作为资源进行管理，并支持多种资源的组合设置，并将其相关配置信息保存至安全认证数据库中，由系统管理员对各类资源进行分配和定义。其功能主要包含资源的新增、修改、删除以及查询等功能，并支持多种资源的组合管理。 信息同步 信息同步主要功能是制定相应的信息同步策略，通过实时接口、文件接口等方式，实现日常信息变更同步、增量同步、定期全量数据同步。 信息同步主要是保证安全认证系统与相关业务系统、支撑系统的用户的基础信息、时间信息、安全事件等数据的完整统一。 入侵检测 入侵检测（Intrusion Detection）是对入侵行为的发觉行为，它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，主要分为特征检测和异常检测两类。入侵检测在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等应急措施。 动态口令管理 动态口令管理主要是指对本系统的管理员及各类用户的动态密码令牌发放，注销，更换，挂失，检验等功能，以及对动态口令算法规则管理和发布功能。 动态口令(Dynamic Password)也称一次性口令(One-time Password)。动态口令是变动的口令，其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子(two factor)：其一，为用户的私有密钥，它是代表用户身份的识别码，是固定不变的。其二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子，形成了不同的动态口令认证技术：基于时间同步（Time Synchronous）认证技术、基于事件同步（Event Synchronous）认证技术和挑战/应答方式的非同（Challenge/Response Asynchronous）认证技术。 安全证书管理 安全证书是在进行网上交易时的身份证，是提高数据网上交易安全性的重要手段。安全证书管理主要包含安全证书的生成与发布、注销、更换以及有效期管理等功能。 数据共享交换系统 系统概述 该系统主要为了实现本示范项目与政府其他部门的业务系统的数据交换共享功能。对多来源渠道的、相互不一致的数据进行数据融合处理。对实时数据和历史数据进行组织，以保证数据间关系的正确性、可理解性并避免数据冗余；以各种形式提供数据服务，采用分层次的方法对各类用户设置权限，使不同用户既能获得各自所需要的数据，又能确保数据传输过程的安全性及共享数据的互操作性和互用性。该系统主要提供可数据共享交换标准定义、流程定义、映射管理，数据共享管理、数据交换管理等功能。 体系架构 系统功能架构图 系统功能 数据共享交换中心管理 数据交换标准定义 根据对目标系统综合性应用内容的需求分析，定义出一系列的数据交换标准。这些标准将反映各个应用所需要的数据的结构。同时在标准中定义的还有数据“宿主”位置等信息，表示该块数据将向哪个业务系统请求获得。可以通过数据交换标准定义管理工具