统一身份认证平台设计
统一身份认证平台设计
1.1.1. 平台概述
建立电子身份认证系统,实现统一的用户管理与权限控制。
身份认证系统将是智慧化校园的重要组成部分,为各应用系统提供集中的身份认证服务,提高智慧化校园应用系统的安全性。通过指定相应的集中认证技术规范,提供统一的应用系统用户管理接口,最终实现所有新建系统用户认证的统一集中化管理,做到真正意义的集中认证。该系统为智慧化校园的所有用户提供统一的身份确认与权限交付。用户通过统一信息门户实现单点登录,整体上避免重复投资。
1.1.
2. 平台功能
⑴ 建立统一的用户身份数据中心,为用户身份提供集中和统一的管理,保证用户身份的真实性、保密性、完整性。
⑵ 提供统一的身份认证,建立信息系统访问的身份信任关系。
单点登录
图书管系统
认证数字证书()认证
⑶提供单点登录(SSO ),一次认证,畅通无阻。
⑷基于WEB 界面系统管理,SSL加密传输,方便安全。
⑸用户身份来源于用户的产生部门,由身份同步机制自动同步到用户身份
中心。(根据需要可开放注册)
⑹用户权限基于实际用户在不同系统中的权限管理,保证了应用系统的独
立、安全、可靠。
⑺系统具有密码找回功能,降低了系统管理员的负担。
除支持B/S用户名密码认证外,针对实际需求还可支持智慧签名认证,卡认证等。
统一身份认证-CAS配置实现
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
统一身份认证平台讲解
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系统 建设方案 2016年03月 目录 一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案................................................. 1.方案设计 .............................................. A.方案(串连网关方式)................................. B.方案(旁路方式+BRAS,BRAS产品) 四.认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................
统一认证平台设计方案(XXXX互联网接入平台建设实施计划方案)
XXXX互联网接入平台建设方案 为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网与公司部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司网业务系统的需求。 一、需求分析 (一)覆盖围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网的相关业务系统。 (二)接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司网系统,并确保员工PC终端自身的安全性不会影响到公司网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入部网络。
(三)多运营商接入需求 公司员工通过联通、电信、移动等多个运营商接入互联网访问公司部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。 (四)身份认证及单点登录需求 由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限围的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。 (五)安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司部网络的数据需采取加密措施,防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。
统一身份认证平台讲解-共38页知识分享
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
设计思路=统一身份认证系统
lessoner@https://www.360docs.net/doc/e413891158.html, 统一身份认证系统 系统介绍 统一用户管理系统基于Web Service技术,提供超大型用户统一管理、统一认证、异构系统与平台单点登录、统一安全控制与审计以及统一计费与支付功能的系统平台。通过该系统,可以圆满解决政府信息孤岛问题、企业应用认证集成以及电信和互联网服务收费等问题,真正实现:一点认证、全网通行;一点管理,全网安全。 系统架构 系统功能
统一用户管理 系统提供超大型用户统一集中管理,可管理千万级用户,系统支持多种用户帐号配置、用户字段自定义配置、用户 分类分组、多种用户接口(AD, LDAP, Membership等)、用户权限安全等方面的管理。 统一认证服务 系统提供集中统一的,支持PKI、用户名/密码、B/S和C/S等多种身份认证方式,并结合系统强大的加密与安全技 术,实现高效、安全的认证服务。 统一授权管理 系统结合资源管理对用户的访问提供统一授权服务(PMI),用户身份到应用授权的映射功能,实现权限和证书的产 生、管理、存储、分发和撤销等功能,并可以大大提高管理者的效率,降低管理者的工作量。 统一资源管理 系统提供各种应用系统和各种需要保护的功能资源的统一管理功能,有效的控制和管理资源,提供资源的认证、资 源的维护、资源的产品和服务以及资源的积分、计费与结算的管理,通过该模块,可以建立分布式的全球认证服务体 系。 统一计费结算 系统特别提供统一的用户积分、网络虚拟货币、网上银行支付以及其他多种电信支付方式的管理,同时,系统还提 供灵活的计费结算方式,支持按次计费、包时段计费、组合套餐计费等多种方式,圆满
的解决了网上用户购买商品、服 务以及虚拟商品的功能,并结合系统提供的灵活的结算管理系统,提供准确、安全的费用结算、统计和分析功能。 统一安全审计 系统提供对于用户管理和认证的全面安全管理,包括:用户安全体系、用户信息加密、SSL加密安全、访问日志分 析、数据备份/恢复、网络安全防护、用户信息审计和自动用户清洗等一系列功能,全面解决系统的事前、事中和事后的 安全问题。 统一接口规范 系统提供标准的Web Service的认证服务和用户管理的SDK接口,符合SAML安全标记语言规范,方便其他各种异构操 作系统平台的应用进行SSO应用集成。 统一统计分析 通过统一的统计分析模块,我们可以分析和跟踪用户行为,了解和挖掘用户消费心理,提供详细的日、周、月和年 度报表,为管理者提供决策服务。 系统特点 1. 支持多个安全级 2. 支持多种身份验证方式 3. 完善的SSO会话管理 4. 跨域的SSO,支持SAML 5. 针对遗留应用的快捷、安全的SSO实现 6. 可插的可扩展的安全框架 7. 细粒度的访问权限控制 8. 高性能,保证整个系统的可用性 9. 个性化的SSO支持 10. 平台无关性
统一认证平台的设计方案(XXXX互联网接入平台建设方案)
XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网和公司内部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 (一)覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 (二)接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统,并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司内网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入内部网络。 (三)多运营商接入需求
公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。 (四)身份认证及单点登录需求 由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限范围内的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。 (五)安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施,防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。 二、方案设计
统一身份认证设计方案(最终版).
统一身份认证设计方案 日期:2016年2月
目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型11 1.3. 2.3 身份信息的存储12 1.3.3 用户生命周期管理12 1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14) 1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16) 1.5.1 集中授权应用背景16 1.5.2 集中授权管理对象17 1.5.3 集中授权的工作原理18 1.5.4 集中授权模式19 1.5.5 细粒度授权19 1.5.6 角色的继承20 1.6 集中认证管理 (21) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式22 1.6. 2.1 用户名/口令认证23 1.6. 2.2 数字证书认证23 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证24 1.6. 2.5 认证方式与安全等级24 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议25 1.6.3.2 Windows 域25 1.6.3.3 SAML协议26 1.6.4 集中认证系统主要功能28 1.6.5 单点登录29
1.6.5.1 单点登录技术29 1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计
基础支撑层 统一身份认证(SSO) 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。 1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。 4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示:
单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求 块
统一身份认证系统设计与实现
统一身份认证系统设计与实现 随着信息化的日益普及,以及中国信息化建设步伐的逐步加快,信息化正以几何倍数增长的方式支撑着能源、通信、金融、交通、工农业及服务业等各行业的生产建设活动,信息化已成为当前社会生产经营活动必不可少的辅助手段。在此情况下,国家电网公司在“十一五”期间大力发展信息化建设,但随着公司信息化建设的推进,公司各业务部门对本部门业务系统的需求单一性、不可复用性以及管理成本的浪费日见明显,如何利用信息系统为各业务部门创造价值、节约人力成本、提高管理效率的同时,加强各业务系统的统一管控力度、降低信息系统的运行维护成本,并且在不影响当前业务支撑多样性的前提下整合各业务系统数据来源、对面向不用的业务应用提供统一身份、单点登录、身份管理等基础服务变得越来越重要。本文的研究重点是在国网公司内构建一套统一身份认证系统,实现对不同平台、不同数据库之间的业务应用系统的统一支撑管理。本文通过对国家电网公司各部门(单位)以及各业务应用系统现状充分调研的基础上,遵循集成性、安全性、稳定性、先进性等原则,提出了一个基于轻量级目录访问协议的统一身份认证系统的设计框架,利用目录技术实现对各部门(单位)组织架构、各组织层级下的用户信息以及各业务应用基础用户数据的统一管理,任何应用系统均可取消自身用户系统,使用统一身份认证系统的日录数据源作为业务系统的用户数据库:利用反向代理和统一认证技术实现对同一用户登录不同业务应用系统的单点登录,以及同一用户在不同业务应用系统中的权限角色配置;利用身份管理服务技术在强化数据通道安全性的条件下,实现不同数据源之间的数据复制、同步,以及数据复制、同步过程中的属性变更等一系列的过程控制:利用J2EE 架构实现了统一身份管理工具的设计,实现了针对目录数据源的组织架构管理、用户信息管理、应用管理、授权管理等。 本系统在设计中,考虑到国家电网公司信息化建设速度快、系统更新升级频繁、业务需求多、变化快等特点,同地考虑统一身份认证系统自身特点可能带来的单点故障等原因,系统的各个子系统设计相对独立,保证了系统的稳定性的同时,强化了易更新、易集成的特性,为国家电网公司构建全球最大的集团企业级信息系统提供有力支撑,同时,随着统一身份认证系统的逐步完善,将在大规模、多平台信息系统建设中发挥重要的作用。
统一身份认证系统
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
统一身份认证平台
统一身份认证平台 一、主要功能 1.统一身份识别; 2.要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接; 3.支持移动终端应用(兼容IOS系统、安卓系统;手机端、PAD端;) 4.教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 5.学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 二、系统说明 2.1单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应 用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 2.2即插即用:通过简单的配置,无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式, 可单独使用也可组合使用。 2.4基于角色访问控制:根据用户的角色和URL实现访问控制功能。基于Web界面管 理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。 说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。 3.2具体包含以下主要功能模块: ①身份认证中心 ②存储用户目录:完成对用户身份、角色等信息的统一管理; ③授权和访问管理系统:用户的授权、角色分配;访问策略的定制和管理;用户授权信息 的自动同步;用户访问的实时监控、安全审计; ④身份认证服务:身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务完成对用户身份的认证和角色的转换; ⑤访问控制服务:应用系统插件从应用系统获取单点登录所需的用户信息;用户单点登 录过程中,生成访问业务系统的请求,对敏感信息加密签名; ⑥CA中心及数字证书网上受理系统:用户身份认证和单点登录过程中所需证书的签发; 四、技术要求 4.1技术原理 基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。 其原理如下: 1)每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保
校园无线网络Portal二次身份认证的设计与实现
计算机与现代化 2013年第2期 JISUANJI YU XIANDAIHUA 总第210期 文章编号:1006- 2475(2013)02-0220-03收稿日期:2012-10-17作者简介:唐强(1981-),男,四川安县人,四川农业大学信息与教育技术中心助教,本科,研究方向:计算机网络及其应用,信 息安全;叶小花(1980-),女,四川雅安人,网络管理员,本科,研究方向:计算机网络及其应用;尹祥(1974-),男,四川洪雅人,讲师,硕士,研究方向:计算机网络及其应用。 校园无线网络Portal 二次身份认证的设计与实现 唐 强,叶小花,尹 祥 (四川农业大学信息与教育技术中心,四川雅安625014) 摘要:随着高校校园网规模的扩大及WLAN 建设,无线网络已成为校园网的一个重要组成部分。本文根据我校实际需求,结合无线AC 控制器与ABMS Bras ,简化了用户端操作过程,并对无线网络用户的接入与访问控制采用Web Portal 二次身份认证一次通过的体系结构、工作原理和认证实现流程等进行了阐述。关键词:ABMS ;无线AC 控制器;移动Portal 协议规范;Radius 协议中图分类号:TP393.08 文献标识码:A doi :10.3969/j.issn.1006-2475.2013.02.054 Design and Implementation of Campus Wireless Network Portal Secondary Identity Authentication TANG Qiang ,YE Xiao-hua ,YIN Xiang (Information and Educational Technology Center ,Sichuan Agricultural University ,Ya ’an 625014,China ) Abstract :With the expansion of campus network and the construction of WLAN ,the wireless network has become an important part of the campus network.Based on the demand of our school ,this paper combines the wireless AC controller with ABMS bras to simplify the operating process of users side ,describes the architecture ,working principle and certification process of wireless network users access and control adopting secondary identity authentications one-pass. Key words :ABMS ;AC wireless controller ;mobile Portal protocol ;Radius protocol 0引言 无线网络的普及已成为校园网络的一个重要组成部分,我校计费系统目前注册用户数达3万人左右,上网高峰同时在线IP 数达2万人。为满足用户 所使用的笔记本、手机、 Pad 等终端设备在网络中上网的需求,其认证是关键。目前校园网中最常用的认证方式是网页认证,不需要安装不同系统的客户端而通过网页作为客户端使用,极大地减少了网络管理人员的维护工作量并降低了维护成本。其认证过程是:用户连接到该区域的无线信号后获取到IP 地址,再进行计费网关Portal 认证,输入用户名和密码即可实现用户外网访问。这种方式虽然简单,但无线AP 没有采用WEP 和EPA2等加密方式,安全性较低。因此需要无线AC 控制器采用加密方式与启用Portal 认证,保证用户认证信息传输过程的安全。因此我校结 合无线AC 控制器实现了校园网网内第一次认证的 准入与计费网关第二次认证的外网访问,用户端一次通过的流程。 1体系结构 无线二次认证体系结构如图1所示,由无线AC 控制器、核心交换机、 DHCP 、Portal 、Radius 、Oracle 、ABMS Bras 组成。它涵盖了数据业务的用户IP 获取、加密方式、认证方式、数据查询、业务计费、数据管理等的一套完整运营支撑系统。 (1)无线AC 控制器:无线网络的核心,负责管理无线网络的AP 与无线网络用户的准入。实现Portal 认证、业务控制,接收Portal Server 发起的认证请求,完成用户Portal 认证功能。 (2)核心交换机:网络主干部分,其目的在于通过高速的转发通信,提供可靠的骨干传输结构,使网
统一身份认证系统建设方案
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
XX身份认证系统技术方案
身份认证系统技术方案
目录
1. 概述 前言 随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。 本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。 身份认证系统用户认证需求描述 在*****业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对***系统发展的促进作用,将综合开发一套身份认证系统对目前的用户身份进行管理,为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。 整个系统的逻辑结构如图1所示: 图1:系统逻辑结构示意图 如图1示,整个系统涉及了应用服务器、证书服务器以及相应的客户端。
系统运作流程简述如下: 客户端访问应用服务器,应用服务器向认证服务器发出认证请求; 认证服务器完成对用户身份的认证并将与该用户相对应的认证信息 返回相应的应用服务器; 用户在通过认证之后获得在应用服务器获得相应的授权,从而可以 对应用系统进行相应的访问。 所提交的认证系统在满足上述流程之外需要提供应用开发接口,满足与应用服务器之间的交互。这是将认证系统集成到整个身份认证系统的基础条件,使得后续的开发工作能够利用认证信息做进一步的数据处理。考虑到平台的兼容性,应用系统开发方可以开发一个统一的接口程序与认证系统进行交互。另外还有如下几点要求需注意: 认证服务器的用户信息需要依据数据库服务器中的用户信息为基 础; 对于客户端的身份认证最好采用硬件方式; 客户端通过广域网连接到认证服务器,要求认证服务器是能够面向 广域网用户的; 客户端数量可以按250用户计算; 提供认证系统的安全模式说明,详细介绍如何确保系统的安全; 系统对认证系统的操作系统平台无特殊要求。 身份认证系统认证解决之道 根据身份认证系统的设计原则,系统安全需要解决如下几个方面的问题:数据的保密性。包括数据静态存储的保密性和数据传输过程中的保 密性; 有效的身份认证和权限控制。系统中的各个授权人员具有其特定级 别的权限,可以进行该权限的操作,无法越权操作;操作者事后无 法否认其进行的操作;未授权人员无法进入系统。 我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身
统一身份认证平台功能描述
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录 1 产品概述............................................................. - 1 - 1.1 产品简介....................................................... - 1 - 1.2 应用范围....................................................... - 2 - 2 产品功能结构......................................................... - 2 - 3 产品功能............................................................. - 3 - 3.1 认证服务....................................................... - 3 - 3.1.1 用户集中管理............................................. - 3 - 3.1.2 认证服务................................................. - 3 - 3.2 授权服务....................................................... - 4 - 3.2.1 基于角色的权限控制....................................... - 4 - 3.2.2 授权服务................................................. - 4 - 3.3 授权、认证接口................................................. - 4 - 3.4 审计服务....................................................... - 5 - 3.5 信息发布服务................................................... - 5 - 3.6 集成服务....................................................... - 6 -