统一认证平台解决方案

统一认证平台解决方案

1. 概述

统一认证平台的技术基于公钥密码基础设施（PKI）技术，严格遵循国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》标准，完全自主研发的商用密码统一身份认证系统，主要为用户提供多系统之间的统一身份认证、数据加解密、数据安全传输、业务系统安全集成等系统安全服务。

统一认证平台的最大特点是它作为整个系统平台的基础安全服务构件，为政府部门、企业单位的各个应用系统提供数据安全服务集成、统一身份认证服务，同时，提供方便易用的运维管理工具，为客户合规性检查提供有效的支撑。

2. 系统功能模块说明

2.1．功能划分

根据需求，对系统各层级功能进行初步划分，区分每个功能的边界，结果如下表所示：

2.2．功能模块

3. 系统特点

3.1. 部署灵活、简单易用、提供可视化的数据管理

系统的设计采用B/S模式，各模块以及子系统采用分布式架构，只需在服务端部署即可，客户端无需做任何的修改，管理终端与服务器之间采用高强度SSL安全连接，采用数字证书对用户的身份实现管理。

为降低管理人员的工作量，系统提供完善的可视化数据平台，从多个维度对数据进行分析和统计。

同时可结合用户的实际需要，灵活的进行系统模块的组合部署，如采用：RA+CA+KMC、RA+CA等多种组合。

3.2. 支持国密算法，采用专用密码硬件

系统采用完全符合国家商用密码管理局标准以及规范要求的专用服务器密码机、签名验签服务器，可进行灵活的扩展以满足不同客户的性能要求。

3.3. 系统平台的高安全性

?通信安全

平台内部各子系统采用高强度的SSL标准安全通信协议，同时配合数字证书进行身份验证

?数据安全

数据库、配置文件中的敏感数据采用加密方式保存；提供完备的数据备份及恢复的手段。

?管理人员安全

采用基于数字证书的身份验证机制，管理员使用证书进行登录管理、管理员的管理权限与其证书进行绑定。

3.4. 兼容主流系统环境，开发接口丰富

系统支持主流操作系统运行环境以及主流硬件平台，支持Windows，Linux，AIX，Solaris，HP_UX，并提供Java、C、.net、C#、Object C等应用接口，方便用户的应用集成。

4. 系统架构

4.1.系统架构

系统采用全分布式架构，各个子系统和模块之间相对独立，可分布式部署，整个系统的逻辑结构如下：

整个系统架构分为以下层次：

?操作系统以及数据库层

为系统运行所需要的基本环境。

?密码硬件接口封装层

将底层硬件接口进行封装，如底层的服务器密码机等硬件设备。

?系统运行框架

为整个系统运行框架，具体包括消息队列、并发控制等。

?证书以及密钥管理层

主要包括用户注册申请证书服务、证书生命周期管理、密钥生命周期管理等。?身份认证服务层

主要提供基于业务的身份认证服务、第三方证书的管理以及证书状态的查询等。

?安全集成组件服务层

主要为应用系统的安全集成提供组件以及为用户终端的安全集成提供组件。?审计以及运维管理子系统

为整个系统提供审计基础服务以及为运维管理提供管理、监控服务。

4.2. 典型部署

整个系统网络拓扑图如下：

统一信息数据共享平台

统一信息平台CA解决方案

在上述图中可以看出，部署于用户系统的核心区域，通过边界隔离设备对核心区域外的用户提供认证服务，主要密码硬件（服务器密码机、签名验签服务器）、CA系统、KMC系统、RA系统，主要为客户解决用户的认证，包括用户身份、设备身份的认证，并提供完善的运维审计管理工具。

4.3.系统组成

?核心硬件部件

结合客户的实际需要，我们将根据用户的对性能、容量的需求，灵活的配置各种专用密码硬件，为整个系统提供强有力的算力支撑，主要的硬件主要包括：

?服务器密码机

服务器密码机为符合国家商用密码管理规定、通过国家商用密码管理局的检测的加解密运算以及密钥安全存储的专用密码设备，在系统中，主要为整个

系统提供密钥的产生、核心密钥的安全存储功能，为整个系统的高效、快速的密钥产生提供强有力的算力支撑以及安全保障。

?签名验签服务器

签名验签服务器为符合国家商用密码管理规定、通过国家商用密码管理局的检测的签名运算、验签运算专用密码设备，在系统中，主要为整个系统提供证书的产生、核心密钥的安全存储功能，为整个系统的高效、快速的证书验证提供强有力的算力支撑以及安全保障。

?核心软件部件

1.密码硬件接口封装层

该模块主要为整个系统所应用的密码硬件进行接口统一封装，实现整个系统其他模块的硬件无关性，主要包括：服务器密码机的接口封装、签名验签服务器的接口封装等。

2.证书以及密钥管理层

该模块主要包括有：密钥管理中心（KMC）和证书管理系统两大子系统，密钥管理系统是整个系统的核心，对系统中的所有密钥的整个生命周期进行严格的管控，具体功能包括有密钥的生成、密钥的分发、密钥的存储、密钥的备份以及恢复等，证书管理系统主要对证书的整个生命周期进行管理，具体功能主要包括证书模板设置、证书的签发、证书的更新、证书的过期监控等。

3.安全集成组件服务层

安全集成组件服务层是整个系统对外的服务展示层，包括为应用系统提供完善的安全集成开发组件以及为终端/用户提供完善的完全开发组件，力求用户开发简单、以及个性化的定制。

4.审计以及运维管理子系统

本系统主要对整个系统的运行状况、用户的操作进行全面的管理和监控，并提供可视化的数据界面，让运维管理人员可以轻松方便的对整个系统进行监控和维护，同时，提供详细的日志记录，供系统审计人员对系统运行的合规性进行审计。

5. 系统功能

5.1. 系统架构说明

?数字证书身份认证：通过可信第三方认证机构签发数字证书，利用SSL 安全通道对客户的网络身份进行真实性验证，解决网上应用系统的用户身份认证问题。

?PCS私钥运算：主要用于为服务器端应用提供服务器端PKCS#1和PKCS#7格式数据签名运算以及数字信封的私钥加、解密运算。数字签名运算服务为系统开发需要数字签名、数字信封技术提供便捷的运算接口。

?SVS签名验证：主要用于在服务器端接收数据后，对数据签名、签名证书的有效性进行合法性验证。支持PKCS#1、PKCS#7格式的数字签名。签名验证服务应用于验证网上用户身份、检验交易凭证和防止抵赖等方面。

对账功能：涉及到多种表格的组合统计。

5.2. 系统功能

?证书申请：提供证书的申请功能，包括管理申请和用户自助申请。

?证书签发：对于通过审核的证书申请，CA系统可以为其签发证书。?证书下载：用户可以通过下载凭证安全的下载证书。对一些申请成功但是没有下载的证书，RA系统可以重新生成下载凭证（授权码），使用新的下载凭证即可进行证书下载。

?证书发布：对于签发好的证书，系统进行自动发布。

?证书更新：系统提供证书更新功能。

?证书查询：用户可以通过查询条件查询出符合条件的证书信息。

?证书注销：用户可以对一些不再使用或是使用过程中出现问题的证书进行注销操作，注销名的证书不可恢复。

?证书冻结：用户可以对短期内不会使用的证书进行冻结操作，在冻结期间内证书被限制不可使用。

?证书解冻：提供证书解冻功能，使得证书可以重新使用。

?证书实体查询：用户可以通过查询条件可以查询出符合条件的证书。?CRL服务功能：提供CRL产生、CRL发布、CRL查询功能。

?用户信息维护：系统提供按照自定义的格式产生用户信息，并可以对用户信息进行添加、删除、修改等维护方式。

?分权管理：提供系统管理、业务操作和安全审计三权分离功能。

?主题规则管理：支持主题规则定义，提升用户使用服务体验。

?模板定制：提供数字证书模板自定义功能，实现证书扩展域同称、扩展域值的自定义，满足不同发证需求。

?日志审计：审计管理包括查询业务日志和统计证书功能，并生成相应统计报表。

?批量申请和制证：支持批量证书申请和制证的功能，简化管理员操作。

5.2. 认证服务

?身份认证：利用SSL安全通道对客户的网络身份进行真实性验证

?设备认证：USBKEY智能密码钥匙（一代），证书储存介质。

5.4. 密钥管理及服务

?密钥生成

?密钥分发

?密钥备份与恢复

?密钥更新

?密钥归档

?密钥查询

?密钥销毁

?密钥预生成

5.5. 用户管理

?用户注册

?批量用户注册

?注销用户

?更新用户

?用户归档

?审核用户管理操作

5.6. 系统监控

?系统软件运行状态监控

?系统各部件周期性自检

?系统硬件状态监控

5.7. 备份和恢复

?数据库系统的备份和恢复，包括备份策略配置、备份计划的设置等。?密钥系统的备份和恢复，采用多分量分散备份机制。

5.8. 日志管理

?日志的生成

?日志的查询及审计

?日志的归档

5.9. 数字签名

?支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验证符合PKCS#7标准的签名结果。

?数字签名服务器支持对数据制作数字签名，签名结构符合PKCS#1标准；支持通过证书导入、证书配置方式验证符合PKCS#1标准的签名结果。?身份验证：使用证书进行数字签名，接收者可验证签名，而其他任何人都不能伪造签名。

?事后验证：使用证书进行完整数字签名，签名结果中包含签名时的全部证书状态信息，接收者可在生成名的任意时间验证，而其他任何人都不能伪造。

?数据完整性：对重要数据、文件制作数字签名，如果验证签名失败，说明数据的完整性遭到破坏。

?行为抗抵赖：对操作行为（数据形式）制作数字签名，签名者事名不能否认自己的签名。

5.10.数字信封

?数字签名服务器支持对数据、文件制作数字信封，信封结构符合

PKCS#7标准；支持解密符合PKCS#7标准的信封结果。

?对重要数据、文件制作数字信封，通过双层加密技术来保障数据的私密性。

5.11.证书验证

?支持对签名、加密证书进行全面验证；

?根据配置不同CA签发的根证书，验证证书的信任域；

?根据系统时间，验证证书的有效期；

?根据CRL或OCSP验证证书状态。证书状态验证方式包括，标准OCSP 协议验证证书，连接LDAP服务器更新CRL验证，连接WEB服务器更新CRL 验证。

5.12.交叉验证

?数字签名、数字信封，结构严格遵循PKCS#7标准，可供其他CA机构验证。

?支持配置多信任CA签发的根证书，可验证不同CA机构签发的符合PKCS#7标准的签名、信封结果。

5.13.双机热备

?数字签名服务器内置双机热备系统；

?当备机发现工作机停止工作，切换到备机提供服务，当主机恢复正常后，备机自动切回到主机。

6. 技术规格

?GB/T 19713-2005 信息技术安全技术公钥基础设施在线证书状态协议

?GM/T 0006 密码应用标识规范

?GM/T 0009 SM2密码算法使用规范

?PKCS #1 RSA密码算法使用规范

?GM/T 0010 SM2密码算法加密签名消息语法规范?PKCS #7 RSA密码算法消息语法规范

?GM/T 0014 数字证书认证系统密码协议规范

?GM/T 0015 基于SM2密码算法的数字证书格式规范?GM/T 0018 密码设备应用接口规范

?GM/T 0020 证书应用综合服务接口规范

7. 技术规格

指标项参数值

并发连接数同时支持3000个并发连接

证书容量最大支持100000个证书

双证书签发时间双证书签发时间<1秒

OCSP响应时间OCSP响应时间<0.1秒

数字证书格式ITUT X.503-V3规范

证书存储介质支持软证书、USB KEY证书、IC卡存储，支持RSA

PKCS#11标准

操作系统支持Windows Server 2003以上版本

支持RedHat Linux等主流Linux操作系统

支持AIX、Unix

数据库支持支持Microsoft SQL SERVER、DB2、Oracle、

Mysql、Informix。

硬件环境支持HP、AIX等Unix小型机

支持X86架构的硬件服务器

安全集成组件规范n 支持Windows、Linux、MAC OS等PC操作系统

n 支持Andriod、IOS等手机操作系统

n 支持IE、Firefox、Chrome等内核浏览器

n 提供Java、C、.net、C#、Object C等应用接口

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能： 为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务 单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。 同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： (1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点 登录服务；

统一身份认证-CAS配置实现

一、背景描述 随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施，而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1、每个系统都开发各自的身份认证系统，这将造成资源的浪费，消耗开 发成本，并延缓开发进度； 2、多个身份认证系统会增加系统的管理工作成本； 3、用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗 忘而导致的支持费用不断上涨； 4、无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5、无法统一分析用户的应用行为 因此，对于拥有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关”的目标，方便用户使用。 二、CAS简介 CAS（Central Authentication Service），是耶鲁大学开发的单点登录系统（SSO，single sign-on），应用广泛，具有独立于平台的，易于理解，支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS，并提供了易于使用的方案。Acegi安全系统，是一个用于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务，包括使用Bean Context，拦截器和面向接口的编程方式。因此，Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广

网络统一身份认证计费管理系统建设方案综合

XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一．计费系统设计规划 (2) 二．方案建设目标 (2) 三．总体方案 (3) 1.方案设计 (3) A.方案（串连网关方式） (3) B.方案（旁路方式+BRAS，BRAS产品） (4) 四．认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五．认证计费管理系统功能介绍 (9) 六．用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)

7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一．计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户，同时在线用户规模为5000人，具有多个出口线路；网络特点呈现高带宽，高用户，多种接入方式使用人群，并且在未来还会以多种网络架构存在（有线，无线）。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量，同时也必须能满足复杂的接入模式，多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下，设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求，同时还需要满足无线和有线认证的融合统一认证管理模式；目前学校已经使用一卡通系统，安全认证计费管理系统必须和一卡通系统实现对接，能支持未来的数字化校园，能够融合到统一身份认证平台。 有线网和无线网是实现账户统一，避免一个用户需要多账户登录有线网和无线网的情况，并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接，实现用户账号的同步关联。 二．方案建设目标 针对目前学校对于用户认证计费系统的需求，通过安全认证网络管理计费系统，搭建一套包括用户接入、认证、计费及用户管理的综合平台，为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解

sso_统一身份认证及访问控制解决方案

统一身份认证及访问控制 技术方案

1.方案概述 1.1. 项目背景 随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度； 2)多个身份认证系统会增加整个系统的管理工作成本； 3)用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨； 4)无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5)无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关"的目标，方便用户使用。 1.2. 系统概述 针对上述状况，企业单位希望为用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点： ?单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后台的多个应用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 ?即插即用：通过简单的配置，无须用户修改任何现有B/S、C/S应用系统，即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式，可单独使用也可组合使用。 ?基于角色访问控制：根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理：系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以使用HTTPS安全地进行管理。

统一身份认证平台讲解

统一身份认证平台设计方案 1）系统总体设计 为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护

管理功能。 用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下： a)集中用户管理系统：完成各系统的用户信息整合，实现用户生 命周期的集中统一管理，并建立与各应用系统的同步机制，简 化用户及其账号的管理复杂度，降低系统管理的安全风险。

身份认证、接入控制解决方案

身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别，杜绝非法入侵和接入保护为 主要设计理念，金盾准入控制保护系统是金盾软件公司独创的，国际领先的 产品功能，是产品的核心功能之一，具有实施简单，主动发现、自动防御、效果显著等特点，极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料？ □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统？

方案功能 安全状态评估 □终端补丁检测：评估客户端的补丁安装是否合格，包括：操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测：检测安全客户端的版本，防止使用不具备安全检测能力的客户端接入网络，同时支持客户端自动升级。 □终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，发现异常客户端或被卸载时自动阻断网络，强制安装。 □终端防病毒联动：主要包含两个方面，终端用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后，定期检查防病毒软件的运行状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证：非授权用户接入网络需要身份认证，在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全。 □网络隔离区：对于安全状态评估不合格的用户，可以限制其访问权限，被隔离到金盾网络隔离区，待危险终端到达安全级别后方可入网。 □软件安装和运行检测：检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证：对于外来计算机由于业务需要接入内网或者访问Internet时，针对对方IP、MAC等端口做授信暂时放行。 □内网安全域：可以限制用户只能在允许的时间和网络IP段内（接入设备和端口）使用网络。

统一认证平台设计方案(XXXX互联网接入平台建设实施计划方案)

XXXX互联网接入平台建设方案 为落实公司业务互联网化的发展规划，推动实现公司办公、管理等相关业务的互联网化和移动化，我部拟开展互联网接入平台系统的建设，建立互联网与公司部网络的唯一通道，在安全风险可监、可控、可承受的前提下，为公司员工提供更加顺畅、更为便捷的互联网接入服务，满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司网业务系统的需求。 一、需求分析 （一）覆盖围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网的相关业务系统。 （二）接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司网系统，并确保员工PC终端自身的安全性不会影响到公司网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端，以企业APP的方式访问公司网系统，访问期间，移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理，不符合安全策的移动终端不允许接入部网络。

（三）多运营商接入需求 公司员工通过联通、电信、移动等多个运营商接入互联网访问公司部业务系统，因此互联网接入平台需支持上述各运营商，并能够选取最优访问路径以保障访问速度。 （四）身份认证及单点登录需求 由于互联网接入平台面向互联网开放，用户身份认证必须采取强身份认证方式，除需设置一定复杂度的登录口令外，必须支持RSA动态令牌认证，可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能，用户身份验证通过后，互联网接入平台将向用户开放其权限围的所有业务系统，且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP形态的业务系统均采用票据方式实现单点登录功能，不可使用密码代填的实现方式。 （五）安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司部网络的数据需采取加密措施，防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施，有效保障互联网接入平台后部的公司信息系统的安全性。

统一身份认证平台讲解-共38页知识分享

统一身份认证平台讲解-共38页

统一身份认证平台设计方案 1）系统总体设计 为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。

提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下：

统一身份认证系统技术方案

智慧海事一期统一身份认证系统 技术方案

目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)

统一认证平台的设计方案(XXXX互联网接入平台建设方案)

XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划，推动实现公司办公、管理等相关业务的互联网化和移动化，我部拟开展互联网接入平台系统的建设，建立互联网和公司内部网络的唯一通道，在安全风险可监、可控、可承受的前提下，为公司员工提供更加顺畅、更为便捷的互联网接入服务，满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 （一）覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 （二）接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统，并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端，以企业APP的方式访问公司内网系统，访问期间，移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理，不符合安全策的移动终端不允许接入内部网络。 （三）多运营商接入需求

公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统，因此互联网接入平台需支持上述各运营商，并能够选取最优访问路径以保障访问速度。 （四）身份认证及单点登录需求 由于互联网接入平台面向互联网开放，用户身份认证必须采取强身份认证方式，除需设置一定复杂度的登录口令外，必须支持RSA动态令牌认证，可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能，用户身份验证通过后，互联网接入平台将向用户开放其权限范围内的所有业务系统，且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能，不可使用密码代填的实现方式。 （五）安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施，防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施，有效保障互联网接入平台后部的公司信息系统的安全性。 二、方案设计

智慧眼社保行业生物识别身份认证解决方案

智慧眼社保行业生物识别身份认证 解决方案 姓名： 学号： 班级：

一、基于社保卡的生物识别身份认证平台 1、平台概述 基于社保卡的生物识别身份认证平台是在遵循社保核三平台标准的基础上开发的集生物识别、认证管理、模板管理、统计决策分析、身份认证子系统等功能于一体的身份认证平台。 平台前端可支撑多种人社业务对身份认证的需求，如：养老金待遇领取资格认证、失业保险金发放签到、工伤保险待遇领取、医疗保险待遇资格认证、网上业务申报身份认证等等，可通过认证子系统针对不同的险种、不同的认证对象进行身份认证。平台后端兼容多种生物识别技术，如：人脸识别、指静脉识别、指纹识别、虹膜识别、掌静脉识别、声纹识别等等。该平台具有较好的兼容性与扩展性，只需要增加相应的生物识别引擎和业务子系统，就能支撑相应的人社业务。

2、功能简述 身份认证平台功能示意图 3、技术优势 自主研发的人脸识别和指静脉识别算法识别率高，识别速度快。 采用生物识别技术，将社保卡与参保用户联系起来，真正实现人卡合一，有效地提供身份识别服务。 兼容多种生物识别技术，支持人脸识别、指静脉识别、指纹识别、虹膜识别、声纹识别等，可根据实际情况和业务需求进行多种选择。 依据“同人同城同模板”的原则，只需要进行一次建模，就可以在人社领域的所有业务系统中共用，大大降低建模投资成本。 身份认证平台具有多个身份认证子系统，满足人社领域内的所有相关业务的身份认证需求，并且各个业务系统可以共享认证结果。 多险种共享终端采集认证设备，大大减少设备部署数量，节约投资成本。 可远程验证，远程管理，不受时间与空间限制，随时随地实现身份认证。

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群 众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录， 实现用户资源的共享，简化用户的操作。

统一身份认证系统

1.1. 统一身份认证系统 通过统一身份认证平台，实现对应用系统的使用者进行统一管理。实现统一登陆，避免每个人需要记住不同应用系统的登陆信息，包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成，实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现，支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS，以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求：50并发认证不超过3秒 ?支持联合发文：支持在Office中加盖多个电子印章，同时保证先前加 盖的印章保持有效，从而满足多个单位联合发文的要求。 ?支持联合审批：支持在Office或者网页（表单）中对选定的可识别区 域内容进行电子签名，这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章：支持两种批量签章方式： ?用户端批量盖章； ?服务器端批量盖章。 ?网页表单批量签章：WEB签章提供批量表单签章功能，不需要打开单个 表单签章，一次性直接完成指定批量表单签章操作，打开某一表单时，能 正常显示签章，并验证表单完整性。 ?提供相应二次开发数据接口：与应用系统集成使用，可以控制用户只能 在应用系统中签章，不能单独在WORD/EXCEL中签章，确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求：电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章，网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签

用友U8身份认证解决方案(9)

身份认证解决方案 目前在U8中用户的身份认证支持四种模式：用户+口令(静态密码),动态密码、CA认证和域身份认证，同一时间，一个用户只能使用一种认证方式，但是不同用户可以根据权限，重要程度交叉使用不同的认证方式。 1.设置认证方式 在系统管理模块中增加操作员的时候设置认证方式，默认支持用户+口令，用户可以更改以便于支持其余三种模式。

图一 2.合作伙伴支持的身份认证在U8系统中的使用 2.1易安全动态密码 1.在U8的应用服务器上，安装“易安全动态密码系统”，根据《U8_动态密码安装配置手 册（深圳海月）》进行相关配置。 2.在系统管理里设置认证方式为“动态密码”，如图一所示，默认支持的是静态口令。 3.配置完成后，在客户端登录产品，密码输入框必须输入由设备动态产生的密码才可，如 图二所示： 图二 备注： 两个系统要求用户编码共用，即不论采用哪种认证方式，用户名必须是通过U8的系统管理产生的，易安全动态密码系统支持批量导入U8用户，权限控制必须在系统管理中完成，如果使用动态密码认证，在系统管理增加用户时，可以不考虑密码信息，同时关于密码的安全策略将不起作用。 详细介绍见《U8动态密码解决方案（深圳海月）》 2.2BJCA的证书使用 BJCA支持两种PKI/CA建设模式：企业自建CA和托管CA。 企业自建CA就是企业自己创建和维护根证书，自行颁发证书。用户身份只需要企业内部审查即可，用户唯一标识为自定义名称，比如test、demo等。

托管CA是企业到BJCA申请证书，BJCA使用Public Trust CA体系为其颁发证书，用户的身份要经过BJCA严格审查，默认唯一标识为身份证号码或企业组织机构代码。 具体使用步骤： 1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。 2.在U8的客户端安装BJCA的客户端证书管理工具，请参阅《U8_CA安装配置手册（BJCA）》进行相关配置。 3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称，名称必须是字母或数字，不能含中文。如图三所示： 图三 4.配置完成后，在客户端登录产品，密码输入框输入的是在U8系统设置的用户密码， 点击确定后，验证U8密码正确后，再次弹出证书PIN码的输入框，如图四所示： 图四 输入PIN码，确定后，系统自动验证证书的合法性。 备注： 目前U8系统中的CA认证采用的是传统的用户名（密码）+证书的双重认证，使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确，安全策略中的密码策略只对U8密码起作用，修改密码也仅修改U8自身的密码。 用户在托管CA申请证书时，必须正确提交企业系统名称。 详细介绍见《U8安全解决方案（BJCA）》 2.3天威诚信的证书使用 天威诚信也支持两种PKI/CA建设模式：第三方托管CA服务和自建型CA系统。 第三方托管CA服务，是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书，用户在本地只要建设少量的CA模块，就可以实现CA认证的功能。 自建型CA系统是指客户购买天威诚信开发的PKI/CA软件，建设一个独立的PKI/CA 系统，除了购买系统软件之外，还包括系统、通信、数据库以及物理安全、网络安全配置、

统一身份认证平台

统一身份认证平台 一、主要功能 1.统一身份识别； 2.要求开放性接口，提供源代码，扩展性强，便于后期与其他系统对接； 3.支持移动终端应用（兼容IOS系统、安卓系统；手机端、PAD端；） 4.教师基础信息库平台（按照教育信息化标准-JYT1001_教育管理基础代码实现） 5.学生基础信息库平台（按照教育信息化标准-JYT1001_教育管理基础代码实现） 二、系统说明 2.1单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后台的多个应 用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 2.2即插即用：通过简单的配置，无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式， 可单独使用也可组合使用。 2.4基于角色访问控制：根据用户的角色和URL实现访问控制功能。基于Web界面管 理：系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性；在此基础上进一步实现用户在异构系统（不同平台上建立不同应用服务器的业务系统），高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合，签发合法用户的权限票据，从而能够使合法用户进入其权限范围内的各应用系统，并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术，对用户实行集中统一的管理和身份认证，并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用，不仅规避密码安全风险，还简化用户认证的相关应用操作。 说明：CA安全基础设施可以采用自建方式，也可以选择第三方CA。 3.2具体包含以下主要功能模块： ①身份认证中心 ②存储用户目录：完成对用户身份、角色等信息的统一管理； ③授权和访问管理系统：用户的授权、角色分配；访问策略的定制和管理；用户授权信息 的自动同步；用户访问的实时监控、安全审计； ④身份认证服务：身份认证前置为应用系统提供安全认证服务接口，中转认证和访问请求； 身份认证服务完成对用户身份的认证和角色的转换； ⑤访问控制服务：应用系统插件从应用系统获取单点登录所需的用户信息；用户单点登 录过程中，生成访问业务系统的请求，对敏感信息加密签名； ⑥CA中心及数字证书网上受理系统：用户身份认证和单点登录过程中所需证书的签发； 四、技术要求 4.1技术原理 基于数字证书的单点登录技术，使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件，和防护系统的认证服务器通信，利用系统提供的安全保障和信息服务，共享安全优势。 其原理如下： 1)每个信息资源配置一个访问代理，并为不同的代理分配不同的数字证书，用来保

统一身份认证平台功能描述

数字校园系列软件产品 统一身份认证平台 功能白皮书

目录 1 产品概述............................................................. - 1 - 1.1 产品简介....................................................... - 1 - 1.2 应用范围....................................................... - 2 - 2 产品功能结构......................................................... - 2 - 3 产品功能............................................................. - 3 - 3.1 认证服务....................................................... - 3 - 3.1.1 用户集中管理............................................. - 3 - 3.1.2 认证服务................................................. - 3 - 3.2 授权服务....................................................... - 4 - 3.2.1 基于角色的权限控制....................................... - 4 - 3.2.2 授权服务................................................. - 4 - 3.3 授权、认证接口................................................. - 4 - 3.4 审计服务....................................................... - 5 - 3.5 信息发布服务................................................... - 5 - 3.6 集成服务....................................................... - 6 -

统一身份认证系统建设方案

统一身份认证系统建设方案 发布日期：2008-04-01 1.1 研发背景 随着信息技术的不断发展，企业已逐渐建立起多应用、多服务的IT 架构，在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向，各有其对应的用户群体、技术架构、权限体系，限制了系统之间的信息共享和信息交换，形成的信息孤岛。同时，每一个信息系统的用户拥有不同的角色（职能），需要操作不同的系统，难以对其需要和拥有的信息和操作进行综合处理，限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理，统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录，改变原有各业务系统中的分散式身份认证及授权管理，实现对用户的集中认证和授权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系，汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统（统一认证服务器）、统一身份管理系统（统一身份管理服务器）、目录服务器。 受控层位于各应用服务器前端，负责策略的判定和执行，提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统（AM），主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统（IM），主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”（SSO） “一次鉴权（认证和授权）”是指建立统一的资源访问控制体系。用户采用不同的访问手段（如Intranet、PSTN、GPRS等）通过门户系统

银行门禁人脸识别身份认证方案

银行门禁系统解决方案

目录 1. 银行安全系统需求分析 ----------------------------------- 3 2．系统设计原则 -------------------------------------------- 4 3．方案设计------------------------------------------------- 6 4.身份认证流程图-------------------------------------------- 6 5.系统架构图 ------------------------------------------------ 7 6.产品介绍 -------------------------------------------------- 8 7.配置清单 ------------------------------------------------- 15 8.公司简介 -------------------------------- 错误!未定义书签。 9.售后服务条款--------------------------------------------- 16

1. 银行安全系统需求分析 随着改革开放的深入，给国民经济带来了空前的繁荣和发展，使得包含银行等金融单位的综合性建筑越来越多地出现。如何搞好银行的保安系统设计，也随之成为设计领域一个非常重要的内容。这一系统的好与坏，是直接关系到国家的金融和人民财产的安全及金融工作人员生命安全的大事。因此也越来越受到各方面人士的重视。 银行的保安工作是一个系统工程，有人员的因素，也有科技的作用。近几年来，伴随着现代科学技术的发展，一些先进的现代技术和手段在防盗保安领域中得到广泛应用，更在银行保安工作中发挥了巨大的作用。 银行的门禁系统在银行整个安防系统中占了最主要的地位。先进的计算机网络技术、通讯技术、微电脑控制技术、智能IC卡识别技术生物特征识别技术等的应用，使到门禁系统技术迅速的发展并完善起来，加上智能IC卡、生物特征的唯一性、高防伪性，智能门禁系统的安全保密性已经达到了很高的水平，其功能极其丰富齐全，被广泛应用于类似银行等金融机构的安全防范系统中。 门禁技术在银行安全防范系统的应用中主要表现为：银行营业厅的通道门互锁门禁系统、银行营业厅大门、金库门门禁系统等。 其系统功能特点为可中心监控、本地N+1确认（指纹、人脸随意组合）开门”、本地确认远程开门、语音提示、遭遇胁迫时开门同时报警等等功能。

统一身份认证权限管理系统方案

统一身份认证权限管理系统 使用说明

目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户（账户）管理 (11) 3.1 申请用户（账户） (12) 3.2 用户（账户）审核 (14) 3.3 用户（账户）管理 (16) 3.4 分布式管理 (18) 第4章组织机构（部门）管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 外部组织机构 (29) 第5章角色（用户组）管理 (30) 第6章职员（员工）管理 (34) 6.1 职员（员工）管理 (34) 6.2 职员（员工）的排序顺序 (34) 6.3 职员（员工）与用户（账户）的关系 (35) 6.4 职员（员工）导出数据 (36) 6.5 职员（员工）离职处理 (37) 第7章部通讯录 (39) 7.1 我的联系方式 (39) 7.2 部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典（选项）管理 (1) 9.1 数据字典（选项）管理 (1) 9.2 数据字典（选项）明细管理 (3) 第10章系统日志管理 (4) 10.1 用户（账户）访问情况 (5) 10.2 按用户（账户）查询 (5) 10.3 按模块（菜单）查询 (6) 10.4 按日期查询 (7) 第11章模块（菜单）管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号（流水号）管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)

统一身份认证设计方案(最终版)

统一身份认证设计方案 日期：2016年2月

目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型11 1.3. 2.3 身份信息的存储12 1.3.3 用户生命周期管理12 1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14) 1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16) 1.5.1 集中授权应用背景16 1.5.2 集中授权管理对象17 1.5.3 集中授权的工作原理18 1.5.4 集中授权模式19 1.5.5 细粒度授权19 1.5.6 角色的继承20 1.6 集中认证管理 (21) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式22 1.6. 2.1 用户名/口令认证23 1.6. 2.2 数字证书认证23 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证24 1.6. 2.5 认证方式与安全等级24 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议25 1.6.3.2 Windows 域25 1.6.3.3 SAML协议26 1.6.4 集中认证系统主要功能28 1.6.5 单点登录29

1.6.5.1 单点登录技术29 1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)