CN108322468A - 身份认证系统 - Google Patents
身份认证系统 Download PDFInfo
- Publication number
- CN108322468A CN108322468A CN201810108079.8A CN201810108079A CN108322468A CN 108322468 A CN108322468 A CN 108322468A CN 201810108079 A CN201810108079 A CN 201810108079A CN 108322468 A CN108322468 A CN 108322468A
- Authority
- CN
- China
- Prior art keywords
- user
- application system
- role
- application
- tissue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种校园网身份认证系统,能够实现全校校园网内统一的用户认证,为校园网各应用系统提供统一的、安全的身份认证服务,为门户提供认证与票据服务,实现单点登录和应用漫游,实现了基于用户认证的访问控制、支持基于角色的应用级权限管理、实现了个性化应用访问的需求。不仅保证了身份的真实性,还为信息的保密性和完整性以及交易提供不可抵赖性的服务。
Description
技术领域
本发明涉及一种校园身份认证系统,属于数字化信息技术领域。
背景技术
数字校园是在传统校园的基础上,利用先进的信息化手段和工具,将现实校园的各项资源数字化,形成一个数字空间,以实现教育信息化,强化各项管理。数字校园中一般存在多个系统,例如教务系统、学生系统、人力资源系统、财务系统、设备系统、资产系统、网络教学系统、数字图书馆系统和社区服务系统等。对于校园网中这些应用系统来说,必须解决不同的网络应用系统用户名和口令不统一的问题,需要一种方便、安全的身份认证方法,让用户只要一套用户名和口令就可以使用校园网上被授权使用的所有应用系统,且该身份认证系统还需要考虑校园网的安全性问题,要严格区分各类用户的操作权限,跟踪用户的操作行为,具有防抵赖机制。
发明内容
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明的目的就在于为了解决上述问题提供一种校园网身份认证系统,该身份认证系统中学校的每一个成员都有一个与其身份相应的电子身份,用户可以使用自己的电子身份访问数字校园中有权访问的任何系统。
为了实现根据本发明的这些目的和其它优点,提供了一种身份认证系统,其中,包括:
用户认证模块:为所述身份认证系统中的各应用系统提供用户认证,认证方式包括单一应用系统基本认证和多应用系统间切换认证,所述多应用系统间切换认证是通过所述单一应用系统基本认证后,实现用户登录一次即可访问所述身份认证系统内集成的所有应用系统,当所述用户/组织通过用户认证模块登录后,所述用户认证模块会发送信息给所述应用系统模块告知所述用户/组织已通过认证;用户/组织控制模块:根据所述用户/组织的真实身份来赋予其相应的操作权限,包括组织控制、用户控制和角色控制,保证用户、组织信息的准确性与一致性,并将所述用户/组织的操作权限发送给应用系统控制模块;应用系统控制模块:对所述身份认证系统内集成的各应用系统进行控制,使所述各应用系统不仅适应所述用户认证模块,还包括提供所述应用系统的信息、将所述应用系统接入身份认证系统生成服务器证书、添加所述应用系统的管理员、根据所述用户/组织模块发送的用户/组织操作权限设置访问所述应用系统的用户、组织或角色;系统控制模块:对所述身份认证系统进行控制,包括日志控制、访问策略确定、系统备份和管理员控制。
优选的是,所述用户认证模块中用户登录算法采用数字签名算法,且所述用户认证方式既包括单一应用系统的基本认证又包括多应用系统间切换认证,其中所述单一应用系统的基本认证过程为:用户与应用系统A进行交互,并进行登录操作,所述应用系统A将用户提供的用户名、密码等转发给统一身份认证系统以检验其是否通过授权;所述多应用系统间切换认证过程为:用户通过所述单一应用系统的基本认证流程登录应用系统A后,当用户切换至应用系统B时,所述应用系统A将用户的访问权限令牌传递给所述应用系统B,所述应用系统B再将所述用户访问权限令牌传递给认证前置机,所述认证前置机与认证服务器进行交互,根据所述用户访问权限令牌以及相应的安全策略进行过滤,确定用户是否有权访问所述应用系统B,并将认证结果返回所述认证前置机,所述认证前置机将所述认证结果传送给所述应用系统B,所述应用系统B根据所述认证结果确定用户是否有权进行访问。
优选的是,所述用户/组织控制模块中所述组织控制是根据不同的控制政策自定义不同的组织结构,进行用户分类控制,包括维护各个组织之间的关系,进行组织的增加、删除和修改,并提供组织的移动、合并;所述用户控制包括集中和分级两种方法,所述集中控制方法是由系统管理员统一控制用户,所述分级控制方法是将系统管理员权限以组织为单位分派,还可以进一步下放到下级单位,原则上可以提供无限级别的分级控制功能;所述角色控制是对用户在不同应用系统的不同角色分别进行控制,所述角色分为全局角色和应用角色,所述全局角色指对所述身份认证系统内集成的所有应用系统中具有普遍性的角色,所述应用角色是针对特定应用系统的角色;同一用户可对应多个角色,每种角色有不同的有效期。
优选的是,所述身份认证系统模块中,所述访问策略指通过定义动态访问策略定义非固定用户在特定时间段特定应用系统中的权限,包括设定所述非固定用户人员数量、所述非固定用户权限、临时账户启用时间、结束时间,自动批量生成所述非固定用户临时账号和结束后自动删除所述非固定用户临时账号。
优选的是,所述用户认证模块采用单点登录(SSO)平台;所述用户/组织控制模块采用轻量目录访问(LDAP)协议目录系统,对用户/组织的信息进行统一控制;所述应用系统控制模块对于不能使用所述单点登录平台的用户,仍提供单独的登录服务;采用安全套接层(SSL)协议和浏览器表单签名的模式对包含用户登录信息和信息交互指令的表单进行数字签名;采用公钥基础设施(PKI)框架控制密钥和证书,保证数据的机密性、完整性和有效性。
一种身份认证方法,其中,包括:
用户认证:为所述身份认证系统中的各应用系统提供用户认证,认证方式包括单一应用系统基本认证和多应用系统间切换认证,所述多应用系统间切换认证是通过所述单一应用系统基本认证后,实现用户登录一次即可访问所述身份认证系统内集成的所有应用系统,当所述用户/组织通过用户认证登录后,所述用户认证会发送信息给所述应用系统控制告知所述用户/组织已通过认证;用户/组织控制:根据所述用户/组织的真实身份来赋予其相应的操作权限,包括组织控制、用户控制和角色控制,保证用户、组织信息的准确性与一致性,并将所述用户/组织的操作权限发送给应用系统;应用系统控制:对所述身份认证系统内集成的各应用系统进行控制,使所述各应用系统不仅适应所述用户认证,还包括提供所述应用系统的信息、将所述应用系统接入身份认证系统生成服务器证书、添加所述应用系统的管理员、根据所述用户/组织控制发送的用户/组织操作权限设置访问所述应用系统的用户、组织或角色;系统控制:对所述身份认证系统进行控制,包括日志控制、访问策略确定、系统备份和管理员控制。
优选的是,所述用户认证模块中用户登录算法采用数字签名算法,且所述用户认证方式既包括单一应用系统的基本认证又包括多应用系统间切换认证,其中所述单一应用系统的基本认证过程为:用户与应用系统A进行交互,并进行登录操作,所述应用系统A将用户提供的用户名、密码等转发给统一身份认证系统以检验其是否通过授权;所述多应用系统间切换认证过程为:用户通过所述单一应用系统的基本认证流程登录应用系统A后,当用户切换至应用系统B时,所述应用系统A将用户的访问权限令牌传递给所述应用系统B,所述应用系统B再将所述用户访问权限令牌传递给认证前置机,所述认证前置机与认证服务器进行交互,根据所述用户访问权限令牌以及相应的安全策略进行过滤,确定用户是否有权访问所述应用系统B,并将认证结果返回所述认证前置机,所述认证前置机将所述认证结果传送给所述应用系统B,所述应用系统B根据所述认证结果确定用户是否有权进行访问。
优选的是,所述用户/组织控制模块中所述组织控制是根据不同的控制政策自定义不同的组织结构,进行用户分类控制,包括维护各个组织之间的关系,进行组织的增加、删除和修改,并提供组织的移动、合并;所述用户控制包括集中和分级两种方法,所述集中控制方法是由系统管理员统一控制用户,所述分级控制方法是将系统管理员权限以组织为单位分派,还可以进一步下放到下级单位,原则上可以提供无限级别的分级控制功能;所述角色控制是对用户在不同应用系统的不同角色分别进行控制,所述角色分为全局角色和应用角色,所述全局角色指对所述身份认证系统内集成的所有应用系统中具有普遍性的角色,所述应用角色是针对特定应用系统的角色;同一用户可对应多个角色,每种角色有不同的有效期。
优选的是,所述身份认证系统模块中,所述访问策略指通过定义动态访问策略定义非固定用户在特定时间段特定应用系统中的权限,包括设定所述非固定用户人员数量、所述非固定用户权限、临时账户启用时间、结束时间,自动批量生成所述非固定用户临时账号和结束后自动删除所述非固定用户临时账号。
优选的是,所述用户认证模块采用单点登录平台;所述用户/组织控制模块采用轻量目录访问协议目录系统,对用户/组织的信息进行统一控制;所述应用系统控制模块对于不能使用所述单点登录平台的用户,仍提供单独的登录服务;采用安全套接层协议和浏览器表单签名的模式对包含用户登录信息和信息交互指令的表单进行数字签名;采用公钥基础设施框架控制密钥和证书,保证数据的机密性、完整性和有效性。
本发明至少包括以下有益效果:
1、实现全校校园网内统一的用户管理;
2、为校园网各应用系统提供统一的、安全的身份认证服务;
3、为门户提供认证与票据服务,实现单点登录和应用漫游;
4、实现了基于用户认证的访问控制、支持基于角色的应用级权限管理、实现了个性化应用访问的需求;
5、支持多种主流的开发平台,实现了各种技术平台的应用系统的集成;
6、支持第三方软件的集成,校园网网络登录系统及Agent 365(个性化搜索引擎)。
附图说明
图1为本发明所述的框图;
图2为本发明所述的用户认证管理模块流程图;
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。
本发明提供一种身份认证系统。对于数字校园来说,就是要建立一套统一的身份认证系统,学校的每一个成员都有一个与其身份相应的电子身份,用户可以使用自己的电子身份访问数字校园中有权访问的任何系统。系统主要包括四大逻辑组成部分:用户认证控制、用户/组织控制,应用系统控制和系统控制。
一、用户认证控制
为应用系统提供用户认证,应兼顾两种应用方式:
单一应用系统的基本认证,用户与应用系统进行交互,并进行登录操作,应用系统将用户提供的用户名、密码等转发给统一身份认证系统以检验其是否通过授权。用户访问某个应用系统的时候,实际上是应用系统认证和用户认证两个主要环节,但在用户、应用系统、认证前置机和认证服务器之间则进行了多次信息交互。
多应用系统间切换的认证,其目的是通过单点登录功能,实现用户登录一次,就可以访问所有集成的应用和服务。用户在多个应用系统间进行切换,其主要过程是通过对用户登录上一个应用系统时所获得的访问权限令牌进行再次认证,具体步骤如下:
1、用户通过单一应用系统的认证登录应用系统A(此时该应用系统已经保存了用户登录所得到的访问权限令牌);
2、当用户切换至应用系统B时,应用系统A将用户的访问权限令牌传递给应用系统B;
3、应用系统B再将用户访问权限令牌传递给认证前置机;
4、认证前置机与认证服务器进行交互,根据用户的访问权限令牌以及相应的安全策略进行过滤,确定用户是否有权访问应用系统B,并将结果返回认证前置机;
5、认证前置机再将返回的认证结果传送给应用系统B;
6、应用系统B根据返回结果确定用户是否有权访问。
重要人员的卡认证方式,为充分考虑组织高级管理人员或系统管理员等特殊人群登录系统的安全性,建议此类人员采用一卡通刷卡方式登录系统。一卡通刷卡登录必须同时拥有一卡通、刷卡设备和该用户的帐号密码,安全性更高。用户的私有数字签名存储在一卡通中,一人一卡使用户不必担心帐号密码被盗;同时,用户使用一卡通登录时也必须提供该用户的帐号密码,如果用户不慎丢失一卡通,只要及时挂失也不必担心一卡通丢失导致的安全隐患。
二、用户/组织控制
现在,很多学校由于应用系统相互独立以及控制手段仍然采用传统方式,用户、组织的控制分别放在不同的部门,使用不同的管理系统,如学校中教师注册在人事处、学生注册在教务处、网络用户注册在网络中心等。因此,应该有一个统一的系统提供服务,保证用户、组织信息的准确性与一致性。
用户/组织控制就是根据成员的真实身份来赋予其相应的操作权限的处理过程。
1、组织控制
组织指单位内部的机关和团体,可以根据不同的控制政策,自定义不同的组织结构,进行用户分类控制。提供一个树型结构方便对组织的维护,主要维护各个组织之间的关系(包括上下级关系,协助关系等),以及进行组织的增加、删除和修改等工作,并提供移动、合并等多种方式支持组织机构的快速重组。
2、用户控制
用户控制提供集中/分布等两种控制方法。系统管理员权限可以分派到以组织为单位,访问权限的控制可以下放在各个组织级别,理论上可以分无限个下放级别。通过控制权限的下放,一个组织可以快速地实现对用户资料的控制,简化用户控制带来的工作量。
系统管理员可以为某一个组织或部门设置二级管理员(及根据目录树的结构指定授权代理人),二级管理员也可以为某一个班级或研究室设置三级管理员,以此类推,原则上可以提供无限级别的分级控制功能。
3、角色控制
统一身份认证系统的角色分为全局角色(认证中心的)和应用角色(各个应用系统的)。
全局角色是指如教师、学生等具有全局性质的角色,这些角色在使用应用系统时具有普遍性,一般在统一身份认证中心进行相关权限设置;而应用角色相对全局角色来说就是针对特定的应用系统而设置的,它往往只针对某个应用系统,其权限设置一般也是在相应的应用系统里完成,系统管理员可以授权一些角色使用一些系统,而对于这些角色在这些应用系统中能够使用哪些操作,使用到什么程度又是由各个应用系统来确定的,这种角色就是应用角色。
在添加用户时,一个用户可对应多个角色,并可为各个角色设置有效期。
三、应用系统控制
经统一身份认证系统认证的应用系统自身没有用户系统,涉及的帐号一定是统一身份认证系统的用户帐号。而这些应用系统本身也需要在身份认证系统维护,如信息门户系统、办公自动化系统需要由经由统一身份认证系统认证,则必须在此功能模块中进行添加,配置一些服务器信息,生成服务器的证书。可以设置应用系统的管理员,可访问的用户、组织或角色。
应用系统控制的流程包括提供应用系统信息,包括中文名、英文名、网络地址、证书有效期;将应用系统接入身份认证,生成服务器证书;添加应用系统的管理员;设置应用系统中的角色;设置可以访问此应用系统的用户、组织或角色。
四、系统控制
1、日志控制
管理员可以通过设置对日志进行审计。日志审计是指管理员通过设置选择较为关注的的日志信息项,着重控制一部分日志。根据需要记录的信息项将用户的操作都以日志的形式记录下来,可以查看到操作的用户名、操作时间、网络地址,以及详细的操作内容。另外日志控制还提供删除、备份和导出功能。
2、访问策略
统一身份认证系统的定位是解决全校所有用户的身份信息的统一管理,但由于高校人员的特殊性,会出现一些非固定人员的管理问题,例如只在某一段时间为某些用户开放一些应用,常见的情况是某一团体来校参观访问或某一院系设立短期(临时)班级(课程),在这种情况下,就需要对这类用户群体进行临时访问权限的设置,在某一时段的前后对一定数额的临时帐户进行批量添加和删除处理。此时,我们就需要灵活的访问策略来解决这个问题。
统一身份认证系统提供动态定义访问策略功能,通过定义动态访问策略可以实现某类用户在某段时间某段网络地址可访问哪些资源的自定义。例如,在参观团体到来之前通过访问策略设置参观人员数量、可能使用的网络地址、可能并允许使用的网络资源和开始使用的时间,自动批量生成所有人员的临时帐号;并设置参观团体的离开时间,在参观团体离开之后系统自动删除这批临时帐号。
3、系统备份
自定义备份策略,如备份周期,备份文件保存个数等。根据策略定期备份数据库中的内容,在必要的时候可以恢复。
4、用户控制
系统管理中的用户控制是针对管理员的维护,可以从系统中选择一些用户成为管理员,在添加组织、添加应用系统时定义管理员。
五、实现方案
为了适应当前以及今后高校数字化校园建设的发展需要,建议采用的技术实现手段主要包括LDAP、SSO、SSL、PKI等等。
1、LDAP目录服务器
LDAP是基于X.500标准的,但是可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet和实现B/S结构系统是必须的。在组织范围内实现LDAP可以让运行在几乎所有计算机平台上的所有应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化职员在组织内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方。LDAP协议是跨平台的和标准的协议,因此应用程序就不需要考虑LDAP目录放在什么样的服务器上了。
目录服务器是整个统一身份认证系统的基础,目录服务器采用标准的LDAP目录服务器产品,通过LDAP目录服务将校内的用户或组织的信息(称为属性)以层次结构,面向对象的数据库的方式加以收集和管理,对用户信息进行统一管理,保证了数据一致性和完整性,为校园各类应用系统包括高校信息门户、高校URP系统、一卡通系统、网络计费系统等等提供用户信息共享和使用。
目录服务存放了大量的用户信息,为此需提供方便的管理功能。通过目录服务为管理员建立了一套基于网络、为应用提供存储和共享数据的“注册处(Registry)”,在其中可以存储各种用户信息、组和配置信息。通过目录服务器,应用可以直接在目录中存储和查询配置信息,而不是从用户的客户机内读取,做到完全的应用位置独立性,使用户可以在网络中的任何一台计算机上工作,与在自己的办公桌前无任何区别。信息部门的管理员可以无须考虑分布于目录中应用的数目,独立地管理和维护目录系统。
2、SSO单点登录
单点登录(Single Sign On,SSO)平台能够简化使用流程,用户只需要登录一次,即输入一次统一的用户名称和用户密码,就可以多次使用多个应用系统。只有达到系统安全策略边界条件时,用户才需要重新登录。
3、安全套接层协议
SSL(Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输。
此协议是在Internet基础上提供的一种保证私密性的安全协议,它能使客户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户进行认证。SSL协议要求建立在可靠的传输层协议(例如:TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的,高层的应用层协议(例如:HTTP,FTP,TELNET……)能透明的建立于SSL协议之上,SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
对于高校数字化校园建设来说,使用SSL可保证信息的真实性、完整性和保密性,但由于SSL不对应用层的消息进行数字签名,因此不能提供信息交互的不可否认性,这是SSL在数字化校园中使用的最大不足。不过,浏览器中已经出现了一种被称作“表单签名(Form Signing)”的功能,在数字化校园的建设中,可利用这一功能来对包含用户的登录信息和信息交互指令的表单进行数字签名,从而保证信息交互的不可否认性。所以在数字化校园中采用单一的SSL协议来保证信息交互的安全是不够的,但采用“SSL+表单签名”模式能够为电子校务提供较好的安全性保证。
4、PKI公钥基础设施
PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
PKI基础设施采用证书管理公钥,通过第三方的可信任机构--认证中心,把用户的公钥和用户的其它标识信息捆绑在一起,在Internet网上验证用户的身份。PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。
PKI是利用公钥技术实现数字化校园安全的一种体系,是一种基础设施,网络通讯、网上信息交换是利用它来保证安全的。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。
Claims (10)
1.一种身份认证系统,其特征在于,包括:
用户认证模块:为所述身份认证系统中的各应用系统提供用户认证,认证方式包括单一应用系统基本认证和多应用系统间切换认证,所述多应用系统间切换认证是通过所述单一应用系统基本认证后,实现用户登录一次即可访问所述身份认证系统内集成的所有应用系统,当所述用户/组织通过用户认证模块登录后,所述用户认证模块会发送信息给所述应用系统模块告知所述用户/组织已通过认证;
用户/组织控制模块:根据所述用户/组织的真实身份来赋予其相应的操作权限,包括组织控制、用户控制和角色控制,保证用户、组织信息的准确性与一致性,并将所述用户/组织的操作权限发送给应用系统控制模块;
应用系统控制模块:对所述身份认证系统内集成的各应用系统进行控制,使所述各应用系统不仅适应所述用户认证模块,还包括提供所述应用系统的信息、将所述应用系统接入身份认证系统生成服务器证书、添加所述应用系统的管理员、根据所述用户/组织模块发送的用户/组织操作权限设置访问所述应用系统的用户、组织或角色;
系统控制模块:对所述身份认证系统进行控制,包括日志控制、访问策略确定、系统备份和管理员控制。
2.如权利要求1所述的身份认证系统,其特征在于,所述用户认证模块中用户登录算法采用数字签名算法,且所述用户认证方式既包括单一应用系统的基本认证又包括多应用系统间切换认证,其中所述单一应用系统的基本认证过程为:用户与应用系统A进行交互,并进行登录操作,所述应用系统A将用户提供的用户名、密码等转发给统一身份认证系统以检验其是否通过授权;所述多应用系统间切换认证过程为:用户通过所述单一应用系统的基本认证流程登录应用系统A后,当用户切换至应用系统B时,所述应用系统A将用户的访问权限令牌传递给所述应用系统B,所述应用系统B再将所述用户访问权限令牌传递给认证前置机,所述认证前置机与认证服务器进行交互,根据所述用户访问权限令牌以及相应的安全策略进行过滤,确定用户是否有权访问所述应用系统B,并将认证结果返回所述认证前置机,所述认证前置机将所述认证结果传送给所述应用系统B,所述应用系统B根据所述认证结果确定用户是否有权进行访问。
3.如权利要求2所述的身份认证系统,其特征在于,所述用户/组织控制模块中所述组织控制是根据不同的控制政策自定义不同的组织结构,进行用户分类控制,包括维护各个组织之间的关系,进行组织的增加、删除和修改,并提供组织的移动、合并;
所述用户控制包括集中和分级两种方法,所述集中控制方法是由系统管理员统一控制用户,所述分级控制方法是将系统管理员权限以组织为单位分派,还可以进一步下放到下级单位,原则上可以提供无限级别的分级控制功能;
所述角色控制是对用户在不同应用系统的不同角色分别进行控制,所述角色分为全局角色和应用角色,所述全局角色指对所述身份认证系统内集成的所有应用系统中具有普遍性的角色,所述应用角色是针对特定应用系统的角色;同一用户可对应多个角色,每种角色有不同的有效期。
4.如权利要求3所述的身份认证系统,其特征在于,所述身份认证系统模块中,所述访问策略指通过定义动态访问策略定义非固定用户在特定时间段特定应用系统中的权限,包括设定所述非固定用户人员数量、所述非固定用户权限、临时账户启用时间、结束时间,自动批量生成所述非固定用户临时账号和结束后自动删除所述非固定用户临时账号。
5.如权利要求1-4所述的身份认证系统,其特征在于,所述用户认证模块采用单点登录平台;所述用户/组织控制模块采用轻量目录访问协议目录系统,对用户/组织的信息进行统一控制;所述应用系统控制模块对于不能使用所述单点登录平台的用户,仍提供单独的登录服务;采用安全套接层协议和浏览器表单签名的模式对包含用户登录信息和信息交互指令的表单进行数字签名;采用公钥基础设施框架控制密钥和证书,保证数据的机密性、完整性和有效性。
6.一种身份认证方法,其特征在于,包括:
用户认证:为所述身份认证系统中的各应用系统提供用户认证,认证方式包括单一应用系统基本认证和多应用系统间切换认证,所述多应用系统间切换认证是通过所述单一应用系统基本认证后,实现用户登录一次即可访问所述身份认证系统内集成的所有应用系统,当所述用户/组织通过用户认证模块登录后,所述用户认证会发送信息给所述应用系统模块告知所述用户/组织控制已通过认证;
用户/组织控制:根据所述用户/组织的真实身份来赋予其相应的操作权限,包括组织控制、用户控制和角色控制,保证用户、组织信息的准确性与一致性,并将所述用户/组织的操作权限发送给应用系统控制;
应用系统控制:对所述身份认证系统内集成的各应用系统进行控制,使所述各应用系统不仅适应所述用户认证,还包括提供所述应用系统的信息、将所述应用系统接入身份认证系统生成服务器证书、添加所述应用系统的管理员、根据所述用户/组织发送的用户/组织操作权限设置访问所述应用系统的用户、组织或角色;
系统控制:对所述身份认证系统进行控制,包括日志控制、访问策略确定、系统备份和管理员控制。
7.如权利要求6所述的身份认证系统,其特征在于,所述用户认证模块中用户登录算法采用数字签名算法,且所述用户认证方式既包括单一应用系统的基本认证又包括多应用系统间切换认证,其中所述单一应用系统的基本认证过程为:用户与应用系统A进行交互,并进行登录操作,所述应用系统A将用户提供的用户名、密码转发给统一身份认证系统以检验其是否通过授权;所述多应用系统间切换认证过程为:用户通过所述单一应用系统的基本认证流程登录应用系统A后,当用户切换至应用系统B时,所述应用系统A将用户的访问权限令牌传递给所述应用系统B,所述应用系统B再将所述用户访问权限令牌传递给认证前置机,所述认证前置机与认证服务器进行交互,根据所述用户访问权限令牌以及相应的安全策略进行过滤,确定用户是否有权访问所述应用系统B,并将认证结果返回所述认证前置机,所述认证前置机将所述认证结果传送给所述应用系统B,所述应用系统B根据所述认证结果确定用户是否有权进行访问。
8.如权利要求7所述的身份认证系统,其特征在于,所述用户/组织控制模块中所述组织控制是根据不同的控制政策自定义不同的组织结构,进行用户分类控制,包括维护各个组织之间的关系,进行组织的增加、删除和修改,并提供组织的移动、合并;
所述用户控制包括集中和分级两种方法,所述集中控制方法是由系统管理员统一控制用户,所述分级控制方法是将系统管理员权限以组织为单位分派,还可以进一步下放到下级单位,原则上可以提供无限级别的分级控制功能;
所述角色控制是对用户在不同应用系统的不同角色分别进行控制,所述角色分为全局角色和应用角色,所述全局角色指对所述身份认证系统内集成的所有应用系统中具有普遍性的角色,所述应用角色是针对特定应用系统的角色;同一用户可对应多个角色,每种角色有不同的有效期。
9.如权利要求8所述的身份认证系统,其特征在于,所述身份认证系统模块中,所述访问策略指通过定义动态访问策略定义非固定用户在特定时间段特定应用系统中的权限,包括设定所述非固定用户人员数量、所述非固定用户权限、临时账户启用时间、结束时间,自动批量生成所述非固定用户临时账号和结束后自动删除所述非固定用户临时账号。
10.如权利要求6-9所述的身份认证系统,其特征在于,所述用户认证模块采用单点登录平台;所述用户/组织控制模块采用轻量目录访问协议目录系统,对用户/组织的信息进行统一控制;所述应用系统控制模块对于不能使用所述单点登录平台的用户,仍提供单独的登录服务;采用安全套接层协议和浏览器表单签名的模式对包含用户登录信息和信息交互指令的表单进行数字签名;采用公钥基础设施框架控制密钥和证书,保证数据的机密性、完整性和有效性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810108079.8A CN108322468A (zh) | 2018-02-02 | 2018-02-02 | 身份认证系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810108079.8A CN108322468A (zh) | 2018-02-02 | 2018-02-02 | 身份认证系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108322468A true CN108322468A (zh) | 2018-07-24 |
Family
ID=62901710
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810108079.8A Pending CN108322468A (zh) | 2018-02-02 | 2018-02-02 | 身份认证系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108322468A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109388937A (zh) * | 2018-11-05 | 2019-02-26 | 用友网络科技股份有限公司 | 一种多因子身份认证的单点登录方法及登录系统 |
CN110263510A (zh) * | 2019-06-26 | 2019-09-20 | 东营瀚睿达信息科技有限责任公司 | 一种基于企业微信的软硬件统一身份无感认证系统 |
CN110706143A (zh) * | 2019-09-26 | 2020-01-17 | 中电万维信息技术有限责任公司 | 基于政务服务的身份认证方法及装置 |
CN111062837A (zh) * | 2019-10-30 | 2020-04-24 | 安徽皖新金智教育科技有限公司 | 一种基于校园的智能管理系统及其方法 |
CN111385279A (zh) * | 2018-12-28 | 2020-07-07 | 深圳市优必选科技有限公司 | 业务访问的权限系统和方法 |
CN111953708A (zh) * | 2020-08-24 | 2020-11-17 | 北京金山云网络技术有限公司 | 基于云平台的跨账号登录方法、装置及服务器 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107231346A (zh) * | 2017-05-03 | 2017-10-03 | 北京海顿中科技术有限公司 | 一种云平台身份识别的方法 |
CN107508837A (zh) * | 2017-09-28 | 2017-12-22 | 山东浪潮通软信息科技有限公司 | 一种基于智能密码钥匙认证的跨平台异构系统登录方法 |
CN108092776A (zh) * | 2017-12-04 | 2018-05-29 | 南京南瑞信息通信科技有限公司 | 一种身份认证服务器和身份认证令牌 |
-
2018
- 2018-02-02 CN CN201810108079.8A patent/CN108322468A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107231346A (zh) * | 2017-05-03 | 2017-10-03 | 北京海顿中科技术有限公司 | 一种云平台身份识别的方法 |
CN107508837A (zh) * | 2017-09-28 | 2017-12-22 | 山东浪潮通软信息科技有限公司 | 一种基于智能密码钥匙认证的跨平台异构系统登录方法 |
CN108092776A (zh) * | 2017-12-04 | 2018-05-29 | 南京南瑞信息通信科技有限公司 | 一种身份认证服务器和身份认证令牌 |
Non-Patent Citations (1)
Title |
---|
许鑫、苏新宁、姚毅: "数字化校园中统一身份认证系统的分析", 《现代图书情报技术》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109388937A (zh) * | 2018-11-05 | 2019-02-26 | 用友网络科技股份有限公司 | 一种多因子身份认证的单点登录方法及登录系统 |
CN111385279A (zh) * | 2018-12-28 | 2020-07-07 | 深圳市优必选科技有限公司 | 业务访问的权限系统和方法 |
CN110263510A (zh) * | 2019-06-26 | 2019-09-20 | 东营瀚睿达信息科技有限责任公司 | 一种基于企业微信的软硬件统一身份无感认证系统 |
CN110706143A (zh) * | 2019-09-26 | 2020-01-17 | 中电万维信息技术有限责任公司 | 基于政务服务的身份认证方法及装置 |
CN111062837A (zh) * | 2019-10-30 | 2020-04-24 | 安徽皖新金智教育科技有限公司 | 一种基于校园的智能管理系统及其方法 |
CN111953708A (zh) * | 2020-08-24 | 2020-11-17 | 北京金山云网络技术有限公司 | 基于云平台的跨账号登录方法、装置及服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11212268B2 (en) | Method and system for identity and access management for blockchain interoperability | |
CN108322468A (zh) | 身份认证系统 | |
CN109729168A (zh) | 一种基于区块链的数据共享交换系统及方法 | |
AU2017100968A4 (en) | System for issuance, verification and use of digital identities on a public or private ledger. | |
CN110957025A (zh) | 一种医疗卫生信息安全管理系统 | |
CN103842984B (zh) | 基于参数的密钥推导 | |
CN103916454B (zh) | 在整个云架构中扩展组织边界的方法和设备 | |
WO2018213519A1 (en) | Secure electronic transaction authentication | |
ES2875963T3 (es) | Método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos | |
CN110046890A (zh) | 一种区块链权限管理系统及方法 | |
CN106992988A (zh) | 一种跨域匿名资源共享平台及其实现方法 | |
CN109409893A (zh) | 一种信任系统及其构建方法、设备及存储介质 | |
Bai et al. | Decentralized and self-sovereign identity in the era of blockchain: a survey | |
CN111274569A (zh) | 统一登录认证的研发运维集成系统及其登录认证方法 | |
Singh et al. | Designing a blockchain-enabled methodology for secure online voting system | |
Hovav et al. | Tutorial: identity management systems and secured access control | |
Jamsrandorj | Decentralized Access Control Using The Blockchain | |
CN106529216A (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
CN115664760A (zh) | 一种基于跨链架构和身份隐私保护的数据传输系统 | |
Ishaya et al. | Trust development and management in virtual communities | |
Sabzmakan et al. | An improved distributed access control model in cloud computing by blockchain | |
Jagadamba et al. | Adaptive context-aware access control model for ubiquitous learning environment | |
Liagkou et al. | Handling privacy and concurrency in an online educational evaluation system | |
Madanagopal et al. | Blockchain based Letter of Recommendation Verification System for Higher Studies | |
CN114398613B (zh) | 一种计算机基于区块链的可信名片生成方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180724 |
|
RJ01 | Rejection of invention patent application after publication |