考生身份指纹验证系统
解决方案
北京中天一维科技有限公司
考生身份指纹验证解决方案
目录
1 术语 (1)
2 方案概述 (3)
3 需求分析 (6)
3.1 基本功能需求 (6)
3.2 管理需求 (6)
3.3 安全需求 (7)
3.4 与业务系统无缝融合的需求 (7)
3.5 系统的可扩展性需求 (7)
4 考生指纹身份验证系统解决方案 (8)
4.1 实现原理 (8)
4.2 系统结构 (10)
4.3 业务流程描述 (12)
4.3.1 指纹采集及IC卡准考证生成流程 (13)
4.3.2 考场考生身份指纹验证流程 (14)
4.3.3 考试完成后数据统计流程 (16)
4.4 系统实施所需工作 (16)
1术语
(1)考试综合业务管理系统
在本方案中,考试综合业务系统指目前在各种考试管理中使用的业务系统,虽然考生身份指纹认证系统和考试
综合业务管理系统有密切的联系,但是在本方案的描述
中,为突出考生身份指纹验证系统,考试综合业务管理系
统将不包含考生指纹身份验证系统。
(2)考生身份指纹验证系统
身份指纹验证是指利用指纹识别技术对需要身份验证的人员进行合法身份验证的过程。
在本解决方案中,考生身份指纹验证系统指为满足使用指纹验证考生合法身份的需求而开发的指纹身份验证
系统,考生身份指纹验证系统包括硬件系统和软件系统。
(3)指纹登记过程
在本方案中,登录(或登记)指使用指采集仪,对手指进行若干次采样,经过一系列处理后,产生指纹模板的
过程。
指纹采集仪在登录时要进行三次指纹采样,然后按照一定的算法产生出模板。
(4)指纹特征或指纹模板
在本方案中,指纹特征或指纹模板指使用指纹采集仪对手指进行若干次采样后得到的指纹固有属性,在考生身份指纹验证系统中,指纹模板作为母板存放在后台数据库、手持POS机或学生准考证内(IC卡存储介质)。(5)指纹验证或指纹比对
在本方案中,指纹验证或指纹比对是指实时采集某个考生手指的图像,生成指纹特征,并与存放在后台数据库中、手持POS机内或学生准考证内(IC卡存储介质)中事先采集的指纹模板进行匹配,以证明考生身份的真实性。
2方案概述
21世纪,国家之间、企业之间的竞争将突出的体现在人才的竞争上,而人才的培养要靠教育。十一届三中全会以来,特别是近年来,中国的教育事业发展迅速,高等教育、自学考试、职业教育和再教育等自成体系并且互为补充。考试,作为检验学习成果和个人能力的重要手段,历来深受重视。据不完全统计:2001年仅参加高考的人数就达到453万。参加高等教育自学考试、成人高考、会计师、律师资格考试等国家级的考试人数则更多。
伴随着各级各类的考试,作弊从来就没有停止过,而且愈演愈烈。教育部自考办考务与监察处表示:考试作弊作为一种社会性问题,在当前市场经济交易原则泛化、急功近利观念上升等不良风气影响下,包括自考在内的各种考试中,作弊的人数、手段、心态等方面,的确是日益呈现出复杂化、严重化的倾向。近年来,考试作弊的手段也越来越“高明”:从夹带,抄袭发展到利用BB 机,手机传递答案,甚至利用数码合成手段制作假证件、雇佣“枪手”冒名顶替等等。这已严重的影响到了考试的公正性和严肃性。
目前,在各级各类考试中都已出现了“枪手”,枪手已经成为了一种新兴职业,有的人替考托福、GRE可以一次收入三万元。
考试替考严重地败坏了社会风气,不能将真正有能力、有学识的人才选拔出来,这种考试已经失去了考试的意义。
此外,替考、作弊影响了各级考试的声誉,国外有些机构已经将在国内进行的GRE等考试的信誉等级降低,甚至出现了中国国内考试分数打折的怪现象。
从某种意义可以说,考试的监管力度不够是最大的不公平。加强考试管理,严肃考试纪律,狠刹各种违纪,舞弊歪风已迫在眉睫。虽然各地对各种考试也加强了监考力度和处罚力度,这对于夹带、抄袭等传统作弊手段比较有效,而对于照片合成、制作假证件等多种利用先进科技手段进行的冒名顶替则收效甚微。众所周知,人的指纹具有唯一性与排他性,人各有异、终身不变、不怕丢失、不易假冒。那么能不能利用指纹来实现考生的身份识别呢?答案是肯定的,一维科技开发的具有自主知识产权的指纹考试管理系统就为这一难题提供了一个好的解决方案。
一维科技拥有在指纹识别方面先进的软硬件综合解决能力,开发的考试指纹管理系统既可以单机使用、也可以联网使用;既可以适用于成人高考、自学考试、会计资格考试、出国留学资格考试等这样规模较大的考试,也可以适用于职业教育考试、各种资格证书考试、各种职称考试等规模较小的考试。
考试指纹认证系统能够非常有效地杜绝代考现象,目前国内已经有一些地区在考试中尝试采用了指纹认证手段,特别是在前两年高考舞弊的重灾区,取得了很好的社会影响。如山东菏泽,2004年高考中就曾利用指纹认证技术抓住了枪手,而且采用了指
纹认证手段后,也极大的震慑了“枪手”,使之不敢代考,从而真正做到通过考试向社会推荐合格的有用人才。
运用高科技的手段和我们优质专业的服务,通过对考生进行指纹身份认证可提高考试主办单位的考试管理水平。为广大考生创造一个公平、公正的考试环境,杜绝代考等不良现象的发生蔓延,提高考试的可信度,充分体现考试的严肃性。对考试主办方的工作将会提供很大的助益。
公平、公正的考试环境是无法用金钱来衡量的,其社会效益是难以估价的。
3需求分析
考生身份指纹验证系统根本出发点是采用指纹鉴别技术验证考生合法身份。在部署考生身份指纹验证系统时,不仅仅是单纯的实现考生的指纹验证,而应该充分考虑到考试主管单位在考生身份指纹验证方面的功能需求、管理需求、安全需求、和现有考试综合业务系统的融合、系统可扩展性需求等一系列问题。
3.1 基本功能需求
首先,从基本功能需求方面,考生身份指纹验证系统可满足对考生身份验证的实时性、高效性和可靠性,即当场采集指纹快速得到可信的验证结果;考生身份指纹验证系统数据库要能够读取考试综合系统数据库中的数据,以保证考生信息一致;考生准考证内可以存储包括指纹模板在内的所有学生信息。
其次,考生的身份验证能够利用机器进行识别,从而保证验证过程的客观公正;考生的指纹特征同时存储在后台数据库和学生准考证内(IC卡);指纹验证设备可移动可手持,并且具有一定的防震能力。
3.2 管理需求
在管理需求方面,考生身份指纹验证系统可满足考试主办方对考试管理的需求,依据考试管理标准进行快速的系统部署。
3.3 安全需求
在安全需求方面,考生指纹身份验证系统具有系统安全性、设备安全性、信息安全性、运行安全性等多方位的设计考虑。
3.4 与业务系统无缝融合的需求
与现有考试综合业务管理系统的无缝融合方面,根据目前考试综合业务管理系统的实际情况,可作到尽可能少改变现有系统及应用流程,实现考生身份指纹验证系统和考试综合业务管理系统的无缝融合。
3.5 系统的可扩展性需求
在扩充需求方面,考生身份指纹验证系统的设计上充分考虑考试管理业务上的可扩充性,当需要在新的业务中采用指纹身份验证功能时,可方便地将指纹应用由现有业务扩展到新增业务。
4考生指纹身份验证系统解决方案
“考生指纹身份验证系统”由一维科技自主研发。该系统可以满足考试管理环节中在考试过程中实时验证考生身份的需求。
4.1 实现原理
考生身份指纹验证系统采用了一维科技自主研制开发的指纹识别手持POS机、学生准考证(IC卡)和配套软件,是适合各类考试管理的考生身份指纹认证系统。
指纹识别手持POS机简介:
手持式指纹POS机是基于一维科技最新的指纹识别模块和智能卡掌上电脑而开发的管理系统。它是考生身份验证系统的主要组成部分,它可以实现指纹图像采集、指纹特征提取、指纹模板生成、指纹比对等功能。系统采用IC卡的安全机制和加密技术对数据加密,并采用生物识别技术确认持卡人身份,保证了安全性和合法性。具有以下特点:
手持指纹POS机集成了第五代活体指纹传感器件、内置高速DSP等多项先进的
技术,应用自主开发的指纹图像处理算法与指纹识算法,可在读写器上独立完成指纹采集、图像处理、特征比对等功能,具有技术先进、应用便捷、低价格等特点,是实现个人指纹特征比对鉴别的理想工具;采用独立的智能化指纹处理,可根据环境自动调整指纹采集参数,不受各种气候条件、人自身因素(如手指的干湿度)的影响;指纹验证读写器采用独特的外形设计,用户操作、使用的方便。
手持指纹POS机复合了指纹识别技术和IC卡读写技术,具有指纹采集与IC卡(接触/非接触式IC卡)读写功能;能够独立进行指纹特征值提取和存储,占用空间小,指纹识别准确,精度高,比对速度<0.01秒;能够实现指纹的脱机比对和身份认证,可广泛应用于采用IC卡为存储媒介的指纹暂住证、指纹身份证、指纹准考证、指纹金融卡、电子钱包以及其他需要脱机验证卡的系统。
手持指纹POS机低功耗,待机时间长,其独特的节能设计保证了更长时间的使用。电池采用锂电池,自带充电器。具有大容量的存储空间,并可根据需求向上扩展,通常指纹数据存储容量可在800枚以上。
基于指纹手持POS机的考生身份指纹验证系统工作原理是:(1)考前为学生发放IC卡准考证,准考证内存储有学生的基本信息及通过我们的指纹比对算法提取的该考生的指纹特征。(如图1)
图1:考生IC卡准考证示意图
(2)在考试前或考试中,监考教师利用指纹手持POS机和IC卡准考证对每一位考生进行考生身份指纹验证。教师现场采集考生指纹,并与IC卡准考证内的指纹进行比对识别,如果比对成功则认为该考生为合法考生,如果不能通过指纹比对验证则记录下该考生的基本信息,以备后续的工作。(如图2)
图2:考生身份指纹认证过程原理
综上所述,基于指纹手持POS和IC卡准考证的考生身份指纹验证系统是将考生的指纹特征及基本信息存储在IC卡准考证内,利用手持POS机现场验证指纹以确认合法身份的过程。4.2 系统结构
考生身份指纹验证系统可以布臵在各型的考试环境中,如国家级考试、校内考试、职称考试等等。
基于指纹手持POS机的考生身份指纹验证系统解决方案的网络系统主要由考试指纹数据服务器、联有指纹采集仪的报名点PC
机、IC卡读写器(制卡机)、指纹手持POS机及考生指纹验证系统软件组成。
考试中心服务器内安装有考生身份指纹验证系统软件服务器端,并且安装有数据库管理软件。在服务器内存储的数据为所有考生的基本信息及指纹特征。
联有指纹采集仪的报名点PC机内安装有考生身份指纹验证系统软件的客户端,该软件作为考生的指纹采集及制卡工作。将所有的报名点PC机与服务器相联,从服务器获取学生的基本数据、采集考生指纹、将指纹特征写入后台数据库、生成考生IC 卡准考证。
当考试开始前学生持IC卡准考证进入考场并接受指纹身份验证。没有通过指纹身份认证的考生信息将被记录在指纹POS机内,以备后续处理。
网点系统结构及接入方式如下图(图3):
图3:系统结构示意图
考生身份指纹认证系统的考试指纹数据服务器可以与现有考试中心服务相联,也可以独立运行;服务器内存储的学生基本信息可以来自现有考试中心服务器也可以直接由指纹采集PC机录入。
IC卡的生成可以在报名点PC机上单独生成也可以利用服务器和制卡机成批生成IC卡准考证。
4.3 业务流程描述
考生身份指纹认证系统工作流程可分为三个主要子流程:
第一部分:指纹采集及IC卡准考证生成
考生到指定的地点进行指纹采集,并生成IC卡准考证。
第二部分:现场考生身份指纹认证
在考试前进入考场过程中进行考生身份指纹认证,由当堂监考老师操作完成。或者在考试过程中由专职检验员巡回各考场进行考生身份指纹认证。
第三部分:数据统计子流程
在考试完成后进行数据统计,统计该考场内共有多少名考生通过了指纹身份认证,多少名考生没有通过,以及没有参加考试的考生编号是多少。而后将POS内的数据进行上传。
4.3.1指纹采集及IC卡准考证生成流程
(1)考生手持身份证、学生证及原准考证(新生除外)等有效证件来到报名地点,报名管理老师核实考生证件。考生身份核实过程中可参考现有考试中心服务器系统中的考生基本信息。
(2)录入考生基本信息(也可以从现有的考试中心系统中提取),采集考生指纹并验证指纹模板的有效性。指纹模板及考生基本信息存储。
(3)将新录入的考生信息及考生指纹模板写入IC卡,生成该考生的IC卡准考证。此过程推荐采用集中生成IC卡准考证的方式,即利用制卡机发卡,现场利用数码摄像头拍摄考生照片并印制于IC卡准考证表面。从而使IC卡准考证不但可以机读也可
以进行初步的人眼识别。
流程图如下图:(图4)
图4:数据采集及IC卡生成流程图
4.3.2考场考生身份指纹验证流程
(1)监考教师站在考场门口手持指纹POS机等待考生进入。
(2)考生手持IC卡准考证来到考场门外等待进行指纹身份认证。
(3)考生将IC卡准考证交给监考教师,监考教师首先针对IC卡表面的考生基本信息(包括照片)进行人眼识别。
(4)考生在手持指纹POS机是采集指纹,然后交给监考教
师。
(5)监考教师插入该考生的IC卡准考证,此时手持指纹POS 机自动进行指纹比对操作,半秒钟后显示比对结果。然后将IC 卡准考证归还考生。
(6)如果该考生的指纹身份认证正常通过,他将进入考场进行正常考试,如果该考生不能通过指纹身份认证则不能进行考场,同时记录该考生的信息和指纹特征。
考生身份验证的基本流程如下图:(如图:5)
图5:考场考生身份指纹验证流程示意图
4.3.3考试完成后数据统计流程
(1)当日(或当堂)的考试完成后,监考教师上交手持指纹POS机。
(2)考试中心管理人员将POS机的数据上传到服务器当中,并对当天(当堂)的数据进行分类统计。
4.4 系统实施所需工作
本系统可以采用独立运行方式进行系统部署。手持指纹POS 机+IC卡的考生身份指纹验证系统,可无关现有的考试管理系统,而是另外使用一套独立软硬件系统。因而该系统具有快速部署的能力。
本系统也可以与现有考试管理业务系统结合到一起,保证考生数据的唯一性和统一性。我们可以提供相应的软件接口,使二个系统的融合变得简单。
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
企业财务系统的CA身份认证和电子签名解决方案 1、用户需求: 总结用户需求如下: ●财务系统需要提升安全级别。财务系统的基本情况如下: ?财务系统的系统结构、操作系统、开发语言等(略) ?三种主要应用功能:预算申请、审批、修正;费用的申报;对财务系统查阅。 ●需要解决单纯的用户名/密码登录的脆弱性问题,确保登录财务系统的身 份的真实性。 ●需要对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的 应用需求。 2、解决方案 具体设计方案如下: ●建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。 具体建设方案如下: ?证书服务器负责证书的日常管理。 ?管理终端完成证书的申请和发放工作。 ?为应用服务器颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保应用服务器身份和个人身份的真实性。 ?用户手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K。 用于私钥存储,确保私钥的安全。 ?采用SQL数据库,用于证书服务器生成证书和CRL的存储 ●建设数字签名中间件,对用户在财务系统中的操作实现数字签名,实现 抗抵赖的功能。具体建设方案如下: ?将数字签名服务器与应用服务器共同部署; ?在IE中部署签名插件; ?用户的操作需要用私钥进行签名; ?服务器端对用户的签名数据进行验签;
?应用数据和签名数据进行分别的存储。 具体部署的拓扑图如下(略) 3、用户收益 采用本方案后用户收益如下: ●通过强身份认证手段的采用,确保所有登录财务系统用户的身份的真实 性 对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的应用需求。 ---------------------------------------------------------------------------------------------------------------------- 北京安软天地科技有限公司 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
统一身份认证及访问控制 技术方案
1.方案概述 1.1. 项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。 1.2. 系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: ?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 ?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 ?基于角色访问控制:根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别,杜绝非法入侵和接入保护为 主要设计理念,金盾准入控制保护系统是金盾软件公司独创的,国际领先的 产品功能,是产品的核心功能之一,具有实施简单,主动发现、自动防御、效果显著等特点,极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料? □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统?
方案功能 安全状态评估 □终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。 □终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。 □终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后,定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。 □网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。 □软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。 □内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
乌拉特中旗人民医院 信息系统用户身份认证与权限管理办法 建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问,所有未被授权的人无法访问到这些数据。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。权限控制是信息系统设计中的重要环节,是系统安全运行的有力保证。身份认证与权限控制两者之间在实际应用中既有联系,又有具体的区别。为规范我院身份认证和权限控制特制定本措施: 一、身份认证 1、授权:医生、护理人员、其他信息系统人员账号的新增、变更、停止,需由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明权限范围后,交由信息科工作人员进行账户新建与授权操作。信息科将《信息系统授权表》归档、保存。 2、身份认证:我院身份认证采用用户名、密码形式。用户设置密码要求大小写字母混写并不定期更换密码,防止密码丢失于盗用。 二、权限控制 1、信息系统权限控制:医生、护理人员、其他人员信息系统权限,由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明使用权限及其范围之后,交由信息科进行权限审核,审核通过后方可进行授权操作。 2、数据库权限控制:数据库操作为数据权限及信息安全的重中之重,
因此数据库的使用要严格控制在十分小的范围之内,信息科要严格保密数据库密码,并控制数据库权限,不允许对数据库任何数据进行添加、修改、删除操作。信息科职员查询数据库操作时需经信息科主任同意后,方可进行查询操作。 三、医疗数据安全 1、病人数据使用控制。在进行了身份认证与权限管理之后,我院可接触到病人信息、数据的范围被严格控制到了医生和护士,通过权限管理医生和护士只可对病人数据进行相应的计费等操作,保障了患者信息及数据的安全。 2、病人隐私保护。为病人保守医疗秘密,实行保护性医疗,不泄露病人的隐私。医务人员既是病人隐私权的义务实施者,同时也是病人隐私的保护者。严格执行《执业医师法》第22条规定:医师在执业活动中要关心、爱护、尊重患者,保护患者隐私;《护士管理办法》第24条规定:护士在执业中得悉就医者的隐私,不得泄露。 3、各信息系统使用人员要注意保密自己的用户口令及密码,不得泄露个他人。长时间离开计算机应及时关闭信息系统软件,防止泄密。 乌拉特中旗人民医院信息科
XXXX学院网络统一身份认证计费管理系统 建设方案 2016年03月 目录 一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案................................................. 1.方案设计 .............................................. A.方案(串连网关方式)................................. B.方案(旁路方式+BRAS,BRAS产品) 四.认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
身份管理平台解决方案 1. 应用背景 计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,在企业信息化过程中,诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生,提高了企业的管理水平和运行效率。与此同时,各个应用系统都有自己的认证体系,随着应用系统的不断增加,一方面企业员工在业务系统的访问过程中,不得不记忆大量的帐户口令,而口令又极易遗忘或泄露,为企业带来损失;另一方面,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。 在上述背景下,企业信息资源的整合逐步提上日程,并在此基础上形成了各业务系统统一认证、单点登录(SSO)和信息综合展示的企业门户(Portal)。现有的门户产品多集中于口令方式的身份认证,如何更安全的进行统一认证,并保证业务系统访问的安全性,成为关注的焦点。 2. 基于CA认证的统一身份管理平台 时代亿信推出的基于CA认证的统一身份管理平台解决方案,以资源整合(业务系统整合和内容整合)为目标,以CA认证和PKI技术为基础,通过对用户身份的统一认证和访问控制,更安全地实现各业务系统的单点登录和信息资源的整合。 平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式,并采用SSL 加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。 2.1 系统功能及架构 平台的系统架构如图1所示,主要包括以下部分: 门户系统(Portal):各业务系统信息资源的综合展现; 平台管理系统:平台用户的注册、授权、审计;各业务系统的配置;门户管理; CA系统:平台用户的数字证书申请、签发和管理; 用户统一认证:用户身份的CA数字证书认证、认证过程的SSL加密通道; 单点登录(SSO):业务系统关联(mapping)、访问控制、访问业务系统时信息的加密签名和SSL加密通道; 图1 基于CA认证的统一身份管理平台架构 2.2 系统的实现和安全机制 2.2.1 用户注册和授权 (1)企业每一个用户在平台完成用户注册,得到自己的统一帐户(passport); (2)如果采用证书文件或USB智能卡认证方式,则CA系统自动为平台用户签发数字证书,并与用户的统一帐户对应。 (3)注册的用户可以由管理员进行分组,并根据分组设定相应的业务系统访问权限。 2.2.2 业务系统的配置 接受统一认证的业务系统必须完成以下工作: (1)安装业务系统访问前置并配置证书和私钥,用以建立客户端与业务系统之间的SSL 加密通道,并接收处理平台提供的加密签名的用户认证信息; (2)提供关联(mapping)接口和访问验证接口,并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息(可能包括业务系统的用户名和密码)的对应关系。
身份认证解决方案 目前在U8中用户的身份认证支持四种模式:用户+口令(静态密码),动态密码、CA认证和域身份认证,同一时间,一个用户只能使用一种认证方式,但是不同用户可以根据权限,重要程度交叉使用不同的认证方式。 1.设置认证方式 在系统管理模块中增加操作员的时候设置认证方式,默认支持用户+口令,用户可以更改以便于支持其余三种模式。
图一 2.合作伙伴支持的身份认证在U8系统中的使用 2.1易安全动态密码 1.在U8的应用服务器上,安装“易安全动态密码系统”,根据《U8_动态密码安装配置手 册(深圳海月)》进行相关配置。 2.在系统管理里设置认证方式为“动态密码”,如图一所示,默认支持的是静态口令。 3.配置完成后,在客户端登录产品,密码输入框必须输入由设备动态产生的密码才可,如 图二所示: 图二 备注: 两个系统要求用户编码共用,即不论采用哪种认证方式,用户名必须是通过U8的系统管理产生的,易安全动态密码系统支持批量导入U8用户,权限控制必须在系统管理中完成,如果使用动态密码认证,在系统管理增加用户时,可以不考虑密码信息,同时关于密码的安全策略将不起作用。 详细介绍见《U8动态密码解决方案(深圳海月)》 2.2BJCA的证书使用 BJCA支持两种PKI/CA建设模式:企业自建CA和托管CA。 企业自建CA就是企业自己创建和维护根证书,自行颁发证书。用户身份只需要企业内部审查即可,用户唯一标识为自定义名称,比如test、demo等。
托管CA是企业到BJCA申请证书,BJCA使用Public Trust CA体系为其颁发证书,用户的身份要经过BJCA严格审查,默认唯一标识为身份证号码或企业组织机构代码。 具体使用步骤: 1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。 2.在U8的客户端安装BJCA的客户端证书管理工具,请参阅《U8_CA安装配置手册(BJCA)》进行相关配置。 3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称,名称必须是字母或数字,不能含中文。如图三所示: 图三 4.配置完成后,在客户端登录产品,密码输入框输入的是在U8系统设置的用户密码, 点击确定后,验证U8密码正确后,再次弹出证书PIN码的输入框,如图四所示: 图四 输入PIN码,确定后,系统自动验证证书的合法性。 备注: 目前U8系统中的CA认证采用的是传统的用户名(密码)+证书的双重认证,使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确,安全策略中的密码策略只对U8密码起作用,修改密码也仅修改U8自身的密码。 用户在托管CA申请证书时,必须正确提交企业系统名称。 详细介绍见《U8安全解决方案(BJCA)》 2.3天威诚信的证书使用 天威诚信也支持两种PKI/CA建设模式:第三方托管CA服务和自建型CA系统。 第三方托管CA服务,是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书,用户在本地只要建设少量的CA模块,就可以实现CA认证的功能。 自建型CA系统是指客户购买天威诚信开发的PKI/CA软件,建设一个独立的PKI/CA 系统,除了购买系统软件之外,还包括系统、通信、数据库以及物理安全、网络安全配置、
课
题
程
目
设
计
报
告
身份证管理系统
学
号
0908***
姓
名
***
年级专业
09 电子信息工程
无 同组人员
无 学 号
指导老师
***
完成日期
2010
年 6
月
24
日
安徽师范大学物理与电子信息学院 College of Physics and Electronic Information, Anhui Normal Universi
1
一、实践的目的和要求
加深对《C 语言》课程所学知识的理解,进一步巩固 C 语言语法规则。学会编制结构清 晰、风格良好、数据结构适当的C语言程序,从而具备解决综合性实际问题的能力。
二、实践内容
在熟练掌握 C 语言的基本知识:数据类型(整形、实型、字符型、指针、数组、结 构等) ;运算类型(算术运算、逻辑运算、自增自减运算、赋值运算等) ;程序结构(顺 序结构、判断选择结构、循环结构) ;大程序的功能分解方法(即函数的使用)等。进一 步掌握各种函数的应用,包括时间函数、绘图函数,以及文件的读写操作等。
三.问题描述:
用 C 语言编写程序,实现添加,删除,查找等相关功能。
四.基本要求:
(1)具备添加、删除功能; (2)具备多种查询功能:按年龄、出生日期等; (3)具备统计功能,能统计某年龄段的人数; (4)在此基础上,可进行文件操作。
五.分析:
系统需求 一、 当前身份证信息:通过结构体 Person ID 来保存人的姓名,生日,民族,性别,地址, 身份证号等等相关信息,并且通过 input 函数来进行给当前身份初始信息输入. 二、 身份信息查询: 输入一个人名字, 在文件中查找此人, 若找到则输出此人的全部信息; 若找不到则输出查找失败的信息。 三、新信息插入 :通过 insert 实现添加功能,然后还可以按生日日期从小到大排序。 四、输出全部学生信息和全部学生成绩。 五、退出系统. 六、附加说明:系统将来完善的功能有:可以通过年龄来模糊查询,也可以通过姓名的 姓来先进行模糊查询,以便后面精确查找。 实际上未完成文件操作和根据年龄查询这两项功能, 所以这个程序的功能也相应大打 折扣,也是需要进一步改进的地方,尤其是文件操作,即对文件继续存储和读取.........
2
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS 统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能:
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
双因素认证方案 一、网络安全认证的需求背景 网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况,用户如果只依赖个人密码进行帐户登录或网上交易,是非常危险和不可靠的认证方法。针对这些问题,北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务,对象是那些为企业VPN安全登录、IDC 远程访问管理、消费者提供网上交易和服务的网上商户。他们只要安装了中科恒伦的双因素认证系统,便能为其客户提供身份认证服务,使其消费者日后能以简单轻松的方法,随时随地享受网上服务。IT管理员或者终端消费者也不用再终日提心吊胆,网上商户因此能与其客户建立更亲密和信任的关系。 二、现存主要的身份认证技术分析 目前,计算机及网络系统中常用的身份认证方式主要有以下几种: 1.用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只要能够正确输入密码,计算机就认为操作者就是合法用户。出于对安全的要求,要求用户定期更改密码,且不能重复,而实际上,由于许多用户为防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样就容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此,从安全性上讲,用户名/密码方式是一种极不安全的身份认证方式。 2.智能卡认证 智能卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是基于 “what you have”的手段,能过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。 3.动态密码认证 动态密码认证是一种基让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。其技术是基于动态令牌的,密码生成芯片运行专门的密码算法,根据当前时间生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认
` 统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (15) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (26) 4.3 微型的业务系统 (27) 4.4 外部组织机构 (28) 第5章角色(用户组)管理 (29) 第6章职员(员工)管理 (32) 6.1 职员(员工)管理 (32) 6.2 职员(员工)的排序顺序 (32) 6.3 职员(员工)与用户(账户)的关系 (33) 6.4 职员(员工)导出数据 (34) 6.5 职员(员工)离职处理 (35) 第7章部通讯录 (37) 7.1 我的联系方式 (37) 7.2 部通讯录 (38) 第8章即时通讯 (39) 8.1 发送消息 (39) 8.2 即时通讯 (41) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (4) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
身份认证管理系统(IDM)设计 身份认证管理系统(IdentityManager,简称 IDM)将分散、重复的用户数字身份进行整合,提供标准身份信息读取和查询方式, 统一化管理数字身份的生命周期,统一企业内部身份安全策略管理和权限管理, 为应用系统与此基础平台提供标准的接口, 实现统一、安全、灵活、稳定和可扩展的企业级用户身份认证管理系统。 1 系统运行平台 1.1 体系架构 系统平台的搭建采用分层的架构模式,将系统在横向维度上切分成几个部分,每个部分负责相对比较单一的职责,然后通过上层对下层的依赖和调用组成一个完整的系统。通过统一用户身份认证管理系统平台的定义,为其他子系统提供统一的用户管理、机构管理、身份认证、权限管理、用户工作平台等功能,其他子系统将没有私有的用户群、权限管理等。系统提供的功能包括:用户管理、组织机构管理、单点登录、权限管理(用户权限、数据权限)、对外接口、数据备份、用户工作平台等。 2 系统建设目标 通过本系统的建设,主要达到以下的目标:系统提供统一的用户管理、组织机构管理、身份认证、权限管理及用户工作台功能;统一的用户系统进行统一帐号创建、修改和删除,这使快速推出新的业务成为可能。公司将拥有一个提供用户全面集中管理的管理层,而不为每
个新的应用程序或服务建立分布的用户管理层。 公司各应用的用户通过一个全局唯一的用户标识及存储于服务器中的静态口令或其他方式,到认证服务器进行验证,如验证通过即可登录到公司信息门户中访问集成的各种应用;可以在系统中维护用户信息;能够根据其在公司的组织机构中的身份定制角色,根据角色分配不同的权限。 3 系统主要模块 本系统主要包含以下 5 大功能模块。① 系统设置模块:提供用户管理和组织架构管理功能。② 安全域模块:提供安全域管理和安全策略管理功能。③系统管理模块:提供资源类型定义、模块定义、角色管理、角色约束定义、用户权限管理、单次授权等功能。④ 系统工具:提供异常用户查询、导入导出工具、用户工作台、用户个人信息修改、用户注册审批、职能委托等功能。⑤ 系统日志模块:提供历史日志删除、当前登录用户、历史登录情况、用户操作日志等功能。 3.1 系统设置模块 ① 用户管理:主要用来记录用户相关信息,如:用户名、密码等,权限等是被分离出去的。提供用户的基本信息的生命周期管理,包括创建、修改、删除、冻结、激活等功能。系统增加或者删除一个用户则相应地增加或者删除一个用户的账户,每新增一个人员账户,赋予该账户一个初始化密码。要求存储用户数据时不仅支持 Oracle 数据库存储,同时支持 LDAP存储。以应对不同子系统的不同用户认证方式。
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统