信息系统自主可控是保障国家关键领域信息安全的重要手段,基于国产CPU、操作系统等国产基础软硬件设计的笔记本、台式机和服务器已经成功应用于党政军等许多重要领域。设计更高密度的自主刀片服务器,能够解决国产CPU性能较低与复杂业务系统性能需求日益增加之间的矛盾。自主刀片服务器采用国产CPU和国产操作系统,上面运行多种应用软件,这些应用软件相对独立,随着应用的增多和网络规模的扩大,给用户和管理员带来了诸多统一管理和安全认证问题。本文针对自主刀片服务器的可管理性需求,设计并实现了面向自主刀片服务器的统一用户管理系统(UUMS,Unified User Management System),该系统使用单点登录(SSO,Single Sign-On)技术,同时结合身份认证机制和统一用户管理功能,为系统分配和管理用户资源。本文的主要工作包括:1、针对用户验证信息跨域传输不可靠的问题,以及单点登录设计复杂与应用不兼容的问题,本文提出了基于Restful代理模型的跨域单点登录方法,综合运用SHA256加密算法与消息摘要的方式对票据进行加密传输,提高了用户在进行多应用切换时单点登录信息的不可伪造性,采用基于Restful接口的插件形式的客户端,用于第三方应用系统集成,降低了开发复杂性和成本,提高系统兼容性。2、针对单一因子身份认证方式带来的各种安全问题,本文提出了基于多因子多重认证的跨域身份认证方法,该方法结合口令认证、智能卡认证和数字证书认证等多因子认证的优点,并针对不同认证阶段采用不同因子认证的多重认证机制,在初次登录系统时使用PIN码和DN码来进行认证,在其他阶段使用用户名密码PIN码和DN码来进行认证。另外,针对不同的用户角色使用不同的证书认证,不仅克服了单一认证方式的安全隐患,而且有效防止了重放攻击和中间人攻击。3、设计实现了自主刀片服务器统一用户管理系统,采用二叉搜索树遍历数据结构的方法降低了组织架构数据存取的复杂度,采用PULL主动拉取数据的方式提高了用户数据同步的实效性。实测结果表明,该系统在国产飞腾CPU和麒麟操作系统上运行稳定且性能满足要求。