其他身份识别解决方案-维尔科技电力行业指纹认证系统方案

维尔科技电力行业指纹认证系统方案

概述

指纹识别技术具有生物特征，可以间接在虚拟环境中模拟“人”的真实身份。指纹认证作为配合“用户名+密码”使用的双因素认证手段，进一步增强了认证的安全性。指纹身份认证应用后，业务交接、现场授权等各类业务操作，必须通过现场面对面操作，可以有效防范过去“公开”密码进行操作的违规行为，有利于监督制度的执行；杜绝了以窃取密码为手段的内外部犯罪的可能性；在方便用户操作的同时,便于企业提高了工作效率，保障安全方面和风险防范方面具有非常重要的意义。通过本项目的建设，使电力能够建立起一套指纹身份认证平台，并为今后各类应用系统提供统一认证接入。

系统方案

1、系统环境

数据库服务器：HP UNIX

应用服务器：Weblogic 9.2 MP3版本RedHatlinux 5.4

数据库：Oracle10.2.0.4版本

2、方案一：用户指纹管理和认证功能集成到朗新的营销系统

优点：可以使用营销系统的机构和用户的基础数据进行系统改造集成；

缺点：各类业务系统的用户管理、组织机构管理自成体系，无法方便的为其它业务系统提供接入指纹认证。

3、方案二：独立部署的用户指纹管理和认证服务系统

优点：数据集中保存在独立指纹服务器，为其他业务系统提供认证服务；

缺点：需要投入独立的指纹管理和认证系统和硬件服务器。

4、综述

1）如果只需为营销系统提供指纹认证，考虑第一种方案；

2）如果需要为更多的业务系统提供指纹认证，建议使用第二种系统方案。

系统架构

1、营销系统集成方案体系架构示意图

指纹认证系统服务器一般放在省公司，指纹数据的采集可通过网络，在任意一台PC上进行，但数据集中保存在营销系统数据库服务器中。营销系统集成用户指纹管理、指纹采集和认证服务接口。具体系统架构如下图所示：

2、独立部署方案体系架构示意图

指纹认证系统服务器一般放在省公司，指纹数据的采集可通过网络，在任意一台PC上进行，但数据集中保存在独立指纹服务器中。整套系统采用外挂式的方案，为其他业务系统提供认证服务。SG186各类业务系统均可集成本系统提供的指纹比对接口，在须进行身份验证时，由指纹认证系统进行统一的身份认证。具体系统架构如下图所示：

功能设计

1. 机构信息的管理

在系统中，需要对机构进行管理，机构管理的目的是：管理员、人员可归到各自的机构，这样便于上下级的管理，不会造成混乱。

在机构管理中，主要输入以下信息：上级机构代码、机构代码、机构名称等信息。在整个机构管理中，最上级即是省公司，省公司没有上级机构，其他下级供电公司必须设定相应的机构，在机构信息输入完毕后，系统会形成一棵机构树。

不同的管理员进入系统，看到的机构树内容不同。管理员会看到本级及其下级的所有机构树，不能看到的机构信息。

机构树的组织形式如下：

2. 指纹仪厂商信息的管理

在系统中，可兼容不同的指纹仪厂家，各厂家接口的嵌入可以方便的实现。

在添加接口时，指纹仪厂家只需提供标准的接口，然后在系统的指纹仪厂家配置中进行相关的配置，即可立即得以使用，不需要再进行二次开发。

厂家管理中，输入的信息主要有：厂商名称、厂商编码、OCX控件Classid、OCX控件名称、函数名称等信息。

3. 业务系统信息的管理

在系统中，可配置不同的业务系统（需要指纹系统进行验证身份的系统），这样可对不同的系统接入进行控制，允许或不允许银行系统进行身份验证。

在实际操作环境中，一个人员在不同的业务系统或OA系统中，拥有不同的登录名，但指纹信息只能录入一次。在这种情况下，如果配置了业务系统，即可在不同的业务系统中，为同一个人员添加不同的登录号。

4. 人员信息及指纹信息的管理

人员信息即人员的基本信息，包括：所属机构、姓名、身份证号、业务系统编号、员工号、是否在岗、指纹或密码认证等信息。

如果人员有一段时间不在岗，则在“是否在岗”标记上记录为否，该员工在所有的系统中，均不能用指纹登录系统，这样可以降低系统的风险。

“指纹或密码认证”，这个标记的主要目的是控制人员用指纹，还是用密码登录系统。一般情况下，都是用指纹来登录系统，但有一些特殊情况，如人员的指纹不好等，即可启用密码认证模式。

在系统中，一个人员最多可采集十枚指纹，在采集一枚指纹时，系统可自动将此枚指纹转换成不同指纹仪厂商的特征数据。而且在保存后，系统允许人员对已经录入的指纹进行测试，看是否能够验证通过。

在人员指纹的录入控制中，为了屏蔽风险，一般采用两种控制模式：

1）现场审核的模式。在人员指纹录入成功后，由另一管理员进行现场的指纹确认操作，只有通过后，才可进行保存。

2）远程审核模式。在人员指纹录入成功保存后，由另一管理员对此条信息进行审核，只有审核通过后，此人员的指纹才可生效。

维尔科技简介

浙江维尔科技股份有限公司成立于1999年10月，是领先的生物识别产品和行业解决方案提供商，致力于通过生物识别技术为人们提供一种更加安全、便捷的生活和工作方式。

维尔科技拥有业内领先的自主核心技术和持续提升的研发能力，针对交通、金融、军队、公安、电讯、电力、医疗、证券、保险、电子商务、政务安全、教育等行业提供符合客户需求的产品和解决方案。

2002年，维尔科技推出“银行柜员身份指纹认证系统”；2003年取得发明专利；2004年荣获国家级重点新产品称号，并于同年在湖北省建行首次得以应用，由此推动了生物识别技术对金融行业身份认证模式的变革。维尔科技也逐步成为金融行业“银行柜员身份指纹认证系统”的首选供应商。

2003年，维尔科技首创“驾驶员培训指纹IC卡管理系统”，将生物识别技术首次应用在驾培行业，并于同年12月在杭州中标，由此推动了驾培行业培训管理模式的转变。维尔科技也逐步成为交通驾培行业整体解决方案的首选供应商。

经过十五年的发展，维尔科技一步一个脚印的推动生物识别技术在各行业的应用，为中国生物识别技术的发展做出了贡献，每年均有数百万人使用维尔科技的各种生物识别产品，由此给人们生活和工作方式带来了令人可喜的转变，让繁琐的身份认证模式变得更加便捷、安全、可靠。

在信息化高速发展的今天，为生物识别行业带来了巨大的发展机遇，维尔科技也将与合作伙伴一起面对机遇、迎接挑战，不断提升生物识别技术和用户体验，矢志成为全球生物识别技术的领跑者。

网络统一身份认证计费管理系统建设方案综合

XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一．计费系统设计规划 (2) 二．方案建设目标 (2) 三．总体方案 (3) 1.方案设计 (3) A.方案（串连网关方式） (3) B.方案（旁路方式+BRAS，BRAS产品） (4) 四．认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五．认证计费管理系统功能介绍 (9) 六．用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)

7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一．计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户，同时在线用户规模为5000人，具有多个出口线路；网络特点呈现高带宽，高用户，多种接入方式使用人群，并且在未来还会以多种网络架构存在（有线，无线）。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量，同时也必须能满足复杂的接入模式，多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下，设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求，同时还需要满足无线和有线认证的融合统一认证管理模式；目前学校已经使用一卡通系统，安全认证计费管理系统必须和一卡通系统实现对接，能支持未来的数字化校园，能够融合到统一身份认证平台。 有线网和无线网是实现账户统一，避免一个用户需要多账户登录有线网和无线网的情况，并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接，实现用户账号的同步关联。 二．方案建设目标 针对目前学校对于用户认证计费系统的需求，通过安全认证网络管理计费系统，搭建一套包括用户接入、认证、计费及用户管理的综合平台，为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能： 为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务 单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。 同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： (1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点 登录服务；

企业财务系统的身份认证和电子签名解决方案

企业财务系统的CA身份认证和电子签名解决方案 1、用户需求： 总结用户需求如下： ●财务系统需要提升安全级别。财务系统的基本情况如下： ?财务系统的系统结构、操作系统、开发语言等（略） ?三种主要应用功能：预算申请、审批、修正；费用的申报；对财务系统查阅。 ●需要解决单纯的用户名/密码登录的脆弱性问题，确保登录财务系统的身 份的真实性。 ●需要对财务系统的操作、交易实现签名，满足不可抵赖性、事后溯性的 应用需求。 2、解决方案 具体设计方案如下： ●建设数字证书认证服务器，解决服务器和个人用户身份真实性的问题。 具体建设方案如下： ?证书服务器负责证书的日常管理。 ?管理终端完成证书的申请和发放工作。 ?为应用服务器颁发服务器证书，为个人用户颁发个人证书。登录时，实现双向验证，确保应用服务器身份和个人身份的真实性。 ?用户手持USB KEY，带有密码芯片算法的KEY，存储量大于等于32K。 用于私钥存储，确保私钥的安全。 ?采用SQL数据库，用于证书服务器生成证书和CRL的存储 ●建设数字签名中间件，对用户在财务系统中的操作实现数字签名，实现 抗抵赖的功能。具体建设方案如下： ?将数字签名服务器与应用服务器共同部署； ?在IE中部署签名插件； ?用户的操作需要用私钥进行签名； ?服务器端对用户的签名数据进行验签；

?应用数据和签名数据进行分别的存储。 具体部署的拓扑图如下（略） 3、用户收益 采用本方案后用户收益如下： ●通过强身份认证手段的采用，确保所有登录财务系统用户的身份的真实 性 对财务系统的操作、交易实现签名，满足不可抵赖性、事后溯性的应用需求。 ---------------------------------------------------------------------------------------------------------------------- 北京安软天地科技有限公司 专业的应用安全服务提供商，主要提供CA系统、SSL VPN设备，以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案，在金融、政府、电力、石油石化行业有大规模成熟应用。

sso_统一身份认证及访问控制解决方案

统一身份认证及访问控制 技术方案

1.方案概述 1.1. 项目背景 随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度； 2)多个身份认证系统会增加整个系统的管理工作成本； 3)用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨； 4)无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5)无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关"的目标，方便用户使用。 1.2. 系统概述 针对上述状况，企业单位希望为用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点： ?单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后台的多个应用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 ?即插即用：通过简单的配置，无须用户修改任何现有B/S、C/S应用系统，即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式，可单独使用也可组合使用。 ?基于角色访问控制：根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理：系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以使用HTTPS安全地进行管理。

身份认证、接入控制解决方案

身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别，杜绝非法入侵和接入保护为 主要设计理念，金盾准入控制保护系统是金盾软件公司独创的，国际领先的 产品功能，是产品的核心功能之一，具有实施简单，主动发现、自动防御、效果显著等特点，极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料？ □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统？

方案功能 安全状态评估 □终端补丁检测：评估客户端的补丁安装是否合格，包括：操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测：检测安全客户端的版本，防止使用不具备安全检测能力的客户端接入网络，同时支持客户端自动升级。 □终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，发现异常客户端或被卸载时自动阻断网络，强制安装。 □终端防病毒联动：主要包含两个方面，终端用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后，定期检查防病毒软件的运行状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证：非授权用户接入网络需要身份认证，在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全。 □网络隔离区：对于安全状态评估不合格的用户，可以限制其访问权限，被隔离到金盾网络隔离区，待危险终端到达安全级别后方可入网。 □软件安装和运行检测：检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证：对于外来计算机由于业务需要接入内网或者访问Internet时，针对对方IP、MAC等端口做授信暂时放行。 □内网安全域：可以限制用户只能在允许的时间和网络IP段内（接入设备和端口）使用网络。

浅谈身份认证系统技术方案

******身份认证系统 技术方案

目录 1.概述 (3) 1.1前言 (3) 1.2身份认证系统用户认证需求描述 (3) 1.3身份认证系统认证解决之道 (5) 1.3.1身份认证系统的模式 (5) 1.3.2建立身份认证系统 (6) 1.3.3证书在身份认证系统上的安全应用 (6) 2.详细设计方案 (8) 2.1 身份认证系统 (8) 2.2产品设计原则 (8) 2.2.1认证系统的设计原则 (8) 2.2.2 网络环境设计原则 (9) 2.3功能模块架构 (10) 2.4 身份认证系统功能简介 (12) 2.5身份认证系统安全性分析 (13) 2.5.1本系统安全性保护的必要性 (14) 2.5.2安全性要求 (14) 2.5.3安全性设计原则 (15) 2.5.4安全性设计方案 (15) 2.6身份认证系统应用开发接口 (17) 2.6.1身份认证系统接口函数 (17)

2.6.2 API与身份认证系统结合开发应用系统 (17) 2.7身份认证系统使用案例 (18) 3.系统配置 (21) 3.1 设备配置 (21)

1. 概述 1.1 前言 随着网络技术的高速发展，个人和企业将越来越多地把业务活动放到网络上，因此网络的安全问题就更加关键和重要。据统计，在全球围，由于信息系统的脆弱性而导致的经济损失，每年达数十亿美元，并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的身份认证系统，确保网上信息有效、安全地进行，从而使信息除发送方和接收方外，不被其他方知悉（性）；保证传输过程中不被篡改（完整性和一致性）；发送方确信接收方不是假冒的（身份的真实性和不可伪装性）；发送方不能否认自己的发送行为（不可抵赖性）。 本方案根据*****的业务流程、管理模式的实施方案，充分运用现代网络信息技术及CA认证体系，建立*****身份认证系统，并可作为公务网CA的配套系统。 1.2 身份认证系统用户认证需求描述 在***********业务发展过程中，为了更好的实现数据资源共享，充分发挥信息化对*********系统发展的促进作用，************将综合开发一套身份认证系统对目前的用户身份进行管理，为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中，一个重要的任务是解决如何对应用系统用户

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群 众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录， 实现用户资源的共享，简化用户的操作。

智慧眼社保行业生物识别身份认证解决方案

智慧眼社保行业生物识别身份认证 解决方案 姓名： 学号： 班级：

一、基于社保卡的生物识别身份认证平台 1、平台概述 基于社保卡的生物识别身份认证平台是在遵循社保核三平台标准的基础上开发的集生物识别、认证管理、模板管理、统计决策分析、身份认证子系统等功能于一体的身份认证平台。 平台前端可支撑多种人社业务对身份认证的需求，如：养老金待遇领取资格认证、失业保险金发放签到、工伤保险待遇领取、医疗保险待遇资格认证、网上业务申报身份认证等等，可通过认证子系统针对不同的险种、不同的认证对象进行身份认证。平台后端兼容多种生物识别技术，如：人脸识别、指静脉识别、指纹识别、虹膜识别、掌静脉识别、声纹识别等等。该平台具有较好的兼容性与扩展性，只需要增加相应的生物识别引擎和业务子系统，就能支撑相应的人社业务。

2、功能简述 身份认证平台功能示意图 3、技术优势 自主研发的人脸识别和指静脉识别算法识别率高，识别速度快。 采用生物识别技术，将社保卡与参保用户联系起来，真正实现人卡合一，有效地提供身份识别服务。 兼容多种生物识别技术，支持人脸识别、指静脉识别、指纹识别、虹膜识别、声纹识别等，可根据实际情况和业务需求进行多种选择。 依据“同人同城同模板”的原则，只需要进行一次建模，就可以在人社领域的所有业务系统中共用，大大降低建模投资成本。 身份认证平台具有多个身份认证子系统，满足人社领域内的所有相关业务的身份认证需求，并且各个业务系统可以共享认证结果。 多险种共享终端采集认证设备，大大减少设备部署数量，节约投资成本。 可远程验证，远程管理，不受时间与空间限制，随时随地实现身份认证。

用友U8身份认证解决方案(9)

身份认证解决方案 目前在U8中用户的身份认证支持四种模式：用户+口令(静态密码),动态密码、CA认证和域身份认证，同一时间，一个用户只能使用一种认证方式，但是不同用户可以根据权限，重要程度交叉使用不同的认证方式。 1.设置认证方式 在系统管理模块中增加操作员的时候设置认证方式，默认支持用户+口令，用户可以更改以便于支持其余三种模式。

图一 2.合作伙伴支持的身份认证在U8系统中的使用 2.1易安全动态密码 1.在U8的应用服务器上，安装“易安全动态密码系统”，根据《U8_动态密码安装配置手 册（深圳海月）》进行相关配置。 2.在系统管理里设置认证方式为“动态密码”，如图一所示，默认支持的是静态口令。 3.配置完成后，在客户端登录产品，密码输入框必须输入由设备动态产生的密码才可，如 图二所示： 图二 备注： 两个系统要求用户编码共用，即不论采用哪种认证方式，用户名必须是通过U8的系统管理产生的，易安全动态密码系统支持批量导入U8用户，权限控制必须在系统管理中完成，如果使用动态密码认证，在系统管理增加用户时，可以不考虑密码信息，同时关于密码的安全策略将不起作用。 详细介绍见《U8动态密码解决方案（深圳海月）》 2.2BJCA的证书使用 BJCA支持两种PKI/CA建设模式：企业自建CA和托管CA。 企业自建CA就是企业自己创建和维护根证书，自行颁发证书。用户身份只需要企业内部审查即可，用户唯一标识为自定义名称，比如test、demo等。

托管CA是企业到BJCA申请证书，BJCA使用Public Trust CA体系为其颁发证书，用户的身份要经过BJCA严格审查，默认唯一标识为身份证号码或企业组织机构代码。 具体使用步骤： 1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。 2.在U8的客户端安装BJCA的客户端证书管理工具，请参阅《U8_CA安装配置手册（BJCA）》进行相关配置。 3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称，名称必须是字母或数字，不能含中文。如图三所示： 图三 4.配置完成后，在客户端登录产品，密码输入框输入的是在U8系统设置的用户密码， 点击确定后，验证U8密码正确后，再次弹出证书PIN码的输入框，如图四所示： 图四 输入PIN码，确定后，系统自动验证证书的合法性。 备注： 目前U8系统中的CA认证采用的是传统的用户名（密码）+证书的双重认证，使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确，安全策略中的密码策略只对U8密码起作用，修改密码也仅修改U8自身的密码。 用户在托管CA申请证书时，必须正确提交企业系统名称。 详细介绍见《U8安全解决方案（BJCA）》 2.3天威诚信的证书使用 天威诚信也支持两种PKI/CA建设模式：第三方托管CA服务和自建型CA系统。 第三方托管CA服务，是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书，用户在本地只要建设少量的CA模块，就可以实现CA认证的功能。 自建型CA系统是指客户购买天威诚信开发的PKI/CA软件，建设一个独立的PKI/CA 系统，除了购买系统软件之外，还包括系统、通信、数据库以及物理安全、网络安全配置、

统一身份认证系统技术方案

智慧海事一期统一身份认证系统 技术方案

目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)

身份管理平台解决方案

身份管理平台解决方案 1. 应用背景 计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高，在企业信息化过程中，诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生，提高了企业的管理水平和运行效率。与此同时，各个应用系统都有自己的认证体系，随着应用系统的不断增加，一方面企业员工在业务系统的访问过程中，不得不记忆大量的帐户口令，而口令又极易遗忘或泄露，为企业带来损失；另一方面，企业信息的获取途径不断增多，但是缺乏对这些信息进行综合展示的平台。 在上述背景下，企业信息资源的整合逐步提上日程，并在此基础上形成了各业务系统统一认证、单点登录（SSO）和信息综合展示的企业门户（Portal）。现有的门户产品多集中于口令方式的身份认证，如何更安全的进行统一认证，并保证业务系统访问的安全性，成为关注的焦点。 2. 基于CA认证的统一身份管理平台 时代亿信推出的基于CA认证的统一身份管理平台解决方案，以资源整合（业务系统整合和内容整合）为目标，以CA认证和PKI技术为基础，通过对用户身份的统一认证和访问控制，更安全地实现各业务系统的单点登录和信息资源的整合。 平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式，并采用SSL 加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。 2.1 系统功能及架构 平台的系统架构如图1所示，主要包括以下部分： 门户系统（Portal）：各业务系统信息资源的综合展现； 平台管理系统：平台用户的注册、授权、审计；各业务系统的配置；门户管理； CA系统：平台用户的数字证书申请、签发和管理； 用户统一认证：用户身份的CA数字证书认证、认证过程的SSL加密通道； 单点登录（SSO）：业务系统关联（mapping）、访问控制、访问业务系统时信息的加密签名和SSL加密通道； 图1 基于CA认证的统一身份管理平台架构 2.2 系统的实现和安全机制 2.2.1 用户注册和授权 （1）企业每一个用户在平台完成用户注册，得到自己的统一帐户（passport）； （2）如果采用证书文件或USB智能卡认证方式，则CA系统自动为平台用户签发数字证书，并与用户的统一帐户对应。 （3）注册的用户可以由管理员进行分组，并根据分组设定相应的业务系统访问权限。 2.2.2 业务系统的配置 接受统一认证的业务系统必须完成以下工作： （1）安装业务系统访问前置并配置证书和私钥，用以建立客户端与业务系统之间的SSL 加密通道，并接收处理平台提供的加密签名的用户认证信息； （2）提供关联（mapping）接口和访问验证接口，并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息（可能包括业务系统的用户名和密码）的对应关系。

统一认证与单点登录解决方案(详细介绍了统一认证和单点登录)

统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。 例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统（UUMS）。UUMS 统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS 完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。UUMS应具备以下基本功能：

指纹统一身份验证解决方案

指纹统一身份验证解决方案 方案概述 现代企业的信息化建设越来越完善，各种电子邮件系统、网络办公、电子财务、人事管理、针对特定行业的业务系统的信息网络化等进入了千百个企业。而企业业务正常运营时，企业用户需要同时访问多个业务系统，并经常浏览企业内部网中的相关信息资源。由于用户在访问不同业务系统时需要独立访问该业务系统；同时，用户需要在各系统间频繁地切换，操作较复杂，无法快速地获得相关业务信息并加以分析利用，此外，用户在进行业务操作时，需要分别登录到不同的应用系统中，由于系统较多，用户账号或密码遗忘现象时有发生，或者一套简单用户名和密码多系统使用，造成保密强度降低等问题;而在安全性和系统管理方面，企业需要大量的IT技术管理人员，分别管理和维护不同系统（如：ERP、统计分析、OA、财务、Notes系统等）的用户信息。需要建立可靠、安全、保密的业务系统网络环境，保证企业业务不受破坏和干扰。 SingleSign-On，即单点登录，是指用户在一处登录后完成身份验证，即可访问其他所有相互信任的应用系统，而不需要再次认证。TrustLinkSingleSign-On系统是亚略特生物识别科技自主开发的一款基于指纹识别的单点登录系统。它利用指纹特征实现了个体身份的识别，可支持多种平台和多种开发环境。 实现简介 本系统利用TrustLinkPlatform通过指纹识别、比对、认证实现了对用户身份的确认。用户向存储有用户ID、密码、指纹等信息的TrustLinkSSO输入指纹，SSO对指纹进行比对验证。若通过，则SSO向应用系统提交ID、密码等信息，实现用户登录；否则，返回SSO的用户输入界面，请求用户重新输入。其流程如下图所示： 方案价值 企业的各个业务系统大都采用异构系统（在不同平台上建立不同应用服务器的业务系统）。因此，在确保业务系统独立运行的前提下，解决单点登录、安全防护和信息保密问题意义重大。企业通过实施建立企业级的单点登录系统和安全防护系统，为企业用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台；通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提

指纹识别技术在身份认证系统中的应用

收稿日期:2004 12 01 作者简介:于秀霞(1967 ),女,计算机专业硕士研究生,现在长春大学网络信息中心从事计算机应用研究工作。 指纹识别技术在身份认证系统中的应用 于秀霞 (长春大学,长春130022) 摘 要! 指纹具有惟一性、稳定性的特征。利用指纹识别技术开发了身份认证系统,本文是将此技术应用于养老金领取者身份认证的一个实例,经过实践的证明取得了很好的使用效果。 关键词! 指纹识别;养老金;身份认证;比对识别 Abstract ! Fingerprin t has character of uniqueness and s tabilizationr.The system of iden tity authen tication has been developed by fingerprint identification technology,this passage i s an practical example of application identi ty au thentication in the annuities,and it has been proved to be effective in practice. Key words ! fingerprint identification;annuity;identity authentication;matching identification 中图分类号!TP391 文献标识码!A 文章编号!1008-0821(2005)05-0217-02 指纹具有人各有异、终身不变和随身携带的特点,指纹身份认证是生物识别个人身份之首,同时也是目前技术最为成熟、实现最为简单的身份认证办法。指纹识别系统已广泛应用于公安、金融、证券等许多领域,是极具法律权威的验证手段,在国际上具有通用性。 为了实现养老保险金规范管理,利用现代指纹识别技术,开发了养老金领取者身份指纹认证系统,改变了以往养老金的领取模式,通过领取者本人在指纹采集仪上捺印指纹,系统可自动识别其身份的真实性。由于指纹的惟一性,可避免养老金发放过程中的错领、冒领,甚至超期领取现象,减少养老金的流失,为养老金的准确发放提供保障。 1 指纹识别技术 指纹识别技术就是应用光电技术、模式识别、计算机图像处理技术和计算机网络技术,对活体指纹进行采集、分析和比对,从而自动、迅速、准确地鉴别出个人身份。指纹识别技术主要包括:读取指纹图像,指纹图像预处理,指纹图像特征提取,指纹图像比对识别。 2 养老金领取者身份认证系统 利用指纹识别技术,开发了养老金领取者身份认证系统,在此只对指纹的初始采集和指纹比对识别两大部分作详细的研究。本系统具有无法比拟的安全性和稳定性,根据不同的应用环境和不同的用户需求提出了不同的解决方案,其特点如下: 采用IC 卡和指纹比对识别相结合的方式,达到了无网络的养老金领取者指纹身份认证功能,实现了养老金领取者的实时脱机认证,增加了养老金领取者指纹身份认证的灵活性。 利用条形码技术,通过条形码来检索养老金领取者在系统中的指纹信息记录,实现了养老金领取者在指纹身份认证过程中的一对一比对识别,有效的降低了指纹比对识别的拒识率和误识率,解决了指纹难以比对的问题,保障了社会养老保险公司和养老金领取者的利益。 在养老金领取者比较集中的地点,可以采用装有指纹识别系统的PC 机直接进行指纹比对识别,由于PC 机比单片机的性能要好很多,所以采用这种方式可以提高指纹比对识别的效率。 对于体弱多病或其他原因不能亲自进行指纹的比对识别的养老金领取者,采用带有指纹采集功能并印有养老金领取者基本信息的塑料卡或纸卡,通过邮寄或其他方式采集养老金领取者的指纹进行比对识别。 2 1 养老金领取者的指纹初始采集 利用活体单指指纹采集仪与计算机终端对养老金领取者进行指纹采集,建立养老金领取者指纹信息库。在建库时需要录入养老金领取者的基本信息项,包括姓名、性别、身份证号、社会保障号、单位名称、单位代码、离退休标志、指位选择、指纹标志(左右手或其他)、四枚指纹信息等。 建立养老金领取者指纹信息库时,主要有两种情况:一种是养老金领取者能够到指纹采集点采集指纹;另一种是养老金领取者由于体弱多病或其他原因不能亲自进行指纹采集。对于第二种情况,就需要社保公司的工作人员利用笔记本电脑到养老金领取者的所在地进行指纹采集,再汇总到养老金领取者指纹信息库中。 2 2 养老金领取者的指纹比对识别 利用养老金领取者的指纹信息进行比对识别,达到认证养老金领取者身份的目的。由于不同的应用环境和不同的用户需求,设计了四种指纹比对识别方式。在实际使用过程中,把这四种方式进行综合应用,形成了两种指纹比对识别认证方案。 方式1:采用IC 卡和指纹比对识别相结合的方式,该方式能够达到无网络的养老金领取者指纹身份认证,实现了养老金领取者的实时脱机认证,增加了养老金领取者指纹身份认证的灵活性。 方式1的工作流程是: (1)通过养老金领取者身份指 2005年5月第5期May 2005 No.5 现代情报 ? 情报纵横

一种基于指纹的身份认证系统方案

收稿日期:2008-04-09;修回日期:2008-05-28。 基金项目:国家863计划项目(2007AA01Z466)。 作者简介:谢巍(1983-),男,四川峨眉山人,硕士研究生,主要研究方向:信息安全、网络安全技术;　谷利泽(1965-),男,辽宁营口人,教授,博士,主要研究方向:现代密码学、网络安全;　钮心忻(1963-),女,浙江湖州人,教授,博士生导师,主要研究方向:信息安全、信息隐藏、数字水印。 文章编号:1001-9081(2008)10-2464-03 一种基于指纹的身份认证系统方案 谢　巍,谷利泽,钮心忻 (北京邮电大学网络与交换技术国家重点实验室信息安全中心,北京100876) (kevin -x w@https://www.360docs.net/doc/9e17025371.html, ) 摘　要:给出了一种基于指纹的身份认证系统方案,该方案采用US B 2Key 指纹锁获取用户指纹,在Schnorr 身份 认证协议的基础上,将指纹特征融入其中,实现了客户端与服务器的双向认证,具有了更高的安全性。通过假冒、重放等攻击对系统安全性进行分析,证明了系统的安全可行。最后描述了系统计算效率和开销,说明该系统便于实施和维护。 关键词:身份认证;指纹;Schnorr 协议;US B 指纹锁中图分类号:TP309 文献标志码:A Authen ti ca ti on system schem e ba sed on f i n gerpr i n t X I E W ei,G U L i 2ze,N I U Xin 2xin (Infor m ation Security Center ,S tate Key L aboratory of N et w orking and Sw itching Technology, B eijing U niversity of Posts and Teleco mm unications,B eijing 100876,China ) Abstract:An authenticati on syste m sche me based on finger p rint was p r oposed .The authenticati on syste m accomp lished mutual 2authenticati on bet w een client and server with the combinati on of the finger p rint cap tured by US B 2Key and the Schnorr p r ot ocol .The higher security of syste m was p r oved by the analysis of masquerade and rep ly attacks .A t last,the efficiency and cost of syste m were described and the system was p r oved t o be easily used and maintained . Key words:authenticati on;finger p rint;Schnorr p r ot ocol;US B 2Key 0　引言 身份认证技术是网络安全和信息系统安全的第一道屏障,它是在信息安全时代备受关注的一个研究领域。 身份认证是识别和证实主体与其所声称实体身份相符的过程。概括说来,身份认证过程有三个可用于证实主体身份的要素,即:用户的知识,如口令等;用户物品,如I C 卡等;用户的特征,如指纹、虹膜等。指纹以其唯一、持久、方便获取的特性,被广泛应用到身份识别中,代表着用户身份认证技术的未来方向,有着广阔的发展前景。 认证协议是身份认证系统的核心之一,它的安全性直接关系到整个系统的安全性。很多认证系统被击破的主要原因往往不是底层硬件,而是认证协议存在的缺陷。因此,如何设计一种高质量的认证协议对于开发身份认证系统有着举足轻重的作用。 综合考虑到建立PKI 体系结构成本较高,后期维护开销较大,而用户指纹数据具有唯一性、持久性,利用US B 2Key 指纹锁采集方便等因素,本文给出了一种基于用户指纹、实现双向认证的身份认证系统方案。 1　基于指纹的身份认证系统 基于指纹的身份认证系统由客户端和服务器端组成,客 户端又由US B 2Key 指纹锁和个人电脑组成,如图1所示。在本系统中,US B 2Key 指纹锁可以实时采集用户指纹信息,并能对其做处理。同时,指纹锁可以进行一系列的加解密运算,具有存储秘密信息功能。US B 2Key 内部的安全硬件保证了只有 该指纹锁的拥有者才能访问该设备,其他用户无法通过非法手段读出里面的秘密信息 。 图1　身份认证系统组成 1.1　用户注册 用户注册时,用户可以到安全管理员处现场采集指纹,将生成的注册指纹数特征值F RA 与用户标识U I D A 一起存入数据库,同时写进US B 2Key 指纹锁内的保密存储区,制成一把有效的指纹锁,配发给用户,完成注册。若用户是通过远程注册,其主要流程如下: 1)先用US B 2Key 采集指纹,生成用户的指纹数特征值,再将注册信息E PK (U I D A ‖F RA ‖H (U I D A ‖F RA ))发送到服务器。注册信息是用服务器公钥加密,其中主要包括用户标识U I D A 、 用户指纹数特征值F RA 和二者的哈希值 H (U I D A ‖F RA )。 2)服务器用私钥解密注册信息,检查消息完整性,检查 用户标识是否在合法用户列表中,通过之后保存用户的指纹数据,向客户端发送通过注册消息。 3)客户端收到通过注册的消息后将用户标识和指纹数 特征值存入US B 2Key 的保密存储区。 该注册过程只能成功执行一次。 第28卷第10期 2008年10月 　 计算机应用 Computer App licati ons 　 Vol .28No .10 Oct .2008

双因素认证解决方案

双因素认证方案 一、网络安全认证的需求背景 网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况，用户如果只依赖个人密码进行帐户登录或网上交易，是非常危险和不可靠的认证方法。针对这些问题，北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务，对象是那些为企业VPN安全登录、IDC 远程访问管理、消费者提供网上交易和服务的网上商户。他们只要安装了中科恒伦的双因素认证系统，便能为其客户提供身份认证服务，使其消费者日后能以简单轻松的方法，随时随地享受网上服务。IT管理员或者终端消费者也不用再终日提心吊胆，网上商户因此能与其客户建立更亲密和信任的关系。 二、现存主要的身份认证技术分析 目前，计算机及网络系统中常用的身份认证方式主要有以下几种： 1．用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法，是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的，只要能够正确输入密码，计算机就认为操作者就是合法用户。出于对安全的要求，要求用户定期更改密码，且不能重复，而实际上，由于许多用户为防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样就容易造成密码泄漏。即使能保证用户密码不被泄漏，由于密码是静态的数据，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此，从安全性上讲，用户名/密码方式是一种极不安全的身份认证方式。 2．智能卡认证 智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。智能卡认证是基于 “what you have”的手段，能过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。 3．动态密码认证 动态密码认证是一种基让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。其技术是基于动态令牌的，密码生成芯片运行专门的密码算法，根据当前时间生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认

统一身份认证系统建设方案

统一身份认证系统建设方案 发布日期：2008-04-01 1.1 研发背景 随着信息技术的不断发展，企业已逐渐建立起多应用、多服务的IT 架构，在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向，各有其对应的用户群体、技术架构、权限体系，限制了系统之间的信息共享和信息交换，形成的信息孤岛。同时，每一个信息系统的用户拥有不同的角色（职能），需要操作不同的系统，难以对其需要和拥有的信息和操作进行综合处理，限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理，统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录，改变原有各业务系统中的分散式身份认证及授权管理，实现对用户的集中认证和授权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系，汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统（统一认证服务器）、统一身份管理系统（统一身份管理服务器）、目录服务器。 受控层位于各应用服务器前端，负责策略的判定和执行，提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统（AM），主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统（IM），主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”（SSO） “一次鉴权（认证和授权）”是指建立统一的资源访问控制体系。用户采用不同的访问手段（如Intranet、PSTN、GPRS等）通过门户系统