身份认证系统技术方案
目录
1. 概述
前言
随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。
利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。
本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。
身份认证系统用户认证需求描述
在*****业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对***系统发展的促进作用,将综合开发一套身份认证系统对目前的用户身份进行管理,为社会、相关职能部门以及各级机构提供服务。
在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。
整个系统的逻辑结构如图1所示:
图1:系统逻辑结构示意图
如图1示,整个系统涉及了应用服务器、证书服务器以及相应的客户端。
系统运作流程简述如下:
客户端访问应用服务器,应用服务器向认证服务器发出认证请求;
认证服务器完成对用户身份的认证并将与该用户相对应的认证信息
返回相应的应用服务器;
用户在通过认证之后获得在应用服务器获得相应的授权,从而可以
对应用系统进行相应的访问。
所提交的认证系统在满足上述流程之外需要提供应用开发接口,满足与应用服务器之间的交互。这是将认证系统集成到整个身份认证系统的基础条件,使得后续的开发工作能够利用认证信息做进一步的数据处理。考虑到平台的兼容性,应用系统开发方可以开发一个统一的接口程序与认证系统进行交互。另外还有如下几点要求需注意:
认证服务器的用户信息需要依据数据库服务器中的用户信息为基
础;
对于客户端的身份认证最好采用硬件方式;
客户端通过广域网连接到认证服务器,要求认证服务器是能够面向
广域网用户的;
客户端数量可以按250用户计算;
提供认证系统的安全模式说明,详细介绍如何确保系统的安全;
系统对认证系统的操作系统平台无特殊要求。
身份认证系统认证解决之道
根据身份认证系统的设计原则,系统安全需要解决如下几个方面的问题:数据的保密性。包括数据静态存储的保密性和数据传输过程中的保
密性;
有效的身份认证和权限控制。系统中的各个授权人员具有其特定级
别的权限,可以进行该权限的操作,无法越权操作;操作者事后无
法否认其进行的操作;未授权人员无法进入系统。
我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身
份认证系统的安全,上海CA中心的数字身份认证系统可以为用户提供解决办法。身份认证系统主要负责证书管理,保证系统安全不间断地提供证书的申请和作废,提供用户信息和证书的备份和归档,保证系统数据的完整性。
如何解决身份认证系统的安全性是我们关心的最大问题,结合身份认证系统,我们设计如下的应用模式:
身份认证系统的模式
首先我们来看一下身份认证系统的模式:
中心向操作员发放数字证书;
用户使用数字证书登陆,经身份验证后,进入身份认证系统,填写
或修改表单并提交;
系统对表单进行处理,然后提交、登记身份认证系统。
建立身份认证系统
身份认证系统以及与其发生业务的部门通过网络和数字证书建立安全可靠的身份认证系统。
身份认证系统以及客户和部门申请数字证书,其申请数字证书的方式详见以下章节的多种可选方案。
身份认证系统以及客户和部门申请到了标识其身份的数字证书文件和对应的私钥文件。在此将证书信息文件称为,私钥信息文件称为。证书的存储介质是带有算法的USBKEY。
在我们的身份认证系统提供支持多种平台的证书应用接口API (Application Programming Interface),WINDOWS平台以DLL的形式提供,各种UNIX平台以“.a”库的形式提供。利用该API,应用系统可以很方便的将数字证书应用嵌入到业务系统之中。
上海CA中心同时在客户端提供ActiveX控件和JavaApplet开发接口应用服务器端同时提供动态连接库,COM组件和JavaBean开发接口。
证书在身份认证系统上的安全应用
以下假设向身份认证系统发订单,利用数字证书的一次数据流程。身份认
应用系统平台UserCert.der
应用系统平台UserKey.key
操作员UserCert.der
证系统的服务器和操作员计算机各自申请一张标识其身份的数字证书,即具有其对应的证书文件,私钥文件。这样,通过自己计算机上的IE浏览器可以安全的访问身份认证系统。
根据以上数据传输过程,可以完全保证数据传输的保密性、完整性、身份认证和不可抵赖性。同理诸多运行在身份认证系统上的信息流都可以通过加密技术、数字签名技术以身份认证形式、安全电子邮件形式或文档形式进行安全。
2. 详细设计方案
身份认证系统
身份认证系统是在实际运作过程中,根据用户需求开发的一套内网数字身份认证解决方案套件。该系统可以作为公务网身份认证系统的配套产品适用于接入公务网的各委、办、局、区县的内网应用系统中。该系统将主要针对内网的应用系统,同时结合公务网身份认证系统的特点和需求,向办公内网提供本地证书库、本地证书管理、本地证书目录、本地证书管理、CRL查询等服务。
该套系统的API提供了与身份认证系统配合使用的WEB安全套件,为WEB 应用提供全方位的身份认证服务。包括UniTrust登录、UniTrust退出、对表单进行签名、对表单进行验证、对数据进行加密、解密、对信息进行时间标记和时间验证、以及身份信息控制。可以满足5 分钟内500个并发用户的验证要求。
产品设计原则
认证系统的设计原则
身份认证系统在设计时,从系统建设的近期和长远目标来综合考虑在设计中遵循了规范性、安全可靠性、实用性、扩展性、经济性、易用性和业务独立性等原则。并在以上原则中着重考虑了:
安全性
安全性是认证系统最为关注的问题,也是认证系统设计及建设中的关键,它包括Browser与Server间信息传递的安全控制,访问系统的安全控制,系统数据的可追溯性。认证系统有完整的安全策略控制体系以实现安全控制。其关键技术包括网页签名技术,身份认证及信息加密技术,可保证系统间信息传递的安全,访问系统的安全控制。
规范性
标准和规范是认证系统设计中的重要内容,这里所说的规范性,是指认证
系统设计及建立过程的规范性。目前有关认证系统的实际应用有着多种相关的规范,如,PKCS10,PKCS7,PKCS12等。不同的用户及系统在使用认证系统及证书时往往都按照相关的规范调用。同时良好的规范也保证了身份认证系统协调工作时的方便性和准确性。
可扩展性
认证系统方案设计中,每个层次的设计采用模块化设计,可根据用户的不同需要发展进行灵活扩展。如,在数字证书中加入自定义扩展项,从而使政府用户可在证书中加入相应的工作证号等信息。
特别是证书系统采用了B/S中的多层设计思想,使得系统可实现对于不同用户的定制服务,可以方便地实行对应用的控制与更新。
易管理性
系统的易管理性是证书认证系统的一个重要特点,系统对应提供多套管理系统,可对系统各个层次进行管理。并可对一些经常性的统计工作提供基于Web 的管理。
网络环境设计原则
我们在作产品系统实施方案时充分考虑了网络的高性能、可靠性,可扩充性,以便支持以后网络分阶段升级的需要,保护原有投资。为此,遵循了以下原则:先进性和实用性
尽可能采用国际上先进的技术和设备,使产品系统具有良好的性能,不仅能满足当前认证系统的需要,还要满足未来3至5年的需要。对一些目前不重要的部分,则以经济实用为主,但要为以后的扩充打下基础。
高可靠性
采用成熟的先进技术,关键部件和线路有足够备份,有必要的冗余容错能力,如出了故障,要能及时指出故障点及故障原因。
较强的扩充性能
产品提供了很多于应用相连结的标准函数借口,能与将来的先进技术相结合,保护现有投资,保证系统能随时加入新的功能模块,保证有关软件能顺利升级和扩充。
良好的安全保密措施
由于此产品是一套独立的身份认证系统,为了确保系统的安全保密措施和系统的大范围适用性,我们提供了软硬件一体机,通过访问控制、及为用户设置权限等措施,防止非法侵入。
功能模块架构
身份认证系统特性
身份认证系统支持平台
身份认证系统充分发挥硬件的特性,便于管理和维护。减少人为干预。
兼容的应用软件和操作系统
身份认证系统可与以下软件协同工作
客户端应用程序:
Netscape Navigator
Netscape Communication
Microsoft Internet Exploer
UniTrust SafeEngine, UniTrust 证书管理器
各种WEB服务器:
MicroSoft IIS WebServer
Netscape Enterprise
Apache
Java WebServer
Domino
统一的管理界面
身份认证系统的操作管理都基于WEB页面,有效降低维护的成本。
支持各种介质
身份认证系统支持用户证书存放在软盘、IC卡、USB棒以及服务器。
严格的权限控制
身份认证系统分为系统管理员、系统操作员、系统用户和匿名用户四个级别用户。系统管理员对系统的运行负责,但不能接触任何用户数据,同时必须超过半数的系统管理员到场时才能进入系统管理模式。操作员仅能对用户进行操作,不能影响系统的运行。用户仅能对自己的数据进行操作,不能修改他人数据。匿名用户提供公用的服务,如下载他人证书、根证书、下载黑名单等。所有的认证方式均采用数字认证方式进行,确保系统安全。
私钥保护
身份认证系统对私钥进行严格的保护,对所有存放在身份认证系统上的私钥,采用多重加密方式,同时身份认证系统采用硬件机,无人可以直接获得身份认证系统上的数据。
日志
身份认证系统提供详尽的日志功能。包括系统日志和用户日志。系统日志主要提供所有系统管理员、系统操作员、用户对系统信息、或证书信息的操作。系统管理员可以通过日志查询获得系统的状态。
历史信息查询
身份认证系统提供国内首创(专利号)的技术,用户历史信息查询。历史信
息包括用户的证书申请历史和证书使用信息。证书申请信息包括用户申请证书的记录申请时间、批准或驳回、更新时间、作废时间、上一张证书、下一张证书等。用户证书使用信息查询包括证书被验证记录,提供验证者信息和时间。供用户本人查证自己证书使用纪录,是否有他人试图使用自己的证书。下一版本中,将提供用户告警机制,用户可以设定自己的检查条件,系统核查满足条件后,就发送告警信息给用户。以尽快解决安全隐患。
政策编辑
身份认证系统提供自行编辑证书政策的功能,可以让运行商自行修改证书策略。
数据备份
身份认证系统提供根证书的导入导出功能,也支持所有的数据备份和恢复功能。为数据安全提供保障。
产品升级
对不断提高的技术和新的需求,身份认证系统努力提升产品性能和功能。身份认证系统只需要系统管理员将系统进入维护模式,运行与该系统配套提供的软件升级包,就可以对产品进行升级。
身份认证系统功能简介
系统初始化
执行系统初始化功能,包括删除所有数据,缺省系统管理员、系统操作员的生成。根证书的生成或指定。系统IP地址更改。
系统管理
执行系统管理功能,包括系统管理员管理、操作员管理、根证书管理、系统服务管理、系统日志管理、License管理、系统密钥管理。
用户信息管理
主要执行用户信息管理的工作,包括用户信息的增加、修改、删除。
证书申请信息管理
主要执行证书申请信息的管理工作,包括证书申请信息的添加、修改和删除。
证书的管理
如作废、签发、暂停、恢复等等。以及统计报表的制作打印等等。
用户、证书自服务:用户证书自管理的工作,如用户信息的录入,修改,用户证书申请请求,用户证书的下载,用户证书的废除。以及查询、下载他人证书、CRL。下载根证书。
接收注册请求,签发公钥证书
支持离线或在线签发证书两种方式。前者密钥对由身份认证系统生成;后者密钥对在客户端由浏览器或其他PKI软件生成。
证书查询
用户可以输入一定的条目如Email或姓名等,通过模糊查询,获得用户证书列表,选择一张证书下载到浏览器中,或保存。
发布证书吊销名单(CRL)
定期发布最新证书吊销名单。CRL遵从格式。
提供在线证书状态查询(OCSP)
身份认证系统提供证书状态查询,有效提高可靠性。
提供日志管理
日志是每次操作的记录,其主要作用有二。一是用于事后故障清查的系统维护方面;其二是事故处理,为系统安全审计提供现场记录数据,是安全审计与追踪的基础。
身份认证系统访问控制
访问身份认证系统需要强身份验证,只有通过超过半数以上的系统管理员的PIN卡验证后,才允许系统管理员访问身份认证系统,执行安全操作。
用户证书介质制作
用户证书介质即用户身份标识介质,介质中存有用户证书、该证书的签发者证书、和被加密的该用户的私钥。用户证书介质可以是软盘,也可以是安全性更高的IC卡或USB棒。用户证书介质的选择,需视用户对安全性的要求而定。
身份认证系统安全性分析
我们提供的该套身份认证系统在安全设计过程中主要考虑四个主要措施:身份鉴别措施、数据的传递过程的机密性与完整性措施、权限分割与互相制约措施、
自主和可控性措施的四项措施。
本系统安全性保护的必要性
数字化信息社会虽然给人们的工作带来了方便,但是由于它是基于网络的信息传递也给人们的工作带来了很多不便之处,在工作中缺少了物理界面的出现,从而带来了信息安全保密问题的出现。通过长时期的了解和观察,我们发现我国信息安全保密还存在以下问题:
信息安全保密意识淡薄,缺少紧迫感和正确的认识。
信息网络防御能力脆弱,信息保密技术研究和技术防范手段滞后,
泄密隐患突出。
信息安全基础设施薄弱,缺少必要的物质条件,一些重要的信息系
统使用进口的安全设备,无法保证其安全性和有效监管。
信息安全保密管理力度不够,管理体系不够完善,内部管理漏洞隐
患大,网络缺少对用户认证与权限的管理,也缺少对信息内容的保
密级别的划分与设定。
总之,本系统安全性保护不仅是必要的,也是相当重要的。
安全性要求
随着各个单位内网办公应用系统需求的迫切提升,信息安全已成为焦点问题之一,尤其是CA认证越来越成为整个电子商务中的安全重要环节,所以数字身份认证系统本身的安全也越来越重要。概括起来,认证系统对安全的最基本要求如下:
身份鉴别(Authentication )
在操作员或管理员进行认证系统的操作钱要能确认对方的身份,并要求在操作过程中操作员或管理员的身份不能被假冒或伪装。
数据的机密(Confidentiality)
对敏感信息进行加密,及时别人截获数据也无法得到其内容。
数据的完整性(Integrity)
要求接受方能够验证受到的信息是否完整,是否被人篡改,保证操作过程中
的信息安全。
不可抵赖性(Non-Repudiation)
操作一旦完成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
安全性设计原则
在设计证书系统的安全时,我们主要遵守了以下原则:
网络信息系统安全与保密的“木桶原则”:对信息均衡、全面地进行
安全保护;
网络信息安全系统的“整体性原则”:安全防护、检测和应急恢复;
数字身份认证系统安全性的“有效性与实用性”原则:不能影响系
统的正常运行和合法用户的操作活动;
信息安全系统的“等级性”原则:安全层次和安全级别;
信息安全系统的“动态化”原则:整个系统内尽可能引入更多的可
变因素,并具有良好的扩展性;
安全与保密系统的设计应与网络设计相结合的原则;
自主和可控性原则;
权限分割、互相制约、最小化原则;
有的放矢、各取所需原则。
安全性设计方案
身份鉴别措施
身份鉴别措施是指在操作员或管理员进行登陆系统进行操作之前必须进行身份的鉴别。流程图如下:
每个管理员、操作员、证书用户在进入系统之前,都必须在系统的数据库中先录入各自的证书,这一过程也称开户。
在管理员或操作员进行登录前,服务器会生成一个随机字符串,并要求登录者对这个字符串进行签名,由于这个字符串是随机的,并含有时间信息,所以这种方法可防治重放攻击。
登录者将随机字符串签名后,会将签名发送到服务器端。服务器可从库中取出签名者的证书进行校验。如果检验通过,则证明登录者身份真实。
在操作过程中操作员或管理员无论进行合作操作,都要对通信信息进行签名,保证了其身份不能被假冒或伪装。同时加入签名也保证了操作一旦完成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
身份认证系统应用开发接口
身份认证系统接口函数
身份认证系统接口函数是为所有基于该套系统证书应用程序开发者提供编程接口。应用开发者不需要深入了解证书的结构、获取、验证等一切与证书相关的操作,只需要关心应用的开发即可。接口函数支持1024/128位强度的加密算法,证书验证、黑名单查询、数字信封,数字签名,验证签名,摘要,对称加解密,PEM编解码,从介质中读取证书,私钥,证书验证(包括CRL,OCSP验证),证书解码等。
接口函数包括2种类型:API和证书管理器。API有标准c版和java 版,支持包括Aix、hp、Solaris、Windows 在内的各种主流操作系统;证书管理器API 支持Windows系列。
API提供的功能主要包括签名、从证书提取证书细节等各项功能;证书管理器API不但包括了API的大部分功能,另外还提供了证书的管理功能,包括证书的添加、删除、导入导出等功能,这些功能可以方便客户端对证书的管理,结合API的强大功能,可以开发出一套功能强大的身份认证应用系统。
我们保证密切配合应用系统开发商对****身份认证信息系统的开发,以确保整个系统的完整和及时的开发完成。
为客户端同时提供ActiveX控件和JavaApplet开发接口。
应用服务器端同时提供动态连接库,COM组件和JavaBean开发接口。
API与身份认证系统结合开发应用系统
在****的系统中,需要加入身份认证和数字信封等功能,保护网络上数据的安全性、保密性、完整性、身份可识别以及各项操作的不可否认性等安全功能,在分析了****的具体需求只有,我们认为,结合我们现有的产品身份认证系统和接口函数,可以开发出一套适合需求的产品。
在开发过程中,我们建议按以下流程设计应用程序:
1、**通过身份认证系统为用户发放数字证书;
2、在用户第一次登录系统时,要求用户使用数字证书等陆,应用系统发出随机串要求客户端对随机串进行签名,并返回签过名的随机串,由应用系统验证用户身份;(建议客户端使用证书管理器 API开发,服务器端使用API)
3、确认用户身份后,可以根据***系统的授权,进行各项操作。
因为身份认证系统是软、硬件一体机,用户只要通过Web就可以轻松的发放证书,无需额外的管理和复杂的操作,并且结合接口函数功能,可以完成各项对于证书的操作以及证书的管理。同时身份认证系统的功能主要是管理证书和发放证书,在应用系统中,只与应用系统关联,对网络没有额外的要求,所以不会影响到外网的用户。
通过身份认证系统数据导出接口,可以把证书服务器和认证服务器中的用户数据与主应用系统的数据库服务器(Oracle 9i)中的系统用户数据保持实时的一致,确保整个系统用户管理功能的统一。
身份认证系统使用案例
身份认证系统已经成功应用在上海市信息办、上海市证券交易所、上海药品监督局、上海市统战部、上海市青浦区政府、上海市小企业管理办公室、浙江移动通信有限公司等政府部门和企业。
如下以身份认证系统在政务网系统中应用为例,说明信息加密和身份控制的应用。
政府上网工程中必须保证以下几个因素:
在线身份认证
身份认证在整个政务网中的重要性是不言而喻的。所有其他的控制都来自于身份认证的正确性。传统的密码口令不能足以保证身份的准确性。必须采用高强度的认证机制(CA认证机制)。同时也必须提供在线的认证机制,以避免证书在丢失后可能导致的风险。
权限控制
由于业务应用系统网中,大多为内部机密信息。对权限的控制非常重要,必须提供严格的控制,这种控制如果通过传统的数据库方式进行,可以做到,但会花费极大的成本,同时也增加了管理的难度。用数字证书可以方便的实
现全程通用的模块,而不用建立独立的数据库,单独进行管理。
不可抵赖和数据完整性
业务应用系统网由于其特性的限制,对每个信息的认证必须是强有力的,比如冒充领导发布命令,可能会导致很大的损失。必须对信息进行不可抵赖性验证。
数据加密
业务应用系统网流通的信息都是机密信息,必须进行数据加密,以免网络监听或其他非法获取信息。
为保证以上安全,可以采用身份认证系统和身份认证系统接口函数结合,打造安全的网络。
(如下图所示)
在案例中,我们对业务应用系统网采用一级的证书、多级管理模式,适合于内部人数少于500人的网络。
操作员可以通过网络进行管理,对所属的用户进行证书管理工作,如审核、签发、废除等。
每个用户可以通过专网或公网向证书服务器申请证书。
每个服务器上的应用采用SafeEngine进行开发,该套件可以提供数据签名、数据加密、身份认证等需要用到功能模块,应用开发者只需要调用模块可以进行方便的开发。在每个应用中,可以对用户进行身份验证、获取身份信息,可以已此进行权限控制、对指定的表单进行加密、签名等等所有的工作。
由此可以建立一套完整的安全政务环境。
3. 系统配置
设备配置
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
土地勘测定界技术方案 依据发布的招标文件,项目工作的进度、质量、安全生产等控制和指导,确定其用地范围、界址、面积、土地利用现状和权属状况,根据《中华人民共和国土地管理法》、《甘肃省土地管理法实施条例》、国家土地管理局颁发的《城镇地籍调查规程》(TD1001-93)、原建设部颁发的《城市测量规范》、2007年国土资源部印发的《建设用地勘测定界技术规程》、甘肃省国土资源厅印发的有关建设用地勘测定界文件资料等有关规定,特制定本方案。 一、工程状况 项目,项目施测面积约6508亩,施工工期为20天。该项目测区面积较大,施工工期较短。 二、编制依据 1,《中华人民共和国土地管理法》。 2, 《城镇地籍调查规程》(TD1001-93)。 3,《城市测量规范》。 4,《建设用地勘测定界技术规程》。 三、勘测定界工作情况: 1 工作底图的准备 1.1工作底图是用于进行勘测定界及编绘勘测定界图的基础图件。 1.2工作底图应是地籍图、地形图、标准分幅土地利用现状图。 1.3 工作底图的比例尺不小于1:2000大型工程工作底图比例尺不小于 1:10000。
1.4 工作底图的现状不能满足勘测定界工作要求时应对界址线附近和界址范围内的地形地物进行修测或补测。 2 权属界线的调绘 2.1查阅用地范围内的土地利用现状调查及土地登记的有关资料,并将用地范围内的权属界线、行政界线转绘到工作底图上。 2.2 其它土地权属界线的确认需要在当地国土资源行政主管部门的组织下,由相关权属单位有关人员按《土地利用现状调查技术规程》、《城镇地籍调查规程》、《确定土地所有权和使用权的若干规定》要求共同到现场指界,并将权属界线测绘到工作底图上。 3.1 土地利用类型及土地利用类型界线的调绘依据全国统一的土地分类,利用地籍图、土地利用现状图或地形图上的有关土地利用类型界线,通过现场调查及实地判读,将用地范围内及其附近的各土地利用类型界线测绘或转绘在工作底图上,并标注三级土地利用类型编号。同时对土地利用现状调查的土地利用类型进行核实,与实地不一致的,按变更地籍调查的有关规定处理。 3.2平面控制测量 3.2.1 勘测定界平面控制坐标系统应采用国家统一坐标系统。 3.2.2 勘测定界首级平面控制网应符合表1要求。 表1 首级平面控制网等级要求
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
土地勘测定界技术服务方案 1、项目概况 土地勘测定界是根据土地征收、划拨、征用、出让、农用地转用、土地利用规划及土地开发、整理、复垦等工作的需要,实地界定土地使用范围、测定界址位置、调绘土地利用现状、计算用地面积,为自然资源行政主管部门用地审批和地籍管理等提供科学、准确的基础资料而进行的技术服务型工作,最终形成勘测定界报告,为风机基础和升压站及其道路的建设用地报批提供技术支持。报告的内容反映项目来源,内容和目标、作业区范围和行政隶属、任务量、完成期限、项目承担单位和成果接收单位,土地利用现状面积表、勘测定界图、勘测定界用地范围图等。 本项目为风电场项目,按照自治区建设用地报批现行的规定,项目开工建设前应取得建设用地手续。本项目建设用地报批范围有风电机组用地、生产区、生活区和永久性道路。建设用地总面积不得超过国家规定的指标面积,也不得超过预审面积。建设用地范围不得占用耕地。 项目概况主要说明项目来源,内容和目标、作业区范围和行政隶属、任务量、完成期限、项目承担单位和成果接收单位。 2、项目区自然地理概况和已有资料情况 需要收集项目区自然地理概况的内容有项目区的地形概况、地貌特征:居民地、道路、水系、植被等要素的分布和主要特征,地形类别、困难类别、海拔高度、相对高差等。项目区的气候情况:气候特征和风雨季节等。 自接到甲方委托书后,查阅项目区前期已经取得相关部门的审查意见,
规划用地范围图,征地资料等。参考项目区所在地的用地范围内的地籍图、土地利用现状图、土地利用权属界线图、基本农田界线图、土地利用总体规划图。 3、主要技术依据 (1)《土地勘测定界规程》TD/T 1008-2007; (2)《土地利用现状调查技术规程》; (3)《土地利用现状分类》(GB/T21010-2017); (4)《地籍调查规程》(TD/T1001-2012); (5)《全球定位系统实时动态测量(RTK)技术规范》CH/T 2009-2010。 (6)《测绘成果质量检查与验收》GB-T24356-2009 (7)《数字测绘成果质量检查与验收》GB-T18216-2008 4、主要技术指标 (1)坐标系统:2000国家大地坐标系。 (2)高程系统:1985国家高程基准,等高距为1m。 (3)比例尺:调查基本比例尺为1:2000。 (4)投影方式:采用高斯-克吕格投影方式,其中央经线为105°或108°,经差为3°。 (5)数据精度:相邻控制点的点位中误差控制在±5cm范围内;界址边丈量中误差控制在±5cm范围内;坐标反算距离与实地丈量的较差控制在±10cm范围内;测定的界址点坐标与原拟用地界址点坐标之差的中误差控制在±5cm范围内,允许误差控制在±10cm范围内。 (6)分幅与编号:成果图件如果图幅较大则采用正方形分幅(图幅尺寸
XXXX学院网络统一身份认证计费管理系统 建设方案 2016年03月 目录 一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案................................................. 1.方案设计 .............................................. A.方案(串连网关方式)................................. B.方案(旁路方式+BRAS,BRAS产品) 四.认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
统一身份认证及访问控制 技术方案
1.方案概述 1.1. 项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。 1.2. 系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: ?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 ?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 ?基于角色访问控制:根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
土地勘测定界技术方案 依据发布的招标文件, 项目工作的进度、质量、安全生产等控制与指导,确定其用地范围、界址、面积、土地利用现状与权属状况,根据《中华人民共与国土地管理法》、《甘肃省土地管理法实施条例》、国家土地管理局颁发的《城镇地籍调查规程》(TD1001-93)、原建设部颁发的《城市测量规范》、2007年国土资源部印发的《建设用地勘测定界技术规程》、甘肃省国土资源厅印发的有关建设用地勘测定界文件资料等有关规定,特制定本方案。 一、工程状况 项目,项目施测面积约6508亩,施工工期为20天。该项目测区面积较大,施工工期较短。 二、编制依据 1,《中华人民共与国土地管理法》。 2, 《城镇地籍调查规程》(TD1001-93)。 3,《城市测量规范》。 4,《建设用地勘测定界技术规程》。 三、勘测定界工作情况: 1 工作底图的准备 1、1工作底图就是用于进行勘测定界及编绘勘测定界图的基础图件。 1、2工作底图应就是地籍图、地形图、标准分幅土地利用现状图。 1、3 工作底图的比例尺不小于1:2000大型工程工作底图比例尺不小 于1:10000。
3、2、3 若首级控制网点密度不能满足土地勘测定界,应在首级控制点的基础上布设一级或两级加密控制点。加密控制测量应优先采用导线网、三角网形式加密控制网,也可用单一附合导 线,插点仅限于个别地点使用。 3、2、4 勘测定界平面控制网测量作业及精度的基本技术要求,遵照《城镇地籍调查规程》、《土地利用现状调查技术规程》、《全球定位系统城市测量技术规程》等 4 界址点的放样及界标的埋设 4、1 实地拨放界标的位置 实地拨放界标的位置一般有两种方法、 坐标法放样。根据初步设计图或规划用地范围图,图上拟定界标位置,并图解获得拟用地界址点坐标,或利用工程总平面布置图给定的拟用地界址点坐标。利用控制点(或明显地物点)坐标与拟用地界址点坐标计算放样数据(反算边长、方位角),利用拟用地界址点邻近控制点(或明显地物点)采用极坐标法放样界标位置。 关系距离法放样。根据初步设计图或规划用地范围图或工程总平面布置图,图上拟定界标位置,并在图上量出界址点与邻近现有地物的边长(三条以上),或利用给定的拟用地边界与现有地物的距离夹角等。在实地采
统一身份认证平台功能 描述 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
数字校园系列软件产品统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网和公司内部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 (一)覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 (二)接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统,并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司内网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入内部网络。 (三)多运营商接入需求
公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。 (四)身份认证及单点登录需求 由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限范围内的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。 (五)安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施,防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。 二、方案设计
统一身份认证系统技术研究 一、背景 目前公司产品中的各个子系统正在从原来高耦合的整合系统模式向现在的高内聚低耦合的系统模式发展,例如:现在的LIS、PACS、移动医疗、电子病历已经能够从原来的HIS系统中分离出来独立运行。另外,与第三方系统的互联互通的需求也愈来愈多。各个系统之间的低耦合使得系统的访问控制和信息安全问题愈见突出,原来整合系统的统一的认证、授权、账号管理模式被各个系统的分立的状况打破,特别是对于外部系统的互联互通,原来的模式更是走不通。另外,目前所采用的数据库内部认证和授权方式以及通过调用接口或者WebService接口,虽然是一种有效地补充,但是仍然存在效率和规范的问题。 因此,构建一个完整统一、高效稳定、安全可靠的统一身份认证和管理平台已经成为目前产品体系下的一种需要。 二、统一身份认证系统的功能、规范与技术要求 统一身份认证系统的最基本功能要求就是对于各个系统间的用户进行统一管理,让用户使用系统时更加方便,无需反复登录系统。统一身份认证系统应从功能方面满足以下要求: 1、用户只需在统一身份认证系统中登陆一次后,就可以使用基于统一身 份认证系统认证的所有系统,无需再记忆多套用户名和密码。 2、管理员可以对所有系统的用户进行统一管理,可以对用户的权限进行 统一分配。实现系统的分布式应用,集中式的管理。 3、统一身份认证系统下的各个业务系统之间,用户数据必须保持一致性。 用户数据必须同步更新。 统一身份认证平台应满足4A安全管理框架规范,4A框架的内容为 身份认证(Authentication) 身份认证是信息安全的第一道防线,用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
南方CASS勘测定界 总 体 解 决 方 案 广东南方数码科技有限公司 South Digital Technology Co., LTD. 二〇一〇年四月
1 前言 1.1金土工程介绍 “金土工程”就是通过信息技术的广泛应用,建立科学、高效的国土资源形势分析、预测和信息服务体系,使国家能够直接、全面、准确地掌握国土资源信息及其动态变化情况,形成上下联动的规范、科学的网络化国土资源管理方式。 1.2金土工程对数据的要求 1.3土地勘测定界的概念 土地勘测定界(简称勘测定界、勘界),是根据土地征收、征用、划拨、出让、农用地转用、土地利用规划及土地开发、整理、复垦等工作需要,实地界定土地使用范围、测定界址位置、调绘土地利用现状,计算用地面积,为国土资源行政主管部门用地审批和地籍管理等提供科学、准确的基础资料而进行的技术服务性工作。 1.4勘测定界需要提交的成果 (1)文字成果:勘测定界报告书 (2)图件成果:包括接图表、勘测定界图、项目用地范围图、控制网展点图(大型工程)(3)电子数据:包括电子报盘数据和勘测定界备案数据
(4)观测记录、计算手簿(作业单位存查) 勘测定界成果备案数据主要包括勘测定界报告书、勘测定界图、项目用地范围图、界址点成果表、面积汇总表。
2 CASS勘测定界版软件介绍 2.1 CASS勘测定界版软件简介 CASS勘测定界版是南方数码最新推出的一款专门针对于土地详查和土地勘界的专业数据处理软件。配合土地利用现状调查工作的需要,从地形绘制、地籍成图、土地详查到最后的成果报告,形成完整的工作流程,为土地勘测定界提供解决方案。 CASS勘测定界版主要功能是面向国土资源部门土地勘测定界工作,以提高作业效率与简化作业员操作为原则,采用AutoCAD图形扩展属性管理技术,以GIS概念实现图形数据与属性数据的双向联动,使用户在进行绘制土地勘测定界图、地籍调查宗地图与编制土地勘测定界项目成果表和报告书的工作中,从大量重复性绘制与计算统计等繁琐劳动中解放出来,并彻底解决了计算统计数据容易出错的技术环节,能够为国土资源管理部门用地审批和地籍管理基础资料的科学性、准确性提供有力的保障。 2.2 CASS勘测定界版软件设计参照依据《中华人民共和国土地管理法》 《土地勘测定界技术规程》(中华人民共和国国土资源行业标准TD/T 1008-2007) 《第二次全国土地调查实施细则(农村部分)》 2.3 CASS勘测定界版的用途
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
基础支撑层 统一身份认证(SSO) 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。 1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。 4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示:
单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求 块
土地勘测定界的技术流程和方法 摘要:笔者结合多年来从事土地勘测界工作的经验,就土地勘测定界工作中的技术流程和经常出现的问题进行分析、提出解决方案,以供探讨和借鉴。关键词:土地勘测定界、土地分类、权属 1. 引言土地勘测定界是国土资源管理部门根据土地征用、划拨、农用地转用、复垦等工作的需要,实地界定土地使用范围、测定界址位置、调绘土地利用现状、计算用地面积的技术服务性工作,它为国土资源主管部门用地审批和地籍管理等提供科学、准确的基础资料。它在切实保护耕地、加强土地管理方面起到了至关重要的作用。 2. 勘测定界总体工作程序依据《土地勘测定界规程》,勘测定界的程序为:首先接受委托组织协调工作--收集用地文件及有关图件--现场踏勘--实地放样--界址测量--面积量算--绘制建设用地勘测定界图--编制土地勘测定界技术报告书―成果检查验收―提交资料 3. 勘测定界过程 3. 1 组织协调目前,我们的做法是在接受用地单位的委托书后,项目负责人就安排人员进行工作的前期组织协调。协调工作包括与用地单位及国土资源局相关科室协商土地勘测定界工作的具体时间、了解用地范围内的权属状况等。组织工作根据土地勘测定界的工作程序,大型项目勘测定界分为外业调查、外业测量、内业整理汇总三个工作组,在项目实施前还应制定详细的工作计划,编写技术设计书。只有做好前期的组织协调工作,制定好
相应的计划,才能降低工作难度,使土地勘测定界工作顺利进行,保证最终成果的客观准确。 3. 2 收集资料 3. 2. 1 收集相关政策性文件及用地批准文件收集相关政策性文件如《城镇地籍调查规程》、《土地利用现状调查技术规程》、《城市测量规范》等作为开展土地勘测定界工作的政策与技术保障。 3. 2. 2 收集相关的图件对于一般项目勘测定界工作应尽量搜集用地范围内的地籍图、地形图、土地利用现状图、土地利用总体规划图、土地权属界线图、用地单位提供的建设项目工程总平面布置图。地籍图、地形图作为编绘勘测定界图的基础图件;地籍图、土地利用现状图、土地权属界线图作为现场调查核实权属及地类的主要图件资料;用地范围图及项目用地工程总平面图作为勘测定界时放样测量的基础图件;土地利用现状图还用于制作勘测定界用地范围图。 3. 2. 3 收集权属证明文件权属证明文件的收集包括土地权属文件、征用土地文件、土地证书、土地承包合同(协议)、土地出让合同、清理违法占地的处理文件、用地单位的权源证明材料等,作为权属认定的依据。此外,还应搜集工作范围内各种用地和建筑物、构筑物的产权资料作为权属检核的依据。搜集不全的相关权属证明文件也可以在土地勘测定界外业调查时补充搜集。如果是没有权属证明材料的,应先与土管所取得联系了解一下情况,是历史遗留的问题或其他原因,应请相关部门出具相应的手续,证明土地的权属,以作为我们定界的依据材料之一。 3. 2. 4 收集控制点成果及相关资料搜集用地范围附近原有平面控制点坐标成果、控制点点之记、控制点网图、原
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS 统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能:
统一身份认证系统设计与实现 随着信息化的日益普及,以及中国信息化建设步伐的逐步加快,信息化正以几何倍数增长的方式支撑着能源、通信、金融、交通、工农业及服务业等各行业的生产建设活动,信息化已成为当前社会生产经营活动必不可少的辅助手段。在此情况下,国家电网公司在“十一五”期间大力发展信息化建设,但随着公司信息化建设的推进,公司各业务部门对本部门业务系统的需求单一性、不可复用性以及管理成本的浪费日见明显,如何利用信息系统为各业务部门创造价值、节约人力成本、提高管理效率的同时,加强各业务系统的统一管控力度、降低信息系统的运行维护成本,并且在不影响当前业务支撑多样性的前提下整合各业务系统数据来源、对面向不用的业务应用提供统一身份、单点登录、身份管理等基础服务变得越来越重要。本文的研究重点是在国网公司内构建一套统一身份认证系统,实现对不同平台、不同数据库之间的业务应用系统的统一支撑管理。本文通过对国家电网公司各部门(单位)以及各业务应用系统现状充分调研的基础上,遵循集成性、安全性、稳定性、先进性等原则,提出了一个基于轻量级目录访问协议的统一身份认证系统的设计框架,利用目录技术实现对各部门(单位)组织架构、各组织层级下的用户信息以及各业务应用基础用户数据的统一管理,任何应用系统均可取消自身用户系统,使用统一身份认证系统的日录数据源作为业务系统的用户数据库:利用反向代理和统一认证技术实现对同一用户登录不同业务应用系统的单点登录,以及同一用户在不同业务应用系统中的权限角色配置;利用身份管理服务技术在强化数据通道安全性的条件下,实现不同数据源之间的数据复制、同步,以及数据复制、同步过程中的属性变更等一系列的过程控制:利用J2EE 架构实现了统一身份管理工具的设计,实现了针对目录数据源的组织架构管理、用户信息管理、应用管理、授权管理等。 本系统在设计中,考虑到国家电网公司信息化建设速度快、系统更新升级频繁、业务需求多、变化快等特点,同地考虑统一身份认证系统自身特点可能带来的单点故障等原因,系统的各个子系统设计相对独立,保证了系统的稳定性的同时,强化了易更新、易集成的特性,为国家电网公司构建全球最大的集团企业级信息系统提供有力支撑,同时,随着统一身份认证系统的逐步完善,将在大规模、多平台信息系统建设中发挥重要的作用。