当前位置：文档视界 › 统一认证系统_设计方案

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台

一、概述

建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能：

为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。

提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。

系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。

单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务

单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。

同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。

二、系统技术规范

单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。

Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的

Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。

Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点：

(1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点

登录服务；

(2). 联盟的应用系统无需大量改造，不需要用户信息大集中，不影响系统原有业务逻

辑与性能；

(3). 以用户为中心，保护用户信息安全和隐私；

(4). 支持多种、多等级的、安全的用户登录认证方式等。

支持的认证技术

联盟化单点登录原理与场景图示：

同域单点登录

跨域单点登录

三、单点登录系统功能

1. 单点登录

(1).支持单点登录、单点登出

(2).支持平台安全域下用户的“一点认证，全网通行”和“一点登出，整体退出”。

(3).支持多个IDP/SP间的联合互信

(4).支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度

决定是否联盟。

(5).支持联盟信息的管理

(6).支持IDP联盟信息的管理或配置功能。

(7).不影响正常的业务逻辑与性能。

2. 支持Liberty ID-FF v1.2规范

(1). 系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准

Liberty ID-FF 1.2规范；

(2). 支持Liberty规范中的所有功能，包括单点登录、整体退出、账号联盟和解盟、

注册名重新注册(Account Linking)、联合互信等功能；

(3). 系统本身提供了一个完整的Liberty Alliance联合互信平台，以部署在各个需要

通过联合互信标准集成的SP方，以加快IDP和各SP的集成；

(4). 提供扩展的站点转送功能，为客户提供更符合实际应用的功能；

(5). 一个IDP服务器可以同时支持一个或多个SP服务器；

(6). 一个SP服务器可以同时支持一个或多个IDP服务器；

(7). 系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以

支持方便和灵活的应用集成；

3. 支持多种、多级别认证方式

(1). 支持多种认证方式，已经支持的就包括LDAP认证、JDBC认证、SecurID认证

等；

(2). 系统具有标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持

第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证；

(3). 支持分布式认证的部署方式：即将认证界面部署在任何一个Web应用服务器上，

而实现多种认证支持的统一认证服务器部署在内网中，以保证认证的安全性和扩展性；

(4). 系统本身支持session的互信机制；

(5). 系统支持多级别认证方式：用户名/密码认证、数字证书认证、动态口令认证，

等等。通过适配器的扩展，可以支持更多的认证方式；

(6). 支持多种应用场景的认证请求

(7). 门户认证：支持接收自服务门户的认证（个人用户门户、SP门户、运营商门户）

请求；

(8). 支付认证：支持支付流程中需要用到的支付安全认证请求；

(9). 业务认证：支持业务流程中需要用到的用户身份认证请求；

(10). 单点登录认证：支持单点登录的认证请求；

(11). 支持认证方式的生命周期管理；

(12). 支持认证方式的注册、修改、删除；

(13). 支持认证方式状态的变更（开通、暂停、恢复、注销）；

(14). 支持认证方式相关参数的配置；

(15). 支持认证等级的配置。

4. 认证的安全控制

主要保障身份认证的安全，基本要求如下：

(1).平台用户身份认证安全控制

凡是输入用户名/密码的页面均由平台提供；

凡是输入用户名/密码的地方均采用HTTPS的方式进行通信；

(2).第三方系统用户身份认证安全控制

对于第三方系统身份识别主要依赖于第三方系统，身份识别流程应综合考虑用户体验和流程安全性，所有传送过程中都对信息进行加密操作。

(3).其它认证安全手段控制

服务器与服务器之间都采用数字证书认证，保障通讯双方的安全性，防止盗链等现象的发生。

5. 兼顾灵活性和通用性

(1). 单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器，不需要依赖

其它的应用服务器；

(2). 集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括：Apache,

Microsoft IIS，Sun/Netscape Web Server；Tomcat，BEA WebLogic, IBM

WebSphere, Sun Java System Application Server；等等。

(3). 单点登录支持保护型单点登录方式（即将应用通过Agent保护起来的安全方式），

也支持代理单点登录方式；

(4). 支持同域或跨域的联合互信、单点登录。

6. 在一台机器上运行多个服务器

(1). 在一个单点登录服务器上同时运行IDP和SP服务器；

(2). 在一个单点登录服务器上同时运行多个SP服务器;

(3). 在一个单点登录服务器上，就可以建立起一个完整的信任圈和联盟化商业网络；

(4). 在学校内部运行一个单点登录服务器，可以支持所有的Web应用系统的单点登

录；

(5). 电信或ASP只需一个单点登录，就可以为所有的SP提供基于Liberty的Web

单点登录功能；

(6). 强大的管理功能，可以独立管理单点登录中的每个服务器实例，包括IDP服务

器和所有的SP服务器；

7. 灵活的Web管理界面

(1). 同一个管理界面，管理所有的IDP和SP服务器；

(2). 管理界面根据服务器的角色（IDP、SP、或者同时是IDP和SP）而自动调整管

理功能；

(3). 统一管理所有合作伙伴的联盟信息；

(4). 提供快速建立合作和联盟关系的功能；

(5). 管理一个或多个数据源，包括关系数据库和LDAP目录的数据源，同时提供数据

源连接测试的功能，以保证配置无误；

(6). 可以为每个服务器独立配置数据源；

(7). 改动服务器配置而不需要重新启动服务器，为客户提供24x7的可用时间；

8. 全方位的证书管理功能

(1). 提供全方位的证书和密钥管理功能，包括签名密钥和证书、SSL服务器证书、

SSL客户端密钥和证书等；

(2). 生成新的公钥和私钥对，支持标准的算法（RSA和DSA），支持不同长度的密钥，

包括1024位、2048位、4096位等；

(3). 生成自己签发的证书，支持X.509 v3的证书格式；

(4). 生成和导出证书请求信息；

(5). 最容易使用的证书导出和导入的功能，包括导入从证书机构接到的、和从合作伙

伴接到的证书。

9. 易用的元数据交换功能

(1). 提供快速建立合作和联盟关系的功能；采用单点登录，建立联盟关系不再是复杂

的事情，只需要点击几下就可以完成的工作；

(2). 全方位的元数据导出和导入的功能，加快建立联盟关系的速度和避免无谓的错

误；

(3). 元数据导出和导入的功能，一步到位，一次性把所有建立联盟关系的工作完成；

10. 强大的机群部署功能

(1). 强大的机群部署功能，管理员通过一个Web管理界面，可以管理机群中的所有

服务器节点；

(2). 所有服务器节点都是平等的，没有主从的概念，任何一台服务器节点都可以独立

运行；

(3). 所有服务器配置和SSO会话信息在机群的节点上实时同步，自动提供故障转移

（Fail Over）的功能；

(4). 可横向扩展的机群部署，支持最严格的容错（Fault Tolerance）需求；

(5). 支持基于硬件或基于软件的负载均衡器。

四、系统功能特点

单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范，同时与市场同类技术相比有着以下优点：

(1). 全方位支持标准Liberty ID-FF v1.2规范，支持从中型到最大型的联盟化部署，

支持规范中所有功能：单点登录、整体退出、账号联盟和解盟等功能；

(2). 扩展站点转送功能，为客户提供更符合实际应用的功能；

(3). 支持SAML（Secure Assertion Markup Language 安全性断言标记语言）规范、

XML（Extensible Markup Language 扩展性标识语言）数字签名规范、SOAP （Simple Object Access Protocol简单对象访问协议）和Web服务协议等；

(4). 支持跨域部署模式，提供跨域单点登录功能；

(5). 支持多种多级登录认证机制，如用户名/密码、动态口令、等等；

(6). 支持现有的用户管理系统，包括LDAP（Light Directory Access Protocol，轻量

(7). 支持多种多级认证方式：普通口令、数字证书、动态口令、指纹识别、IC智能

卡等认证方式，支持第三方认证系统、权限管理系统；

(8). 系统功能强大：单点登录的设计就是要能支持多服务器合为一体的身份联盟服务

器，在同一个机器上同时支持身份提供方（统一身份管理与认证服务提供方）和SP（Service Provider 应用服务提供方）的服务器角色，而同时又能在统一个机器上运行多个SP服务器。对于整个信息化平台只需要一个单点登录服务器就可以为所有的应用服务体统无论是同域还是跨域的提供单点登录功能，为用户提供全面的单点登录服务；

(9). 基于应用场景的系统管理方式：基于Web 的管理界面可以帮助第一次接触

Liberty 或经验丰富的管理员，按循序渐进的步骤，完成端到端的系统配置，从而将配置错误和复杂性降至最低限度，同时管理界面能具有当场检查和验证配置参数的功能，捕获和甚至防止在配置时的错误，从而将人为的可能错误降至最低限度，这为管理员大大降低了运行时调试的时间；

(10). 快速的联盟系统集成方式：采用单点登录解决方案，应用系统的单点登录服

务的集成是一件最简单不过的事情。一般只需点击几下就能完成与联盟合作伙伴的连接，而且管理员可以很容易的从一个中央管理平台管理整个网络的服务器，和所有集成单点登录服务的应用服务的信息；

(11). 支持联盟的部署架构：采用单点登录的解决方案，管理员可以在同一个地方

管理所有的协议定义、PKI 私钥/公钥和证书、连接方式等信息，而不需要维护多个版本、多份服务器配置和信任关系的信息，单点登录能将部署在不同安全域里的高校Web 应用系统联盟起来的能力使业务与业务系统间的联盟部署更方便，而且可以大幅度的降低管理成本；

(12). 系统支持以下的操作系统：Windows、Linux、Unix；

(13). 电信级的稳定性、可扩展性：单点登录是为中型到最大型的联盟部署设计的，

所以能支持应用服务系统在大型数据中心的部署，提供全方位的机群部署和数据同步功能，为客户提供电信级的横向可扩展性，服务器配置、联盟连接、合作伙伴的信息、PKI私钥/公钥和证书等信息，都在整个机群中的所有节点同步SSO

会话和联盟事务在机群中的节点实时同步，为客户提供实际的负载均衡和故障转移的功能，单点登录支持24x7的可用时间的客户需求；

(14). 全面的集成开发包：单点登录是市场上提供最全面的集成开发包的身份联盟

服务器，支持当今绝大部分的主流Web应用服务器技术，更全面的为客户提供解决方案。提供以下的集成开发包（SDK）：

?基于Java 的SDK

?基于 .Net 的SDK

?基于ASP 的SDK

?基于PHP 的SDK

单点登录所提供的SDK使集成现有的用户认证系统和 Web 应用系统更快速、更方便。

五、平台性能

单点登录只在用户登录和退出的时候才被激活，而用户在应用系统中进行正常的操作的时候，根本不和单点登录打交道。也就是说，单点登录本身的处理速度不影响正常的业务运作。不仅如此，就是单点登录的认证速度也是和传统的本地登录没有什么区别。运行一个单点登录服务器进行测试，在0.2-0.3秒（1分钟处理200次的请求）之内完成一个单点登录的认证，1000并发用户登录响应时间小于3秒。

六、系统部署

本期信息化建设将整合现有需要实现单点登录的业务系统，可以按照以下集成部署。

拓扑结构如下图所示：

单点登录集成拓扑结构图

拓扑结构组成：

(1). ID Provider (IDP)：一个身份验证和管理服务提供方，在这里选择门户平台作为

IDP，把校园网用户管理系统的用户信息作为用户统一身份认证信息。

(2). Service Providers(SP)：多个Web应用服务，包括教务管理系统、校园网用户

管理、图书管理系统、邮件管理系统等。

(3). 联盟框架：联盟化身份验证服务器（SSO Server），提供联盟化单点登录基础框

架。

系统集成拓扑结构：

集成拓扑结构

系统集成部署过程如下：

(1).单点登录服务器独立运行，选择持久化系统，可以是关系数据库或者LDAP用来

存放用户联盟信息。

(2).应用服务器（SP）需要提供集成所需的登录、退出过程源代码。

(3).一个Agent模块嵌入到应用服务器（在登录和退出过程中加入单点登录SDK），

只在用户选择单点登录服务时，在登录与退出过程中才激活，不影响原有系统业务逻辑（可以保留原有登录模式），不影响系统性能。

说明：Agent是一个软件库，负责单点登录服务器与应用服务器之间的互动工作，属于SDK的一部分，SSO系统提供了大多数应用服务集成需要的SDK，如Java/ASP/C#/Php等等。

(4).SSO提供统一的管理平台，通过管理平台可以远程管理所有集成了联盟关系的各

个应用系统，管理界面如下图所示：

SSO远程管理平台

主要功能包括IDP服务器管理、SP服务器管理、通信证书管理、数据源配置、机群部署等。

七、提高整体安全度

(1). 使用标准的安全协议，以提供整体的安全度；

(2). 通过安全的联盟协议降低用户在网上传送用户名和密码的次数，大幅度降低账号

被盗窃的机会；

(3). 通过系统联盟(联合互信)实现单点登录而无需推翻已有的基础设施，充分利用现

有的系统，保护已有的IT投资；

(4). 将高校安全模式扩展到整个联盟化网络，整体提高网络的安全度；

(5). 优于市场上其他产品之处还包括：

●不使用COOKIE存储用户信息，保障用户信息的安全性；

●不使用密码对照表，而通过用户身份联盟（Account Federation）实现身份

管理；

●通过安全讯道(https)传输身份认证信息，而且采用匿名信息，应用系统双方

都无法获得用户在对方系统中的真实身份，保护用户隐私。

八、认证的安全控制

主要保障身份认证的安全，基本特点如下：

(1). 平台用户身份认证安全控制

(2). 凡是输入用户名/密码的页面均由平台提供

(3). 凡是输入用户名/密码的地方均采用HTTPS的方式进行通信。

(4). 第三方系统用户身份认证安全控制

(5). 对于第三方系统身份识别主要依赖于第三方系统，身份识别流程应综合考虑用户

体验和流程安全性，所有传送过程中都对信息进行加密操作。

(6). 其它认证安全手段控制

(7). 服务器与服务器之间都采用数字证书认证，保障通讯双方的安全性，防止盗链等

现象的发生。

九、通讯协议与信息安全

为了保证用户信息的安全，单点登录平台平台保证用户在登录或退出时，用户在网上传输的所有信息都受到全程的安全保护。所有信息都可以全程加密，而且通过安全通道传输。

(1). 单点登录平台服务器之间通讯

在Liberty联盟化网络中，单点登录平台服务器与其它单点登录平台服务器通讯时，都是采用标准的Liberty协议，遵循Liberty的所有规范。并且信息传输可

以用HTTPs加密，以保证信息在传输时不被窃取。

同时单点登录平台服务器提供了强大的证书管理功能，以保证设置HTTPs或SSL 的工作是一件简单的工作，就算对证书管理和使用不太熟悉的管理员，也可以安全的配置服务器。

(2). 单点登录平台服务器与Web服务器之间通信

嵌入在Web应用服务器上的Agent与单点登录平台服务器通信时，所有信息都封装在一个安全的信封结构里，叫做ID-Token。ID-Token用AES算法加密，采用128位长度的密钥加密。加密密钥只有Web应用服务器与其相对应的单点登录平台服务器共享，所以就算ID-Token在网上被拦截了之后也无法被解密。如下图所示：

单点登录平台通信协议

(3). 说明：每个ID-Token都有时间限制，一般设为5分钟。过了时间限期的ID-Token

一概不处理，都会被系统扔掉，所以这个安全措施有效地阻止了重放攻击的威胁。

ID-Token的时间限期可以在单点登录平台服务器的管理控制台上设置，如果必要的话，也可以再设短一点。

第二章统一权限管理平台

一、概述

数字化校园平台的权限管理由统一认证与授权管理平台ID-Directory系统完成实现，统一认证与授权管理平台是一个跨平台的统一身份管理、授权管理、认证管

理、资源管理的综合性管理平台，实现了整套的RBAC（基于角色的访问控制）规范，包括细粒度的角色等级和角色约束机制，以及无限级别的权限继承的体系。

二、安全政策

安全政策是一个概念，也是一个基于各种对象和概念的组合。安全政策是围绕着角色、权限、用户、资源和安全域之间的关系而定义的。

互联网的环境是没有界限和约束的，在这样的环境下进行商务活动，保证消费者和服务提供方双方的利益，是对运营商最基本的要求。所以，建立一套完善的管理体系，对高校信息化的总体全面而方便有序地管理起来就成为了重中之重。比如，用户如何方便的申请自己需要的服务，如何支付自己享受的服务，而对于服务提供方，如何针对不同的客户开通不同的服务，如何为客户提供方便快捷的单点登录多个服务，如何确认访问者的身份,又如何获得访问者的权限信息？如何控制和分配用户的访问及操作权限？解决这些问题都是一个基于互联网的服务首要任务。也就是首先要制定和实施管理政策，而这个政策就是一个安全政策，处理好在数字化校园平台中用户、角色、服务（资源）、客户、权限等之间的关系，做到统一贵方，疏而不漏，方便快捷，同时又具有极强的扩展性、规范性和安全性。

统一的安全政策管理是统一认证与授权平台的总体目标，它主要是一个基于“角色”的细粒度管理体系。不同于以用户为中心的管理方式，基于角色的管理更加精练与便捷。下图绘制了安全政策里的各种关系：

安全政策概念图

操作资源的权限被分配给了角色。而角色又根据学校的需求而制定的约束下分配给了用户。

一个权限可能隐含着其他的权限。而这一切都在一个安全域的范围内制定的。安全域划分了安全政策的范围，那就是说，安全政策只能针对安全域内的对象和资源才可以执行。安全域可以按地理划分、按组织结构划分、或者按功能划分，安全域可以是一个国家或地区、一个城市或省份、一个域、一个组、一个组织、或一个组织部门。

三、基于RBAC的授权规范

RBAC（Role-Based Access Control，基于角色得访问控制）体系是美国NIST （美国科技与标准管理局）制定而且提倡的用户管理、安全政策管理体系，也是目前公认的解决大型组织机构的统一资源访问控制的有效方法。

统一认证与授权平台实现了RBAC标准的用户统一权限管理平台，具有RBAC体系的灵活性、可扩展性、可管理性，本方案建议采用统一认证与授权平台。我们在下面简单的介绍统一认证与授权平台中的重要概念，与其应用的范围和例子。

1. 角色

角色在RBAC体系里是一个核心的概念，也是统一认证与授权平台系统中最核心的元素。在统一认证与授权平台管理平台上，客户可以根据自身的需求定义角色及其相关的安全政策。系统里不预设固定的角色或用户，给予客户最大的灵活性和适用性。一个角色可以是全局性的，或局部性的。局部性即局部于一个或多个安全域的范围之内。一个全局性的角色可以在所有的安全域内执行它的权限。局部于一个安全域的角色只能在这个域内，和这个域下属的子域内执行它的权限。更准确的说，一个局部性的角色不是指这个角色被包容在一个安全域内，而是指这个角色拥有访问域内的资源的权限。一个角色可以拥有访问一个或多个域的资源的权限。

不仅如此，在统一认证与授权平台管理平台上可以制定角色等级，并且不限制角色等级数量。一个角色可以继承它下属角色的权限。角色等级结构可以跨越多个等级，那就是说，第一个角色可以继承第二角色的权限，而第二角色又可以继承第三角色的权限。但是不是所有下属角色的权限都被上层继承，系统提供配置选项，这也是统一认证与授权平台灵活性的体现之一。

上图描绘的就是角色与安全域之间的关系，角色5是一个全局性的角色。角色1、6和7只有访问安全域1的权限，而角色3和4只有访问安全域2的权限。但是角色2拥有访问安全域1和2的权限。按照全局性角色的定义，角色5 拥有访问安全域1和2的权限。从上图我们也可以看到，角色7继承了角色6的所有权限。

统一认证与授权平台也建立了用户基数、职责分离等概念，为高校制定灵活的管理策略奠定了坚实的技术基础

角色可以分的很细，例如：计费系统，平台可以根据资源的划分和计费系统原有的权限划分来建立不同的角色。

每个用户在自己的服务权限范围内，可以给自己部门（院系）制定一些角色。例如建立一个系主任的角色,只要给这个角色定义好权限，并将相应的用户赋予系主任的角色即可完成政策制定的工作。本来如果有200个同样角色的用户，需要一一配置的，这样一来，一次性解决问题，不仅降低了管理强度，而且减少了因为多次的重复工作引起的误操作。这也是统一权限管理体系从以用户为中心向以角色为核心转移的一个根本原因之一。

2. 用户

统一认证与授权平台中的用户可以是自然人或者是应用软件，因为一个软件也可以执行命令。一个用户必须先被分配了角色才能进行操作，因为用户的权限是通过角色得到的，所有未分配角色的用户没有任何权限，也不能登录。

上图所表示的就是平台的一些基本角色，所有用户都是按照上面的角色来赋予不同的权限，所有操作都是在统一认证与授权平台中进行配置：用户认证平台管理员(用户)通过统一认证与授权平台来创建平台内的各类用户，科室用户是由用户管理员在统一认证与授权平台中来创建.

例如，用户A科室开通了Email和WebHosting两个服务。并不是用户A 科室所

有的员工都能使用这两个服务，用户可以按照角色分配来赋予自己内部的用户权限。

3. 资源

资源指的是在安全政策管理系统里管理的外在资源。资源是任何可以定义的实体。例如，一个资源可以是一套应用软件、应用软件里的一个模块、硬件（如打印机）、一份文件、一个数据表、或数据表里的某一行、一个XML文件里的元素，等等。简单的说，一个资源可以是任何能以标识符标识的抽象或现实的实体。

在用户认证平台中，应用系统提供的服务或者产品是资源，应用服务的任何操作可以是资源，计费系统中各单元也可以是资源任何应用的一个小模块都可以当作一个资源由统一认证与授权平台来管理。

所有的应用都能被统一认证与授权平台有效的管理起来，计费系统等应用的业务流程无需变更就能完全集成到平台。这就实现了平台对所有服务和产品达到统一管理的需求。

统一认证与授权平台可以很灵活的制定自己需要的安全政策，所以以后有任何新的ASP，甚至将来移动应用和3G应用要集成进来，平台也能很容易地把应用划分成多个资源来管理。

下面我们根据资源的概念来举例说明一个新的服务在平台上是如何配置、管理和发布的，比如，现在平台要上一个教育网的服务，步骤是这样的：1、首先我们按照这个服务提供方具体提供多少服务、多少产品以及对服务的操作性、计费规则等，把平台当前所需要管理这个服务提供方的所有的功能模块和服务内容划分成多个资源，并在统一认证与授权平台的界面上进行简单配置新建资源。2、根据具体的这些资源，按需分别分配给系统角色（用户认证平台内部、服务提供方以及定购此服务的用户）。这样就完成了。

4. 权限

执行权是通过分配权限而得到的。权限的定义是指对某些对象或资源的某些操作的许可。权限一般被归类成权限组。权限与权限组有系统定义和自主定义（或用户定义）之分。系统定义权限和权限组是安全政策管理系统内置定义，不能改动。

系统管理员可以自主定义一些权限及权限组来补充和加强对角色与资源的安全管理。

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台一、概述建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能：为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。二、系统技术规范单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： (1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点登录服务；

网络统一身份认证计费管理系统建设方案综合

XXXX学院网络统一身份认证计费管理系统建设方案 2016年03月目录一．计费系统设计规划 (2) 二．方案建设目标 (2) 三．总体方案 (3) 1.方案设计 (3) A.方案（串连网关方式） (3) B.方案（旁路方式+BRAS，BRAS产品） (4) 四．认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五．认证计费管理系统功能介绍 (9) 六．用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)

7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一．计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户，同时在线用户规模为5000人，具有多个出口线路；网络特点呈现高带宽，高用户，多种接入方式使用人群，并且在未来还会以多种网络架构存在（有线，无线）。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量，同时也必须能满足复杂的接入模式，多种灵活的控制计费策略。在充分满足IPv4用户的认证计费需求的前提下，设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求，同时还需要满足无线和有线认证的融合统一认证管理模式；目前学校已经使用一卡通系统，安全认证计费管理系统必须和一卡通系统实现对接，能支持未来的数字化校园，能够融合到统一身份认证平台。有线网和无线网是实现账户统一，避免一个用户需要多账户登录有线网和无线网的情况，并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接，实现用户账号的同步关联。二．方案建设目标针对目前学校对于用户认证计费系统的需求，通过安全认证网络管理计费系统，搭建一套包括用户接入、认证、计费及用户管理的综合平台，为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解

网络统一身份认证计费管理系统建设方案综合

XXXX学院网络统一身份认证计费管理系统建设方案 2016年03月目录一．计费系统设计规划......................................... 二．方案建设目标............................................. 三．总体方案................................................. 1.方案设计 .............................................. A.方案（串连网关方式）................................. B.方案（旁路方式+BRAS，BRAS产品）四．认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五．认证计费管理系统功能介绍................................. 六．用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................

企业知识管理平台建设方案

企业如何建立特色知识管理平台知识管理平台建立，其基于的功能特点包括：知识采集、知识存储、知识分类、知识获取、下载预览、显性知识共享、隐性知识挖掘。有这些基本功能支撑的前提下，深度的去扩充企业个性化需求，建立特色的知识管理平台便可无后顾之忧了。第一点，知识采集。对于知识采集当然不会仅仅限制于本地文件的上传，目前有许多企业拥有自己的OA，ERP，业务系统，而这些系统不仅仅用于实现公司制度存放、流程运转。许多企业已经将大量知识存放到系统中了。在这样的情形下，可以通过API接口，让业务系统与知识管理系统无缝集成，让文件自动导入至知识系统中，统一集中的管理，实现单点登录。第二点，知识存储。知识上传后，统一集中存储在服务器端，不受数据库，系统影响，我们的系统不绑架文件，随时可取。第三点，知识分类。按照企业特点自定义文档元数据，树状目录结构，标签分类文档，深度梳理企业知识。第四点，知识获取。通过全文检索、条件组合检索、标签来主动搜索你要的信息，也可通过定向关注、被动推送等形式获取知识。第五点，下载预览。支持200多种文档格式在线预览/播放，线下需要使用的文件，也可下载到本地。第六点，显性知识共享。实行生动有趣的积分式管理，员工上传、下载伴随着积分的流动，上传文档、文档被下载、系统奖励、充值均可获得相应积分，而个人下载，处罚都会伴随着积分的消耗。用户积分排行、下载数量排行、上传文档排行、消费积分排行、热门文档排行，直观展示在你的面前，随时掌握热点动态。营造积极向上的工作氛围，调动员工的积极性，给予充分的满足感，让共享成为一种

习惯，在协作中享受快乐。第七点，隐性知识挖掘。企业注重人才的培养，而要想能人辈出，挖掘资源共享便显得尤为重要了。对于企业元老，其丰富的工作经验，摸索出的窍门方法，分享给企业新人便是他们快速成长的捷径。新增知识专辑功能对知识进行组织整合，便于快速查找阅读最新最具价值的经验信息。基于上述功能要点，润普知识库更加注重于用户的体验效果，简单、易用之余，轻松交流、共享创新才是用户的终端感受。信你自己罢！只有你自己是真实的，也只有你能够创造你自己

统一身份认证-CAS配置实现

一、背景描述随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施，而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1、每个系统都开发各自的身份认证系统，这将造成资源的浪费，消耗开发成本，并延缓开发进度； 2、多个身份认证系统会增加系统的管理工作成本； 3、用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨； 4、无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5、无法统一分析用户的应用行为因此，对于拥有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关”的目标，方便用户使用。二、CAS简介 CAS（Central Authentication Service），是耶鲁大学开发的单点登录系统（SSO，single sign-on），应用广泛，具有独立于平台的，易于理解，支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS，并提供了易于使用的方案。Acegi安全系统，是一个用于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务，包括使用Bean Context，拦截器和面向接口的编程方式。因此，Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广

(完整word版)知识库建设方案

恒信知识库建设方案说明书一、知识库的定义企业知识库是企业中各种形式的知识按照一定的知识表示方法集中存放的数据库，是一个完整的知识管理解决方案的重要组成部分，具有强大的知识集成、分类、存储、发布、决策支持等功能。这些知识不仅包括企业的宏观发展规划、企业文化等，也包含微观的各个部门的一切知识内容，如:培训资料、学习资料、客户资料、市场资料等等很多方面，同时与领域相关的理论知识、事实数据、市场动态新闻等知识，都在其内容之内。二、知识库的作用知识库积累了企业职员的知识、经验、创意、办事方法方式、技能，使其他职员有相同事件时有所参考，从而增强团队整体解决问题的能力，通过资料汇总快速查询的方式提高工作效率，为客户解决问题提供方便快捷的方法，提升公司的形象。通过知识的积累，使一般工作标准化，增强公司稳定性，减少人员流动带来的损失，通过理论常识的传播，建立学习型组织。二、建立知识库的背景随着公司规模的扩大和信息化的深入发展，公司内部的信息数据日益剧增，而这些信息都将是公司极其重要的资产和财富，必须进行妥善保护和管理，一旦丢失，损失惨重。公司目前各部门、区域在工作中，都积累了不少工作经验或工作标准，甚至都有各自部门工作的使用手册、制度等规范性文件，但都没有形成一个系统性的管理和归档，也没有共享给公司其他部门学习或借鉴。为此公司特建立知识库，将已有的资料、文档、课件等知识收集起来，整理后归档到知识库里。对知识进行有效得管理和合理利用，帮助公司有效储存一些"隐性"的重要知识内容（如:管理层的一些培训、重要发言等制作成的视频），使得显性的知识更易形成结构、体系，便于随时调用或再次利用，体现知识的延续性。后续管理员再对知识库进行不断的更新、完善，使得知识库能够保持良性循环使用，帮助到更多的员工成长，真正体

sso_统一身份认证及访问控制解决方案

统一身份认证及访问控制技术方案

1.方案概述 1.1. 项目背景随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度； 2)多个身份认证系统会增加整个系统的管理工作成本； 3)用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨； 4)无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5)无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关"的目标，方便用户使用。 1.2. 系统概述针对上述状况，企业单位希望为用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点： ?单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后台的多个应用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 ?即插即用：通过简单的配置，无须用户修改任何现有B/S、C/S应用系统，即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式，可单独使用也可组合使用。 ?基于角色访问控制：根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理：系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以使用HTTPS安全地进行管理。

统一身份认证平台功能描述

统一身份认证平台功能描述文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

数字校园系列软件产品统一身份认证平台功能白皮书目录

1产品概述 1.1产品简介随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登录系统时需要多次输入用户名/密码，操作繁琐。各个系统之间的账号不统一，形成信息孤岛现象，导致学校管理工作重复，增加学校管理工作成本。新开发的系统不可避免的需要用户和权限管理，每一个新开发的系统都需要针对用户和权限进行新开发，既增加了学校开发投入成本，又增加了日常维护工作量针对学生、教职工应用的各种系统，不能有效的统一管理用户信息，导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账号，为学校日后的工作带来隐患。缺乏统一的审计管理，出现问题，难以及时发现问题原因。缺乏统一的授权管理，出现权限控制不严，造成信息泄露。统一身份认证平台经过多年的实践和积累，通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计，有效地解决了以上问题，赢得客户的好评。

1.2应用范围 2产品功能结构统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理统一身份认证平台集中管理学校的所有教职员工和学生信息，所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中，保证数据的保密性和读取效率。通过用户同步功能，及时地把关键业务系统中的用户信息同步到统一认证平台中，然后通过平台再分发给需要的业务系统，保证账号的一致性。为所有的用户设置权限生效起止日期，即使不对用户做任何操作，在权限生效期外的用户也无法通过认证，保证了系统的安全性。用户管理

知识管理平台设计方案doc资料

XXXXXXXXX分公司知识管理平 ^ 台设计方案 |

目录 ! 前言 (2) 门户展示模块 (5) 公文管理模块 (5) 工作任务全生命周期管理 (7) 知识库 (8) 专家库 (10) 知识地图 (11) 知识问答 (11) … 知识流程设计 (13) 讨论社区 (13) 知识共享氛围的营造 (14) 安全信息管理模块 (14) 总结： (15) ：

1.1前言知识管理平台，是集中实现可持续性动态演进的企业知识管理一系列功能应用需求的以IT技术为基础的系统操作、展示、应用平台，它可以使企业各领域、各层级、各区域、各业务场景的员工通过统一的应用与分享平台和入口访问其各自所需的个性化知识与信息资源。知识管理平台是一个以人的知识与智能为核心和主导，以信息技术为手段的人机结合的管理支撑系统。其建设与运营总体目标是通过管理整合企业中的各种知识资源与智力资产（包括企业内外各种显性的情报信息和知识文档体系，还包括存在于各领域专家头脑与经验中的隐性知识体系），并通过各种形式与工具实现知识的实时关联存储，将企业不断演变与扩张的知识资源整合为动态而体系化的企业知识资产库，以促进企业智力资产优化升级，打造知识学习、分享、创新的健康企业文化，并能通过知识创新能力不断升级有效促动企业各业务智能领域岗位员工生产效率与效能的提高。它是企业知识创新能力的不断升级有效促动企业各业务职能领域岗位员工生产效率与效能的提高。它是企业知识资产的“生产厂”、“档案馆”、“阅览室”、“创新馆”、“分析台”，着眼于为企业业务体系为核心价值链运营能力的优化和企业核心岗位人员能力素质体系升级，提供可持续有针对性的能源与动力，未来将立足于保障“智慧企业”与“学习型组织”的战略发展远景落地于核心的智能型竞争力的可持续打造。

统一身份认证系统技术方案

智慧海事一期统一身份认证系统技术方案

目录目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)

电子运维知识库管理系统建设方案

1. 概述 1.1. 建设背景现湖南E-OMS 系统已初步形成了面向日常运维事务、对日常运维工作进行监督和管理的具有湖南移动自身特色的电子化运维的平台性系统，成为湖南移动网络部日常工作、网络维护不可或缺的系统。随着E-OMS系统的完善，电子化运维的使用人员对资源的优化，使用的方便程度提出了越来越高的要求，迫切需要建设一套电子运维知识库系统，来提高运维工作效率，以便于日常工作管理。 1.2. 建设原则按照集团公司的规划，知识库系统采用独立部署，统一建设的原则，达到应用统一和信息共享的目的。由于客服目前已经依据集团规划，建设了一套知识库系统，因此不允许再进行重复性的建设。 1.3. 建设内容根据前面所述的系统的建设背景及原则，我们提出：依托客服现有的知识库系统，建设电子运维知识库管理系统。通过对现有客服知识库系统的改造来满足电子运维对知识库的需求，同时也大大降低了成本，加快了建设的速度。总体建设方式如下： 1、在现有知识库中新增电子运维专用数据节点，同时分配给电子运维专用的账号及权限，以便进行管理。 2、通过对现有知识库系统知识搜索功能的改造，增强现有知识库的搜索引擎功能。 3、在现有知识库系统上，增加新的业务接口，满足电子运维对知识库的需求。

统一认证平台的设计方案(XXXX互联网接入平台建设方案)

XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划，推动实现公司办公、管理等相关业务的互联网化和移动化，我部拟开展互联网接入平台系统的建设，建立互联网和公司内部网络的唯一通道，在安全风险可监、可控、可承受的前提下，为公司员工提供更加顺畅、更为便捷的互联网接入服务，满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。一、需求分析（一）覆盖范围员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。（二）接入终端需求 1、PC终端员工能够使用PC、笔记本电脑等终端访问公司内网系统，并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端员工能够使用基于Android系统和iOS系统的移动终端，以企业APP的方式访问公司内网系统，访问期间，移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理，不符合安全策的移动终端不允许接入内部网络。（三）多运营商接入需求

公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统，因此互联网接入平台需支持上述各运营商，并能够选取最优访问路径以保障访问速度。（四）身份认证及单点登录需求由于互联网接入平台面向互联网开放，用户身份认证必须采取强身份认证方式，除需设置一定复杂度的登录口令外，必须支持RSA动态令牌认证，可扩展支持短信、数字证书、指纹等高强度认证方式。互联网接入平台具备单点登录功能，用户身份验证通过后，互联网接入平台将向用户开放其权限范围内的所有业务系统，且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能，不可使用密码代填的实现方式。（五）安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施，防止公司相关数据的泄露。 2、边界访问控制互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施，有效保障互联网接入平台后部的公司信息系统的安全性。二、方案设计

统一身份认证系统技术研究

统一身份认证系统技术研究一、背景目前公司产品中的各个子系统正在从原来高耦合的整合系统模式向现在的高内聚低耦合的系统模式发展，例如：现在的LIS、PACS、移动医疗、电子病历已经能够从原来的HIS系统中分离出来独立运行。另外，与第三方系统的互联互通的需求也愈来愈多。各个系统之间的低耦合使得系统的访问控制和信息安全问题愈见突出，原来整合系统的统一的认证、授权、账号管理模式被各个系统的分立的状况打破，特别是对于外部系统的互联互通，原来的模式更是走不通。另外,目前所采用的数据库内部认证和授权方式以及通过调用接口或者WebService接口，虽然是一种有效地补充，但是仍然存在效率和规范的问题。因此，构建一个完整统一、高效稳定、安全可靠的统一身份认证和管理平台已经成为目前产品体系下的一种需要。二、统一身份认证系统的功能、规范与技术要求统一身份认证系统的最基本功能要求就是对于各个系统间的用户进行统一管理，让用户使用系统时更加方便，无需反复登录系统。统一身份认证系统应从功能方面满足以下要求： 1、用户只需在统一身份认证系统中登陆一次后，就可以使用基于统一身份认证系统认证的所有系统，无需再记忆多套用户名和密码。 2、管理员可以对所有系统的用户进行统一管理，可以对用户的权限进行统一分配。实现系统的分布式应用，集中式的管理。 3、统一身份认证系统下的各个业务系统之间，用户数据必须保持一致性。用户数据必须同步更新。统一身份认证平台应满足4A安全管理框架规范，4A框架的内容为身份认证（Authentication）身份认证是信息安全的第一道防线，用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。身份认证的方式可以有多种，包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。

知识库建设方案

恒信知识库建设方案说明书、知识库的定义企业知识库是企业中各种形式的知识按照一定的知识表示方法集中存放的数据库，个完整的知识管理解决方案的重要组成部分，具有强大的知识集成、分类、存储、发布、决策支持等功能。这些知识不仅包括企业的宏观发展规划、企业文化等，也包含微观的各个部门的一切知识内容，如:培训资料、学习资料、客户资料、市场资料等等很多方面，同时与领域相关的理论知识、事实数据、市场动态新闻等知识，都在其内容之内。二、知识库的作用知识库积累了企业职员的知识、经验、创意、办事方法方式、技能，使其他职员有相同事件时有所参考，从而增强团队整体解决问题的能力，通过资料汇总快速查询的方式提高工作效率，为客户解决问题提供方便快捷的方法，提升公司的形象。通过知识的积累，使一般工作标准化，增强公司稳定性，减少人员流动带来的损失，通过理论常识的传播，建立学习型组织。、建立知识库的背景随着公司规模的扩大和信息化的深入发展，公司内部的信息数据日益剧增，而这些信息都将是公司极其重要的资产和财富，必须进行妥善保护和管理，一旦丢失，损失惨重。公司目前各部门、区域在工作中，都积累了不少工作经验或工作标准，甚至都有各自部门工作的使用手册、制度等规范性文件，但都没有形成一个系统性的管理和归档，也没有共享给公司其他部门学习或借鉴。为此公司特建立知识库，将已有的资料、文档、课件等知识收集起来，整理后归档到知识库里。对知识进行有效得管理和合理利用，帮助公司有效储存一些 "隐性"的重要知识内容（如:管理层的一些培训、重要发言等制作成的视频），使得显性的知识更易形成结构、体系，便于随时调用或再次利用，体现知识的延续性。后续管理员再对知识库进行不断的更新、完善，使得知识库能够保持良性循环使用，帮助到更多的员工成长，真正体

行业知识库平台解决方案

XX公司行业知识库平台解决方案重点行业信息化知识库及服务体系构造

1 概要行业发起建设行业知识库平台可对整个行业起到的促进作用如下： ? 推动大企业向高端咨询转型。 ? 引导中小企业向专业化服务转型。 ? 加强行业用户与软件企业的战略合作。 ? 拓展行业应用市场, 抵制国外对手占据高端应用，扩大市场份额。 ? 优化行业结构，提升软件行业发展速度。行业信息化知识库，是指软件企业在服务于行业信息化建设过程中所积累的行业关键知识、实施经验、软件构件重用等的总称。行业知识库的内容包括以下内容：图表 1 行业知识库参考模型行业知识库系统是一个复杂而庞大的系统，随着时代的进步而不断发展和创新，不同时期存在不同的情况、业务模式和不同的操作方法，在应用过程中又不断发现问题，不断加以改进和完善。所有这些过程、模式和业逻辑，都需要行业知识作为基础架构进行支撑，通过行业信息化知识库行业信息化全景图行业业务模型行业数据模型行业解决方案行业解决方案仿真系统行业领域构件行业标准行业法规法律行业分析报告

面向知识的架构（SOA）提升行业信息化整体应用水平。 2 项目特点行业知识库包括两大部分，即行业知识库体系以及行业知识库本身。前者是知识库理论基础，其文档系统可以概括为： 1. 知识体系。行业的知识与分类、行业标准法规文件、行业业务模型、行业数据模型、行业信息系统的构件、行业案例、行业分析报告和信息资源定义等 2. 技术体系。行业总体解决方案、行业技术框架、系统需求分析、硬件网络环境、系统概要设计、系统详细设计、系统测试报告、行业系统软件源码、构件软件和构件实体等 3. 服务体系。产业链全程服务体系、服务组织机构、服务规则规章、服务方式方法、服务技术支撑框架、售前售中售后条例等。知识库本身是知识库解决方案的实现，包括知识库开发平台和知识库应用平台。XX公司知识库开发平台采用SOA架构，以服务方式提供知识构件。在知识应用平台上构件作为服务与知识库解决方案、业务模型、数据模型等知识一样进行注册等维护管理。行业知识库建设将改变传统的生产经营模式，通过实施行业整个供应链的一体化管理，实现以市场为导向优化资源配置、提高效率、降低成本、提升效益的目标；把信息化融入到行业、企业的实际工作中，全面落实依法行政、依法管理、依法经营，运用信息化开展技术创新、管理创新和制度创新，建立全面准确量化的管理体系，实现管理从定性向定量、由静态向动态、由事后向实时的转变，提升行业生产经营管理水平，提高应对国际竞争环境的能力。 XX公司在行业知识库开发上从知识体系建设和技术体系建设出发，采用两个建设并进的策略进行。在知识体系建设上，首先对目标行业进行全业务梳理，摸清目标行业的家底，调查、收集和整理行业相关的法律法规、标准文件，按照元数据的标准进行编目和归类，生成可以管理和操作的知识元素库。同时在技术体系上，构建以SOA架构为基础的知识库技术平台，参照业务梳理的成果，按照知识库的知识组织思路，在新架构下支撑对老系统的升级改造和新业务的构件开发。

知识管理解决方案

知识管理解决方案 1、整体介绍知识管理就是对用户组织知识的管理，是以实现组织知识的有效收集、挖掘和共享为最终目的的。根据部门职能设置和各个部门、岗位的实际工作内容和知识需求确定合理的企业知识资源，确定合理的知识资源分类体系，实现部门和岗位的知识资源的有效利用和管理。汇创知识管理解决方案通过汇创协同管理平台知识管理模块实现知识的积累、共享、利用与创新的全程管理！为组织内部信息发布及传播提供场所，使组织的新闻、通知、公告、规章制度、各种类型文档等能快速传播；收集组织的各类信息资源，文档资料，专家技能，形成内部的知识库，实现知识的快速传播与共享，从而提高团队的学习能力，快速响应能力，提高员工技能素质。更重要的是为每个员工提供一个个性化的知识信息门户，在这个个性化的门户中，员工只能找到与他职位和权限相关的知识，并且每一个员工在自己的门户中积累知识，并与大家共享自己在各方面的经验和知识。知识管理主要流程和内容：

2、系统目标通过导入知识管理的模式，整合企业门户，集成知识、办公、业务、管理为一体，以岗位为基本功能单位，将原有的传统的模式改造为实时的知识资源管理系统，通过实时的知识资源管理，实现人与岗位分离和实时管理，将使各组织单位都能有效地进行目标和资源管理、利用现有和潜在的知识资源，促进团队学习、进化与合作，向知识型组织发展，具体来讲：建立统一存储机制，将个人知识和信息提升为组织知识，增加组织知识储备，减少员工休假、离职而造成的损失。建立内外部信息聚合的平台，分析外部环境的机会和挑战，全面获取相关资料，辅助领导层进行战略的决策和调整。通过岗位模式将知识和岗位联系起来，帮助岗位人员低成本获得知识，降低知识扭曲，同时完成岗位知识的积累。建立知识仓库，方便组织的后续者获取前人积累的知识，以此为基础不断创新，实现组织的可持续发展和创新。提供交互的功能，帮助建立内部学习交流体系，从系统中接受知识，形成“边干边学、在干中学”的终生学习机制。汇创知识管理解决方案的目标可以根据用户的实际情况分为短期目标及中长期目标来逐步实现：第一期目标收集内部知识，引进外部信息源，并进行统一集中有序的管理

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台统一身份认证及单点登录系统建设方案福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台必须增加统一身份认证、统一权限管理及单点登录功能。一、建设目标通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。二、规划建议统一身份认证及单点登录系统是福建公安公众服务平台的核心基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录，实现用户资源的共享，简化用户的操作。

统一身份认证系统

1.1. 统一身份认证系统通过统一身份认证平台，实现对应用系统的使用者进行统一管理。实现统一登陆，避免每个人需要记住不同应用系统的登陆信息，包含数字证书、电子印章和电子签名系统。通过综合管理系统集成，实现公文交换的在线电子签章、签名。统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现，支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS，以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求：50并发认证不超过3秒 ?支持联合发文：支持在Office中加盖多个电子印章，同时保证先前加盖的印章保持有效，从而满足多个单位联合发文的要求。 ?支持联合审批：支持在Office或者网页（表单）中对选定的可识别区域内容进行电子签名，这样可以分别对不同人员的审批意见进行单独的电子签名。 ? Office中批量盖章：支持两种批量签章方式： ?用户端批量盖章； ?服务器端批量盖章。 ?网页表单批量签章：WEB签章提供批量表单签章功能，不需要打开单个表单签章，一次性直接完成指定批量表单签章操作，打开某一表单时，能正常显示签章，并验证表单完整性。 ?提供相应二次开发数据接口：与应用系统集成使用，可以控制用户只能在应用系统中签章，不能单独在WORD/EXCEL中签章，确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求：电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章，网页签章控件或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签

统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计

基础支撑层统一身份认证（SSO）统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法，一种是建立在PKI，Kerbose和用户名/口令存储的基础上；一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分：统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库，具体方案如下图。 1、采用认证代理，加载到原有系统上，屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行，认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接，用户登录后也可以直接访问系统，不需要二次认证。 4、对于认证代理无法提供的数据信息，可以通过访问Web Service接口来获得权限和数据信息。单点登录认证的流程如下图所示：

单点登录只解决用户登录和用户能否有进入某个应用的权限问题，而在每个业务系统的权限则由各自的业务系统进行控制，也就是二次鉴权的思想，这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。统一系统授权统一系统授权支撑平台环境中，应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册，将各应用系统的授权部分或全部地委托给支撑平台，从而实现统一权限管理，以及权限信息的共享，其注册原理如下图。

用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候，应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能，根据统一系统授权支撑平台返回的结果进行相应的处理，其原理如下图。统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式，以满足权限管理的灵活性、可扩展性和可管理性的需求块

企业知识管理平台建设方案

充值均可获得相应积分，而个人下载，处罚都会伴随着积分的消耗。用户积分排行、下载数量排行、上传文档排行、消费积分排行、热门文档排行，直观展示在你的面前，随时掌握热点动态。营造积极向上的工作氛围，调动员工的积极性，给予充分的满足感，让共享成为一种习惯，在协作中享受快乐。第七点，隐性知识挖掘。企业注重人才的培养，而要想能人辈出，挖掘资源共享便显得尤为重要了。对于企业元老，其丰富的工作经验，摸索出的窍门方法，分享给企业新人便是他们快速成长的捷径。新增知识专辑功能对知识进行组织整合，便于快速查找阅读最新最具价值的经验信息。基于上述功能要点，润普知识库更加注重于用户的体验效果，简单、易用之余，轻松交流、共享创新才是用户的终端感受。

统一身份认证系统建设方案

统一身份认证系统建设方案发布日期：2008-04-01 1.1 研发背景随着信息技术的不断发展，企业已逐渐建立起多应用、多服务的IT 架构，在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向，各有其对应的用户群体、技术架构、权限体系，限制了系统之间的信息共享和信息交换，形成的信息孤岛。同时，每一个信息系统的用户拥有不同的角色（职能），需要操作不同的系统，难以对其需要和拥有的信息和操作进行综合处理，限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。统一身份管理将分散的用户和权限资源进行统一、集中的管理，统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录，改变原有各业务系统中的分散式身份认证及授权管理，实现对用户的集中认证和授权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构汇信科技与SUN公司建立了紧密合作关系，汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统（统一认证服务器）、统一身份管理系统（统一身份管理服务器）、目录服务器。受控层位于各应用服务器前端，负责策略的判定和执行，提供AGENT和API两种部署方式。统一认证服务器安装统一身份认证系统（AM），主要提供身份认证服务和访问控制服务。统一认证服务器安装统一身份管理系统（IM），主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”（SSO） “一次鉴权（认证和授权）”是指建立统一的资源访问控制体系。用户采用不同的访问手段（如Intranet、PSTN、GPRS等）通过门户系统