智慧交通统一应用架构与数据管理平台建设方案.docxVIP

智慧交通统一应用架构与数据管理平台建设方案 1.1.1.1.1基础支撑能力平台 1.1.11.1.1安全认证系统 L1.1.1.1.L1系统概述 安全认证系统是为一套体系下各系统的统一安全认证模块，负责用户信息的集中管理和集中 授权、鉴权、认证，是实现“一站式登录”的基础。“一站式登录”简单说，就是用户通过 一次性鉴别登录后，即可获得访问系统和应用软件的授权，在此条件下，管理员无需修改或 干涉用户登录就能方便的实施希望得到的安全控制。 1.1.1.1.1.1.2体系架构 安全认证中心由统一认证核心模块和增强模块组成，核心模块包括系统接入、身份认证、权 限管理、资源管理与信息同步模块；增强模块包括信息回显、入侵检测、动态口令管理以及 安全证书管理。其具体架构见如图： 面向用户/客户用户/客户分级与资源管理视图系统认证与渠道管理安全认证中心系统接入模块信息回显模块身份认证模块入侵检测模块权限管理模块动态口令管理资源管理模块U 面向用户/客户 用户/客户分级与资源管理视图 系统认证与渠道管理 安全认证中心 系统接入模块 信息回显模块 身份认证模块 入侵检测模块 权限管理模块 动态口令管理 资源管理模块 U?KEY管理 信息同步模块 安全证书管理 安全认证数据库 面向管理 操作人员架构与权限管理视图 系统认证与渠道管理 智慧交通基础支撑 体系 智能化综合交通管 控平台 多元化交通信息服 务平台 门户 接口 整合 接口 整合 接口 整合 系统架构图 系统功能 ＞系统接入 系统接入主要是指安全认证中心为指挥交通基础支撑体系、智能化综合交通管控平台、多元 化交通信息服务平台下的各应用系统及门户分配相应系统接入密钥及开放API,以便于各应 用接入至安全认证中心来。系统接入管理功能主要包含系统接入密钥管理及接入鉴权验证功 能。 ＞身份认证 身份认证即单点登录认证SSO (Single Sign On),采用业务组件的形式，以便于异构应用系 统，使用认证API调用原子服务来完成。用户在一点登录后，在访问不同的业务应用时无需 重复登录，做到一次登录，即可访问所有服务系统。平台门户接收用户的认证请求，将用户 请求信息发送到统一认证平台，由统一认证平台为合法用户生成用户身份凭证，并将凭证反 馈至平台门户，从而完成用户登录认证过程。 ＞权限管理 权限管理是指根据业务需要，对用户使用系统的资源的安全规则、安全策略的配置管理功能。 权限管理采用角色权限模型，包含用户管理、角色管理、角色资源管理以及用户角色管理等 功能。 ＞资源管理 资源管理是指将各平台及应用系统的功能操作、数据、图片、视频、文件等均作为资源进行 管理，并支持多种资源的组合设置，并将其相关配置信息保存至安全认证数据库中，由系统 管理员对各类资源进行分配和定义。其功能主要包含资源的新增、修改、删除以及查询等功 能，并支持多种资源的组合管理。 》信息同步 信息同步主要功能是制定相应的信息同步策略，通过实时接口、文件接口等方式，实现日常 信息变更同步、增量同步、定期全量数据同步。 信息同步主要是保证安全认证系统与相关业务系统、支撑系统的用户的基础信息、时间信息、 安全事件等数据的完整统一。 ＞入侵检测 入侵检测(Intrusion Detection)是对入侵行为的发觉行为，它通过对计算机网络或计算机 系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的 行为和被攻击的迹象，主要分为特征检测和异常检测两类。入侵检测在发现入侵后，会及时 作出响应，包括切断网络连接、记录事件和报警等应急措施。 ＞动态口令管理 动态口令管理主要是指对本系统的管理员及各类用户的动态密码令牌发放，注销，更换，挂 失，检验等功能，以及对动态口令算法规则管理和发布功能。 动态口令(Dynamic Password)也称一次性口令(One-time Password)□动态口令是变动的口 令，其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因 (two factor)：其一，为用户的私有密钥，它是代表用户身份的识别码，是固定不变的。其 二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变 动因子，形成了不同的动态口令认证技术：基于时间同步(Time Synchronous)认证技术、 基于事件同步(Event Synchronous)认证技术和挑战/应答方式的非同(Challenge/Response Asynchronous)认证技术。 ＞安全证书管理 安全证书是在进行网上交易时的身份证，是提高数据网上交易安全性的重要手段。安全证书 管理主要包含安全证书的生成与发布、注销、更换以及有效期管理等功能。 1.1.1.1.1.2数据共享交换