CA数字身份认证系统技术方案
目录
1. 系统需求 (1)
1.1背景概述 (1)
1.2现状与需求概述 (1)
1.3需求分析 (2)
1.3.1 CA建设与使用的分析 (2)
1.3.2 证书存储方式的分析 (3)
1.3.3 签名数据类型的分析 (3)
2. 技术方案 (4)
2.1系统总体架构 (4)
2.2系统数据库 (4)
2.3CA数字证书受理系统 (5)
2.3.1 数字证书及其格式 (5)
2.3.2 自建CA数字证书受理系统 (6)
2.3.3 自建CA切换到第三方CA的可行性分析 (9)
2.3.4 基于第三方(CTCA)的数字证书受理系统 (9)
2.4数字签名认证系统 (9)
2.4.1 数字签名认证的原理及流程 (10)
2.4.2 客户端浏览器签名控件 (10)
2.4.3 签名认证服务器及认证的业务流程 (11)
2.4.4 基于WEB的签名验证管理系统 (12)
2.5数据加密传输通道(SSL) (13)
3. 成功案例 (13)
4. 设备软件汇总及报价 (14)
4.1基本设备及软件 (14)
4.2CA系统设备及软件 (14)
4.2.1 自建CA系统设备及软件 (14)
4.2.2 基于CTCA的数字证书受理系统设备及软件 (15)
4.3数字签名认证系统设备及软件 (15)
4.4USB智能卡类型 (15)
5. 附录 (15)
1. 系统需求
1.1 背景概述
随着计算机网络技术的迅速发展和信息化建设的大力推广,越来越多的传统办公和业务处理模式开始走向电子化和网络化,从而极大地提高了效率、节约了成本。与传统的面对面的手工处理方式相比,基于网络的电子化业务处理系统必须解决以下问题:(1)如何在网络上识别用户的真实身份;
(2)如何保证网络上传送的业务数据不被篡改;
(3)如何保证网络上传送的业务数据的机密性;
(4)如何使网络上的用户行为不可否认;
基于公开密钥算法的数字签名技术和加密技术,为解决上述问题提供了理论依据和技术可行性;同时,《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据,使得数字签名与传统的手工签字和盖章具有了同等的法律效力。
PKI(Public Key Infrastructure)是使用公开密钥密码技术来提供和实施安全服务的基础设施,其中CA(Certificate Authority)系统是PKI体系的核心,主要实现数字证书的发放和密钥管理等功能。
数字证书由权威公正的CA中心签发,是网络用户的身份证明。使用数字证书,结合数字签名、数字信封等密码技术,可以实现对网上用户的身份认证,保障网上信息传送的真实性、完整性、保密性和不可否认性。
数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域。
1.2 现状与需求概述
现状描述。。。。。。
基于上述现状,******系统需要解决数据的签名问题和法律效力问题,从而提高*****的便捷性和管理效率。鉴于数字证书、数字签名的广泛应用和相关法律的保障,****单位规划建设CA及数字签名认证系统,主要需求如下:
(1)建设CA系统或采用第三方CA,为****用户申请数字证书;
(2)在现有*****系统中加入对数据的签名功能,存储数据签名并提供对签名的认证
功能;
1.3 需求分析
为了解决网上用户的身份证明问题,需要为用户颁发数字证书。数字证书由CA中心签发,目前在实际应用中主要存在两种类型的CA:
(1)独立的第三方CA
跨区域的CA,如:中国电信的CTCA、中国人民银行的CFCA;
地域性的CA,如:广东电子商务认证中心CNCA、上海电子商务认证中心SHECA,以及其他各省电子商务认证中心;
(2)各类应用系统自己建设的CA
如:招商银行、建设银行等建设的用于服务各自网上银行的CA;海关、税务等建设的服务各自网上报税系统的CA;
这两种类型的CA在实际使用过程中各有优劣,以下将进行分析和比较:
1.3.1 CA建设与使用的分析
采用独立权威的第三方CA与自建CA的比较
备注:成本比较
权威的第三方CA 的使用成本:10元/年/用户 × 10万用户 = 100万元/年
自建CA 的系统建设成本 < 100万元,并且只是一次性的投入
综合比较而言,自建CA 优于采用第三方CA ,因此推荐自建CA 。
1.3.2 证书存储方式的分析
◆ 使用普通文件存储方式与USB 智能卡存储方式的比较
USB 智能卡自带CPU ,内置芯片操作系统(COS );采用USB 接口,易于使用和携带;支持RSA 非对称算法和DES 、3DES 等对称算法;支持RSA 公司的PKCS#11标准和微软的CSP 标准;支持Windows98/NT/2000/XP/2003等操作系统。USB 智能卡可支持国密算法SSF33,并通过国家密码管理委员会的检测。
图1 USB 智能卡
1.3.3 签名数据类型的分析
*****系统需要进行电子签名并存储的数据主要有以下三类:
◆ 上报表单的数据签名
用户在网上填写的各类表单需要由用户的私钥进行电子签名;
◆ 上报数据文件的数据签名
用户上传的数据文件,其内容需要由用户的私钥进行电子签名;
下载数据文件的数据签名
用户通过****系统生成并下载的确认数据文件(如:PDF格式),其内容需要由用户的私钥进行电子签名并回传至系统存储。
2. 技术方案
2.1 系统总体架构
系统的总体架构如下图所示,主要由:****业务系统、CA数字证书受理系统、数字签名认证系统三大部分组成。
图2 系统总体架构
2.2 系统数据库
系统中包含两个数据库(Sybase):业务数据库和证书数据库,其中证书数据库需要新建,业务数据库需要更新,以满足数字签名认证的需求。
(1)证书数据库主要包括以下数据:
用户数据:用于用户数字证书的申请,可以由业务数据库批量导入;
证书数据:用户证书及证书信息、证书状态;
用户与证书的关联数据:用户信息与用户证书的对应关系;
(2)业务数据库主要包括以下数据:
用户数据:用户的用户信息;
业务数据及签名数据:业务的各项数据,需要增加相应的签名字段和签名证书的序列号字段;
2.3 CA数字证书受理系统
2.3.1 数字证书及其格式
数字证书是一种数字标识,如同我们的身份证一样,是网络上的身份证明,它是由证书授权机构(CA)签名颁发的数字文件,该签名使得第三者不能伪造和篡改证书。
ITU-T的X..509国际标准定义了数字证书的格式,目前X .509v3数字证书的主要内容,如图2所示,主要包括证书的版本号、证书的序列号、证书的有效起止日期、证书颁发者的名字和唯一标识符、证书持有者的名字和唯一标识符、证书持有者的公钥、证书扩展项以及证书颁发者的签名。其中,证书扩展项可以根据证书的不同应用而由证书的颁发者具体定义,因而具有较强的通用性和灵活性。
由于数字证书是由相对权威的授权机构审核颁发的,因此,一方面可以用来向系统或者系统的其他实体证明自己的身份;另一方面,由于证书携带着其持有者的公钥,也起着公钥分发的作用。
图3 X .509v3数字证书的主要格式
基于****单位的现状与需求分析,建议建设自己的业务系统CA,节约总体成本投入,满足业务系统对CA认证的可靠性、灵活性、快捷性以及用户使用的方便性等方面的需求。
另外,也可以采用基于权威第三方的CA数字证书受理系统。
2.3.2 自建CA数字证书受理系统
图4 独立建设的CA数字证书受理系统
自建CA数字证书受理系统主要由WEB应用服务器、数据库、RA服务器、CA服务器组成,采用B/S(浏览器/服务器)架构实现基于WEB的数字证书申请、审核、下载制作、更新和作废等功能。
2.3.2.1 自建CA各组成部分及其功能
?基于WEB的证书管理系统
为用户和管理员提供WEB管理界面,完成用户证书申请信息的提交、查询、审核;已生成的数字证书的下载和制作(存储到指定介质);证书状态的查询和管理(证书更新、证书作废);私钥密码的修改等功能。
?证书数据库
存储用户信息、证书信息以及二者的关联信息,保存用户的所有历史证书数据,以备校验历史签名数据。
?注册授权服务器(RA)
负责定期从数据库中提取已审核通过的证书申请/更新/作废信息,按既定格式打包提交到CA服务器,并接收和记录返回的结果。
?证书签发服务器(CA)
负责密钥对(公私钥对)的产生,可采用软件方式或硬件方式(加密机);接收RA服务器的请求,签发/更新/作废用户证书;定期签发CRL(证书撤销列表)。
备注:
(1)CA服务器采用软件方式产生密钥对可节约系统成本;采用硬件方式产生密钥对,则需要购置加密机(国密局认证的密码设备,得安SJY05型加密机),产生的密钥对质量高,也有利于自建的CA完成相关认证和获取资质。
(2)RA服务器和CA服务器均为软件方式的应用程序,可共用一台主机。
2.3.2.2 自建CA的主要功能和技术特点
自建CA总体上具有建设成本低、易于部署;流程简捷高效、易于管理;系统可定制,易于与具体业务系统相结合等特点。
系统的主要功能如下:
自定义根CA:系统初始化时,自定义根CA证书。
CA策略管理:支持对密钥长度、证书有效期、私钥备份等策略的管理。
证书申请信息注册:通过WEB方式提交证书申请信息,支持个人证书、企业证书、服务器证书等,支持批量证书申请。
证书申请信息审核:管理员通过WEB方式查询并审核用户的证书申请信息,可设置自动审核。
密钥产生和证书签发:CA服务器支持软件方式和硬件方式(加密机或加密卡)产生密钥对,并签发证书请求,生成证书。
证书查询和下载制作:通过WEB方式查询证书申请状态、证书状态,下载已经生成的证书,并通过WEB方式灌制到指定的存储介质。
证书作废和CRL签发:通过WEB方式提交证书作废请求,定时签发CRL。
证书更新:即将到期的用户证书可以通过WEB方式进行在线更新。
证书导出:可以通过WEB方式将指定范围的用户证书按标准格式(BASE64编码)导出到文件中。
系统审计:对证书相关的各项操作,提供详尽的系统审计功能。
系统的主要技术和功能特点:
数字证书格式遵循X.509v3国际标准
密钥长度可支持512、1024、2048位
密钥生成方式支持软件产生和硬件(加密机或加密卡)产生
支持CA策略定制(密钥长度、证书有效期、私钥备份等策略)
支持多种证书类型:个人、企业、服务器证书等
支持多种存储介质:磁盘、U盘、IC卡、USB智能卡(eKey)
支持证书的批量申请,支持证书申请的手工审核和自动审核
支持证书作废和证书撤销列表(CRL),支持证书更新
2.3.2.3 自建CA的证书受理业务流程
图5 自建CA的证书受理业务流程
上述流程中的相关步骤说明如下:
(1)步骤1至3,可以根据实际情况由管理员一次录入资料并自动审核;对于*****系统而言,可以从系统的数据库中按要求格式导出用户数据文件,再批量导入证书申请数据库中,同时自动审核;
(2)步骤8至9,可根据实际情况由用户或管理员完成下载操作。
自建CA系统在对外提供电子认证服务时,需要通过国家密码管理局、国务院信息
产业主管部门的审查并获取电子认证许可证。
2.3.3 自建CA切换到第三方CA的可行性分析
自建CA在结构上具有良好的兼容性,通过RA服务器可以屏蔽不同CA中心所带来的接口问题。当整个CA系统需要切换到第三方CA时,只需更改RA服务器,按第三方CA系统的接口格式,将证书申请数据打包提交到第三方CA系统即可实现证书的申请,原有的基于WEB的证书管理系统将仍然有效。
2.3.4 基于第三方(CTCA)的数字证书受理系统
目前,国内拥有CTCA、CFCA等大型CA运营系统,它们通过了相关部门的审批,具有相关资质,是对外提供电子认证服务的权威、公正的第三方CA系统。
如果采用第三方CA系统,则需要完成以下工作:
(1)与第三方CA签署合作协议;
(2)从第三方CA系统申请数字证书;
(3)为申请的数字证书按年交纳使用费用;
在申请和使用数字证书的过程中,需要遵循第三方CA限定的证书申请模式,受第三方CA系统性能制约。从第三方CA系统申请数字证书的方式可以是用户分散申请方式或者批量申请方式,前者对用户要求较高且过程繁琐,后者需要将批量申请下来的数字证书手工导入业务系统中。
建立基于第三方CA的数字证书网上受理系统,是解决第三方CA数字证书申请的有效途径之一,通过该系统连接业务系统和第三方CA,从而实现数字证书申请过程以及数字证书与业务系统结合过程的自动化。
2.4 数字签名认证系统
数字签名认证系统由客户端浏览器签名控件、签名认证服务器、基于WEB的签名验证管理系统组成。
2.4.1 数字签名认证的原理及流程
图8 数字签名认证的原理
数字签名基于非对称加密算法和单向散列算法(Hash函数),其原理如下:
?用户A对要发送的信息用Hash函数进行摘要,并用自己的私钥加密该摘要;
?用户A把原始信息和私钥加密后的摘要绑定,发送给用户B;
?用户B用A的公钥解密接收到的加密摘要,并得到摘要;
?用户B对接收的原始信息用同一Hash函数进行摘要;
?将前两步所得的摘要进行对比,如果相同,即可通过验证。
利用证书验证签名数据时,都遵循相同的验证流程,一个完整的验证过程由以下几步:(1)将接收的数据分为原始数据流、签名数据和用户证书三部分;
(2)用CA根证书验证用户证书的签名完整性;
(3)检查用户证书是否有效(当前时间在证书的有效期内为有效);
(4)检查用户证书是否作废(OCSP方式或证书撤销列表CRL方式);
(5)验证用户证书结构中的证书用途;
(6)用用户证书验证原始数据的签名完整性。
如果上述各项均验证通过,则接受该数据;只要有一项未通过,则验证失败。
2.4.2 客户端浏览器签名控件
客户端浏览器签名控件采用ActiveX控件形式(如下图所示),在第一次使用系统时自动下载安装。
图9 客户端浏览器签名控件的自动下载安装示例
客户端签名控件可以以浏览器插件形式自动调用,也可以以脚本方式调用,主要完成以下功能:
(1)对网页中的表单(Form)数据项进行签名
表单中的各数据项按约定方式命名,签名控件自动检测表单数据项并按如下格式对表单进行签名:
签名数据= 私钥签名(Hash(Key1=Value1&Key2=Value2&…&KeyN=ValueN))
提交到服务器的数据= 原始表单数据+ 签名数据+ 用户数字证书(2)对网页中上传的数据文件内容进行签名
上传文件的控件名按约定方式命名,签名控件自动检测准备上传的数据文件,读取文件内容并按如下格式对文件进行签名:
签名数据= 私钥签名(Hash(上传文件的内容))
提交到服务器的数据= 原始文件数据+ 签名数据+ 用户数字证书
2.4.3 签名认证服务器及认证的业务流程
如图2所示,签名认证服务器位于防火墙之后,与EJB服务器配合使用,并与证书数据库相连接,其认证的业务流程如下图所示:
图10 签名认证服务器的认证业务流程
签名认证服务器主要完成以下功能:
(1)接收EJB服务器提交的认证请求数据;
(2)从认证请求数据中获取数据、数据签名和用户数字证书,根据配置的CA根证书,校验用户证书是否由本CA签发,是否在有效期范围之内;
(3)查询证书数据库中相应证书的状态,检查用户证书是否被作废;
(4)用用户证书校验数据签名;
(5)验证通过的数据、数据签名及相应的签名证书序列号交由EJB服务器入*****系统业务数据库存储;
系统业务数据库的每一条记录应当增加数字签名和签名证书序列号两个字段。
2.4.4 基于WEB的签名验证管理系统
基于WEB的签名验证管理系统提供WEB方式的历史数据查询和签名校验功能,其业务流程如下:
(1)查询历史数据和签名;
(2)根据签名证书序列号在证书数据库中查找用户证书;
(3)使用用户证书校验签名;
证书数据库中必须保存用户的所有历史证书数据,以便对历史签名数据进行校验。2.5 数据加密传输通道(SSL)
目前,*****系统采用的是普通的HTTP传输通道和明文数据传送。通过在WEB应用服务器(WebLogic)上配置服务器证书和私钥,可以实现基于SSL的HTTPS传输通道,保证其中传送的数据的安全性。
以下几点说明:
(1)与HTTP方式相比HTTPS速度相对较慢;
(2)服务器证书的CN(Common Name)必须与站点名称一致;
(3)单向SSL,只对服务器证书进行验证,可配置双向SSL,要求对服务端证书和客户端的用户证书都进行验证。
图11 在WebLogic控制台中配置SSL服务
3. 成功案例
中科院数字图书馆(https://https://www.360docs.net/doc/c43267618.html,)CA数字证书受理与认证系统
中国银行江苏分行网上外汇交易认证(http://202.102.32.19)
赛迪网安全电子邮局(https://www.360docs.net/doc/c43267618.html,)CA数字证书受理与认证系统
武警部队哨位监控系统CA数字证书受理与认证
武警森林部队OA系统CA数字证书受理与认证
基于中国电信CTCA的数字证书受理系统和认证系统:
中国电信安全公务平台(https://www.360docs.net/doc/c43267618.html,)
江苏电信RA数字证书受理系统(http://202.102.32.3)
陕西省电信RA数字证书受理系统(http://202.100.43.106)
贵州省电信OA系统认证
安徽省电信OA系统认证
新疆电信协同办公系统认证
湖北省电信VPN移动办公认证
中国电信集团公司市场部服务监督系统认证
中国电信集团公司综合部电信信息系统认证
中国电信集团公司财务部信息系统认证
中国电信集团公司法律部信息系统认证
中国电信集团公司监管事务部信息系统认证
4. 设备软件汇总及报价
4.1 基本设备及软件
4.2 CA系统设备及软件
根据所选CA类型(自建或第三方)不同,系统略有差别,以下为二选一。
4.2.1 自建CA系统设备及软件
4.2.2 基于第三方CA的数字证书受理系统设备及软件
4.3 数字签名认证系统设备及软件
4.4 USB智能卡类型
备注:上述均为eKey-PK(公钥版)系列USB智能卡。
5. 附录
《CA与数字签名认证系统报价》
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系统 建设方案 2016年03月 目录 一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案................................................. 1.方案设计 .............................................. A.方案(串连网关方式)................................. B.方案(旁路方式+BRAS,BRAS产品) 四.认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................
统一身份认证-CAS配置实现
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
sso_统一身份认证及访问控制解决方案
统一身份认证及访问控制 技术方案
1.方案概述 1.1. 项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。 1.2. 系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: ?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 ?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 ?基于角色访问控制:根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
统一身份认证平台功能描述
统一身份认证平台功能 描述 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
数字校园系列软件产品统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
统一认证平台的设计方案(XXXX互联网接入平台建设方案)
XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网和公司内部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 (一)覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 (二)接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统,并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司内网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入内部网络。 (三)多运营商接入需求
公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。 (四)身份认证及单点登录需求 由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限范围内的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。 (五)安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施,防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。 二、方案设计
统一身份认证系统技术研究
统一身份认证系统技术研究 一、背景 目前公司产品中的各个子系统正在从原来高耦合的整合系统模式向现在的高内聚低耦合的系统模式发展,例如:现在的LIS、PACS、移动医疗、电子病历已经能够从原来的HIS系统中分离出来独立运行。另外,与第三方系统的互联互通的需求也愈来愈多。各个系统之间的低耦合使得系统的访问控制和信息安全问题愈见突出,原来整合系统的统一的认证、授权、账号管理模式被各个系统的分立的状况打破,特别是对于外部系统的互联互通,原来的模式更是走不通。另外,目前所采用的数据库内部认证和授权方式以及通过调用接口或者WebService接口,虽然是一种有效地补充,但是仍然存在效率和规范的问题。 因此,构建一个完整统一、高效稳定、安全可靠的统一身份认证和管理平台已经成为目前产品体系下的一种需要。 二、统一身份认证系统的功能、规范与技术要求 统一身份认证系统的最基本功能要求就是对于各个系统间的用户进行统一管理,让用户使用系统时更加方便,无需反复登录系统。统一身份认证系统应从功能方面满足以下要求: 1、用户只需在统一身份认证系统中登陆一次后,就可以使用基于统一身 份认证系统认证的所有系统,无需再记忆多套用户名和密码。 2、管理员可以对所有系统的用户进行统一管理,可以对用户的权限进行 统一分配。实现系统的分布式应用,集中式的管理。 3、统一身份认证系统下的各个业务系统之间,用户数据必须保持一致性。 用户数据必须同步更新。 统一身份认证平台应满足4A安全管理框架规范,4A框架的内容为 身份认证(Authentication) 身份认证是信息安全的第一道防线,用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
统一身份认证系统
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计
基础支撑层 统一身份认证(SSO) 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。 1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。 4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示:
单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求 块
统一身份认证系统建设方案
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
统一认证与单点登录解决方案(详细介绍了统一认证和单点登录)
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS 统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能:
统一身份认证系统设计与实现
统一身份认证系统设计与实现 随着信息化的日益普及,以及中国信息化建设步伐的逐步加快,信息化正以几何倍数增长的方式支撑着能源、通信、金融、交通、工农业及服务业等各行业的生产建设活动,信息化已成为当前社会生产经营活动必不可少的辅助手段。在此情况下,国家电网公司在“十一五”期间大力发展信息化建设,但随着公司信息化建设的推进,公司各业务部门对本部门业务系统的需求单一性、不可复用性以及管理成本的浪费日见明显,如何利用信息系统为各业务部门创造价值、节约人力成本、提高管理效率的同时,加强各业务系统的统一管控力度、降低信息系统的运行维护成本,并且在不影响当前业务支撑多样性的前提下整合各业务系统数据来源、对面向不用的业务应用提供统一身份、单点登录、身份管理等基础服务变得越来越重要。本文的研究重点是在国网公司内构建一套统一身份认证系统,实现对不同平台、不同数据库之间的业务应用系统的统一支撑管理。本文通过对国家电网公司各部门(单位)以及各业务应用系统现状充分调研的基础上,遵循集成性、安全性、稳定性、先进性等原则,提出了一个基于轻量级目录访问协议的统一身份认证系统的设计框架,利用目录技术实现对各部门(单位)组织架构、各组织层级下的用户信息以及各业务应用基础用户数据的统一管理,任何应用系统均可取消自身用户系统,使用统一身份认证系统的日录数据源作为业务系统的用户数据库:利用反向代理和统一认证技术实现对同一用户登录不同业务应用系统的单点登录,以及同一用户在不同业务应用系统中的权限角色配置;利用身份管理服务技术在强化数据通道安全性的条件下,实现不同数据源之间的数据复制、同步,以及数据复制、同步过程中的属性变更等一系列的过程控制:利用J2EE 架构实现了统一身份管理工具的设计,实现了针对目录数据源的组织架构管理、用户信息管理、应用管理、授权管理等。 本系统在设计中,考虑到国家电网公司信息化建设速度快、系统更新升级频繁、业务需求多、变化快等特点,同地考虑统一身份认证系统自身特点可能带来的单点故障等原因,系统的各个子系统设计相对独立,保证了系统的稳定性的同时,强化了易更新、易集成的特性,为国家电网公司构建全球最大的集团企业级信息系统提供有力支撑,同时,随着统一身份认证系统的逐步完善,将在大规模、多平台信息系统建设中发挥重要的作用。
统一身份认证权限管理系统方案
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章部通讯录 (39) 7.1 我的联系方式 (39) 7.2 部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
统一身份认证系统需求
目录 1业务概述 (2) 1.1业务背景 (2) 1.2业务目标 (2) 1.3业务范围 (2) 1.4专业术语说明 (3) 1.5关联业务需求 (3) 1.6整体计划 (3) 2业务需求 (4) 2.1统一认证 (4) 3性能需求 (12) 3.1系统响应时间 (12) 3.2容量支持要求 (12)
1业务概述 根据公司建立统一认证系统的总体目标,针对现有工程系统和办公系统,和正在规划中的系统,做了充分的需求调研,最终确定了现阶段统一认证系统的具体要求,形成了本需求内容。 1.1业务背景 现阶段,公司信息系统正处于快速建设系统的阶段,各应用系统都拥有各自的用户管理及权限管理,用户登录各系统时需切换不同的身份方可进入相应的系统,给用户带来极大的不便,也给IT运营维护带来极大的困扰。另外,随着公司各项业务的关联性不断增强,各应用系统之间的基于用户身份的数据集成因此受到阻碍。 为了解决这一问题,建立统一认证系统提上日程。统一认证管理系统,可提供可靠统一用户登陆、用户认证等功能,它可以在不改变现有基础结构的情况下,对现有的系统进行集成,也能适应各种未知系统的集成。 1.2业务目标 建立统一认证系统是IT规划的总体目标之一,目的是为了使得现有系统的用户信息重复混乱、用户重复登录体验差的现状得以改变,也为新规划的系统建立统一的认证标准。 总体目标: 建立完善的统一认证系统,实现企业内系统的集成,提供可靠的、可管理的统一认证服务。 主要建设目标有: ?建立统一认证系统,提供统一身份认证服务; ?实现系统的统一认证集成; 1.3业务范围 范围主要包含用户登录模块、用户管理模块、代理认证模块、服务管理与验证模块、系统管理模块。
统一身份认证设计方案(最终版).
统一身份认证设计方案 日期:2016年2月
目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型11 1.3. 2.3 身份信息的存储12 1.3.3 用户生命周期管理12 1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14) 1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16) 1.5.1 集中授权应用背景16 1.5.2 集中授权管理对象17 1.5.3 集中授权的工作原理18 1.5.4 集中授权模式19 1.5.5 细粒度授权19 1.5.6 角色的继承20 1.6 集中认证管理 (21) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式22 1.6. 2.1 用户名/口令认证23 1.6. 2.2 数字证书认证23 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证24 1.6. 2.5 认证方式与安全等级24 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议25 1.6.3.2 Windows 域25 1.6.3.3 SAML协议26 1.6.4 集中认证系统主要功能28 1.6.5 单点登录29
1.6.5.1 单点登录技术29 1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)
XXXX网络统一身份认证计费管理系统建设方案综合样本
XXXX学院网络统一身份认证计费管理系统建设方案 03月 目录 一.计费系统设计规划 ........................................................ 错误!未定义书签。
二.方案建设目标 ................................................................ 错误!未定义书签。三.总体方案 ........................................................................ 错误!未定义书签。 1.方案设计 ....................................................................错误!未定义书签。 A.方案( 串连网关方式) ......................................... 错误!未定义书签。 B.方案( 旁路方式+BRAS, BRAS产品) .................. 错误!未定义书签。四.认证计费管理系统与统一用户管理系统的融合........ 错误!未定义书签。 4.1统一用户管理系统的融合...........................................错误!未定义书签。 4.2一卡通系统的融合 .......................................................错误!未定义书签。 4.3用户门户系统的融合 ...................................................错误!未定义书签。五.认证计费管理系统功能介绍........................................ 错误!未定义书签。六.用户案例 ........................................................................ 错误!未定义书签。 6.1清华大学案例介绍 .......................................................错误!未定义书签。 6.2成功案例-部分高校......................................................错误!未定义书签。 6.3系统稳定运行用户证明...............................................错误!未定义书签。 七.实施方案............................................................................... 错误!未定义书签。 7.1实施前准备工作 ...........................................................错误!未定义书签。 7.2认证计费系统安装 .......................................................错误!未定义书签。 7.3实施割接前测试工作 ...................................................错误!未定义书签。 7.4实施中割接、割接后测试工作..................................错误!未定义书签。
统一身份认证设计方案(最终版)
统一身份认证设计方案(最终版)
统一身份认证设计方案 日期:2016年2月
目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型12 1.3. 2.3 身份信息的存储13 1.3.3 用户生命周期管理13 1.3.4 用户身份信息的维护14 1.4 集中证书管理 (15) 1.4.1 集中证书管理功能特点15 1.5 集中授权管理 (17) 1.5.1 集中授权应用背景17 1.5.2 集中授权管理对象18
1.5.3 集中授权的工作原理19 1.5.4 集中授权模式19 1.5.5 细粒度授权20 1.5.6 角色的继承21 1.6 集中认证管理 (22) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式23 1.6. 2.1 用户名/口令认证24 1.6. 2.2 数字证书认证24 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证25 1.6. 2.5 认证方式与安全等级25 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议26 1.6.3.2 Windows 域26 1.6.3.3 SAML协议27 1.6.4 集中认证系统主要功能29 1.6.5 单点登录29 1.6.5.1 单点登录技术30 1.6.5.2 单点登录实现流程32 1.7 集中审计管理 (36)
13医学院校数字化校园统一身份认证系统建设
?医院管理? 医学院校数字化校园统一身份认证系统建设 左 锋1,李刚荣2 (第三军医大学:1.信息网络管理中心,重庆400038;2.西南医院信息资料科,重庆400038) 中图分类号:R197.324文献标识码:B文章编号:167128348(2009)1421833202 随着高校信息化的迅猛发展,数字化校园建设相继进入各高校的规划,医学院校也不例外。数字化校园建设涵盖的面很广,基本包括了学校信息化建设的各方面,从网络基础设施,到教学资源,以及各个业务系统,都需要进行重新规划,以达到“数据集中、设备集群、应用集成”的信息共享效果,避免重复建设。 为实现应用集成的目标,首先要实现的就是各应用系统的统一入口和统一用户名、密码,这就提出了统一身份认证系统建设的需求。 1 统一身份认证的意义 所谓身份认证,就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对同一网络中不同应用系统而言,采用统一的用户电子身份判断用户的合法性[1]。 数字化校园网络中各个应用系统完成的服务功能各不相同;有些应用系统具有较高的独立性,如财务系统,有些应用系统需要协同合作完成某个特定任务,如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的,各应用系统的建立没有遵循统一的数据标准,数据格式也各不相同,系统间无法实现有效的数据共享,于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说,如果各系统各自存储管理一份不同的身份认证方式,用户就需要记忆多个不同的密码和身份,并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大的不便。 随着现代信息技术的发展,校园网络提供的信息服务质量的提升,对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求也相应提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理,保证各应用系统基于统一的模式、集中的环境开发与升级,一方面降低了系统整体运行的维护成本,另一方面保证了整个校园系统能够随着平台的升级而同步升级,方便使用和管理,也保证了整个系统的先进性与安全性[2]。 尤其对于医学院校来讲,师生的信息化技能普遍不强,对于繁杂的应用系统,本来就有一种不适应。建立统一的身份认证,简化访问不同系统的复杂性,对于院校信息化的推进就显得更为重要。 2 统一身份认证技术 从目前的发展来看,采用较多的身份认证方式有3种:第一,应用系统单独维护用户库进行身份认证方式。第二,采用统一身份认证技术,同一个用户库为多项应用提供认证服务。这种方式不仅解决了多个应用系统身份统一管理的问题,而且降低了用户管理成本。第三,采用单点登录技术,解决多个应用系统多次登录的问题,用户只需登录一次,就可以使用指定的多个系统[3]。 在以上3种身份认证方式中,第一种方式在高校网络应用系统建设的初期采用较多。后两种方式在整合高校网络应用资源中发挥了很大作用,往往结合起来使用,成为数字化校园建设的标志之一。 统一身份认证(unifien inentity,U I)系统是数字化校园建设的软件基础平台之一,为校园的各种网络服务和应用系统提供统一的用户管理平台和身份认证服务。统一身份认证系统是一个集中的用户认证管理和集成环境,可管理和分发用户的权限和身份,为不同的应用系统提供统一的用户管理、身份认证、安全保障服务。各应用系统只需保留角色和权限控制,用户数据库资源统一保存在认证服务器中,用户和角色的管理由应用系统自行管理。 统一身份认证的优点:采用统一身份认证后,用户只需要使用同一用户名、同一密码就可以登录所有允许他登录的系统,用户使用更加方便;从管理角度出发,管理人员可以在认证系统集中地对各个应用系统上的用户进行管理,使整个学校应用系统的管理水平得到极大提高。 统一身份认证技术的进展很快,从早期的Windows N T 上使用的域认证,活动目录(activity directory),到统一标准的RADIUS(remote authentication dial in user service)认证技术,一直到现在使用最多的LDA P认证技术,并且国内现在也提出了基于SOA的统一身份认证技术。 其中,应用得做多,也是最关键的技术是轻量目录访问协议(lightweight directory access protocol,LDA P)技术。LDA P 实现了指定的数据结构的存储,是一种特殊的数据库,但是LDAP和一般的数据库不同,它的主要任务不是数据的存储和操作,因此并不像传统的数据库一样支持复杂的事务或者回滚技术。它对查询进行了优化,与写性能相比LDA P的读性能要强很多。 基于LDA P的应用开发有标准的规范,因此利用LDA P 服务可以设计出跨平台和应用的统一身份认证系统。可以在任何计算机平台上访问LDA P目录。LDAP还是一个安全的协议,它使用SASL(简单证明安全层)协议,提供访问控制。LDAP通过SSL/TL S认证机制来保护数据的完整性和私密性。 当前常用的提供LDA P服务的软件有:Sun One Directory Server、IBM Security Directory、iPlanet Directory Server、Mi2 crosoft的Active Directory也提供LDA Pv3接口,还有开源的OPEN LDA P。 3 统一身份认证的实现 3.1 统一身份认证服务提供与调用 第三军医大学统一身份