统一身份认证平台

统一用户身份认证管理平台什么是统一用户身份认证管理平台统一用户身份认证管理平台是一种基于现代化的技术手段来实现用户身份认证的统一平台。

它能够将各种身份认证方式整合在一起，让用户可以使用同一个账号密码来登录所有的系统和服务。

它可以有效地增强用户信息的安全性和可控性，降低用户登录的管理难度，促进各种系统之间的协同工作。

统一用户身份认证管理平台的意义管理企业和机构中各种不同的系统和应用，往往需要各自单独的账号及密码。

这种繁琐复杂的用户身份验证方式，往往使许多系统的使用者感到困扰。

此外，各种网站的账号密码通常是相同的，如果遇到系统的安全漏洞，所有账号密码都将面临被泄露的风险。

此时，统一用户身份认证管理平台可以将各系统的账号管理统一起来，大大方便了用户的登录，同时也提高了用户信息安全性。

统一用户身份认证管理平台的工作原理统一用户身份认证管理平台的工作原理可以分为两个部分：身份认证和授权。

身份认证是指通过验证用户输入的账号和密码等信息，确定用户的身份是否合法。

授权是指根据认证结果，决定用户是否具有使用系统资源的权限。

具体实现时，统一用户身份认证管理平台一般采用一种密钥管理方式，将用户的认证信息和授权信息加密后进行管理，并在需要校验用户身份的时候进行解密校验。

统一用户身份认证管理平台的应用统一用户身份认证管理平台的应用非常广泛，几乎所有需要用户身份管理的应用都可以使用此类平台。

以下是一些常见的应用场景。

企业内部应用企业内部应用指的是企业内部各个部门使用的各类管理软件，如财务管理、人事管理、客户关系管理、企业资源规划等软件。

这些软件常常需要许多不同的用户登录，以使用不同的功能，采用统一用户身份认证管理平台可以将这些不同的用户信息进行整合，让用户通过一个登录页面就能访问这些不同的应用。

互联网应用互联网应用是指向公众开放的各种网站和网络服务。

由于这些网站面向公众，必须考虑到用户账号密码的安全性。

采用统一用户身份认证管理平台可以降低用户因使用相同账号密码而造成的风险，也可以让用户在几乎所有网站中使用同一个账号密码，从而方便管理。

统一身份认证系统使用说明编制日期：2015年5月25日目录1、登录统一身份认证系统 (2)1.1用户名密码登陆系统 (2)2、用户信息维护 (3)2.1 个人资料 (3)2.2 修改密码 (4)2.3 认证日志 (5)3、密码找回 (5)3.1问题找回密码 (6)3.2利用邮箱找回 (7)1、登录统一身份认证系统1.1用户名密码登陆系统在浏览器中打开网址，在页面中输入用户名(学号或职工号)、密码(具体规则见校内文件通知)，点击“登录”按钮，如下图：如果用户名、密码正确，就会跳到如下页面：2、用户信息维护2.1 个人资料个人资料中密码保护问题答案、出生日期、密码找回邮箱为必填项，如上图. 修改完成后，点击“保存”按钮即可。

（注意：因统一身份认证平台初始密码和校内邮箱初始密码一致，不能通过校内邮箱找回初始密码，建议密码找回邮箱设置为其他邮箱）2.2 修改密码点击“修改密码”TAB页，填写当前密码、新密码、重复新密码，点“保存”，如下图：2.3 认证日志点击“认证日志”TAB页，此页面可以查看用户认证信息，3、密码找回当忘记密码时，在页面中输入用户名，点击蓝色字体的“忘记密码”，如下图进入以下页面，目前仅支持“问题找回”，“邮箱找回”，3.1问题找回密码点击上图“问题找回”按钮，出现下图：输入“用户名”，“生日”，跳转到以下页面回答提示问题，进入下图：设置新密码及确认，密码找回成功。

3.2利用邮箱找回点击找回方式中的“邮箱找回”按钮，出现下图，输入“用户名”，“邮箱”，点击“找回”按钮，进入下图，进入目标邮箱，按要求修改密码。

统⼀⾝份认证平台讲解统⼀⾝份认证平台设计⽅案1）系统总体设计为了加强对业务系统和办公室系统的安全控管，提⾼信息化安全管理⽔平，我们设计了基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台。

1.1.设计思想为实现构建针对⼈员帐户管理层⾯和应⽤层⾯的、全⾯完善的安全管控需要，我们将按照如下设计思想为设计并实施统⼀⾝份认证服务平台解决⽅案：内部建设基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应⽤模块实现所提出的员⼯帐户统⼀、系统资源整合、应⽤数据共享和全⾯集中管控的核⼼⽬标。

提供现有统⼀门户系统，通过集成单点登录模块和调⽤统⼀⾝份认证平台服务，实现针对不同的⽤户登录，可以展⽰不同的内容。

可以根据⽤户的关注点不同来为⽤户提供定制桌⾯的功能。

建⽴统⼀⾝份认证服务平台，通过使⽤唯⼀⾝份标识的数字证书即可登录所有应⽤系统，具有良好的扩展性和可集成性。

提供基于LDAP⽬录服务的统⼀账户管理平台，通过LDAP中主、从账户的映射关系，进⾏应⽤系统级的访问控制和⽤户⽣命周期维护管理功能。

⽤户证书保存在USB KEY中，保证证书和私钥的安全，并满⾜移动办公的安全需求。

1.2.平台介绍以PKI/CA技术为核⼼，结合国内外先进的产品架构设计，实现集中的⽤户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供⽤户⾝份、系统资源、权限策略、审计⽇志等统⼀、安全、有效的配置和服务。

如图所⽰，统⼀信任管理平台各组件之间是松耦合关系，相互⽀撑⼜相互独⽴，具体功能如下：a)集中⽤户管理系统：完成各系统的⽤户信息整合，实现⽤户⽣命周期的集中统⼀管理，并建⽴与各应⽤系统的同步机制，简化⽤户及其账号的管理复杂度，降低系统管理的安全风险。

b)集中证书管理系统：集成证书注册服务（RA）和电⼦密钥（USB-Key）管理功能，实现⽤户证书申请、审批、核发、更新、吊销等⽣命周期管理功能，⽀持第三⽅电⼦认证服务。

数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................. - 1 -1.1 产品简介....................................................... - 1 -1.2 应用范围....................................................... - 2 -2 产品功能结构......................................................... - 2 -3 产品功能............................................................. - 3 -3.1 认证服务....................................................... - 3 -3.1.1 用户集中管理............................................. - 3 -3.1.2 认证服务................................................. - 3 -3.2 授权服务....................................................... - 4 -3.2.1 基于角色的权限控制....................................... - 4 -3.2.2 授权服务................................................. - 4 -3.3 授权、认证接口................................................. - 4 -3.4 审计服务....................................................... - 5 -3.5 信息发布服务................................................... - 5 -3.6 集成服务....................................................... - 6 -3.6.1 应用系统管理............................................. - 6 - 3.6.2 应用系统功能管理......................................... - 6 - 3.6.3 应用系统操作管理......................................... - 7 -1产品概述1.1产品简介随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：➢用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登录系统时需要多次输入用户名/密码，操作繁琐。

统一身份认证平台信息化建设是一个动态的、进展的进程，随着各类信息系统不断增加完善，对信息平安、权限治理、系统间交互的需求也将愈来愈强烈。

原有各独立的应用效劳系统各自为政的身份认证方式已经难以适应进展的应用环境。

学校需要有一个独立、平安、高效和靠得住的身份认证及权限治理系统，由此系统来完成对整个信息系通通一身份认证与权限治理。

身份认证系统将是数字校园建设的重要组成部份，该系统为数字校园的所有用户提供统一的身份确认与权限交付。

用户通过一次认证后，即可取得相应权限，并利用数字校园中所有应用效劳系统提供的效劳。

另一方面，必需要有一个比较稳固的动态口令和统一身份认证系统专门好地结合，如此每一个用户都具有一个静态口令和一个不断转变的动态口令，治理员能够设置用户静态口令和动态口令不同的可利用范围，如此从另一个角度提高了整个信息化的平安性；如此的一个动态口令系统必需能够和各应用系统的动态口令系统有专门好的接口，使得在纵向能够做到动态口令的一致性。

通过指定相应的集中认证技术标准，提供统一的应用系统用户治理接口，最终实现所有新建系统用户认证的统一集中化治理，做到真正意义的集中认证。

实现各应用系统的“集中认证”，能够完全改变各自为政、治理松散的用户治理模式，充分发挥学校内部网络治理保护部门的治理职责，标准用户操作行为，强化用户合理利用网络资源的意识。

本系统重点包括三个方面：用户资料的集中存储和治理、用户身份集中的验证、访问权限的集中操纵和治理。

建设目标随着应用建设的慢慢深切，已经建成的和将要建成的各类数字校园应用系统存在不同的身份认证方式，用户必需经历不同的密码和身份。

因此，要建设以目录效劳和认证效劳为基础的统一用户治理、授权治理和身份认证体系，将组织信息、用户信息统一存储，进行分级授权和集中身份认证，标准应用系统的用户认证方式。

提高应用系统的平安性和用户利用的方便性，实现全数应用的单点登录。

即用户经统一应用门户登录后，从一个功能进入到另一个功能时，系统平台依据用户的角色与权限，完成对用户的一次性身份认证，提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。

统一身统一系统一系统一消统一内份认证统授权统审计息平台容管理基础支撑层统一身份认证（SSO）统一身份认证解决用户在不同的应用之间需要多次登录的问题。

目前主要有两种方法，一种是建立在PKI，Kerbose和用户名/口令存储的基础上；一种是建立在cookie的基础上。

统一身份认证平台主要包括三大部分：统一口令认证服务器、网络应用口令认证模块(包括Web口令认证、主机口令认证模块、各应用系统口令认证模块等)和用户信息数据库，具体方案如下图。

用户访问公共数据库平台认证代理验证认证服务器Web系统WebService Web系统其他资源接口链接1、采用认证代理，加载到原有系统上，屏蔽或者绕过原有系统的认证。

2、认证代理对用户的认证在公共数据平台的认证服务器上进行，认证代理可以在认证服务器上取得用户的登录信息、权限信息等。

3、同时提供一个频道链接，用户登录后也可以直接访问系统，不需要二次认证。

4、对于认证代理无法提供的数据信息，可以通过访问WebService接口来获得权限和数据信息。

单点登录认证的流程如下图所示：1单点登录系应用AWEB统认证流程2 + f 码 e n密 i/ 据 i _ 名 k e数 o i 用户+ k o k ieo o /密码1 认证服Co名 8c o 务 7 C 用户3 果4结认证服务器 5c ook i 用户e_c 取co ok i in f e_ f 6 i登记结 n f e n 果 ii _ d结果 k eo i au r k o o l C o f应用 +C b C oo k iee应用BWEBLdapServerCookieServer单点登录只解决用户登录和用户能否有进入某个应用的权限问题， 而在每个业务系统的权限则由各自的业务系统进行控制，也就是二次鉴权的思想，这种方式减少了系统的复杂性。

统一身份认证系统架构如下图所示。

校园门户网站 门 用户维护身份认证 二次鉴权认证服务器用户用户信息LdapServer认证服务注册服务用户接口Cookie_inf CookieServer业务系统A身份认证二次鉴权统一系统授权统一系统授权支撑平台环境中，应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册，将各应用系统的授权部分或全部地委托给支撑平台，从而实现统一权限管理，以及权限信息的共享，其注册原理如下图。

数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................. - 1 -1.1 产品简介....................................................... - 1 -1.2 应用范围....................................................... - 2 -2 产品功能结构......................................................... - 2 -3 产品功能............................................................. - 3 -3.1 认证服务....................................................... - 3 -3.1.1 用户集中管理............................................. - 3 -3.1.2 认证服务................................................. - 3 -3.2 授权服务....................................................... - 4 -3.2.1 基于角色的权限控制....................................... - 4 -3.2.2 授权服务................................................. - 4 -3.3 授权、认证接口................................................. - 4 -3.4 审计服务....................................................... - 5 -3.5 信息发布服务................................................... - 5 -3.6 集成服务....................................................... - 6 -3.6.1 应用系统管理............................................. - 6 - 3.6.2 应用系统功能管理......................................... - 6 - 3.6.3 应用系统操作管理......................................... - 7 -1产品概述1.1产品简介随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：➢用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登录系统时需要多次输入用户名/密码，操作繁琐。

统一认证平台解决方案1. 概述统一认证平台的技术基于公钥密码基础设施（PKI）技术，严格遵循国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》标准，完全自主研发的商用密码统一身份认证系统，主要为用户提供多系统之间的统一身份认证、数据加解密、数据安全传输、业务系统安全集成等系统安全服务。

统一认证平台的最大特点是它作为整个系统平台的基础安全服务构件，为政府部门、企业单位的各个应用系统提供数据安全服务集成、统一身份认证服务，同时，提供方便易用的运维管理工具，为客户合规性检查提供有效的支撑。

2. 系统功能模块说明2.1．功能划分根据需求，对系统各层级功能进行初步划分，区分每个功能的边界，结果如下表所示：2.2．功能模块3. 系统特点3.1. 部署灵活、简单易用、提供可视化的数据管理系统的设计采用B/S模式，各模块以及子系统采用分布式架构，只需在服务端部署即可，客户端无需做任何的修改，管理终端与服务器之间采用高强度SSL安全连接，采用数字证书对用户的身份实现管理。

为降低管理人员的工作量，系统提供完善的可视化数据平台，从多个维度对数据进行分析和统计。

同时可结合用户的实际需要，灵活的进行系统模块的组合部署，如采用：RA+CA+KMC、RA+CA等多种组合。

3.2. 支持国密算法，采用专用密码硬件系统采用完全符合国家商用密码管理局标准以及规范要求的专用服务器密码机、签名验签服务器，可进行灵活的扩展以满足不同客户的性能要求。

3.3. 系统平台的高安全性•通信安全平台内部各子系统采用高强度的SSL标准安全通信协议，同时配合数字证书进行身份验证•数据安全数据库、配置文件中的敏感数据采用加密方式保存；提供完备的数据备份及恢复的手段。

•管理人员安全采用基于数字证书的身份验证机制，管理员使用证书进行登录管理、管理员的管理权限与其证书进行绑定。

3.4. 兼容主流系统环境，开发接口丰富系统支持主流操作系统运行环境以及主流硬件平台，支持Windows，Linux，AIX，Solaris，HP_UX，并提供Java、C、.net、C#、Object C等应用接口，方便用户的应用集成。