学院计算机与信息技术学院
专业计算机科学与技术
年级2012级网络工程
姓名许艳峰
论文(设计)题目基于身份认证技术的研究指导教师郭颂职称
成绩
2015 年 6 月 13 日
目录
摘要 (1)
Abstract (1)
1 身份认证的概念 (2)
2基于密码的身份认证 (2)
2.1密码认证的特点 (2)
2.2密码认证中的相关问题 (3)
3基于不同方式的身份认证 (3)
3.1地址与身份认证 (3)
3.2生物特征身份认证 (4)
3.3零知识证明身份认证 (4)
4身份认证协议 (5)
4.1 Kerberos协议 (5)
4.2 SSL协议 (6)
5 结束语 (7)
6 参考文献 (7)
摘要:身份认证是信息安全理论的重要组成部分。以密码理论为基础的身份认证是访问控制和审计的前提,因此对网络环境的信息安全尤其为重要。认证协议可以分为双向认证协议和单向的认证协议。双向认证协议是最常用的协议,他使得通信双方互相认证对方的身份。单向认证协议是通信的一方认证另一方的身份,比如服务器在提供用户申请的服务之前,先拿要认证用户是否是这项服务的合法用户,但是不需要向用户证明自己的身份。在本文中简要的介绍下几种不同类别的身份认证以及身份认证中的协议。
Abstract:Identity authentication is an important part of information security theory.. The identity authentication based on password theory is the premise of access control and audit, so it is especially important for the information security of the network environment.. The authentication protocol can be divided into two way authentication protocol and one way authentication protocol.. Two way authentication protocol is the most common protocol, he makes the communication parties each other authentication identity. Unilateralism authentication protocol
is a communication party authentication the identity of the other party, such as server before providing the user application service, take to whether the authenticated user is the legitimate users of the service, but without the need to prove their identity to the user. In this paper, a brief introduction of several different categories of identity authentication and authentication protocols is presented.
关键词:身份认证基于密码基于地址生物特征零知识 Kerberos SSL
Key words:Identity authentication-password based -address based-biometric zero knowledge Kerberos SSL
1 身份认证的概念
身份认证是系统审查用户身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份,提供一种判别和确认用户身份的机制。
计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。
身份认证技术在信息安全中处于非常重要的地位,是其他安全机制的基础。只有实现了有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。
在真实世界中,验证一个用户的身份主要通过以下三种方式:
(1)所知道的。根据用户所知道的信息来证明用户的身份。
(2)所拥有的。根据用户所拥有的东西来证明用户的身份。
(3)本身的特征。直接根据用户独一无二的体态特征来证明用户的身份,例如人的指纹、笔迹、DNA、视网膜及身体的特殊标志等。
2基于密码的身份认证
2.1密码认证的特点
密码是用户与计算机之间以及计算机与计算机之间共享的一个秘密,在通信过程中其中一方向另一方提交密码,表示自己知道该秘密,从而通过另一方的认证。密码通常由一组字符串来组成,为便于用户记忆,一般用户使用的密码都有长度的限制。但出于安全考虑,在使用密码时需要注意以下几点:(1)不使用默认密码、(2)设置足够长的密码、(3)不要使用结构简单的词或数字组合、(4)增加密码的组合复杂度、(5)使用加密、(6)避免共享
密码、(7)定期更换密码
就密码的安全使用来说,计算机系统应该具备下列安全性:
(1)入侵者即使取得储存在系统中的密码也无法达到登录的目的。这需要在密码认证的基础上再增加其他的认证方式,如地址认证。
(2)通过监听网络上传送的信息而获得的密码是不能用的。最有效的方式是数据加密。(3)计算机系统必须能够发现并防止各类密码尝试攻击。可使用密码安全策略。
2.2密码认证中的相关问题
1.社会工程学:社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。
2.按键记录软件:按键记录软件是一种间谍软件,它以木马方式值入到用户的计算机后,可以偷偷地记录下用户的每次按键动作,并按预定的计划把收集到的信息通过电子邮件等方式发送出去。
3.搭线窃听:攻击者通过窃听网络数据,如果密码使用明文传输,可被非法获取。目前,在IP网络中Telnet、FTP、HTTP等大量的通信协议来用明文来传输密码,这意味着在客户端和服务器端之间传输的所有信息(其中包括明文密码和用户数据)都有可能被窃取。4.字典攻击:攻击者可以把所有用户可能选取的密码列举出来生成一个文件,这样的文件被称为“字典”。当攻击者得到了一些与密码有关的可验证信息后,就可以结合字典进行一系列的运算,来猜测用户可能的密码,并利用得到的信息来验证猜测的正确性。
5.暴力破解:暴力破解也称为“蛮力破解”或“穷举攻击”,是一种特殊的字典攻击。在暴力破解中所使用的字典是字符串的全集,对可能存在的所有组合进行猜测,直到得到正确的信息为止。
6.窥探:窥探是攻击者利用与被攻击系统接近的机会,安装监视设备或亲自窥探合法用户输入的账户和密码。窥探还包括攻击者在用户计算机中植入的木马。
7.垃圾搜索:垃圾搜索是攻击者通过搜索被攻击者的废弃物(如硬盘、U盘、光盘等),得到与攻击系统有关的信息。
3基于不同方式的身份认证
3.1地址与身份认证
(1)基于IP地址的身份认证:不可靠,也不可取
(2)基于物理地址(如MAC地址)的身份认证较为可靠,目前在计算机网络中的应用较为广泛。
(3)智能卡认证:智能卡也称IC卡,是由一个或多个集成电路芯片组成的设备,可以安全地存储密钥、证书和用户数据等敏感信息,防止硬件级别的窜改。智能卡芯片在很多应用中可以独立完成加密、解密、身份认证、数字签名等对安全较为敏感的计算任务,从而能够提高应用系统抗病毒攻击以及防止敏感信息的泄漏。
(4)双因素身份认证:简单地讲是指在身份认证过程中至少提供两个认证因素,如“密码+PIN”等。双因素认证与利用ATM取款很相似:用户必须利用持银行卡,再输入密码,才能提取其账户中的款项。双因素认证提供了身份认证的可靠性。
3.2生物特征身份认证
1. 生物特征认证的概念
生物特征认证又称为“生物特征识别”,是指通过计算机利用人体固有的物理特征或行为特征鉴别个人身份。在信息安全领域,推动基于生物特征认证的主要动力来自于基于密码认证的不安全性,即利用生物特征认证来替代密码认证。人的生理特征与生俱来,一般是先天性的。
2.满足以下条件的生物特征才可以用来作为进行身份认证的依据:
普遍性。即每一个人都应该具有这一特征。
唯一性。即每一个人在这一特征上有不同的表现。
稳定性。即这一特征不会随着年龄的增长和生活环境的改变而改变。
易采集性。即这一特征应该便于采集和保存。
可接受性。即人们是否能够接受这种生物识别方式。
3.3零知识证明身份认证
1.零知识证明身份认证的概念
零知识证明是由在20世纪80年代初出现的一种身份认证技术。零知识证明是指证者能够在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或多方的协议,即两方或多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使验证者相信自己知道某一消息或拥有某一物品,但证明过程不需要向验证者泄漏。零知识证明分为交互式零知识证明和非交互式零知识证明两种类型。
2.交互式零知识证明:
零知识证明协议可定义为证明者(Prover,简称P)和验证者(Verifier,简称V)。交互式零知识证明是由这样一组协议确定的:在零知识证明过程结束后,P只告诉V关于某一个断言成立的信息,而V不能从交互式证明协议中获得其他任何信息。即使在协议中使用欺骗手段,V也不可能揭露其信息。这一概念其实就是零知识证明的定义。
如果一个交互式证明协议满足以下3点,就称此协议为一个零知识交互式证明协议:
(1)完备性。如果P的声称是真的,则V以绝对优势的概率接受P的结论。
(2)有效性。如果P的声称是假的,则V也以绝对优势的概率拒绝P的结论。
(3)零知识性。无论V采取任何手段,当P的声称是真的,且P不违背协议时,V
除了接受P的结论以外,得不到其它额外的信息。
3. 非交互式零知识证明:
在非交互式零知识证明中,证明者P公布一些不包括他本人任何信息的秘密消息,却能够让任何人相信这个秘密消息。在这一过程中,起关键作用的因素是一个单向Hash 函数。如果P要进行欺骗,他必须能够知道这个Hash函数的输出值。但事实上由于他不知道这个单向Hash函数的具体算法,所以他无法实施欺骗。也就是说,这个单向Hash 函数在协议中是V的代替者。
4身份认证协议:
4.1.Kerberos协议
1. Kerberos协议简介
Kerberos是为基于TCP/IP的Internet和Intranet设计的安全认证协议,它工作在Client/Server模式下,以可信赖的第三方KDC(密钥分配中心)实现用户身份认证。在认证过程中,Kerberos使用对称密钥加密算法,提供了计算机网络中通信双方之间的身份认证。
Kerberos设计的目的是解决在分布网络环境中用户访问网络资源时的安全问题。由于Kerberos是基于对称加密来实现认证的,这就涉及到加密密钥对的产生和管理问题。在Kerberos中会对每一个用户分配一个密钥对,如果网络中存在N个用户,则Kerberos系统会保存和维护N个密钥对。同时,在Kerberos系统中只要求使用对称密码,而没有对具体算法和标准作限定,这样便于Kerberos协议的推广和应用。Kerberos已广泛应用于Internet 和Intranet服务的安全访问,具有高度的安全性、可靠性、透明性和可伸缩性等优点。
2.Kerberos系统的组成
一个完整的Kerberos系统主要由以下几个部分组成:
(1)用户端
(2)服务器端
(3)密钥分配中心
(4)认证服务器
(5)票据分配服务器
(6)票据
(7)时间戳
4.2 SSL协议
1.SSL协议概述
SSL是一种点对点之间构造的安全通道中传输数据的协议,它运行在传输层之上、应用层之下,是一种综合利用对称密钥和公开密钥技术进行安全通信的工业标准。在通信过程中,允许一个支持SSL协议的服务器在支持SSL协议的客户端使协议本身获得信任,使客户端得到服务器的信任,从而在两台机器间建立一个可靠的传输连接。SSL协议主要提供了3个方面的安全服务:
(1)认证。利用数字证书技术和可信第三方认证机构,为客户机和服务器之间的通信提供身份认证功能,以便于彼此之间进行身份识别。
(2)机密性。在SSL客户机和服务器之间传输的所有数据都经过了加密处理,以防止非法用户进行窃取、篡改和冒充。
(3)完整性。SSL利用加密算法和Hash函数来保证客户机和服务器之间传输的数据的完整性。
2.SSL协议分为上下两部分:上层为SSL握手协议,下层为SSL记录协议。其中SSL握手协议主要用来建立客户机与服务器之间的连接,并协商密钥;而SSL记录协议则定义了数据的传输格式。
3.SSL握手协议
SSL握手协议提供了客户机与服务器之间的相互认证,协商加密算法,用于保护在SSL记录中发送的加密密钥。握手协议在任何应用程序的数据传输之前进行。如图4-9描述了SSL握手协议一次握手的操作过程。
SSL记录协议:SSL记录协议建立在可靠的传输层协议之上,为高层协议提供数据
封装、压缩、加密等基本功能的支持。
4.SSL协议的特点
SSL是一个通信协议。为了实现安全性,SSL的协议描述比较复杂,具有较完备的握手过程。这也决定了SSL不是一个轻量级的网络协议。另外,SSL还涉及到大量的计算密集型算法:非对称加密算法,对称加密算法和数据摘要算法。
5.结束语
身份认证技术是信息安全中的一个重要的内容,在如今信息化的社会,电子商务等已经逐渐融入了我们的生活,所以身份认证技术显得比信息加密本身更重要,希望通过本文对身份认证技术的简要介绍使我们对身份认证有一个更加深刻的理解。
6.参考文献
段云所,魏仕民,唐礼勇,陈钟《信息安全概论》高等教育出版社 2003
基于OTP的移动商务身份认证协议的设计与实现 王秦1,张润彤 (北京交通大学信息系统研究所,北京100044) 摘要:国内移动商务身份认证主要采用基于用户名/口令的静态口令认证机制,这种方式易于实现且操作简单,但容易遭受攻击并且口令在无线传输中易被截获。一次性口令(One-Time Password,简称OTP)认证机制可以实现一次一密,具备更高的安全性,同时,其实现简单、成本低、无需第三方公证,十分适合于受限的移动商务环境,但难以抵御小数攻击以及没有实现双向认证。本文结合OTP认证机制和椭圆曲线密码体制提出一种基于OTP的移动商务身份认证协议MCIA,并利用仿真软件Opnet仿真实现MCIA协议,结果表明其适合于移动商务环境。 关键字:身份认证;一次性口令;MCIA;Opnet Design and Implementation of Identity Authentication Protocol in Mobile Commerce based on OTP Wang Qin, Zhang Run-tong (Institute of Information System, Beijing Jiaotong University, Beijing 100044, China) Abtract: Presently, identity authentication in domestic mobile commerce is mainly implemented by static password mechanism based on Userid/password. The method has some advantages, such as easier implementation and simpler operation. But its security is worse, which it is easily attacked, and its password is easily intercepted and seized in transmission process by wireless network. OTP (One-Time Password) authentication mechanism has higher security by one time padding. It is implemented simply, cost less and needed no third-party notarization, and so it is more suitable for limited mobile commerce environment, but it couldn’t resist decimal attack and realize bidirectional authentication. Combined OTP with Elliptic curve cryptosystem, it is presented a mobile commerce identity authentication protocol based on OTP, named by MCIA protocol. The protocol is simulated through simulation software Opnet and it is suitable for mobile commerce environment by simulation results. Key words:Identity authentication; One-Time Password; Mobile commerce identity authentication; Opnet 1国家自然科学基金资助项目:移动商务系统中的身份认证研究(60773033) 作者简介:王秦,男,吉林省梨树县,1973年生,北京交通大学博士研究生,研究方向:移动商务身份认证,melonzn@https://www.doczj.com/doc/b31804488.html, 张润彤,男,辽宁省大连市,1963年生,北京交通大学教授,研究方向:信息安全、移动电子商务、网格计算等,rtzhang@https://www.doczj.com/doc/b31804488.html,
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
身份认证服务协议 XX制造网内贸站是由XX技股份有限公司(以下简称“XX技”)创建的中文版商业信息平台。身份认证服务协议(以下简称“本协议”)所述条款和条件构成会员与XX技就申请XX制造网内贸站身份认证服务所达成的协议。本协议所述服务仅在XX制造网内贸站内有效,XX 制造网内贸站是指https://www.doczj.com/doc/b31804488.html,和https://www.doczj.com/doc/b31804488.html,及其所属网页。 一、接受条款 ?如果您申请XX制造网内贸站的身份认证并使用相应服务,即表示您已充分阅读、理解并同意接受本协议及XX制造网内贸站的《用户协议》的约束。 ?您必须是能够承担相应法律责任的法人或其他组织。若您不具备此资格,请不要使用XX 制造网内贸站提供的身份认证服务。 ?XX技有权随时更新本协议,并且本协议的每次更新只需在XX制造网内贸站上即刻发布,并立即生效。如果您拒绝接受新的协议,您必须放弃使用XX制造网内贸站提供的服务;若您继续使用XX制造网内贸站提供的服务,则表明您理解、认可并接受新的协议。 ?当您使用XX制造网内贸站提供的身份认证服务时,您知晓并且同意本协议及相关身份认证服务介绍及说明。XX技有权根据实际情况随时调整身份认证服务的服务内容,无需事先征得您的同意且无需因此向任何人承担责任。 ?XX技允许旗下其他网站用户登录XX制造网内贸站并使用其身份认证服务,为了实现上述功能,如您以XX技旗下网站的账号和密码登录XX制造网内贸站,您同意XX技将您在其他网站的注册信息及身份认证信息同步至XX制造网内贸站并允许其使用,并且您不会因此追究XX技的责任。XX技旗下其他网站的用户在XX制造网内贸站的任何行为仍需遵守XX制造网内贸站的《用户协议》、《法律声明》、《身份认证服务协议》等相关协议及服务介绍说明。 ?除非特别声明,某些增强服务的新功能也适用本协议。 ?本协议只有XX技的书面授权人员才有权修改。 二、服务费用
学院计算机与信息技术学院 专业计算机科学与技术 年级2012级网络工程 姓名许艳峰 论文(设计)题目基于身份认证技术的研究指导教师郭颂职称 成绩 2015 年 6 月 13 日
目录 摘要 (1) Abstract (1) 1 身份认证的概念 (2) 2基于密码的身份认证 (2) 2.1密码认证的特点 (2) 2.2密码认证中的相关问题 (3) 3基于不同方式的身份认证 (3) 3.1地址与身份认证 (3) 3.2生物特征身份认证 (4) 3.3零知识证明身份认证 (4) 4身份认证协议 (5) 4.1 Kerberos协议 (5) 4.2 SSL协议 (6) 5 结束语 (7) 6 参考文献 (7) 摘要:身份认证是信息安全理论的重要组成部分。以密码理论为基础的身份认证是访问控制和审计的前提,因此对网络环境的信息安全尤其为重要。认证协议可以分为双向认证协议和单向的认证协议。双向认证协议是最常用的协议,他使得通信双方互相认证对方的身份。单向认证协议是通信的一方认证另一方的身份,比如服务器在提供用户申请的服务之前,先拿要认证用户是否是这项服务的合法用户,但是不需要向用户证明自己的身份。在本文中简要的介绍下几种不同类别的身份认证以及身份认证中的协议。 Abstract:Identity authentication is an important part of information security theory.. The identity authentication based on password theory is the premise of access control and audit, so it is especially important for the information security of the network environment.. The authentication protocol can be divided into two way authentication protocol and one way authentication protocol.. Two way authentication protocol is the most common protocol, he makes the communication parties each other authentication identity. Unilateralism authentication protocol
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
统一身份认证平台 一、主要功能 1.统一身份识别; 2.要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接; 3.支持移动终端应用(兼容IOS系统、安卓系统;手机端、PAD端;) 4.教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 5.学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 二、系统说明 2.1单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应 用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 2.2即插即用:通过简单的配置,无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式, 可单独使用也可组合使用。 2.4基于角色访问控制:根据用户的角色和URL实现访问控制功能。基于Web界面管 理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。 说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。 3.2具体包含以下主要功能模块: ①身份认证中心 ②存储用户目录:完成对用户身份、角色等信息的统一管理; ③授权和访问管理系统:用户的授权、角色分配;访问策略的定制和管理;用户授权信息 的自动同步;用户访问的实时监控、安全审计; ④身份认证服务:身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务完成对用户身份的认证和角色的转换; ⑤访问控制服务:应用系统插件从应用系统获取单点登录所需的用户信息;用户单点登 录过程中,生成访问业务系统的请求,对敏感信息加密签名; ⑥CA中心及数字证书网上受理系统:用户身份认证和单点登录过程中所需证书的签发; 四、技术要求 4.1技术原理 基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。 其原理如下: 1)每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录 1 产品概述............................................................. - 1 - 1.1 产品简介....................................................... - 1 - 1.2 应用范围....................................................... - 2 - 2 产品功能结构......................................................... - 2 - 3 产品功能............................................................. - 3 - 3.1 认证服务....................................................... - 3 - 3.1.1 用户集中管理............................................. - 3 - 3.1.2 认证服务................................................. - 3 - 3.2 授权服务....................................................... - 4 - 3.2.1 基于角色的权限控制....................................... - 4 - 3.2.2 授权服务................................................. - 4 - 3.3 授权、认证接口................................................. - 4 - 3.4 审计服务....................................................... - 5 - 3.5 信息发布服务................................................... - 5 - 3.6 集成服务....................................................... - 6 -
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
统一身份认证设计方案 日期:2016年2月
目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型11 1.3. 2.3 身份信息的存储12 1.3.3 用户生命周期管理12 1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14) 1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16) 1.5.1 集中授权应用背景16 1.5.2 集中授权管理对象17 1.5.3 集中授权的工作原理18 1.5.4 集中授权模式19 1.5.5 细粒度授权19 1.5.6 角色的继承20 1.6 集中认证管理 (21) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式22 1.6. 2.1 用户名/口令认证23 1.6. 2.2 数字证书认证23 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证24 1.6. 2.5 认证方式与安全等级24 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议25 1.6.3.2 Windows 域25 1.6.3.3 SAML协议26 1.6.4 集中认证系统主要功能28 1.6.5 单点登录29
1.6.5.1 单点登录技术29 1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 1.1.1. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加盖 的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区域 内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ?Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时, 能正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有 权限的人才可以签章,方便二次开发。
?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章 控件或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了 电子签名中间件。因此可以满足机构内几乎所有的对电子印章应用的现 实和潜在需求。 ?跨平台部署:后台服务器软件采用JAVA技术开发,具有良好的跨平台 性,可以部署到各种操作系统平台下。 ?集中部署、分级管理:集团性机构可以部署统一的电子印章管理和认证 平台,电子印章可以由总部机构或者各个子、分公司管理。下述独立子 公司可以单独管理其本单位的电子印章。 ?安全可靠的打印控制:基于服务器端的打印控制技术,真正实现打印份数 的有效控制,超出授权打印份数之后,用户可以根据其内部的规定选择不 可打印或者打印黑章,以确保正章文件不会随意流转。 ?可扩展性强:通过提供相关的接口程序,可以实现身份认证、单点登录, 从而架构一个统一的安全支撑平台。 1.1. 2. 系统管理要求 ?组织管理:组织管理支持树形管理,每个组织节点可设置节点管理员, 支持系统管理员、节点管理员、普通用户对系统的访问。 ?用户管理:完成用户基本信息维护。用户增、删、改、停用/启用、所属 组织选择; ?用户认证信息管理:用户多种认证方式的信息维护,包括但不限于支持 用户名/口令,短信,USB Key,证书 ?日志管理:包括身份认证日志 ?系统监控:提供系统运行状态 ?打印控制:可以严格控制打印份数 1.1.3. 身份认证管理 ?支持多种认证方式:包括但不限于用户名/口令,短信验证,USB Key 验证,CA验证
统一身份认证(后附英文版) (网络信息中心网站还有大量师生所需流程和常用设置,现只以统一身份认证为例。 具体包括内容如下 统一身份认证 电子邮件 无线网 VPN 校园一卡通 学生宿舍网络 个人网络存储 虚拟主机 校园网 校内代理 网络短信平台 微软校园软件正版化 网络会议和视频转播 黑莓连接学校无线网络 如何在Outlook Express 中设置与邮件服务器的安全连接 如何在Foxmail 中设置与邮件服务器的安全连接 如何为outlook 客户端设置安全连接 如何用ping命令检测网络状态 如何查看电脑网卡的物理地址(MAC地址) 如何设置IP地址 窗体顶端) 一、如何修改默认身份 1、使用浏览器访问https://www.doczj.com/doc/b31804488.html,,如下图。 2、点击右上角的“登录”,使用学校“统一身份认证”账号登录系统。登录后,点击页面右上角“个人设置”,如下图。 3、在“个人设置”上,选择“基本信息”,如下图:
4、然后点击默认身份后的“修改”,如下图: 5、在接下来的弹出窗口中,选择需要的身份。 二、如何修改jAccount密码 1、使用浏览器访问https://www.doczj.com/doc/b31804488.html,,如下图。 2、点击右上角的“登录”,使用学校“统一身份认证”账号登录系统。登录后,点击页面右上角“个人设置”,如下图。 3、在“个人设置”上,选择“安全设置”,如下图:
4、然后选择“修改密码”,如下图: 5、在接下来的弹出窗口中,更新jAccount密码。 三、jAccount账户/ 申请步骤 教职工: 1、网上下载或直接到网络信息中心填写《校园网jAccount账户申请表》 2、网络信息中心审核申请表,当场开通 学生: 网上自助申请,访问https://www.doczj.com/doc/b31804488.html, 点击“申请”
统一身份认证()简单说明与设计方案(转) 1. 单点登录概述 所谓单点登录(),只当企业用户同时访问多个不同(类型的)应用时,他们只需要提供自身的用户凭证信息(比如用户名/密码)一次,仅仅一次。解决方案(比如,)负责统一认证用户,如果需要,也可以完成用户的授权处理。可以看出,当企业用户在不同的应用间切换时,他们不用再重复地输入自身的用户凭证了。在实施后,所用的认证操作都将交给认证中心。现有的解决方案非常多,比如微软的便是典型的解决方案,各容器都提供了自身的专有能力。 2. 的总体架构 1. 简介 (中央认证服务)是建立在非常开放的协议之上的企业级解决方案。诞生于2001年,在2002年发布了2.0协议,这一新的协议提供了(代理)能力,此时的2.0支持多层能力。到2005年,成为了旗下的重要子项目。由于2.0版本的可扩展能力不是非常完美,而且他的架构设计也不是很卓越,为了使得能够适用于更多场合,打算开发出同时遵循1.0和2.0协议的3版本。 现在的3全面拥抱技术,比如容器和技术、、、等。 通常,3由两部分内容构成:3服务器和客户端。由于2.0协议借助于数据结构与客户进行交互,因此开发者可以使用各种语言编写的3客户与服务器进行通信。3服务器采用纯开发而成,它要求目标运行环境实现了2.4+规范、提供 1.4+支持。如果宿主3服务器的目标容器仅仅实现了2.3-规范,则在对3服务器进行少量的改造后,3也能运行其中。 运行时,3服务器仅仅是一个简单的应用,使用者只需要将直接丢到目标容器后,即完成了3的部署。 2. 词汇概念 ( ) 受权的票据证明 ( ) 密钥发放中心 () 服务票据,由的发放。任何一台都需要拥有一张有效的才能访问域内部的应用() 。如果能正确接收,说明在之间的信任关系已经被正确建立起来,通常为一张数字加密的证书 () 票据授权票据,由的发放。即获取这样一张票据后,以后申请各种其他服务票据() 便不必再向提交身份认证信息( 准确术语是) 。 () 认证用服务,索取,发放 () 票据授权服务,索取,发放 3. 工作原理 的单点登录的认证过程,所用应用服务器受到应用请求后,检查和,如果没有或不对,转到认证服务器登录页面,通过安全认证后得到和,再重新定向到相关应用服务器,在回话生命周期之内如果再定向到别的应用,将出示和进行认证,注意,取得的过程是通过安全协议的。 如果通俗形象地说就是:相当于用户要去游乐场,首先要在门口检查用户的身份( 即用户的和), 如果用户通过验证,游乐场的门卫() 即提供给用户一张门卡()。 这张卡片的用处就是告诉游乐场的各个场所,用户是通过正门进来,而不是后门偷爬进来的,并且也是获取进入场所一把钥匙。 现在用户有张卡,但是这对用户来不重要,因为用户来游乐场不是为了拿这张卡的而是为了游览游乐项目,这时用户摩天楼,并想游玩。 这时摩天轮的服务员() 拦下用户,向用户要求摩天轮的() 票据,用户说用户只有一个门卡(), 那用户只要把放在一旁的票据授权机() 上刷一下。
统一身份认证及访问控制 技术方案
1.方案概述 1.1.项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于 Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统, OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。
1.2.系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: 单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 基于角色访问控制:根据用户的角色和URL实现访问控制功能。 基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。 全面的日志审计:精确地记录用户的日志,可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果通过Web界面以图表的形式展现给管理员。 双机热备:通过双机热备功能,提高系统的可用性,满足企业级用户的需求。
随着教育信息化的普及,学校建立了或者即将建立多套系统,用来实现对行政管理、教学管理、人员管理等学校内部各方事务的信息化服务。但是,由于各个系统分管的部门不同,应用对象不同,对学校影响的紧迫程度不同,各个系统是分步建立的。各个系统的建立时间不同,系统的厂商也不同,从而导致各个系统之间大都相对独立存在,使用者需记忆不同的登录账号,登录不同系统进行操作。这无疑加大了用户日常使用过程中的不便性,降低了工作效率。而学校的系统管理员在对多套系统的用户管理时,无法进行统一的账号及权限管理,这也增加了系统管理人员的管理负担,造成用户管理的不规范,对于信息安全存在一定的安全隐患。 统一身份认证系统就是解决上述问题行之有效的工具。 统一身份认证系统作为平台的安全认证及授权中心,主要为各应用系统提供集中的身份认证与授权服务。用户通过统一信息门户实现单点登录,提高信息化管理应用系统的安全性。通过指定相应的集中认证技术规范,提供统一的应用系统用户管理接口,最终实现学校(教育局)所有系统用户认证的集中统一管理,大幅简化用户登录过程,显著提高工作效率。同时也减轻系统管理员的用户管理工作,统一用户管理。 系统提供一系列全面的认证、授权控制和管理工具,对数据的访问和使用进行全方位多层次的许可、控制和管理,并保护数据拥有者和使用者的数据安全。对于数据库中的同一数据不同用户根据其拥有的权限集的不同定义对该数据对象的操作能力,包括创建、增加、修改元数据的索引属性,创建、增加、修改数据对象以及对数据注释信息进行操作等功能,从而实现对数据的安全保护,提升学校(教育局)的信息安全水平。
单点登录 统一认证、授权和单点登录系统是和门户系统紧密集成的一套基于策略的访问控制平台,采用开放的架构,支持可插接的用户认证模块,能够支持当前主流安全架构,可供Java、.net、ASP、PHP等开发平台调用实现统一认证。其基于LDAP目录服务器,实现用户的身份认证、应用资源的访问控制、策略管理与服务。提供包括传统的用户密码认证、数字证书认证、CA证书认证、动态短信认证等多种认证手段,实现“一次鉴权(认证和授权)”——单点登录,提供基于Web的多种应用程序,即通过浏览器实现对多个B/S 架构应用的统一账户认证。实现了用户只需认证一次,就可以无须再次登录地访问其做授权可以访问的业务系统。 身份管理 建立基于目录服务的统一身份管理机制,建设全校(局)统一的用户身份库,实现用户信息的集中存储和管理,用户信息规范命名、统一存储,用户ID全校(局)唯一,并提供标准接口,实现不同应用系统的用户身份的同步,支持海量的基于LDAP目录服务器的用户数据存储和管理功能。 认证管理
统一身份认证平台功能 描述 文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
数字校园系列软件产品 统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
工作时,您需要访问公司的多个业务系统,不同的用户名和密码,频繁的登录和切换,简易密码易遭盗用,复杂密码难以记忆。您是否遭遇过因遗忘密码耽误工作,甚至丢失密码造成泄密……?如果您正巧是IT 系统管理者,维护公司各业务系统中庞大的、不断变化的用户信息,则足以让您精疲力尽。 关系管理系统等。传统方式下,各业务系统分别为员工创建帐号和密码,拥有各自独立的用户信息;相对应的,每位员工则必须记住多个用户名和密码以访问不同的应用。问题随之而来: 1. 用户使用不便。 用户必须设法记住若干个用户名和密码,并在登录每个业务系统时使用,要访问其他系统的资源则必须进行频繁的切换。 2. 管理维护复杂。 It 部门需单独维护每套业务系统的用户身份和存取管理,每一次用户情况发生变化都必须逐一在各个业务系统中修改用户信息,分配角色权限,任务繁重且容易出错。 3. 安全隐患严重。 造成极大的安全隐患。 由于维护工作头绪繁杂,管理员极有可能疏忽了在某业务系统中禁用离职员工的帐号,造成相应的商业信息被非法访问。 按照业务流程,新进员工会在人力资源中注册,注册员工帐户会自动在活动目录(AD )中创建,并根据授权自动在其他业务系统中生成,用户信息统一从人力资源系统自动同步。 功能和特性 东谷单点登录(SSO )系统是一套企业级综合身份管理解决方案,帮助企业轻松应对上述难题,主要实现以下功能: 1.统一用户管理(UUMS ) 东谷SSO 系统中的统一用户管
2.组织结构同步 上规模的企业都拥有比较复杂的组织结构。如果组织结构不能自动同步到其他系统,则维护工作将十分繁重。在AD中,员工调动不仅是组织单位(OU)变动的问题,还涉及用户所属的部门安全组成员变动。东谷SSO系统改进了AD的安全维护,充分为IT管理人员着想,实现组织结构自动与AD同步,并且自动调整安全组中的人员。 3.密码同步 东谷SSO系统支持单点/多点密码修改。单点密码修改实现起来比较简单,但一般要求用户改变自己修改密码的习惯。多点密码则基本不改变用户习惯。类似获取活动目录(AD)的密码并同步处理这样的难题,东谷SSO系统能够很好地解决。 4.单点登录 东谷SSO系统实现多种灵活的单点登录方式,根据客户需求定制,可以通过SSO门户登录,也可通过SSO客户端登录等。 其中一项重要特色是东谷SSO系统和企业范围内业务系统完美集成。无需门户,也无需客户端,并且无需改变用户以前访问业务系统的任何习惯。用户在Web浏览器中输入URL进入系统、通过网页链接进入系统,或通过以往的任何可用方式进入系统,都可以实现单点登录。对最终用户而言,改变的只是更简单的操作(省略了密码输入环节)和更顺畅的使用体验。 5.即插即用式单点登录 除了企业范围内业务系统单点登录集成外,最终用户往往有自己的特定需求,不同用户可能在不同内网或外网有不同的登录信息,比如有登录CSDN, 登录hotmail, 163邮箱等。这些信息一般不需要在企业范围统一处理。 东谷SSO系统为这类需求提供即插即用单点登录功能,用户只需要将这些不同系统的登录过程做简单的记录,今后就无需再重复输入登录信息。这种方式扩展了 单点登录的应用范围和适应性。à 小结:东谷单点登录解决方案的突出特性 ① 支持活动目录集成 ② 支持异种环境(包括.NET,J2EE) ③ 实现统一用户管理 ④ 实现密码同步 ⑤ 支持多种方式单点登录(从服务器,客户机,IE浏览器 ) 推荐: 东谷活动目录(AD)部署与开发 活动目录(Active Directory)服务是Windows 平 台的核心组件,它为用户管理网络环境各个组成要素的标 识和关系提供了一种有力的手段。随着基于目录的应用日 益流行,企业可以使用Active Directory构建和管理各种复杂的企业网络环境。 东谷技术团队有着丰富的活动目录部署和开发经验,能够提供大中型活动目录规划设计和部署服务,并深入进行 定制开发。 提供活动目录逻辑和物理设计,规划站点和域,设计组织单位、安全组,将客户计算机加入域中,实施安全策 略,规划安全的文件、打印机访问。 东谷开发活动目录同步管理,可以根据客户需求,实现人力资源系统和活动目录自动同步(增加/修改/删除),包括人员信息,部门、组织结构信息,安全组同步等,确保 用户信息的一致性。 用户以最小权限登录到客户机,不能任意下载、安装、运行未经企业许可的软件,使管理变得更方便,安全性得 到显著增强。 最小权限控制需要处理好一个特例:某些特定软件必须管理员权限才能运行,如设计部门专用的CAD软件等。如何让最小权限的用户能够使用?东谷基于活动目录的最小 权限管理方案,可以圆满解决这个问题。 当客户机需要安装软件时,常见的方式是管理员到每台客户机前进行安装,原因是用户可能不会安装,或者没有 安装权限。 使用东谷活动目录的软件单点推送方案,管理员只需从一台服务器,推送(PUSH)客户机所需要的软件即可。与之相对,同样可以做到单点删除客户软件。即使客户软件正 在使用中,也可强制中止使用,并进行删除。 活动目录规划设计和部署: 活动目录开发: 1. 活动目录同步管理 2. 最小权限控制 3. 软件单点推送部署