基础支撑层
统一身份认证（SSO）
统一身份认证解决用户在不同的应用之间需要多次登录的问题。

目前主要有两种方法，一种是建立在PKI，Kerbose和用户名/口令存储的基础上；一种是建立在cookie的基础上。

统一身份认证平台主要包括三大部分：统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库，具体方案如下图。

1、采用认证代理，加载到原有系统上，屏蔽或者绕过原有系统的认证。

2、认证代理对用户的认证在公共数据平台的认证服务器上进行，认证代理可以在认证服务器上取得用户的登录信息、权限信息等。

3、同时提供一个频道链接，用户登录后也可以直接访问系统，不需要二次认证。

4、对于认证代理无法提供的数据信息，可以通过访问Web Service接口来获得权限和数据信息。

单点登录认证的流程如下图所示：
单点登录只解决用户登录和用户能否有进入某个应用的权限问题，而在每个业务系统的权限则由各自的业务系统进行控制，也就是二次鉴权的思想，这种方式减少了系统的复杂性。

统一身份认证系统架构如下图所示。

统一系统授权
统一系统授权支撑平台环境中，应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册，将各应用系统的授权部分或全部地委托给支撑平台，从而实现统一权限管理，以及权限信息的共享，其注册原理如下图。

用户对各应用系统的访问权限存放在统一的权限信息库中。

用户在访问应用系统的时候，应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能，根据统一系统授权支撑平台返回的结果进行相应的处理，其原理如下图。

统一系统授权支撑平台的授权模型如下图所示。

在授权模型中采用了基于角色的授权方式，以满足权限管理的灵活性、可扩展性和可管理性的需求
块
统一系统授权支撑平台的系统结构如下图所示
统一系统审计
统一系统审计平台通过实时监控网络活动, 分析用户和系统的行为、审计系统、评估敏感系统和数据的完整性、对异常行为进行统计、跟踪识别违反安全法则的行为，使系统管理员可以有效地监控、评估系统。

统一系统审计平台目标是能够进行审计部署，实现对操作者、操作时间、操作对象和操作行为等信息的自
动记录，并提供这些信息的查询、统计等功能，达到检测不安全的操作行为的目的。

统一系统审计平台系统结构如下图。

统一信息平台
统一信息平台实现各种业务系统待办信息的整合。

用户登录内网门户系统后，系统自动根据登录的用户身份整理分类业务系统待办信息，通过门户系统展现给用户。

统一待办信息平台系统架构如图：
1.采用Webservice、XML为核心的数据交换方式。

各业务系统通过调用统一待
办信息平台所提供的Webservice消息服务接口，实现各业务系统与统一待办信息平台之间的消息传递。

2.统一待办信息平台消息传递的主要内容如表：
3.采用基于标准的WebService方式开放消息服务接口，未来接入的信息系统可
通过调用此接口快速实现待办信息整合。