统一身份认证平台讲解
统一身份认证平台设计方案
1)系统总体设计
为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.设计思想
为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:
内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。
建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。
用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。
1.2.平台介绍
以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。
如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
a)集中用户管理系统:完成各系统的用户信息整合,实现用户生
命周期的集中统一管理,并建立与各应用系统的同步机制,简
化用户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:集成证书注册服务(RA)和电子密钥
(USB-Key)管理功能,实现用户证书申请、审批、核发、更
新、吊销等生命周期管理功能,支持第三方电子认证服务。
c)集中认证管理系统:实现多业务系统的统一认证,支持数字证
书、动态口令、静态口令等多种认证方式;为企业提供单点登
录服务,用户只需要登录一次就可以访问所有相互信任的应用
系统。
d)集中授权管理系统:根据企业安全策略,采用基于角色的访问
控制技术,实现支持多应用系统的集中、灵活的访问控制和授
权管理功能,提高管理效率。
e)集中审计管理系统:提供全方位的用户管理、证书管理、认证
管理和授权管理的审计信息,支持应用系统、用户登录、管理
操作等审计管理。
1.3.功能总体架构
总体架构图如下所示:
说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。具体包含以下主要功能模块:
◆身份认证中心
◆存储企业用户目录,完成对用户身份、角色等信息的统一管理;
◆授权和访问管理系统;
◆用户的授权、角色分配;
◆访问策略的定制和管理;
◆用户授权信息的自动同步;
◆用户访问的实时监控、安全审计;
◆身份认证服务
◆身份认证前置为应用系统提供安全认证服务接口,中转认证和访
问请求;
◆身份认证服务完成对用户身份的认证和角色的转换;
◆访问控制服务
◆应用系统插件从应用系统获取单点登录所需的用户信息;
◆用户单点登录过程中,生成访问业务系统的请求,对敏感信息加
密签名;
◆CA中心及数字证书网上受理系统
◆用户身份认证和单点登录过程中所需证书的签发;
◆用户身份认证凭证(USB智能密钥)的制作。
1.4.平台总体部署
集中部署方式:所有模块部署在同一台服务器上,为企业提供统一信任管理服务。
部署方式主要是采用专有定制硬件服务设备,将集中帐户管理、集中授权管理、集中认证管理和集中审计管理等功能服务模块统一部署和安装在该硬件设备当中,通过连接外部服务区域当中的从LDAP 目录服务(现有AD目录服务)来完成对用户帐户的操作和管理。2)技术实现方案
2.1.技术原理
基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服
务,共享安全优势。
其原理如下:
a)每个信息资源配置一个访问代理,并为不同的代理分配不同的
数字证书,用来保证和系统服务之间的安全通信。
b)用户登录中心后,根据用户提供的数字证书确认用户的身份。
c)访问一个具体的信息资源时,系统服务用访问代理对应的数字
证书,把用户的身份信息机密后以数字信封的形式传递给相应
的信息资源服务器。
d)信息资源服务器在接受到数字信封后,通过访问代理,进行解
密验证,得到用户身份。根据用户身份,进行内部权限的认证。
2.2.统一身份认证
2.2.1.用户认证
统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识。如下图所示:
a.在通过平台统一认证后,可以从登录认证结果中获取平台用户证
书的序列号或平台用户ID;
b.再由其映射不同应用系统的用户账户;
c.最后用映射后的账户访问相应的应用系统;
当增加一个应用系统时,只需要增加平台用户证书序列号或平台用户ID与该应用系统账户的一个映射关系即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。
2.2.2.系统接入
应用系统接入平台的架构如下图所示:
系统提供两种应用系统接入方式,以快速实现单点登录:
a.反向代理(ReverseProxy)方式
应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合的应用系统,可以使用该方式接入统一用户管理平台。
反向代理技术:实现方式为松耦合,采用反向代理模块和单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
b.Plug-in方式
Plug-in:实现方式为紧耦合,采用集成插件的方式与单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
紧耦合方式提供多种API,通过简单调用即可实现单点登录(SSO)。
2.2.
3.统一权限管理
统一身份管理及访问控制系统的典型授权管理模型如下图所示:
用户授权的基础是对用户的统一管理,对于在用户信息库中新注册的用户,通过自动授权或手工授权方式,为用户分配角色、对应用系统的访问权限、应用系统操作权限,完成对用户的授权。如果用户在用户信息库中被删除,则其相应的授权信息也将被删除。
完整的用户授权流程如下:
1、用户信息统一管理,包括了用户的注册、用户信息变更、用户注销;
2、权限管理系统自动获取新增(或注销)用户信息,并根据设置自动分配(或删除)默认权限和用户角色;
3、用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权;
4、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP 目录服务)中;
5、用户登录到应用系统,由身份认证系统检验用户的权限信息并返回给应用系统,满足应用系统的权限要求可以进行操作,否则拒绝操作;
6、用户的授权信息和操作信息均被记录到日志中,可以形成完整的用户授权表、用户访问统计表。
2.2.4.安全通道
提供的安全通道是利用数字签名进行身份认证,采用数字信封进行信息加密的基于SSL协议的安全通道产品,实现了服务器端和客户端嵌入式的数据安全隔离机制。
安全通道的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成:
a.握手协议:这个协议负责协商用于客户机和服务器之间会话的加
密参数。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
b.记录协议:这个协议用于交换应用数据。应用程序消息被分割成
可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
c.警告协议:这个协议用于标示在什么时候发生了错误或两个主机
之间的会话在什么时候终止。
3)平台功能说明
平台主要提供集中用户管理、集中证书管理、集中认证管理、集中授权管理和集中审计等功能,总体功能模块如下图所示:
4)集中用户管理
随着企业整体信息化的发展,大致都经历了网络基础建设阶段、应用系统建设阶段,目前正面临着实现纳入到信息化环境中人员的统一管理和安全控制阶段。随着企业的网络基础建设的不断完善和应用
系统建设的不断扩展,在信息化促进业务加速发展的同时,企业信息化规模也在迅速扩大以满足业务的发展需要,更多的人员被融入信息化环境,由此突出反映的事件是无论是网络系统、业务系统、办公系统,其最终的主体将是企业内外的人员,每一为人员承担着使用、管理、授权、应用操作等角色。因此对于人员的可信身份的管理显得尤为重要,必将成为信息化发展的重中之重,只有加强人员的可信身份管理,才能做到大门的安全防护,才能为企业的管理、业务发展构建可信的信息化环境,特别是采用数字证书认证和应用后,完全可以做到全过程可信身份的管理,确保每个操作都是可信得、可信赖的。
集中用户管理系统主要是完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统用户管理的安全风险。
4.1.管理服务对象
集中用户管理主要面向企业内外部的人、资源等进行管理和提供服务,具体对象可以分为以下几类:
a)最终用户:自然人,包括自然人身份和相关信息。
b)主账号:与自然人唯一对应的身份标识,一个主账号只能与一个
自然人对应,而一个自然人可能存在多个主账号。
c)从账号:与具体角色对应,每一个应用系统内部设置的用户账号,
在统一信任管理平台中每个主账号可以拥有多个从帐号,也就是多种身份角色(即一个日然人在企业内部具备多套应用系统账号)。
d)资源:用户使用或管理的对象,主要是指应用系统及应用系统下
具体功能。
具体服务对象之间的映射对应关系如下图所示:
4.2.用户身份信息设计
4.2.1.用户类型
用户是访问资源的主体,人是最主要的用户类型:多数的业务由人发起,原始的数据由人输入,关键的流程由人控制。人又可再分为:
员工、外部用户。员工即中心的职员,是平台主要的关注的用户群体;外部用户是指以独立身分访问中心应用系统的其他用户如投标人、招标人、招标代理等。
4.2.2.身份信息模型
身份信息模型如下:
对各类用户身份建立统一的用户身份标识。用户身份标识是统一用户管理系统内部使用的标识,用于识别所有用户的身份信息。用户标识不同于员工号或身份证号,需要建立相应的编码规范。为了保证用户身份的真实、有效性,可以通过数字证书认证的方式进行身份鉴别并与用户身份标识进行唯一对应。
用户基本信息保存用户最主要的信息属性,由于其它系统中,如HR中还保留有用户更完整的信息,因此需要建立与这些系统的中信息的对照关系,所以需要保存用户在这些系统中用户信息的索引,便
于关联查询。
基于分权、分级的管理需要,用户身份信息需要将用户信息按照所属机构和岗位级别进行分类,便于划分安全管理域,将用户信息集中存储在总部,以及管理域的划分。
用户认证信息管理用户的认证方式及各种认证方式对应的认证信息,如用户名/口令,数字证书等。由于用户在各应用系统中各自具有账号和相关口令,为了保证在平台实施后可以使原有系统仍可以按照原有账号方式操作,需要建立用户标识与应用系统中账号的对照关系。
授权信息是对用户使用各系统的访问策略,给用户赋予系统中的角色和其它属性。
4.2.3.身份信息存储
为了方便对人员身份的管理,集中用户系统采用树形架构来进行人员组织架构的维护,存储方式主要采用LDAP。可以通过中心内部已有的人员信息管理系统当中根据策略进行读写操作,目前主要支持以下数据源类型:
a)Windows Active Directory(AD)
b)OpenLdap
c)IBM Directory Server(IDS)
4.3.用户生命周期管理
用户生命周期,主要关注的是用户的入职、用户账户创建、用户身份标识(数字证书的颁发)、用户属性变更、用户账户注销、用户
帐户归档等流程的自动化管理,这一管理流程又可称为用户生命周期管理,如下图所示:
由于要赋予用户可信的身份标识,所以需要通过数字证书认证的方式来实现,在用户生命周期管理过程中围绕用户包含了基于帐户的生命周期和数字证书的生命周期管理的内容。数字证书主要是与用户的主账户标识进行唯一绑定,在用户帐户的使用和属性变更过程中数字证书不需要发生任何改变,唯有在用户帐户进行注销和归档过程中,与其相匹配的数字证书也同样需要进行吊销和归档操作。
4.4.用户身份信息的维护
目前集中用户管理系统中对用户身份信息的维护主要以企业已存在的AD域和LDAP作为基础数据源,集中用户管理系统作为用户信息维护的主要入口,可以由人力资源部门的相应人员执行用户账户的创建、修改、删除、编辑、查询、以及数字证书的发放。AD域中的用户信息变动通过适配器被平台感知,并自动同步到平台用户身份
信息存储(目录服务器)中;平台的用户管理员也可以直接修改平台中集中存储的用户身份信息,再由平台同步到各个应用系统中。5)集中证书管理
集中证书管理功能主要是针对用户的CA系统,包括:
a)证书申请
b)证书制作
c)证书生命周期管理(有效期、审核、颁发、吊销、更新、查询、
归档)
d)证书有效性检查
集中证书管理功能集支持多种CA建设模式(自建和第三方服务)、多RA 集中管理、扩展性强等特性,从技术上及管理上以灵活的实现模式满足用户对证书集中管理的迫切需求,解决管理员对多平台进行操作及维护困难的问题。
5.1.集中证书管理功能特点
集中证书管理功能的实现就是通过集成证书注册服务(RA)和电子密钥(USB-Key)管理功能。
a.集中制证
集中制证主要结合本地数据源中的数据为用户进行集中制证,包括集中申请、自动审批。
通过CA的配置路径,访问指定的CA系统; CA系统签发数字证书并返回给管理员;
管理员将证书装入UBS Key,制证成功.将数字证书发送给最终用户。
b.证书生命周期管理
通过集中证书管理功能可实现对所制证书进行证书的生命周期管理,主要包括:证书的查询、吊销等,同时还可以实现对证书有效性的检查。
证书有效性检查,可支持与CA系统的CRL(证书掉销列表)服务联动及手动导入CRL列表。
用户通过证书认证方式登录“登录门户”;
将用户的证书信息(包括证书属性、有效期等)提交到“证书管理模块”;
服务检查证书信息,若有效,将有效值返回“证书管理模块”(若无效将值返回“证书管理模块”)
“证书管理模块”将有效值返回“登录门户”,用户通过认证。(若无效,用户登录失败);
用户通过认证,正常进入应用系统。
c.支持多种CA建设模式
d.多RA集中管理
在一个企业内,根据证书应用的需求,存在根CA下有多个子CA,即存在多个RA。通过平台与RA的集成,可支持与企业内的多RA 进行集成,实现单平台多RA的集中管理。
e.灵活扩展性
集中证书管理功能除了实现集中制证、证书生命周期管理功能,以及具有多RA管理、支持用户CA系统的自建和服务模式的特点,还具有灵活的扩展性。可实现与RA的完全集成,通过平台实现RA 的完全接管,实现证书处理、证书生命周期管理、证书审批、支持多种申请模式、RA日志管理、密钥管理、策略管理等。以满足更多用户对于集中证书管理的扩展性需求。
6)集中授权管理
6.1.集中授权管理应用背景
分析一些大型机构,发现机构内部各应用系统自身授权非常完善,但是从集中管理角度看,发现大型机构中的传统授权所存在如下问题:
a)系统权限分散:人员的流动及职位的变更,需要更改人员的系统
使用权限,而多个系统权限的分散,使管理员工作量增加,且容易带来安全漏洞。
b)应用系统的独立性:各种应用系统都使用独立的登录方式,员工
需要记忆所有应用系统的帐号、密码等,逐一登录,给工作带来极大的困扰,特别是对工作效率影响非常大,甚至简化记忆问题,所有应用系统统一使用相同的密码,由此为黑客或者木马程序提供机会,而对应用系统的安全防护带来极大地威胁。
集中授权的最大特点,就是集中在一个接口对组/角色进行资源的合理分配。集中授权的过程,就是集中对用户(组/角色)通过何种
方式(证书/口令)使用某种资源(应用/功能)的权限的分配。
员工入职,分配一个特定的原本已经隶属于某些角色/组的身份账户,统一入口登录,即可享有身份账户所属角色/组在中心应用系统中的所有权限;当职位变更时,只需更改身份账户所属角色/组,则所享有的权限也相应变化,而对应的应用系统资源的账户和权限不受任何影响,并且应用系统的安全性得到了极大提高,不会因为对应的业务系统因为没有中止用户应用权限而遭受安全风险。
通过集中授权的管理模式,有效地屏蔽了传统授权中存在的弊端,提高了管理效率,为企业营造一个安全、便捷的系统安全、可信的办公环境。
6.2.集中授权管理对象
集中授权主要是依赖于人,由授权系统管理者根据人的组织属性、角色属性,进行对应应用系统和资源的授权分配,从保证人与应用系统之间使用权限关系,最终实现,什么样的人、组织、角色能访问哪些应用系统和资源。
集中授权还可以依赖于应用系统为管理对象,然后针对该应用系统给人、组织、角色授予相应访问和操作权限,最终把应用系统和人进行权限关联,合理、有效地的访问控制策略,保证了什么样的应用系统和资源,能让怎样的人、组织、角色进行访问。
组:包括按照组织架构或特定功能划分的部门、工作组及个人用户。
通过以上两种方模式,可以对企业内部的人员、应用系统和资源
智慧校园统一身份认证技术分析
智慧校园统一身份认证技术分析 由于科技和信息的高速发展,校园智慧也达到了一个新的高度,多种信息智慧的应用的确为我们带来了极大地便利。与此同时,在我们进行应用的过程中也伴随着一些问题的出现,每次频繁的进行登录,应用过程中出现的漏洞,信息维护和反应的不及时,这些与我们信息智慧校园建设的初衷背离。健全和完善身份认证可以为用户减少很多不便,一套行之有效的认证方案确有必要。 标签:身份认证;智慧校园;技术分析;统一认证 智慧校园是建立在网络平台上的应用,是数字化的一种进步与发展,高校智慧校园简单来讲就是建立在校园网上的一种数字化,用户们登录不同的平台进行学习和生活,每次频繁的登录和进行认证,密码账号需要多次记忆给用户带来了不便,统一的身份认证就是要建立一套相互连接的认证系统,学生们在不同的地点进行登录时只需要统一的密码账号,这可以大大减少记忆,对于统一身份的安全问题,可以提供从简单的密码和签字指纹认证等多种不同的保护措施,建立安全高效的校园化统一认证。 1 统一身份认证必要性 要分析统一认证是否必要,我们可以从一下三点内容来进行分析: 1.1 用户使用不便 学生和老师不同登录地点需要多次登录,多个密码多次记忆用户在进入时需要进行身份的认证,多次认证,记忆密码可能会遗忘,有时在登录时可能会忘记密码而无法验证,举个简单的例子来讲,一位同学在图书馆需要认证,在校门进入时需要认证,当他进入网络平台时同样需要进行认证,这就给用户学习生活带来了不便,多次登录浪费时间,一个密码多个平台可以大大节省物力、财力,更多资源可以进行其他建设和维护,借助于身份认证省去了密码记忆的繁琐,统一认证一次而无需其他认证。 1.2 用户的不同管理机制不同,不利于学校进行管理 正如我们了解的,学校进行更为系统的管理时需要综合分析每个不同管理机制的内容,而各个不同系统管理机制存在差异,在一定程度上学校进行管理时将更加困难一些。从形式上,用户服务虽然说都是借助于校园网进行的,但实际上,彼此之间是独立的,管理机制独立,每一个事项都需要一个管理机制,彼此之间工作各自的内容,例如图书管理系统负责维护图书借阅、图书统计,而不会负责其他内容,这就产生了许多个管理机制,学校进行集中管理,整体管理时,由于各个单元之间的独立因而无法高校管理、浪费时间和精力,我们智慧化校园要求智慧、高效、可靠,这显然是不符合的。
统一身份认证-CAS配置实现
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
统一身份认证平台功能描述
统一身份认证平台功 能描述 Revised on November 25, 2020
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题: ?用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。 ?各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工作重复,增加学校管理工作成本。 ?新开发的系统不可避免的需要用户和权限管理,每一个新开发的系统都需要针对用户和权限进行新开发,既增加了学校开发投入成本,又增加 了日常维护工作量 ?针对学生、教职工应用的各种系统,不能有效的统一管理用户信息,导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账 号,为学校日后的工作带来隐患。 ?缺乏统一的审计管理,出现问题,难以及时发现问题原因。 ?缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。 1.2应用范围
2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。
统一身份认证权限管理系统
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
统一身份认证平台功能描述
统一身份认证平台功能 描述 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
数字校园系列软件产品统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
统一身份认证平台讲解
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
电子校务建设(统一门户平台、统一身份认证平台和统一数据库平台)
电子校务建设和信息资源的管理是密不可分的。在福建华南女子学院电子校务 建设时应合理应用信息资源管理理论,加强信息资源的建设与开发,优化信息资源 的管理。 统一门户平台、统一身份认证平台和统一数据库平台的建设将为信息资源 共享提供技术上的支撑,为建好这一技术支撑平台,我们将建设的关键过程作为切 入点,以先进的、顺应发展潮流的技术手段,保证电子校务的先进性与可持续发展 性福建华南女子职业学院的电子校务建设中,从整体上可以采用以下关键技术。 一是基于 JZEE 的标准开发架构 。目前,Java/J2EE 技术因其结构清晰、开放 性好、性能及安全性好的特点,得到各厂商的广泛支持,并成为事实上的工业标准。其强大的组件技术,提高了可重用性,便于系统的移植。高效的中间件技术,使得 业务逻辑与数据层、界面层相互隔离,提高系统的运行效率和稳定性。在系统中的具体运用主要体现在以下几个方面:基于标准 JZEE 规范开发,基于 MVC 框架设计 模式,采用 Java Bean 的业务逻辑封装,采用 JSP/Servlet 的表现逻辑设计。 二是基于 CK/PKI 的信息安全技术 PKI 即公钥基础设计,是一种以公开密钥 理论为基础的在线身份认证加密技术。我们可以利用公开密钥理论的技术建立起在 线身份认证的安全体系。而 CA(Certification Authority 认证中心)则向用户提供完整的基于 PKI 技术的数字认证服务。在应用中它提供以下功能:通过基于数字证书的认证方法来确认用户身份,通过授权控制来实现对信息资源和应用的访问控 制,采用加密技术来保护信息的机密性,通过对信息摘要和数字签名的验证来提供 数据的完整性保护,采用数字签名来提供数据的不可否认性。 三是工作流技术 电子校务系统作为福建华南女子职业学院业务的电子化实 现,里面包含了大量的业务流程。工作流技术是一种理解、定义、自动化以及改善 业务过程的技术。它在以下几方面支持业务的实现即基于浏览器的图形化的工作流 定义:运行时工作流的监督和管理,工作流的设计和模拟,支持任务指派的负载均 衡算法,支持多个工作流实例的协同作业。 以上关键技术为信息资源的共享和交换打下坚实的基础,保证了信息资源的贡 献和数据的及时更新,给管理和应用提供了保障。但效益的发挥还得依赖于技术的 实现,如果只是简单地把信息技术应用于传统的高校管理模式,而忽视了组织机构 和业务管理流程的再造与调整,那么电子校务的建设就会流于形式,其优势将难以 发挥。 因此,我们在采用以上关键技术的同时,还需合理运用信息资源管理理论, 采取信息资源协同和流程协同,进行统一平台建设,对信息内容和信息技术进行全 面集成,逐步消除孤岛效应,确保多个信息系统能够安全、快捷的信息交流,提高 校园网信息活动的效率和效益。
统一身份认证平台讲解-共38页知识分享
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
数字化校园统一身份认证
摘要随着数字化校园建设的逐步深入,办公系统、人事系统、财务系统、科研系统等应用系统也随之增加。但这些应用系统各自保存一套不同的用户身份认证方式,这一方面影响了用户使用的效率,同时也给校园管理系统协调各应用系统带来了极大地困难,给整个系统带来了很多不安全隐患。本文介绍的数字化校园统一身份认证系统的目的就是要解决不同的网络应用系统用户名和口令不统一的问题。 关键词数字化校园;身份认证;数字网络 1 数字化校园 数字化校园是数字化、信息化、智能化的统一,它在网络和数字化信息的基础上,利用计算机技术、网络技术和通讯技术对校园办公系统、人事系统、财务系统、科研系统以及设备管理系统等信息资源进行统一规划、统一管理,在传统校园基础上构建了一个数字化空间,使这些信息资源能够有序地运转,更好地为教学、科研、管理和生活服务。 随着现代信息网络技术的发展,信息网在逐渐的庞大,同时作为教育中心的大学对数字化校园网的建设也加紧了步伐。从一定意义上讲,校园网的建设是衡量一个高校综合实力的重要标志。学校的教务系统、财务系统、餐饮系统、机房系统、图书管理系统以及宿舍系统等都与校园信息网紧密相连。各应用系统以校园网络中心系统为核心成星型分布,如图1所示。 图1 建设数字化校园目的就是充分利用现代信息技术,提高信息利用效率,提高学校教学、办公管理的水平,实现学校信息化管理,为此在数字化校园的建设中使用统一接口、统一信息服务平台、统一身份认证系统的结合的显得尤为重要。建立统一身份认证系统,对用户的身份集中统一管理,保证用户电子身份的惟一性、真实性与权威性,大大提高了数字化校园应用系统的安全性。 2 统一身份认证系统 2.1 存在问题 所谓身份认证,就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对统一网络不同应用系统而言,采用统一的用户电子身份判断用户的合法性。 数字化校园网络中各个应用系统完成的服务功能各不相同,有些应用系统具有较高的独立性,如财务系统,有些应用系统需要协同合作完成某个特定任务,如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的,各应用系统的建立没有遵循统一的数据标准,数据格式也各不相同,系统间无法实现有效的数据共享,于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说,如果各系统各自存储管理一份不同的身份认证方式,用户就需要记忆多个不同的密码和身份,并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大地不便。 随着现在信息技术的发展,校园网络提供的信息服务质量的提升,对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求相应地提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理,保证各应用系统基于统一的模式、集中的环境开发与升级,一方面降低了系统整体运行的维护成本,另一方面保证了整个校园系统能够随着平台的升级而同步升级,方便使用和管理,也保证了整个系统的先进性与安全性。 2.2 统一身份认证结构图
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
(3)统一身份认证平台功能描述
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录 1 产品概述............................................................................................................................... - 1 - 1.1 产品简介................................................................................................................... - 1 - 1.2 应用范围................................................................................................................... - 1 - 2 产品功能结构....................................................................................................................... - 2 - 3 产品功能............................................................................................................................... - 2 - 3.1 认证服务................................................................................................................... - 2 - 3.1.1 用户集中管理............................................................................................... - 2 - 3.1.2 认证服务....................................................................................................... - 3 - 3.2 授权服务................................................................................................................... - 3 - 3.2.1 基于角色的权限控制................................................................................... - 3 - 3.2.2 授权服务....................................................................................................... - 4 - 3.3 授权、认证接口....................................................................................................... - 4 - 3.4 审计服务................................................................................................................... - 4 - 3.5 信息发布服务........................................................................................................... - 5 - 3.6 集成服务................................................................................................................... - 5 - 3.6.1 应用系统管理............................................................................................... - 5 - 3.6.2 应用系统功能管理....................................................................................... - 6 - 3.6.3 应用系统操作管理....................................................................................... - 6 -
统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计
基础支撑层 统一身份认证(SSO) 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。 1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。 4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示:
单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求 块
智慧校园建设方案!高校统一身份认证解决方案
智慧校园建设方案!高校统一身份认证解决方案
1.项目背景 所谓身份认证,就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对同一网络不同应用系统而言,采用统一的用户电子身份判断用户的合法性。 数字化校园网络中各个应用系统完成的服务功能各不相同,有些应用系统具有较高的独立性,如财务系统,有些应用系统需要协同合作完成某个特定任务,如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的,各应用系统的建立没有遵循统一的数据标准,数据格式也各不相同,系统间无法实现有效的数据共享,于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说,如果各系统各自存储管理一份不同的身份认证方式,用户就需要记忆多个不同的密码和身份,并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大地不便。 随着现在信息技术的发展,校园网络提供的信息服务质量的提升,对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求相应地提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理,保证各应用系统基于统一的模式、集中的环境开发与升级,一方面降低了系统整体运行的维护成本,另一方面保证了整个校园系统能够随着平台的升级而同步升级,方便使用和管理,也保证了整个系统的先进性与安全性。 有了统一身份认证系统,管理员就可以在整个网络内实现单点管理、用户可以实现一次登录、全网通行,各种管理应用系统可以通过统一的接口接入信息平台。对用户的统一管理,一方面用在访问各个成员站点时无需多次注册登录,既给用户的使用带来方便,也为成员站点节约资源,避免各个成员站点分散管理统一用户带来的数据冗余。另一方面也给新的成员站点(新的应用系统)的开发提供方便。 2.参数要点说明 浏览器单次会话当中,通过一次登录就可以访问互相信任的系统。
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
统一身份认证系统
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
统一身份认证平台
统一身份认证平台 一、主要功能 1.统一身份识别; 2.要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接; 3.支持移动终端应用(兼容IOS系统、安卓系统;手机端、PAD端;) 4.教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 5.学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 二、系统说明 2.1单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应 用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 2.2即插即用:通过简单的配置,无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式, 可单独使用也可组合使用。 2.4基于角色访问控制:根据用户的角色和URL实现访问控制功能。基于Web界面管 理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。 说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。 3.2具体包含以下主要功能模块: ①身份认证中心 ②存储用户目录:完成对用户身份、角色等信息的统一管理; ③授权和访问管理系统:用户的授权、角色分配;访问策略的定制和管理;用户授权信息 的自动同步;用户访问的实时监控、安全审计; ④身份认证服务:身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务完成对用户身份的认证和角色的转换; ⑤访问控制服务:应用系统插件从应用系统获取单点登录所需的用户信息;用户单点登 录过程中,生成访问业务系统的请求,对敏感信息加密签名; ⑥CA中心及数字证书网上受理系统:用户身份认证和单点登录过程中所需证书的签发; 四、技术要求 4.1技术原理 基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。 其原理如下: 1)每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保
智慧校园统一身份认证技术分析_0
智慧校园统一身份认证技术分析 在互联网技术高速发展的今天,建设数字化和智慧化校园的步伐不断推进,于是各种基于校园网的应用层出不穷,然而在不同应用“百家争鸣”的表面之下却也有着很多弊端,比如应用更新不及时、维护不及时、恶性漏洞多、每一个应用都需要频繁的登录验证等缺点,其中最令用户头痛的则是不同应用需要频繁登录验证的问题,这不符合智慧校园的要求。因此,建立一个统一的身份验证系统,对用户进行统一的管理、身份验证和授权,避免用户频繁的登录认证是建设智慧校园的一项重要的内容。 标签:智慧校园;统一身份认证;技术分析 1 背景 智慧校园是校园数字化的一种高度发展的形式,或者说智慧校园与数字化校园在本质上没有区别,都是利用互联网技术对处于校园网的人进行统一的管理,因此派生了许多基于校园网方便师生的应用。虽然这些应用基于校园网,但是其本质依旧是一个个独立的系统,并且这些系统的管理员之间互不信任,因此就会出现面对不同应用用户得记忆不同的账号和密码,造成了在使用应用时的频繁登录与认证。比如在某高校,学生登录个人信息系统用的是自己的学号与密码A,学生登录学校图书馆时用的是自己的学号与密码B,学生用校园网上网时用的是自己的学号与密码C,虽然账号均为学生本人的学号,但是,密码却有三个,增加了记忆量,有的学校甚至在这些平台的登录上让用户使用不同的账号密码,也就是说虽然学校的个人查询信息平台、图书馆首页都是基于校园网而建立,但是相关的数据却互不通用,这不仅不能体现数字化校园给人带来的便利性,而且还会增加维护的困难,因此建立一个统一的管理、身份认证和授权的平台,使得用户可以使用一套账号密码“一键登录”一切基于校园网而建立的应用。 有人会有疑问,这些应用都用一套账号密码登录难道不会增加自身信息被盗取的危险?这种担心不是没有根据的,在多个应用使用相同的账号和密码确实会增加账号被盗取的风险,但是那是基于这些应用没有一个统一的数据库而言,而建立统一验证系统的本质即是建立一个总的用户数据库。 2 认证机制分类 2.1 用户口令认证 用户口令认证是一种早期的认证机制,一般用于早期的电脑系统中,现今也常用于某些对于安全性要求不高的系统中,比如Windows中的用户登录,pc的开机口令,Linux系统的用户登录等。其验证过程为,当遇到需要验证用户身份的操作时,用户输入相应口令,若用户输入的口令与系统中储存的口令一致时则通过验证,反之则拒绝用户的操作。但是其存在以下缺点:(1)验证方式简单容易被破解;(2)易被病毒截取口令;(3)口令泄露后用户不能及时察觉。
统一身份认证
统一身份认证(后附英文版) (网络信息中心网站还有大量师生所需流程和常用设置,现只以统一身份认证为例。 具体包括内容如下 统一身份认证 电子邮件 无线网 VPN 校园一卡通 学生宿舍网络 个人网络存储 虚拟主机 校园网 校内代理 网络短信平台 微软校园软件正版化 网络会议和视频转播 黑莓连接学校无线网络 如何在Outlook Express 中设置与邮件服务器的安全连接 如何在Foxmail 中设置与邮件服务器的安全连接 如何为outlook 客户端设置安全连接 如何用ping命令检测网络状态 如何查看电脑网卡的物理地址(MAC地址) 如何设置IP地址 窗体顶端) 一、如何修改默认身份 1、使用浏览器访问https://www.360docs.net/doc/289103315.html,,如下图。 2、点击右上角的“登录”,使用学校“统一身份认证”账号登录系统。登录后,点击页面右上角“个人设置”,如下图。 3、在“个人设置”上,选择“基本信息”,如下图:
4、然后点击默认身份后的“修改”,如下图: 5、在接下来的弹出窗口中,选择需要的身份。 二、如何修改jAccount密码 1、使用浏览器访问https://www.360docs.net/doc/289103315.html,,如下图。 2、点击右上角的“登录”,使用学校“统一身份认证”账号登录系统。登录后,点击页面右上角“个人设置”,如下图。 3、在“个人设置”上,选择“安全设置”,如下图:
4、然后选择“修改密码”,如下图: 5、在接下来的弹出窗口中,更新jAccount密码。 三、jAccount账户/ 申请步骤 教职工: 1、网上下载或直接到网络信息中心填写《校园网jAccount账户申请表》 2、网络信息中心审核申请表,当场开通 学生: 网上自助申请,访问https://www.360docs.net/doc/289103315.html, 点击“申请”
统一身份认证权限管理系统
` 统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (15) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (26) 4.3 微型的业务系统 (27) 4.4 外部组织机构 (28) 第5章角色(用户组)管理 (29) 第6章职员(员工)管理 (32) 6.1 职员(员工)管理 (32) 6.2 职员(员工)的排序顺序 (32) 6.3 职员(员工)与用户(账户)的关系 (33) 6.4 职员(员工)导出数据 (34) 6.5 职员(员工)离职处理 (35) 第7章部通讯录 (37) 7.1 我的联系方式 (37) 7.2 部通讯录 (38) 第8章即时通讯 (39) 8.1 发送消息 (39) 8.2 即时通讯 (41) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (4) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)