统一认证系统-设计方案.doc
基于校园网平台的统一身份认证系统设计
潘 一 楠 : 于校 园 网平 台 的 统 一 身 份 认 证 系统 设 计 基
4 3
图 1为 目 录 数 据 库 结 构 图 :
其 中 Pr n定义 中应包 含下列属 性 : eo s 用户 名 、 D M 5加密密码 、 单位 、 班级 、 姓名 、 性别 、 身份 、 电话 、 邮件 等 .
12 2 系 统模 型设 计 .. 所 有 用户 进 入 各个 应 用 系 统前 必 须 到认 证 中心 C Crf a u o t) A( et ct A t ry 进行 认 证 , 证 通 过 后 才 能 访 i e hi i 认 问相应 资 源 . 2为具体模 型 分析 . 图
维普资讯
第 2卷 第 1 7 O期
20 0 7年 1 2月
绍
兴
文
理
学院学源自报 J 0URNAL 0F HAOⅪ NG UNI S VERS ⅡY
Vo .7 No. O 12 1 De 2 r c. O07
基 于 校 园 网平 台的 统一 身份 认 证 系 统 设 计
的服务 . 随着 校 园网 中数字 资源 不断增 多 , 但 当师 生们 在享 用这 些服 务 的 同时 , 也会 感 到一些 不 便 . 为校 因 园 网中每套应 用 系统 都有 各 自的安 全策 略 , 了保 证 系统 的安 全 , 为 同一 用户 要 使 用不 同 系统 , 须 重 新 登 必
利 于学 校深层 次 的信息 化建 设 . 要解 决 以上 问题就 需 要用到 统 一身 份认 证技术 , 面将 分几 块 分别 讨 论 而 下
这 个问题 .
1 总体 模 型 的设 计
1 1 安 全 策 略 .
校园 网是一 个 由许 多用户 工作 站和分 布 ( 或集 中) 的服务 器 所 组成 的 分 布式 体 系 结构 , 络 环 境相 对 网 封闭 , 用户也 相对 单 一 , 因此可 以采用 以下两 种安全 方 案 : 3 、 i 1 由客户 端工 作站 确保用 户 或用 户 组 的身 份 , l
统一身份认证设计方案
统一身份认证设计方案统一身份认证是指一种能够让用户在不同的应用程序中使用同一组凭证进行身份验证的解决方案。
通过统一身份认证,用户只需要一次登录即可访问多个应用程序,避免了反复登录的繁琐过程,并提高了用户的使用体验。
以下是一种统一身份认证的设计方案。
1.用户注册与认证用户首次使用统一身份认证系统时,需要进行注册与认证。
用户需要提供基本信息,并选择一个唯一的用户名和密码用于后续身份验证。
为了保障用户隐私和数据安全,必须对用户的密码进行加密存储,并采用合适的加密算法和安全策略。
2.应用程序集成应用程序需要集成统一身份认证系统的接口,以便进行身份验证。
集成时,应用程序需要向统一身份认证系统注册,并获取一个应用程序标识符和相应的密钥用于身份认证请求的签名。
这样,统一身份认证系统可以验证请求的合法性,并确保只有经过授权的应用程序才能使用统一身份认证系统进行身份验证。
3.用户登录流程当用户在一个应用程序中进行登录时,应用程序将用户重定向到统一身份认证系统的登录页面。
用户在登录页面输入用户名和密码进行身份验证。
统一身份认证系统验证用户的凭证,如果凭证正确,则生成一个用户认证票据,并将票据返回给应用程序。
应用程序可以通过票据确认用户的身份,并进行相应的授权。
4.用户认证状态维护为了提高用户的使用体验,统一身份认证系统需要维护用户的认证状态。
一旦用户完成了一次身份验证,统一身份认证系统就会生成一个用户认证状态令牌,并将令牌与用户的身份信息进行关联。
用户在访问其他应用程序时,可以通过认证状态令牌实现免登录访问,减少了登录的繁琐操作。
5.单点登录统一身份认证系统支持单点登录功能,用户只需要在一个应用程序中进行一次登录即可访问其他已集成的应用程序。
在用户完成第一次登录后,统一身份认证系统会为用户生成一个单点登录令牌,并将令牌返回给应用程序。
在用户访问其他应用程序时,应用程序可以通过单点登录令牌向统一身份认证系统进行验证,从而实现自动登录。
统一用户管理及认证系统概要设计说明书
统一用户管理及认证系统概要设计说明书一、引言随着信息技术的快速发展和应用的深入,系统的用户管理和认证方式越来越成为各行业业务运行的重要环节。
为了提高效率、增强安全性并提升用户体验,我们计划设计一个统一的用户管理及认证系统。
本概要设计说明书将详细阐述该系统的设计理念、功能需求、技术架构和实现方法。
二、系统设计理念我们的设计理念主要基于以下几个原则:1、安全性:系统应确保用户信息的安全,防止信息泄露和滥用。
2、高效性:系统应提供高效的查询和认证服务,以减少用户等待时间。
3、灵活性:系统应支持多种认证方式和用户类型,以满足不同业务需求。
4、可扩展性:系统应具备良好的扩展性,以适应未来业务的发展变化。
三、功能需求本系统主要包括以下功能:1、用户管理:创建、编辑、删除用户信息,支持批量操作。
2、认证服务:提供用户名密码、动态令牌、生物识别等认证方式。
3、角色管理:定义角色及其权限,为不同用户分配相应角色。
4、访问控制:根据用户角色和权限,限制对系统的访问。
5、日志记录:记录用户的活动日志,提供审计和安全分析功能。
6、接口服务:提供API接口,支持与其他系统的集成。
四、技术架构本系统将采用以下技术架构:1、后端:使用Python或Java等编程语言进行开发,采用微服务架构,以提高系统的可维护性和可扩展性。
2、前端:使用React或Vue等前端框架,以提供友好的用户界面。
3、数据库:使用MySQL或PostgreSQL等关系型数据库存储用户信息和认证信息。
4、安全:使用SSL/TLS进行数据传输加密,采用多因素认证提高安全性。
5、云服务:使用公有云服务提供商,如AWS、阿里云等,以实现基础设施的快速部署和高可用性。
五、实现方法我们将按照以下步骤实现本系统:1、需求分析:深入了解业务需求,明确功能和非功能需求。
2、系统设计:根据需求分析结果,进行系统架构设计和数据库设计。
3、系统开发:按照设计文档进行系统开发,编写代码并进行单元测试。
统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计
基础支撑层统一身份认证(SSO)统一身份认证解决用户在不同的应用之间需要多次登录的问题。
目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。
统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。
1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。
2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。
3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。
4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。
单点登录认证的流程如下图所示:单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。
统一身份认证系统架构如下图所示。
统一系统授权统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。
用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。
统一系统授权支撑平台的授权模型如下图所示。
在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求块统一系统授权支撑平台的系统结构如下图所示统一系统审计统一系统审计平台通过实时监控网络活动, 分析用户和系统的行为、审计系统、评估敏感系统和数据的完整性、对异常行为进行统计、跟踪识别违反安全法则的行为,使系统管理员可以有效地监控、评估系统。
统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计
基础支撑层统一身份认证(SSO)统一身份认证解决用户在不同的应用之间需要多次登录的问题。
目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。
统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。
1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。
2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。
3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。
4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。
单点登录认证的流程如下图所示:单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。
统一身份认证系统架构如下图所示。
统一系统授权统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。
用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。
统一系统授权支撑平台的授权模型如下图所示。
在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求块统一系统授权支撑平台的系统结构如下图所示统一系统审计统一系统审计平台通过实时监控网络活动, 分析用户和系统的行为、审计系统、评估敏感系统和数据的完整性、对异常行为进行统计、跟踪识别违反安全法则的行为,使系统管理员可以有效地监控、评估系统。
统一身份认证CAS简单说明与设计方案
统一身份认证(CAS)简洁说明和设计方案(转)1. 单点登录概述所谓单点登录(SSO),只当企业用户同时访问多个不同(类型的)应用时,他们只须要供应自身的用户凭证信息(比如用户名/密码)一次,仅仅一次。
SSO解决方案(比如,CAS)负责统一认证用户,假如须要,SSO也可以完成用户的授权处理。
可以看出,当企业用户在不同的应用间切换时,他们不用再重复地输入自身的用户凭证了。
在实施SSO后,所用的认证操作都将交给SSO认证中心。
现有的SSO解决方案特殊多,比如微软的MSN Passport便是典型的SSO解决方案,各Java EE容器都供应了自身的专有SSO实力。
2. CAS的总体架构1. CAS简介CAS(中心认证服务)是建立在特殊开放的协议之上的企业级SSO解决方案。
诞生于2001年,在2002年发布了CAS2.0协议,这一新的协议供应了Proxy(代理)实力,此时的CAS2.0支持多层SSO实力。
到2005年,CAS成为了JA-SIG旗下的重要子项目。
由于CAS2.0版本的可扩展实力不是特殊完备,而且他的架构设计也不是很卓越,为了使得CAS能够适用于更多场合,JA-SIG打算开发出同时遵循CAS1.0和CAS2.0协议的CAS3.X版本。
现在的CAS3全面拥抱Spring技术,比如Spring DI容器和AOP技术、Spring Web MVC、Spring Web Flow、Spring Ldap Template等。
通常,CAS3由两部分内容构成:CAS3服务器和CAS客户端。
由于CAS2.0协议借助于XML数据结构和客户进行交互,因此开发者可以运用各种语言编写的CAS3客户和服务器进行通信。
CAS3服务器接受纯Java开发而成,它要求目标运行环境实现了Servlet2.4+规范、供应Java SE 1.4+支持。
假如宿主CAS3服务器的目标Java EE容器仅仅实现了Servlet2.3-规范,则在对CAS3服务器进行少量的改造后,CAS3也能运行其中。
完整版)统一身份认证设计方案(最终版)
完整版)统一身份认证设计方案(最终版)统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计1.1.1 总体设计思想本系统的总体设计思想是实现用户统一身份认证和授权管理,提供安全可靠的身份认证服务。
同时,该系统还要考虑到用户的便捷性和易用性。
1.1.2 平台总体介绍该平台是一个基于Web的身份认证和授权管理系统,采用B/S架构。
系统主要包括用户管理、证书管理、授权管理和认证管理四个模块。
1.1.3 平台总体逻辑结构该平台的总体逻辑结构分为客户端和服务器端两部分。
客户端包括浏览器和客户端应用程序,服务器端包括Web服务器、应用服务器和数据库服务器。
1.1.4 平台总体部署该平台可以在局域网内或互联网上进行部署。
部署时需要考虑服务器的性能和安全性。
1.2 平台功能说明该平台的主要功能包括用户管理、证书管理、授权管理和认证管理。
用户管理模块实现用户信息的录入、修改和删除等功能;证书管理模块实现数字证书的管理;授权管理模块实现对用户权限的管理和控制;认证管理模块实现用户身份认证功能。
1.3 集中用户管理1.3.1 管理服务对象该模块主要管理系统中的用户信息,包括用户的基本信息、身份信息和权限信息等。
1.3.2 用户身份信息设计1.3.2.1 用户类型系统中的用户分为内部用户和外部用户两种类型。
内部用户是指公司内部员工,外部用户是指公司的客户、供应商等。
1.3.2.2 身份信息模型身份信息模型包括用户的身份属性和身份认证方式。
用户的身份属性包括用户名、密码、证书等;身份认证方式包括口令认证、数字证书认证、Windows域认证和通行码认证等。
1.3.2.3 身份信息的存储用户的身份信息存储在数据库中,采用加密方式进行存储,保证用户信息的安全性。
1.3.3 用户生命周期管理用户生命周期管理主要包括用户注册、审核、激活和注销等过程。
在用户注销后,该用户的身份信息将被删除。
1.3.4 用户身份信息的维护用户身份信息的维护包括用户信息的修改、删除和查询等操作。
统一身份认证系统技术方案
.. .. .. ..智慧海事一期统一身份认证系统技术方案资料.参考... .. .. ..目录..................................................................................................................................................... I .目录2.1.......................................................................................................................................... 总体设计2设计原则1.1 .................................................................................................................................3设计目标1.2 .................................................................................................................................31.3设计实现.................................................................................................................................41.4系统部署.................................................................................................................................6.................................................................................................................................. 方案产品介绍2.6统一认证管理系统2.1 .................................................................................................................系统详细架构设计2.1.16 .........................................................................................................身份认证服务设计2.1.27 .........................................................................................................授权管理服务设计2.1.301 .......................................................................................................单点登录服务设计2.1.431 .......................................................................................................身份信息共享与同步设计2.1.551 ...........................................................................................后台管理设计2.1.691 ...............................................................................................................安全审计设计2.1.712 ...............................................................................................................业务系统接入设计2.1.832 .......................................................................................................32数字证书认证系统2.2 ...............................................................................................................产品介绍3....................................................................................................................... 2.2.1 2系统框架42.2.2.. (2)软件功能清单52.2.3 (2)技术标准6....................................................................................................................... 2 2.2.482.数字证书运行服务方案 3................................................................................................................82运行服务体系....................................................................................................................... 3.1923.2证书服务方案.......................................................................................................................证书服务方案概述3.2.129 .......................................................................................................服务交付方案03 ............................................................................................................... 3.2.2服务支持方案6 ............................................................................................................... 3.2.33 8......................................................................................................... 3.33CA基础设施运维方案运维方案概述83.3.1 (3)系统运行管理8CA3.3.23 .............................................................................................................系统访问管理9 ............................................................................................................. 33.3.3CA业务可持续性管理93.3.43 .......................................................................................................审计93............................................................................................................................. 3.3.5CA资料.参考... .. .. ..1.总体设计1.1设计原则一、标准化原则系统的整体设计要求基于国家密码管理局《商用密码管理条例》、公安部计算机系统安全等级要求和《中华人民共和国计算机信息系统安全保护条例》的有关规定。
统一认证与管理平台建设方案
统一认证与管理平台建设方案统一认证与管理平台(Unified Authentication and Management Platform,UAMP)是一种提供统一认证和统一管理服务的解决方案。
它通过集成用户身份认证、权限管理、访问控制、日志审计等功能,实现了企业内部各种应用和系统的统一用户管理和授权管理。
本文将介绍统一认证与管理平台建设的方案。
一、需求分析在企业内部,存在着许多不同的应用和系统,这些应用和系统可能来自不同的厂商、不同的部门,各自独立进行用户认证和权限控制。
这样的情况下,会导致很多问题,如用户需要记住多个不同的登录账号和密码,增加了用户的负担;权限管理分散,不易监控和管理;用户权限在不同系统间不同步,造成安全隐患等。
因此,建设统一认证与管理平台成为必要。
二、平台架构1.前端部分:包括用户访问界面和认证代理服务,用户通过统一的访问界面进行登录和访问权限申请,认证代理服务负责转发验证请求到后端。
2.后端部分:包括认证服务、权限管理服务、访问控制服务和日志审计服务等模块。
三、功能设计1.用户认证:统一认证与管理平台支持多种身份认证方式,如用户名密码、证书、双因素认证等。
用户只需提供一次认证,即可访问所有接入的应用和系统。
2.权限管理:平台提供了灵活的权限管理机制,支持基于角色的访问控制和访问策略的定义。
管理员可以定义角色,给角色赋予相应的权限,然后将用户分配到角色上。
3.访问控制:平台提供了细粒度的访问控制功能,可以精确控制用户对各个资源的访问权限,如文件、数据库、应用等。
4.日志审计:平台对用户的操作进行记录和审计,以便对安全事件进行溯源和追踪。
管理员可以查看用户的操作日志,及时发现并处理异常行为。
5.集成接口:平台提供了标准的接口,方便与各个应用和系统进行集成。
接入应用和系统只需根据接口规范进行相应的开发和配置即可。
四、实施步骤1.需求调研:与各业务部门进行沟通,了解各个应用和系统的用户认证和权限管理需求,明确建设目标和范围。
统一身份认证及统一登录系统建设方案
统一身份认证及统一登录系统建设方案1. 引言本文档旨在提出一种关于统一身份认证及统一登录系统建设方案的解决方案。
该方案旨在简化用户身份验证和登录过程,并提供统一的用户体验。
2. 目标该系统的主要目标如下:1. 提供一个统一的身份认证系统,使用户能够以相同的身份凭证登录各个应用程序。
2. 简化用户的登录流程,减少用户需要记住多个不同的用户名和密码的负担。
3. 增强系统的安全性,减少身份信息泄露的风险。
3. 方案概述该方案将基于单一的身份认证中心实现统一的身份认证和登录功能。
具体步骤如下:3.1 用户注册与身份验证用户首次访问系统时,需要进行注册并验证身份信息,以获得一个唯一的身份凭证。
用户可以通过填写个人信息、验证手机或邮箱等方式完成注册和身份验证。
3.2 身份凭证管理身份凭证将由身份认证中心统一管理。
用户在注册成功后,将获得一个唯一的身份凭证,用于登录各个应用程序。
3.3 统一登录界面各个应用程序将使用统一的登录界面,用户只需输入一次身份凭证,即可登录多个应用程序。
3.4 跨应用程序访问登录成功后,用户可以通过身份凭证跨应用程序访问其他已接入该统一身份认证系统的应用程序,无需重新登录。
3.5 安全性措施为保障系统的安全性,需要采取以下措施:- 使用安全加密算法对用户身份凭证进行加密存储,并采取防止恶意攻击的措施。
- 强制用户定期更改密码,增加密码复杂性要求。
- 增加用户登录失败次数限制及验证码等安全措施,防止暴力破解等攻击。
4. 实施计划为实施该统一身份认证及统一登录系统,需要按照以下步骤进行:1. 定义系统需求和功能规格。
2. 开发身份认证中心,并与各个应用程序进行集成。
3. 设计和开发统一登录界面,提供给各个应用程序使用。
4. 进行系统测试和安全审计,确保系统正常运行和安全稳定。
5. 发布系统并提供必要的培训和技术支持。
5. 总结通过实施统一身份认证及统一登录系统方案,可以提高用户体验、简化用户登录流程,并增强系统的安全性。
统一身份认证及集中登录系统建设方案
统一身份认证及集中登录系统建设方案1. 背景随着信息化的发展,各类应用系统不断增加,人们的工作、研究和生活中需要使用的系统也越来越多。
但是,由于每个系统都有独立的用户账号和密码,用户需要记忆多个不同的账号和密码,给用户带来了不便和困扰。
统一身份认证及集中登录系统的建设就是为了解决这个问题。
2. 方案介绍我们的方案是建立统一身份认证及集中登录系统,实现一个单点登录的体验。
具体实施过程如下:2.1 统一身份认证首先,我们将建立一个统一的身份认证系统,该系统将负责验证用户的身份信息。
每个用户将被分配一个唯一的身份标识,该标识将用于识别用户在各个系统中的身份。
2.2 集中登录系统其次,我们将建立一个集中登录系统,该系统将充当用户与各个应用系统之间的中间层。
当用户在集中登录系统中进行登录操作时,系统将验证用户的身份信息并分发一个登录凭证给用户。
2.3 单点登录最后,我们将实现单点登录功能。
一旦用户在集中登录系统中成功登录,他们将无需再次输入账号和密码即可访问其他各个应用系统。
这将极大地提高用户的使用便利性和效率。
3. 实施计划为了顺利实施统一身份认证及集中登录系统建设方案,我们制定了以下实施计划:3.1 需求分析在开始实施前,我们将与各个应用系统的负责人进行需求分析会议,了解各系统的用户认证方式、要求和接口等相关信息,以确保我们的方案能够兼容并满足各个系统的需求。
3.2 系统设计和开发在需求分析完成后,我们将进行统一身份认证系统和集中登录系统的设计和开发工作。
通过精心设计的系统架构和合理的开发策略,我们将确保系统的稳定性和安全性。
3.3 测试和优化完成系统设计和开发后,我们将进行系统测试和优化工作。
通过不断的测试和优化,我们将确保系统在各种场景下的稳定性和性能。
3.4 上线和培训在测试和优化完成后,我们将正式上线统一身份认证及集中登录系统,并进行相关用户和管理员的培训,以确保他们能够顺利地使用和管理系统。
统一认证系统-设计方案
基础支撑平台第一章统一身份认证平台一、概述建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。
为平台用户以下主要功能:为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。
用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。
提供多种以及多级别的认证方式,包括支持用户名/ 密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS,可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。
系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAM规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。
单点登录场景如下图所示:rr一次登录认证、自由访问授权范围内的服务单点登录的应用,减轻了用户记住各种账号和密码的负担。
通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。
同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点, 部署方便快捷。
、系统技术规范单点登录平台是基于国际联盟Liberty规范(简称“LA”的联盟化单点登录统一认证平台。
Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。
统一身份认证设计方案(最终版)
统一身份认证设计方案(最终版)统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计 (5)1.1.1 总体设计思想51.1.2 平台总体介绍61.1.3 平台总体逻辑结构71.1.4 平台总体部署8 1.2 平台功能说明 (8)1.3 集中用户管理 (9)1.3.1 管理服务对象101.3.2 用户身份信息设计111.3.2.1 用户类型111.3.2.2 身份信息模型121.3.2.3 身份信息的存储131.3.3 用户生命周期管理131.3.4 用户身份信息的维护14 1.4 集中证书管理 (15)1.4.1 集中证书管理功能特点15 1.5 集中授权管理 (17)1.5.1 集中授权应用背景171.5.2 集中授权管理对象181.5.3 集中授权的工作原理191.5.4 集中授权模式191.5.5 细粒度授权201.5.6 角色的继承21 1.6 集中认证管理 (22)1.6.1 集中认证管理特点221.6.2 身份认证方式231.6.2.1 用户名/口令认证241.6.2.2 数字证书认证241.6.2.3 Windows域认证241.6.2.4 通行码认证251.6.2.5 认证方式与安全等级251.6.3 身份认证相关协议251.6.3.1 SSL协议261.6.3.2 Windows 域261.6.3.3 SAML协议271.6.4 集中认证系统主要功能291.6.5 单点登录291.6.5.1 单点登录技术301.6.5.2 单点登录实现流程32 1.7 集中审计管理 (36)为了加强对业务系统和办公系统的安全管控,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
统一登录系统设计方案
认证管理
用户认证采用集中统一方式,身份认证支持多种方法认证,支持用户名/口令、数字
证书、CA证书和短信动态口令等认证方式,能够根据业务的不同安全等级合理使用凭证。 认证的全过程数据加密。
授权管理
对于能集中到统一授权的系统,通过数据集成方法(Web Service)把用户的授权功
能代码、读写权、数据范围、读写字段等权限管理数据集中到统一身份认证、权限管理平 台上,可以集中授权。
ቤተ መጻሕፍቲ ባይዱ
单点登录
统一认证、授权和单点登录系统是和门户系统紧密集成的一套基于策略的访问控制平 台,采用开放的架构,支持可插接的用户认证模块,能够支持当前主流安全架构,可供Java、.net、ASP PHP等开发平台调用实现统一认证。其基于LDAP目录服务器,实现用 户的身份认证、应用资源的访问控制、策略管理与服务。提供包括传统的用户密码认证、 数字证书认证、CA证书认证、动态短信认证等多种认证手段,实现“一次鉴权(认证和 授权)”一一单点登录,提供基于Web的多种应用程序,即通过浏览器实现对多个B/S
随着教育信息化的普及,学校建立了或者即将建立多套系统,用来实现对行政管理、 教学管理、人员管理等学校内部各方事务的信息化服务。 但是,由于各个系统分管的部门 不同,应用对象不同,对学校影响的紧迫程度不同,各个系统是分步建立的。各个系统的 建立时间不同,系统的厂商也不同,从而导致各个系统之间大都相对独立存在, 使用者需 记忆不同的登录账号,登录不同系统进行操作。这无疑加大了用户日常使用过程中的不便 性,降低了工作效率。而学校的系统管理员在对多套系统的用户管理时,无法进行统一的
统一身份认证设计方案(最终版)
统一身份认证设计方案日期:2016年2月1.3集中用户管理..............1.3.1管理服务对象1.3.2用户身份信息设计1.3.2.1用户类型1.3.2.2身份信息模型1.3.2.3身份信息的存储1.3.3用户生命周期管理1.3.4用户身份信息的维护1.4集中证书管理1.4.1集中证书管理功能特点1.5集中授权管理1.5.1集中授权应用背景1.5.2集中授权管理对象1.5.3集中授权的工作原理1.5.4集中授权模式1.5.5细粒度授权1.5.6角色的继承1.6集中认证管理1.6.1集中认证管理特点1.6.2身份认证方式1.6.2.1用户名/口令认证1.6.2.2数字证书认证1.6.2.3 Windows 域认证1.6.2.4通行码认证1.6.2.5认证方式与安全等级1.6.3身份认证相关协议1.6.3.1 SSL 协议1.6.3.2 Windows 域1.6.3.3 SAML 协议1.6.4集中认证系统主要功能9101111111212131414 1616171819192021222223232424242525252628291.1.1总体设计思想5 1.1.2平台总体介绍6 1.1.3平台总体逻辑结构7 1.1.4平台总体部署8 1.1系统总体设计 (5)1.2平台功能说明 (8)165.2单点登录实现流程31 1.7集中审计管理 (35)1.1系统总体设计为了加强对业务系统和办公系统的安全管控,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.1总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
统一身份认证系统技术方案
智慧海事一期统一身份认证系统技术方案目录目录 (I)1.总体设计 (2)1。
1设计原则 (2)1.2设计目标 (3)1.3设计实现 (3)1。
4系统部署 (3)2.方案产品介绍 (5)2。
1统一认证管理系统 (5)2。
1.1系统详细架构设计 (5)2。
1.2身份认证服务设计 (5)2。
1.3授权管理服务设计 (8)2。
1。
4单点登录服务设计 (10)2.1.5身份信息共享与同步设计 (11)2。
1。
6后台管理设计 (14)2.1.7安全审计设计 (15)2.1。
8业务系统接入设计 (17)2。
2数字证书认证系统 (17)2。
2。
1产品介绍 (17)2.2.2系统框架 (18)2。
2。
3软件功能清单 (19)2。
2。
4技术标准 (19)3。
数字证书运行服务方案 (22)3.1运行服务体系 (22)3。
2证书服务方案 (22)3.2.1证书服务方案概述 (22)3。
2。
2服务交付方案 (23)3。
2.3服务支持方案 (26)3。
3CA基础设施运维方案 (27)3。
3.1运维方案概述 (27)3。
3。
2 ........................................................................................................... CA系统运行管理273。
3。
3 ........................................................................................................... CA系统访问管理283.3.4业务可持续性管理 (28)3.3。
5CA审计 (29)1.总体设计1.1设计原则一、标准化原则系统的整体设计要求基于国家密码管理局《商用密码管理条例》、公安部计算机系统安全等级要求和《中华人民共和国计算机信息系统安全保护条例》的有关规定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基础支撑平台第一章统一身份认证平台一、概述建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。
为平台用户以下主要功能:为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。
用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。
提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。
系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。
单点登录场景如下图所示:一次登录认证、自由访问授权范围内的服务单点登录的应用,减轻了用户记住各种账号和密码的负担。
通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。
同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。
二、系统技术规范单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。
Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。
通过使用统一而又公开的Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。
Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点:(1).可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点登录服务;(2).联盟的应用系统无需大量改造,不需要用户信息大集中,不影响系统原有业务逻辑与性能;(3).以用户为中心,保护用户信息安全和隐私;(4).支持多种、多等级的、安全的用户登录认证方式等。
支持的认证技术联盟化单点登录原理与场景图示:同域单点登录跨域单点登录三、单点登录系统功能1. 单点登录(1).支持单点登录、单点登出(2).支持平台安全域下用户的“一点认证,全网通行”和“一点登出,整体退出”。
(3).支持多个IDP/SP间的联合互信(4).支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度决定是否联盟。
(5).支持联盟信息的管理(6).支持IDP联盟信息的管理或配置功能。
(7).不影响正常的业务逻辑与性能。
2. 支持Liberty ID-FF v1.2规范(1).系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准Liberty ID-FF 1.2规范;(2).支持Liberty规范中的所有功能,包括单点登录、整体退出、账号联盟和解盟、注册名重新注册(Account Linking)、联合互信等功能;(3).系统本身提供了一个完整的Liberty Alliance联合互信平台,以部署在各个需要通过联合互信标准集成的SP方,以加快IDP和各SP的集成;(4).提供扩展的站点转送功能,为客户提供更符合实际应用的功能;(5).一个IDP服务器可以同时支持一个或多个SP服务器;(6).一个SP服务器可以同时支持一个或多个IDP服务器;(7).系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以支持方便和灵活的应用集成;3. 支持多种、多级别认证方式(1).支持多种认证方式,已经支持的就包括LDAP认证、JDBC认证、SecurID认证等;(2).系统具有标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证;(3).支持分布式认证的部署方式:即将认证界面部署在任何一个Web应用服务器上,而实现多种认证支持的统一认证服务器部署在内网中,以保证认证的安全性和扩展性;(4).系统本身支持session的互信机制;(5).系统支持多级别认证方式:用户名/密码认证、数字证书认证、动态口令认证,等等。
通过适配器的扩展,可以支持更多的认证方式;(6).支持多种应用场景的认证请求(7).门户认证:支持接收自服务门户的认证(个人用户门户、SP门户、运营商门户)请求;(8).支付认证:支持支付流程中需要用到的支付安全认证请求;(9).业务认证:支持业务流程中需要用到的用户身份认证请求;(10).单点登录认证:支持单点登录的认证请求;(11).支持认证方式的生命周期管理;(12).支持认证方式的注册、修改、删除;(13).支持认证方式状态的变更(开通、暂停、恢复、注销);(14).支持认证方式相关参数的配置;(15).支持认证等级的配置。
4. 认证的安全控制主要保障身份认证的安全,基本要求如下:(1).平台用户身份认证安全控制凡是输入用户名/密码的页面均由平台提供;凡是输入用户名/密码的地方均采用HTTPS的方式进行通信;(2).第三方系统用户身份认证安全控制对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户体验和流程安全性,所有传送过程中都对信息进行加密操作。
(3).其它认证安全手段控制服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等现象的发生。
5. 兼顾灵活性和通用性(1).单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器,不需要依赖其它的应用服务器;(2).集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括:Apache,Microsoft IIS,Sun/Netscape Web Server;Tomcat,BEA WebLogic, IBM WebSphere, Sun Java System Application Server;等等。
(3).单点登录支持保护型单点登录方式(即将应用通过Agent保护起来的安全方式),也支持代理单点登录方式;(4).支持同域或跨域的联合互信、单点登录。
6. 在一台机器上运行多个服务器(1).在一个单点登录服务器上同时运行IDP和SP服务器;(2).在一个单点登录服务器上同时运行多个SP服务器;(3).在一个单点登录服务器上,就可以建立起一个完整的信任圈和联盟化商业网络;(4).在学校内部运行一个单点登录服务器,可以支持所有的Web应用系统的单点登录;(5).电信或ASP只需一个单点登录,就可以为所有的SP提供基于Liberty的Web单点登录功能;(6).强大的管理功能,可以独立管理单点登录中的每个服务器实例,包括IDP服务器和所有的SP服务器;7. 灵活的Web管理界面(1).同一个管理界面,管理所有的IDP和SP服务器;(2).管理界面根据服务器的角色(IDP、SP、或者同时是IDP和SP)而自动调整管理功能;(3).统一管理所有合作伙伴的联盟信息;(4).提供快速建立合作和联盟关系的功能;(5).管理一个或多个数据源,包括关系数据库和LDAP目录的数据源,同时提供数据源连接测试的功能,以保证配置无误;(6).可以为每个服务器独立配置数据源;(7).改动服务器配置而不需要重新启动服务器,为客户提供24x7的可用时间;8. 全方位的证书管理功能(1).提供全方位的证书和密钥管理功能,包括签名密钥和证书、SSL服务器证书、SSL客户端密钥和证书等;(2).生成新的公钥和私钥对,支持标准的算法(RSA和DSA),支持不同长度的密钥,包括1024位、2048位、4096位等;(3).生成自己签发的证书,支持X.509 v3的证书格式;(4).生成和导出证书请求信息;(5).最容易使用的证书导出和导入的功能,包括导入从证书机构接到的、和从合作伙伴接到的证书。
9. 易用的元数据交换功能(1).提供快速建立合作和联盟关系的功能;采用单点登录,建立联盟关系不再是复杂的事情,只需要点击几下就可以完成的工作;(2).全方位的元数据导出和导入的功能,加快建立联盟关系的速度和避免无谓的错误;(3).元数据导出和导入的功能,一步到位,一次性把所有建立联盟关系的工作完成;10. 强大的机群部署功能(1).强大的机群部署功能,管理员通过一个Web管理界面,可以管理机群中的所有服务器节点;(2).所有服务器节点都是平等的,没有主从的概念,任何一台服务器节点都可以独立运行;(3).所有服务器配置和SSO会话信息在机群的节点上实时同步,自动提供故障转移(Fail Over)的功能;(4).可横向扩展的机群部署,支持最严格的容错(Fault Tolerance)需求;(5).支持基于硬件或基于软件的负载均衡器。
四、系统功能特点单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范,同时与市场同类技术相比有着以下优点:(1).全方位支持标准Liberty ID-FF v1.2规范,支持从中型到最大型的联盟化部署,支持规范中所有功能:单点登录、整体退出、账号联盟和解盟等功能;(2).扩展站点转送功能,为客户提供更符合实际应用的功能;(3).支持SAML(Secure Assertion Markup Language 安全性断言标记语言)规范、XML(Extensible Markup Language 扩展性标识语言)数字签名规范、SOAP ( Simple Object Access Protocol简单对象访问协议)和Web服务协议等;(4).支持跨域部署模式,提供跨域单点登录功能;(5).支持多种多级登录认证机制,如用户名/密码、动态口令、等等;(6).支持现有的用户管理系统,包括LDAP(Light Directory Access Protocol,轻量级目录访问协议)目录、数据库,等等;(7).支持多种多级认证方式:普通口令、数字证书、动态口令、指纹识别、IC智能卡等认证方式,支持第三方认证系统、权限管理系统;(8).系统功能强大:单点登录的设计就是要能支持多服务器合为一体的身份联盟服务器,在同一个机器上同时支持身份提供方(统一身份管理与认证服务提供方)和 SP(Service Provider 应用服务提供方)的服务器角色,而同时又能在统一个机器上运行多个SP服务器。