统一认证系统设计方案
基础支撑平台
第一章统一身份认证平台
一、概述
建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能:
为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。
提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。
系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。
单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务
单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。
同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。
二、系统技术规范
单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。
Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的
Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。
Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点:
(1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点
登录服务;
(2). 联盟的应用系统无需大量改造,不需要用户信息大集中,不影响系统原有业务逻
辑与性能;
(3). 以用户为中心,保护用户信息安全和隐私;
(4). 支持多种、多等级的、安全的用户登录认证方式等。
支持的认证技术
联盟化单点登录原理与场景图示:
同域单点登录
跨域单点登录
三、单点登录系统功能
1. 单点登录
(1).支持单点登录、单点登出
(2).支持平台安全域下用户的“一点认证,全网通行”和“一点登出,整体退出”。
(3).支持多个IDP/SP间的联合互信
(4).支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度
决定是否联盟。
(5).支持联盟信息的管理
(6).支持IDP联盟信息的管理或配置功能。
(7).不影响正常的业务逻辑与性能。
2. 支持Liberty ID-FF v1.2规范
(1). 系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准
Liberty ID-FF 1.2规范;
(2). 支持Liberty规范中的所有功能,包括单点登录、整体退出、账号联盟和解盟、
注册名重新注册(Account Linking)、联合互信等功能;
(3). 系统本身提供了一个完整的Liberty Alliance联合互信平台,以部署在各个需要
通过联合互信标准集成的SP方,以加快IDP和各SP的集成;
(4). 提供扩展的站点转送功能,为客户提供更符合实际应用的功能;
(5). 一个IDP服务器可以同时支持一个或多个SP服务器;
(6). 一个SP服务器可以同时支持一个或多个IDP服务器;
(7). 系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以
支持方便和灵活的应用集成;
3. 支持多种、多级别认证方式
(1). 支持多种认证方式,已经支持的就包括LDAP认证、JDBC认证、SecurID认证
等;
(2). 系统具有标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持
第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证;
(3). 支持分布式认证的部署方式:即将认证界面部署在任何一个Web应用服务器上,
而实现多种认证支持的统一认证服务器部署在内网中,以保证认证的安全性和扩展性;
(4). 系统本身支持session的互信机制;
(5). 系统支持多级别认证方式:用户名/密码认证、数字证书认证、动态口令认证,
等等。通过适配器的扩展,可以支持更多的认证方式;
(6). 支持多种应用场景的认证请求
(7). 门户认证:支持接收自服务门户的认证(个人用户门户、SP门户、运营商门户)
请求;
(8). 支付认证:支持支付流程中需要用到的支付安全认证请求;
(9). 业务认证:支持业务流程中需要用到的用户身份认证请求;
(10). 单点登录认证:支持单点登录的认证请求;
(11). 支持认证方式的生命周期管理;
(12). 支持认证方式的注册、修改、删除;
(13). 支持认证方式状态的变更(开通、暂停、恢复、注销);
(14). 支持认证方式相关参数的配置;
(15). 支持认证等级的配置。
4. 认证的安全控制
主要保障身份认证的安全,基本要求如下:
(1).平台用户身份认证安全控制
凡是输入用户名/密码的页面均由平台提供;
凡是输入用户名/密码的地方均采用HTTPS的方式进行通信;
(2).第三方系统用户身份认证安全控制
对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户体验和流程安全性,所有传送过程中都对信息进行加密操作。
(3).其它认证安全手段控制
服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等现象的发生。
5. 兼顾灵活性和通用性
(1). 单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器,不需要依赖
其它的应用服务器;
(2). 集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括:Apache,
Microsoft IIS,Sun/Netscape Web Server;Tomcat,BEA WebLogic, IBM
WebSphere, Sun Java System Application Server;等等。
(3). 单点登录支持保护型单点登录方式(即将应用通过Agent保护起来的安全方式),
也支持代理单点登录方式;
(4). 支持同域或跨域的联合互信、单点登录。
6. 在一台机器上运行多个服务器
(1). 在一个单点登录服务器上同时运行IDP和SP服务器;
(2). 在一个单点登录服务器上同时运行多个SP服务器;
(3). 在一个单点登录服务器上,就可以建立起一个完整的信任圈和联盟化商业网络;
(4). 在学校内部运行一个单点登录服务器,可以支持所有的Web应用系统的单点登
录;
(5). 电信或ASP只需一个单点登录,就可以为所有的SP提供基于Liberty的Web
单点登录功能;
(6). 强大的管理功能,可以独立管理单点登录中的每个服务器实例,包括IDP服务
器和所有的SP服务器;
7. 灵活的Web管理界面
(1). 同一个管理界面,管理所有的IDP和SP服务器;
(2). 管理界面根据服务器的角色(IDP、SP、或者同时是IDP和SP)而自动调整管
理功能;
(3). 统一管理所有合作伙伴的联盟信息;
(4). 提供快速建立合作和联盟关系的功能;
(5). 管理一个或多个数据源,包括关系数据库和LDAP目录的数据源,同时提供数据
源连接测试的功能,以保证配置无误;
(6). 可以为每个服务器独立配置数据源;
(7). 改动服务器配置而不需要重新启动服务器,为客户提供24x7的可用时间;
8. 全方位的证书管理功能
(1). 提供全方位的证书和密钥管理功能,包括签名密钥和证书、SSL服务器证书、
SSL客户端密钥和证书等;
(2). 生成新的公钥和私钥对,支持标准的算法(RSA和DSA),支持不同长度的密钥,
包括1024位、2048位、4096位等;
(3). 生成自己签发的证书,支持X.509 v3的证书格式;
(4). 生成和导出证书请求信息;
(5). 最容易使用的证书导出和导入的功能,包括导入从证书机构接到的、和从合作伙
伴接到的证书。
9. 易用的元数据交换功能
(1). 提供快速建立合作和联盟关系的功能;采用单点登录,建立联盟关系不再是复杂
的事情,只需要点击几下就可以完成的工作;
(2). 全方位的元数据导出和导入的功能,加快建立联盟关系的速度和避免无谓的错
误;
(3). 元数据导出和导入的功能,一步到位,一次性把所有建立联盟关系的工作完成;
10. 强大的机群部署功能
(1). 强大的机群部署功能,管理员通过一个Web管理界面,可以管理机群中的所有
服务器节点;
(2). 所有服务器节点都是平等的,没有主从的概念,任何一台服务器节点都可以独立
运行;
(3). 所有服务器配置和SSO会话信息在机群的节点上实时同步,自动提供故障转移
(Fail Over)的功能;
(4). 可横向扩展的机群部署,支持最严格的容错(Fault Tolerance)需求;
(5). 支持基于硬件或基于软件的负载均衡器。
四、系统功能特点
单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范,同时与市场同类技术相比有着以下优点:
(1). 全方位支持标准Liberty ID-FF v1.2规范,支持从中型到最大型的联盟化部署,
支持规范中所有功能:单点登录、整体退出、账号联盟和解盟等功能;
(2). 扩展站点转送功能,为客户提供更符合实际应用的功能;
(3). 支持SAML(Secure Assertion Markup Language 安全性断言标记语言)规范、
XML(Extensible Markup Language 扩展性标识语言)数字签名规范、SOAP (Simple Object Access Protocol简单对象访问协议)和Web服务协议等;
(4). 支持跨域部署模式,提供跨域单点登录功能;
(5). 支持多种多级登录认证机制,如用户名/密码、动态口令、等等;
(6). 支持现有的用户管理系统,包括LDAP(Light Directory Access Protocol,轻量
级目录访问协议)目录、数据库,等等;
(7). 支持多种多级认证方式:普通口令、数字证书、动态口令、指纹识别、IC智能
卡等认证方式,支持第三方认证系统、权限管理系统;
(8). 系统功能强大:单点登录的设计就是要能支持多服务器合为一体的身份联盟服务
器,在同一个机器上同时支持身份提供方(统一身份管理与认证服务提供方)和SP(Service Provider 应用服务提供方)的服务器角色,而同时又能在统一个机器上运行多个SP服务器。对于整个信息化平台只需要一个单点登录服务器就可以为所有的应用服务体统无论是同域还是跨域的提供单点登录功能,为用户提供全面的单点登录服务;
(9). 基于应用场景的系统管理方式:基于Web 的管理界面可以帮助第一次接触
Liberty 或经验丰富的管理员,按循序渐进的步骤,完成端到端的系统配置,从而将配置错误和复杂性降至最低限度,同时管理界面能具有当场检查和验证配置参数的功能,捕获和甚至防止在配置时的错误,从而将人为的可能错误降至最低限度,这为管理员大大降低了运行时调试的时间;
(10). 快速的联盟系统集成方式:采用单点登录解决方案,应用系统的单点登录服
务的集成是一件最简单不过的事情。一般只需点击几下就能完成与联盟合作伙伴的连接,而且管理员可以很容易的从一个中央管理平台管理整个网络的服务器,和所有集成单点登录服务的应用服务的信息;
(11). 支持联盟的部署架构:采用单点登录的解决方案,管理员可以在同一个地方
管理所有的协议定义、PKI 私钥/公钥和证书、连接方式等信息,而不需要维护多个版本、多份服务器配置和信任关系的信息,单点登录能将部署在不同安全域里的高校Web 应用系统联盟起来的能力使业务与业务系统间的联盟部署更方便,而且可以大幅度的降低管理成本;
(12). 系统支持以下的操作系统:Windows、Linux、Unix;
(13). 电信级的稳定性、可扩展性:单点登录是为中型到最大型的联盟部署设计的,
所以能支持应用服务系统在大型数据中心的部署,提供全方位的机群部署和数据同步功能,为客户提供电信级的横向可扩展性,服务器配置、联盟连接、合作伙伴的信息、PKI私钥/公钥和证书等信息,都在整个机群中的所有节点同步SSO
会话和联盟事务在机群中的节点实时同步,为客户提供实际的负载均衡和故障转移的功能,单点登录支持24x7的可用时间的客户需求;
(14). 全面的集成开发包:单点登录是市场上提供最全面的集成开发包的身份联盟
服务器,支持当今绝大部分的主流Web应用服务器技术,更全面的为客户提供解决方案。提供以下的集成开发包(SDK):
?基于Java 的SDK
?基于 .Net 的SDK
?基于ASP 的SDK
?基于PHP 的SDK
单点登录所提供的SDK使集成现有的用户认证系统和 Web 应用系统更快速、更方便。
五、平台性能
单点登录只在用户登录和退出的时候才被激活,而用户在应用系统中进行正常的操作的时候,根本不和单点登录打交道。也就是说,单点登录本身的处理速度不影响正常的业务运作。不仅如此,就是单点登录的认证速度也是和传统的本地登录没有什么区别。运行一个单点登录服务器进行测试,在0.2-0.3秒(1分钟处理200次的请求)之内完成一个单点登录的认证,1000并发用户登录响应时间小于3秒。
六、系统部署
本期信息化建设将整合现有需要实现单点登录的业务系统,可以按照以下集成部署。
拓扑结构如下图所示:
单点登录集成拓扑结构图
拓扑结构组成:
(1). ID Provider (IDP):一个身份验证和管理服务提供方,在这里选择门户平台作为
IDP,把校园网用户管理系统的用户信息作为用户统一身份认证信息。
(2). Service Providers(SP):多个Web应用服务,包括教务管理系统、校园网用户
管理、图书管理系统、邮件管理系统等。
(3). 联盟框架:联盟化身份验证服务器(SSO Server),提供联盟化单点登录基础框
架。
系统集成拓扑结构:
集成拓扑结构
系统集成部署过程如下:
(1).单点登录服务器独立运行,选择持久化系统,可以是关系数据库或者LDAP用来
存放用户联盟信息。
(2).应用服务器(SP)需要提供集成所需的登录、退出过程源代码。
(3).一个Agent模块嵌入到应用服务器(在登录和退出过程中加入单点登录SDK),
只在用户选择单点登录服务时,在登录与退出过程中才激活,不影响原有系统业务逻辑(可以保留原有登录模式),不影响系统性能。
说明:Agent是一个软件库,负责单点登录服务器与应用服务器之间的互动工作,属于SDK的一部分,SSO系统提供了大多数应用服务集成需要的SDK,如Java/ASP/C#/Php等等。
(4).SSO提供统一的管理平台,通过管理平台可以远程管理所有集成了联盟关系的各
个应用系统,管理界面如下图所示:
SSO远程管理平台
主要功能包括IDP服务器管理、SP服务器管理、通信证书管理、数据源配置、机群部署等。
七、提高整体安全度
(1). 使用标准的安全协议,以提供整体的安全度;
(2). 通过安全的联盟协议降低用户在网上传送用户名和密码的次数,大幅度降低账号
被盗窃的机会;
(3). 通过系统联盟(联合互信)实现单点登录而无需推翻已有的基础设施,充分利用现
有的系统,保护已有的IT投资;
(4). 将高校安全模式扩展到整个联盟化网络,整体提高网络的安全度;
(5). 优于市场上其他产品之处还包括:
●不使用COOKIE存储用户信息,保障用户信息的安全性;
●不使用密码对照表,而通过用户身份联盟(Account Federation)实现身份
管理;
●通过安全讯道(https)传输身份认证信息,而且采用匿名信息,应用系统双方
都无法获得用户在对方系统中的真实身份,保护用户隐私。
八、认证的安全控制
主要保障身份认证的安全,基本特点如下:
(1). 平台用户身份认证安全控制
(2). 凡是输入用户名/密码的页面均由平台提供
(3). 凡是输入用户名/密码的地方均采用HTTPS的方式进行通信。
(4). 第三方系统用户身份认证安全控制
(5). 对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户
体验和流程安全性,所有传送过程中都对信息进行加密操作。
(6). 其它认证安全手段控制
(7). 服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等
现象的发生。
九、通讯协议与信息安全
为了保证用户信息的安全,单点登录平台平台保证用户在登录或退出时,用户在网上传输的所有信息都受到全程的安全保护。所有信息都可以全程加密,而且通过安全通道传输。
(1). 单点登录平台服务器之间通讯
在Liberty联盟化网络中,单点登录平台服务器与其它单点登录平台服务器通讯时,都是采用标准的Liberty协议,遵循Liberty的所有规范。并且信息传输可以用HTTPs加密,以保证信息在传输时不被窃取。
同时单点登录平台服务器提供了强大的证书管理功能,以保证设置HTTPs或SSL 的工作是一件简单的工作,就算对证书管理和使用不太熟悉的管理员,也可以安全的配置服务器。
(2). 单点登录平台服务器与Web服务器之间通信
嵌入在Web应用服务器上的Agent与单点登录平台服务器通信时,所有信息都封装在一个安全的信封结构里,叫做ID-Token。ID-Token用AES算法加密,采用128位长度的密钥加密。加密密钥只有Web应用服务器与其相对应的单点登录平台服务器共享,所以就算ID-Token在网上被拦截了之后也无法被解密。如下图所示:
单点登录平台通信协议
(3). 说明:每个ID-Token都有时间限制,一般设为5分钟。过了时间限期的ID-Token
一概不处理,都会被系统扔掉,所以这个安全措施有效地阻止了重放攻击的威胁。
ID-Token的时间限期可以在单点登录平台服务器的管理控制台上设置,如果必要的话,也可以再设短一点。
第二章统一权限管理平台
一、概述
数字化校园平台的权限管理由统一认证与授权管理平台ID-Directory系统完成实现,统一认证与授权管理平台是一个跨平台的统一身份管理、授权管理、认证管理、资源管理的综合性管理平台,实现了整套的RBAC(基于角色的访问控制)规范,包括细粒度的角色等级和角色约束机制,以及无限级别的权限继承的体系。
二、安全政策
安全政策是一个概念,也是一个基于各种对象和概念的组合。安全政策是围绕着角色、权限、用户、资源和安全域之间的关系而定义的。
互联网的环境是没有界限和约束的,在这样的环境下进行商务活动,保证消费者和服务提供方双方的利益,是对运营商最基本的要求。所以,建立一套完善的管理体系,对高校信息化的总体全面而方便有序地管理起来就成为了重中之重。比如,用户如何方便的申请自己需要的服务,如何支付自己享受的服务,而对于服务提供方,如何针对不同的客户开通不同的服务,如何为客户提供方便快捷的单点登录多个服务,如何确认访问者的身份,又如何获得访问者的权限信息?如何控制和分配用户的访问及操作权限?解决这些问题都是一个基于互联网的服务首要任务。也就是首先要制定和实施管理政策,而这个政策就是一个安全政策,处理好在数字化校园平台中用户、角色、服务(资源)、客户、权限等之间的关系,做到统一贵方,疏而不漏,方便快捷,同时又具有极强的扩展性、规范性和安全性。
统一的安全政策管理是统一认证与授权平台的总体目标,它主要是一个基于“角色”的细粒度管理体系。不同于以用户为中心的管理方式,基于角色的管理更加精练与便捷。下图绘制了安全政策里的各种关系:
安全政策概念图
操作资源的权限被分配给了角色。而角色又根据学校的需求而制定的约束下分配给了用户。
一个权限可能隐含着其他的权限。而这一切都在一个安全域的范围内制定的。安全域划分了安全政策的范围,那就是说,安全政策只能针对安全域内的对象和资源才可以执行。安全域可以
按地理划分、按组织结构划分、或者按功能划分,安全域可以是一个国家或地区、一个城市或省份、一个域、一个组、一个组织、或一个组织部门。
三、基于RBAC的授权规范
RBAC(Role-Based Access Control,基于角色得访问控制)体系是美国NIST (美国科技与标准管理局)制定而且提倡的用户管理、安全政策管理体系,也是目前公认的解决大型组织机构的统一资源访问控制的有效方法。
统一认证与授权平台实现了RBAC标准的用户统一权限管理平台,具有RBAC体系的灵活性、可扩展性、可管理性,本方案建议采用统一认证与授权平台。我们在下面简单的介绍统一认证与授权平台中的重要概念,与其应用的范围和例子。
1. 角色
角色在RBAC体系里是一个核心的概念,也是统一认证与授权平台系统中最核心的元素。在统一认证与授权平台管理平台上,客户可以根据自身的需求定义角色及其相关的安全政策。系统里不预设固定的角色或用户,给予客户最大的灵活性和适用性。一个角色可以是全局性的,或局部性的。局部性即局部于一个或多个安全域的范围之内。一个全局性的角色可以在所有的安全域内执行它的权限。局部于一个安全域的角色只能在这个域内,和这个域下属的子域内执行它的权限。更准确的说,一个局部性的角色不是指这个角色被包容在一个安全域内,而是指这个角色拥有访问域内的资源的权限。一个角色可以拥有访问一个或多个域的资源的权限。
不仅如此,在统一认证与授权平台管理平台上可以制定角色等级,并且不限制角色等级数量。一个角色可以继承它下属角色的权限。角色等级结构可以跨越多个等级,那就是说,第一个角色可以继承第二角色的权限,而第二角色又可以继承第三角色的权限。但是不是所有下属角色的权限都被上层继承,系统提供配置选项,这也是统一认证与授权平台灵活性的体现之一。
上图描绘的就是角色与安全域之间的关系,角色5是一个全局性的角色。角色1、6和7只有访问安全域1的权限,而角色3和4只有访问安全域2的权限。但是角色2拥有访问安全域1和2的权限。按照全局性角色的定义,角色5 拥有访问安全域1和2的权限。从上图我们也可以看到,角色7继承了角色6的所有权限。
统一认证与授权平台也建立了用户基数、职责分离等概念,为高校制定灵活的管理策略奠定了坚实的技术基础
角色可以分的很细,例如:计费系统,平台可以根据资源的划分和计费系统原有的权限划分来建立不同的角色。
每个用户在自己的服务权限范围内,可以给自己部门(院系)制定一些角色。例如建立一个系主任的角色,只要给这个角色定义好权限,并将相应的用户赋予系主任的角色即可完成政策制定的工作。本来如果有200个同样角色的用户,需要一一配置的,这样一来,一次性解决问题,不仅降低了管理强度,而且减少了因为多次的重复工作引起的误操作。这也是统一权限管理体系从以用户为中心向以角色为核心转移的一个根本原因之一。
2. 用户
统一认证与授权平台中的用户可以是自然人或者是应用软件,因为一个软件也可以执行命令。一个用户必须先被分配了角色才能进行操作,因为用户的权限是通过角色得到的,所有未分配角色的用户没有任何权限,也不能登录。
上图所表示的就是平台的一些基本角色,所有用户都是按照上面的角色来赋予不同的权限,所有操作都是在统一认证与授权平台中进行配置:用户认证平台管理员(用户)通过统一认证与授权平台来创建平台内的各类用户,科室用户是由用户管理员在统一认证与授权平台中来创建.
例如,用户A科室开通了Email和WebHosting两个服务。并不是用户A 科室所有的员工都能使用这两个服务,用户可以按照角色分配来赋予自己内部的用户权限。
3. 资源
资源指的是在安全政策管理系统里管理的外在资源。资源是任何可以定义的实体。例如,一个资源可以是一套应用软件、应用软件里的一个模块、硬件(如打印机)、一份文件、一个数据表、或数据表里的某一行、一个XML文件里的元素,等等。简单的说,一个资源可以是任何能以标识符标识的抽象或现实的实体。
在用户认证平台中,应用系统提供的服务或者产品是资源,应用服务的任何操作可以是资源,计费系统中各单元也可以是资源任何应用的一个小模块都可以当作一个资源由统一认证与授权平台来管理。
所有的应用都能被统一认证与授权平台有效的管理起来,计费系统等应用的业务流程无需变更就能完全集成到平台。这就实现了平台对所有服务和产品达到统一管理的需求。
统一认证与授权平台可以很灵活的制定自己需要的安全政策,所以以后有任何新的ASP,甚至将来移动应用和3G应用要集成进来,平台也能很容易地把应用划分成多个资源来管理。
下面我们根据资源的概念来举例说明一个新的服务在平台上是如何配置、管理和发布的,比如,现在平台要上一个教育网的服务,步骤是这样的:1、首先我们按照这个服务提供方具体提供多少服务、多少产品以及对服务的操作性、计费规则等,把平台当前所需要管理这个服务提供方的所有的功能模块和服务内容划分成多个资源,并在统一认证与授权平台的界面上进行简单配置新建资源。2、根据具体的这些资源,按需分别分配给系统角色(用户认证平台内部、服务提供方以及定购此服务的用户)。这样就完成了。
4. 权限
执行权是通过分配权限而得到的。权限的定义是指对某些对象或资源的某些操作的许可。权限一般被归类成权限组。权限与权限组有系统定义和自主定义(或用户定义)之分。系统定义权限和权限组是安全政策管理系统内置定义,不能改动。
系统管理员可以自主定义一些权限及权限组来补充和加强对角色与资源的安全管理。
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系统 建设方案 2016年03月 目录 一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案................................................. 1.方案设计 .............................................. A.方案(串连网关方式)................................. B.方案(旁路方式+BRAS,BRAS产品) 四.认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................
统一身份认证-CAS配置实现
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
身份认证、接入控制解决方案
身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别,杜绝非法入侵和接入保护为 主要设计理念,金盾准入控制保护系统是金盾软件公司独创的,国际领先的 产品功能,是产品的核心功能之一,具有实施简单,主动发现、自动防御、效果显著等特点,极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料? □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统?
方案功能 安全状态评估 □终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。 □终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。 □终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后,定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。 □网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。 □软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。 □内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
sso_统一身份认证及访问控制解决方案
统一身份认证及访问控制 技术方案
1.方案概述 1.1. 项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。 1.2. 系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: ?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 ?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 ?基于角色访问控制:根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
统一身份认证平台功能描述
统一身份认证平台功能 描述 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
数字校园系列软件产品统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
统一认证平台的设计方案(XXXX互联网接入平台建设方案)
XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网和公司内部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 (一)覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 (二)接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统,并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司内网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入内部网络。 (三)多运营商接入需求
公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。 (四)身份认证及单点登录需求 由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限范围内的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。 (五)安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施,防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。 二、方案设计
统一身份认证系统技术研究
统一身份认证系统技术研究 一、背景 目前公司产品中的各个子系统正在从原来高耦合的整合系统模式向现在的高内聚低耦合的系统模式发展,例如:现在的LIS、PACS、移动医疗、电子病历已经能够从原来的HIS系统中分离出来独立运行。另外,与第三方系统的互联互通的需求也愈来愈多。各个系统之间的低耦合使得系统的访问控制和信息安全问题愈见突出,原来整合系统的统一的认证、授权、账号管理模式被各个系统的分立的状况打破,特别是对于外部系统的互联互通,原来的模式更是走不通。另外,目前所采用的数据库内部认证和授权方式以及通过调用接口或者WebService接口,虽然是一种有效地补充,但是仍然存在效率和规范的问题。 因此,构建一个完整统一、高效稳定、安全可靠的统一身份认证和管理平台已经成为目前产品体系下的一种需要。 二、统一身份认证系统的功能、规范与技术要求 统一身份认证系统的最基本功能要求就是对于各个系统间的用户进行统一管理,让用户使用系统时更加方便,无需反复登录系统。统一身份认证系统应从功能方面满足以下要求: 1、用户只需在统一身份认证系统中登陆一次后,就可以使用基于统一身 份认证系统认证的所有系统,无需再记忆多套用户名和密码。 2、管理员可以对所有系统的用户进行统一管理,可以对用户的权限进行 统一分配。实现系统的分布式应用,集中式的管理。 3、统一身份认证系统下的各个业务系统之间,用户数据必须保持一致性。 用户数据必须同步更新。 统一身份认证平台应满足4A安全管理框架规范,4A框架的内容为 身份认证(Authentication) 身份认证是信息安全的第一道防线,用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
身份管理平台解决方案
身份管理平台解决方案 1. 应用背景 计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,在企业信息化过程中,诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生,提高了企业的管理水平和运行效率。与此同时,各个应用系统都有自己的认证体系,随着应用系统的不断增加,一方面企业员工在业务系统的访问过程中,不得不记忆大量的帐户口令,而口令又极易遗忘或泄露,为企业带来损失;另一方面,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。 在上述背景下,企业信息资源的整合逐步提上日程,并在此基础上形成了各业务系统统一认证、单点登录(SSO)和信息综合展示的企业门户(Portal)。现有的门户产品多集中于口令方式的身份认证,如何更安全的进行统一认证,并保证业务系统访问的安全性,成为关注的焦点。 2. 基于CA认证的统一身份管理平台 时代亿信推出的基于CA认证的统一身份管理平台解决方案,以资源整合(业务系统整合和内容整合)为目标,以CA认证和PKI技术为基础,通过对用户身份的统一认证和访问控制,更安全地实现各业务系统的单点登录和信息资源的整合。 平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式,并采用SSL 加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。 2.1 系统功能及架构 平台的系统架构如图1所示,主要包括以下部分: 门户系统(Portal):各业务系统信息资源的综合展现; 平台管理系统:平台用户的注册、授权、审计;各业务系统的配置;门户管理; CA系统:平台用户的数字证书申请、签发和管理; 用户统一认证:用户身份的CA数字证书认证、认证过程的SSL加密通道; 单点登录(SSO):业务系统关联(mapping)、访问控制、访问业务系统时信息的加密签名和SSL加密通道; 图1 基于CA认证的统一身份管理平台架构 2.2 系统的实现和安全机制 2.2.1 用户注册和授权 (1)企业每一个用户在平台完成用户注册,得到自己的统一帐户(passport); (2)如果采用证书文件或USB智能卡认证方式,则CA系统自动为平台用户签发数字证书,并与用户的统一帐户对应。 (3)注册的用户可以由管理员进行分组,并根据分组设定相应的业务系统访问权限。 2.2.2 业务系统的配置 接受统一认证的业务系统必须完成以下工作: (1)安装业务系统访问前置并配置证书和私钥,用以建立客户端与业务系统之间的SSL 加密通道,并接收处理平台提供的加密签名的用户认证信息; (2)提供关联(mapping)接口和访问验证接口,并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息(可能包括业务系统的用户名和密码)的对应关系。
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
用友U8身份认证解决方案(9)
身份认证解决方案 目前在U8中用户的身份认证支持四种模式:用户+口令(静态密码),动态密码、CA认证和域身份认证,同一时间,一个用户只能使用一种认证方式,但是不同用户可以根据权限,重要程度交叉使用不同的认证方式。 1.设置认证方式 在系统管理模块中增加操作员的时候设置认证方式,默认支持用户+口令,用户可以更改以便于支持其余三种模式。
图一 2.合作伙伴支持的身份认证在U8系统中的使用 2.1易安全动态密码 1.在U8的应用服务器上,安装“易安全动态密码系统”,根据《U8_动态密码安装配置手 册(深圳海月)》进行相关配置。 2.在系统管理里设置认证方式为“动态密码”,如图一所示,默认支持的是静态口令。 3.配置完成后,在客户端登录产品,密码输入框必须输入由设备动态产生的密码才可,如 图二所示: 图二 备注: 两个系统要求用户编码共用,即不论采用哪种认证方式,用户名必须是通过U8的系统管理产生的,易安全动态密码系统支持批量导入U8用户,权限控制必须在系统管理中完成,如果使用动态密码认证,在系统管理增加用户时,可以不考虑密码信息,同时关于密码的安全策略将不起作用。 详细介绍见《U8动态密码解决方案(深圳海月)》 2.2BJCA的证书使用 BJCA支持两种PKI/CA建设模式:企业自建CA和托管CA。 企业自建CA就是企业自己创建和维护根证书,自行颁发证书。用户身份只需要企业内部审查即可,用户唯一标识为自定义名称,比如test、demo等。
托管CA是企业到BJCA申请证书,BJCA使用Public Trust CA体系为其颁发证书,用户的身份要经过BJCA严格审查,默认唯一标识为身份证号码或企业组织机构代码。 具体使用步骤: 1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。 2.在U8的客户端安装BJCA的客户端证书管理工具,请参阅《U8_CA安装配置手册(BJCA)》进行相关配置。 3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称,名称必须是字母或数字,不能含中文。如图三所示: 图三 4.配置完成后,在客户端登录产品,密码输入框输入的是在U8系统设置的用户密码, 点击确定后,验证U8密码正确后,再次弹出证书PIN码的输入框,如图四所示: 图四 输入PIN码,确定后,系统自动验证证书的合法性。 备注: 目前U8系统中的CA认证采用的是传统的用户名(密码)+证书的双重认证,使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确,安全策略中的密码策略只对U8密码起作用,修改密码也仅修改U8自身的密码。 用户在托管CA申请证书时,必须正确提交企业系统名称。 详细介绍见《U8安全解决方案(BJCA)》 2.3天威诚信的证书使用 天威诚信也支持两种PKI/CA建设模式:第三方托管CA服务和自建型CA系统。 第三方托管CA服务,是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书,用户在本地只要建设少量的CA模块,就可以实现CA认证的功能。 自建型CA系统是指客户购买天威诚信开发的PKI/CA软件,建设一个独立的PKI/CA 系统,除了购买系统软件之外,还包括系统、通信、数据库以及物理安全、网络安全配置、
统一身份认证系统
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计
基础支撑层 统一身份认证(SSO) 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。 1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。 4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示:
单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求 块
统一身份认证系统建设方案
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
统一认证与单点登录解决方案(详细介绍了统一认证和单点登录)
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS 统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能:
统一身份认证系统设计与实现
统一身份认证系统设计与实现 随着信息化的日益普及,以及中国信息化建设步伐的逐步加快,信息化正以几何倍数增长的方式支撑着能源、通信、金融、交通、工农业及服务业等各行业的生产建设活动,信息化已成为当前社会生产经营活动必不可少的辅助手段。在此情况下,国家电网公司在“十一五”期间大力发展信息化建设,但随着公司信息化建设的推进,公司各业务部门对本部门业务系统的需求单一性、不可复用性以及管理成本的浪费日见明显,如何利用信息系统为各业务部门创造价值、节约人力成本、提高管理效率的同时,加强各业务系统的统一管控力度、降低信息系统的运行维护成本,并且在不影响当前业务支撑多样性的前提下整合各业务系统数据来源、对面向不用的业务应用提供统一身份、单点登录、身份管理等基础服务变得越来越重要。本文的研究重点是在国网公司内构建一套统一身份认证系统,实现对不同平台、不同数据库之间的业务应用系统的统一支撑管理。本文通过对国家电网公司各部门(单位)以及各业务应用系统现状充分调研的基础上,遵循集成性、安全性、稳定性、先进性等原则,提出了一个基于轻量级目录访问协议的统一身份认证系统的设计框架,利用目录技术实现对各部门(单位)组织架构、各组织层级下的用户信息以及各业务应用基础用户数据的统一管理,任何应用系统均可取消自身用户系统,使用统一身份认证系统的日录数据源作为业务系统的用户数据库:利用反向代理和统一认证技术实现对同一用户登录不同业务应用系统的单点登录,以及同一用户在不同业务应用系统中的权限角色配置;利用身份管理服务技术在强化数据通道安全性的条件下,实现不同数据源之间的数据复制、同步,以及数据复制、同步过程中的属性变更等一系列的过程控制:利用J2EE 架构实现了统一身份管理工具的设计,实现了针对目录数据源的组织架构管理、用户信息管理、应用管理、授权管理等。 本系统在设计中,考虑到国家电网公司信息化建设速度快、系统更新升级频繁、业务需求多、变化快等特点,同地考虑统一身份认证系统自身特点可能带来的单点故障等原因,系统的各个子系统设计相对独立,保证了系统的稳定性的同时,强化了易更新、易集成的特性,为国家电网公司构建全球最大的集团企业级信息系统提供有力支撑,同时,随着统一身份认证系统的逐步完善,将在大规模、多平台信息系统建设中发挥重要的作用。
XX系统身份认证方案2001
XX信息网络 身份认证系统设计方案 1.系统建设的目标 XX信息系统是重要的涉密计算机信息系统,因此其对安全保密的要求非常高,在有必要对该系统的身份认证机制采用强化措施。 XX系统安全方案的目的是:解决①用户口令、数据通过网络时容易被截获、窃取、篡改的安全风险;②用户与涉密服务器在网上有可能无法正确确认对方的身份,从而被假冒访问的风险;③访问完成后用户的抵赖行为等安全危害。 XX系统安全方案的建设目标:是建立一个符合国家安全保密规定和技术要求、安全可靠、技术先进成熟、运行稳定、适用于多种运行环境的、统一的身份认证体系。 XX系统身份认证安全方案至少应可实现以下安全功能: ●强的身份认证、鉴别机制 ●数据处理、传输、访问的安全可信 ●数据处理、传输、访问的机密保护 ●数据处理、传输、访问的完整性 ●完善的安全审计功能 ●完善的CA证书及密钥管理
2.XX信息系统安全风险分析 建议在具体方案实施时,结合组织人事信息系统开发商、管理员一同进行。具体包括: 2.1系统安全风险分析 2.2系统安全需求分析 3.常见身份认证、鉴别技术简要介绍 3.1口令字 口令字是最常用且最经济的鉴别、认证方法,但口令字也是最不安全的方法,绝大部分的攻击都是从猜口令开始的,同时未经加密处理的口令字在传输过程中,也极易被截获,因而,口令字的身份认证机制对安全强度要求较高的系统是远远不够的。 3.2 IC卡 其基本原理是基于非对称加密体制,使用较低位RSA算法来实现的,因而其安全强度也不够高,且我国自身在IC方面自主技术还较落后,不可完全依赖IC卡来作为较强安全手段使用。 3.3动态口令(Sec ID) 动态口令牌,目前国内较多使用于银行等部门,且大部分是国外
统一身份认证权限管理系统方案
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章部通讯录 (39) 7.1 我的联系方式 (39) 7.2 部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
用户单点登录解决实施方案
用户单点登录解决方案
————————————————————————————————作者:————————————————————————————————日期: 2
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。多大飞 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能: