产品安全认证规则
CQC76-000200-2017
非转基因产品身份保持认证规则
Certification Rules for Non-GMO Product Identity Preservation
2017年3月1日发布 2017年3月1日实施
中国质量认证中心
前言
本规则由中国质量认证中心发布,版权归中国质量认证中心所有,任何组织及个人未经中国质量认证中心许可,不得以任何形式全部或部分使用。
制定单位:中国质量认证中心
主要起草人:王吉潭、张天军、芦云、王晶
1. 适用范围
1.1为维护消费者权益,引导消费,规范非转基因产品身份保持认证(以下简称IP认证)活动,确保认证程序和管理基本要求的一致性和认证的有效性,根据有关规定制定本规则。
1.2本规则规定了实施IP认证的程序与管理的基本要求。
1.3对申请IP认证所实施相关认证活动应遵守本规则的规定。
2. 人员要求
从事IP认证活动的人员应具备必要的能力,具有相关专业教育和工作经历,接受过IP体系生产、加工、经营及认证要求等方面的培训。并按照中心有关规定取得相应IP认证检查员资质。认证机构应对本机构的认证人员的能力做出评价,以满足实施生产企业相应类别产品IP认证活动的需要。
3. 认证依据
《非转基因身份保持认证技术规范》CQC7101-2017
4. 认证模式
现场检查+产品抽样检测+跟踪检查。
5. 认证程序
5.1认证申请
5.1.1认证委托人应具备以下条件:
(1)取得国家工商行政管理部门或有关机构注册登记的法人资格;
(2)已取得相关法规规定的行政许可(适用时);
(3)按照CQC《非转基因产品身份保持认证技术规范》要求建立和实施了IP体系。
5.1.2认证委托人应提交的文件和资料:
a.认证申请书;
b.法律地位证明文件复印件;
c.有法规要求的行政许可证件复印件(适用时);
d.质量管理体系文件;
e.技术人员资格证明文件;
f.产品生产计划;
g.生产区域位置图、平面图、产品工艺流程图及工艺说明;
h.承诺遵守相关法律法规、认证机构要求及提供资料真实性的自我声明;
i.委托加工情况(适用时);
j.其他文件。
5.2认证受理
5.2.1认证机构应(通过出版物、电子媒介或其他方式)保存和根据认证委托人请求提供下列信息:
(1)有关(或涉及)认证方案的信息,包括评价程序,批准、保持、范围扩大或缩小、暂停、撤销或拒绝认证的规则和程序;
(2)认证机构获得财力支持方式的描述以及向申请人和客户收取费用的一般信息;
(3)申请人与客户的权利和义务的描述信息,包括使用认证机构名称和认证标志以及认证结论引用方式的要求、约束或限制;
(4)有关处理投诉和申诉程序的信息。
5.2.2申请评审
认证机构应在15个工作日内对认证委托人提交的申请文件和资料进行评审并保存评审记录,以确保:
a.认证过程所需的客户信息和产品信息是充分的;
b.认证机构和客户之间任何已知的理解上的分歧已经得到解决,包括在相关标准或规范性文件方面达成一致;
(3)认证范围得到确定;
(4)实施所评价活动的方法是可行的;
(5)认证机构有能力并能够实施认证活动。
5.2.3评审结果处理
申请材料齐全、符合要求的,予以受理认证申请,并签署《农产品食品认证合同》。
未通过申请评审的,应在10个工作日内书面通知认证委托人在规定时间内补充、完善,或不同意受理认证申请并明示理由。
5.3检查策划
认证机构应根据生产企业的规模、生产过程和产品的转基因身份风险程度等因素,对认证全过程进行策划,制定检查方案。
5.3.1组成检查组。检查组应具备实施生产企业相应类别产品IP认证检查的能力。初次认证及再认证检查,检查组原则上应至少由两名检查员组成,且检查组中至少有一名相应类别产品专业检查员。同一检查员不能连续两次在同一生产现场检查时担任检查组组长,不能连续三次对同一生产现场进行检查。
5.3.2检查任务
认证机构在现场检查前应向检查组下达检查任务书,内容包括但不限于:
(1)认证委托人的联系方式、地址等;
(2)认证依据,包括认证标准、认证规则和其他规范性文件;
(3)认证范围,包括认证的产品种类、生产加工过程和生产加工基地等;
(4)检查组成员,检查的时间要求;
(5)检查要点,包括管理体系、追踪体系、投入物的使用等;
(6)上年度认证机构提出的不符合项等(适用时)。
5.3.3编制检查计划。检查组应编制检查计划,并提前与受检查方就检查计划进行沟通,商定检查日期。5.3.4检查时间。应根据受检查方的规模、生产过程和产品的转基因身份安全风险程度等因素,策划检查时间,以确保检查的充分性和有效性,检查时间不应低于本规则附件的要求。
5.3.5检查应覆盖申请认证范围内的所有生产场所。当受检查方存在将影响产品转基因身份安全的重要生产过程采用委托加工等方式进行时,应对委托加工过程实施现场检查。
5.3.6必要时,为了解受检查方是否已具备实施认证检查的条件,可安排进行初访。
5.4 现场检查
5.4.1 检查目的
通过在受检查方现场进行系统、完整地检查,评价受检查方生产环境、厂房及设施、设备、机构与人员、生产过程管理、认证标识等是否符合《非转基因产品身份保持认证技术规范》及本规则的要求。
5.4.2检查程序
(1)首次会议
(2)现场检查
(3)检查组内部沟通交流
(4)与受检查方沟通交流
(5)末次会议
5.4.3检查内容
现场检查应覆盖IP认证依据的所有要求。重点应关注(但不限于)以下内容:
(1)生产资源(包括生产基地、生产过程、厂区环境、厂房及设施、生产设备、品质管理设备、人员等)的充分性、适宜性、有效性;
(2)对非转基因原料供应监管的有效性(适用时),包括原料基地或协议基地提供的非转基因原料是否与产品生产量相匹配;是否有效查验原料的非转基因身份;
(3)其它原辅料采购过程控制的有效性。检查组应对受检查方对重要原辅料的供方制定和实施的控制措施严格程度及有效性进行检查,确认受检查方是否真正具备保证产品的非转基因身份的能力;
(4)对生产过程控制的有效性,如原料运输、生产过程隔离、贮存、运输、销售等生产过程;
(5)产品检验程序的充分性、适宜性;
(6)产品可追溯性体系的建立及不合格产品的召回。
5.4.4检查方式
应通过现场观察、询问及资料查阅等检查方式实施现场检查。
5.4.5检查实施
(1)现场检查应安排在认证范围覆盖产品的生产期,检查组应在现场观察该产品的生产活动。
(2)现场检查首次会议应由检查组长主持,确认检查范围、检查目的、检查依据、检查方式、检查日程,宣布检查纪律和注意事项,确定企业的检查陪同人员。对检查中发现的不符合项如实记录,由检查组长组织评价汇总,做出综合评价意见,撰写现场检查报告,提出认证决定推荐性意见。检查报告须经检查组全体人员签字。认证机构应向受检查方提供检查报告。
(3)现场检查未发现不符合项的,现场检查结论为通过;现场检查发现不符合项的,受检查方可以在约定时间内完成整改的,现场检查结论为验证合格后通过;现场检查发现不符合项,但受检查方不能在约定时间内完成整改的,受检查方可在3个月内申请现场验证,现场验证应当由检查组成员完成,涉及专业的不符合项应由专业检查员完成验证,现场验证后再给出现场检查结论。受检查方未能在3个月内完成整改或未通过验证的,认证活动终止。
(4)检查组在末次会议上向企业通报现场检查情况,受检查方如对现场评价意见及检查发现的问题有不同意见,可作适当解释、说明。
(5)检查中发现的不符合项,须经检查组成员和受检查方负责人签字。如有不能达成共识的问题,检查组须做好记录,经检查组全体成员和受检查方负责人签字。
5.4.6 检查报告
5.4.
6.1检查组编制规定格式的检查报告。
5.4.
6.2应通过检查记录、检查报告等书面文件,提供充分的信息以保证做出客观的认证决定。
5.4.
6.3检查报告应包括检查组通过风险评估对认证委托人的生产、加工活动与认证要求符合性的判断,对其管理体系运行有效性的评估,对检查过程中收集的信息以及对符合与不符合认证要求的说明,对其产品转基因安全状况的判定等内容。
5.5 抽样验证
5.5.1应对申请认证的所有产品进行抽样检测,以验证生产企业IP体系的实施的有效性。
5.5.2认证机构应委托具备资质的检测机构对样品进行检测。
5.6 复核
5.6.1 认证机构应指派至少一人复核与评价相关的所有信息和结果。复核应由未参与评价过程的人员进行。
5.6.2 除非复核和认证决定由相同的人一并做出,否则将基于复核的认证决定的建议形成文件。
5.7 认证决定
5.7.1综合评价
认证决定人员应根据现场检查和产品抽样检测结果的基础、复核以及其他相关的所有信息作出认证决定,并结合产品生产、加工特点,企业管理体系稳定性,当地转基因产品生产现状和社会整体诚信水平等有关信息。检查组成员不得参与认证决定。认证决定人员应在现场检查结束或不符合项关闭后14个工作日内做出认证决定。
符合所有认证要求的,认证机构应颁发认证证书。
不符合认证要求的,认证机构应以书面的形式告知其不能通过认证的原因。
5.7.2认证委托人符合下列条件,予以批准认证证书:
(1)生产加工活动、管理体系及其他检查证据符合本规则和认证要求;或者,生产加工活动、管理体系及其他检查证据虽不完全符合本规则和认证要求,但认证委托人已经在规定的期限内完成了不符合项纠正或(和)纠正措施,并通过认证机构验证;
(2)产品中非转基因成份应小于等于0.9%。
5.7.3认证委托人的生产加工活动存在以下情况之一,不予批准认证证书:
(1)提供虚假信息,不诚信的;
(2)未建立管理体系或建立的管理体系未有效实施的;
(3)生产加工过程使用了转基因物质或者受到转基因物质污染的;
(4)产品检测发现转基因成分限值不符合本规则要求的;
(5)有证据明示,申请认证的产品质量不符合国家相关法规和(或)标准强制要求的;
(6)存在现场检查场所外进行再次加工、分装情况的;
(7)一年内出现重大产品质量安全问题的;
(8)未在规定的期限完成不符合项纠正或者(和)纠正措施,或者提交的纠正或者(和)纠正措施未满足评价要求的;
(9)其它不符合本规则和(或)认证要求,且无法纠正的。
5.7.4 对认证决定的申诉
受检查方如对认证决定有异议,可在10个工作日内向认证机构申诉,认证机构自收到申诉之日起,应在一个月内进行处理,并将处理结果书面通知申请人。
受检查方认为认证机构行为严重侵害了自身合法权益的,可以直接向国家认监委投诉。
5.8跟踪检查
5.8.1 跟踪检查方式
认证机构应依法对获证企业实施跟踪检查,包括现场监督检查、产品安全性验证及日常监督。
5.8.2跟踪检查频次和要求
(1)认证机构应至少每年度对获证企业进行一次通知监督检查。首次监督检查应在初次认证检查后的6个月内实施,二次检查的时间不得超过12个月。
(2)检查应在生产期进行,检查组应在现场观察该产品的生产活动。
(3)不通知监督检查可以在检查前48小时内向获证企业提供检查计划,获证企业无正当理由不得拒绝检查。第一次不接受检查将收到书面告诫,第二次不接受检查将导致证书的暂停。
(4)在获证企业IP体系发生重大变化或发生转基因污染安全事故时,认证机构应当及时实施监督检查。
5.8.3跟踪检查程序及内容
监督检查程序及内容与初次认证检查相同。监督检查还应重点关注(但不限于)以下内容:
(1)获证企业实施IP体系的保持和变化情况;
(2)原辅料日供应变化情况(适用时);
(3)重要原、辅料供方及委托加工的变化情况;
(4)非转基因身份安全性情况;
(5)顾客投诉及处理;
(6)涉及变更的认证范围;
(7)对上次检查中确定的不符合所采取的纠正措施;
(8)法律法规的遵守情况、质量监督或行业主管部门抽查的结果;
(9)证书及标识的使用情况等。
5.8.4 跟踪监督结果评价
认证机构应依据跟踪监督结果,对获证企业做出保持、暂停、或撤销其认证资格的决定。
5.9产品安全性验证
5.9.1验证频次
认证机构应根据认证风险情况实施抽样检验并确定抽检样本。每年度至少对获证企业进行一次证书覆盖范围内产品的抽检。
5.9.2抽样检验
(1)检验样本采用抽样的方式获得。抽样人员应为检查组成员或认证机构指派的人员,样本应当从企业成品仓库或生产线末端的合格品中随机抽取。
(2)产品抽样应与现场监督检查同时进行。特殊情况下,为方便获证企业,产品抽样也可以在现场检查后实施。
(3)至少抽取一个证书覆盖范围内有代表性的产品实施转基因限值指标的检验。
(4)在证书有效期内,抽检应涵盖证书覆盖范围内的所有产品。
5.9.3抽样原则
5.9.3.1初次认证时,同一原料组成的多产品,原料至少抽取一个样品。
5.9.3.2不同原料组成的产品,需对不同原料及产品应至少抽取一个样品。
5.9.3.3多场所时,由现场检查人员根据风险判断抽取样品数量,样品数量不得少于1个。
5.9.3.4跟踪监督检查时,由现场检查人员根据风险判断抽取样品数量,样品数量不得少于1个。
5.9.4 抽样方法
抽样方法按照GB/T 19495.7《转基因产品检测抽样和制样方法》、SN/T 1194 《植物及其产品转基因检测抽样和制样方法》的规定执行。
5.9.5样本及相关资料的处置
检验完毕且结果无争议后,样本按照检测机构的规定执行。
5.9.6 检验依据标准
检验依据标准见附件3中规定的检验方法。
5.9.7检验项目
根据产品生产工艺确定非转基因成份的检测项目。必要时,检查组可以增加检验项目。
智慧校园统一身份认证技术分析 由于科技和信息的高速发展,校园智慧也达到了一个新的高度,多种信息智慧的应用的确为我们带来了极大地便利。与此同时,在我们进行应用的过程中也伴随着一些问题的出现,每次频繁的进行登录,应用过程中出现的漏洞,信息维护和反应的不及时,这些与我们信息智慧校园建设的初衷背离。健全和完善身份认证可以为用户减少很多不便,一套行之有效的认证方案确有必要。 标签:身份认证;智慧校园;技术分析;统一认证 智慧校园是建立在网络平台上的应用,是数字化的一种进步与发展,高校智慧校园简单来讲就是建立在校园网上的一种数字化,用户们登录不同的平台进行学习和生活,每次频繁的登录和进行认证,密码账号需要多次记忆给用户带来了不便,统一的身份认证就是要建立一套相互连接的认证系统,学生们在不同的地点进行登录时只需要统一的密码账号,这可以大大减少记忆,对于统一身份的安全问题,可以提供从简单的密码和签字指纹认证等多种不同的保护措施,建立安全高效的校园化统一认证。 1 统一身份认证必要性 要分析统一认证是否必要,我们可以从一下三点内容来进行分析: 1.1 用户使用不便 学生和老师不同登录地点需要多次登录,多个密码多次记忆用户在进入时需要进行身份的认证,多次认证,记忆密码可能会遗忘,有时在登录时可能会忘记密码而无法验证,举个简单的例子来讲,一位同学在图书馆需要认证,在校门进入时需要认证,当他进入网络平台时同样需要进行认证,这就给用户学习生活带来了不便,多次登录浪费时间,一个密码多个平台可以大大节省物力、财力,更多资源可以进行其他建设和维护,借助于身份认证省去了密码记忆的繁琐,统一认证一次而无需其他认证。 1.2 用户的不同管理机制不同,不利于学校进行管理 正如我们了解的,学校进行更为系统的管理时需要综合分析每个不同管理机制的内容,而各个不同系统管理机制存在差异,在一定程度上学校进行管理时将更加困难一些。从形式上,用户服务虽然说都是借助于校园网进行的,但实际上,彼此之间是独立的,管理机制独立,每一个事项都需要一个管理机制,彼此之间工作各自的内容,例如图书管理系统负责维护图书借阅、图书统计,而不会负责其他内容,这就产生了许多个管理机制,学校进行集中管理,整体管理时,由于各个单元之间的独立因而无法高校管理、浪费时间和精力,我们智慧化校园要求智慧、高效、可靠,这显然是不符合的。
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
统一身份认证平台功 能描述 Revised on November 25, 2020
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题: ?用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。 ?各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工作重复,增加学校管理工作成本。 ?新开发的系统不可避免的需要用户和权限管理,每一个新开发的系统都需要针对用户和权限进行新开发,既增加了学校开发投入成本,又增加 了日常维护工作量 ?针对学生、教职工应用的各种系统,不能有效的统一管理用户信息,导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账 号,为学校日后的工作带来隐患。 ?缺乏统一的审计管理,出现问题,难以及时发现问题原因。 ?缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。 1.2应用范围
2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。
统一身份认证平台功能 描述 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
数字校园系列软件产品统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
电子校务建设和信息资源的管理是密不可分的。在福建华南女子学院电子校务 建设时应合理应用信息资源管理理论,加强信息资源的建设与开发,优化信息资源 的管理。 统一门户平台、统一身份认证平台和统一数据库平台的建设将为信息资源 共享提供技术上的支撑,为建好这一技术支撑平台,我们将建设的关键过程作为切 入点,以先进的、顺应发展潮流的技术手段,保证电子校务的先进性与可持续发展 性福建华南女子职业学院的电子校务建设中,从整体上可以采用以下关键技术。 一是基于 JZEE 的标准开发架构 。目前,Java/J2EE 技术因其结构清晰、开放 性好、性能及安全性好的特点,得到各厂商的广泛支持,并成为事实上的工业标准。其强大的组件技术,提高了可重用性,便于系统的移植。高效的中间件技术,使得 业务逻辑与数据层、界面层相互隔离,提高系统的运行效率和稳定性。在系统中的具体运用主要体现在以下几个方面:基于标准 JZEE 规范开发,基于 MVC 框架设计 模式,采用 Java Bean 的业务逻辑封装,采用 JSP/Servlet 的表现逻辑设计。 二是基于 CK/PKI 的信息安全技术 PKI 即公钥基础设计,是一种以公开密钥 理论为基础的在线身份认证加密技术。我们可以利用公开密钥理论的技术建立起在 线身份认证的安全体系。而 CA(Certification Authority 认证中心)则向用户提供完整的基于 PKI 技术的数字认证服务。在应用中它提供以下功能:通过基于数字证书的认证方法来确认用户身份,通过授权控制来实现对信息资源和应用的访问控 制,采用加密技术来保护信息的机密性,通过对信息摘要和数字签名的验证来提供 数据的完整性保护,采用数字签名来提供数据的不可否认性。 三是工作流技术 电子校务系统作为福建华南女子职业学院业务的电子化实 现,里面包含了大量的业务流程。工作流技术是一种理解、定义、自动化以及改善 业务过程的技术。它在以下几方面支持业务的实现即基于浏览器的图形化的工作流 定义:运行时工作流的监督和管理,工作流的设计和模拟,支持任务指派的负载均 衡算法,支持多个工作流实例的协同作业。 以上关键技术为信息资源的共享和交换打下坚实的基础,保证了信息资源的贡 献和数据的及时更新,给管理和应用提供了保障。但效益的发挥还得依赖于技术的 实现,如果只是简单地把信息技术应用于传统的高校管理模式,而忽视了组织机构 和业务管理流程的再造与调整,那么电子校务的建设就会流于形式,其优势将难以 发挥。 因此,我们在采用以上关键技术的同时,还需合理运用信息资源管理理论, 采取信息资源协同和流程协同,进行统一平台建设,对信息内容和信息技术进行全 面集成,逐步消除孤岛效应,确保多个信息系统能够安全、快捷的信息交流,提高 校园网信息活动的效率和效益。
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
摘要随着数字化校园建设的逐步深入,办公系统、人事系统、财务系统、科研系统等应用系统也随之增加。但这些应用系统各自保存一套不同的用户身份认证方式,这一方面影响了用户使用的效率,同时也给校园管理系统协调各应用系统带来了极大地困难,给整个系统带来了很多不安全隐患。本文介绍的数字化校园统一身份认证系统的目的就是要解决不同的网络应用系统用户名和口令不统一的问题。 关键词数字化校园;身份认证;数字网络 1 数字化校园 数字化校园是数字化、信息化、智能化的统一,它在网络和数字化信息的基础上,利用计算机技术、网络技术和通讯技术对校园办公系统、人事系统、财务系统、科研系统以及设备管理系统等信息资源进行统一规划、统一管理,在传统校园基础上构建了一个数字化空间,使这些信息资源能够有序地运转,更好地为教学、科研、管理和生活服务。 随着现代信息网络技术的发展,信息网在逐渐的庞大,同时作为教育中心的大学对数字化校园网的建设也加紧了步伐。从一定意义上讲,校园网的建设是衡量一个高校综合实力的重要标志。学校的教务系统、财务系统、餐饮系统、机房系统、图书管理系统以及宿舍系统等都与校园信息网紧密相连。各应用系统以校园网络中心系统为核心成星型分布,如图1所示。 图1 建设数字化校园目的就是充分利用现代信息技术,提高信息利用效率,提高学校教学、办公管理的水平,实现学校信息化管理,为此在数字化校园的建设中使用统一接口、统一信息服务平台、统一身份认证系统的结合的显得尤为重要。建立统一身份认证系统,对用户的身份集中统一管理,保证用户电子身份的惟一性、真实性与权威性,大大提高了数字化校园应用系统的安全性。 2 统一身份认证系统 2.1 存在问题 所谓身份认证,就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对统一网络不同应用系统而言,采用统一的用户电子身份判断用户的合法性。 数字化校园网络中各个应用系统完成的服务功能各不相同,有些应用系统具有较高的独立性,如财务系统,有些应用系统需要协同合作完成某个特定任务,如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的,各应用系统的建立没有遵循统一的数据标准,数据格式也各不相同,系统间无法实现有效的数据共享,于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说,如果各系统各自存储管理一份不同的身份认证方式,用户就需要记忆多个不同的密码和身份,并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大地不便。 随着现在信息技术的发展,校园网络提供的信息服务质量的提升,对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求相应地提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理,保证各应用系统基于统一的模式、集中的环境开发与升级,一方面降低了系统整体运行的维护成本,另一方面保证了整个校园系统能够随着平台的升级而同步升级,方便使用和管理,也保证了整个系统的先进性与安全性。 2.2 统一身份认证结构图
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录 1 产品概述............................................................................................................................... - 1 - 1.1 产品简介................................................................................................................... - 1 - 1.2 应用范围................................................................................................................... - 1 - 2 产品功能结构....................................................................................................................... - 2 - 3 产品功能............................................................................................................................... - 2 - 3.1 认证服务................................................................................................................... - 2 - 3.1.1 用户集中管理............................................................................................... - 2 - 3.1.2 认证服务....................................................................................................... - 3 - 3.2 授权服务................................................................................................................... - 3 - 3.2.1 基于角色的权限控制................................................................................... - 3 - 3.2.2 授权服务....................................................................................................... - 4 - 3.3 授权、认证接口....................................................................................................... - 4 - 3.4 审计服务................................................................................................................... - 4 - 3.5 信息发布服务........................................................................................................... - 5 - 3.6 集成服务................................................................................................................... - 5 - 3.6.1 应用系统管理............................................................................................... - 5 - 3.6.2 应用系统功能管理....................................................................................... - 6 - 3.6.3 应用系统操作管理....................................................................................... - 6 -
智慧校园建设方案!高校统一身份认证解决方案
1.项目背景 所谓身份认证,就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对同一网络不同应用系统而言,采用统一的用户电子身份判断用户的合法性。 数字化校园网络中各个应用系统完成的服务功能各不相同,有些应用系统具有较高的独立性,如财务系统,有些应用系统需要协同合作完成某个特定任务,如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的,各应用系统的建立没有遵循统一的数据标准,数据格式也各不相同,系统间无法实现有效的数据共享,于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说,如果各系统各自存储管理一份不同的身份认证方式,用户就需要记忆多个不同的密码和身份,并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大地不便。 随着现在信息技术的发展,校园网络提供的信息服务质量的提升,对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求相应地提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理,保证各应用系统基于统一的模式、集中的环境开发与升级,一方面降低了系统整体运行的维护成本,另一方面保证了整个校园系统能够随着平台的升级而同步升级,方便使用和管理,也保证了整个系统的先进性与安全性。 有了统一身份认证系统,管理员就可以在整个网络内实现单点管理、用户可以实现一次登录、全网通行,各种管理应用系统可以通过统一的接口接入信息平台。对用户的统一管理,一方面用在访问各个成员站点时无需多次注册登录,既给用户的使用带来方便,也为成员站点节约资源,避免各个成员站点分散管理统一用户带来的数据冗余。另一方面也给新的成员站点(新的应用系统)的开发提供方便。 2.参数要点说明 浏览器单次会话当中,通过一次登录就可以访问互相信任的系统。
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
统一身份认证平台 一、主要功能 1.统一身份识别; 2.要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接; 3.支持移动终端应用(兼容IOS系统、安卓系统;手机端、PAD端;) 4.教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 5.学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 二、系统说明 2.1单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应 用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 2.2即插即用:通过简单的配置,无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式, 可单独使用也可组合使用。 2.4基于角色访问控制:根据用户的角色和URL实现访问控制功能。基于Web界面管 理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。 说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。 3.2具体包含以下主要功能模块: ①身份认证中心 ②存储用户目录:完成对用户身份、角色等信息的统一管理; ③授权和访问管理系统:用户的授权、角色分配;访问策略的定制和管理;用户授权信息 的自动同步;用户访问的实时监控、安全审计; ④身份认证服务:身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务完成对用户身份的认证和角色的转换; ⑤访问控制服务:应用系统插件从应用系统获取单点登录所需的用户信息;用户单点登 录过程中,生成访问业务系统的请求,对敏感信息加密签名; ⑥CA中心及数字证书网上受理系统:用户身份认证和单点登录过程中所需证书的签发; 四、技术要求 4.1技术原理 基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。 其原理如下: 1)每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保
智慧校园统一身份认证技术分析 在互联网技术高速发展的今天,建设数字化和智慧化校园的步伐不断推进,于是各种基于校园网的应用层出不穷,然而在不同应用“百家争鸣”的表面之下却也有着很多弊端,比如应用更新不及时、维护不及时、恶性漏洞多、每一个应用都需要频繁的登录验证等缺点,其中最令用户头痛的则是不同应用需要频繁登录验证的问题,这不符合智慧校园的要求。因此,建立一个统一的身份验证系统,对用户进行统一的管理、身份验证和授权,避免用户频繁的登录认证是建设智慧校园的一项重要的内容。 标签:智慧校园;统一身份认证;技术分析 1 背景 智慧校园是校园数字化的一种高度发展的形式,或者说智慧校园与数字化校园在本质上没有区别,都是利用互联网技术对处于校园网的人进行统一的管理,因此派生了许多基于校园网方便师生的应用。虽然这些应用基于校园网,但是其本质依旧是一个个独立的系统,并且这些系统的管理员之间互不信任,因此就会出现面对不同应用用户得记忆不同的账号和密码,造成了在使用应用时的频繁登录与认证。比如在某高校,学生登录个人信息系统用的是自己的学号与密码A,学生登录学校图书馆时用的是自己的学号与密码B,学生用校园网上网时用的是自己的学号与密码C,虽然账号均为学生本人的学号,但是,密码却有三个,增加了记忆量,有的学校甚至在这些平台的登录上让用户使用不同的账号密码,也就是说虽然学校的个人查询信息平台、图书馆首页都是基于校园网而建立,但是相关的数据却互不通用,这不仅不能体现数字化校园给人带来的便利性,而且还会增加维护的困难,因此建立一个统一的管理、身份认证和授权的平台,使得用户可以使用一套账号密码“一键登录”一切基于校园网而建立的应用。 有人会有疑问,这些应用都用一套账号密码登录难道不会增加自身信息被盗取的危险?这种担心不是没有根据的,在多个应用使用相同的账号和密码确实会增加账号被盗取的风险,但是那是基于这些应用没有一个统一的数据库而言,而建立统一验证系统的本质即是建立一个总的用户数据库。 2 认证机制分类 2.1 用户口令认证 用户口令认证是一种早期的认证机制,一般用于早期的电脑系统中,现今也常用于某些对于安全性要求不高的系统中,比如Windows中的用户登录,pc的开机口令,Linux系统的用户登录等。其验证过程为,当遇到需要验证用户身份的操作时,用户输入相应口令,若用户输入的口令与系统中储存的口令一致时则通过验证,反之则拒绝用户的操作。但是其存在以下缺点:(1)验证方式简单容易被破解;(2)易被病毒截取口令;(3)口令泄露后用户不能及时察觉。
统一身份认证(后附英文版) (网络信息中心网站还有大量师生所需流程和常用设置,现只以统一身份认证为例。 具体包括内容如下 统一身份认证 电子邮件 无线网 VPN 校园一卡通 学生宿舍网络 个人网络存储 虚拟主机 校园网 校内代理 网络短信平台 微软校园软件正版化 网络会议和视频转播 黑莓连接学校无线网络 如何在Outlook Express 中设置与邮件服务器的安全连接 如何在Foxmail 中设置与邮件服务器的安全连接 如何为outlook 客户端设置安全连接 如何用ping命令检测网络状态 如何查看电脑网卡的物理地址(MAC地址) 如何设置IP地址 窗体顶端) 一、如何修改默认身份 1、使用浏览器访问https://www.doczj.com/doc/da6762933.html,,如下图。 2、点击右上角的“登录”,使用学校“统一身份认证”账号登录系统。登录后,点击页面右上角“个人设置”,如下图。 3、在“个人设置”上,选择“基本信息”,如下图:
4、然后点击默认身份后的“修改”,如下图: 5、在接下来的弹出窗口中,选择需要的身份。 二、如何修改jAccount密码 1、使用浏览器访问https://www.doczj.com/doc/da6762933.html,,如下图。 2、点击右上角的“登录”,使用学校“统一身份认证”账号登录系统。登录后,点击页面右上角“个人设置”,如下图。 3、在“个人设置”上,选择“安全设置”,如下图:
4、然后选择“修改密码”,如下图: 5、在接下来的弹出窗口中,更新jAccount密码。 三、jAccount账户/ 申请步骤 教职工: 1、网上下载或直接到网络信息中心填写《校园网jAccount账户申请表》 2、网络信息中心审核申请表,当场开通 学生: 网上自助申请,访问https://www.doczj.com/doc/da6762933.html, 点击“申请”
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
大学数字化校园身份认证平台设计方案 抄投标文件 招标文件: 1.1.1.1.总体架构 随着学校数字化校园应用建设的逐步深入,已经建成的和将要建成的各种应用系统存在不同的身份认证方式,安全信息各自管理,广大师生用户必须记忆不同的密码和身份。为了解决多账户问题,方便老师和学生使用数字化校园的各个应用管理系统,迫切要求建立一套统一的身份管理平台,用户只需要在平台上登录一次就可以使用所有的数字化校园内的应用软件系统。 在本次设计中,企业公司考虑到学校的应用环境的复杂性,也为了更好的保护学校的投资,建议学校建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系,将组织机构信息、用户身份信息统一管理,进行分级授权和集中身份认证,规范应用系统的用户认证方式。 这种设计,提高了应用系统的安全性和用户使用的方便性,实现全部应用的单点登录。即用户经统一应用门户登录后,从一个功能进入到另一个功能时,系统平台依据用户的角色与权限,完成对用户的一次性身份认证,提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。在学校工作人员进行了调动、调级、调职等变更后,或者学校体制改革、组织机构变动后,使用户的身份和权限在各系统之间协调同步,减少应用系统的开发和维护成本。
教务系统办公系统校园卡图书馆学生系统门户系统其他D ire c to r y 生命周期管理 在针对本项目设计中,企业公司引入身份信息的生命周期管理,通过身份访问管理系统展现出身份和可访问的系统资源的对应关系,在底层使用身份同步适配器,及时将各业务系统的身份、用户信息同步到LDAP 服务器和身份信息数据库中。学校所有的数字化校园访问用户的信息,都来自于相关的业务系统,如,教师信息来源于人事管理系统,学生信息来自于学籍管理库中。 这样,将用户的基本信息的管理放入各自业务系统中,使身份认证平台关注于机构、角色和权限模型的建立及管理上,进而提高了系统的安全可靠性。 1.1.1. 2. 认证数据存储 目录服务是统一身份认证平台的基础。学校所有的用户信息分别存放在LDAP 目录服务和数据库中,通过可靠的机制完成两者的同步;用户身份信息在目录服务中以层次结构,面向对象的数据库的方式集中存储管理,从而保证身份数据的一致性和完整性,为校园各类应用提供基础的一致的用户信息访问。 在LDAP 服务器产品中,我们使用基于标准的LDAP 目录服务器进行身份信息同步存储,并利用LDAP 的标准协议接口实现和其他应用系统的身份认证管理。
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA 技术为基础架构的统一身份认证服务平台。 1.1. 设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:内部建设基于PKI/CA 技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP 目录服务的统一账户管理平台,通过LDAP 中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支 撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管 理复杂度,降低系统管理的安全风险。 b)集中证书管理系统:集成证书注册服务( RA )和电子密钥