双因素身份认证平台技术白皮书
统一身份认证权限管理系统
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
统一身份认证-CAS配置实现
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
统一身份认证平台讲解
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
统一身份认证平台功能描述
统一身份认证平台功 能描述 Revised on November 25, 2020
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题: ?用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。 ?各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工作重复,增加学校管理工作成本。 ?新开发的系统不可避免的需要用户和权限管理,每一个新开发的系统都需要针对用户和权限进行新开发,既增加了学校开发投入成本,又增加 了日常维护工作量 ?针对学生、教职工应用的各种系统,不能有效的统一管理用户信息,导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账 号,为学校日后的工作带来隐患。 ?缺乏统一的审计管理,出现问题,难以及时发现问题原因。 ?缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。 1.2应用范围
2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。
信息系统用户身份认证与权限管理办法
乌拉特中旗人民医院 信息系统用户身份认证与权限管理办法 建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问,所有未被授权的人无法访问到这些数据。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。权限控制是信息系统设计中的重要环节,是系统安全运行的有力保证。身份认证与权限控制两者之间在实际应用中既有联系,又有具体的区别。为规范我院身份认证和权限控制特制定本措施: 一、身份认证 1、授权:医生、护理人员、其他信息系统人员账号的新增、变更、停止,需由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明权限范围后,交由信息科工作人员进行账户新建与授权操作。信息科将《信息系统授权表》归档、保存。 2、身份认证:我院身份认证采用用户名、密码形式。用户设置密码要求大小写字母混写并不定期更换密码,防止密码丢失于盗用。 二、权限控制 1、信息系统权限控制:医生、护理人员、其他人员信息系统权限,由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明使用权限及其范围之后,交由信息科进行权限审核,审核通过后方可进行授权操作。 2、数据库权限控制:数据库操作为数据权限及信息安全的重中之重,
因此数据库的使用要严格控制在十分小的范围之内,信息科要严格保密数据库密码,并控制数据库权限,不允许对数据库任何数据进行添加、修改、删除操作。信息科职员查询数据库操作时需经信息科主任同意后,方可进行查询操作。 三、医疗数据安全 1、病人数据使用控制。在进行了身份认证与权限管理之后,我院可接触到病人信息、数据的范围被严格控制到了医生和护士,通过权限管理医生和护士只可对病人数据进行相应的计费等操作,保障了患者信息及数据的安全。 2、病人隐私保护。为病人保守医疗秘密,实行保护性医疗,不泄露病人的隐私。医务人员既是病人隐私权的义务实施者,同时也是病人隐私的保护者。严格执行《执业医师法》第22条规定:医师在执业活动中要关心、爱护、尊重患者,保护患者隐私;《护士管理办法》第24条规定:护士在执业中得悉就医者的隐私,不得泄露。 3、各信息系统使用人员要注意保密自己的用户口令及密码,不得泄露个他人。长时间离开计算机应及时关闭信息系统软件,防止泄密。 乌拉特中旗人民医院信息科
统一身份认证平台功能描述
统一身份认证平台功能 描述 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
数字校园系列软件产品统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
身份认证技术
新技术讲座——身份认证技术 学号:姓名: 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 密码学 密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学。总称密码学。 密码学是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。著名的密码学者Ron Rivest解释道:“密码学是关于如何在敌人存在的环境中通讯”,自工程学的角度,这相当于密码学与纯数学的异同。密码学是信息安全等相关议题,如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义,并不是隐藏信息的存在。密码学也促进了计算机科学,特别是在于电脑与网络安全所使用的技术,如访问控制与信息的机密性。密码学已被应用在日常生活:包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。 身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种: (1) 根据你所知道的信息来证明你的身份; (2) 根据你所拥有的东西来证明你的身份; (3) 直接根据独一无二的身体特征来证明你的身份,如指纹面貌等。 在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制无论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。 智能卡(IC卡) 一种内臵集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
统一身份认证平台讲解-共38页知识分享
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
信息安全-身份认证技术与应用
信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
身份认证与访问控制技术
第5章身份认证与访问控制技术 教学目标 ●理解身份认证的概念及常用认证方式方法 ●了解数字签名的概念、功能、原理和过程 ●掌握访问控制的概念、原理、类型、机制和策略 ●理解安全审计的概念、类型、跟踪与实施 ●了解访问列表与Telnet访问控制实验 5.1 身份认证技术概述 5.1.1 身份认证的概念 身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。 1. 身份认证的概念 认证(Authentication)是指对主客体身份进行确认的过程。 身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。 2. 认证技术的类型 认证技术是用户身份认证与鉴别的重要手段,也是计算机系统安全中的一项重要内容。从鉴别对象上,分为消息认证和用户身份认证两种。 (1)消息认证:用于保证信息的完整性和不可否认性。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。 从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证, 5.1.2 常用的身份认证方式 1. 静态密码方式 静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。 2. 动态口令认证 动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态
短信密码和动态口令牌(卡)两种方式,口令一次一密。图5-1动态口令牌 3. USB Key认证 采用软硬件相结合、一次一密的强双因素(两种认证方法) 认证模式。其身份认证系统主要有两种认证模式:基于冲击/响应 模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2 所示。图5-2 网银USB Key 4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证 国际认证机构通称为CA,是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程,即CA认证过程,如表5-1所示。 表5-1 证书的类型与作用 注:数字证书标准有:X.509证书、简单PKI证书、PGP证书和属性证书。 CA主要职能是管理和维护所签发的证书,并提供各种证书服务,包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。 CA的主要职能体现在3个方面: (1)管理和维护客户的证书和证书作废表 (CRL)。 (2)维护整个认证过程的安全。 (3)提供安全审计的依据。 5.1.3 身份认证系统概述 1. 身份认证系统的构成
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
网上银行多因子认证及统一身份管理防欺诈平台
目录 01网银安全,您需要关注的几个问题 (3) 1.1国内网银安全事故主要原因分析 (4) 1.2身份欺诈和盗取案件数急剧增大 (4) 1.3管理培训疏漏:缺乏客户培训、身份管理混乱 (5) 1.4越来越多的银行采用弹性多种认证 (5) 02常用身份认证方法比较 (6) 2.1不同认证方式性能对比 (6) 2.2不同认证方式成本对比 (6) 03中小银行网银身份安全管理需求建议 (7) 3.1设计原则 (7) 3.2实现系统在同一平台同时支持多种用户认证方式 (7) 3.3中心反欺诈功能 (8) 3.4网站防钓鱼和双向认证 (9) 3.5重要安全认证凭证管理 (9) 3.6业务规则控制 (9) 04解决方案概述 (10) 4.1 我们在网银安全 (10) 4.2 产品系列 (10) 4.3 Entrust解决方案组成了集成的、可扩展的网银整体解决方案 (11) 4.4 利用IDG为银行内外网及自助银行建立统一身份认证安全管理平台 (12) 4.5 利用Entrust IDG 一个平台实现多种认证方式 (12) 05解决方案优势 (13) 06 IDG认证方式 (14) 6.1动态令牌认证 (14) 6.2一次性密码(短信.EMAIL) (14) 6.3数格卡认证 (14) 6.4机器指纹认证 (15) 6.5知识认证 (15) 07 IDG技术体系简介 (16) 08 IDG部署 (17) 09 IDG在网银应用与集成 (18) 9.1建立双通道的认证 (18) 9.2提供基于风险评估的多次和弹性认证方案 (18) 9.3提供用户容易接受的多种认证方式 (19) 9.4提供双向认证方式 (19) 9.5提供IP防欺诈解决方案及引入安全业务产品 (20) 9.6应用接口 (20) 10 IDG网银典型案例 (21) 11 关于我们 (21) 11.1 Entrust (21) 11.2 琮谷科技 (21) https://www.sodocs.net/doc/4013168186.html, 400-820-8803 2
统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计
基础支撑层 统一身份认证(SSO) 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。 1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。 4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示:
单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求 块
统一身份认证系统
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
指纹证书双因子认证域登录解决方案教程文件
“指纹+数字证书”双因子认证系统 安全解决方案 中天一维科技有限公司 Ewaytek Co.,Ltd
“指纹+数字证书”双因子认证系统安全解决方案 卷与分册方案 资料版本2006V1.0 出版状态标准 BOM编码M 版权声明 中天一维科技有限公司2006 版权所有?,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部, 并不得以任何形式传播。 Copyright? 2005 by Ewaytek Co., Ltd.All Rights Reserved. No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Shanghai Ewaytek Co., Ltd
目录 1 术语 (5) 1.1 指纹KEY (5) 1.2 双因子认证 (5) 1.3 企业内部网络 (5) 1.4 PKI (5) 1.5 CA证书颁发机构 (5) 1.6 数字证书 (6) 1.7 注册机构RA (6) 1.8 PC/SC (6) 1.9 CSP (6) 1.10 SDK二次开发工具 (6) 2 方案简介 (7) 3 方案特点及优势 (8) 3.1 不可抵赖性 (8) 3.2 安全性 (8) 3.3 可靠性 (9) 3.3.1 安全可靠的指纹KEY硬件结构 (9) 3.3.2 稳健的系统体系结构 (9) 3.3.3 自动系统故障恢复 (9) 3.3.4 完善的诊断工具 (10) 3.4 易用性 (10) 3.4.1 简单的指纹身份验证操作 (11) 3.4.2 用户状态迁移工具 (11) 3.4.3 紧急管理服务 (11) 3.4.4 存储区域网络和网络访问服务器支持 (11) 3.4.5 网络负载平衡增强功能 (11) 3.5 可扩展性 (12) 4 双因子认证的域登录解决方案 (13) 4.1 系统结构设计 (13) 4.2 系统设置及应用 (13) 4.2.1 配置域控制器 (14) 4.2.2 配置IIS 服务器 (15) 4.2.3 配置CA 服务器 (16) 4.2.4 申请注册代理证书 (20) 4.2.5 安装指纹KEY驱动程序及硬件 (23) 4.2.6 初始化指纹KEY (24) 4.2.7 申请智能卡证书 (24) 4.2.8 使用指纹KEY进行域登录 (27) 4.2.9 域安全策略设置 (28) 5 核心产品技术简介 (30)
统一身份认证权限管理系统
` 统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (15) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (26) 4.3 微型的业务系统 (27) 4.4 外部组织机构 (28) 第5章角色(用户组)管理 (29) 第6章职员(员工)管理 (32) 6.1 职员(员工)管理 (32) 6.2 职员(员工)的排序顺序 (32) 6.3 职员(员工)与用户(账户)的关系 (33) 6.4 职员(员工)导出数据 (34) 6.5 职员(员工)离职处理 (35) 第7章部通讯录 (37) 7.1 我的联系方式 (37) 7.2 部通讯录 (38) 第8章即时通讯 (39) 8.1 发送消息 (39) 8.2 即时通讯 (41) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (4) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
统一身份认证平台
统一身份认证平台 一、主要功能 1.统一身份识别; 2.要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接; 3.支持移动终端应用(兼容IOS系统、安卓系统;手机端、PAD端;) 4.教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 5.学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 二、系统说明 2.1单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应 用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 2.2即插即用:通过简单的配置,无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式, 可单独使用也可组合使用。 2.4基于角色访问控制:根据用户的角色和URL实现访问控制功能。基于Web界面管 理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。 说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。 3.2具体包含以下主要功能模块: ①身份认证中心 ②存储用户目录:完成对用户身份、角色等信息的统一管理; ③授权和访问管理系统:用户的授权、角色分配;访问策略的定制和管理;用户授权信息 的自动同步;用户访问的实时监控、安全审计; ④身份认证服务:身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务完成对用户身份的认证和角色的转换; ⑤访问控制服务:应用系统插件从应用系统获取单点登录所需的用户信息;用户单点登 录过程中,生成访问业务系统的请求,对敏感信息加密签名; ⑥CA中心及数字证书网上受理系统:用户身份认证和单点登录过程中所需证书的签发; 四、技术要求 4.1技术原理 基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。 其原理如下: 1)每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保
身份认证与权限管理
网站安全性 ―身份认证与权限管理1 简介 (3) 2准备环境 (3) 2.1准备数据库 (3) 2.2修改提供程序 (3) 2.3测试 (4) 3成员资格管理类 (4) 3.1M EMBERSHIP 类 (4) 3.1.1方法 (6) 3.1.2属性 (7) 3.1.3事件 (8) 3.2M EMBERSHIP U SER 类 (9) 3.2.1构造函数 (9) 3.2.2方法 (9) 3.2.3属性 (10) 3.3R OLES类 (11) 3.3.1方法 (11) 3.3.2属性 (12) 3.4F ORMS A UTHENTICATION 类 (14) 3.4.1构造函数 (15) 3.4.2方法 (15) 3.4.3属性 (16) 4操作实例 (17) 4.1搭建环境 (18) 4.2配置工具 (18) 4.3代码编程 (18) 4.3.1创建用户 (18) 4.3.2删除用户 (18)
4.3.3创建角色 (18) 4.3.4删除角色 (18) 4.3.5将用户添加至角色 (18) 4.3.6将用户从角色移除 (18) 4.3.7为角色添加用户 (18) 4.3.8判断用户是否属于角色 (18) 4.3.9验证用户登录是否 (18) 4.3.10修改用户密码 (18) 4.4为用户和角色设置访问权限 (18) 4.4.1配置站点地图提供程序 (18) 4.4.2配置工具设置 (18) 4.4.3配置文件设置 (18) 4.5测试 (18)
1简介 采用.NET自带身份验证与权限管理机制实现网站的身份验证与权限管理,保证网站安全性。 采用成员和角色的概念来实现权限管理,结合站点地图,可实现对不同权限的用户显示不同的菜单,允许操作不同的功能。 2准备环境 2.1准备数据库 1)新建自定义数据库,如db_Net.mdf 2)运行aspnet_regsql工具,位于C:\Windows\https://www.sodocs.net/doc/4013168186.html,\Framework\v2.0.50727目录,将AspNetSqlProvider的数据库修改为用户自定义数据库db_Net.mdf 2.2修改提供程序 1)在配置文件web.config中定义数据库连接字符串: 数字校园系列软件产品 统一身份认证平台 功能白皮书 目录 1 产品概述............................................................................................................................... - 1 - 1.1 产品简介................................................................................................................... - 1 - 1.2 应用范围................................................................................................................... - 1 - 2 产品功能结构....................................................................................................................... - 2 - 3 产品功能............................................................................................................................... - 2 - 3.1 认证服务................................................................................................................... - 2 - 3.1.1 用户集中管理............................................................................................... - 2 - 3.1.2 认证服务....................................................................................................... - 3 - 3.2 授权服务................................................................................................................... - 3 - 3.2.1 基于角色的权限控制................................................................................... - 3 - 3.2.2 授权服务....................................................................................................... - 4 - 3.3 授权、认证接口....................................................................................................... - 4 - 3.4 审计服务................................................................................................................... - 4 - 3.5 信息发布服务........................................................................................................... - 5 - 3.6 集成服务................................................................................................................... - 5 - 3.6.1 应用系统管理............................................................................................... - 5 - 3.6.2 应用系统功能管理....................................................................................... - 6 - 3.6.3 应用系统操作管理....................................................................................... - 6 -(3)统一身份认证平台功能描述