一種電子政務(wù)綜合應(yīng)用平臺(tái)及方法
【專利摘要】一種電子政務(wù)綜合應(yīng)用平臺(tái)及方法�����,涉及涉密電子政務(wù)平臺(tái)領(lǐng)域包括:基礎(chǔ)設(shè)施層����,用于利用統(tǒng)一的認(rèn)證及授權(quán)中心;信息資源層�����,用于管理各類業(yè)務(wù)數(shù)據(jù)庫(kù)和基礎(chǔ)數(shù)據(jù)�;辦公業(yè)務(wù)層對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行保護(hù);數(shù)據(jù)交換層���,銜接信息資源層和辦公業(yè)務(wù)層之間進(jìn)行交換�;公共服務(wù)層�����,用于辦公信息的處理和發(fā)布�����;可信計(jì)算機(jī)通過管理員與終端管理客戶端進(jìn)行認(rèn)證授權(quán)�����;管理員對(duì)可信計(jì)算機(jī)中需要應(yīng)用的功能授權(quán)����;通過管理權(quán)限平臺(tái)對(duì)用戶有權(quán)進(jìn)入的子系統(tǒng)進(jìn)行權(quán)限的分配;用戶進(jìn)入已授權(quán)的子系統(tǒng)����,通過SSO、UUM和UPM與子系統(tǒng)內(nèi)所用應(yīng)用能認(rèn)證����。本發(fā)明具有等多重安全保障措施,提高電子政務(wù)系統(tǒng)的建設(shè)和運(yùn)行效率�。
【專利說明】一種電子政務(wù)綜合應(yīng)用平臺(tái)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及涉密電子政務(wù)平臺(tái)領(lǐng)域,具體來講是一種電子政務(wù)綜合應(yīng)用平臺(tái)及方法�。
【背景技術(shù)】
[0002]電子政務(wù)建設(shè)是中國(guó)深化改革、擴(kuò)大開放的必然要求���,是中國(guó)加入世界貿(mào)易組織的必然要求�,是中國(guó)提高國(guó)家信息化水平的必然要求�����,是發(fā)展信息產(chǎn)業(yè)����、拉動(dòng)內(nèi)需的必然要求。
[0003]經(jīng)過近幾年的不懈努力,電子政務(wù)已經(jīng)逐步成為中國(guó)信息化的龍頭和全國(guó)各級(jí)政府工作中的重要內(nèi)容�。目前,電子政務(wù)開始向政府部門之間����、政府與企業(yè)、政府與公眾之間信息互動(dòng)的更高層次發(fā)展��,如專業(yè)化的政府服務(wù)網(wǎng)站日益增多��,服務(wù)內(nèi)容更加豐富����,功能也不斷增強(qiáng),互動(dòng)性得到了很大提高�����。中央與地方的工商�、海關(guān)��、國(guó)稅和地稅等部門也紛紛推出各種網(wǎng)上辦公業(yè)務(wù)���。在中央政府的積極推動(dòng)下�����,中國(guó)電子政務(wù)建設(shè)取得了一定的進(jìn)展���,但電子政務(wù)建設(shè)在不同地區(qū)����、不同部門發(fā)展很不平衡�����,迄今為止����,依然存在著許多問題阻礙著中國(guó)電子政務(wù)的建設(shè)與發(fā)展。我國(guó)在電子政務(wù)的建設(shè)過程中信息安全體系不健全�����,大多數(shù)沒有安全保障措施�,或者僅有單一的安全保障措施,對(duì)信息數(shù)據(jù)的保護(hù)力度不夠����。另外,由于政務(wù)系統(tǒng)所包含的內(nèi)容繁多,電子政務(wù)綜合應(yīng)用平臺(tái)的建設(shè)效率���,以及政務(wù)系統(tǒng)的運(yùn)行效率也不盡人意�����。
【發(fā)明內(nèi)容】
[0004]針對(duì)現(xiàn)有技術(shù)中存在的缺陷����,本發(fā)明的目的在于提供一種電子政務(wù)綜合應(yīng)用平臺(tái)及方法�,具有等多重安全保障措施,提高電子政務(wù)系統(tǒng)的建設(shè)和運(yùn)行效率���。
[0005]為達(dá)到以上目的����,本發(fā)明提供一種電子政務(wù)綜合應(yīng)用平臺(tái)�,包括:基礎(chǔ)設(shè)施層,用于利用統(tǒng)一的認(rèn)證及授權(quán)中心�,完成各個(gè)業(yè)務(wù)應(yīng)用的身份驗(yàn)證以及有效授權(quán);信息資源層����,用于管理各類業(yè)務(wù)數(shù)據(jù)庫(kù)和基礎(chǔ)數(shù)據(jù),其中關(guān)鍵的數(shù)據(jù)字段加密��;辦公業(yè)務(wù)層�,包括權(quán)限管理平臺(tái)和安全域訪問控制系統(tǒng),權(quán)限管理平臺(tái)實(shí)現(xiàn)用戶和權(quán)限的統(tǒng)一管理�;安全域訪問控制系統(tǒng)為提供安全支撐服務(wù),對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行保護(hù)��;數(shù)據(jù)交換層�����,銜接信息資源層和辦公業(yè)務(wù)層之間進(jìn)行交換���,包括安全應(yīng)用支撐層��,采用PKI技術(shù)為用戶提供安全保障���,通過數(shù)字證書的用戶身份認(rèn)證對(duì)文檔數(shù)據(jù)進(jìn)行數(shù)字簽名,對(duì)在網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密文檔進(jìn)行加密�;公共服務(wù)層,用于辦公信息的處理和發(fā)布��,與互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間物理隔離��。
[0006]在上述技術(shù)方案的基礎(chǔ)上,所述基礎(chǔ)設(shè)施層包括可信計(jì)算機(jī)��,通過一機(jī)一卡以及一人一 key的方式�����,采用統(tǒng)一的用戶管理以及資源授權(quán)管理�����。
[0007]在上述技術(shù)方案的基礎(chǔ)上��,所屬述基礎(chǔ)設(shè)施層包括服務(wù)器�����,服務(wù)器采用集中式或集群式模式���,集中式通過整合功能強(qiáng)大的服務(wù)器取代多個(gè)小型服務(wù)器��;集群式將多個(gè)服務(wù)器用集群的方式鏈接起來����,形成一個(gè)服務(wù)器群體���,將運(yùn)行任務(wù)分布到各個(gè)服務(wù)器上�。
[0008]在上述技術(shù)方案的基礎(chǔ)上��,所述信息資源層使用加密系統(tǒng)對(duì)廣域網(wǎng)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密���,定期對(duì)數(shù)據(jù)進(jìn)行備份�。
[0009]在上述技術(shù)方案的基礎(chǔ)上�,所述數(shù)據(jù)交換層提供統(tǒng)一的數(shù)據(jù)交換標(biāo)準(zhǔn)接口,實(shí)現(xiàn)跨平臺(tái)��、支持異構(gòu)數(shù)據(jù)庫(kù)�、數(shù)據(jù)共享和交換。
[0010]在上述技術(shù)方案的基礎(chǔ)上�����,所述辦公業(yè)務(wù)層是政府內(nèi)部的電子辦公環(huán)境���,該環(huán)境中的所有信息都只能在政府內(nèi)部流通�。
[0011]在上述技術(shù)方案的基礎(chǔ)上�����,所述權(quán)限管理平臺(tái)采用B/S架構(gòu)、JAVA技術(shù)體系實(shí)現(xiàn)�����,底層默認(rèn)采用LDAP目錄信息存儲(chǔ)����。
[0012]在上述技術(shù)方案的基礎(chǔ)上,所述安全域訪問控制系統(tǒng)包括控制臺(tái)程序�、客戶端程序和安全網(wǎng)關(guān)主機(jī),控制臺(tái)程序用于對(duì)安全網(wǎng)關(guān)主機(jī)進(jìn)行管理�����,設(shè)置各安全域的網(wǎng)絡(luò)訪問控制策略及實(shí)現(xiàn)客戶端的相關(guān)安全管理功能����;客戶端程序安裝于客戶端主機(jī)上,采用特定的數(shù)據(jù)包格式與安全網(wǎng)關(guān)主機(jī)及其它客戶端主機(jī)進(jìn)行網(wǎng)絡(luò)通信�����;安全網(wǎng)關(guān)主機(jī)安全隔離不同的安全域�����,存儲(chǔ)和轉(zhuǎn)發(fā)各安全域的網(wǎng)絡(luò)訪問控制策略及客戶端日志,實(shí)現(xiàn)不同安全域之間的訪問控制�����。
[0013]本發(fā)明還提供一種電子政務(wù)綜合應(yīng)用方法��,應(yīng)用平臺(tái)的基礎(chǔ)設(shè)施層包括可信計(jì)算機(jī)和服務(wù)器�����,包括步驟:S1.可信計(jì)算機(jī)安裝SSO代理�,服務(wù)器安裝終端管理客戶端�,可信計(jì)算機(jī)通過管理員與終端管理客戶端進(jìn)行認(rèn)證授權(quán);S2.基礎(chǔ)設(shè)施層判斷可信計(jì)算機(jī)是否已在安全域訪問控制系統(tǒng)認(rèn)證完畢�����,若是���,進(jìn)入S3 ;若否����,進(jìn)入SI �;S3.管理員訪問辦公業(yè)務(wù)層內(nèi)的權(quán)限管理平臺(tái)�,對(duì)可信計(jì)算機(jī)中需要應(yīng)用的功能授權(quán)�����;S4.管理員通過辦公業(yè)務(wù)層進(jìn)入電子政務(wù)綜合應(yīng)用平臺(tái)�,通過管理權(quán)限平臺(tái)對(duì)用戶有權(quán)進(jìn)入的子系統(tǒng)進(jìn)行權(quán)限的分配;
S5.用戶進(jìn)入已授權(quán)的子系統(tǒng)�����,通過SS0��、UUM和UPM與子系統(tǒng)內(nèi)所用應(yīng)用能認(rèn)證����。
[0014]在上述技術(shù)方案的基礎(chǔ)上,SI中�,所述可信計(jì)算機(jī)配置一張管理員卡和至少一張用戶卡,所述管理員卡和用戶卡均預(yù)先注冊(cè)�,管理員使用管理員卡通過可信計(jì)算機(jī),對(duì)用戶卡授予不同權(quán)限��。
[0015]本發(fā)明的有益效果在于:
[0016]電子政務(wù)綜合應(yīng)用平臺(tái)通過每層的加密����、多重認(rèn)證等方式���,實(shí)現(xiàn)以信息安全為基礎(chǔ),以數(shù)據(jù)交換為核心�,以標(biāo)準(zhǔn)化、規(guī)范化為紐帶的涉密電子政務(wù)系統(tǒng)���,具有更好的安全性�����,提高了安全保障措施。應(yīng)用系統(tǒng)的靈活性強(qiáng)����,可以隨時(shí)根據(jù)業(yè)務(wù)功能需求,集成新的業(yè)務(wù)子系統(tǒng)���,節(jié)約系統(tǒng)建設(shè)成本����。
【專利附圖】
【附圖說明】
[0017]圖1為本發(fā)明電子政務(wù)綜合應(yīng)用平臺(tái)示意圖�;
[0018]圖2為本發(fā)明電子政務(wù)綜合應(yīng)用方法流程圖。
【具體實(shí)施方式】
[0019]以下結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明。
[0020]如圖1所示�,本發(fā)明電子政務(wù)綜合應(yīng)用平臺(tái),與用戶相互通信���,包括基礎(chǔ)設(shè)施層���、信息資源層、辦公業(yè)務(wù)層�����、數(shù)據(jù)交換層和公共服務(wù)層����。
[0021]所述基礎(chǔ)設(shè)施層用于利用統(tǒng)一的認(rèn)證及授權(quán)中心,完成各個(gè)業(yè)務(wù)應(yīng)用的身份驗(yàn)證以及有效授權(quán)�����?�;A(chǔ)設(shè)施層包括基礎(chǔ)安全服務(wù)設(shè)施���、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施�����、網(wǎng)絡(luò)安全支撐平臺(tái)產(chǎn)品和容災(zāi)備份系統(tǒng)�,還具有獨(dú)占傳輸網(wǎng)絡(luò)、專用傳輸網(wǎng)絡(luò)�����、共享傳輸網(wǎng)絡(luò)�����。所述基礎(chǔ)設(shè)施層基于可信計(jì)算機(jī)和服務(wù)器����,可信計(jì)算機(jī)通過一機(jī)一卡以及一人一 key的方式��,采用統(tǒng)一的用戶管理以及資源授權(quán)管理�����,實(shí)現(xiàn)電子政務(wù)綜合應(yīng)用平臺(tái)下�����,不同用戶的、不同訪問資源權(quán)限的統(tǒng)一管理����。其中每一臺(tái)可信計(jì)算機(jī)配置一張管理員卡和至少一張用戶卡,所述管理員卡和用戶卡均預(yù)先注冊(cè)�����,可信計(jì)算機(jī)預(yù)先授權(quán)�。所述服務(wù)器采用集中式或集群式模式,集中式通過整合功能強(qiáng)大的服務(wù)器取代多個(gè)小型服務(wù)器�����;集群式將多個(gè)服務(wù)器用集群的方式鏈接起來��,形成一個(gè)服務(wù)器群體���,將運(yùn)行任務(wù)分布到各個(gè)服務(wù)器上���。所述基礎(chǔ)安全服務(wù)設(shè)施的建設(shè)還包括防火墻系統(tǒng)、病毒防護(hù)系統(tǒng)����、入侵檢系統(tǒng)�、日志及審計(jì)系統(tǒng)���、安全管理系統(tǒng)�、數(shù)據(jù)備份以及容錯(cuò)容災(zāi)系統(tǒng)�����、機(jī)房物理安全系統(tǒng)��。
[0022]所述信息資源層是系統(tǒng)中數(shù)據(jù)存儲(chǔ)的區(qū)域����,數(shù)據(jù)來源于數(shù)據(jù)源建構(gòu)(黨、政��、軍系統(tǒng)OA數(shù)據(jù)采集���、新增業(yè)務(wù)系統(tǒng)需求分析和數(shù)據(jù)收集)包含數(shù)據(jù)的存儲(chǔ)與處理�,用于管理各類業(yè)務(wù)數(shù)據(jù)庫(kù)和基礎(chǔ)數(shù)據(jù)��,其中關(guān)鍵的數(shù)據(jù)字段加密���,防止涉密信息或其他敏感信息泄漏���。信息資源層包括安全應(yīng)用支撐層,安全應(yīng)用支撐層根據(jù)該層的數(shù)據(jù)支持��,完成相應(yīng)的數(shù)據(jù)交換���。信息資源層對(duì)在廣域網(wǎng)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密����,以保證數(shù)據(jù)的機(jī)密性和完整性�,防止不法分子竊取和篡改數(shù)據(jù)。并且期對(duì)數(shù)據(jù)進(jìn)行備份����,防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失。
[0023]辦公業(yè)務(wù)層是政府內(nèi)部的電子辦公環(huán)境��,該環(huán)境中的所有信息都只能在政府內(nèi)部流通�����。辦公業(yè)務(wù)層內(nèi)的應(yīng)用系統(tǒng)與電子政務(wù)綜合應(yīng)用平臺(tái)處于“松耦合”關(guān)系�,具有高度的可靠性和很強(qiáng)的擴(kuò)展能力。辦公業(yè)務(wù)層包括權(quán)限管理平臺(tái)�����,實(shí)現(xiàn)電子政務(wù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)中用戶和權(quán)限的統(tǒng)一管理,采用B/S架構(gòu)����、JAVA技術(shù)體系建立統(tǒng)一用戶權(quán)限及信息支持平臺(tái),底層默認(rèn)采用LDAP目錄信息存儲(chǔ)���,能滿足對(duì)不同領(lǐng)域的權(quán)限管理的需求�。通過辦公業(yè)務(wù)層可以構(gòu)建不同層次的應(yīng)用安全體系�����,在權(quán)限設(shè)計(jì)中引入RBAC(Role-Based AccessControl,以角色基礎(chǔ)的訪問控制)和ACL(Access Control List,訪問控制列表)等多種授權(quán)模型�����,實(shí)現(xiàn)授權(quán)可配置化�,使權(quán)限控制更靈活,提高系統(tǒng)的安全性����、可靠性、擴(kuò)展性和伸縮性�����。
[0024]辦公業(yè)務(wù)層還包括安全域訪問控制系統(tǒng)����,基于控制臺(tái)程序、客戶端程序和安全網(wǎng)關(guān)主機(jī)三部分組成��??刂婆_(tái)程序用于對(duì)安全網(wǎng)關(guān)主機(jī)進(jìn)行管理,設(shè)置各安全域的網(wǎng)絡(luò)訪問控制策略及實(shí)現(xiàn)客戶端的相關(guān)安全管理功能���,查閱日志�����?��?蛻舳顺绦虬惭b于可信計(jì)算機(jī)上,采用特定的數(shù)據(jù)包格式與安全網(wǎng)關(guān)及其它客戶端主機(jī)進(jìn)行網(wǎng)絡(luò)通信�,并接收安全網(wǎng)關(guān)主機(jī)下發(fā)的安全策略。安全網(wǎng)關(guān)主機(jī)作為邊界安全防護(hù)設(shè)備����,安全隔離不同的安全域�,存儲(chǔ)和轉(zhuǎn)發(fā)各安全域的網(wǎng)絡(luò)訪問控制策略及客戶端日志��,實(shí)現(xiàn)不同安全域之間的訪問控制����。同時(shí)用于對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行保護(hù),只有已經(jīng)授權(quán)的可信計(jì)算機(jī)才能訪問服務(wù)器��。
[0025]數(shù)據(jù)交換層銜接數(shù)據(jù)層和辦公業(yè)務(wù)層之間進(jìn)行交換����,辦公業(yè)務(wù)層能夠?qū)?shù)據(jù)交換層的內(nèi)容進(jìn)行展現(xiàn),通過可信數(shù)據(jù)交換平臺(tái)���,使用統(tǒng)一的數(shù)據(jù)交換標(biāo)準(zhǔn)接口及數(shù)據(jù)格式���,實(shí)現(xiàn)了跨平臺(tái)、支持異構(gòu)數(shù)據(jù)庫(kù)���、實(shí)時(shí)快速的數(shù)據(jù)共享和交換功能�����,為整合內(nèi)網(wǎng)不同部門的基于不同操作平臺(tái)和數(shù)據(jù)庫(kù)類型的應(yīng)用提供了重要的處理接口標(biāo)準(zhǔn)���。
[0026]數(shù)據(jù)交換層還包括安全應(yīng)用支撐層����,采用PKI技術(shù)為用戶提供安全保障�����,通過數(shù)字證書的用戶身份認(rèn)證對(duì)文檔數(shù)據(jù)進(jìn)行數(shù)字簽名�����,對(duì)在網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密文檔進(jìn)行加密�����。采用PKI (公開密鑰基礎(chǔ)設(shè)施)技術(shù)制作數(shù)字證書���,為用戶通過可信計(jì)算機(jī)收發(fā)電子郵件、訪問Web站點(diǎn)�、電子文件傳遞等應(yīng)用提供了安全保障。利用基于數(shù)字證書的用戶身份認(rèn)證技術(shù)對(duì)日常管理工作中的文檔數(shù)據(jù)進(jìn)行數(shù)字簽名����,確保文檔數(shù)據(jù)信息的完整性���,確認(rèn)文檔數(shù)據(jù)的真實(shí)來源;利用基于數(shù)字證書的數(shù)據(jù)加密技術(shù)對(duì)在網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密文檔進(jìn)行加密�,防止涉密文件或其他敏感信息泄漏。同時(shí)��,數(shù)字證書的密鑰管理是通過便于攜帶的PKI key實(shí)現(xiàn)�����,可以有效的識(shí)別操作者�,是目前電子政務(wù)網(wǎng)上最有效的身份認(rèn)證手段。通過以版式文件作為公文載體�,以電子公章來模擬實(shí)際公章,并且加以控制打印��、下載等途徑來切實(shí)解決和保證了公文的權(quán)威性���。更好的實(shí)現(xiàn)跨單位�、跨部門��、跨地區(qū)的無紙化辦公����,使得政令上通下達(dá)����,反應(yīng)更迅速�����。
[0027]公共服務(wù)層用于政府部門辦公信息的處理和發(fā)布���,與互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間物理隔離。公共服務(wù)層采用了標(biāo)簽鑒別技術(shù)���,通過對(duì)終端(可信計(jì)算機(jī))活性標(biāo)簽的識(shí)別與處理�����,實(shí)現(xiàn)在基礎(chǔ)設(shè)施層基于信息流的單向訪問控制�。公共服務(wù)層滿足了在不同密級(jí)信息系統(tǒng)之間��,保證高密級(jí)信息不能流向低密級(jí)信息系統(tǒng)��;不同等級(jí)信息系統(tǒng)之間�����,保證高等級(jí)信息受控流向低等級(jí)信息系統(tǒng)的安全要求。通過對(duì)終端的應(yīng)用系統(tǒng)進(jìn)行完整性校驗(yàn)并生成應(yīng)用標(biāo)簽���,以及對(duì)應(yīng)用標(biāo)簽的識(shí)別與處理技術(shù)�����,實(shí)現(xiàn)對(duì)指定的應(yīng)用數(shù)據(jù)進(jìn)行安全交換���。
[0028]如圖2所示,本發(fā)明電子政務(wù)綜合應(yīng)用方法如下:
[0029]S1.可信計(jì)算機(jī)安裝SSO (Single Sign On����,單點(diǎn)登錄)代理,服務(wù)器安裝終端管理客戶端����,可信計(jì)算機(jī)通過管理員與終端管理客戶端進(jìn)行認(rèn)證授權(quán);所述可信計(jì)算機(jī)配置一張管理員卡和至少一張用戶卡�����,所述管理員卡和用戶卡均預(yù)先注冊(cè)����,管理員使用管理員卡通過可信計(jì)算機(jī)�����,對(duì)用戶卡授予不同權(quán)限��。
[0030]S2.基礎(chǔ)設(shè)施層判斷可信計(jì)算機(jī)及是否已在安全域訪問控制系統(tǒng)認(rèn)證完畢�����,若是����,進(jìn)入S3 ;若否��,進(jìn)入SI���。
[0031]S3.管理員訪問辦公業(yè)務(wù)層內(nèi)的權(quán)限管理平臺(tái),對(duì)可信計(jì)算機(jī)中需要應(yīng)用的功能授權(quán)�����,其中包括可信計(jì)算機(jī)中所有能夠使用的功能�。
[0032]S4.管理員通過辦公業(yè)務(wù)層進(jìn)入電子政務(wù)綜合應(yīng)用平臺(tái)����,通過管理權(quán)限平臺(tái)對(duì)用戶有權(quán)進(jìn)入的子系統(tǒng)進(jìn)行權(quán)限的分配���,因?yàn)槊總€(gè)子系統(tǒng)對(duì)應(yīng)用戶不同�,有些用戶無法進(jìn)入沒有權(quán)限的子系統(tǒng)�。
[0033]S5.用戶進(jìn)入已授權(quán)的子系統(tǒng),通過SS0����、UUM和UPM與子系統(tǒng)內(nèi)所用應(yīng)用認(rèn)證。其中���,用戶認(rèn)證通過后�����,被訪問的Portlet (容器管理)將被激活�����,去訪問SS0��,SS0收到訪問應(yīng)用的請(qǐng)求時(shí)���,將通過Portlet傳遞過來的用戶憑證得到用戶的信息����,然后到用戶存儲(chǔ)庫(kù)中得到該用戶的應(yīng)用級(jí)授權(quán)和訪問該應(yīng)用的映射ID ;發(fā)送用戶憑證給應(yīng)用��,此時(shí)的用戶憑證由SSO生成����,實(shí)際的應(yīng)用據(jù)發(fā)過來的用戶信息,對(duì)用戶進(jìn)行認(rèn)證�����,主要是認(rèn)證用戶的憑證是否有效�。認(rèn)證通過后,對(duì)該用戶進(jìn)行授權(quán)��,此處的授權(quán)大多是由應(yīng)用系統(tǒng)自己來維護(hù)的��。
[0034]本發(fā)明不局限于上述實(shí)施方式�,對(duì)于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前提下�,還可以做出若干改進(jìn)和潤(rùn)飾���,這些改進(jìn)和潤(rùn)飾也視為本發(fā)明的保護(hù)范圍之內(nèi)。本說明書中未作詳細(xì)描述的內(nèi)容屬于本領(lǐng)域?qū)I(yè)技術(shù)人員公知的現(xiàn)有技術(shù)���。
【權(quán)利要求】
1.一種電子政務(wù)綜合應(yīng)用平臺(tái)��,其特征在于�����,包括: 基礎(chǔ)設(shè)施層����,用于利用統(tǒng)一的認(rèn)證及授權(quán)中心�,完成各個(gè)業(yè)務(wù)應(yīng)用的身份驗(yàn)證以及有效授權(quán); 信息資源層���,用于管理各類業(yè)務(wù)數(shù)據(jù)庫(kù)和基礎(chǔ)數(shù)據(jù)���,其中關(guān)鍵的數(shù)據(jù)字段加密; 辦公業(yè)務(wù)層�,包括權(quán)限管理平臺(tái)和安全域訪問控制系統(tǒng),權(quán)限管理平臺(tái)實(shí)現(xiàn)用戶和權(quán)限的統(tǒng)一管理����;安全域訪問控制系統(tǒng)為提供安全支撐服務(wù)����,對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行保護(hù)���; 數(shù)據(jù)交換層���,銜接信息資源層和辦公業(yè)務(wù)層之間進(jìn)行交換,包括安全應(yīng)用支撐層����,采用PKI技術(shù)為用戶提供安全保障,通過數(shù)字證書的用戶身份認(rèn)證對(duì)文檔數(shù)據(jù)進(jìn)行數(shù)字簽名�,對(duì)在網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密文檔進(jìn)行加密; 公共服務(wù)層�,用于辦公信息的處理和發(fā)布,與互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間物理隔離�。
2.如權(quán)利要求1所述的電子政務(wù)綜合應(yīng)用平臺(tái),其特征在于:所述基礎(chǔ)設(shè)施層包括可信計(jì)算機(jī)��,通過一機(jī)一卡以及一人一 key的方式�����,采用統(tǒng)一的用戶管理以及資源授權(quán)管理���。
3.如權(quán)利要求2所述的電子政務(wù)綜合應(yīng)用平臺(tái)����,其特征在于:所屬述基礎(chǔ)設(shè)施層包括服務(wù)器���,服務(wù)器采用集中式或集群式模式���,集中式通過整合功能強(qiáng)大的服務(wù)器取代多個(gè)小型服務(wù)器;集群式將多個(gè)服務(wù)器用集群的方式鏈接起來�����,形成一個(gè)服務(wù)器群體�,將運(yùn)行任務(wù)分布到各個(gè)服務(wù)器上。
4.如權(quán)利要求1所述的電子政務(wù)綜合應(yīng)用平臺(tái)�����,其特征在于:所述信息資源層使用加密系統(tǒng)對(duì)廣域網(wǎng)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密��,定期對(duì)數(shù)據(jù)進(jìn)行備份。
5.如權(quán)利要求1所述的電子政務(wù)綜合應(yīng)用平臺(tái)�����,其特征在于:所述數(shù)據(jù)交換層提供統(tǒng)一的數(shù)據(jù)交換標(biāo)準(zhǔn)接口��,實(shí)現(xiàn)跨平臺(tái)�����、支持異構(gòu)數(shù)據(jù)庫(kù)��、數(shù)據(jù)共享和交換��。
6.如權(quán)利要求1所述的電子政務(wù)綜合應(yīng)用平臺(tái)��,其特征在于:所述辦公業(yè)務(wù)層是政府內(nèi)部的電子辦公環(huán)境���,該環(huán)境中的所有信息都只能在政府內(nèi)部流通��。
7.如權(quán)利要求1所述的電子政務(wù)綜合應(yīng)用平臺(tái)����,其特征在于:所述權(quán)限管理平臺(tái)采用B/S架構(gòu)���、JAVA技術(shù)體系實(shí)現(xiàn)����,底層默認(rèn)采用LDAP目錄信息存儲(chǔ)����。
8.如權(quán)利要求1所述的電子政務(wù)綜合應(yīng)用平臺(tái),其特征在于:所述安全域訪問控制系統(tǒng)包括控制臺(tái)程序�、客戶端程序和安全網(wǎng)關(guān)主機(jī),控制臺(tái)程序用于對(duì)安全網(wǎng)關(guān)主機(jī)進(jìn)行管理���,設(shè)置各安全域的網(wǎng)絡(luò)訪問控制策略及實(shí)現(xiàn)客戶端的相關(guān)安全管理功能�;客戶端程序安裝于客戶端主機(jī)上�����,采用特定的數(shù)據(jù)包格式與安全網(wǎng)關(guān)主機(jī)及其它客戶端主機(jī)進(jìn)行網(wǎng)絡(luò)通信���;安全網(wǎng)關(guān)主機(jī)安全隔離不同的安全域���,存儲(chǔ)和轉(zhuǎn)發(fā)各安全域的網(wǎng)絡(luò)訪問控制策略及客戶端日志,實(shí)現(xiàn)不同安全域之間的訪問控制��。
9.一種基于權(quán)利要求1應(yīng)用平臺(tái)的電子政務(wù)綜合應(yīng)用方法,應(yīng)用平臺(tái)的基礎(chǔ)設(shè)施層包括可信計(jì)算機(jī)和服務(wù)器���,其特征在于��,包括步驟: s1.可信計(jì)算機(jī)安裝SSO代理���,服務(wù)器安裝終端管理客戶端,可信計(jì)算機(jī)通過管理員與終端管理客戶端進(jìn)行認(rèn)證授權(quán)���; s2.基礎(chǔ)設(shè)施層判斷可信計(jì)算機(jī)是否已在安全域訪問控制系統(tǒng)認(rèn)證完畢�����,若是����,進(jìn)入S3 ;若否�����,進(jìn)入SI �; s3.管理員訪問辦公業(yè)務(wù)層內(nèi)的權(quán)限管理平臺(tái),對(duì)可信計(jì)算機(jī)中需要應(yīng)用的功能授權(quán)��; s4.管理員通過辦公業(yè)務(wù)層進(jìn)入電子政務(wù)綜合應(yīng)用平臺(tái),通過管理權(quán)限平臺(tái)對(duì)用戶有權(quán)進(jìn)入的子系統(tǒng)進(jìn)行權(quán)限的分配����; S5.用戶進(jìn)入已授權(quán)的子系統(tǒng),通過SSO�����、UUM和UPM與子系統(tǒng)內(nèi)所用應(yīng)用能認(rèn)證��。
10.如權(quán)利要求9所述的電子政務(wù)綜合應(yīng)用方法����,其特征在于:S1中��,所述可信計(jì)算機(jī)配置一張管理員卡和至少一張用戶卡�,所述管理員卡和用戶卡均預(yù)先注冊(cè),管理員使用管理員卡通過可信計(jì)算機(jī)�����,對(duì)用戶卡授予不同權(quán)限���。
【文檔編號(hào)】G06Q10/06GK103761600SQ201310750032
【公開日】2014年4月30日 申請(qǐng)日期:2013年12月30日 優(yōu)先權(quán)日:2013年12月30日
【發(fā)明者】李俊, 周益平, 別丹 申請(qǐng)人:武漢烽火信息集成技術(shù)有限公司