设置FortiGate LDAP用户认证

设置FortiGate LDAP用户认证
设置FortiGate LDAP用户认证

设置FortiGate LDAP用户认证

版本 1.0

时间2013年4月

支持的版本N/A

状态已审核

反馈support_cn@https://www.360docs.net/doc/8215267314.html,

说明:

本文档针对所有FortiGate设备LDAP认证配置进行说明。LDAP是防火墙远程认证的一种方式。当启用认证后用户上网前需要出示帐号和密码,防火墙将此信息传递给认证服务器(通常为windows server),通过认证后防火墙允许该用户访问互联网。

环境介绍:

本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0或更高。

步骤一:配置LDAP

本例中使用windows server2003做服务器,域名为https://www.360docs.net/doc/8215267314.html,

在设置用户----远程----LDAP中选择新建

服务器名称/IP:认证服务器IP地址

服务器端口:默认为389

著名名称:可点击查询,本例中为DC=dalian,DC=com

绑定类型:选择常规,server2003不支持简单和匿名查询

过滤器:(objectclass=*)为显示服务器上所有用户信息,也可根据需求设定用户DN:认证服务器管理员所在目录显示名,本例中为

cn=administrator, cn=users, dc=dalian, dc=com

密码:该帐号所对应的密码,即服务器管理员帐号对应密码

填写好后可点击察看服务器上的用户信息

步骤二:配置用户组

在设置用户----用户组点击新建

类别:防火墙

将定义好的LDAP用户添加到组员中

步骤三:配置认证策略

在防火墙----策略中编辑出网策略,在授权认证/启用基于用户认证的策略中选择定义好的用户组,点击ok

步骤四:说明

用户上网前会提示输入帐号和密码,帐号是认证服务器上显示名称中的信息,如下图

无线覆盖系统方案

办公楼无线AP覆盖系统 设 计 方 案 马鞍山创新网络工程有限责任公司 编制日期:2017年3月26日

一、系统简介 (3) 1.1、无线覆盖系统 (3) 1.2、设计依据与规范 (3) 二、主要设计思想 (3) 三、系统组成及配置 (4) 3.1、网络管理设计 (4) 3.2、AP管理系统 (4) 3.2、多认证管理系统 (4) 3.3、智能带宽管理 (5) 3.4、行为管理 (5) 3.5、更多实用功能 (5) 3.6、集中式管理 (6) 3.7、网络负载均衡 (6) 四、施工图纸................................ 错误!未定义书签。 校园无线AP布置点(见图纸) ............. 错误!未定义书签。

一、系统简介 1.1、无线覆盖系统 在有无线覆盖的地方,手机等终端可以正常接收和发射信号,进行无线通信,例如可以上网,打电话,微信。在没有无线覆盖的地方,手机等终端无法进行无线通信。并由统一的管理器实现共同管理。 1.2、设计依据与规范 安全防范工程技术规范(GB50348—2004) 民用建筑电气设计规范(JGJ/T16-92) 电气装置安装工程施工及验收规范(GBJ232-90,92) 智能化系统设计图纸及甲方要求 二、主要设计思想 2.1、设计思路 随着数字化产品越来越普及,人们数字化网络需求也越来越强烈。无线网络给人们的生活、工作、学习带来便利。数字化的信息沟通已成为我们重要的信息获取和交流方式。办公楼整体区域布置无线AP信号覆盖,方便办公期间对无线上网的需求。 无线网络作为一项基础设施,其架构及技术是否合理将关系到投资者投资风险。采用不合理架构或不合理技术搭建的网络不具备良好的扩展性和技术前瞻性,将无法满足未来网络业务和规模扩展的需求,在未来网络规模和业务扩展时将使投资者面临重复投资的危险。 为避免以上问题的发生,充分保护网络建设者的投资,本次网络设计我公司推荐采用高性能WIFI无线交换技术理念为基础的WLAN解决方案。

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:

一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;

无线网络优化系统工程师认证题库完整

一、不定向选择题(每题1.5分,共XX题XX分) 1.如果使用LAPD Concentration技术传输某三个载波小区的语音与信令且Confact为4,则需要使用Abits接口上PCM链路的多少个时隙? ( C ) A.4个 B.6个 C.7个 D.9个。 2.30/32的PCM系统中,用于传输同步信号的时隙是 ( A ) A.0时隙 B.16时隙 C.28时隙 D.32时隙 3.下列哪种情况,不需做位置更新 ( D ) A.用户开机 B.用户从一个位置区(LA)转移到另一个位置区(LA) C.由网络通知手机做周期登记 D.接续 4.IMSI Detach and IMSI Attach 信息存储在那个网络单元中 ( C ) A.BSC B.HLR C.MSC/VLR D.BTS 5.向基站传送测量报告的时间周期约为 ( D ) A.1秒 B.2秒 C.10毫秒 D.0.5秒 6.空闲模式下,短消息通过哪个逻辑信道完成发送 ( B ) A.BCCH B.SDCCH C.SACCH D.FACCH 7. 在空闲状态下手机用户改变所属小区会通知网络吗? ( C ) A.会 B.不会 C.会,如果同时改变了位置区 D.会,如果同时改变了所属BSC 8. 假设一部手机正在通话,此时有一个短消息发给它,那么短消息会占用哪个逻辑信道: ( C ) A.BCCH B.SDCCH C.SACCH D.FACCH 9. 移动台落地的短信息是通过什么信道来传送的? ( A ) A.MS空闲时通过SDCCH来传送,而MS忙时通过SACCH来传送 B.MS空闲时通过SACCH来传送,而MS忙时通过SDCCH来传送 C.都通过SDCCH来传送 D.都通过SACCH来传送 10. 周期位置更新的主要作用是: ( D ) A.防止对已正常关机的移动台进行不必要的寻呼。 B.定期更新移动用户的业务功能。 C.防止移动台与网络失步。 D.防止对已超出信号覆盖围或非正常掉电的移动台进行不必要的寻呼。 11. 设定两个频率f1,f2,下列哪种情况属三阶互调 ( B ) A.f1-f2, B.2f1-f2, C.3f1-f2 12. 送基站识别码信息的逻辑信道是 ( C ) https://www.360docs.net/doc/8215267314.html,CH B.FCCH C.SCH D.AGCH 13.以下哪种逻辑信道工作于盗用模式、专用于切换? ( A ) A.FACCH B.SACCH C.SDCCH D.FCCH 14.1个2M传输不用信令压缩的情况下最多可以开通几个载波: ( B ) A.9个 B.10个 C.12个 D.15个 15.空闲状态下,MS每隔 ( B ) 时间读一次服务小区BCCH上的系统信

无线认证方案

无线认证方案 1

无线WIFI认证方案 1.1 项目需求分析 随着各个行业信息化应用的广泛深入,新业务需求的不断出现,客户资源争抢越来越激烈。从提升客户感知、加大宣传力度、提高工作效率等方面考虑,准备在内部署无线网络。主要应用为: 1、提供业务等待区客户的无线上网需求,提升客户感知 2、新产品新资讯的实时广告,加大宣传力度 3、随时随地实现无线办公,提高工作效率 针对专业性需求订制了高性能的无线宽带多业务支持系统来服务宣传发布、无线办公、客户等待区域无线上网等需求。为用户提供安全稳定的整体解决方案。 该方案具有多业务支持、安全、稳定、兼容性高、可靠性高、部署容易的特点完全能实现无线应用需求。 1.2 系统方案设计原则 本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合需求的无线网络系统。系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及经济性。

在网络的设计和实现中,本方案严格遵守以下原则: 先进性原则 采用先进的设计思想,选用先进的网络设备,使网络在今后一定时期内保持技术上的先进性。 开放性原则 网络采用开放式体系结构,易于扩充,使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准,网络的硬件环境、通信环境、软件环境相互独立,自成平台,使相互间依赖减至最小,同时保证网络的互联。 可扩充性原则 网络设计在充分考虑当前情况的同时,必须考虑到今后较长时期内业务发展的需要,留有充分的升级和扩充的可能性。充分利用现有通讯资源,为以后扩充到更高速率提供充分的余地。另一方面,还必须为网络规模的扩展留有充分的余地。 安全性原则 网络系统的设计必须贯彻安全性原则,以防止来自网络内部和外部的各种破坏。贯彻安全性原则体现在以下方面: 1.设备采用的是扩频技术; 2.提供了射频信道的加密;

Authwlan无线动态密码认证系统介绍

Authwlan无线动态密码认证系统简介 AuthWlan WMS无线动态密码认证系统旨在为客户提供无线Portal动态密码认证整体方案。 AutWlan支持多种认证方式满足不同行业客户需求、强大无线策略可确保无线安全、结合WIFI广告投放满足客户个性化营销需求以及无线运营报表实现对无线运营的整体感知。 AuthWlan迄今已经实现与主流无线设备的无缝对接,并成功应用与银行网点、商场、企业、连锁,解决其WIFI安全管理及商业增值问题,是国内最为领先的无线动态密码portal 认证整体方案。 多种无线认证方式 Authwlan可支持手机号+短信动态密码、域账号+密码、微信获取临时账号密码、二维码扫描四种方式。 商城)

与主流无线设备无缝对接 AuhWlan支持瘦AP+AC的无线网络架构,已成功实施包括Cisco、Aruba、Ruckus、Juniper、H3C、华为、中兴、Aerohive、傲天动联、三元达、寰创、国人、锐捷、飞鱼星等国内外主流无线品牌。 精准WIFI广告推送 可实现 (1)认证界面前后部署广告,支持图片、视频的广告格式; (2)可实现基于时间段的广告轮播策略; (3)基于SSID及AP分组的精准广告推送策略。 多种无线安全策略 (1)可支持时长、流量、带宽控制,优化网络性能; (2)支持设备终端数量限制,减少网络负荷,同时为不同的用户提供差异化服务;(3)支持短信数量控制,节省短信费用; 为了满足客户的需求,AtuhWlan将提供更多的无线控制策略。

强大报表日志功能 对认证用户的基本信息进行记录,包括用户手机号、上下线时间、分配的IP、使用的流量统计、终端类型、MAC等。 商家可结合报表日志与微信数据,进行基于位置的微信营销。 来自不同行业成功案例 AuthWlan已成功实施银行、企业、酒店、商场、shopping mall、连锁门店、政府机关、售楼中心、展馆等场所,几乎实现行业全覆盖,已成为国内最为领先的无线portal动态密码认证系统,赢得客户的一致信任。 客户名称:中国建设银行上海分行 方案概述:AuthWlan无线动态密码认证系统为中国建行上海分行360家网点针对普通及VIP 顾客无线接入提供Web认证,普通访客通过输入手机号并获取动态密码方式上网,普通访客拥有2小时上网时长;VIP客户通过建行提供的VIP Code及手机号完成认证,VIP客户在该月内、同一台设备在建行网点上网无需再次认证即可联网。 通过结合宁盾WIFI广告投放平台,能够满足WIFI认证前置、后置广告,包括设置广告展示时间、广告轮播策略,拓展新的宣传渠道。 客户名称:银泰百货湖滨店 方案概述:宁盾AuthWlan无线动态密码认证系统帮助银泰湖滨店实现顾客自助式无线接入认证,让商场管理者了解到访门店顾客情况,并结合数据分析可实现动态广告展示,是一套完整的无线认证、审计、数据分析方案,为决策者提供另一种类型数据支持。 客户名称:喜力酿酒(中国)有限公司 方案概述:喜力酿酒(中国)有限公司通过使用AuthWlan无线动态密码认证系统,实现员工和访客实现两种认证流程。员工SSID通过域账号+密码方式认证,访客SSID是通过员工自助开通访客临时无线账号,访客通过手机号及获取动态密码方式认证,实现违规上网行为可追溯。

统一身份认证平台讲解

统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护

管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。

无线网络认证计费管理系统方案

1.1Mydradius 无线网络认证计费管理系统 1.1.1前言 Mydradius无线宽带上网认证计费管理系统是一套专业的无线宽带计费系统 webPortal方式认证 Web Portal通过启动一个Web页面输入用户名/密码,实现身份认证。Web认证目前已经成为无线网络平台的认证计费标准方式,通过Web页面,实现对用户是否有使用网络权限的认证。Web认证方式有以下优点:无需特殊的客户端软件,降低网络维护工程量;无需多层数据封装,保证效率。 真正的实现“即插即用” Mydradius无线宽带计费系统具有独特的“即插即用”功能,读者只要在图书馆利用自带的手提电脑或者租用无线设备实现上网,为读者提供了最大的便利。 进行统一计费、统一结算 读者来到图书馆得到一个独立的账号和密码,通过 WEB 认证在图书馆的任意地点登录互联网,费用统一计入这一账号中,读者离开时可以与其他消费一起结算,并打出账单,此时该账号密码作废,不影响下次入住读者的利益。 有效的上网管理 Mydradius无线宽带计费系统管理功能对读者的上网时长、时段、流量、带宽等实施组合限制,不仅可以保障读者上网资源,同时也为图书馆的管理者解决了后顾之忧。同时通过对一些非法的 IP 地址过滤功能宏观的控制整个网络的访问目标地址,并可以实时的掌握网络运行情况,随时查看相关信息。 保证内部网络安全性 Mydradius无线宽带计费系统拥有 NAT 网络地址转换技术,相当于防火墙的强大功能,将内部网络与 internet 之间、图书馆内网之间实现隔离,保障了网络的安全。

1.1.2产品组成 1 网络计费网关 网络计费网关是安装在一台专用的高性能的服务器上,有四个1000兆的以太网接口,运行网络计费网关程序,实现对每个接入点进行接入认证控制,对认证成功的接入点实现网络全线速转发。 2、宽带计费管理软件 Mydradius无线宽带计费管理软件是专业宽带计费管理软件,由多个功能模块组成:认证计帐、实时计费、用户管理、帐务管理、客户帐单查询、系统管理、管理员管理。

统一身份认证平台讲解-共38页知识分享

统一身份认证平台讲解-共38页

统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。

提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:

统一身份认证系统技术方案

智慧海事一期统一身份认证系统 技术方案

目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。

Meraki无线网络身份认证方案

Meraki无线网络身份认证方案 一、面临挑战 思科Meraki无线云管控,可在云上集中配置管理所有网络设备及移动终端,有效降低无线运维管理成本,以功能丰富且易于使用而受到青睐。 随着无线技术的全面应用及移动终端的普及,无线开放的访问方式和易接入的特性在带来便捷的同时,也带来极大的安全隐患。无线网络的安全系统要做到有效,必须解决下面这个问题——接入控制,即验证用户并授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入。 大型企业商业通常用户及分支机构众多,跨地域连无线普遍存在的情况下,存在着大量网络安全威胁,实现多分支、多用户、多终端之间的无线统一身份认证及安全访问控制,更有其必要性。 统一的身份鉴别和访问控制应贯穿在Meraki无线云管控的始终,对用户的访问进行身份鉴别,对其访问权限和可操作内容进行有效的管理,实现不同用户角色对应不同的访问权限。 二、解决方案 1. 思科Meraki无线网络身份认证解决方案概述 宁盾一体化认证平台提供健全的无线身份认证访问控制,通过与Meraki云管控对接,实现多分支统一接入管理,只允许合法授权用户的接入。联动Meraki 云端控制器,对合法接入的用户基于其身份做访问权限控制,实现所有类型无线用户集中化认证及管理。还可结合上网行为管理设备,提供上网行为实名审计,及基于用户身份的流量控制。 2. 宁盾一体化无线认证方式 ①短信认证,可设定短信内容模版、短信验证码有效期及长度等;

②微信认证,通过关注微信公众号进行认证连接上网; ③用户名密码认证,用户名密码可以创建,也可以与AD或者LDAP同步帐号信息; ④支持二次无感知认证,可设定有效期,超过有效期须通过其他认证方式登录; ⑤支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;

统一身份认证系统

1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签

无线认证大全

无线终端认证总结(2010-4-19 11:33) 一.认证类型 1.中国电信设备入网许可认证 CTA---移动终端在国内的强制性的认证 2.欧洲认证 a) CE认证---欧洲统一市场产品强制性认证合格标志 b) GCF认证---GSM/WCDMA产品一致性的测试,非强制性认证 c) ROHS/WEEE---欧盟对电子电气设备中限制使用某些有害物质的指令及废弃电子电气设备指令 d) Reach法规---欧盟对化学品注册、评估、许可和限制的法规 3.北美认证 a) FCC认证---北美市场产品强制性认证 b) CDG认证---CDMA产品的全面验证测试,非强制性认证 c) PTCRB认证---PCS产品的一致性的测试,非强制性认证 d) CTIA认证---要获得CTIA认证需完成PTCRB(or CDG)、FCC及OTA的测试,非强制性认证 4.其它认证 a) Bluetooth认证 b) Wi-Fi认证 c) USB-IF认证 d) LTK e) WHQL认证 f) JA V A认证

二.CTA相关介绍 1.许可设备范围 a) 电信终端设备(电话机、集团电话等) b) 无线电通信设备(移动电话、移动通信设备等) c) 涉及网间互联设备(多媒体设备、接入网系统设备等)2.批准和发证机构 a) 无线电管理局 b) 工业信息产业部 c) 中国强制认证中心CQC 3.申请受理机构 电信设备进网认证中心 4.进网检测机构 a) 国家无线电管理委员会SRRC b) MTNet c) 泰尔实验室TTL d) 信息产业部通信计量中心TMC 5.移动终端入网的检测内容 a)SRRC国家无委实验室 测试内容:常温射频指标包括辐射杂散的测试;蓝牙; 依据标准: GSM: YD/T 1215-2006;YD/T 1032-2000 CDMA: YDT 1050-2000;YDC023-2006 TD-SCDMA: YD/T1368.1-2006

统一身份认证平台

统一身份认证平台 一、主要功能 1.统一身份识别; 2.要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接; 3.支持移动终端应用(兼容IOS系统、安卓系统;手机端、PAD端;) 4.教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 5.学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 二、系统说明 2.1单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应 用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 2.2即插即用:通过简单的配置,无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式, 可单独使用也可组合使用。 2.4基于角色访问控制:根据用户的角色和URL实现访问控制功能。基于Web界面管 理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。 说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。 3.2具体包含以下主要功能模块: ①身份认证中心 ②存储用户目录:完成对用户身份、角色等信息的统一管理; ③授权和访问管理系统:用户的授权、角色分配;访问策略的定制和管理;用户授权信息 的自动同步;用户访问的实时监控、安全审计; ④身份认证服务:身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务完成对用户身份的认证和角色的转换; ⑤访问控制服务:应用系统插件从应用系统获取单点登录所需的用户信息;用户单点登 录过程中,生成访问业务系统的请求,对敏感信息加密签名; ⑥CA中心及数字证书网上受理系统:用户身份认证和单点登录过程中所需证书的签发; 四、技术要求 4.1技术原理 基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。 其原理如下: 1)每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保

统一身份认证平台功能描述

数字校园系列软件产品 统一身份认证平台 功能白皮书

目录 1 产品概述............................................................. - 1 - 1.1 产品简介....................................................... - 1 - 1.2 应用范围....................................................... - 2 - 2 产品功能结构......................................................... - 2 - 3 产品功能............................................................. - 3 - 3.1 认证服务....................................................... - 3 - 3.1.1 用户集中管理............................................. - 3 - 3.1.2 认证服务................................................. - 3 - 3.2 授权服务....................................................... - 4 - 3.2.1 基于角色的权限控制....................................... - 4 - 3.2.2 授权服务................................................. - 4 - 3.3 授权、认证接口................................................. - 4 - 3.4 审计服务....................................................... - 5 - 3.5 信息发布服务................................................... - 5 - 3.6 集成服务....................................................... - 6 -

统一身份认证系统建设方案

统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统

无线十大web认证方式说明

wifiAP支持十大认证方式,详细说明如下: 一、不需认证 应用场合: 主要强调品牌宣传价值、广告展示价值的场所(允许所有人接入上网,无安全性要求) 认证效果: 1)用户无密码连接WIFI热点,强制打开web认证页面,浏览页面内容; 2)10秒后自动登录或点击指定广告后方可登录上网。 配置方式: 在web认证配置页面,选择“不需认证”方式,并设计好认证页面信息即可。示意图: 略

二、用户认证 应用场合: 对安全性要求较高的场所,自建一套用户的账号库。适用于企业、网站、收费网络等场合。 认证效果: 1)用户无密码连接WIFI热点,强制打开web认证页面,浏览页面内容; 2)输入正确的用户和密码; 3)登录上网。 配置方式: 在web认证配置页面,选择“用户认证”方式,并设计好认证页面信息。 再到用户管理页面,创建或导入用户名密码即可。 示意图: 略

三、验证码认证 应用场合: 对安全性要求较高的场所,同时希望用户更方便地登录网络(只需要输入一段字母或数字即可)。适用于餐饮店、咖啡厅等人员流动频繁的场合。 认证效果: 1)用户无密码连接WIFI热点,强制打开web认证页面,浏览页面内容; 2)输入正确的验证码; 3)登录上网。 配置方式: 在web认证配置页面,选择“验证码认证”方式,并设计好认证页面信息。 再到用户管理页面,创建或导入验证码即可。 示意图: 略

四、短信验证码认证 应用场合: 对安全性要求较高的场所,政策上要求对上网的人员进行实名制,同时收集用户手机号码,进行二次营销。适用于银行、企业、网站、商场、餐饮店等场合。认证效果: 1)用户无密码连接WIFI热点,强制打开web认证页面,浏览页面内容; 2)输入正确的手机号码,手机将获取一条包含验证码的短信; 3)在认证页面输入短信验证码; 4)登录上网。 配置方式: 1)在web认证配置页面,选择“短信验证码认证”方式; 2)选择wifiAP短信通道或使用自己的短信接口; 3)设置认证用户参数及认证页面相关信息。 短信接口说明: wifiAP认证系统支持标准的HTTP接口的下行短信网关,通过URL直接调用。格式如下: https://www.360docs.net/doc/8215267314.html,/wifiapSMS.php?uname=username&upsw=password&actio n=send&to=135********&text=smscontent

统一身份认证设计方案(最终版).

统一身份认证设计方案 日期:2016年2月

目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型11 1.3. 2.3 身份信息的存储12 1.3.3 用户生命周期管理12 1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14) 1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16) 1.5.1 集中授权应用背景16 1.5.2 集中授权管理对象17 1.5.3 集中授权的工作原理18 1.5.4 集中授权模式19 1.5.5 细粒度授权19 1.5.6 角色的继承20 1.6 集中认证管理 (21) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式22 1.6. 2.1 用户名/口令认证23 1.6. 2.2 数字证书认证23 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证24 1.6. 2.5 认证方式与安全等级24 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议25 1.6.3.2 Windows 域25 1.6.3.3 SAML协议26 1.6.4 集中认证系统主要功能28 1.6.5 单点登录29

1.6.5.1 单点登录技术29 1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)

无线Wifi网页登录认证页面

商场无线认证解决方案实现广告运营模式/会员对接/短信验证码的无线WEB认证方案

一.需求分析 某商场位居环市东黄金区位,项目北邻环市东路,南邻珠江规划大厦,东西分别是建设大马路和建设二马路,毗邻广东国际大酒店、亚洲国际大酒店、广东电视台、丽柏广场、友谊商城、花园酒店,是广州市中心、环市东路绝版多元旗舰物业,无论是地段价值还是产品价值都具有独一无二的稀缺性商场运营方从用户的角度出发,并兼顾商场运营的具体运营情况,提出如下需求: 1、无线接入支持所有WIFI终端,采用web认证portal方式,强制引 导用户到达定制的网页(品牌宣传、活动促销),并允许对智能手机、平板电脑、笔记本电脑分别推送不同的内容; 2、商场运营方可以实时对WEB认证网页进行在线定制管理,独立展 示不同的内容(将会对商场加盟商家进行收费广告投放,具体规则由运营方自主运作); 3、通过手机验证码获取客户手机号码,实现网络短信发送平台对接; 4、管理员可以对来访的手机号码进行归类(按地区、获取时间、运营 商等),在列表中显示号码的归属地,并允许导出txt/excel; 5、对顾客使用网络的流量管理,预防用户过度占用带宽; 6、管理员可以图表式统计任意时段的上网客流情况; 7、操作简便,要求具备一般的电脑水平即可进行管理。 二.网关系统架构 4.1系统结构 为满足商场运营方自主管理、独立运营的需求,需要在认证网关整合统一管理平台,以实现认证用户、认证内容(广告)的同步。 认证网关:接入控制器。实现用户强制Portal、业务控制,接收Portal Server发起的认证请求,完成用户认证功能。 云服务器:推送认证页面,接收WLAN用户的认证信息,向AC发起用户认证请求以及用户下线通知。

广东地区网上办事大厅统一身份认证平台对接规范标准V0

广东省网上办事大厅统一身份认证平台 业务系统接入规范 V1.0.1 广东省网上办事大厅 二O一四年十月

目录 一、前言 (4) 二、目标 (4) 三、对接方案 (5) 3.1. 单点登录 (5) 3.1.1. 系统结构 (5) 3.1.2. 集成模式 (6) 3.1.3. 任务分工 (7) 3.2. OAuth2认证 (7) 3.2.1. 系统结构 (7) 3.2.2. 集成模式 (8) 3.2.3. 任务分工 (9) 四、应用程序改造说明 (9) 4.1. 单点登录集成 (9) 4.2. OAuth2认证集成 (10) 4.3. 用户库改造说明 (11) 五、改造环节及示例代码说明 (12) 5.1. 单点登录改造说明 (12) 5.1.1. 详细流程 (12) 5.1.2. 组件调用说明 (14) 5.1.3. 示例代码说明 (14) 5.2. OAuth2认证改造说明 (15)

5.2.1. 详细流程 (15) 5.2.2. 登录页面改造说明 (16) 5.2.3. 组件调用说明 (16) 六、接口及参数说明 (17) 6.1. 单点登录接口说明 (17) 6.1.1. 设置认证服务URL (17) 6.1.2. 获取用户信息 (17) 6.2. OAuth2认证接口说明 (19) 6.2.1. 获取授权码 (19) 6.2.2. 获取token (20) 6.2.3. 获取用户信息 (21)

一、前言 按照《关于做好全省网上办事大厅建设相关筹备工作的通知》(粤办函〔2012〕369号)等相关文件及省政府推进全省网上办事大厅建设的工作部署的总体要求,构建全省统一身份认证平台,主要目的是服务于全省网上办事业务信息化发展,为省直部门业务系统、各地市分厅等各类业务系统提供“用户名/密码”普通账户和CA 账户认证服务,并提供跨域单点登录服务,逐步实现“一个账号,全省通用”,建成全省标准统一、安全可靠、互联互通、应用方便的统一身份认证应用支撑体系,全面提升省网办大厅的用户体验及安全保障能力。 本规范文件按照广东省网上办事大厅工作的总体要求,指导各类业务系统建设单位开展统一认证对接工作,说明相关对接流程和步骤,提供相应服务接口及应用实例,完成各业务系统与省统一身份认证平台对接工作。 二、目标 各类业务系统接入省统一身份认证平台,主要目标如下: (1)统一认证:各类业务系统通过省统一身份认证平台获取符合OAuth2认证协议的用户账户认证服务,支持省统一身份认证平台用户能够登录进入各类业务系统,实现“一个账号,全省通用”。 (2)单点登录:各类业务系统按照省统一身份认证平台接入规范进行sso 接口集成改造,接入到省统一身份认证平台中,通过省统一身份认证平台实现各类业务系统的单点登录服务,实现“一点登录,多点漫游”。 (3)CA认证:省统一身份认证平台将接入省数字证书交叉认证平台、各市级数字证书交叉认证系统等数字证书交叉认证平台,并为业务系统提供CA账

相关文档
最新文档