XX系统身份认证方案2001
XX信息网络
身份认证系统设计方案
1.系统建设的目标
XX信息系统是重要的涉密计算机信息系统,因此其对安全保密的要求非常高,在有必要对该系统的身份认证机制采用强化措施。
XX系统安全方案的目的是:解决①用户口令、数据通过网络时容易被截获、窃取、篡改的安全风险;②用户与涉密服务器在网上有可能无法正确确认对方的身份,从而被假冒访问的风险;③访问完成后用户的抵赖行为等安全危害。
XX系统安全方案的建设目标:是建立一个符合国家安全保密规定和技术要求、安全可靠、技术先进成熟、运行稳定、适用于多种运行环境的、统一的身份认证体系。
XX系统身份认证安全方案至少应可实现以下安全功能:
●强的身份认证、鉴别机制
●数据处理、传输、访问的安全可信
●数据处理、传输、访问的机密保护
●数据处理、传输、访问的完整性
●完善的安全审计功能
●完善的CA证书及密钥管理
2.XX信息系统安全风险分析
建议在具体方案实施时,结合组织人事信息系统开发商、管理员一同进行。具体包括:
2.1系统安全风险分析
2.2系统安全需求分析
3.常见身份认证、鉴别技术简要介绍
3.1口令字
口令字是最常用且最经济的鉴别、认证方法,但口令字也是最不安全的方法,绝大部分的攻击都是从猜口令开始的,同时未经加密处理的口令字在传输过程中,也极易被截获,因而,口令字的身份认证机制对安全强度要求较高的系统是远远不够的。
3.2 IC卡
其基本原理是基于非对称加密体制,使用较低位RSA算法来实现的,因而其安全强度也不够高,且我国自身在IC方面自主技术还较落后,不可完全依赖IC卡来作为较强安全手段使用。
3.3动态口令(Sec ID)
动态口令牌,目前国内较多使用于银行等部门,且大部分是国外
为主的产品。其在技术上的优点是:采用时戳同步技术,使客户端与服务器端随机数同步,进行验证,确认身份,一次一口令。
其弱点是依然存在较大安全漏洞,最近的研究表明,只要对服务器时钟系统进行攻击,就会给安全认证体系以毁灭性打击。
此外,动态口令本身仅仅是对身份进行鉴别,鉴别以外的安全问题,如:信息窃取、篡改、泄密等无能为力。
3.4基于密码技术的证书系统
现行流行较广的一种电子商务安全方案,一般使用与INTERNET 互联因特网,以标准X.509格式发放证书,但其密钥管理部分,必须符合国家有关规定,尤其在党政系统。
3.5生理生物特征
主要有眼纹、指纹等,这类技术验证唯一性高,但成本费用较大,技术成熟度尚有一定距离。
4.卫士通强鉴别、身份认证安全技术方案卫士通公司建议采用标准证书与专用密码设备相结合的方案:4.1本系统须实现的安全要素
本方案须解决的安全要素:
信息的机密性
即通过使用公开密钥算法或对称密钥算法对信息加密,防止非法用户窃听,做到即使能窃取数据也无法读懂。
●信息的完整性
确保数据在传送过程中不被篡改和伪造,为此需利用单向算法对数据进行计算,将结果附在消息后提供给对方,接收方用相同的算法和密钥对数据进行验证,以确定数据的完整性。
●信息的不可否认性
保证信息的发送方不能否认其发送的信息,采用数字签名的方式实现,当发生纠纷时,通过验证数字签名,为解决纠纷提供依据。
●对等实体鉴别
由于通信双方不能直接确认对方身份,必须采用必要的技术手段进行相互验证,这是实现信息安全的基础,通常在建立连接或进行登录时进行,以防假冒合法用户。
●密钥保护和管理
从信息加密、完整性、不可否认性到对等实体鉴别,均是采用密码技术实现,在密码体制中,密钥保护和管理是安全系统的核心。
●安全审计
安全系统必须采用严格的安全审计、监控技术,提供事前告警、事后追踪的能力。
4.2本方案采用的主要密码和安全技术
针对以上安全要素,本方案采用以下技术。
●对称密钥体系
也称作约定密钥加密体系。对称密钥体系采用相同的密钥即可对信息进行加密和解密。
本系统使用的对称算法采用计算机安全模快系列密码方案,密钥长度为256位,用于对传输数据进行加解密。
●公开密钥加密体系
公开密钥加密体系采用两个密钥:公开密钥和秘密密钥。使用公开密钥加密,只能用对应的秘密密钥解密;或使用秘密密钥签名,只能用对应的公开密钥进行验证。
本系统使用的公开密钥算法采用RSA,用于对等实体鉴别、数字签名和抗抵赖。
●证书及密钥管理系统技术
证书是一个经证书授权机构CA数字签名的包含私钥持有者身份信息及其公开密钥信息的数字文件。CA的签名使得攻击者不能伪造和篡改证书,证书的作用是向接收者证明某人或某个机构对公开密钥的拥有。本方案使用的证书系统是卫士通公司专业面向某个行业各类安全应用系统的密钥管理解决方案。
●IDS入侵监测防范技术
本方案中使用了30所自行开发研制的网络安全入侵检测防范技术。
4.3方案设计的安全设备及功能
4.3.1客户端设备
客户端设备包括:
●桌面密码机:负责对用户数据进行加、解密及签名,读取IC
卡中的私钥及证书信息并进行运算处理
●IC卡:携带用户证书和私钥,供桌面密码机使用
●安全动态库:负责驱动桌面密码机并提供开发接口
●SSL安全代理(视具体用户情况可选,使用IE浏览器时使用)4.3.2服务器端设备
服务器端设备包括:
●服务器密码机:负责对用户数据进行加、解密,验证,保存用
户公钥、证书库。
●CA发卡及密钥管理系统:发放用户证书、私钥,用户IC卡制
作,证书及密钥管理(黒名单、注销、挂失等)。
●安全审计机:保存历史数据和用户签名码,进行安全审计
●入侵监测仪:对非法攻击进行监测,对系统安全漏洞进行检查
●安全代理服务器(使用WEB服务器时使用,可选)
4.3.3桌面密码机功能介绍
桌面密码机是卫士通公司开发的可供PC机使用的、便携式安全设备,可以保证存放在计算机中信息安全保密和完整,保证用户间通信的安全保密、身份认证和信息的真实、安全、完整。
功能特征:
●计算机通信数据的加密/解密
●计算机保密文件柜的实现
●信息完整性鉴别MAC、真实性鉴别、数字签名,认证、散列
算法
●高速智能IC卡密钥管理,CBC加密方式
●经国家主管部门测试审查通过的安全保密体系结构,经国家
主管部门审定通过的密码算法
●自身安全保护:打开机盒,密钥、密码算法自毁;DSP程序
不可读出;
4.3.4服务器密码机功能介绍
服务器密码机是本系统核心设备,主要提供数据加/解密;MAC 产生、验证;支持单向散列;数字签名;对等实体鉴别;用户权限控制;安全日志;基于非对称密码体制的对称密钥协商。
4.3.5鹰眼入侵监测仪简介
鹰眼网络安全监测仪通过实时收集网络通信数据,实时分析和识别网络攻击模式,根据用户自定义的网络安全策略对网络活动进行检查,捕获网络安全违规事件,提供实时报警,自动生成审计报告。
4.4安全设计网络拓朴图(见附件)
4.5方案设计的工作原理及流程
1、通过IC卡、桌面密码机和服务器密码机完成客户端与服务器间
的身份认证和密钥协商(密钥的保护由桌面密码机完成);2、由桌面密码机完成对用户数据的签名,服务器密码机完成对交
易数据的验证;
3、使用桌面密码机完成对链路数据的硬件级的加密(算法使用通
过国家鉴定的算法),服务器密码机完成相应的解密功能;
4、审计机保存审计数据完成审计功能;
5、CA完成证书的统一发放和管理;
6、入侵监测设备对漏洞进行扫描及非法攻击监测;
7、由卫士通提供统一的安全API接口,实现与办公应用系统无缝
连结。
4.6方案的特色
●方便可扩展性:30所是国家普密、商密产品的定点研制、生
产单位,同时也是国家863计划信息安全产业基地的主承建
单位,本方案可实现商密、普密技术的扩展更换,符合国家
有关保密规定。
●与应用业务无关,可以开发需要的新业务,我们的系统不需
要做任何更改。
●标准化,系统符合SSL3.0标准、证书符合X.509v3
●无缝升级,由专线、拨号网络可以无缝升级到Internet。我们
的系统不做任何改动,节约投资。
●安全性更高。我们采用的经过国家有关部门鉴定的产品服务
器密码机和桌面密码机对数据进行安全保护。密钥长度256bit,远远超过国内算法所使用的密钥长度128bit。同时采用硬件加密方式和完善的密钥保护方式,更加增强了安全性。
●热备份与负载均衡功能。采用多台服务器密码机可以实现负
载均衡和热备份功能,对业务系统的影响更小。
●易维护性。客户采用IE等浏览器,直接从WEB服务器下载
应用程序,方便了维护工作。
●终端系列化。可以根据客户的需求提供多种终端。目前的终
端有:桌面密码机(RS232)、桌面密码机(USB)、PCI卡、PCMCIA卡、服务器密码机等设备。可以根据业务的多少、繁忙程度、移动办公等配置不同的终端。
●具有完全自主知识产权,本系统所有产品均为国内自行研制,
是30所积数十年信息安全科研成果的结晶,且已在国家建设众多领域广泛运用。
5.卫士通安全方案报价
6.信息产业部三十所及卫士通公司概貌6.1所情简介:
电子部第三十研究所,创建于1965年。经过三十多年的发展,目前已成为国内设施最先进、人才最集中、成果最丰硕、规模最宏大的信息安全产品研究开发中心。三十多年来,取得科技成果300多项,95项获国家级和部级成果奖,其中国家科技进步一等奖2项、二等奖4项,部级特等奖2项、一等奖6项。1991年,江泽民总书记亲临30所视察,挥毫题下“通信卫士”四个大字,对该所的成就给予了最高赞誉。
30所拥有一支高素质的职工队伍,这是事业发展的根本保证。全所现有职工1300余人,其中百分之七十以上具有高等学历,研究员和高级工程师150人。该所是西南地区唯一具有硕士学位授予权的电子类研究所,并与电子科大联合培养博士生,能为科研第一线源源不断地输送高层次人才。30所与国内外学术团体联系广泛,与多家海外科研机构有长期合作关系,能够紧紧扣住世界相关科技发展的脉搏,及时开发出具有国际领先水平的产品。
30所视产品质量为企业的生命,1990年通过了“军工产品质量体系考核”,1994年首批获得国家“军工产品质量保证体系认证”证书,1995年又获得国家ISO9001认证证书。这一系列完善的质量监
控体系,为生产高品质产品提供了保障。
30所拥有各种安全保密信息网络和应用系统开发建设的丰富经验,已先后开发建设了安全保密综合业务数字网、安全分组数据网、无线数据网、智能网、安全会议电视系统、安全电子邮政系统、网间互连互通系统等,这些网系中的各种程控交换、分组数据交换、帧中继交换、图象控制切换、综合网络管理,复接/分接、终端、安全保密等设备均由30所自行开发生产。30所在数十个安全保密信息网系开发建设中的丰富经验。
6.2公司简介
深圳市卫士通信息安全技术有限公司由三十所发起成立并控股。以三十所技术人才及质保体系为依托,以现代公司先进灵活的运转机制参与市场竞争,为国防、党政、金融、国民经济各部门及各行各业提供了优质的产品和完善的售后服务,提供信息网络安全全面解决方案。
6.3中办机要局(89)402号发文,三十所被批准为首批普密科研生产单位。
7已承担典型重要党政信息安全工程
(一)党政政务类
●中共中央纪律检查委员会办公网安全工程
●中共中央组织部办公网安全工程
●信息产业部办公网安全工程
●交通部安全网安全工程
●国家计划生育委员会安全工程
●铁道部办公网安全工程
●国家冶金工业局信息网安全工程
●最高人民检察院办公网安全工程
●新华社卫星网安全工程
●中国民航管理局金航网络安全工程
●国家计划委员会信息系统安全工程
●公安部会议电视安全加密系统
●国家邮政总局内联网安全工程
●四川省人民政府政务信息网安全解决方案
●成都市人民政府电子政务信息系统工程
●上海市人民政府密钥管理中心及安全证书中心工程
(二)银行金融类
●全国金卡工程:人民银行北京总中心、上海、厦门、杭州、福州、昆明、石
家庄、深圳等中心安全工程
●光大银行阳光卡网络安全工程
●华夏银行网络安全工程
●中信实业银行内联网络安全工程
●辽宁省人民银行金融网安全工程
●农业银行总行办公网安全工程
●中国银行总行办公网安全工程
●交通银行总行办公网安全工程
●国家开发银行办公网安全工程
●国家进出口银行办公网安全工程
●上海金融IC卡安全工程
●深圳国库、税务、财政、银行联网安全工程
●重庆交通银行企业银行安全系统工程
●重庆工商银行企业银行安全系统工程
●兰州交通银行企业银行安全系统工程
●苏州农业银行企业银行安全系统工程
●招商银行总行信用卡安全系统改造工程
●深圳市工商银行
广东发展银行总行8附件
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
小区门禁管理系统解决方案
智能化住宅小区出入管理系统 方 案 计 划 书
设计日期:2016年7月
第一章.方案的提出 (1) 第二章.系统概述设计原则和规范依据 (1) 2.1.系统概述 (1) 2.2.设计原则 (2) 2.3.主要设计依据规范 (3) 第三章.门禁系统的身份识别模式功能作用和本方案推荐产品的特点 (3) 3.1.身份识别模式 (3) 3.2.系统的功能和作用 (3) 3.3.本方案推荐的产品特点 (4) 第四章.门禁系统的基本组成示意图组网布线拓扑示意图 (7) 4.1.门禁系统的基本组成示意图 (7) 4.2.门禁系统组网布线拓扑示意图 (8) 第五章.门禁系统软件及功能介绍 (9) 5.1.智能门禁管理软件介绍 (9) 5.2.门禁管理基本功能、扩展功能和行业性专业功能 (10) 5.2.1.门禁管理的基本功能 (10) 5.2.2.门禁管理的扩展功能 (11) 5.2.3.门禁管理的行业性高级专业功能 (12)
第1章.方案的提出 无休止的上门推销人员打扰小区住户正常的生活秩序保安短暂离开岗亭时,不明身份的人趁机进入了小区小偷在小区内偷盗后,方便地转移或将物品送出小区闹事人员群体闯入小区,值班保安势单力薄无法阻挡非典时期外来人员,进出小区频繁保安错误地将似曾相识的陌生进等等…… 您是否正为一些繁琐的物业管理事务困扰着?智能化感应式 IC 卡住宅小区门禁管理系统可以帮助您解决一些物业管理中面临的繁琐的问题,并提高工作效率,改善小区环境,让物业管理人员更加轻松有效地进行管理,让业主和住户在更加安全、更加有秩序的小区环境里生活。 第2章.系统概述设计原则和规范依据 2.1.系统概述 随着社会经济的发展,城市面貌日新月异,各种高尚住宅小区如雨后春笋。而怎样满足住户对居住环境日益提高的要求,怎样对小区或大厦进行合理、有效、安全的管理,在现今科技迅速发展的条件下,必须有一套适合现今发展格局的新的管理方式。 我们已及时、成功地为社会提供了先进、可靠而且行之有效的方案及管理系统――基于国际安全协议Wiegand 总线技术的结合感应式 IC 卡射频感应技术和 Philips 射频卡加密技术。该感应式 IC 卡出入管理控制系统(门禁系统)可以和小区感应式 IC 卡消费系统感应式 IC 卡停车场管理系统等模块扩展成为小区一卡通管理系统。随门禁软件我们也附送了适合物业管理人员和保安管理的考勤管理软件,适合保安巡逻监督管理的在线式巡更系统,适合物业管理人员和保安的定额就餐管理系统,适合物业管理财务等重要部门使用的防盗报警系统,适合物业管理部门和业主委员会使用的会议签到管理系统。等等,这些随门禁管理系统附送的一卡通管理软件,可以帮助物业管理部门在安装了门禁系统后,不花钱或者少花钱而获得超值的一卡通功能。 感应式 IC 卡门禁系统集电脑技术、电子技术、机械技术、磁电技术和非接触式 IC 卡技术于一体,使卡与锁之间实现完整的“对话”功能,以智能来控制门锁的开启,从而开创了门禁管理的新概念。它不仅给管理者提供了更安全、更便捷、更自动化的管理模式,而且也给使用者带来了极大的方便。
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
智能门禁系统解决方案
智能门禁系统解决方案 一、门禁概述 目前,门禁系统已成为安全防范系统中极其重要的一部分,在一些发达国家中,门禁系统正以远远高于其它类安防产品的进度迅猛发展;门禁系统之所以能在众多安防产品中脱颖而出,根本原因是因为其改变了以往安防产品如闭路监控,防盗报警等被动的安防方式,以主动地控制替代了被动监视的方式,通过对主要通道的控制大大地防止了罪犯从正常通道的侵入,并且可以在罪案发生时通过对通道门的控制限制罪犯的活动范围制止犯罪或减少损失。 近年来,门禁系统由于其自身的优势,已在国内悄然兴起,包括邮电系统,供电系统,银行系统,住宅小区,度假村等各种类型的场所都已有使用门禁系统的范例,通过这套系统的使用极大地提高了管理者的工作效率和管理区域内的安全程度。 我们推荐使用感应式门禁系统,感应式门禁系统相对于以往传统的接触式门禁系统(如IC卡,磁卡,条码卡,TM卡等门禁系统),具有更多的优点,通过这套系统,可以实现对人员权限的明确限定,无论是内部人员或外部人员,都可以通过对权限的设置清楚地界定可以自由出入的范围,并对人员的进出情况进行纪录,以备查询,极大的解放了人员管理的压力,并可达到在提高安全度的情况下节约人力的效果。我们可以结合考勤,巡更等功能,更可以通过联动来实现对其他设备的的控制,如消防联动、灯光和空调控制。这套系统具有性能稳定,功能强大的特点,在以往的众多工程项目中多有体现。 门禁系统概述: 系统构成:门禁机主机、电动锁、射频卡及其他选购件(如门铃、报警器、自动拨号器、门窗磁感应开关等)。与传统的钥匙开门不同,它用非接触式的射频IC卡开门,可以实现一卡开多个门,有不同的权限控制管理,卡对门的控制可以通过简单的注册方式来完成,即一个卡可以开指定的、不同的门,一个门可以用指定的多张卡来开。集员工考勤功能与一体。 2、门禁机的特点: DCU90008N控制器以“安全控制中心”为主导思想而设计,结合非接触式IC卡技术,通过对门进行控制,以及通过红外报警器、防盗报警等各种报警信号接入,控制电话拨号报警、扬声报警等,可以实现区域安全防范的控制功能。 3、射频卡特点: 射频卡即感应卡,也叫非接触式ID卡,卡内含有唯一的独立的卡号,使用时,工作人员只需将登录卡在控制器读感区内(一般为8cm)将卡片轻轻一
统一身份认证-CAS配置实现
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
身份认证、接入控制解决方案
身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别,杜绝非法入侵和接入保护为 主要设计理念,金盾准入控制保护系统是金盾软件公司独创的,国际领先的 产品功能,是产品的核心功能之一,具有实施简单,主动发现、自动防御、效果显著等特点,极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料? □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统?
方案功能 安全状态评估 □终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。 □终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。 □终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后,定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。 □网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。 □软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。 □内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
智慧工厂可视化门禁管理系统解决方案
智慧工厂可视化门禁管理系统解决方案 1.1 系统组成 系统主要由前端设备、中间传输网络与管理中心设备组成。 前端设备由门禁读卡器、电控锁、开门按钮及门禁控制器等组成。主要负责采集与判断人员身份信息与通道进出权限,结合电锁控制对授权人员放行。传输网络主要负责数据传输,包括门边设备与门禁控制器之间,以及控制器与管理中心之间的数据通讯。管理中心负责系统配置与信息管理,实时显示系统状态等,主要由管理服务器与管理平台组成。
1.2 系统功能 设置门禁系统的主要目的是要对人员通行权限的管制,通过读卡器或生物识别仪辩识,只有经过授权的人才能进入受控的区域门组,读卡器能读出卡上的数据或生物识别仪读取信息并传送到门禁控制器,如果允许出入,门禁控制器中的继电器将操作电子锁开门。 门禁管理系统可以采用多种门禁方式(单向门禁、双向门禁、刷卡+门锁双重、生物识别+门锁双重)。对使用者进行多级控制,并具有联网实时监控功能。 本系统的实施将有效保障企业内的人、财、物的安全以及内部工作人员免受不必要的打扰,为该项目建立一个安全、高效、舒适、方便的环境。 1)发卡授权管理 系统采用集中统一发卡、分散授权模式。由发卡中心统一制发个人门禁卡和管理卡,再由门禁系统独立授予门禁卡在本系统的权限。系统可对每张卡片进行分级别、分区域、分时段管理,持卡人可进出授权的活动区域。 2)设备管理 该子系统能实时监控门禁系统各级设备的通信状态、运行状态及故障情况,当设备发生状态变化时自动接收、保存状态数据;开启多个监视界面对不同设备进行分类监管;实现各类设备的数据下载、信息存储查询及设备升级等操作。
3)实时监控 系统管理人员可以通过客户端实时查看每个门人员的进出情况(客户端可以显出当前开启的门号、通过人员的卡号及姓名、读卡和通行是否成功等信息)、每个门区的状态(包括门的开关,各种非正常状态报警等),也可以在紧急状态远程打开或关闭所有的门区。 4)权限管理 系统可针对不同的受控人员,设置不同的区域活动权限,将人员的活动范围限制在与权限相对应的区域内;对人员出入情况进行实时记录管理。实现对指定区域分级、分时段的通行权限管理,限制外来人员随意进入受控区域,并根据管理人员的职位或工作性质确定其通行级别和允许通行的时段,有效防止内盗外盗。 系统充分考虑安全性,可设置一定数量的操作员并设置不同的密码,根据各受控区域的不同分配操作员的权限。5)动态电子地图 门禁子系统以图形的形式显示门禁的状态,比如当前门是开门还是关门状态,或者是门长时间打开而产生的报警状态。此时管理人员可以透过这种直观的图示来监视当前各门的状态,或者对长时间没有关闭而产生的报警门进行现场察看。同时拥有权限的管理人员,在电子地图上可对各门点进行直接地开/闭控制。
sso_统一身份认证及访问控制解决方案
统一身份认证及访问控制 技术方案
1.方案概述 1.1. 项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。 1.2. 系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: ?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 ?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 ?基于角色访问控制:根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
智能门禁管理系统解决方案
智能门禁管理系统 解决方案 1
智能门禁管理系统建议方案 目录 第一章、智能门禁管理系统.............. 错误!未定义书签。1系统概述........................... 错误!未定义书签。2系统特点........................... 错误!未定义书签。3门禁系统的主要功能................. 错误!未定义书签。4门禁管理软件的主要功能............. 错误!未定义书签。5门禁系统结构....................... 错误!未定义书签。6系统工作流程....................... 错误!未定义书签。第二章、系统解决方案.................. 错误!未定义书签。 1、需求分析 ......................... 错误!未定义书签。2总体设计原则....................... 错误!未定义书签。 2.1 以人为本....................... 错误!未定义书签。 2.2适用性 ......................... 错误!未定义书签。 2.3先进性 ......................... 错误!未定义书签。
2.4可靠性 ......................... 错误!未定义书签。 2.5实施的可行性 ................... 错误!未定义书签。 2.6可扩充性 ....................... 错误!未定义书签。 2.7安全性 ......................... 错误!未定义书签。 2.8针对性 ......................... 错误!未定义书签。3设计遵循的规范..................... 错误!未定义书签。4系统总体设计....................... 错误!未定义书签。 4.1数据通讯模式 ................... 错误!未定义书签。 4.2系统结构模式 ................... 错误!未定义书签。 4.3布线方式 ....................... 错误!未定义书签。 4.4终端识别模式 ................... 错误!未定义书签。 4.5管理软件 ....................... 错误!未定义书签。5系统配置方案....................... 错误!未定义书签。 5.1单一IC卡识别门禁系统........... 错误!未定义书签。 5.1.1 金属防屏蔽读卡器............ 错误!未定义书签。 5.1.2 网络型IC卡门禁控制器....... 错误!未定义书签。 5.1.4 双联磁力锁.................. 错误!未定义书签。 5.1.5 非接触式IC卡............... 错误!未定义书签。 5.2单一指纹识别门禁系统............ 错误!未定义书签。 5.2.1 指纹识别器.................. 错误!未定义书签。 5.2.2 网络型指纹门禁控制器........ 错误!未定义书签。 5.2.3 双联磁力锁.................. 错误!未定义书签。
大厦门禁系统方案
某大厦门禁系统设计方案 1. 设计思想 门禁系统是大厦安防系统的重要组成部分,也是大厦智能化管理的体现。性能可靠、操作简便、技术先进、扩展性强、维护方便是我们的设计思想;为用户着想,使业主的投资更合理是我们的宗旨。 2. 系统选用 门禁系统选用美国北方电脑(NORTHERN COMPUTERS,INC)公司门禁系统。北方电脑公司成立于1982年,已成为出入口控制和智能建筑安保行业具领导地位的生产厂家,该产品以优异的性能,稳定的质量,已连续3年(97-99)稳据美国门禁市场冠军。于1999年初被ADEMCO收购。现为美国安定宝(ADEMCO)集团子公司。美国ADEMCO( ALARM DEVICE MANUFACTURING COMPANY )公司1929年于美国成立,直属美国PITTW AY集团(全美五百大财团之一),如今已成为全世界最大的电子防盗产品制造商,始终保持产品高科技水平,领导安全防范市场。 3 系统概述 本系统选用的美国北方电脑公司生产的最新型门禁控制系统和WIN-PAK中文管理软件,具有全面完善、稳定可靠、易于扩展的门禁控制管理功能;对大厦内重要区域、通道及出入口进行监控管理,能对各通道口的位置、通行对象及通行时间等进行实时控制或设定程序控制,同时对重要的设备机房、控制室等进出通道实行IC卡无接触式监控管理,能对大厦人员的位置、对象及出入时间等进行实时控制或设定程序控制。 4 系统构成 门禁控制系统由以下设备构成: ●控制软件( WIN-PAK SOFTWARE ) ●控制箱 ( N-1000-Ⅳ ) ●电脑接口 ( N-485-PCI-2 )
●感应读卡器 ( PR-MINI-PRO ) ●感应卡 ( PX-4-H ) ●电锁 ●开门按钮 ●门磁 图三门禁系统结构示意图
统一认证平台的设计方案(XXXX互联网接入平台建设方案)
XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网和公司内部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 (一)覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 (二)接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统,并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司内网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入内部网络。 (三)多运营商接入需求
公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。 (四)身份认证及单点登录需求 由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限范围内的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。 (五)安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施,防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。 二、方案设计
统一身份认证系统技术研究
统一身份认证系统技术研究 一、背景 目前公司产品中的各个子系统正在从原来高耦合的整合系统模式向现在的高内聚低耦合的系统模式发展,例如:现在的LIS、PACS、移动医疗、电子病历已经能够从原来的HIS系统中分离出来独立运行。另外,与第三方系统的互联互通的需求也愈来愈多。各个系统之间的低耦合使得系统的访问控制和信息安全问题愈见突出,原来整合系统的统一的认证、授权、账号管理模式被各个系统的分立的状况打破,特别是对于外部系统的互联互通,原来的模式更是走不通。另外,目前所采用的数据库内部认证和授权方式以及通过调用接口或者WebService接口,虽然是一种有效地补充,但是仍然存在效率和规范的问题。 因此,构建一个完整统一、高效稳定、安全可靠的统一身份认证和管理平台已经成为目前产品体系下的一种需要。 二、统一身份认证系统的功能、规范与技术要求 统一身份认证系统的最基本功能要求就是对于各个系统间的用户进行统一管理,让用户使用系统时更加方便,无需反复登录系统。统一身份认证系统应从功能方面满足以下要求: 1、用户只需在统一身份认证系统中登陆一次后,就可以使用基于统一身 份认证系统认证的所有系统,无需再记忆多套用户名和密码。 2、管理员可以对所有系统的用户进行统一管理,可以对用户的权限进行 统一分配。实现系统的分布式应用,集中式的管理。 3、统一身份认证系统下的各个业务系统之间,用户数据必须保持一致性。 用户数据必须同步更新。 统一身份认证平台应满足4A安全管理框架规范,4A框架的内容为 身份认证(Authentication) 身份认证是信息安全的第一道防线,用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
小区门禁管理系统解决方案完整版
小区门禁管理系统解决 方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
智能化住宅小区出入管理系统 方 案 计 划 书 设计日期:2016年7月
方案的提出 无休止的上门推销人员打扰小区住户正常的生活秩序保安短暂离开岗亭时,不明身份的人趁机进入了小区小偷在小区内偷盗后,方便地转移或将物品送出小区闹事人员群体闯入小区,值班保安势单力薄无法阻挡非典时期外来人员,进出小区频繁保安错误地将似曾相识的陌生进等等…… 您是否正为一些繁琐的物业管理事务困扰着?智能化感应式IC卡住宅小区门禁管理系统可以帮助您解决一些物业管理中面临的繁琐的问题,并提高工作效率,改善小区环境,让物业管理人员更加轻松有效地进行管理,让业主和住户在更加安全、更加有秩序的小区环境里生活。 系统概述设计原则和规范依据 系统概述 随着社会经济的发展,城市面貌日新月异,各种高尚住宅小区如雨后春笋。而怎样满足住户对居住环境日益提高的要求,怎样对小区或大厦进行合理、有效、安全的管理,在现今科技迅速发展的条件下,必须有一套适合现今发展格局的新的管理方式。 我们已及时、成功地为社会提供了先进、可靠而且行之有效的方案及管理系统――基于国际安全协议Wiegand总线技术的结合感应式IC卡射频感应技术和Philips射频卡加密技术。该感应式IC卡出入管理控制系统(门禁系统)可以和小区感应式IC卡消费系统感应式IC卡停车场管理系统等模块扩展成为小区一卡通管理系统。随门禁软件我们也附送了适合物业管理人员和保安管理的考勤管理软件,适合保安巡逻监督管理的在线式巡更系统,适合物业管理人员和保安的定额就餐管理系统,适合物业管理财务等重要部门使用的防盗报警系统,适合物业管理部门和业主委员会使用的会议签到管理系统。等等,这些随门禁管理系统附送的一卡通管理软件,可以帮助物业管理部门在安装了门禁系统后,不花钱或者少花钱而获得超值的一卡通功能。 感应式IC卡门禁系统集电脑技术、电子技术、机械技术、磁电技术和非接触式IC卡技术于一体,使卡与锁之间实现完整的“对话”功能,以智能来控制门锁的开启,从而开创了门禁管理的新概念。它不仅给管理者提供了更安全、更便捷、更自动化的管理模式,而且也给使用者带来了极大的方便。 设计原则 由于安全性和高效率管理的需要,门禁系统的设计应遵循下列原则: 系统的实用性 门禁系统的功能应符合实际需要,不能华而不实。如果片面追求系统的超前性,势必造成投资过大,离实际需要偏离太远。因此,系统的实用性是首先应遵循的第一原则。同时,系统的前端产品和系统软件均有良好的可学习性和可操作性。特别是可操作性(便捷性),使具备电脑初级操作水平的管理人员,通过简单的培训就能掌握系统的操作要领,达到能完成值班任务的操作水平。 系统的稳定性 由于门禁系统是一项不间断长期工作的系统,并且和我们的正常生活和工作息息相关,所以系统的稳定性显得尤为重要。要求该产品系统要有五年以上市场的成功应用经验,拥有相应的客户群和客户服务体系。 系统安全性 门禁系统中的所有设备及配件在性能安全可靠运转的同时,还应符合中国或国际有关的安全标准,并可在非理想环境下有效工作。强大的实时监控功能和联动报警功能,充分保证使用者环境的安全性。 系统可扩展性
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
身份管理平台解决方案
身份管理平台解决方案 1. 应用背景 计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,在企业信息化过程中,诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生,提高了企业的管理水平和运行效率。与此同时,各个应用系统都有自己的认证体系,随着应用系统的不断增加,一方面企业员工在业务系统的访问过程中,不得不记忆大量的帐户口令,而口令又极易遗忘或泄露,为企业带来损失;另一方面,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。 在上述背景下,企业信息资源的整合逐步提上日程,并在此基础上形成了各业务系统统一认证、单点登录(SSO)和信息综合展示的企业门户(Portal)。现有的门户产品多集中于口令方式的身份认证,如何更安全的进行统一认证,并保证业务系统访问的安全性,成为关注的焦点。 2. 基于CA认证的统一身份管理平台 时代亿信推出的基于CA认证的统一身份管理平台解决方案,以资源整合(业务系统整合和内容整合)为目标,以CA认证和PKI技术为基础,通过对用户身份的统一认证和访问控制,更安全地实现各业务系统的单点登录和信息资源的整合。 平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式,并采用SSL 加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。 2.1 系统功能及架构 平台的系统架构如图1所示,主要包括以下部分: 门户系统(Portal):各业务系统信息资源的综合展现; 平台管理系统:平台用户的注册、授权、审计;各业务系统的配置;门户管理; CA系统:平台用户的数字证书申请、签发和管理; 用户统一认证:用户身份的CA数字证书认证、认证过程的SSL加密通道; 单点登录(SSO):业务系统关联(mapping)、访问控制、访问业务系统时信息的加密签名和SSL加密通道; 图1 基于CA认证的统一身份管理平台架构 2.2 系统的实现和安全机制 2.2.1 用户注册和授权 (1)企业每一个用户在平台完成用户注册,得到自己的统一帐户(passport); (2)如果采用证书文件或USB智能卡认证方式,则CA系统自动为平台用户签发数字证书,并与用户的统一帐户对应。 (3)注册的用户可以由管理员进行分组,并根据分组设定相应的业务系统访问权限。 2.2.2 业务系统的配置 接受统一认证的业务系统必须完成以下工作: (1)安装业务系统访问前置并配置证书和私钥,用以建立客户端与业务系统之间的SSL 加密通道,并接收处理平台提供的加密签名的用户认证信息; (2)提供关联(mapping)接口和访问验证接口,并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息(可能包括业务系统的用户名和密码)的对应关系。
电梯门禁控制系统解决方案
梯控系统解决方案
所谓的"梯控"其实就是一种电梯控制技术,在原有的电梯上安装一个类似"门禁"的系统装置,只有刷卡后电梯才会启动,将业主送到其要达到的楼面。 一、梯控基本原理 1.基本功能能自动识别IC卡的类别和权限,防止无卡人员非法使用电梯,控制器一旦有硬件和软件故障,可立即使电梯自动恢复为自由状态,可按选层钮乘梯与电梯的消防紧急开关实现联动的功能。独特的内嵌式密码键盘,代替IC卡操作。住户可自行修改密码,无须管理人员参与,减少繁琐的管理工作,增加安全性。 2.管理功能 系统管理:设置系统管理人员和操作人员权限。 发卡管理:IC卡初始化、换卡、补卡、黑名单、挂失等。 权限设置:设置持卡人楼层权限; 时段设置:时间、日期、节假日等进出电梯许可权设置; 电梯开放使用时段:按时段切换到非IC卡控制状态、楼层开放时段、某个IC卡的有效时段。 3.记录功能 控制器记录每次操作(包括卡号、刷卡时间、登记楼层等信息) 该记录可通过采集器或联网在管理中心计算机上读出,并可按时间、电梯号、特定持卡人等进行检索查询,并自动生成各种综合管理报表。 4.扩展功能 支持消防联动、BA联动; 支持楼宇对讲系统智能联动开放业主对应楼层电梯权限功能;
更多的根据客户要求增加其它一卡通子系统的扩展; 5.系统特点 系统IC卡控制设备安装于轿箱内或轿顶,联动信号采集设备安装于梯井内或楼宇弱电竖井内; 脱机、联网两种管理模式,自带RS485接口,可通过网络或数据采集器与电梯管理电脑进行数据上传、下载等;鉴于系统的施工和检修方便,此项目为脱机模式。 时间段限制:灵活设置刷卡使用时段(即IC卡控制时段)和不刷卡使用时段(即开放使用时段),可针对楼栋、电梯号、某个电梯楼层进行个性化设置,二者功能过时间段后会自动转换。 刷卡直达:刷卡直接登记,无需按键,彰显智能,卡片内只有一个楼层权限的用户,可以实现刷卡直达功能。
门禁管理系统解决方案.doc
1.1.门禁管理系统 1.1.1.概述 门禁管理系统是非接触式IC卡一卡通系统的子系统之一,同时也是大楼综合保安系统的重要组成部分,其设计之主要目的是为实现人员出入权限控制及出入信息记录。 当人员进门时只需持卡靠近读卡器进行读卡,读卡器接触到IC卡信息后,门禁控制器首先判断该卡号是否合法,如合法则发出“滴”一声,绿灯点亮,同时开锁,并将该卡号、日期、时间等信息保存以供查询。否则门不打开,红灯亮,蜂鸣器发出“滴滴”两声。 几乎在所有的一卡通系统中,门禁比重是最大的,对整个安防领域来说,门禁系统发挥的作用是至关重要的,由于门禁系统是一项不间断长期工作的系统,并且和我们的正常生活和工作息息相关,所以门禁系统的稳定性显得尤为重要。甚至可以说是决定一卡通系统稳定与否的最关键因素。 1.1. 2.系统架构与拓扑图 披克门禁系统TCP/IP一级结构方案,稳定可靠、功能全、性能好,性价比高,适应于各种大、小系统的不同应用场合;特别适应实时性要求高,或单个门用户量大、脱机信息存储量大的场合 TCP/IP一级结构控制器采用采用32位ARM9CPU,TCP/IP通讯,实时性强、能实时上传各种报警、数据信息;功能强大,持卡人数40000个(可扩10万个),信息10万条;适应实时性要求强、安全性高、功能全的场合,拓扑图如下:
1.1.3.门禁系统主要功能特点 1)系统容量大 整个系统管理的人员可以管理超过1000000人,具体到每个门可管理3000人进出,系统可以同时管理并处理上万个门禁点的实时数据(包括读卡、按钮、各种报警)。 2)简便易学、清晰鲜明的软件架构设计 全中文Windows XP风格软件操作界面,无需专业知识即刻轻松掌握,培训学习更加轻松.远离国外品牌繁琐复杂的操作培训 3)无缝兼容Wigand协议输入设备 核心科研机构、财务部门、数据机房等涉及金融、科研机密的高安全门禁,万一卡片遗失没有及时挂失,给不法分子可乘之机,财产的失窃、科研人员的研究成果泄密,将给用户单位造成不可挽回的损失,凡在安全级别高、人员少的门禁,披克建议: 1、密码读卡器,实现卡+密码方式双重认证 2、读卡前端采用指纹、面部、虹膜等生物识别 披克所有门禁系列产品都无缝兼容Wigand协议输入设备 4)多级权限控制 系统管理员:在登陆系统软件时,需要输入用户名、密码,系统管理员可以设置多级操
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
小区门禁管理系统解决方案
小区门禁管理系统解决方案 时间:2010-3-11 10:15:20 作者:孙亚涛来源:深圳市奥仕德科技有限公司点击数:该小区门禁一卡通系统分为以下几个子系统: 1、门禁管理系统 2、停车场管理系统 3、发卡管理中心 1、门禁管理系统: 以上门禁系统门禁共有22个门禁点,其中小区大门进、出口处安装门禁一体机SD-801B,单元门安装嵌入式门禁模块SD-818B。单元门后门安装门禁一体机 SD-801B。空中花园的通道安装门禁一体机SD-801B。设计为进门刷卡开门,出门使用出门按钮开门。系统根据小区门禁点的楼层分布采用SD-818B嵌入式门禁模块及SD-801B单门禁控制器,门上安装磁力锁、门内安装出门按钮构成每个小区门禁点的门禁设备。 2、停车场管理系统: 停车场管理系统主要在小区大门出入口设置一进一出SD-618P停车场控制系统。 为了管理上的方便与系统设计的集成性,集中管理,系统共用一个发卡管理平台,系统均采用非接触式ID卡。本方案拟采用RS485进行组网,该组网方式通讯稳定安全。 该小区门禁系统的门禁组织结构图如下:
下面分别对二个系统的设计进行描述。 3.1、门禁管理系统 门禁系统由以下产品组成: ID非接触感应卡片(卡上能印刷管理中心统一设计的图案) 嵌入式门禁模块(SD-818B) 单门门禁一体机(SD-801B) 发卡器(如SD-301B) 磁力锁 专用电源(12V/3A) 通讯集线器(SD-300S) 管理工作站(安装门禁、停车场管理软件) 3.1.2.4、系统容量及分布情况 以上门禁系统门禁共有22个门禁点,其中小区大门进、出口处各安装一台门禁一体机SD-801B,一楼四个单元门安装四台嵌入式门禁模块SD-818B。并在四个单元门后门安装四台门禁一体机SD-801B。在旁边上空中花园的通道为一个,安装门禁一体机SD-801B。二楼共有四个单元门,分别安装四台嵌入式门禁模块SD-818B.并在四个单元门后门安装四台门禁一体机SD-801B.进夹层门禁通道点为三个,分别安装三台SD-801B门禁一体机。设计为进门刷卡开门,出门使用出门按钮开门。系统根据门禁点的楼层分布采用SD-818B嵌入式门禁模块及SD-801B单门禁控制器,门上安装磁力锁、门内安装出门按钮构成每个门禁点的门禁设备。