统一身份认证及访问控制
技术方案
1.方案概述
1.1. 项目背景
随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题:
1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度;
2)多个身份认证系统会增加整个系统的管理工作成本;
3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨;
4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化;
5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。
单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。
1.2. 系统概述
针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点:
?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。
?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。
?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。
?基于角色访问控制:根据用户的角色和URL实现访问控制功能。
?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
?全面的日志审计:精确地记录用户的日志,可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果通过Web界面以图表的形式展现给管理员。
?双机热备:通过双机热备功能,提高系统的可用性,满足企业级用户的需求。
?集群:通过集群功能,为企业提供高效、可靠的SSO服务。可实现分布式部署,提供灵活的解决方案。
?传输加密:支持多种对称和非对称加密算法,保证用户信息在传输过程中不被窃取和篡改。
?防火墙:基于状态检测技术,支持NAT。主要用于加强SSO本身的安全,也适用于网络性能要求不高的场合,以减少投资。
?分布式安装:对物理上不在一个区域的网络应用服务器可以进行分布式部署SSO系统。
?后台用户数据库支持:LDAP、Oracle、DB2、Win2k ADS、Sybase等。可以无缝集成现有的应用系统的统一用户数据库作为SSO应用软件系统的用户数据库。
?领先的C/S单点登录解决方案:无需修改任何现有的应用系统服务端和客户端即可实现C/S单点登录系统
2.总体方案设计
2.1. 业务功能架构
通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。
单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。
单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。
系统结构图
说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。
具体包含以下主要功能模块:
?身份认证中心
?存储企业用户目录,完成对用户身份、角色等信息的统一管理;
?授权和访问管理系统
?用户的授权、角色分配;
?访问策略的定制和管理;
?用户授权信息的自动同步;
?用户访问的实时监控、安全审计;
?身份认证服务
?身份认证前置为应用系统提供安全认证服务接口,中转认证和访问
请求;
?身份认证服务完成对用户身份的认证和角色的转换;
?访问控制服务
?应用系统插件从应用系统获取单点登录所需的用户信息;
?用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密
签名;
?CA中心及数字证书网上受理系统
?用户身份认证和单点登录过程中所需证书的签发;
?用户身份认证凭证(USB智能密钥)的制作;
2.2. 技术实现方案
2.2.1.技术原理
基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。
系统交互图
其原理如下:
1) 每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保证和系统服务之间的安全通信。
2) 用户登录中心后,根据用户提供的数字证书确认用户的身份。
3) 访问一个具体的信息资源时,系统服务用访问代理对应的数字证书,把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器。
4) 信息资源服务器在接受到数字信封后,通过访问代理,进行解密验证,得到用户身份。根据用户身份,进行内部权限的认证。
2.2.2.统一身份认证
2.2.2.1. 用户认证
统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识。如下图所示:
(1)、在通过平台统一认证后,可以从登录认证结果中获取平台用户证书的序列号或平台用户ID;
(2)、再由其映射不同应用系统的用户账户;
(3)、最后用映射后的账户访问相应的应用系统;
当增加一个应用系统时,只需要增加平台用户证书序列号或平台用户ID与该应用系统账户的一个映射关系即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。
2.2.2.2. 系统接入
应用系统接入平台的架构如下图所示:
系统提供两种应用系统接入方式,以快速实现单点登录:
(1)反向代理(Reverse Proxy)方式
应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合的应用系统,可以使用该方式接入统一用户管理平台。
反向代理技术:实现方式为松耦合,采用反向代理模块和单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
(2)Plug-in 方式
Plug-in:实现方式为紧耦合,采用集成插件的方式与单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
紧耦合方式提供多种API,通过简单调用即可实现单点登录(SSO)。
2.2.
3.统一权限管理
统一身份管理及访问控制系统的典型授权管理模型如下图所示:
用户授权的基础是对用户的统一管理,对于在用户信息库中新注册的用户,通过自动授权或手工授权方式,为用户分配角色、对应用系统的访问权限、应用系统操作权限,完成对用户的授权。如果用户在用户信息库中被删除,则其相应的授权信息也将被删除。
完整的用户授权流程如下:
1、用户信息统一管理,包括了用户的注册、用户信息变更、用户注销;
2、权限管理系统自动获取新增(或注销)用户信息,并根据设置自动分配(或删除)默认权限和用户角色;
3、用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权;
4、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP目录服务)中;
5、用户登录到应用系统,由身份认证系统检验用户的权限信息并返回给应用系统,满足应用系统的权限要求可以进行操作,否则拒绝操作;
6、用户的授权信息和操作信息均被记录到日志中,可以形成完整的用户授权表、用户访问统计表。
2.2.4.安全通道
提供的安全通道是利用数字签名进行身份认证,采用数字信封进行信息加密的基于SSL协议的安全通道产品,实现了服务器端和客户端嵌入式的数据安全隔离机制。
图:使用前
图:使用后
安全通道的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成:
(1)握手协议:这个协议负责协商用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
(2)记录协议:这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
(3)警告协议:这个协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
统一身份认证及访问控制 技术方案
1.方案概述 1.1. 项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。 1.2. 系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: ?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 ?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 ?基于角色访问控制:根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
自建CA认证系统实用方案 一、CA认证系统建设的背景 1.1 网络身份认证风险 如何认证互联网业务中对方的身份,是制约信息产业发展的瓶颈,身份认证问题亟待解决: (图一)身份认证是第一道防线 纵使是固若金汤的保险库,非法分子一旦掌握了打开大门的钥匙,保险重地将会变成了窃贼的后院。业务系统即使被防火墙、入侵监测、防病毒等边界系统保护,一旦入侵者冒充合法身份进入,系统安全荡然无存。 基于用户名/口令的认证方式是最常用的一种技术,也是现在财务系统使用的认证方式,无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录,都是基于用户名和口令的方式认证。 基于用户名/口令的认证方式存在严重的安全问题,是攻击者最容易攻击的目标: 1) 单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
2) 为记忆方便,是用户往往选择简单、容易被猜测的口令,如:与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口。 3) 口令一般是经过加密后存放在口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。 最近屡屡爆出的口令泄密事件,如CSDN、天涯、新浪微博、省进出境管理都是身份认证方式选择不当引起的。而弱认证带来的经济损失更是触目惊心,郝金龙利用计算机入侵某银行计算机网络,修改账户信息,大肆窃取现金。黑客利用钓鱼获取网银用户账号密码以及动态密码,乐清市女士网银被窃200万元。 1.2 信息泄露风险 传输在客户端与Web服务器之间的敏感、信息和交易数据,如资金调拨、资金往来、个人账户信息等,这些数据都是的数据,一旦被竞争对手或者非法分子获得,将会给企业财务系统带来致命威胁。 互联网的开放特性使得任何跨机房传输的信息可能被截取,被非法用户加以利用,给用户和企业造成损失。目前使用最多的一些互联网抓包工具如sniffer,具备初级计算机应用水平就能操作自如。莱钢的泄密事件给企业、国家带来的了巨大损失,在全国围掀起了一场风暴。通过数据加密进行信息隐藏是行之有效的解决方法,非法分子即使能够窃听网上交易数据,但没有破解的密码钥匙,信息无法读懂。 信息泄露,尤其是用户名+口令的认证信息泄露,将会给业务系统带来致命风险:
身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别,杜绝非法入侵和接入保护为 主要设计理念,金盾准入控制保护系统是金盾软件公司独创的,国际领先的 产品功能,是产品的核心功能之一,具有实施简单,主动发现、自动防御、效果显著等特点,极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料? □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统?
方案功能 安全状态评估 □终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。 □终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。 □终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后,定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。 □网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。 □软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。 □内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
企业财务系统的CA身份认证和电子签名解决方案 1、用户需求: 总结用户需求如下: ●财务系统需要提升安全级别。财务系统的基本情况如下: ?财务系统的系统结构、操作系统、开发语言等(略) ?三种主要应用功能:预算申请、审批、修正;费用的申报;对财务系统查阅。 ●需要解决单纯的用户名/密码登录的脆弱性问题,确保登录财务系统的身 份的真实性。 ●需要对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的 应用需求。 2、解决方案 具体设计方案如下: ●建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。 具体建设方案如下: ?证书服务器负责证书的日常管理。 ?管理终端完成证书的申请和发放工作。 ?为应用服务器颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保应用服务器身份和个人身份的真实性。 ?用户手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K。 用于私钥存储,确保私钥的安全。 ?采用SQL数据库,用于证书服务器生成证书和CRL的存储 ●建设数字签名中间件,对用户在财务系统中的操作实现数字签名,实现 抗抵赖的功能。具体建设方案如下: ?将数字签名服务器与应用服务器共同部署; ?在IE中部署签名插件; ?用户的操作需要用私钥进行签名; ?服务器端对用户的签名数据进行验签;
?应用数据和签名数据进行分别的存储。 具体部署的拓扑图如下(略) 3、用户收益 采用本方案后用户收益如下: ●通过强身份认证手段的采用,确保所有登录财务系统用户的身份的真实 性 对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的应用需求。 ---------------------------------------------------------------------------------------------------------------------- 北京安软天地科技有限公司 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
1.详细需求 1.1 业务需求 统一用户管理平台是一个高性能、易管控的用户和权限数据集成平台,能够统一管理企业中各个信息系统的组织信息和用户信息,能够实现单点登录,简化用户的登录过程,同时提供集中便捷的身份管理、资源管理、安全认证和审计管理,能够实现各个系统的独立的权限注册,配置不同的业务域,独立的业务组织体系模型,并且对于不同权限级别的用户和管理员都有不同的系统功能和数据访问范畴,以满足用户对信息系统使用的方便性和安全管理的要求,最终实现异构系统的有机整合。在系统集成的过程中,借助其强大的系统管控能力,在实施过程中进行权限人员数据的规范化、数据同步自动化、系统访问可控化、权限管理统一化和监控审计可视化。 1.2 系统功能需求 1.2.1 统一用户管理 建立一套集中的用户信息库,利用同步接口提供的功能,把所有的系统用户进行统一存放,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。形成一套全局用户库,统一管理,作为企业内所有IT应用的用户源。在人员离职、岗位变动时,只需在管理中心一处更改,即可限制其访问权限,消除对后台系统非法访问的威胁。方便了用户管理,也防止过期的用户身份信息未及时删除带来的安全风险。系统支持分级授权。 1.2.2 用户身份认证 遵循W3C的业界标准,在单点登录系统的基础上,实现基于域管理的身份认证服务构件,自主开发的系统能够使用该服务进行认证,同时提供多种认证方式,能实现双因素认证。采用LDAP(轻量目录访问协议,一个开放的目录服务标准)来建构统一用户信息数据库。LDAP已成为未来身份认证和身份管理的标准,具有很好的互操作性和兼容性,基于LDAP可以搭建一个统一身份认证和管理框架,并提供开发接口给各应用系统,为应用系统的后续开发提供了统一身份认证平台和标准。实现多种身份认证方式,支持LDAP、JDBC、WebService、Radius、Openid等多种身份认证方式。
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
身份管理平台解决方案 1. 应用背景 计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,在企业信息化过程中,诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生,提高了企业的管理水平和运行效率。与此同时,各个应用系统都有自己的认证体系,随着应用系统的不断增加,一方面企业员工在业务系统的访问过程中,不得不记忆大量的帐户口令,而口令又极易遗忘或泄露,为企业带来损失;另一方面,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。 在上述背景下,企业信息资源的整合逐步提上日程,并在此基础上形成了各业务系统统一认证、单点登录(SSO)和信息综合展示的企业门户(Portal)。现有的门户产品多集中于口令方式的身份认证,如何更安全的进行统一认证,并保证业务系统访问的安全性,成为关注的焦点。 2. 基于CA认证的统一身份管理平台 时代亿信推出的基于CA认证的统一身份管理平台解决方案,以资源整合(业务系统整合和内容整合)为目标,以CA认证和PKI技术为基础,通过对用户身份的统一认证和访问控制,更安全地实现各业务系统的单点登录和信息资源的整合。 平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式,并采用SSL 加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。 2.1 系统功能及架构 平台的系统架构如图1所示,主要包括以下部分: 门户系统(Portal):各业务系统信息资源的综合展现; 平台管理系统:平台用户的注册、授权、审计;各业务系统的配置;门户管理; CA系统:平台用户的数字证书申请、签发和管理; 用户统一认证:用户身份的CA数字证书认证、认证过程的SSL加密通道; 单点登录(SSO):业务系统关联(mapping)、访问控制、访问业务系统时信息的加密签名和SSL加密通道; 图1 基于CA认证的统一身份管理平台架构 2.2 系统的实现和安全机制 2.2.1 用户注册和授权 (1)企业每一个用户在平台完成用户注册,得到自己的统一帐户(passport); (2)如果采用证书文件或USB智能卡认证方式,则CA系统自动为平台用户签发数字证书,并与用户的统一帐户对应。 (3)注册的用户可以由管理员进行分组,并根据分组设定相应的业务系统访问权限。 2.2.2 业务系统的配置 接受统一认证的业务系统必须完成以下工作: (1)安装业务系统访问前置并配置证书和私钥,用以建立客户端与业务系统之间的SSL 加密通道,并接收处理平台提供的加密签名的用户认证信息; (2)提供关联(mapping)接口和访问验证接口,并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息(可能包括业务系统的用户名和密码)的对应关系。
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
某市OA系统(内外网)基于CA的身份认证和电子签名解决方案 1、用户背景 内蒙古某市下属2区、5县、4旗,人口300余万,该市交通发达,是内蒙连接东北的交通枢纽。 2、用户需求 通过与沟通,总结最终用户需求如下: ●BS架构的OA系统,采用Domino Notes开发的,用到金格的word控件, 主要是做痕迹保留用的,和系统登录无关。需要保证登录者身份的真实 性。 ●对流程文件的表单进行电子签名,需要保证公文审批的完整性和不可抵 赖性,同时要考虑一个表单,多个领导会签的情况。 ●通过运营商组的专网,在网络出口已经部署防火墙。 3、解决方案 据既有的安全项目经验,根据信息安全等级保护条例,厅局级政府单位需要进行内外网隔离。目前暂时按照内外网隔离的方案进行设计,如果确实不需要部署外网,则不必考虑外网设计。 具体设计方案如下: ●在内网建设CA服务器。 ●密钥生成和管理由证书服务器密码机负责。 ●采用一主两从LDAP,内网部署一主一从,外网部署一从。内网的主LDAP 数据自动推送到内网从LDAP,手工导入到外网从LDAP。CA服务器的证 书和CRL列表定期发布到内网主LDAP。 ●在内网部署电子签名中间件,进行双向的签名和验签。 ●手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K,用于私 钥存储。 ●为应用系统的WEB服务器发放服务器证书,实现用户登录时,用户和服 务器的双向验证,确保应用服务器身份和用户身份的真实性。 ●在公网入口部署SSL VPN设备,确保应用服务器是在收保护前提下使用,
所有应用不被外部的病毒、木马、黑客攻击。用户采用USB KEY登录应 用层传输加密机 4、用户收益 采用本方案后用户受益如下: ●通过强身份认证手段的采用,确保用户身份的真实性。 ●通过对表单电子签名,确保数据的不可否认性、不可抵赖性和事后可追溯性。 ●所投资的安全设备,可以为其它业务系统提供安全服务。 北京安软天地科技有限公司 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
身份认证解决方案 目前在U8中用户的身份认证支持四种模式:用户+口令(静态密码),动态密码、CA认证和域身份认证,同一时间,一个用户只能使用一种认证方式,但是不同用户可以根据权限,重要程度交叉使用不同的认证方式。 1.设置认证方式 在系统管理模块中增加操作员的时候设置认证方式,默认支持用户+口令,用户可以更改以便于支持其余三种模式。
图一 2.合作伙伴支持的身份认证在U8系统中的使用 2.1易安全动态密码 1.在U8的应用服务器上,安装“易安全动态密码系统”,根据《U8_动态密码安装配置手 册(深圳海月)》进行相关配置。 2.在系统管理里设置认证方式为“动态密码”,如图一所示,默认支持的是静态口令。 3.配置完成后,在客户端登录产品,密码输入框必须输入由设备动态产生的密码才可,如 图二所示: 图二 备注: 两个系统要求用户编码共用,即不论采用哪种认证方式,用户名必须是通过U8的系统管理产生的,易安全动态密码系统支持批量导入U8用户,权限控制必须在系统管理中完成,如果使用动态密码认证,在系统管理增加用户时,可以不考虑密码信息,同时关于密码的安全策略将不起作用。 详细介绍见《U8动态密码解决方案(深圳海月)》 2.2BJCA的证书使用 BJCA支持两种PKI/CA建设模式:企业自建CA和托管CA。 企业自建CA就是企业自己创建和维护根证书,自行颁发证书。用户身份只需要企业内部审查即可,用户唯一标识为自定义名称,比如test、demo等。
托管CA是企业到BJCA申请证书,BJCA使用Public Trust CA体系为其颁发证书,用户的身份要经过BJCA严格审查,默认唯一标识为身份证号码或企业组织机构代码。 具体使用步骤: 1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。 2.在U8的客户端安装BJCA的客户端证书管理工具,请参阅《U8_CA安装配置手册(BJCA)》进行相关配置。 3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称,名称必须是字母或数字,不能含中文。如图三所示: 图三 4.配置完成后,在客户端登录产品,密码输入框输入的是在U8系统设置的用户密码, 点击确定后,验证U8密码正确后,再次弹出证书PIN码的输入框,如图四所示: 图四 输入PIN码,确定后,系统自动验证证书的合法性。 备注: 目前U8系统中的CA认证采用的是传统的用户名(密码)+证书的双重认证,使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确,安全策略中的密码策略只对U8密码起作用,修改密码也仅修改U8自身的密码。 用户在托管CA申请证书时,必须正确提交企业系统名称。 详细介绍见《U8安全解决方案(BJCA)》 2.3天威诚信的证书使用 天威诚信也支持两种PKI/CA建设模式:第三方托管CA服务和自建型CA系统。 第三方托管CA服务,是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书,用户在本地只要建设少量的CA模块,就可以实现CA认证的功能。 自建型CA系统是指客户购买天威诚信开发的PKI/CA软件,建设一个独立的PKI/CA 系统,除了购买系统软件之外,还包括系统、通信、数据库以及物理安全、网络安全配置、
云认证及访问授权安全解决方案 1.1.1 需求分析 云服务框架内包括内外网及资源的跨网络调用,不同级别人员对应不同的操作权限,类型相对复杂,存在如下应用隐患:身份鉴别和访问管理要贯穿物理安全、网络安全、主机安全、虚拟化安全直到应用安全,在每个层次都需要对用户的访问进行身份鉴别,对其访问权限和可操作内容进行有效的管理,在网络层、主机层、应用层甚至多个应用之间可以实现统一认证。 ●用基于国密算法的强身份认证:基于PKI技术的数字证书认证方式, 持密码口令、硬件信息的认证方式; ●SSL隧道加密:认证阶段和数据传输阶段均支持国密算法的加解密, 高强度传输链路加密,具有较高的安全性; ●权限策略控制:面向用户的动态授权机制,管理人员、操作人员、 访问用户各有其职权,根据用户的不同身份来确定其网络接入权限,支持白名单; ●统一行为审计:面向用户的行为、管理员的行为和业务系统进行行 为审计,结合审计设备提供接入用户行为的全方位监控、追踪审计和流量统计的解决方案。 1.1.2 解决方案 身份认证和授权管理系统依托第三方机构的接入认证体系,为教育云服务平台管理用户提供统一的身份标识和认证功能。从每一个用户连接到网络的时刻起,进行网络实名与用户之间的一对一映射,依据授权属性和访问控制策略对用户访问请求进行判定和控制,实现对管理用户接入和使用的监控及审计,保证合法用
户正确、安全、便捷地享受教育云平台提供的服务。 在教育云服务平台的前端部署网络实名接入网关和网络实名接入控制系统,实现从网络层的接入控制到应用层的用户身份管理等统一身份认证和授权管理的功能,主要包括集中认证管理,提供高强度的数字证书、动态口令到低安全性的静态口令等多种认证方式;集中用户管理,提供用户的全生命周期管理、用户分组管理、角色管理和身份源管理;集中证书管理,利用证书注册服务和电子密钥管理技术,结合集中用户管理,实现用户证书申请、审批、核发、更新、吊销等全生命周期的管理;集中审计管理,提供用户管理、认证和上/下线的审计信息,以及应用系统、网络设备的审计管理。 另外,与应用系统内部的授权管理系统相结合,实现用户的集中授权管理,配置合理的策略规则,基于角色进行访问控制,在平台内实现对用户集中、灵活授权和访问控制管理,提高系统管理效率。 1.1.3 方案价值 随着云技术在各行业的大范围推广使用,其用户管理及信息安全的问题也日益得到人们的重视。事实证明,实名身份认证和授权管理是针对此问题的一种行之有效的方法。本文介绍了基于数字证书的统一实名身份认证和授权技术,并通
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
河南CA信息安全解决方案河南省数字证书认证中心
一、身份鉴别 (一)、基本要求 1、应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 2、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动 退出等措施; 3、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度 检查以及登录失败处理功能,并根据安全策略配置相关参数。 4、应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中 不存在重复用户身份标识,身份鉴别信息不易被冒用; 5、应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。 (三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 二、访问控制 (一)、基本要求 1、应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问; 2、应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。 3、应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体 的访问; 4、访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的 操作; 5、应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形 成相互制约的关系。 6、应具有对重要信息资源设置敏感标记的功能; 7、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。
(三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 三、通信完整性、保密性 (一)、基本要求 1、应采用约定通信会话方式的方法保证通信过程中数据的完整性。 2、应采用密码技术保证通信过程中数据的完整性。 3、在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; 4、应对通信过程中的整个报文或会话过程进行加密。 (二)、实现方式 应通过应用数据加密实现对于数据的完整性和保密性安全。 四、抗抵赖 (一)、基本要求 1、应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能; 2、应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 (二)、实现方式 抗抵赖功能最常见的实现方式是通过PKI、数字签名、数字水印和CA等技术实现。 (三)、部署方式 通过部署CA实现应用抗抵赖功能。 五、数据完整性 (一)、基本要求 1、应能够检测到重要用户数据在传输过程中完整性受到破坏。 2、应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏; 3、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 4、应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
` 统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (15) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (26) 4.3 微型的业务系统 (27) 4.4 外部组织机构 (28) 第5章角色(用户组)管理 (29) 第6章职员(员工)管理 (32) 6.1 职员(员工)管理 (32) 6.2 职员(员工)的排序顺序 (32) 6.3 职员(员工)与用户(账户)的关系 (33) 6.4 职员(员工)导出数据 (34) 6.5 职员(员工)离职处理 (35) 第7章部通讯录 (37) 7.1 我的联系方式 (37) 7.2 部通讯录 (38) 第8章即时通讯 (39) 8.1 发送消息 (39) 8.2 即时通讯 (41) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (4) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)