搜档网
当前位置:搜档网 › ACS5.x对接入用户实现双重认证(MAC+User&Passord)解决方案

ACS5.x对接入用户实现双重认证(MAC+User&Passord)解决方案

ACS5.x对接入用户实现双重认证(MAC+User&Passord)解决方案
ACS5.x对接入用户实现双重认证(MAC+User&Passord)解决方案

文件编号:xxx-2011-Q1-6772-005

ACS 5.x对接入用户实现

双重认证(MAC+User&Password)

解决方案

版本:1.0

XX网络

2011年3月

文件说明

本程序文件对Cisco厂商的ACS产品的的功能进行深层次挖掘,实现对接入用户的双重认证:MAC地址过滤和用户名密码认证。

文件修订记录

目录

1需求概述 (5)

2方案分析 (5)

3配置方法 (5)

3.1添加AAA Client (5)

3.2添加用户 (6)

3.3添加MAC地址过滤 (7)

3.4设置验证策略 (9)

4产品清单 (17)

4.1硬件产品 (17)

4.2软件产品 (18)

5附录 (18)

5.1ACS恢复出厂设置 (18)

1需求概述

用户想对企业内部的园区网进行接入控制,其中包括有线接入和无线接入,需求概括如下;

●最基本的想法是通过802.1x实现接入控制,其他方式也可以;

●接入时需要进行认证,同时实现MAC地址过滤和用户名密码认证。

2方案分析

ACS 5.x以上的版本在结构和功能上都有很大的变化,可以通过ACS 5.x的新功能实现MAC地址过滤后在对接入用户做密码认证。

3配置方法

3.1 添加AAA Client

命令菜单依次如下:Network Resources -> Network Device Groups -> Network Devices and AAA Clients -> Create:

●Name: 输入AAA Client的名称,我个人一般建议输入设备型号及IP地址。

●Description: 输入AAA Client 的描述,建议输入功能描述。

●IP Address: 选择AAA Client的IP地址方式(单个IP还是IP地址范围)。

●IP: 输入AAA Client具体IP地址。

●RADIUS: 在认证协议(Authentication Options)下选择Radius协议。

●Share Secret: 输入AAA Client与AAA Server通讯的密钥。

3.2 添加用户

命令菜单依次如下:Users and Identity Stores -> Internal Identity Stores -> Users -> Create:

●Name: 输入具体的认证用户名

●Description: 输入该用户的描述,建议输入更详细的个人信息等其他信息。

●Identify Group: 该用户所归属的组别。

●Password: 该用户的密码

●Confirm Password: 重复输入该用户的密码,两次要一致。

3.3 添加MAC地址过滤

命令菜单依次如下:Policy Elements -> Session Conditions -> Network Conditions -> End Station Filters -> Create:

●Name: 输入MAC地址过滤的策略名称

●Description: 输入该策略的描述

●MAC Address: 这里选择MAC Address 选项卡,在该选项卡下单击Create 在新弹出的MAC地址添加菜单中,输入信息:

●End Station MAC: 输入允许接入终端(PC/IPAD…)的MAC地址。

添加多条MAC地址后,点击Submit 提交即可。

3.4 设置验证策略

前期的设置都是铺垫,这里才是真正进行应用组合,实现MAC地址+用户名密码的双重认证。

命令菜单依次如下:Access Policies -> Access Services -> Service Selection Rules:

●Single result selection:单一认证请求

●Rule based result selection:多条策略请求认证

依次菜单命令:Access Policies -> Access Services -> Default Network Access -> Identity -> Customize ->

在弹出的新窗口中,将End station Filter 迁移到后边,并且只有该一个选项,如下图:

点击OK后,返回如下图:

确认在Conditions选项中是End Station Filter。单击Create 开始创建具体验证的策略,如下图:

在conditions中,点选Select ,在弹出的新窗口中选择之前创建的MAC过滤策略表,如下图:

在Results 的Identify Source中,点选Select ,在弹出的新窗口中选择Internal Users,如下图:

最后设置完毕后,内容如下:

因为Default策略默认是存在的,并且引用的是Internal Users,所以需要修改成为Deny Access,否则前面加的验证策略Rule-1 就成摆设了。

单击Default,或者选中Default策略,点击Edit,在弹出的新窗口中编辑,如下图:

点击Select进行修改,如下图:

最终修改完毕,使用MAC地址+用户名密码双重认证后的配置如下:

最后点击Save Changes 保存即可。

如上配置即实现了MAC地址过滤后,再做用户名密码的登录认证。具体客户端开启802.1x即可。

4产品清单

ACS 5.x 分为两种产品,一种是直接购买硬件,另外一种是购买软件安装在VMWare ESX之上。两种功能是一样的。

4.1 硬件产品

4.2 软件产品

5附录

5.1 ACS恢复出厂设置

如果存有ACS4.x版本的旧思想,可能不知道对ACS 5.x如何进行出厂设置。具体操作是命令行(Console/SSH)登录后,输入write erase 后重启,根据提示操作即可。

举例:

ACS52/admin# write erase

Warning: This will erase the startup configuration. Continue? (yes/no) [yes] ? yes

ACS52/admin# reload

Do you want to save the current configuration ? (yes/no) [yes] ? no

Continue with reboot? [y/n] y

Broadcast message from root (pts/0) (Mon Mar 14 05:31:46 2011): The system is going down for reboot NOW!

统一身份认证权限管理系统

统一身份认证权限管理系统 使用说明

目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)

上网认证系统使用指南

上网认证系统使用指南 一、安装步骤 1、下载客户端软件:https://www.sodocs.net/doc/bd3748360.html,/sam/sam6.4.rar,如下图: 2、打开“sam6.4.rar”压缩包,双击“锐捷上网认证.exe”,如下图: 3、在弹出的窗口中点击“立即安装”,如下图: 4、点击按钮“完成安装”,完成上网认证客户端的安装,如下图: 5、安装完成后,桌面会出现一个客户端软件的快捷方式,如下图:

二、使用说明 注意: 安装上网认证客户端软件时,安装过程会自动取消该选项,但有些时候用户可能在无意中重新开启了该项目。建议不启用系统自带的802.1X身份认证,具体操作步骤如下 打开本地连接->属性->验证,将“启用此网络的IEEE 802.1X身份验证”这一项去掉,不要勾选。 1、双击桌面上的上网认证客户端的快捷方式,如下图。如果未找到快捷方式,请点击屏幕左下角的<开始>按钮,再点击<所有程序>,找到<理工上网认证>程序组,点击<理工上网认证>图标。 2、启动认证客户端,出现如下界面:

3、请填写好用户名、密码,如下图,再点击连接,即完成认证。【学生用户名为学号,教工用户名为教工号。初始密码为“大写的身份证后6位”。点击右上角的倒三角图标,下拉“自助服务”,可以修改密码。自助服务网址:https://www.sodocs.net/doc/bd3748360.html,/zizhu】。 4、如果认证成功,则桌面右下角会弹出如下提示信息框,同时任务栏右下角会出现图标。 5、断开连接的方法: 方法一:双击,弹出如下对话框,再点击“断开网络”,即完成断开。

方法二:右击,弹出如下对话框,再点击“断开网络”,即完成断开。

信息系统用户身份认证与权限管理办法

乌拉特中旗人民医院 信息系统用户身份认证与权限管理办法 建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问,所有未被授权的人无法访问到这些数据。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。权限控制是信息系统设计中的重要环节,是系统安全运行的有力保证。身份认证与权限控制两者之间在实际应用中既有联系,又有具体的区别。为规范我院身份认证和权限控制特制定本措施: 一、身份认证 1、授权:医生、护理人员、其他信息系统人员账号的新增、变更、停止,需由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明权限范围后,交由信息科工作人员进行账户新建与授权操作。信息科将《信息系统授权表》归档、保存。 2、身份认证:我院身份认证采用用户名、密码形式。用户设置密码要求大小写字母混写并不定期更换密码,防止密码丢失于盗用。 二、权限控制 1、信息系统权限控制:医生、护理人员、其他人员信息系统权限,由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明使用权限及其范围之后,交由信息科进行权限审核,审核通过后方可进行授权操作。 2、数据库权限控制:数据库操作为数据权限及信息安全的重中之重,

因此数据库的使用要严格控制在十分小的范围之内,信息科要严格保密数据库密码,并控制数据库权限,不允许对数据库任何数据进行添加、修改、删除操作。信息科职员查询数据库操作时需经信息科主任同意后,方可进行查询操作。 三、医疗数据安全 1、病人数据使用控制。在进行了身份认证与权限管理之后,我院可接触到病人信息、数据的范围被严格控制到了医生和护士,通过权限管理医生和护士只可对病人数据进行相应的计费等操作,保障了患者信息及数据的安全。 2、病人隐私保护。为病人保守医疗秘密,实行保护性医疗,不泄露病人的隐私。医务人员既是病人隐私权的义务实施者,同时也是病人隐私的保护者。严格执行《执业医师法》第22条规定:医师在执业活动中要关心、爱护、尊重患者,保护患者隐私;《护士管理办法》第24条规定:护士在执业中得悉就医者的隐私,不得泄露。 3、各信息系统使用人员要注意保密自己的用户口令及密码,不得泄露个他人。长时间离开计算机应及时关闭信息系统软件,防止泄密。 乌拉特中旗人民医院信息科

新二代身份证阅读器使用手册

使用说明 紫光软件系统有限公司二零一一年九月

一简介 1.1 产品简介 感谢您选择新中新二代身份证阅读器 关于身份证识别器,随着全国婚姻登记系统的渐渐普及,为了方便我们各地政府在登记业务中更方便,更节省时间,紫光公司为用户开发了新中新二代身份证识别器,帮助用户更快速更便捷的办理业务。 二功能 2.1 主要功能 二代身份证识别器的主要作用是,代替人工录入婚姻登记中得各种信息,比如:身份证号码,姓名等信息,安装好驱动程序,插入硬件即可使用,操作非常的简单。 三安装与使用 3.1 安装说明 3.1.1 安装驱动程序将产品配件中的光盘插入电脑的光驱中然后打开“我的 电脑”找到“可移动存储的设备”下的已识别出来的光盘名称像“110921_***(G:)”双击名称打开盘符如下图: Setup.exe的一个安装文件,双击图标后,如下图:

直接点击“下一步” 需要修改安装目录时,点击“浏览”选择安装程序的安装目录位置即可系统默认为C盘,点击“下一步”如下图: 需要修改安装目录文件夹,点击“浏览”修改即可 系统默认为婚姻录入辅助系统,点击“下一步”如下图:

为了方便应用,可以选中“创建桌面快捷方式”前方的系统将在桌面创建快捷方式,点击“下一步”如下图: 如需要修改图中显示的信息,点击“上一步”进行修改 直接点击“安装”程序自动进行安装,安装结束,显示如下图:

安装完成系统提示“请确保读卡器连接到正确的USB接口”,并进行程序注册 系统默认为选中状态,点击“完成”就完成了驱动程序的安装 (注意:如果安装完驱动程序,不想立刻注册,请把复选框中的绿色小勾去掉,点击完成即可。) 安装完成后,桌面上会出现一个“紫光软件全国婚姻登记系统录入辅助系统”的图标如下图: 3.1.2 硬件注册 完成驱动程序安装后,系统会提示,如下图: 看到提示框中的提示,我们需要把二代身份证识别器,插入到电脑的USB接口,确定连接成功后,点击“确定”如下图:

社保人员新身份认证系统使用说明

社保人员身份认证系统使用说明 一.点击桌面“社保系统”图标进入系统主界面 在使用本系统前,请先安装好指纹含仪驱动程序及指纹仪硬件。 纸卡指纹自动扫描仪驱动程序的安装 将纸卡指纹自动扫描仪的插入计算机USB接口。 驱动位于社保系统安装盘中“扫描仪驱动程序”程序目录下。 启动《社保指纹认证管理系统》后显示如下登录界面 如果是第一次使用请在“用户名”输入“system”口令不用填写。点“确认”按钮进入用户名与密码可以在“系统功能”菜单“操作员管理”中进行修改。 当用户有管理员身份时,则此用户可以增加,修改,删除其他用户。

一.欢迎界面 二.基本资料窗口 在这里输入地区资料与单位资料,这些将在输入人员信息时使用到

针对多指纸卡中指纹的定位,可以在“基础资料”中的“纸卡设置”页中进行设置。使用此功能,用户可以自定位手指在扫描纸卡图象中的位置。最多可以支持10个手指。 三.人员信息

1 用户在名项中输入信息完毕后点“增加”或者“保存”即可。 2 在“修改”和“删除”前,请先点选一名人员。 3 增加人员时,“人员编号”不能是重复的。

三.指纹登录与比对 指纹的登录过程如下: 1. 点“提取指纹” 按钮,用户在指纹仪上按三次手指(也可设为一次,只要把“登记时 按三次手指”一项的勾去掉)。并会提示保存指纹。 2. 选择一个人员,并选择手指,点“保存”按钮,则步骤1 中登录的指纹将保存给所选择 的人员的对应手指上。 比对过程如下: 1. 选择一个人员,并选择他的手指(此手指必须是已经登录过指纹的,即右边必须打勾) 2. 点“比对”按钮进行比对。比对人员在指纹仪上按相应的手指。 本系统中支持从用户扫描的手指图片中提取指纹的功能方法如下: 从图片登录指纹: 1. 在操作方式中选择“图片指纹”,然后选择指纹图片文件的路径。(指纹图片文件必须以 BMP 格式存放)

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:

一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;

统一身份认证系统技术方案

智慧海事一期统一身份认证系统 技术方案

目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)

CA认证系统使用手册及常见问题解

国家统计局身份认证系统使用手册及常见问题解答

目录 一、申请证书的问题3 1.如何申请证书 (3) 2.何时需要重新申请自己的数字证书? (8) 3.如何重新申请证书? (8) 4.如何在本机查看已经申请的数字证书? (10) 二、“登录”企业一套表应用系统时的问题11 1.为什么点击“登录”时未弹出“客户身份验证”窗口,直接提示“该页 无法显示”? (11) 2.在弹出的“客户身份验证”框中点击本企业的用户证书名并确定后,出 现“该页无法显示”? (14) 3.进行数据报送时,选择证书提交后系统提示“证书已过期”或“您的证 书即将到期”,怎么办? (15) 4.进行数据报送时,弹出的“客户身份验证”窗口没有证书,怎么办? 15 5.选择证书后,提示“该证书与用户名不匹配”,怎么办? (15) 6.为什么弹出的认证窗口与常见的不同? (15) 三、废除证书时的问题16 1.什么情况下需要废除证书? (16) 2.如何废除证书? (16) 四、如何删除证书17 五、安全认证测试步骤19 六、其它问题21 1.如果我想更换我的PC机,是否还能连到直报系统? (21) 2.如何从浏览器中导入、导出个人证书? (22) 3.请确认您使用的计算机操作系统时间是当前时间 (22) 检查方法:双击您计算机桌面右下角的时钟,在弹出的“时间和日期属性” 中,检查并调整为当前时间。如当前时间为2011年8月6日16点26分时,如图27: (22)

申请证书的问题 1.如何申请证书 进入证书在线服务系统的用户,将会看到如图1的界面,请首先阅读注意事项和证书申请步骤。 图 1 初次登录系统报送数据的用户,请根据“用户证书申请步骤”进行证书的安装。 第一步安装配臵工具 点击图1页面上的“根证书及配臵工具”,如图2: 图2

网络统一身份认证计费管理系统建设方案综合

XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)

7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解

身份认证与访问控制技术

第5章身份认证与访问控制技术 教学目标 ●理解身份认证的概念及常用认证方式方法 ●了解数字签名的概念、功能、原理和过程 ●掌握访问控制的概念、原理、类型、机制和策略 ●理解安全审计的概念、类型、跟踪与实施 ●了解访问列表与Telnet访问控制实验 5.1 身份认证技术概述 5.1.1 身份认证的概念 身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。 1. 身份认证的概念 认证(Authentication)是指对主客体身份进行确认的过程。 身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。 2. 认证技术的类型 认证技术是用户身份认证与鉴别的重要手段,也是计算机系统安全中的一项重要内容。从鉴别对象上,分为消息认证和用户身份认证两种。 (1)消息认证:用于保证信息的完整性和不可否认性。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。 从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证, 5.1.2 常用的身份认证方式 1. 静态密码方式 静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。 2. 动态口令认证 动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态

短信密码和动态口令牌(卡)两种方式,口令一次一密。图5-1动态口令牌 3. USB Key认证 采用软硬件相结合、一次一密的强双因素(两种认证方法) 认证模式。其身份认证系统主要有两种认证模式:基于冲击/响应 模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2 所示。图5-2 网银USB Key 4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证 国际认证机构通称为CA,是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程,即CA认证过程,如表5-1所示。 表5-1 证书的类型与作用 注:数字证书标准有:X.509证书、简单PKI证书、PGP证书和属性证书。 CA主要职能是管理和维护所签发的证书,并提供各种证书服务,包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。 CA的主要职能体现在3个方面: (1)管理和维护客户的证书和证书作废表 (CRL)。 (2)维护整个认证过程的安全。 (3)提供安全审计的依据。 5.1.3 身份认证系统概述 1. 身份认证系统的构成

身份认证系统常见问题解答

身份认证系统常见问题解答

目录 一、申请证书的问题1 1.如何申请证书 (1) 2.何时需要重新申请自己的数字证书? (6) 3.如何重新申请证书? (6) 4.如何在本机查看已经申请的数字证书? (8) 二、进行“数据报送”时的问题9 1.为什么点击“数据报送”时未弹出“客户身份验证”窗口,直接提示“该页无 法显示”? (9) 2.在弹出的“客户身份验证”框中点击本企业的用户证书名并确定后,出现 “该页无法显示”? (12) 3.进行数据报送时,选择证书提交后系统提示“证书已过期”或“您的证书即 将到期”,怎么办? (13) 4.进行数据报送时,弹出的“客户身份验证”窗口没有证书,怎么办? .. 13

5.选择证书后,提示“该证书与用户名不匹配”,怎么办? (13) 6.为什么弹出的认证窗口与常见的不同? (13) 三、废除证书时的问题14 1.什么情况下需要废除证书? (14) 2.如何废除证书? (14) 四、其它问题15 1.如果我想更换我的PC机,是否还能连到直报系统? (15) 2.如何从浏览器中导入、导出个人证书? (16) 3.请确认您使用的计算机操作系统时间是当前时间 (16)

1.如何申请证书 进入证书在线服务系统的用户,将会看到如图1的界面,请首先阅读注意事项和证书申请步骤。 图1 初次登录系统报送数据的用户,请根据“用户证书申请步骤”进行证书的安装。 第一步安装配置工具 点击图1页面上的“根证书及配置工具”,如图2:

图2 弹出“文件下载”确认对话框,弹出“文件下载”提示,如图3。 图3 点击“保存”按钮后,将“根证书及客户端配置工具”保存到本地计算机桌面,如图4

中国石油身份管理与认证项目Key用户安装使用手册资料

中国石油身份管理与认证项目USBKey数字证书用户 操作手册 中国石油身份管理与认证项目组 2010年9月

中国石油集团信息系统用户身份管理与认证项目通过为中国石 油信息系统用户提供统一的单点登录平台,可以方便的让USBKey数字证书用户只需要插入USBKey数字证书,并输入该USBKey的PIN码,就可以通过身份管理与认证平台(IAM系统)单点登录到已经集成的其有权限访问的所有应用系统。在提高了访问方式的安全性的同时,也避免了用户记录多套应用系统用户名和密码。 注意:身份管理与认证平台目前只支持在windows操作系统上使用,推荐用户使用IE浏览器,目前暂不支持Firefox浏览器。 下面将向您详细介绍的USBKey数字证书初始化安装和IAM系统初始化配置方法。 一、用户工具安装 用户工具即中国石油USBKey的驱动程序,用户必须在安装好用户工具后方能正常使用USBKey。 您可以使用USBKey包装盒中的驱动光盘直接进行安装,也可以从中国石油集中身份管理与统一认证(IAM系统)服务平台的首页下载该驱动程序进行安装。(以下将以光盘安装的方式为大家演示)首先,将发给您的USBKey驱动光盘插入到个人电脑,双击:UserSetup.exe文件,如下图所示。 此时请点击“安装(N)>”按钮,程序将会正式开始安装。(注意:为保证安装过程不受干扰,请您在安装驱动时不要把USB Key连接在

电脑上) 安装过程结束后,程序会提示您点击“完成”按钮,如下图所示。 注意: 在安装完成后,如果您的个人计算机安装了360防火墙软件,会弹出以下窗口,请您选择保留图标,不处理选项即可,如下图所示。 二、安装IAM系统插件 在安装完成USBKey数字证书驱动后,会自动运行IAM系统插件的

统一用户管理系统

1.详细需求 1.1 业务需求 统一用户管理平台是一个高性能、易管控的用户和权限数据集成平台,能够统一管理企业中各个信息系统的组织信息和用户信息,能够实现单点登录,简化用户的登录过程,同时提供集中便捷的身份管理、资源管理、安全认证和审计管理,能够实现各个系统的独立的权限注册,配置不同的业务域,独立的业务组织体系模型,并且对于不同权限级别的用户和管理员都有不同的系统功能和数据访问范畴,以满足用户对信息系统使用的方便性和安全管理的要求,最终实现异构系统的有机整合。在系统集成的过程中,借助其强大的系统管控能力,在实施过程中进行权限人员数据的规范化、数据同步自动化、系统访问可控化、权限管理统一化和监控审计可视化。 1.2 系统功能需求 1.2.1 统一用户管理 建立一套集中的用户信息库,利用同步接口提供的功能,把所有的系统用户进行统一存放,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。形成一套全局用户库,统一管理,作为企业内所有IT应用的用户源。在人员离职、岗位变动时,只需在管理中心一处更改,即可限制其访问权限,消除对后台系统非法访问的威胁。方便了用户管理,也防止过期的用户身份信息未及时删除带来的安全风险。系统支持分级授权。 1.2.2 用户身份认证 遵循W3C的业界标准,在单点登录系统的基础上,实现基于域管理的身份认证服务构件,自主开发的系统能够使用该服务进行认证,同时提供多种认证方式,能实现双因素认证。采用LDAP(轻量目录访问协议,一个开放的目录服务标准)来建构统一用户信息数据库。LDAP已成为未来身份认证和身份管理的标准,具有很好的互操作性和兼容性,基于LDAP可以搭建一个统一身份认证和管理框架,并提供开发接口给各应用系统,为应用系统的后续开发提供了统一身份认证平台和标准。实现多种身份认证方式,支持LDAP、JDBC、WebService、Radius、Openid等多种身份认证方式。

统一身份认证平台讲解-共38页知识分享

统一身份认证平台讲解-共38页

统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。

提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:

统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计

基础支撑层 统一身份认证(SSO) 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。 1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。 4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示:

单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。

用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求 块

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。

统一身份认证权限管理系统

` 统一身份认证权限管理系统 使用说明

目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (15) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (26) 4.3 微型的业务系统 (27) 4.4 外部组织机构 (28) 第5章角色(用户组)管理 (29) 第6章职员(员工)管理 (32) 6.1 职员(员工)管理 (32) 6.2 职员(员工)的排序顺序 (32) 6.3 职员(员工)与用户(账户)的关系 (33) 6.4 职员(员工)导出数据 (34) 6.5 职员(员工)离职处理 (35) 第7章部通讯录 (37) 7.1 我的联系方式 (37) 7.2 部通讯录 (38) 第8章即时通讯 (39) 8.1 发送消息 (39) 8.2 即时通讯 (41) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (4) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)

统一身份认证系统建设方案

统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统

身份认证与权限管理

网站安全性 ―身份认证与权限管理1 简介 (3) 2准备环境 (3) 2.1准备数据库 (3) 2.2修改提供程序 (3) 2.3测试 (4) 3成员资格管理类 (4) 3.1M EMBERSHIP 类 (4) 3.1.1方法 (6) 3.1.2属性 (7) 3.1.3事件 (8) 3.2M EMBERSHIP U SER 类 (9) 3.2.1构造函数 (9) 3.2.2方法 (9) 3.2.3属性 (10) 3.3R OLES类 (11) 3.3.1方法 (11) 3.3.2属性 (12) 3.4F ORMS A UTHENTICATION 类 (14) 3.4.1构造函数 (15) 3.4.2方法 (15) 3.4.3属性 (16) 4操作实例 (17) 4.1搭建环境 (18) 4.2配置工具 (18) 4.3代码编程 (18) 4.3.1创建用户 (18) 4.3.2删除用户 (18)

4.3.3创建角色 (18) 4.3.4删除角色 (18) 4.3.5将用户添加至角色 (18) 4.3.6将用户从角色移除 (18) 4.3.7为角色添加用户 (18) 4.3.8判断用户是否属于角色 (18) 4.3.9验证用户登录是否 (18) 4.3.10修改用户密码 (18) 4.4为用户和角色设置访问权限 (18) 4.4.1配置站点地图提供程序 (18) 4.4.2配置工具设置 (18) 4.4.3配置文件设置 (18) 4.5测试 (18)

1简介 采用.NET自带身份验证与权限管理机制实现网站的身份验证与权限管理,保证网站安全性。 采用成员和角色的概念来实现权限管理,结合站点地图,可实现对不同权限的用户显示不同的菜单,允许操作不同的功能。 2准备环境 2.1准备数据库 1)新建自定义数据库,如db_Net.mdf 2)运行aspnet_regsql工具,位于C:\Windows\https://www.sodocs.net/doc/bd3748360.html,\Framework\v2.0.50727目录,将AspNetSqlProvider的数据库修改为用户自定义数据库db_Net.mdf 2.2修改提供程序 1)在配置文件web.config中定义数据库连接字符串: 2)添加Membership定义

身份认证管理系统IDM设计

身份认证管理系统(IDM)设计 身份认证管理系统(IdentityManager,简称 IDM)将分散、重复的用户数字身份进行整合,提供标准身份信息读取和查询方式, 统一化管理数字身份的生命周期,统一企业内部身份安全策略管理和权限管理, 为应用系统与此基础平台提供标准的接口, 实现统一、安全、灵活、稳定和可扩展的企业级用户身份认证管理系统。 1 系统运行平台 1.1 体系架构 系统平台的搭建采用分层的架构模式,将系统在横向维度上切分成几个部分,每个部分负责相对比较单一的职责,然后通过上层对下层的依赖和调用组成一个完整的系统。通过统一用户身份认证管理系统平台的定义,为其他子系统提供统一的用户管理、机构管理、身份认证、权限管理、用户工作平台等功能,其他子系统将没有私有的用户群、权限管理等。系统提供的功能包括:用户管理、组织机构管理、单点登录、权限管理(用户权限、数据权限)、对外接口、数据备份、用户工作平台等。 2 系统建设目标 通过本系统的建设,主要达到以下的目标:系统提供统一的用户管理、组织机构管理、身份认证、权限管理及用户工作台功能;统一的用户系统进行统一帐号创建、修改和删除,这使快速推出新的业务成为可能。公司将拥有一个提供用户全面集中管理的管理层,而不为每

个新的应用程序或服务建立分布的用户管理层。 公司各应用的用户通过一个全局唯一的用户标识及存储于服务器中的静态口令或其他方式,到认证服务器进行验证,如验证通过即可登录到公司信息门户中访问集成的各种应用;可以在系统中维护用户信息;能够根据其在公司的组织机构中的身份定制角色,根据角色分配不同的权限。 3 系统主要模块 本系统主要包含以下 5 大功能模块。① 系统设置模块:提供用户管理和组织架构管理功能。② 安全域模块:提供安全域管理和安全策略管理功能。③系统管理模块:提供资源类型定义、模块定义、角色管理、角色约束定义、用户权限管理、单次授权等功能。④ 系统工具:提供异常用户查询、导入导出工具、用户工作台、用户个人信息修改、用户注册审批、职能委托等功能。⑤ 系统日志模块:提供历史日志删除、当前登录用户、历史登录情况、用户操作日志等功能。 3.1 系统设置模块 ① 用户管理:主要用来记录用户相关信息,如:用户名、密码等,权限等是被分离出去的。提供用户的基本信息的生命周期管理,包括创建、修改、删除、冻结、激活等功能。系统增加或者删除一个用户则相应地增加或者删除一个用户的账户,每新增一个人员账户,赋予该账户一个初始化密码。要求存储用户数据时不仅支持 Oracle 数据库存储,同时支持 LDAP存储。以应对不同子系统的不同用户认证方式。

操作系统登录身份认证

操作系统登录身份认证 信息安全问题是信息化系统建设必须考量的问题之一。从网络到应用,各种各样的安全保障机制随着安全的需要不断的更新着。各种应用系统的正常运行都离不开其所依赖的操作系统,操作系统的安全隐患可能会导致应用系统安全的失效。操作系统的安全涉及身份认证、边界防护、补丁更新、关闭没有使用的服务、数据加密、备份、不间断电源支持以及入侵检测等很多方面。其中,身份认证是取得系统管理权限的手段,一般使用比较普通的“用户名+口令”的方式登录,这种基于静态口令的登录认证存在很多的隐患,《2004年度全球密码调查报告》结果显示:为了防止遗忘,50%的员工仍将他们的密码记录下来;超过三分之一的被调查者与别人共享密码;超过80%的员工有三个或更多密码;67%的被调查者用一个密码访问五个或五个以上的程序或系统,另有31%访问九个或更多程序或系统。 从安全角度考虑,我们很容易理解和接受密码,不过,随着密码应用范围的增多,密码被忘记、丢失、偷听、窃取的几率也在增加。随着信息数据的增多和重要性加强,需要更好的技术来保证密码的安全。身份认证目前有很多种手段:一种是使用“用户名+口令”的静态口令方式,这是最原始、最不安全的身份确认方式,非常容易泄漏或被伪造;第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等),该技术以人体唯一的生物特征为依据,具有很好的安全性和有效性,但实现的技术复杂,实施成本昂贵;第三种是与PKI技术相结合的USB KEY,安全性较高,同样实现的技术复杂,实施成本昂贵;这里,我们采用基于电子令牌的身份认证体系来实现操作系统的身份认证。 令牌是产生动态口令的电子设备,动态口令具有一次性、动态性、随机性、不可复制、抗窃听、抗穷举等特点,安全性较高且实施成本较低。 PAM是 PLUGGABLE AUTHENTICATION MODULES 的缩写,可插入的认证模块,用于实现系统的认证机制,在Linux/UNIX它已经被广泛的应用了。它最大的优点是它的弹性和可扩充性. 你可以随意修改认证机制, 按你的实际需要来定制系统。 PAM的功能被分为四个部分: (1)authentication(认证) 提示口令输入并检查输入的口令,设置保密字如用户组或KERBEROS通行证。 (2)account(账号管理) 负责检查并确认是否可以进行认证(比如,帐户是否到期,用户此时此刻是否可以登入,等等)。 (3)session(对话管理) 用来做使用户使用其帐户前的初始化工作,如安装用户的HOME目录啦,使能用户的电子邮箱啦,等等。 (4)password(密码管理) 用来设置口令。 目录/etc/pam.d被用来配置所有的PAM应用程序,其中有关于认证模块的定义,采用令牌动态口令认证后,认证模块由令牌认证系统(或认证模块)给出:

相关主题