多应⽤系统的单点登录及访问控制
⼀、背景
互联⽹增值业务产业链中,⽤户、应⽤/内容提供商、电信运营商⾯临着建⽴三⽅互信环境、⽤户统⼀⾝份认证、业务的集中授权控制、各信任域跨域访问、等⼀系列问题。 随着电⼦政务、⽹上办公的快速发展,政府、企业、机构等不断增加基于 Internet的业务系统,如各类⽹上申报系统、⽹上审批系统、OA系统等。根据系统的业务性质,⼀般都要求实现⽤户⾝份管理、登录认证、授权等必不可少的安全功能。为减少新业务系统相同功能的重复建设和管理成本、避免多个不同信任体系的存在⽽使⾃⾝业务成为信息孤岛,提⾼同⼀⽤户使⽤业务的简便性和体验效果,针对不同的业务系统实现统⼀认证和授权,促进不同业务系统的融合和联合,成为应⽤系统设计和建设要重点解决的问题。
单点登录及访问控制系统的⽬的就是为这样的应⽤系统提供统⼀的⾝份认证和集中授权,实现“⼀点登录、多业务漫游”的⽬标,⽅便⽤户使⽤。
led天花灯电源⼆、系统概述
单点登录系统采⽤基于数字证书的加密和数字签名技术,对⽤户实⾏集中统⼀的管理和⾝份认证,并作为各应⽤系统的统⼀登录⼊⼝,同时为通过⾝份认证的合法⽤户签发针对各个应⽤系统的属性令牌(包含⽤户⾝份、权限等信息),从⽽实现“⼀点登录、多业务漫游”。
单点登录系统能够与统⼀权限管理系统实现⽆缝结合,签发合法⽤户的属性令牌,从⽽能够使合法⽤户进⼊其权限范围内的各应⽤系统,并执⾏符合其权限的操作。
三、系统组成
开幅机
1.客户端安全代理
客户端安全代理,提供⾝份证书和属性令牌的存贮、存取、操作等。⽤户端认证令牌管理模块以两种形式存在,可以是浏览器的⼀个功能构成部件,也可以是专⽤客户端的功能部件。
2.认证⽹关
认证⽹关是指提供给业务系统的单点登录认证鉴别模块,⽤于业务系统对⽤户⾝份和权限进⾏认证,检查⽤户令牌以确定⽤户是否为平台的真实⽤户,根据认证结果决定是否给⽤户提供服务和提供什么样的服务。
脚手架扣件
3.单点登录认证授权系统
包括⾝份认证模块、访问授权模块、属性令牌签发模块、⽤户数据库等构成。⽤户⾸先获得中⽹威信CA颁发的数字证书;当访问各种业务系统时,⽤户以⾝份证书在单点登录系统进⾏⼀次登录,授权模块访问数据库中的授权信息,⽣成⽤户的属性令牌,经由签名模块进⾏签名后颁发给⽤户。⽤户使⽤此令牌在各个业务系统进⾏访问,应⽤系统根据令牌来确定⽤户的⾝份和访问权限。
四、系统功能
1.⾝份认证:
投篮训练器
年糕加工基于中⽹威信CA签发的数字证书,采⽤⾼强度的加密和数字签名技术。⾝份认证系统分为客户端和服务器端两部分,服务器端配置有⽤于标明平台系统服务器⾝份的数字证书;客户端则需要登录⽤户使⽤本⼈的数字证书,并能够与浏览器实现⽆缝的结合。
2.Web 环境的单点登录:
⽤户必须登录⽽且只需登录⼀次,系统可与 Web 应⽤集成,将⼀个⽤户的登录信息传送给各个应⽤系统,访问授权访问的基于 Web 的资源和应⽤。
3.集中的授权管理:
通过属性令牌提供集中的权限管理控制。属性令牌包含⽤户的⾝份类别(个⼈⽤户或单位⽤户)、业务信息(定购的服务)、权限信息(访问应⽤系统的权限)等,可以根据具体应⽤的需要增加对⽤户其他权限信息的扩充。
4.集中的安全策略管理:
建⽴⼀个整体的安全管理策略。所有安全策略的定制、修改和删除等操作都通过⼀个统⼀的平台来完成,从⽽达到统⼀管理企业内部安全策略的⽬标。
5.访问的记录和审计:
系统使⽤标准格式记录所有的访问尝试并⽣成易读的报告,并可以安全地被传输到⼀个第三
⽅数据库系统之中,通过这些数据可以实现审计、跟踪和取证。
五、系统特点
◆采⽤基于 PKI 技术的⾝份认证⽅式, PKI 是解决互联⽹上信任问题的最佳⽅案,它通过数字证书标识⽹上各⽅的真实⾝份,保证了⾝
份的真实有效性;
◆集中管理⽤户信息,各应⽤系统可以根据需要省去各⾃的⽤户管理功能;
◆⽤户⼀次登录,全⽹漫游,实现了集中的⾝份认证和不同信任域间的跨域访问认证;
◆细粒度的权限控制和集中授权;
◆⽅便⽤户使⽤,并对⽤户透明;
◆⾼度开放性,连接的应⽤系统可以根据需要进⾏扩展;
受体拮抗剂实验方法◆系统采⽤ B/S 结构,遵循 HTTP 协议,⽅便与各应⽤系统的连接;
◆系统在加密和签名算法以及数字证书⽅⾯均遵循相应的安全技术标准;
◆⾼度安全性,对称算法密钥长度为 128 位,⾮对称算法密钥长度为 1024 位;
◆提供详细的系统审计⽇志;
六、⼯作流程
单点登录系统的⼯作流程如下:
1.⽤户⾸先使⽤数字证书登录单点登录系统;
2.单点登录系统对⽤户进⾏严格的⾝份认证;
3.如果⾝份认证通过,则签发标识⽤户权限的属性令牌;
4.应⽤系统接收并验证⽤户的属性令牌,如果验证通过,则允许⽤户使⽤业务。
七、使⽤范围
◆电信增值业务平台;
◆电⼦政务系统;
◆电⼦商务系统;
◆企业信息化系统;
◆其它办公⾃动化系统等
⼋、应⽤⽀持
1.采⽤X.509v3标准证书。
2.⽀持各种浏览器: Netscape Navigator,Microsoft Internet Exploer 等。
3.⽤户数字证书的存储介质有USB Key(推荐使⽤)、IC卡、磁盘等。
4.根据报税系统需求可提供完备的应⽤开发接⼝
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议