人脸识别在银行统一身份认证平台的应用方案
文件管理序列号:[K8UY-K9IO69-O6M243-OL889-F88688]
人脸识别在银行统一身份认证平台的应用方案
—BoHongface人脸识别系统方案
方案概述
人脸识别统一身份认证解决方案基于自主研发的生物识别统一身份认证云平台BoHongface,将自主知识产权的人脸识别技术引入银行身份认证系统,利用人脸识别特征的唯一性,通过跨平台的、可扩展、高可用性、稳定性的统一身份认证平台,实现用户身份的安全便捷、真实、准确的有效认证,适用于各领域计算机网络应用系统的安全风险防范。
方案架构
统一身份认证平台实现用户账号(Account)、授权(Authentication)、认证(Authorization)、审计(Audit)的4A认证,实现所有信息系统的统一用户管理、统一用户认证、统一应用门户、各系统单点登录、统一用户安全审计等。部署统一访问控制平台,集成典型应用,实现对B/S和C/S架构应用系统的统一认证,授权与单点登录(SSO)访问控制管理。建立统一认证库,搭建访问控制平台,实现不同应用系统之间的单点登录。
方案特色
一、响应速度快,并发能力强
BoHongface人脸识别技术支持可见光和近红外,响应速度<1秒;并发能力强大于2000笔/秒;
二、开放性
采用开放式架构。统一用户管理平台与各应用系统采用外挂式、松耦合、非入侵式集成,兼容各种异构的应用系统,不需大的应用系统改造。
三、可扩展性
1、平台与相关认证系统结合,实现多种扩展认证方式;
2、支持已建、在建和拟建系统的集成和应用功能的扩展,支持多级部署和跨域单点登录;
3、提供多种开发语言的API接口,具备良好的二次开发能力和整合能力。
4、针对银行统一身份管理与访问控制项目建设个性化要求,可增加定制功能。
四、兼容性
1、所提供的产品支持通用的标准协议;
2、对于用户的管理支持LDAP和数据库两种方式;
3、提供使用标准化证书认证的接口;
4、提供完全的网络兼容性和应用兼容性;
5、采用HTTP标准协议、XML数据格式与其他相关产品和应用系统交互,无缝衔接。
五、安全性
1、支持有广域网级别的传输安全保证,支持国密算法;
2、按照后台不同应用系统对密码强度要求的不同定义不同的密码策略;
六、高可用性、稳定性
1、产品应具备高可用性,具有7*24小时的连续运行能力,具有检错、纠错功能等;
2、对已有系统,在统一用户管理平台出现故障时,自动切换为本系统的认证方式;
七、可维护性
1、易于配置、易于管理、易于集成;
2、提供全生命周期的身份管理机制,即从账号的产生到销毁整个生命周期的维护,从而提高系统的可维护性;
3、支持密码找回,当用户遗忘帐号密码时,可以根据短信等设定策略进行密码找回;
4、能够对用户输入的密码进行密码策略的审核,如果不符合定义的密码策略,则要求用户重新输入密码。
智慧校园统一身份认证技术分析 由于科技和信息的高速发展,校园智慧也达到了一个新的高度,多种信息智慧的应用的确为我们带来了极大地便利。与此同时,在我们进行应用的过程中也伴随着一些问题的出现,每次频繁的进行登录,应用过程中出现的漏洞,信息维护和反应的不及时,这些与我们信息智慧校园建设的初衷背离。健全和完善身份认证可以为用户减少很多不便,一套行之有效的认证方案确有必要。 标签:身份认证;智慧校园;技术分析;统一认证 智慧校园是建立在网络平台上的应用,是数字化的一种进步与发展,高校智慧校园简单来讲就是建立在校园网上的一种数字化,用户们登录不同的平台进行学习和生活,每次频繁的登录和进行认证,密码账号需要多次记忆给用户带来了不便,统一的身份认证就是要建立一套相互连接的认证系统,学生们在不同的地点进行登录时只需要统一的密码账号,这可以大大减少记忆,对于统一身份的安全问题,可以提供从简单的密码和签字指纹认证等多种不同的保护措施,建立安全高效的校园化统一认证。 1 统一身份认证必要性 要分析统一认证是否必要,我们可以从一下三点内容来进行分析: 1.1 用户使用不便 学生和老师不同登录地点需要多次登录,多个密码多次记忆用户在进入时需要进行身份的认证,多次认证,记忆密码可能会遗忘,有时在登录时可能会忘记密码而无法验证,举个简单的例子来讲,一位同学在图书馆需要认证,在校门进入时需要认证,当他进入网络平台时同样需要进行认证,这就给用户学习生活带来了不便,多次登录浪费时间,一个密码多个平台可以大大节省物力、财力,更多资源可以进行其他建设和维护,借助于身份认证省去了密码记忆的繁琐,统一认证一次而无需其他认证。 1.2 用户的不同管理机制不同,不利于学校进行管理 正如我们了解的,学校进行更为系统的管理时需要综合分析每个不同管理机制的内容,而各个不同系统管理机制存在差异,在一定程度上学校进行管理时将更加困难一些。从形式上,用户服务虽然说都是借助于校园网进行的,但实际上,彼此之间是独立的,管理机制独立,每一个事项都需要一个管理机制,彼此之间工作各自的内容,例如图书管理系统负责维护图书借阅、图书统计,而不会负责其他内容,这就产生了许多个管理机制,学校进行集中管理,整体管理时,由于各个单元之间的独立因而无法高校管理、浪费时间和精力,我们智慧化校园要求智慧、高效、可靠,这显然是不符合的。
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
银行数字化厂商图谱之信息安全管理 1. 身份与零信任安全 终端用户: 银行信息安全部门、信息科技部门。 核心需求: · 由于账号生命周期管理不善导致离职员工账号外泄,经常成为银行网络环境被非法入侵的根源,因此银行需要通过对员工账号进行统一的生命周期管理,以防止敏感信息外泄和网络系统遭受攻击破坏; · 行内账号中常常存在权限较高的特权账号,普通用户被授予特权可能会给银行信息安全带来隐患,因此银行需要对行内账户的权限进行统一管理; · 行内各系统身份认证方式各异,员工需要花费大量精力来记忆账号,认证环节也需要大量重复性操作,因此银行需要实现多系统统一的身份管理;
· 随着云计算、大数据、移动互联网等新技术发展,网络边界相比过去更加模糊,此外,内部人员攻击、APT等攻击行为能够有效绕过网络边界,这些都给传统堡垒式边界防御带来了挑战,银行迫切需要摒弃默认信任的原则,基于“零信任”原则实现网络的纵深防御。 厂商能力要求: ·能够提供端到端的统一身份认证平台,对行内员工的认证(Authentication)、授权(Authorization)、账号(Account)、审计(Audit)进行统一管理,解决身份认证环节中拖库、撞库、弱密码、身份冒用、特权账号共享等业务安全隐患,并提升身份认证效率; · 能够在统一身份认证平台中,基于零信任安全理念,通过A I、大数据等技术,对用户行为进行持续性分析,保证网络系统的纵深安全。 代表厂商: 2. 移动安全 终端用户: 银行信息安全部门、信息科技部门。 核心需求: · 随着BYOD形式的移动办公趋势的发展,银行的网络环境变得碎片化,安全边界变得模糊:一方面,移动终端给了病毒、黑客入侵银行内网更多的机会;另一方面,员工对办公APP进行截屏、复制,设备丢失,以及员工离职导致设备脱离管理等情况,都可能导致银行敏感数据泄露,因此银行迫切需要提升移动办公环境的安全性,防止敏感数据泄露。
统一身份认证平台功 能描述 Revised on November 25, 2020
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题: ?用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。 ?各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工作重复,增加学校管理工作成本。 ?新开发的系统不可避免的需要用户和权限管理,每一个新开发的系统都需要针对用户和权限进行新开发,既增加了学校开发投入成本,又增加 了日常维护工作量 ?针对学生、教职工应用的各种系统,不能有效的统一管理用户信息,导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账 号,为学校日后的工作带来隐患。 ?缺乏统一的审计管理,出现问题,难以及时发现问题原因。 ?缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。 1.2应用范围
2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。
统一身份认证平台功能 描述 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
数字校园系列软件产品统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
越来越多的OT设备加入IT网络传输功能,成为网络组成的一部分。据统计,到2020年,全球将有500亿物联网终端,至少100亿活跃于企业网络。但是对处于处于飞速发展时期物联网事业,其终端安全却还处于起步阶段,外部面向物联网终端的攻击手段仍然在不断更新。虽然企业、政府甚至IoT生产厂商也在不断的寻找新的防护手段,但是当下,解决物联网终端可视化管理及网络层安全准入仍是解决物联网终端安全的核心。 对比常见的人工信息采集和定期巡检,终端可视化可实时发现并识别接入物联网感知节点,及时感知风险终端,提升物联网终端在网络中的防护能力。同时结合终端更多私有属性解决常见IP/MAC 防伪造问题。常见应用场景包括企业办公物联网身份认证、银行网点打印机网络准入、产线IoT终端可视化及网络安全准入、智慧城市摄像头安全准入等。 1、企业办公物联网设备身份认证 企业办公场景中,摄像头、打印机、电子门禁系统、视频会议系统等物联网设备随处可见,但电脑和手机在企业网络中的占比远高于单一功能的物联网设备。所以一般企业办公场景中物联网设备常与办公设备一同处理。 a)首先,可视化接入网络的所有终端并进行归类;
b)然后,IoT设备执行MAB认证+静态ACL策略 c)同时,结合“终端类型”检测及时隔离IP/MAC伪造的终端。 2、银行网点打印机网络准入 去过银行网点的人都有过取号排队,在一堆堆的打印文件上签名的经历。银行网点几乎每名业务人员配有一台打印机,打印机数量较多,静态ACL的配置成本较高,对网络架构调整的适应能力较弱,所以除终端可视化及IP/MAC地址防伪造外,银行网点打印机更倾
向于使用MAB认证+动态ACL准入方案。 a)可视化发现及识别网络终端; b)打印机终端自动归类; c)MAB认证+动态ACL权限管控; d)IP/MAC地址防伪造。 如图DACL准入策略: 3、产线IoT终端可视化及网络安全准入 产线终端的特点在于终端数量大,不易清点和发现,一般不会通过网络调控的方式对其进行隔离,而多以告警的方式通知管理员进行处理。因此终端可视化及网络定位功能需求可以帮助管理员更快的发现问题终端,及时处理并规避大规模风险的蔓延。 a)MAB认证+DACL权限管控+IP/MAC地址; b)风险终端告警及可视化网络定位:检测终端在网络中的上下文, 检测终端位于哪个交换机下的哪个端口下,借助NDACE定位终端物理位置,方便运维人员快速找到问题终端。 4、智慧城市摄像头安全准入
电子校务建设和信息资源的管理是密不可分的。在福建华南女子学院电子校务 建设时应合理应用信息资源管理理论,加强信息资源的建设与开发,优化信息资源 的管理。 统一门户平台、统一身份认证平台和统一数据库平台的建设将为信息资源 共享提供技术上的支撑,为建好这一技术支撑平台,我们将建设的关键过程作为切 入点,以先进的、顺应发展潮流的技术手段,保证电子校务的先进性与可持续发展 性福建华南女子职业学院的电子校务建设中,从整体上可以采用以下关键技术。 一是基于 JZEE 的标准开发架构 。目前,Java/J2EE 技术因其结构清晰、开放 性好、性能及安全性好的特点,得到各厂商的广泛支持,并成为事实上的工业标准。其强大的组件技术,提高了可重用性,便于系统的移植。高效的中间件技术,使得 业务逻辑与数据层、界面层相互隔离,提高系统的运行效率和稳定性。在系统中的具体运用主要体现在以下几个方面:基于标准 JZEE 规范开发,基于 MVC 框架设计 模式,采用 Java Bean 的业务逻辑封装,采用 JSP/Servlet 的表现逻辑设计。 二是基于 CK/PKI 的信息安全技术 PKI 即公钥基础设计,是一种以公开密钥 理论为基础的在线身份认证加密技术。我们可以利用公开密钥理论的技术建立起在 线身份认证的安全体系。而 CA(Certification Authority 认证中心)则向用户提供完整的基于 PKI 技术的数字认证服务。在应用中它提供以下功能:通过基于数字证书的认证方法来确认用户身份,通过授权控制来实现对信息资源和应用的访问控 制,采用加密技术来保护信息的机密性,通过对信息摘要和数字签名的验证来提供 数据的完整性保护,采用数字签名来提供数据的不可否认性。 三是工作流技术 电子校务系统作为福建华南女子职业学院业务的电子化实 现,里面包含了大量的业务流程。工作流技术是一种理解、定义、自动化以及改善 业务过程的技术。它在以下几方面支持业务的实现即基于浏览器的图形化的工作流 定义:运行时工作流的监督和管理,工作流的设计和模拟,支持任务指派的负载均 衡算法,支持多个工作流实例的协同作业。 以上关键技术为信息资源的共享和交换打下坚实的基础,保证了信息资源的贡 献和数据的及时更新,给管理和应用提供了保障。但效益的发挥还得依赖于技术的 实现,如果只是简单地把信息技术应用于传统的高校管理模式,而忽视了组织机构 和业务管理流程的再造与调整,那么电子校务的建设就会流于形式,其优势将难以 发挥。 因此,我们在采用以上关键技术的同时,还需合理运用信息资源管理理论, 采取信息资源协同和流程协同,进行统一平台建设,对信息内容和信息技术进行全 面集成,逐步消除孤岛效应,确保多个信息系统能够安全、快捷的信息交流,提高 校园网信息活动的效率和效益。
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
银行V I P客户身份人脸识别 系统解决方案 1.前言 据权威机构统计数据表明,银行业同样符合著名的“二八法则”,即80%的收入来自20%的客户,故各银行早已推出一系列VIP服务吸引住大客户。但目前VIP客户到银行办理业务时大多需要提前电话预约,到达现场后,客户经理又需重新登记客户信息,调出客户档案,不但让VIP客户感觉繁琐,更增加了其他VIP客户的等待时间,使得VIP客户的满意度大打折扣。怎样解决需客户主动出示贵宾证件、提高VIP服务质量和提升营销效率,在服务过程中如何向客户精准营销产品及如何在第一时间识别出那些对银行贡献大的VIP 客户,为其提供更为贴心的服务?一系列问题一直困扰着各银行机构。 2.方案主旨 银行VIP客户人脸识别的应用方案基于自主研发的生物识别统一身份认证云平台BoHongface,将博宏信息自主知识产权的人脸识别技术引入银行客户管理系统,利用人脸识别特征的唯一性,通过跨平台的、可扩展、高可用性、稳定性的统一身份认证平台,实现用户身份的安全便捷、真实、准确的有效认证,适用于各领域计算机网络应用系统的安全风险防范。 它采用先进的BoHongFace人脸识别技术,准确的识别银行VIP客户的身份,通过调取银行VIP客户的以往兴趣爱好、消费习惯,提前做好准备工作,帮助银行工作人员进
行与客户之间的主动营销与互动,提供可靠的技术手段。 在客户首次办理银行VIP客户身份时,需要录入客户的面部特征信息。当客户再次进入网点时,系统自动采集人脸图片,并与特定人员信息库中的人像自动进行快速比对,在极短时间内实现快速、准确定位其身份信息,并显示该银行VIP客户享有的优惠服务等,帮助工作人员为银行VIP客户提供更为周到的服务。 3.系统优势 人脸识别系统以“人脸的唯一性”与为企业级用户提供便捷、有效的管理服务为理念,以普及人脸识别技术的大众化应用为目标,采用博宏信息自主研发BoHong FaceID海量人脸识别技术与高性能处理器的完美融合,为客户提供周到体贴的VIP管理服务。 博宏信息银行VIP客户身份人脸识别系统的优势主要有以下几点: ◆动态自优化技术,识别更准确; ◆数据库采用三级缓存机制; ◆系统兼容性强; ◆网络远程管理; ◆配备完善的参数管理平台; ◆支持海量人脸库;
摘要随着数字化校园建设的逐步深入,办公系统、人事系统、财务系统、科研系统等应用系统也随之增加。但这些应用系统各自保存一套不同的用户身份认证方式,这一方面影响了用户使用的效率,同时也给校园管理系统协调各应用系统带来了极大地困难,给整个系统带来了很多不安全隐患。本文介绍的数字化校园统一身份认证系统的目的就是要解决不同的网络应用系统用户名和口令不统一的问题。 关键词数字化校园;身份认证;数字网络 1 数字化校园 数字化校园是数字化、信息化、智能化的统一,它在网络和数字化信息的基础上,利用计算机技术、网络技术和通讯技术对校园办公系统、人事系统、财务系统、科研系统以及设备管理系统等信息资源进行统一规划、统一管理,在传统校园基础上构建了一个数字化空间,使这些信息资源能够有序地运转,更好地为教学、科研、管理和生活服务。 随着现代信息网络技术的发展,信息网在逐渐的庞大,同时作为教育中心的大学对数字化校园网的建设也加紧了步伐。从一定意义上讲,校园网的建设是衡量一个高校综合实力的重要标志。学校的教务系统、财务系统、餐饮系统、机房系统、图书管理系统以及宿舍系统等都与校园信息网紧密相连。各应用系统以校园网络中心系统为核心成星型分布,如图1所示。 图1 建设数字化校园目的就是充分利用现代信息技术,提高信息利用效率,提高学校教学、办公管理的水平,实现学校信息化管理,为此在数字化校园的建设中使用统一接口、统一信息服务平台、统一身份认证系统的结合的显得尤为重要。建立统一身份认证系统,对用户的身份集中统一管理,保证用户电子身份的惟一性、真实性与权威性,大大提高了数字化校园应用系统的安全性。 2 统一身份认证系统 2.1 存在问题 所谓身份认证,就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对统一网络不同应用系统而言,采用统一的用户电子身份判断用户的合法性。 数字化校园网络中各个应用系统完成的服务功能各不相同,有些应用系统具有较高的独立性,如财务系统,有些应用系统需要协同合作完成某个特定任务,如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的,各应用系统的建立没有遵循统一的数据标准,数据格式也各不相同,系统间无法实现有效的数据共享,于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说,如果各系统各自存储管理一份不同的身份认证方式,用户就需要记忆多个不同的密码和身份,并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大地不便。 随着现在信息技术的发展,校园网络提供的信息服务质量的提升,对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求相应地提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理,保证各应用系统基于统一的模式、集中的环境开发与升级,一方面降低了系统整体运行的维护成本,另一方面保证了整个校园系统能够随着平台的升级而同步升级,方便使用和管理,也保证了整个系统的先进性与安全性。 2.2 统一身份认证结构图
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
如何建立网上银行业务内控制度 自1996年世界上第一家网上银行棗美国安全第一网络银行诞生以来,网上银行在世界范围内迅速发展。近年来,国内多家商业银行,如招商银行、中国银行、中国工商银行、交通银行等也纷纷推出网上银行服务。发展网上银行业务已成为当前商业银行竞争的新热点。 但是,网上银行业务属于新生事物,商业银行在网上银行风险管理方面尚缺乏必要的经验,在运作过程中面临着多种风险:一是法律规范问题;二是交易的安全问题;三是资金的安全问题。因此,建立、改进和完善网上银行业务的内部控制管理体系、防范网上银行潜在风险是商业银行的一个重要课题。 2001年中国人民银行下发了《网上银行业务管理暂行办法》,对规范我国网上银行业务发展起到了指导作用。据此,国内各商业银行必须对网上银行业务采取一系列内控管理措施,以防范网上银行业务经营风险。根据内控管理有关全面性、谨慎性、有效性、独立性等原则,商业银行对网上银行业务的管理应贯穿其业务全过程和各个操作环节,覆盖所有使用网上银行的银行内、外部机构(单位)和个人。因此,网上银行的内部管理可分为三个层次:第一层次是银行内部使用网上银行的管理;第二层次是银行对网上银行客户的管理;第三层次是客户内部使用网上银行的管理。
一、银行内部使用网上银行的管理 银行内部使用网上银行的管理是指对银行内部操作网上银行系统、办理网上银行业务的机构和人员建立逐级管理和分级授权的制度。主要有以下方面: (一)建立开办网上银行业务的准入机制 如同中央银行对商业银行开办网上银行业务必须进行审核一样,商业银行总行或管辖分行对下属开办网上银行业务的营业机构也需具有相应的报批和验收手续,进行业务、技术方面的可行性分析和安全评估。只有满足规定技术条件和具有良好风险防范措施的营业机构,才能取得受理客户使用网上银行申请、处理客户通过网上银行发起的各种交易的资格。开办网上银行业务的营业机构一般应具有运行良好的计算机网络和电子化基础设施,使用防火墙、电子认证等安全技术手段,订立严密的规章制度,配备合格的管理、技术和操作人员,遵守支付结算和资金汇划纪律,备有切实有效的应急措施。 (二)对管理网上银行客户的内部人员的管理 在网上银行管理体系中,网上银行客户信息和权限的维护、客户
目录 01网银安全,您需要关注的几个问题 (3) 1.1国内网银安全事故主要原因分析 (4) 1.2身份欺诈和盗取案件数急剧增大 (4) 1.3管理培训疏漏:缺乏客户培训、身份管理混乱 (5) 1.4越来越多的银行采用弹性多种认证 (5) 02常用身份认证方法比较 (6) 2.1不同认证方式性能对比 (6) 2.2不同认证方式成本对比 (6) 03中小银行网银身份安全管理需求建议 (7) 3.1设计原则 (7) 3.2实现系统在同一平台同时支持多种用户认证方式 (7) 3.3中心反欺诈功能 (8) 3.4网站防钓鱼和双向认证 (9) 3.5重要安全认证凭证管理 (9) 3.6业务规则控制 (9) 04解决方案概述 (10) 4.1 我们在网银安全 (10) 4.2 产品系列 (10) 4.3 Entrust解决方案组成了集成的、可扩展的网银整体解决方案 (11) 4.4 利用IDG为银行内外网及自助银行建立统一身份认证安全管理平台 (12) 4.5 利用Entrust IDG 一个平台实现多种认证方式 (12) 05解决方案优势 (13) 06 IDG认证方式 (14) 6.1动态令牌认证 (14) 6.2一次性密码(短信.EMAIL) (14) 6.3数格卡认证 (14) 6.4机器指纹认证 (15) 6.5知识认证 (15) 07 IDG技术体系简介 (16) 08 IDG部署 (17) 09 IDG在网银应用与集成 (18) 9.1建立双通道的认证 (18) 9.2提供基于风险评估的多次和弹性认证方案 (18) 9.3提供用户容易接受的多种认证方式 (19) 9.4提供双向认证方式 (19) 9.5提供IP防欺诈解决方案及引入安全业务产品 (20) 9.6应用接口 (20) 10 IDG网银典型案例 (21) 11 关于我们 (21) 11.1 Entrust (21) 11.2 琮谷科技 (21) https://www.doczj.com/doc/8b17625998.html, 400-820-8803 2
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录 1 产品概述............................................................................................................................... - 1 - 1.1 产品简介................................................................................................................... - 1 - 1.2 应用范围................................................................................................................... - 1 - 2 产品功能结构....................................................................................................................... - 2 - 3 产品功能............................................................................................................................... - 2 - 3.1 认证服务................................................................................................................... - 2 - 3.1.1 用户集中管理............................................................................................... - 2 - 3.1.2 认证服务....................................................................................................... - 3 - 3.2 授权服务................................................................................................................... - 3 - 3.2.1 基于角色的权限控制................................................................................... - 3 - 3.2.2 授权服务....................................................................................................... - 4 - 3.3 授权、认证接口....................................................................................................... - 4 - 3.4 审计服务................................................................................................................... - 4 - 3.5 信息发布服务........................................................................................................... - 5 - 3.6 集成服务................................................................................................................... - 5 - 3.6.1 应用系统管理............................................................................................... - 5 - 3.6.2 应用系统功能管理....................................................................................... - 6 - 3.6.3 应用系统操作管理....................................................................................... - 6 -
一、项目背景 1.企业移动化及弱密码安全威胁 随着企业移动化的推进,移动化办公已然成为常态。在VPN、SaaS 应用、虚拟化远程等领域,账号密码成为企业仅有的一道的安全防线。但弱密码、僵尸账号、账号密码泄漏始终是账号密码认证的最大威胁。 2. 等保2.0 法规要求 三级安全通用部分“身份鉴别”要求应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。 3. 密码产品国产化 国际形势瞬息万变,网络安全已上升到国家战略层面,安全产品国产化将成为持续且长期的合规要求。 二、项目需求 1.不改变现有的网络架构,实现RSA认证服务器动态口令的过渡;2.不断开双因子认证保护,直到新的令牌安装成功; 3.部署周期短,方案便捷; 4.用户能继续在手机上使用软件Token,不额外添加硬件设备; 5. 供应商需持有国密证书,满足国家法规需求。 三、项目方案 1. 客户原使用场景 应用场景:NetScaler Gateway VPN 多分支架构:深圳(总部)和上海各部署了VPN 系统,RSA认证服务器部署于深圳,采用双机热备实现数据同步。
2.令牌替代RSA令牌方案 a)旁路部署认证服务器,不影响网络数据的正常流通,对接企业账 号源和VPN系统; b)将RSA认证服务器指向认证服务器(DKEY AM),在DKEY AM 上配置RSA相关认证参数; c)认证服务器接收VPN 双因子动态请求后,检查动态口令来源, 如果来自RSA令牌,则传递给RSA认证服务器进行校验; d)直到用户全部更换令牌后,断开与RSA认证服务器的通信服务。 四、使用效果 登录VPN时,在双因子动态口令页面输入令牌显示的六位动态口令进行验证。
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
智慧校园建设方案!高校统一身份认证解决方案
1.项目背景 所谓身份认证,就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对同一网络不同应用系统而言,采用统一的用户电子身份判断用户的合法性。 数字化校园网络中各个应用系统完成的服务功能各不相同,有些应用系统具有较高的独立性,如财务系统,有些应用系统需要协同合作完成某个特定任务,如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的,各应用系统的建立没有遵循统一的数据标准,数据格式也各不相同,系统间无法实现有效的数据共享,于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说,如果各系统各自存储管理一份不同的身份认证方式,用户就需要记忆多个不同的密码和身份,并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大地不便。 随着现在信息技术的发展,校园网络提供的信息服务质量的提升,对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求相应地提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理,保证各应用系统基于统一的模式、集中的环境开发与升级,一方面降低了系统整体运行的维护成本,另一方面保证了整个校园系统能够随着平台的升级而同步升级,方便使用和管理,也保证了整个系统的先进性与安全性。 有了统一身份认证系统,管理员就可以在整个网络内实现单点管理、用户可以实现一次登录、全网通行,各种管理应用系统可以通过统一的接口接入信息平台。对用户的统一管理,一方面用在访问各个成员站点时无需多次注册登录,既给用户的使用带来方便,也为成员站点节约资源,避免各个成员站点分散管理统一用户带来的数据冗余。另一方面也给新的成员站点(新的应用系统)的开发提供方便。 2.参数要点说明 浏览器单次会话当中,通过一次登录就可以访问互相信任的系统。
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签