统一身份认证系统技术方案
智慧海事一期统一身份认证系统
技术方案
目录
目录...................................................................................................................................................... I 1.总体设计 (2)
1.1设计原则 (2)
1.2设计目标 (3)
1.3设计实现 (3)
1.4系统部署 (4)
2.方案产品介绍 (6)
2.1统一认证管理系统 (6)
2.1.1系统详细架构设计 (6)
2.1.2身份认证服务设计 (7)
2.1.3授权管理服务设计 (10)
2.1.4单点登录服务设计 (13)
2.1.5身份信息共享与同步设计 (15)
2.1.6后台管理设计 (19)
2.1.7安全审计设计 (21)
2.1.8业务系统接入设计 (23)
2.2数字证书认证系统 (23)
2.2.1产品介绍 (23)
2.2.2系统框架 (24)
2.2.3软件功能清单 (25)
2.2.4技术标准 (26)
3.数字证书运行服务方案 (28)
3.1运行服务体系 (28)
3.2证书服务方案 (29)
3.2.1证书服务方案概述 (29)
3.2.2服务交付方案 (30)
3.2.3服务支持方案 (36)
3.3CA基础设施运维方案 (38)
3.3.1运维方案概述 (38)
3.3.2CA系统运行管理 (38)
3.3.3CA系统访问管理 (39)
3.3.4业务可持续性管理 (39)
3.3.5CA审计 (39)
1.总体设计
1.1设计原则
一、标准化原则
系统的整体设计要求基于国家密码管理局《商用密码管理条例》、公安部计算机系统安全等级要求和《中华人民共和国计算机信息系统安全保护条例》的有关规定。数字证书认证系统的安全基础设施的设计和实现将遵循相关的国际、国内技术和行业标准。
二、安全性原则
系统所采用的产品技术和部署方式必须具有足够的安全性,针对可能的安全威胁和风险,并制定相应的对策。关键数据具有可靠的备份与恢复措施。
三、可用性原则
系统具有足够的容量和良好的性能,能够支撑百万级或千万级用户数量,并能够在海量用户和大并发访问压力的条件下,保持功能和性能的可用性。
四、健壮性原则
系统的基础平台成熟、稳定、可靠,能够提供不间断的服务,相关产品均具有很强的健壮性、良好的容错处理能力和抗干扰能力。
五、模块化原则
系统的设计和实现采用模块化结构,各个模块具有相对独立的功能和开放的接口。可以根据系统的需要进行功能模块的增加或减少,而不必改变原来的程序构架;针对不同的应用定制实施模块。
六、可扩展原则
随着业务的发展,对未来系统的功能和性能将会提出更高的要求。系统在设计和实现上,应具有良好的可扩展性。可以通过对硬件平台、软件模块的扩展和升级,实现系统功能和性能的平滑地扩展和升级。
七、方便开发原则
系统提供丰富的二次开发工具和接口,便于应用系统调用,能够方便的与现有和将来的应用系统进行集成。
八、兼容性原则
系统具备良好的兼容性,能够与多种硬件系统、基础软件系统,以及其它第三方软硬件系统相互兼容。
1.2设计目标
根据招标文件的具体技术要求,基于现有信息系统现状、数字证书应用现状以及未来在信息安全方面的技术性要求,本方案提出以下建设目标。
(1) 在海事局内部部署统一认证管理系统,具体目标是:提供数据统一、维护统一、
用户统一的安全可靠的认证与授权服务;实现全局相关业务系统全面统一的用户
管理、可靠的身份认证与安全审计、有效的分级授权、安全的单点登录、便捷的
信息共享
(2) 在海事局内部部署数字证书认证系统(CA认证中心),具备10万级数字证书的
发放能力,满足海事局内部用户以及应用系统的对数字证书的使用需求。
(3) 广东海事局内部其它业务系统(包括:船舶远程电子签证、船舶动态2.0系统)
与统一身份认证系统的进行技术集成,实现统一的身份认证与单点登录功能。
1.3设计实现
本方案由统一认证管理系统和数字证书认证系统两部分组成,其统一认证管理系统实现统一的用户管理、身份认证、单点登录、授权管理、安全审计等功能;数字证书认证系统实现海事局全国用户的数字证书发放和数字证书管理。
统一认证管理系统与数字证书认证系统集成,实现新增用户信息同步,证书管理员只需要登录数字证书认证系统,查出用户信息,直接制作证书。
二级云中心(直属局)统一认证管理系统定时将用户、机构、授权等信息同步给一级云中心统一认证管理系统。
本期工程将率先在广东海事局搭建起船舶远程电子签证、船舶动态2.0系统的单点登录功能。
1.4系统部署
一级云中心:一台身份认证服务器,一台加密机,两台统一认证服务器(基于ORACLE一体机实现负载),两台统一认证数据库服务器(基于ORACLE数据库一体机实现负载)。
五个二级云中心(直属局):一台统一认证数据库服务器,两台统一认证服务器
(双机冷备),二级云中心统一认证服务器能访问一级云中心统一认证服务器。
2.方案产品介绍
2.1统一认证管理系统
2.1.1系统详细架构设计
国家海事局统一认证管理系统详细架构设计如下图所示:
在国家海事局部署一级统一身份认证系统,可管理全部的系统用户,用户可通过统一身份认证系统进行身份认证、业务系统单点登录;二级单位根据具体情况可部署二级统一身份认证系统,系统用户信息管理与一级统一身份认证系统同步,当网络出现故障时,二级单位用户可登录各自单位的二级统一身份认证系统,不影响正常的业务处理。
国家海事局统一认证管理系统的主要服务功能模块包括:身份认证模块、单点登录模块、信息同步模块、后台管理模块、数据服务模块及安全管理模块,其中后台用户管理包括用户、角色、应用等相关信息管理,另外,安全管理模块为维护好系统服务功能
的安全性,提供系统自身所有操作的安全审计功能,以及各个应用系统用户信息的监控功能。
2.1.2身份认证服务设计
身份认证服务为海事局各应用系统内各类用户提供身份信息注册、凭证发布、用户资料管理及销毁、登录认证功能。
2.1.2.1总体设计
认证管理的结构如上图所示,主要包括以下几个部分:
CA认证中心:海事局CA认证中心为数字证书用户提供身份认证服务,签发数字证书,实现证书与现实中的实体(个人、单位或服务器)的绑定。CA认证中心除了为最终用户办法数字证书外,还需要为统一认证服务器和业务系统的服务器签发服务器身份证书,用于客户与服务器之间的双向认证。
统一认证服务器:统一认证系统服务器的数据库中集中存放所有业务系统的用户信
息和权限信息,所有业务系统和统一认证系统都需要部署服务器证书、安全组件和认证接口,用于业务系统与客户端,或业务系统之间的身份认证。
证书用户:证书用户按照经过严格的身份信息鉴证,从CA认证中心领取数字证书,然后通过访问各级统一认证系统,进行单点登录,就可以很方便地访问自己权限范围内的应用系统。用户数字证书的身份信息要与统一认证系统中注册的用户信息保持一致(关键信息为:姓名、证件类型和证件号码),只有信息一致的前提下,才可实现可靠的身份认证。
口令用户:口令用户不需要经过CA中心身份认证和签发数字证书,直接由单位管理员根据用户信息注册即可。用户本人可在获得初始密码后修改登陆密码和注册信息。
2.1.2.2身份认证方式
统一认证系统可以对不同的系统进行分级认证,也可以对系统内的不同用户分级认证。系统应同时支持口令方式和数字证书两种方式的身份认证机制。另外,系统应具有扩展接口,可快速实现动态口令认证、指纹认证和和人像等其它身份凭证认证模式。身份认证技术支持PKI、LDAP、NDS、NIS、AD等标准认证技术。
对于安全性较低的系统,可以采用最低认证等级:用户名/口令方式;对于安全性较高的系统,最低认证等级则需要设置为数字证书方式。系统的认证等级和用户的认证方式都可以在统一认证系统后台进行动态配置。
用户使用数字证书可以登录安全性较低的系统,但是用户名/口令认证方式不允许进入等级为数字证书的业务系统。
2.1.2.3基于数字证书的身份认证
数字证书用户登录业务系统的身份认证流程如下图所示:
流程说明:
(1)提供证书:在登录门户页面(或统一认证首页)中嵌入证书控件和组件,服务器
端产生随即数并进行数字签名,客户端实现即插即用的登录认证模式,只要插入UsbKey自动列举Key内的数字证书;
(2)握手认证:用户输入证书密码、点击登录提交按钮后,页面调用证书控件的运行
脚本,校验证书密码后对服务器端产生的随即数和数字签名进行验证;客户端对随即数进行数字签名,提交认证信息给服务器验证;认证信息主要包括:随即数、客户证书、客户的签名等信息。服务器后台程序验证客户端的证书有效性和数字签名的有效性。
(3)获取访问信息:统一认证服务器从认证信息中提取客户端数字证书,并从证书中
解析出证书的唯一标识,在后台数据库中进行比对,进行访问控制;
(4)返回登录票据:服务器认证通过后,形成标准格式的登录票据,返回客户端。
(5)选择业务系统:系统根据登录票据,显示可登录的系统,用户选择系统。
(6)传递票据:客户端浏览器将登录票据传递到对应的系统地址上。
(7)票据验证:业务系统根据接收到的登录票据,通过部署的安全组件进行验证。
(8)进入系统:验证通过,允许进入,根据用户权限信息,授予对应的操作权限。否
则,拒绝登录。
系统采用数字证书,安全组件、密码运算、数字签名、数字信封等技术来保障用户身份的真实性,可以有效避免身份冒充、身份抵赖、重放、中间人攻击的风险,从而在一定程度上保证认证的安全性。数据加密可采用标准SSL协议,在WEB服务器上配置SSL服务器证书,即可实现数据在网络传输过程中的加密。
2.1.2.4基于口令方式的身份认证
用户身份唯一性设计:系统采用集中数据库管理模式,用户名作为用户信息表中的主键,在系统中不允许重复。另外,系统中应根据用户类型和注册的基本信息生成一个具有用户特征码,用于识别一个人或单位在系统中的身份唯一性。
特征码的编码规范示例:
个人用户的特征码=证件类型编码+证件号码+真实姓名+登录名
单位用户的特征码=组织机构代码+对应单位名称+登录名
用户名方式的身份认证业务流程与证书方式类似,与证书方式的主要区别在于以下几点:
(1)客户端不进行数字签名;
(2)提交给服务器的认证信息不包括客户端数字签名,而是加密后的登录口令;
(3)服务器端接收到认证信息后,不再验证签名,而是将加密的口令与数据库中的加密口令进行对比核对;
(4)安全登录票据中的登录方式不同;
(5)其他流程没有区别。
2.1.3授权管理服务设计
2.1.
3.1授权管理的系统框架
为确保信息资源访问的可控性,防止信息资源被非授权访问,需要在用户身份真实
可信的前提下,提供可信的授权管理服务,实现对各类用户的有效管理和访问控制,保护各种信息资源不被非法或越权访问,防止信息泄漏。
统一认证管理系统应提供信息资源管理、用户角色定义和划分、权限分配和管理、权限认证等功能。权限管理主要是由管理员进行资源分类配置、用户角色定义及授权等操作;权限认证主要是根据用户身份对其进行权限判断,以决定该用户是否具有访问相应资源的权限。
由于统一认证管理系统要解决各个应用系统内部的细粒度资源权限控制,需要与应用系统紧密结合,因此统一认证管理系统应在统一身份认证系统粗粒度访问控制的基础之上,由各个应用系统结合本地资源授权方式,进行定制集成开发。
由于采取分布式的RBAC授权管理模型,首先应对用户进行严格的身份认证,保证用户身份的真实性,在此基础之上再由综合各个应用系统内部资源权限分配的统一授权管理系统对用户进行严格的权限认证,实现各个应用系统内部资源细粒度的授权访问控制。
用户访问控制总体框架如下图所示:
在此框架下,整个授权控制的工作流程如下:
(1)统一认证管理系统的初始化,添加并配置系统管理员;
(2)由系统管理员添加并配置下级管理员或用户;
(3)管理员添加受控访问资源,并设置每个用户的权限;
(4)用户访问各应用系统,首先由统一认证系统验证该用户的身份;
(5)认证通过后根据用户身份,对用户进行权限认证;
(6)如果用户通过权限认证,则说明该用户可以进入相应的应用系统,访问权限许可
内的资源;否则,拒绝用户访问。
2.1.
3.2授权管理模型(基于角色的授权)
基于角色的访问控制(RBAC)授权模型:通过角色定义,将应用系统的业务权限授予某个角色,然后将用户与这些角色关联,从而将业务权限赋予该用户。如下图所示:
基于角色的访问控制方法的思想就是把对用户的授权分成两部份,用角色来充当用户行驶权限的中介。这样,用户与角色之间以及角色与权限之间就形成了两个多对多的关系。系统提供角色定义工具允许用户根据自己的需要(职权、职位以及分担的权利和责任)定义相应的角色。
角色是一组访问权限的集合,一个用户可以是很多角色的成员,一个角色也可以有很多个权限,而一个权限也可以重复配置于多个角色。权限配置工作是组织角色的权限的工作步骤之一,只有角色具有相应的权限后用户委派才能具有实际意义。
基于角色授权模型的优点
基于角色的策略实现了用户与访问权限的逻辑分离,极大的方便了权限管理。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可。一般,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并且委派用户到角色不需要很多技术,可以由行政管理人员来执行,而配置权限到角色的工作比较复杂,需要一定的技术,可以由专门的技术人员来承担,但是不给他们委派用户的权限,这与现实中情况正好一致。除了方便权限管理之外,基于角色的访问控制方
法还可以很好的地描述角色层次关系,实现最少权限原则和职责分离的原则。
基于角色授权的流程
以下面的授权目标举例说明基于角色的授权流程:
用户(张三)<- 角色(预算处处长)<- 权限(预算系统的审核)
1、生成一个角色:预算处处长;
2、选择预算系统的预算审批业务权限授予预算处处长角色;
3、将预算处处长角色授予用户张三。
通过将预算系统的审核的业务权限授予预算处处长角色,然后将此角色与用户张三关联,最后用户拥有了该权限。
2.1.
3.3分级授权管理
分级授权实现的是权限继承:当上级管理员对下级管理员进行授权时,所授予的业务权限将被下级继承,下级管理员拥有这些权限,并可以将这些权限授予其管辖的用户。
分级授权通过管理员授权实现。通过一步步的权限传递,可以实现多级授权。授权可以基于角色,(如例子中利用预算审核角色),也可以直接基于业务权限。
根据5个直属局调研反馈,初步确定直属局按二级进行分级管理分级授权,即各直属局下属分局或海事处添加一级管理员,负责本分局或海事处的用户信息管理及授权。
2.1.4单点登录服务设计
2.1.4.1实现原理
安全的单点登录具体实现机制如下:采用基于数字签名的安全票据技术,封装用户登录后的认证状态信息,并以安全方式传递到各个相关系统中,通过对票据的解密、验证、解析,从而实现方便、快捷、安全的单点登录。
针对江苏省海事局办公系统已与内部几个业务系统集成,实现单点登录,建议本项目建设统一认证管理系统只与江苏省海事局办公系统集成,保持现有业务系统单点登录,另外统一认证管理系统与部局统一建设的船舶远程电子签证、船舶动态2.0系统集成实现单点登录;江苏省海事局以后新建设业务系统,可以参照统一认证管理系统集成,集成到统一认证管理系统中。
针对深圳市海事局所有业务系统都基于AD域实现单点登录,现有的业务系统集成模式不变。在用户已经登录AD域,直接进入统一认证管理系统认证门户,访问部局统一建设的船舶远程电子签证、船舶动态2.0系统,不需要再登录;深圳市海事局以后新建设业务系统,可以参照统一认证管理系统集成,集成到统一认证管理系统中。
单点登录票据格式如下:
通过对单点登录票据的加密、签名等技术保证票据的机密性、完整性以及抗否认性,并且在票据中包含票据的有效时间段信息,利用时间有效期从一定程度上减少重放、中间人攻击的风险。单点登录系统维护一张票据流水号临时表,票据使用一次以后就失效,也可以有效防止重放攻击的风险。通过采用以上的这些安全措施以及安全流程,可以有效地保证单点登录系统的安全性。
2.1.4.2工作流程
安全单点登录流程如下图所示:
2.1.5身份信息共享与同步设计
统一认证系统建立统一的权威机构数据、用户数据、用户授权数据等资源库并可作为所有应用系统的数据源。机构数据、用户数据、用户授权数据是海事局核心数据,需要绝对的安全和保密。统一认证管理系统对数据的管理应该是安全的和封闭的,任何未授权应用系统均无法从系统管理层面、系统服务层面和数据库层面获取这些数据,应用系统必须通过信息共享服务和数据同步的方式获取这些数据。
2.1.5.1体系结构
信息共享服务和数据同步有两种体系结构:
(1)一级统一认证管理系统和国家海事局应用系统的同步
如下图所示:
一级统一认证管理系统仅需要和国家海事局本地的应用系统作数据同步。
(2)国家海事局统一认证管理系统和直属局/地方局统一认证管理系统同步
如下图所示:
和直属局/地方省局的二级级统一认证管理系统作数据同步。
2.1.5.2同步机制
信息共享服务和数据同步机制如下:
与基于关系型数据库(DB)的应用系统同步
采用webservices技术(SOAP协议)实现与这类应用系统作数据同步。数据通过同步引擎、事务机制和SOAP协议实现与应用系统之间的同步。同步的成功和失败都进行记录,同步的成功信息以报告形式方便于管理人员查看,同步的失败信息通过定时器机制自动完成,直至同步成功。
与基于目录(LDAP)的应用系统同步
采用LDAP协议和JNDI技术实现与这类应用系统作数据同步。支持的LDAP包括:apacheDS,openLdap,sunONE等,另外也包括域控制器(windows AD、Linux NIS、Unix NFS)。
统一认证管理系统和应用系统之间以JNDI/LDAP方式建立通信。数据通过同步引擎、事务机制和JNDI与LDAP协议实现与应用系统之间的同步。同步的成功和失败都进行记录,同步的成功信息以报告形式方便于管理人员查看,同步的失败信息通过定时器机制自动完成,直至同步成功。
与基于域控制器的应用同步
采用LDAP协议和JNDI技术实现与这类应用系统数据同步。域控制器包括:windows AD、Linux(Unix)NIS。对域控制器的同步,基本与对LDAP的同步类似,因此,与基于域控制器的应用同步可以采用基于LDAP协议来实现同步。但是windows还提供了一套ADSI接口,也能够实现与windows AD的数据同步。统一认证系统通过JNI实现对windowsAD的数据同步。
2.1.5.3同步策略
同步策略有三种,包括:操作及时同步、操作批量同步和事后同步。
1、及时同步
该策略实现了:对用户信息、机构信息操作(增加并授权、删除、修改)时,系统自动完成同步。同步失败时,系统监控提示同步失败,后台使用定时器定时继续进行同步。同步定时器还能够设置同步的时间和周期。
2、批量同步
该策略实现了:根据“角色”选择用户,完成用户同步;根据“机构”选择用户,完成用户同步;根据“应用系统”选择对应的角色,完成角色的同步。
3、事后同步
该策略实现了:当用户信息、机构信息操作(增加、删除、修改)时或者同步失败时,用户可根据需要进行事后再次同步。当新系统接入时,单独同步信息。当系统需要更新数据时,再次同步用户信息。
2.1.6后台管理设计
2.1.6.1用户数据的获取
身份信息由各应用系统汇集,统一认证管理系统提供批量操作(导入、导出、迁移)工具,如采用用户数据EXCEL 的导入导出,以满足海事局大量用户维护的需求。
2.1.6.2管理模式
系统提供分级管理分级授权。
2.1.6.2.1分级管理分级授权
用户身份信息和用户的访问控制相关的授权信息均分级管理。
设有三类管理员角色:
(1)系统管理员:进行单位管理员管理、机构管理、角色管理、应用系统管理等日常
管理。
(2)安全审计员:进行安全审计,日志管理等工作,对系统管理员的工作进行监督。
(3)单位管理员:进行本单位的用户的授权管理。单位管理员根据系统管理员定义的
本单位的访问角色,为最终用户进行授权。
海事局统一认证管理系统的用户及系统级授权管理建议采用:分级管理、分级授权模式,如下图所示:
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
统一身份认证权限管理系统
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
sso_统一身份认证及访问控制解决方案
统一身份认证及访问控制 技术方案
1.方案概述 1.1. 项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。 1.2. 系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: ?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 ?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 ?基于角色访问控制:根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
统一身份认证-CAS配置实现
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
身份认证系统常见问题解答
身份认证系统常见问题解答
目录 一、申请证书的问题1 1.如何申请证书 (1) 2.何时需要重新申请自己的数字证书? (6) 3.如何重新申请证书? (6) 4.如何在本机查看已经申请的数字证书? (8) 二、进行“数据报送”时的问题9 1.为什么点击“数据报送”时未弹出“客户身份验证”窗口,直接提示“该页无 法显示”? (9) 2.在弹出的“客户身份验证”框中点击本企业的用户证书名并确定后,出现 “该页无法显示”? (12) 3.进行数据报送时,选择证书提交后系统提示“证书已过期”或“您的证书即 将到期”,怎么办? (13) 4.进行数据报送时,弹出的“客户身份验证”窗口没有证书,怎么办? .. 13
5.选择证书后,提示“该证书与用户名不匹配”,怎么办? (13) 6.为什么弹出的认证窗口与常见的不同? (13) 三、废除证书时的问题14 1.什么情况下需要废除证书? (14) 2.如何废除证书? (14) 四、其它问题15 1.如果我想更换我的PC机,是否还能连到直报系统? (15) 2.如何从浏览器中导入、导出个人证书? (16) 3.请确认您使用的计算机操作系统时间是当前时间 (16)
1.如何申请证书 进入证书在线服务系统的用户,将会看到如图1的界面,请首先阅读注意事项和证书申请步骤。 图1 初次登录系统报送数据的用户,请根据“用户证书申请步骤”进行证书的安装。 第一步安装配置工具 点击图1页面上的“根证书及配置工具”,如图2:
图2 弹出“文件下载”确认对话框,弹出“文件下载”提示,如图3。 图3 点击“保存”按钮后,将“根证书及客户端配置工具”保存到本地计算机桌面,如图4
统一认证平台的设计方案(XXXX互联网接入平台建设方案)
XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网和公司内部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 (一)覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 (二)接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统,并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司内网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入内部网络。 (三)多运营商接入需求
公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。 (四)身份认证及单点登录需求 由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限范围内的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。 (五)安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施,防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。 二、方案设计
统一身份认证系统技术研究
统一身份认证系统技术研究 一、背景 目前公司产品中的各个子系统正在从原来高耦合的整合系统模式向现在的高内聚低耦合的系统模式发展,例如:现在的LIS、PACS、移动医疗、电子病历已经能够从原来的HIS系统中分离出来独立运行。另外,与第三方系统的互联互通的需求也愈来愈多。各个系统之间的低耦合使得系统的访问控制和信息安全问题愈见突出,原来整合系统的统一的认证、授权、账号管理模式被各个系统的分立的状况打破,特别是对于外部系统的互联互通,原来的模式更是走不通。另外,目前所采用的数据库内部认证和授权方式以及通过调用接口或者WebService接口,虽然是一种有效地补充,但是仍然存在效率和规范的问题。 因此,构建一个完整统一、高效稳定、安全可靠的统一身份认证和管理平台已经成为目前产品体系下的一种需要。 二、统一身份认证系统的功能、规范与技术要求 统一身份认证系统的最基本功能要求就是对于各个系统间的用户进行统一管理,让用户使用系统时更加方便,无需反复登录系统。统一身份认证系统应从功能方面满足以下要求: 1、用户只需在统一身份认证系统中登陆一次后,就可以使用基于统一身 份认证系统认证的所有系统,无需再记忆多套用户名和密码。 2、管理员可以对所有系统的用户进行统一管理,可以对用户的权限进行 统一分配。实现系统的分布式应用,集中式的管理。 3、统一身份认证系统下的各个业务系统之间,用户数据必须保持一致性。 用户数据必须同步更新。 统一身份认证平台应满足4A安全管理框架规范,4A框架的内容为 身份认证(Authentication) 身份认证是信息安全的第一道防线,用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
统一身份认证权限管理系统
` 统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (15) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (26) 4.3 微型的业务系统 (27) 4.4 外部组织机构 (28) 第5章角色(用户组)管理 (29) 第6章职员(员工)管理 (32) 6.1 职员(员工)管理 (32) 6.2 职员(员工)的排序顺序 (32) 6.3 职员(员工)与用户(账户)的关系 (33) 6.4 职员(员工)导出数据 (34) 6.5 职员(员工)离职处理 (35) 第7章部通讯录 (37) 7.1 我的联系方式 (37) 7.2 部通讯录 (38) 第8章即时通讯 (39) 8.1 发送消息 (39) 8.2 即时通讯 (41) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (4) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
统一身份认证平台
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
身份认证管理系统IDM设计
身份认证管理系统(IDM)设计 身份认证管理系统(IdentityManager,简称 IDM)将分散、重复的用户数字身份进行整合,提供标准身份信息读取和查询方式, 统一化管理数字身份的生命周期,统一企业内部身份安全策略管理和权限管理, 为应用系统与此基础平台提供标准的接口, 实现统一、安全、灵活、稳定和可扩展的企业级用户身份认证管理系统。 1 系统运行平台 1.1 体系架构 系统平台的搭建采用分层的架构模式,将系统在横向维度上切分成几个部分,每个部分负责相对比较单一的职责,然后通过上层对下层的依赖和调用组成一个完整的系统。通过统一用户身份认证管理系统平台的定义,为其他子系统提供统一的用户管理、机构管理、身份认证、权限管理、用户工作平台等功能,其他子系统将没有私有的用户群、权限管理等。系统提供的功能包括:用户管理、组织机构管理、单点登录、权限管理(用户权限、数据权限)、对外接口、数据备份、用户工作平台等。 2 系统建设目标 通过本系统的建设,主要达到以下的目标:系统提供统一的用户管理、组织机构管理、身份认证、权限管理及用户工作台功能;统一的用户系统进行统一帐号创建、修改和删除,这使快速推出新的业务成为可能。公司将拥有一个提供用户全面集中管理的管理层,而不为每
个新的应用程序或服务建立分布的用户管理层。 公司各应用的用户通过一个全局唯一的用户标识及存储于服务器中的静态口令或其他方式,到认证服务器进行验证,如验证通过即可登录到公司信息门户中访问集成的各种应用;可以在系统中维护用户信息;能够根据其在公司的组织机构中的身份定制角色,根据角色分配不同的权限。 3 系统主要模块 本系统主要包含以下 5 大功能模块。① 系统设置模块:提供用户管理和组织架构管理功能。② 安全域模块:提供安全域管理和安全策略管理功能。③系统管理模块:提供资源类型定义、模块定义、角色管理、角色约束定义、用户权限管理、单次授权等功能。④ 系统工具:提供异常用户查询、导入导出工具、用户工作台、用户个人信息修改、用户注册审批、职能委托等功能。⑤ 系统日志模块:提供历史日志删除、当前登录用户、历史登录情况、用户操作日志等功能。 3.1 系统设置模块 ① 用户管理:主要用来记录用户相关信息,如:用户名、密码等,权限等是被分离出去的。提供用户的基本信息的生命周期管理,包括创建、修改、删除、冻结、激活等功能。系统增加或者删除一个用户则相应地增加或者删除一个用户的账户,每新增一个人员账户,赋予该账户一个初始化密码。要求存储用户数据时不仅支持 Oracle 数据库存储,同时支持 LDAP存储。以应对不同子系统的不同用户认证方式。
操作系统登录身份认证
操作系统登录身份认证 信息安全问题是信息化系统建设必须考量的问题之一。从网络到应用,各种各样的安全保障机制随着安全的需要不断的更新着。各种应用系统的正常运行都离不开其所依赖的操作系统,操作系统的安全隐患可能会导致应用系统安全的失效。操作系统的安全涉及身份认证、边界防护、补丁更新、关闭没有使用的服务、数据加密、备份、不间断电源支持以及入侵检测等很多方面。其中,身份认证是取得系统管理权限的手段,一般使用比较普通的“用户名+口令”的方式登录,这种基于静态口令的登录认证存在很多的隐患,《2004年度全球密码调查报告》结果显示:为了防止遗忘,50%的员工仍将他们的密码记录下来;超过三分之一的被调查者与别人共享密码;超过80%的员工有三个或更多密码;67%的被调查者用一个密码访问五个或五个以上的程序或系统,另有31%访问九个或更多程序或系统。 从安全角度考虑,我们很容易理解和接受密码,不过,随着密码应用范围的增多,密码被忘记、丢失、偷听、窃取的几率也在增加。随着信息数据的增多和重要性加强,需要更好的技术来保证密码的安全。身份认证目前有很多种手段:一种是使用“用户名+口令”的静态口令方式,这是最原始、最不安全的身份确认方式,非常容易泄漏或被伪造;第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等),该技术以人体唯一的生物特征为依据,具有很好的安全性和有效性,但实现的技术复杂,实施成本昂贵;第三种是与PKI技术相结合的USB KEY,安全性较高,同样实现的技术复杂,实施成本昂贵;这里,我们采用基于电子令牌的身份认证体系来实现操作系统的身份认证。 令牌是产生动态口令的电子设备,动态口令具有一次性、动态性、随机性、不可复制、抗窃听、抗穷举等特点,安全性较高且实施成本较低。 PAM是 PLUGGABLE AUTHENTICATION MODULES 的缩写,可插入的认证模块,用于实现系统的认证机制,在Linux/UNIX它已经被广泛的应用了。它最大的优点是它的弹性和可扩充性. 你可以随意修改认证机制, 按你的实际需要来定制系统。 PAM的功能被分为四个部分: (1)authentication(认证) 提示口令输入并检查输入的口令,设置保密字如用户组或KERBEROS通行证。 (2)account(账号管理) 负责检查并确认是否可以进行认证(比如,帐户是否到期,用户此时此刻是否可以登入,等等)。 (3)session(对话管理) 用来做使用户使用其帐户前的初始化工作,如安装用户的HOME目录啦,使能用户的电子邮箱啦,等等。 (4)password(密码管理) 用来设置口令。 目录/etc/pam.d被用来配置所有的PAM应用程序,其中有关于认证模块的定义,采用令牌动态口令认证后,认证模块由令牌认证系统(或认证模块)给出:
统一身份认证系统建设方案
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计
基础支撑层 统一身份认证(SSO) 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。 1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。 4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示:
单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求 块
《身份认证系统》word版
******身份认证系统 技术方案
目录 1. 概述 (3) 1.1 前言 (3) 1.2 身份认证系统用户认证需求描述 (3) 1.3 身份认证系统认证解决之道 (5) 1.3.1 身份认证系统的模式 (5) 1.3.2 建立身份认证系统 (6) 1.3.3 证书在身份认证系统上的安全应用 (6) 2. 详细设计方案 (8) 2.1身份认证系统 (8) 2.2 产品设计原则 (8) 2.2.1认证系统的设计原则 (8) 2.2.2 网络环境设计原则 (9) 2.3 功能模块架构 (10) 2.4 身份认证系统功能简介 (12) 2.5 身份认证系统安全性分析 (13) 2.5.1本系统安全性保护的必要性 (14) 2.5.2安全性要求 (14) 2.5.3安全性设计原则 (15) 2.5.4安全性设计方案 (15) 2.6 身份认证系统应用开发接口 (17) 2.6.1身份认证系统接口函数 (17) 2.6.2 API与身份认证系统结合开发应用系统 (17) 2.7 身份认证系统使用案例 (18) 3. 系统配置 (21) 3.1 设备配置 (21)
1. 概述 1.1 前言 随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。 本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。 1.2 身份认证系统用户认证需求描述 在***********业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对*********系统发展的促进作用,************将综合开发一套身份认证系统对目前的用户身份进行管理,为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。 整个系统的逻辑结构如图1所示:
统一认证与单点登录解决方案(详细介绍了统一认证和单点登录)
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS 统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能:
统一身份认证系统
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
智慧校园建设方案!高校统一身份认证解决方案
智慧校园建设方案!高校统一身份认证解决方案
1.项目背景 所谓身份认证,就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对同一网络不同应用系统而言,采用统一的用户电子身份判断用户的合法性。 数字化校园网络中各个应用系统完成的服务功能各不相同,有些应用系统具有较高的独立性,如财务系统,有些应用系统需要协同合作完成某个特定任务,如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的,各应用系统的建立没有遵循统一的数据标准,数据格式也各不相同,系统间无法实现有效的数据共享,于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说,如果各系统各自存储管理一份不同的身份认证方式,用户就需要记忆多个不同的密码和身份,并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大地不便。 随着现在信息技术的发展,校园网络提供的信息服务质量的提升,对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求相应地提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理,保证各应用系统基于统一的模式、集中的环境开发与升级,一方面降低了系统整体运行的维护成本,另一方面保证了整个校园系统能够随着平台的升级而同步升级,方便使用和管理,也保证了整个系统的先进性与安全性。 有了统一身份认证系统,管理员就可以在整个网络内实现单点管理、用户可以实现一次登录、全网通行,各种管理应用系统可以通过统一的接口接入信息平台。对用户的统一管理,一方面用在访问各个成员站点时无需多次注册登录,既给用户的使用带来方便,也为成员站点节约资源,避免各个成员站点分散管理统一用户带来的数据冗余。另一方面也给新的成员站点(新的应用系统)的开发提供方便。 2.参数要点说明 浏览器单次会话当中,通过一次登录就可以访问互相信任的系统。
统一身份认证设计方案(最终版)
统一身份认证设计方案 日期:2016年2月
目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型11 1.3. 2.3 身份信息的存储12 1.3.3 用户生命周期管理12 1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14) 1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16) 1.5.1 集中授权应用背景16 1.5.2 集中授权管理对象17 1.5.3 集中授权的工作原理18 1.5.4 集中授权模式19 1.5.5 细粒度授权19 1.5.6 角色的继承20 1.6 集中认证管理 (21) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式22 1.6. 2.1 用户名/口令认证23 1.6. 2.2 数字证书认证23 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证24 1.6. 2.5 认证方式与安全等级24 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议25 1.6.3.2 Windows 域25 1.6.3.3 SAML协议26 1.6.4 集中认证系统主要功能28 1.6.5 单点登录29
1.6.5.1 单点登录技术29 1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)