统一身份认证设计方案(最终版)

统一身份认证设计方案

日期：2016年2月

目录

1.1 系统总体设计 (5)

1.1.1 总体设计思想5

1.1.2 平台总体介绍6

1.1.3 平台总体逻辑结构7

1.1.4 平台总体部署8 1.2 平台功能说明 (8)

1.3 集中用户管理 (9)

1.3.1 管理服务对象10

1.3.2 用户身份信息设计11

1.3.

2.1 用户类型11

1.3.

2.2 身份信息模型11

1.3.

2.3 身份信息的存储12

1.3.3 用户生命周期管理12

1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14)

1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16)

1.5.1 集中授权应用背景16

1.5.2 集中授权管理对象17

1.5.3 集中授权的工作原理18

1.5.4 集中授权模式19

1.5.5 细粒度授权19

1.5.6 角色的继承20 1.6 集中认证管理 (21)

1.6.1 集中认证管理特点22

1.6.2 身份认证方式22

1.6.

2.1 用户名/口令认证23

1.6.

2.2 数字证书认证23

1.6.

2.3 Windows域认证24

1.6.

2.4 通行码认证24

1.6.

2.5 认证方式与安全等级24

1.6.3 身份认证相关协议25

1.6.3.1 SSL协议25

1.6.3.2 Windows 域25

1.6.3.3 SAML协议26

1.6.4 集中认证系统主要功能28

1.6.5 单点登录29

1.6.5.1 单点登录技术29

1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)

为了加强对业务系统和办公系统的安全管控，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。

1.1.1 总体设计思想

为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案：

在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。

提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。

建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。

提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护管理功能。

用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。

以PKI/CA 技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。

集中证书

集中认证

集中授权

集中审计集中用户身份管理单点登录访问控制

责任界定

如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下：

集中用户管理系统：完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统管理的安全风险。

集中证书管理系统：集成证书注册服务（RA ）和电子密钥（USB-Key ）管理功能，实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能，支持第三方电子认证服务。

集中认证管理系统：实现多业务系统的统一认证，支持数字证书、动态口令、静态口令等多种认证方式；为企业提供单点登录服务，用户只需要登录一次就可以访问所有相互信任的应用系统。

集中授权管理系统：根据企业安全策略，采用基于角色的访问控制技术，实现支持多应用系统的集中、灵活的访问控制和授权管理功能，提高管理效率。

集中审计管理系统：提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息，支持应用系统、用户登录、管理操作等审计管理。

1.1.3 平台总体逻辑结构

总体逻辑结构图如下所示：

外

部

相

关

服务LDAP Sever,Windows 域服

务等统一信任管理平台服务系统（身份管理、单点登录、访问控制、责任界定）PKI 基础服务、加解密服务、SAML 协议统一信任管理平台业务系统

用户管理认证管理授权管理审计管

理邮件财务CRM

证书管理

如图所示，平台以PKI 基础服务、加解密服务、SAML 协议等国际成熟技术为基础，架构统一信任管理平台的管理系统，通过WEB 过滤器、安全代理服务器等技术简单、快捷实现各应用系统集成，在保证系统安全性的前提下，更好的实现业务系统整合和内容整合。

1.1.4 平台总体部署

集中部署方式：所有模块部署在同一台服务器上，为企业提供统一信任管理服务。

部署方式主要是采用专有定制硬件服务设备，将集中帐户管理、集中授权管理、集中认证管理和集中审计管理等功能服务模块统一部署和安装在该硬件设备当中，通过连接外部服务区域当中的从LDAP 目录服务（现有AD 目录服务）来完成对用户帐户的操作和管理。

1.2 平台功能说明

平台主要提供集中用户管理、集中证书管理、集中认证管理、集中授权管理和集中审计等功能，总体功能模块如下图所示： 集中证书注册服务管理电子密钥管理

证书生命周期管理过程管理

统一用户接口用户信息导入导出用户信息映射用户信息同步

LDAP 身份源系统数据单点登录 系统SSO 集中用户用户生命周期管理

用户分组管理

角色管理

身份源管理集中认证用户身份认证访问策略管理访问资源管理集中授权集中审计日志查询审计报表生成

业务审计应用系统授权用户授权管理角色授权管理组策略授权管理

总体功能模块图

1.3 集中用户管理

随着企业整体信息化的发展，大致都经历了网络基础建设阶段、应用系统建设阶段，目前正面临着实现纳入到信息化环境中人员的统一管理和安全控制阶段。随着企业的网络基础建设的不断完善和应用系统建设的不断扩展，在信息化促进业务加速发展的同时，企业信息化规模也在迅速扩大以满足业务的发展需要，更多的人员被融入信息化环境，由此突出反映的事件是无论是网络系统、业务系统、办公系统，其最终的主体将是企业内外的人员，每一为人员承担着使用、管理、授权、应用操作等角色。因此对于人员的可信身份的管理显得尤为重要，必将成为信息化发展的重中之重，只有加强人员的可信身份管理，才能做到大门的安全防护，才能为企业的管理、业务发展构建可信的信息化环境，特别是采用数字证书认证和应用后，完全可以做到全过程可信身份的管理，确保每个操作都是可信得、可信赖的。

集中用户管理系统主要是完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统用户管理的安全风险。

集中用户管理功能示意图

1.3.1 管理服务对象

集中用户管理主要面向企业内外部的人、资源等进行管理和提供服务，具体对象可以分为以下几类：

最终用户

自然人，包括自然人身份和相关信息

主账号

与自然人唯一对应的身份标识，一个主账号只能与一个自然人

对应，而一个自然人可能存在多个主账号

从账号 与具体角色对应，每一个应用系统内部设置的用户账号，在统

一信任管理平台中每个主账号可以拥有多个从帐号，也就是多

种身份角色（即一个日然人在企业内部具备多套应用系统账号）

资源

用户使用或管理的对象，主要是指应用系统及应用系统下具体

功能

具体服务对象之间的映射对应关系如下图所示：

用户账号与资源映射图

1.3.2 用户身份信息设计

1.3.

2.1 用户类型

用户是访问资源的主体，人是最主要的用户类型：多数的业务由人发起，原始的数据由人输入，关键的流程由人控制。人又可再分为：员工、外部用户。员工即企业的职员，是平台主要的关注的用户群体；外部用户是指以独立身分访问企业应用系统的一般个人客户与企业客户。

1.3.

2.2 身份信息模型

对各类用户身份建立统一的用户身份标识。用户身份标识是统一用户管理系统内部使用的标识，用于识别所有用户的身份信息。用户标识不同于员工号或身份证号，需要建立相应的编码规范。为了保证用户身份的真实、有效性，可以通过数字证书认证的方式进行身份鉴别并与用户身份标识进行唯一对应。

用户基本信息保存用户最主要的信息属性，由于其它系统中，如HR 中还保留有用户更完整的信息，因此需要建立与这些系统的中信息的对照关系，所以需要保存用户在这些系统中用户信息的索引，便于关联查询。

基于分权、分级的管理需要，用户身份信息需要将用户信息按照所属机构和岗位级别进行分类，便于划分安全管理域，将用户信息集中存储在总部，以及管理域的划分。

用户认证信息管理用户的认证方式及各种认证方式对应的认证信息，如用户名/口令，数字证书等。由于用户在各应用系统中各自具有账号和相关口令，为了保证在平台实施后可以使原有系统仍可以按照原有账号方式操作，需要建立用户标识与应用系统中账号的对照关系。

授权信息是对用户使用各系统的访问策略，给用户赋予系统中的角色和其它属性。

1.3.

2.3 身份信息的存储

为了方便对人员身份的管理，集中用户系统采用树形架构来进行人员组织架构的维护，存储方式主要采用LDAP。可以通过企业内部已有的人员信息管理系统当中根据策略进行读写操作，目前主要支持以下数据源类型：

Windows Active Directory（AD）

OpenLdap

IBM Directory Server（IDS）

1.3.3 用户生命周期管理

用户生命周期，主要关注的是用户的入职、用户账户创建、用户身份

标识（数字证书的颁发）、用户属性变更、用户账户注销、用户帐户归档等流程的自动化管理，这一管理流程又可称为用户生命周期管理，如下图所示：

由于要赋予用户可信的身份标识，所以需要通过数字证书认证的方式来实现，在用户生命周期管理过程中围绕用户包含了基于帐户的生命周期和数字证书的生命周期管理的内容。数字证书主要是与用户的主账户标识进行唯一绑定，在用户帐户的使用和属性变更过程中数字证书不需要发生任何改变，唯有在用户帐户进行注销和归档过程中，与其相匹配的数字证书也同样需要进行吊销和归档操作。

1.3.4 用户身份信息的维护

目前集中用户管理系统中对用户身份信息的维护主要以企业已存在的AD域和LDAP作为基础数据源，集中用户管理系统作为用户信息维护的主要入口，可以由人力资源部门的相应人员执行用户账户的创建、修改、

删除、编辑、查询、以及数字证书的发放。AD域中的用户信息变动通过适配器被平台感知，并自动同步到平台用户身份信息存储（目录服务器）中；

平台的用户管理员也可以直接修改平台中集中存储的用户身份信息，再由平台同步到各个应用系统中。

1.4 集中证书管理

集中证书管理功能主要是针对用户的CA系统，包括：

1)证书申请

2)证书制作

3)证书生命周期管理（有效期、审核、颁发、吊销、更新、查询、归

档）

4)证书有效性检查

集中证书管理功能集支持多种CA建设模式（自建和第三方服务）、多RA 集中管理、扩展性强等特性，从技术上及管理上以灵活的实现模式满足用户对证书集中管理的迫切需求，解决管理员对多平台进行操作及维护困难的问题。

1.4.1 集中证书管理功能特点

集中证书管理功能的实现就是通过集成证书注册服务（RA）和电子密钥（USB-Key）管理功能。

1)集中制证

集中制证主要结合本地数据源中的数据为用户进行集中制证，包括集中申请、自动审批。

通过CA的配置路径，访问指定的CA系统；

CA系统签发数字证书并返回给管理员；

管理员将证书装入UBS Key,制证成功.将数字证书发送给最终用户。

2)证书生命周期管理

通过集中证书管理功能可实现对所制证书进行证书的生命周期管理，主要包括：证书的查询、吊销等，同时还可以实现对证书有效性的检查。

证书有效性检查，可支持与CA系统的CRL（证书掉销列表）服务联动及手动导入CRL列表。

用户通过证书认证方式登录“登录门户”；

将用户的证书信息（包括证书属性、有效期等）提交到“证书管理模块”；

服务检查证书信息，若有效，将有效值返回“证书管理模块”（若无效将值返回“证书管理模块”）；

“证书管理模块”将有效值返回“登录门户”，用户通过认证。（若无效，用户登录失败）；

用户通过认证，正常进入应用系统。

3)支持多种CA建设模式

4)多RA集中管理

在一个企业内，根据证书应用的需求，存在根CA下有多个子CA，即存在多个RA。通过平台与RA的集成，可支持与企业内的多RA进行集成，实现单平台多RA的集中管理。

5)灵活扩展性

集中证书管理功能除了实现集中制证、证书生命周期管理功能，以及

具有多RA管理、支持用户CA系统的自建和服务模式的特点，还具有灵活的扩展性。可实现与RA的完全集成，通过平台实现RA的完全接管，实现证书处理、证书生命周期管理、证书审批、支持多种申请模式、RA日志管理、密钥管理、策略管理等。以满足更多用户对于集中证书管理的扩展性需求。

1.5 集中授权管理

1.5.1 集中授权应用背景

分析一些大型企业，发现企业内部各应用系统自身授权非常完善，但是从集中管理角度看，发现大企业中的传统授权所存在如下问题：

1)系统权限分散：员工的流动及职位的变更，需要更改员工的系统使

用权限，而多个系统权限的分散，使管理员工作量增加，且容易带来安全漏洞。

2)应用系统的独立性：各种应用系统都使用独立的登录方式，员工需

要记忆所有应用系统的帐号、密码等，逐一登录，给工作带来极大的困扰，特别是对工作效率影响非常大，甚至简化记忆问题，所有应用系统统一使用相同的密码，由此为黑客或者木马程序提供机会，而对应用系统的安全防护带来极大地威胁。

集中授权的最大特点，就是集中在一个接口对组/角色进行资源的合理分配。集中授权的过程，就是集中对用户（组/角色）通过何种方式（证书/口令）使用某种资源（应用/功能）的权限的分配。

员工入职，分配一个特定的原本已经隶属于某些角色/组的身份账户，统一入口登录，即可享有身份账户所属角色/组在公司应用系统中的所有权

限；当职位变更时，只需更改身份账户所属角色/组，则所享有的权限也相应变化，而对应的应用系统资源的账户和权限不受任何影响，并且应用系统的安全性得到了极大提高，不会因为对应的业务系统因为没有中止用户应用权限而遭受安全风险。

通过集中授权的管理模式，有效地屏蔽了传统授权中存在的弊端，提高了管理效率，为企业营造一个安全、便捷的系统安全、可信的办公环境。

1.5.2 集中授权管理对象

集中授权主要是依赖于人，由授权系统管理者根据人的组织属性、角色属性，进行对应应用系统和资源的授权分配，从保证人与应用系统之间使用权限关系，最终实现，什么样的人、组织、角色能访问哪些应用系统和资源。

集中授权还可以依赖于应用系统为管理对象，然后针对该应用系统给人、组织、角色授予相应访问和操作权限，最终把应用系统和人进行权限关联，合理、有效地的访问控制策略，保证了什么样的应用系统和资源，能让怎样的人、组织、角色进行访问。

组：包括按照公司组织架构或特定功能划分的部门、工作组及个人用户

通过以上两种方模式，可以对企业内部的人员、应用系统和资源进行合理的管理和控制，有效地解决企业内部信息资源的权限管理，最终实现，正确的人做正确的事情，而非授权人员不得进入企业内部任何系统，从而保证企业应用系统数据的安全，保护企业的资产。

在集中授权管理系统系统中需要明确以下概念：

角色定义，主要是基于用户组角色和应用系统角进行角色定义。基于用户组的角色定义可理解为在组织结构下定义用户角色，比如在技术部门下定义产品工程师角色。目标是在以后授权模式中通过对产品工程师角色授权，而包含产品工程师的角色就会一次性获得授权，这样方便管理，同时也是简化了授权的操作。基于应用系统定义角色，即按照该应用系统下的用户职能进行定义。比如，针对OA 应用系统和结合人力资源架构定义“总监”，那么根据OA 系统给总监的工作操作权限，那么以后授权中，只要存在应用系统对总监所具备的功能，经过系统授权后均可以按照总监的角色进行应用访问。

资源定义，主要是应用系统下具备的每一功能模块，所有的功能模块统称为资源。资源的定义主要是方便人员、组织、角色授权时候的对象指定，最终经过授权实现，什么样的人员、组织、角色能访问应用系统的那些功能。也就是中细粒度授权所需要的涉及的内容。

1.5.3 集中授权的工作原理

授权管理模块

角色模块 组模块 资源管理模块 授权 访问控制模块 ..................定义权限（某些角色/组享有系统应用的哪些权限）

…………….通过授权管理模块的定义，

对相应权限进行调用

…………….系统中所有应用资源的集合

……..……..通过口令、证书等执行对权限

的调用

1.5.4 集中授权模式

1)基于组/角色的访问授权：

对于属于某一组/角色的用户，管理员可以为其授权于可访问的应用系统和资源（应用系统的功能）。授权后组内的所有成员均具备该组编辑、查看、分配的权限。

2)基于应用系统和资源的授权：

对于某一选定应用（或其包含的功能、功能组），管理员可以授权为其指派访问资源（用户、组、角色）

1.5.5 细粒度授权

传统意义中的粗粒度授权是以某一应用系统为标准，将应用系统那个授权于某一个人、某一机构（组织）、某一类角色；而对于应用系统下的模块无法做到授权，所以，粗粒度授权在统一信任系统中，无法做到应用系统的内部授权机制，导致简单的访问控制授权无法满足业务系统的精细化Functio Functio Functio Functio … Functio

功能组 功能

组

用户1

用户2 角

色

1 角

色

2

角

色

… 应用系统

管理，为了满足企业的细致化访问控制，需要打破传统授权模式，增加新的授权机制，即要实现细粒度的访问控制授权。

而将资源管理模块细粒度化，则是将应用模块拆分成单个的功能模块，某几个功能模块又可以组合成一个功能组，在授权时，针对某一应用模块中的功能或功能组模块进行权限分配。

1.5.6 角色的继承

提供了角色授权模型，在角色权限分配的管理过程中，角色之间可以实现多模式继承，即单继承、多继承、动态继承；多种模式的继承由系统自动完成，但是当继承形成环路的时候，则继承属性自动中断，保持独立的角色属性。这样可以保证应用系统权限合理管控，而不会因为角色继承导致权限失去控制。针对继承方式，如下定义：

1)单继承：

角色A 继承于角色B ，则 A 拥有B 所有的权限。

2)多继承

角色A 继承于角色B 、角色C 、角色D ，则A 同时拥有B 、C 、D 所有的权限。

3)动态继承：

角色D

角色C 角色B 角色A 资源 继承于 口令 口令/证书

证书

登

入

系

统 口令 证书 角色A

角色B 角色C 角色A

角色C 角色D

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能： 为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务 单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。 同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： (1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点 登录服务；

网络统一身份认证计费管理系统建设方案综合

XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一．计费系统设计规划 (2) 二．方案建设目标 (2) 三．总体方案 (3) 1.方案设计 (3) A.方案（串连网关方式） (3) B.方案（旁路方式+BRAS，BRAS产品） (4) 四．认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五．认证计费管理系统功能介绍 (9) 六．用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)

7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一．计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户，同时在线用户规模为5000人，具有多个出口线路；网络特点呈现高带宽，高用户，多种接入方式使用人群，并且在未来还会以多种网络架构存在（有线，无线）。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量，同时也必须能满足复杂的接入模式，多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下，设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求，同时还需要满足无线和有线认证的融合统一认证管理模式；目前学校已经使用一卡通系统，安全认证计费管理系统必须和一卡通系统实现对接，能支持未来的数字化校园，能够融合到统一身份认证平台。 有线网和无线网是实现账户统一，避免一个用户需要多账户登录有线网和无线网的情况，并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接，实现用户账号的同步关联。 二．方案建设目标 针对目前学校对于用户认证计费系统的需求，通过安全认证网络管理计费系统，搭建一套包括用户接入、认证、计费及用户管理的综合平台，为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解

sso_统一身份认证及访问控制解决方案

统一身份认证及访问控制 技术方案

1.方案概述 1.1. 项目背景 随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度； 2)多个身份认证系统会增加整个系统的管理工作成本； 3)用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨； 4)无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5)无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关"的目标，方便用户使用。 1.2. 系统概述 针对上述状况，企业单位希望为用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点： ?单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后台的多个应用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 ?即插即用：通过简单的配置，无须用户修改任何现有B/S、C/S应用系统，即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式，可单独使用也可组合使用。 ?基于角色访问控制：根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理：系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以使用HTTPS安全地进行管理。

统一身份认证-CAS配置实现

一、背景描述 随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施，而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1、每个系统都开发各自的身份认证系统，这将造成资源的浪费，消耗开 发成本，并延缓开发进度； 2、多个身份认证系统会增加系统的管理工作成本； 3、用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗 忘而导致的支持费用不断上涨； 4、无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5、无法统一分析用户的应用行为 因此，对于拥有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关”的目标，方便用户使用。 二、CAS简介 CAS（Central Authentication Service），是耶鲁大学开发的单点登录系统（SSO，single sign-on），应用广泛，具有独立于平台的，易于理解，支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS，并提供了易于使用的方案。Acegi安全系统，是一个用于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务，包括使用Bean Context，拦截器和面向接口的编程方式。因此，Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广

身份认证、接入控制解决方案

身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别，杜绝非法入侵和接入保护为 主要设计理念，金盾准入控制保护系统是金盾软件公司独创的，国际领先的 产品功能，是产品的核心功能之一，具有实施简单，主动发现、自动防御、效果显著等特点，极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料？ □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统？

方案功能 安全状态评估 □终端补丁检测：评估客户端的补丁安装是否合格，包括：操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测：检测安全客户端的版本，防止使用不具备安全检测能力的客户端接入网络，同时支持客户端自动升级。 □终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，发现异常客户端或被卸载时自动阻断网络，强制安装。 □终端防病毒联动：主要包含两个方面，终端用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后，定期检查防病毒软件的运行状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证：非授权用户接入网络需要身份认证，在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全。 □网络隔离区：对于安全状态评估不合格的用户，可以限制其访问权限，被隔离到金盾网络隔离区，待危险终端到达安全级别后方可入网。 □软件安装和运行检测：检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证：对于外来计算机由于业务需要接入内网或者访问Internet时，针对对方IP、MAC等端口做授信暂时放行。 □内网安全域：可以限制用户只能在允许的时间和网络IP段内（接入设备和端口）使用网络。

统一认证平台的设计方案(XXXX互联网接入平台建设方案)

XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划，推动实现公司办公、管理等相关业务的互联网化和移动化，我部拟开展互联网接入平台系统的建设，建立互联网和公司内部网络的唯一通道，在安全风险可监、可控、可承受的前提下，为公司员工提供更加顺畅、更为便捷的互联网接入服务，满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 （一）覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 （二）接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统，并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端，以企业APP的方式访问公司内网系统，访问期间，移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理，不符合安全策的移动终端不允许接入内部网络。 （三）多运营商接入需求

公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统，因此互联网接入平台需支持上述各运营商，并能够选取最优访问路径以保障访问速度。 （四）身份认证及单点登录需求 由于互联网接入平台面向互联网开放，用户身份认证必须采取强身份认证方式，除需设置一定复杂度的登录口令外，必须支持RSA动态令牌认证，可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能，用户身份验证通过后，互联网接入平台将向用户开放其权限范围内的所有业务系统，且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能，不可使用密码代填的实现方式。 （五）安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施，防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施，有效保障互联网接入平台后部的公司信息系统的安全性。 二、方案设计

统一身份认证系统技术研究

统一身份认证系统技术研究 一、背景 目前公司产品中的各个子系统正在从原来高耦合的整合系统模式向现在的高内聚低耦合的系统模式发展，例如：现在的LIS、PACS、移动医疗、电子病历已经能够从原来的HIS系统中分离出来独立运行。另外，与第三方系统的互联互通的需求也愈来愈多。各个系统之间的低耦合使得系统的访问控制和信息安全问题愈见突出，原来整合系统的统一的认证、授权、账号管理模式被各个系统的分立的状况打破，特别是对于外部系统的互联互通，原来的模式更是走不通。另外,目前所采用的数据库内部认证和授权方式以及通过调用接口或者WebService接口，虽然是一种有效地补充，但是仍然存在效率和规范的问题。 因此，构建一个完整统一、高效稳定、安全可靠的统一身份认证和管理平台已经成为目前产品体系下的一种需要。 二、统一身份认证系统的功能、规范与技术要求 统一身份认证系统的最基本功能要求就是对于各个系统间的用户进行统一管理，让用户使用系统时更加方便，无需反复登录系统。统一身份认证系统应从功能方面满足以下要求： 1、用户只需在统一身份认证系统中登陆一次后，就可以使用基于统一身 份认证系统认证的所有系统，无需再记忆多套用户名和密码。 2、管理员可以对所有系统的用户进行统一管理，可以对用户的权限进行 统一分配。实现系统的分布式应用，集中式的管理。 3、统一身份认证系统下的各个业务系统之间，用户数据必须保持一致性。 用户数据必须同步更新。 统一身份认证平台应满足4A安全管理框架规范，4A框架的内容为 身份认证（Authentication） 身份认证是信息安全的第一道防线，用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。身份认证的方式可以有多种，包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。

统一身份认证系统技术方案

智慧海事一期统一身份认证系统 技术方案

目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)

身份管理平台解决方案

身份管理平台解决方案 1. 应用背景 计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高，在企业信息化过程中，诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生，提高了企业的管理水平和运行效率。与此同时，各个应用系统都有自己的认证体系，随着应用系统的不断增加，一方面企业员工在业务系统的访问过程中，不得不记忆大量的帐户口令，而口令又极易遗忘或泄露，为企业带来损失；另一方面，企业信息的获取途径不断增多，但是缺乏对这些信息进行综合展示的平台。 在上述背景下，企业信息资源的整合逐步提上日程，并在此基础上形成了各业务系统统一认证、单点登录（SSO）和信息综合展示的企业门户（Portal）。现有的门户产品多集中于口令方式的身份认证，如何更安全的进行统一认证，并保证业务系统访问的安全性，成为关注的焦点。 2. 基于CA认证的统一身份管理平台 时代亿信推出的基于CA认证的统一身份管理平台解决方案，以资源整合（业务系统整合和内容整合）为目标，以CA认证和PKI技术为基础，通过对用户身份的统一认证和访问控制，更安全地实现各业务系统的单点登录和信息资源的整合。 平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式，并采用SSL 加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。 2.1 系统功能及架构 平台的系统架构如图1所示，主要包括以下部分： 门户系统（Portal）：各业务系统信息资源的综合展现； 平台管理系统：平台用户的注册、授权、审计；各业务系统的配置；门户管理； CA系统：平台用户的数字证书申请、签发和管理； 用户统一认证：用户身份的CA数字证书认证、认证过程的SSL加密通道； 单点登录（SSO）：业务系统关联（mapping）、访问控制、访问业务系统时信息的加密签名和SSL加密通道； 图1 基于CA认证的统一身份管理平台架构 2.2 系统的实现和安全机制 2.2.1 用户注册和授权 （1）企业每一个用户在平台完成用户注册，得到自己的统一帐户（passport）； （2）如果采用证书文件或USB智能卡认证方式，则CA系统自动为平台用户签发数字证书，并与用户的统一帐户对应。 （3）注册的用户可以由管理员进行分组，并根据分组设定相应的业务系统访问权限。 2.2.2 业务系统的配置 接受统一认证的业务系统必须完成以下工作： （1）安装业务系统访问前置并配置证书和私钥，用以建立客户端与业务系统之间的SSL 加密通道，并接收处理平台提供的加密签名的用户认证信息； （2）提供关联（mapping）接口和访问验证接口，并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息（可能包括业务系统的用户名和密码）的对应关系。

统一身份认证平台

统一身份认证平台设计方案 1）系统总体设计 为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护

管理功能。 用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下： a)集中用户管理系统：完成各系统的用户信息整合，实现用户生 命周期的集中统一管理，并建立与各应用系统的同步机制，简 化用户及其账号的管理复杂度，降低系统管理的安全风险。

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群 众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录， 实现用户资源的共享，简化用户的操作。

用友U8身份认证解决方案(9)

身份认证解决方案 目前在U8中用户的身份认证支持四种模式：用户+口令(静态密码),动态密码、CA认证和域身份认证，同一时间，一个用户只能使用一种认证方式，但是不同用户可以根据权限，重要程度交叉使用不同的认证方式。 1.设置认证方式 在系统管理模块中增加操作员的时候设置认证方式，默认支持用户+口令，用户可以更改以便于支持其余三种模式。

图一 2.合作伙伴支持的身份认证在U8系统中的使用 2.1易安全动态密码 1.在U8的应用服务器上，安装“易安全动态密码系统”，根据《U8_动态密码安装配置手 册（深圳海月）》进行相关配置。 2.在系统管理里设置认证方式为“动态密码”，如图一所示，默认支持的是静态口令。 3.配置完成后，在客户端登录产品，密码输入框必须输入由设备动态产生的密码才可，如 图二所示： 图二 备注： 两个系统要求用户编码共用，即不论采用哪种认证方式，用户名必须是通过U8的系统管理产生的，易安全动态密码系统支持批量导入U8用户，权限控制必须在系统管理中完成，如果使用动态密码认证，在系统管理增加用户时，可以不考虑密码信息，同时关于密码的安全策略将不起作用。 详细介绍见《U8动态密码解决方案（深圳海月）》 2.2BJCA的证书使用 BJCA支持两种PKI/CA建设模式：企业自建CA和托管CA。 企业自建CA就是企业自己创建和维护根证书，自行颁发证书。用户身份只需要企业内部审查即可，用户唯一标识为自定义名称，比如test、demo等。

托管CA是企业到BJCA申请证书，BJCA使用Public Trust CA体系为其颁发证书，用户的身份要经过BJCA严格审查，默认唯一标识为身份证号码或企业组织机构代码。 具体使用步骤： 1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。 2.在U8的客户端安装BJCA的客户端证书管理工具，请参阅《U8_CA安装配置手册（BJCA）》进行相关配置。 3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称，名称必须是字母或数字，不能含中文。如图三所示： 图三 4.配置完成后，在客户端登录产品，密码输入框输入的是在U8系统设置的用户密码， 点击确定后，验证U8密码正确后，再次弹出证书PIN码的输入框，如图四所示： 图四 输入PIN码，确定后，系统自动验证证书的合法性。 备注： 目前U8系统中的CA认证采用的是传统的用户名（密码）+证书的双重认证，使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确，安全策略中的密码策略只对U8密码起作用，修改密码也仅修改U8自身的密码。 用户在托管CA申请证书时，必须正确提交企业系统名称。 详细介绍见《U8安全解决方案（BJCA）》 2.3天威诚信的证书使用 天威诚信也支持两种PKI/CA建设模式：第三方托管CA服务和自建型CA系统。 第三方托管CA服务，是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书，用户在本地只要建设少量的CA模块，就可以实现CA认证的功能。 自建型CA系统是指客户购买天威诚信开发的PKI/CA软件，建设一个独立的PKI/CA 系统，除了购买系统软件之外，还包括系统、通信、数据库以及物理安全、网络安全配置、

统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计

基础支撑层 统一身份认证（SSO） 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法，一种是建立在PKI，Kerbose和用户名/口令存储的基础上；一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分：统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库，具体方案如下图。 1、采用认证代理，加载到原有系统上，屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行，认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接，用户登录后也可以直接访问系统，不需要二次认证。 4、对于认证代理无法提供的数据信息，可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示：

单点登录只解决用户登录和用户能否有进入某个应用的权限问题，而在每个业务系统的权限则由各自的业务系统进行控制，也就是二次鉴权的思想，这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中，应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册，将各应用系统的授权部分或全部地委托给支撑平台，从而实现统一权限管理，以及权限信息的共享，其注册原理如下图。

用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候，应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能，根据统一系统授权支撑平台返回的结果进行相应的处理，其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式，以满足权限管理的灵活性、可扩展性和可管理性的需求 块

统一身份认证系统建设方案

统一身份认证系统建设方案 发布日期：2008-04-01 1.1 研发背景 随着信息技术的不断发展，企业已逐渐建立起多应用、多服务的IT 架构，在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向，各有其对应的用户群体、技术架构、权限体系，限制了系统之间的信息共享和信息交换，形成的信息孤岛。同时，每一个信息系统的用户拥有不同的角色（职能），需要操作不同的系统，难以对其需要和拥有的信息和操作进行综合处理，限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理，统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录，改变原有各业务系统中的分散式身份认证及授权管理，实现对用户的集中认证和授权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系，汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统（统一认证服务器）、统一身份管理系统（统一身份管理服务器）、目录服务器。 受控层位于各应用服务器前端，负责策略的判定和执行，提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统（AM），主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统（IM），主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”（SSO） “一次鉴权（认证和授权）”是指建立统一的资源访问控制体系。用户采用不同的访问手段（如Intranet、PSTN、GPRS等）通过门户系统

统一认证与单点登录解决方案(详细介绍了统一认证和单点登录)

统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。 例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统（UUMS）。UUMS 统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS 完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。UUMS应具备以下基本功能：

统一身份认证系统

1.1. 统一身份认证系统 通过统一身份认证平台，实现对应用系统的使用者进行统一管理。实现统一登陆，避免每个人需要记住不同应用系统的登陆信息，包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成，实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现，支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS，以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求：50并发认证不超过3秒 ?支持联合发文：支持在Office中加盖多个电子印章，同时保证先前加 盖的印章保持有效，从而满足多个单位联合发文的要求。 ?支持联合审批：支持在Office或者网页（表单）中对选定的可识别区 域内容进行电子签名，这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章：支持两种批量签章方式： ?用户端批量盖章； ?服务器端批量盖章。 ?网页表单批量签章：WEB签章提供批量表单签章功能，不需要打开单个 表单签章，一次性直接完成指定批量表单签章操作，打开某一表单时，能 正常显示签章，并验证表单完整性。 ?提供相应二次开发数据接口：与应用系统集成使用，可以控制用户只能 在应用系统中签章，不能单独在WORD/EXCEL中签章，确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求：电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章，网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签

统一身份认证权限管理系统方案

统一身份认证权限管理系统 使用说明

目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户（账户）管理 (11) 3.1 申请用户（账户） (12) 3.2 用户（账户）审核 (14) 3.3 用户（账户）管理 (16) 3.4 分布式管理 (18) 第4章组织机构（部门）管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 外部组织机构 (29) 第5章角色（用户组）管理 (30) 第6章职员（员工）管理 (34) 6.1 职员（员工）管理 (34) 6.2 职员（员工）的排序顺序 (34) 6.3 职员（员工）与用户（账户）的关系 (35) 6.4 职员（员工）导出数据 (36) 6.5 职员（员工）离职处理 (37) 第7章部通讯录 (39) 7.1 我的联系方式 (39) 7.2 部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典（选项）管理 (1) 9.1 数据字典（选项）管理 (1) 9.2 数据字典（选项）明细管理 (3) 第10章系统日志管理 (4) 10.1 用户（账户）访问情况 (5) 10.2 按用户（账户）查询 (5) 10.3 按模块（菜单）查询 (6) 10.4 按日期查询 (7) 第11章模块（菜单）管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号（流水号）管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)

智慧校园建设方案!高校统一身份认证解决方案

智慧校园建设方案！高校统一身份认证解决方案

1.项目背景 所谓身份认证，就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对同一网络不同应用系统而言，采用统一的用户电子身份判断用户的合法性。 数字化校园网络中各个应用系统完成的服务功能各不相同，有些应用系统具有较高的独立性，如财务系统，有些应用系统需要协同合作完成某个特定任务，如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的，各应用系统的建立没有遵循统一的数据标准，数据格式也各不相同，系统间无法实现有效的数据共享，于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说，如果各系统各自存储管理一份不同的身份认证方式，用户就需要记忆多个不同的密码和身份，并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大地不便。 随着现在信息技术的发展，校园网络提供的信息服务质量的提升，对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求相应地提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理，保证各应用系统基于统一的模式、集中的环境开发与升级，一方面降低了系统整体运行的维护成本，另一方面保证了整个校园系统能够随着平台的升级而同步升级，方便使用和管理，也保证了整个系统的先进性与安全性。 有了统一身份认证系统，管理员就可以在整个网络内实现单点管理、用户可以实现一次登录、全网通行，各种管理应用系统可以通过统一的接口接入信息平台。对用户的统一管理，一方面用在访问各个成员站点时无需多次注册登录，既给用户的使用带来方便，也为成员站点节约资源，避免各个成员站点分散管理统一用户带来的数据冗余。另一方面也给新的成员站点(新的应用系统)的开发提供方便。 2.参数要点说明 浏览器单次会话当中，通过一次登录就可以访问互相信任的系统。

XX系统身份认证方案2001

XX信息网络 身份认证系统设计方案 1．系统建设的目标 XX信息系统是重要的涉密计算机信息系统，因此其对安全保密的要求非常高，在有必要对该系统的身份认证机制采用强化措施。 XX系统安全方案的目的是：解决①用户口令、数据通过网络时容易被截获、窃取、篡改的安全风险；②用户与涉密服务器在网上有可能无法正确确认对方的身份，从而被假冒访问的风险；③访问完成后用户的抵赖行为等安全危害。 XX系统安全方案的建设目标：是建立一个符合国家安全保密规定和技术要求、安全可靠、技术先进成熟、运行稳定、适用于多种运行环境的、统一的身份认证体系。 XX系统身份认证安全方案至少应可实现以下安全功能： ●强的身份认证、鉴别机制 ●数据处理、传输、访问的安全可信 ●数据处理、传输、访问的机密保护 ●数据处理、传输、访问的完整性 ●完善的安全审计功能 ●完善的CA证书及密钥管理

2．XX信息系统安全风险分析 建议在具体方案实施时，结合组织人事信息系统开发商、管理员一同进行。具体包括： 2．1系统安全风险分析 2．2系统安全需求分析 3．常见身份认证、鉴别技术简要介绍 3．1口令字 口令字是最常用且最经济的鉴别、认证方法，但口令字也是最不安全的方法，绝大部分的攻击都是从猜口令开始的，同时未经加密处理的口令字在传输过程中，也极易被截获，因而，口令字的身份认证机制对安全强度要求较高的系统是远远不够的。 3．2 IC卡 其基本原理是基于非对称加密体制，使用较低位RSA算法来实现的，因而其安全强度也不够高，且我国自身在IC方面自主技术还较落后，不可完全依赖IC卡来作为较强安全手段使用。 3．3动态口令（Sec ID） 动态口令牌，目前国内较多使用于银行等部门，且大部分是国外

统一身份认证设计方案(最终版)

统一身份认证设计方案 日期：2016年2月

目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型11 1.3. 2.3 身份信息的存储12 1.3.3 用户生命周期管理12 1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14) 1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16) 1.5.1 集中授权应用背景16 1.5.2 集中授权管理对象17 1.5.3 集中授权的工作原理18 1.5.4 集中授权模式19 1.5.5 细粒度授权19 1.5.6 角色的继承20 1.6 集中认证管理 (21) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式22 1.6. 2.1 用户名/口令认证23 1.6. 2.2 数字证书认证23 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证24 1.6. 2.5 认证方式与安全等级24 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议25 1.6.3.2 Windows 域25 1.6.3.3 SAML协议26 1.6.4 集中认证系统主要功能28 1.6.5 单点登录29

1.6.5.1 单点登录技术29 1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)

用户单点登录解决实施方案

用户单点登录解决方案

————————————————————————————————作者：————————————————————————————————日期： 2

统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。多大飞 例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统（UUMS）。UUMS统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。UUMS应具备以下基本功能: