CA认证开发简介

CA认证开发简介

1CA认证简介

电子商务认证授权机构（CA, Certificate Authority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。

CA是证书的签发机构,它是PKI(Public Key Infrastructure，公钥基础设施)的核心。CA 是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证CA 的签字从而信任CA ，任何人都可以得到CA 的证书（含公钥），用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，他应先向CA 提出申请。在CA 判明申请者的身份后，便为他分配一个公钥，并且CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。

如果一个用户想鉴别另一个证书的真伪，他就用CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。

为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，不仅需要对用户的身份真实性进行验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证，并负责管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

1.1CA认证证书

证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509 国际标准。

如何在电子文档上实现签名的目的呢？我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：

信息发送者用其私匙对从所传报文中提取出的特征数据（或称数字指纹）进行RSA算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。

在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数) 生成的。对这些HASH函数的特殊要求是：

1．接受的输入报文数据没有长度限制；

2．对任何输入报文数据生成固定长度的摘要(数字指纹)输出；

3．从报文能方便地算出摘要；

4．难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；

5．难以生成两个不同的报文具有相同的摘要。

1.2CA认证验证

收方在收到信息后用如下的步骤验证您的签名：

1．使用自己的私钥将信息转为明文；

2．使用发信方的公钥从数字签名部分得到原摘要；

3．收方对您所发送的源信息进行hash运算，也产生一个摘要；

4．收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份。

如果两摘要内容不符，会说明什么原因呢？

可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信；也可能收到的信息根本就不是签名者发送的信息，信息在传输过程中已经遭到破坏或篡改。

1.3CA认证数字证书

数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

1.4CA认证使用数字证书能做什么?

数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。

明文经R公钥加密的密文经S私钥签名的密文

要发送的明文数据可发送的密文数据

用R的公钥加密用S私钥签名

图1.1 发送数据处理过程

密文经R私钥解密的明文验证通过的明文

接收到的密文数据可以使用的数据

用R的私钥解密用S公钥验证合法

性

图1.2接收数据处理过程

在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。

1.5CA认证-认证、数字证书和PKI解决的几个问题

保密性- 只有收件人才能阅读信息。

认证性- 确认信息发送者的身份。

完整性- 信息在传递过程中不会被篡改。

不可抵赖性- 发送者不能否认已发送的信息。

1.6标准的X．509数字证书包含的内容

a)证书的版本信息；

b)证书的序列号，每个用户都有一个唯一的证书序列号；

c)证书所使用的签名算法；

d)证书的发行机构名称，命名规则一般采用X.400格式；

e)证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围

为1950~2049；

f)证书所有人的名称，命名规则一般采用X．400格式；

g)证书所有人的公钥；

h)证书发行者对证书的签名。

此外，X.509证书格式还预留了扩展，用户可以根据自己的需要进行扩展。

目前比较典型的扩展如：Microsoft IE的扩展、Netscape的扩展和SET(Secure

Electronic Transaction)的扩展等。

1.7密钥、密钥对、公钥、证书、私钥、jks、keystore、truststore、cer、pfx的区别

密钥: 公钥+私钥的统称。

密钥对：公钥(证书)和私钥成对存在。

通信双方各持有自己的私钥和对方的公钥。自己的私钥需密切保护，而公钥是公开给对方的。在windows下，单独存在的公钥一般是后缀为.cer的文件

公钥的两个用途：

1。验证对方身份：防止其他人假冒对方发送数据给你。

2。解密。

私钥的两个用途：

1。表明自己身份：除非第三方有你私钥，否则无法假冒你发送数据数据给对方。

2。加密。

jks(java key store)：

java用的存储密钥的容器。可以同时容纳n个公钥或私钥，后缀一般是.jks或者.keystore 或.truststore等，千奇百怪。不管什么后缀，它就是一个容器，各个公司或机构叫法不同而已。比如把只包含"受信任的公钥"的容器存成.truststore文件等。

用jdk\bin目录下的keytool.exe对其进行查看，导入，导出，删除，修改密码等各种操作。可以对jks容器加密码，输入正确才可以操作此容器中密钥。

还有一个密码的概念与上者不同，是jks中存储着的私钥的密码，通常是绝密的。

pfx：

和jks功能相同但文件格式不同，pfx是浏览器用的。

可以用一些工具程序把pfx转化成jks格式供java程序使用(如银行只提供了pfx)。

常见的几种https系统的访问

经https协议的数据经过加密传输，防止第三方监听，冒充和篡改。

1.不需要用户做任何操作，比如https://https://www.360docs.net/doc/bd19048699.html,/

这是因为此公钥是合法的(公钥是可信任的机构颁发，和实际域名吻合，而且没有到期)。用IE访问时空白处点右键可以查看公钥信息。

2.https的页面会弹出公钥确认提示

公钥不合法(不是可信任的机构颁发，和实际域名不吻合，已到期)，但用户点“是”即表示忽略危险，继续访问。

3.需要往浏览器倒入一个文件才可访问的

一般是银行在线交易等特别需要安全的场合，站方(银行)需要验证访客身份(如要确认必须是已注册的网银商户)，需要在浏览器中导入含有访客私钥的pfx文件。

如果java程序访问此地址时在jre默认的信任库中找不到对方证书的颁发机构，则会抛出安全方面的异常。所以要将站方公钥存进一个jks，并在环境变量中设定，表明信任此库中的公钥，才可以正常访问。在浏览器中查看站方公钥时，把公钥导出(一般是cer后缀)，然后用keytool.exe手工将此cer导入一个jks

2https的实现原理

2.1有两种基本的加解密算法类型

1）对称加密：密钥只有一个，加密解密为同一个密码，且加解密速度快，典型的对称加密算法有DES、AES等；

2）非对称加密：密钥成对出现（且根据公钥无法推知私钥，根据私钥也无法推知公钥），加密解密使用不同密钥（公钥加密需要私钥解密，私钥加密需要公钥解密），相对对称加密速度较慢，典型的非对称加密算法有RSA、DSA等。

2.2 https的通信过程

https的通信过程

客户端服务器

1.请求https连接

{返回证书(公钥)}

2. 产生随机(对称)密钥

3.用公钥对对称密钥加密

4. 发送加密后的对称密钥

.

6.通过对称密钥加密的密文通信

..

图2.1https的通信过程

2.3 https通信的优点

1）客户端产生的密钥只有客户端和服务器端能得到；

2）加密的数据只有客户端和服务器端才能得到明文；

3）客户端到服务端的通信是安全的。

2.4 SSL认证详解

SSL（Secure Socket Layer）是一种能让web浏览器和服务器在建立一个安全连接的基础上进行通信的技术。这意味着一端将数据加密后发送、传输，在另一端处理前解密。这是一个双向过程，服务端和客户端对所有要发出的数据都进行加密。另一个重要的方面是鉴权。这意味着你的最初和web服务器的通信是建立在安全连接基础上的。服务器将给你的web浏览器一套证书形式的信任状，来证明这个站点是它所声称的那一个站点。在某种情况下服务器也会向你的浏览器请求一个证书，要求证明你是你所声称的那个人。这就是"客户身份认证"，尽管在实际应用中是business-to-business交易而不是个人用户。大部分使用了SSL的web服务器不要求客户认证。

2.4.1单向认证SSL 协议的具体过程

①客户端的浏览器向服务器传送客户端SSL 协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。

②服务器向客户端传送SSL 协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。

③客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期，发行服务器证书的CA 是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将继续进行第四步。

④用户端随机产生一个用于后面通讯的“对称密码”，然后用服务器的公钥（服务器的公钥从步骤②中的服务器的证书中获得）对其加密，然后将加密后的“预主密码”传给服务器。

⑤如果服务器要求客户的身份认证（在握手过程中为可选），用户可以建立一个随机数然后对其进行数据签名，将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

⑥如果服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA 是否可靠，发行CA 的公钥能否正确解开客户证书的发行CA 的数字签名，检查客户的证书是否在证书废止列表（CRL）中。检验如果没有通过，通讯立刻中断；如果验证通过，服务器将用自己的私钥解开加密的“预主密码”，然后执行一系列步骤来产生主通讯密码（客户端也将通过同样的方法产生相同的主通讯密码）。

⑦服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于SSL 协议的安全数据通讯的加解密通讯。同时在SSL 通讯过程中还要完成数据通讯的完整性，防止数据通讯中的任何变化。

⑧客户端向服务器端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。

⑨服务器向客户端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。

⑩SSL 的握手部分结束，SSL 安全通道的数据通讯开始，客户和服务器开始使用相同的对称密钥进行数据通讯，同时进行通讯完整性的检验。

2.4.2双向认证SSL 协议的具体过程

①浏览器发送一个连接请求给安全服务器。

②服务器将自己的证书，以及同证书相关的信息发送给客户浏览器。

③客户浏览器检查服务器送过来的证书是否是由自己信赖的CA 中心所签发的。如果是，就继续执行协议；如果不是，客户浏览器就给客户一个警告消息：警告客户这个证书不是可以信赖的，询问客户是否需要继续。

④接着客户浏览器比较证书里的消息，例如域名和公钥，与服务器刚刚发送的相关消息是否一致，如果是一致的，客户浏览器认可这个服务器的合法身份。

⑤服务器要求客户发送客户自己的证书。收到后，服务器验证客户的证书，如果没有通过验证，拒绝连接；如果通过验证，服务器获得用户的公钥。

⑥客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。

⑦服务器从客户发送过来的密码方案中，选择一种加密程度最高的密码方案，用客户的公钥加过密后通知浏览器。

⑧浏览器针对这个密码方案，选择一个通话密钥，接着用服务器的公钥加过密后发送给服务器。

⑨服务器接收到浏览器送过来的消息，用自己的私钥解密，获得通话密钥。

⑩服务器、浏览器接下来的通讯都是用对称密码方案，对称密钥是加过密的。

上面所述的是双向认证SSL 协议的具体通讯过程，这种情况要求服务器和用户双方都有证书。单向认证SSL 协议不需要客户拥有CA 证书，具体的过程相对于上面的步骤，只需将服务器端验证客户证书的过程去掉，以及在协商对称密码方案，对称通话密钥时，服务器发送给客户的是没有加过密的（这并不影响SSL 过程的安全性）密码方案。这样，双方具体

的通讯内容，就是加过密的数据，如果有第三方攻击，获得的只是加密的数据，第三方要获得有用的信息，就需要对加密的数据进行解密，这时候的安全就依赖于密码方案的安全。而幸运的是，目前所用的密码方案，只要通讯密钥长度足够的长，就足够的安全。这也是我们强调要求使用128 位加密通讯的原因。

3java中Keytool的使用

Keytool 是一个Java 数据证书的管理工具,Keytool 将密钥（key）和证书（certificates）存在一个称为keystore的文件中在keystore里，包含两种数据：

密钥实体（Key entity）——密钥（secret key）又或者是私钥和配对公钥（采用非对称加密）可信任的证书实体（trusted certificate entries）——只包含公钥

ailas(别名)每个keystore都关联这一个独一无二的alias，这个alias通常不区分大小写

JDK中keytool 常用命令:

-genkey 在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名，mykey 中包含用户的公钥、私钥和证书

-alias 产生别名

-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中)

-keyalg 指定密钥的算法(如RSA DSA（如果不指定默认采用DSA）)

-validity 指定创建的证书有效期多少天

-keysize 指定密钥长度

-storepass 指定密钥库的密码(获取keystore信息所需的密码)

-keypass 指定别名条目的密码(私钥的密码)

-dname 指定证书拥有者信息例如："CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码"，注：其中CN最好是服务器的域名地址或IP地址（因为浏览器在发现服务器证书的CN与访问服务器的域名或IP不符时，会报一个警告，不过这个问题不大）。

-list 显示密钥库中的证书信息keytool -list -v -keystore 指定keystore -storepass 密码

-v 显示密钥库中的证书详细信息

-export 将别名指定的证书导出到文件keytool -export -alias 需要导出的别名-keystore 指定keystore -file 指定导出的证书位置及证书名称-storepass 密码

-file 参数指定导出到文件的文件名

-delete 删除密钥库中某条目keytool -delete -alias 指定需删除的别-keystore 指定keystore -storepass 密码

-printcert 查看导出的证书信息keytool -printcert -file yushan.crt

-keypasswd 修改密钥库中指定条目口令keytool -keypasswd -alias 需修改的别名-keypass 旧密码-new 新密码-storepass keystore密码-keystore sage

-storepasswd 修改keystore口令keytool -storepasswd -keystore e:\yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)

-import 将已签名数字证书导入密钥库keytool -import -alias 指定导入条目的别名-keystore 指定keystore -file 需导入的证书

下面是各选项的缺省值。

-alias "mykey"

-keyalg "DSA"

-keysize 1024

-validity 90

-keystore 用户宿主目录中名为.keystore 的文件

-file 读时为标准输入，写时为标准输出

3.1k eystore的生成

分阶段生成：

keytool -genkey -alias yushan(别名) -keypass yushan(别名密码) -keyalg RSA(算法) -keysize 1024(密钥长度) -validity 365(有效期，天单位) -keystore

e:\yushan.keystore(指定生成证书的位置和证书名称) -storepass 123456(获取keystore信息的密码)；回车输入相关信息即可；

一次性生成：

keytool -genkey -alias yushan -keypass yushan -keyalg RSA -keysize 1024 -validity 365 -keystore e:\yushan.keystore -storepass 123456 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)";(中英文即可)

3.2keystore信息的查看

keytool -list -v -keystore e:\keytool \yushan.keystore -storepass 123456

显示内容：

---------------------------------------------------------------------

Keystore 类型：JKS

Keystore 提供者：SUN

您的keystore 包含 1 输入

别名名称：yushan

创建日期：2009-7-29

项类型: PrivateKeyEntry

认证链长度：1

认证[1]:

所有者:CN=yushan, OU=xx公司, O=xx协会, L=湘潭, ST=湖南, C=中国

签发人:CN=yushan, OU=xx公司, O=xx协会, L=湘潭, ST=湖南, C=中国

序列号:4a6f29ed

有效期: Wed Jul 29 00:40:13 CST 2009 至Thu Jul 29 00:40:13 CST 2010

证书指纹:

MD5:A3:D7:D9:74:C3:50:7D:10:C9:C2:47:B0:33:90:45:C3

SHA1:2B:FC:9E:3A:DF:C6:C4:FB:87:B8:A0:C6:99:43:E9:4C:4A:E1:18:E8

签名算法名称:SHA1withRSA

版本: 3

--------------------------------------------------------------------

缺省情况下，-list 命令打印证书的MD5 指纹。而如果指定了-v 选项，将以可读格式打印证书，如果指定了-rfc 选项，将以可打印的编码格式输出证书。

keytool -list -rfc -keystore e:\yushan.keystore -storepass 123456

显示：

-------------------------------------------------------------------------------------------------------

Keystore 类型：JKS

Keystore 提供者：SUN

您的keystore 包含 1 输入

别名名称：yushan

创建日期：2009-7-29

项类型: PrivateKeyEntry

认证链长度：1

认证[1]:

-----BEGIN CERTIFICATE-----

MIICSzCCAbSgAwIBAgIESm8p7TANBgkqhkiG9w0BAQUFADBqMQ8wDQYDVQQGDAbku K3lm70xDzANBgNVBAgMBua5luWNlzEPMA0GA1UEBwwG5rmY5r2tMREwDwYDVQQK DAh4eOWNj+S8mjERMA8GA1UECwwIeHjlhazlj7gxDzANBgNVBAMTBnl1c2hhbjAeFw0w OTA3MjgxNjQwMTNaFw0xMDA3MjgxNjQwMTNaMGoxDzANBgNVBAYMBuS4reWbvTE PMA0GA1UECAwG5rmW5Y2XMQ8wDQYDVQQHDAbmuZjmva0xETAPBgNVBAoMCHh4 5Y2P5LyaMREwDwYDVQQLDAh4eOWFrOWPuDEPMA0GA1UEAxMGeXVzaGFuMIGf MA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCJoru1RQczRzTnBWxefVNspQBykS220r S8Y/oX3mZahjL4wLfOURzUuxxuVQR2jx7QI+XKME+DHQj9r6aAcLBCi/T1jwF8mVYxtpRu TzE/6KEZdhowEe70liWLVE+hytLBHZ03Zhwcd6q5HUMu27du3MPQvqiwzTY7MrwIvQQ8iQ IDAQABMA0GCSqGSIb3DQEBBQUAA4GBAGoQQ1/FnTfkpQh+Ni6h3fZdn3sR8ZzDMbOA IYVLAhBb85XDJ8QZTarHbZMJcIdHxAl1i08ct3E8U87V9t8GZFWVC4BFg/+zeFEv76SFpVE5 6iX7P1jpsu78z0m69hHlds77VJTdyfMSvtXvsYHP3fxfzx9WyhipBwd8VPK/NgEP

-----END CERTIFICATE-----

-------------------------------------------------------------------------------------------------------

3.3证书的导出

keytool -export -alias yushan -keystore e:\yushan.keystore -file e:\yushan.crt(指定导出的证书位置及证书名称) -storepass 123456

3.4查看导出的证书信息

keytool -printcert -file yushan.crt

显示：（在windows下可以双击yushan.crt查看）

-----------------------------------------------------------------------

所有者:CN=yushan, OU=xx公司, O=xx协会, L=湘潭, ST=湖南, C=中国

签发人:CN=yushan, OU=xx公司, O=xx协会, L=湘潭, ST=湖南, C=中国

序列号:4a6f29ed

有效期: Wed Jul 29 00:40:13 CST 2009 至Thu Jul 29 00:40:13 CST 2010

证书指纹:

MD5:A3:D7:D9:74:C3:50:7D:10:C9:C2:47:B0:33:90:45:C3

SHA1:2B:FC:9E:3A:DF:C6:C4:FB:87:B8:A0:C6:99:43:E9:4C:4A:E1:18:E8

签名算法名称:SHA1withRSA

版本: 3

-----------------------------------------------------------------------

3.5证书的导入

准备一个导入的证书：

keytool -genkey -alias shuany -keypass shuany -keyalg RSA -keysize 1024 -validity 365 -keystore e:\shuany.keystore -storepass 123456 -dname "CN=shuany, OU=xx, O=xx, L=xx, ST=xx, C=xx";

keytool -export -alias shuany -keystore e:\shuany.keystore -file e:\shuany.crt -storepass 123456

现在将shuany.crt 加入到yushan.keystore中：

keytool -import -alias shuany(指定导入证书的别名，如果不指定默认为mykey,别名唯一，否则导入出错) -file e:\shuany.crt -keystore e:\yushan.keystore -storepass 123456

keytool -list -v -keystore e:\keytool \yushan.keystore -storepass 123456

显示：

------------------------------------------------------------------------------

Keystore 类型：JKS

Keystore 提供者：SUN

您的keystore 包含 2 输入

别名名称：yushan

创建日期：2009-7-29

项类型: PrivateKeyEntry

认证链长度：1

认证[1]:

所有者:CN=yushan, OU=xx公司, O=xx协会, L=湘潭, ST=湖南, C=中国

签发人:CN=yushan, OU=xx公司, O=xx协会, L=湘潭, ST=湖南, C=中国

序列号:4a6f29ed

有效期: Wed Jul 29 00:40:13 CST 2009 至Thu Jul 29 00:40:13 CST 2010

证书指纹:

MD5:A3:D7:D9:74:C3:50:7D:10:C9:C2:47:B0:33:90:45:C3

SHA1:2B:FC:9E:3A:DF:C6:C4:FB:87:B8:A0:C6:99:43:E9:4C:4A:E1:18:E8

签名算法名称:SHA1withRSA

版本: 3

*******************************************

*******************************************

别名名称：shuany

创建日期：2009-7-29

输入类型：trustedCertEntry

所有者:CN=shuany, OU=xx, O=xx, L=xx, ST=xx, C=xx

签发人:CN=shuany, OU=xx, O=xx, L=xx, ST=xx, C=xx

序列号:4a6f2cd9

有效期: Wed Jul 29 00:52:41 CST 2009 至Thu Jul 29 00:52:41 CST 2010

证书指纹:

MD5:15:03:57:9B:14:BD:C5:50:21:15:47:1E:29:87:A4:E6

SHA1:C1:4F:8B:CD:5E:C2:94:77:B7:42:29:35:5C:BB:BB:2E:9E:F0:89:F5

签名算法名称:SHA1withRSA

版本: 3

*******************************************

*******************************************

------------------------------------------------------------------------------

3.6证书条目的删除

keytool -delete -alias shuany(指定需删除的别名) -keystore yushan.keystore -storepass 123456

3.7证书条目口令的修改

keytool -keypasswd -alias yushan(需要修改密码的别名) -keypass yushan(原始密码) -new 123456(别名的新密码) -keystore e:\yushan.keystore -storepass 123456

3.8keystore口令的修改

keytool -storepasswd -keystore e:\yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)

3.9修改keystore中别名为yushan的信息

keytool -selfcert -alias yushan -keypass yushan -keystore e:\yushan.keystore -storepass 123456 -dname "cn=yushan,ou=yushan,o=yushan,c=us"

4在Tomcat配置SSL连接

在$TOMCAT_HOME/conf/server.xml中配置你的secure socket。在安装好的Tomcat里缺省server.xml中已经包含了一个SSL connector的元素样本。看起来如下：

<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->

port="8443" minProcessors="5" maxProcessors="75"

enableLookups="true" disableUploadTimeout="true"

acceptCount="100" debug="0" scheme="https" secure="true";

clientAuth="false" sslProtocol="TLS"/>

-->

你会注意到Connector元素缺省被注释了，因此你需要删除它周围的注释标签。接着你可以自定义一些属性。要更多各种选项的信息，请参考Server Configuration Reference。下面的讨论只覆盖建立SSL通信时最感兴趣的那些属性。

port属性（缺省为8443）是Tomcat监听安全连接的TCP/IP端口号。你可以将它改成任何你需要的端口号（如https通信的缺省端口443）。然而在许多操作系统上，Tomcat要使用一个1024以下的端口需要做一些特别的设置（这不在本文档范围内）。

如果改变了此处的端口号，应该同时改变在non-SSL connector上redirectPort属性的值。作为Servlet 2.4 Specification中所必需的，这允许Tomcat自动重定向用户访问有安全限制的页面的请求，指出需要SSL。

还有一些其它的选项配置SSL协议。你可能需要增加或改变下面的属性值，取决于你开始对keystore的配置：

clientAuth 如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书，置该值为true。

keystoreFile 如果创建的keystore文件不在Tomcat认为的缺省位置（一个在Tomcat运行的home目录下的叫.keystore的文件），则加上该属性。可以指定一个绝对路径或依赖$CA TALINA_BASE环境变量的相对路径。

keystorePass 如果使用了一个与Tomcat预期不同的keystore（和证书）密码（changeit），则加入该属性。

keystoreType 如果使用了一个PKCS12 keystore，加入该属性。有效值是JKS和PKCS12。

sslProtocol socket使用的加密/解密协议。如果使用的是Sun的JVM，则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下，使用SSL。

ciphers 此socket允许使用的被逗号分隔的密码列表。缺省情况下，可以使用任何可用的密码。

algorithm 使用的X509算法。缺省为Sun的实现（SunX509）。对于IBM JVMS应该使用ibmX509。对于其它JVM，参考JVM文档取正确的值。

truststoreFile 用来验证客户证书的TrustStore文件。truststorePass 访问TrustStore使用的密码。缺省值是keystorePass。

truststoreType 如果使用一个不同于正在使用的KeyStore的TrustStore格式，加入该属性。有效值是JKS和PKCS12。

如果创建的keystore文件不在Tomcat认为的缺省位置（一个在Tomcat运行的home目录下的叫.keystore的文件），则加上该属性。可以指定一个绝对路径或依赖$CA TALINA_BASE 环境变量的相对路径。

keystorePass 如果使用了一个与Tomcat预期不同的keystore（和证书）密码（changeit），则加入该属性。

keystoreType 如果使用了一个PKCS12 keystore，加入该属性。有效值是JKS和PKCS12。sslProtocol socket使用的加密/解密协议。如果使用的是Sun的JVM，则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下，使用SSL。

Ciphers 此socket允许使用的被逗号分隔的密码列表。缺省情况下，可以使用任何可用的密码。

Algorithm 使用的X509算法。缺省为Sun的实现（SunX509）。对于IBM JVMS应该使用ibmX509。对于其它JVM，参考JVM文档取正确的值。

truststoreFile 用来验证客户证书的TrustStore文件。

truststorePass 访问TrustStore使用的密码。缺省值是keystorePass。

truststoreType 如果使用一个不同于正在使用的KeyStore的TrustStore格式，加入该属性。有效值是JKS和PKCS12。

完成这些配置后，要重启Tomcat。你将能通过访问任何Tomcat支持的web应用。如：https://localhost:8443

5签发证书的过程

(1)从中间层CA服务器的密钥库中读取CA的证书：

FileInputStream in=new FileInputStream(ShopCAstorename);

KeyStore ks=KeyStore.getInstance("JKS");

ks.load(in,storepass);

java.security.cert.Certificate c1=ks.getCertificate(alias);

(2)获得CA的私钥：

PrivateKey caprk=(PrivateKey)ks.getKey(alias,cakeypass);

(3)从CA的证书中提取签发者信息：

byte[] encod1=c1.getEncoded();

X509CertImpl shopcimp1=new X509CertImpl(encod1);

X509CertInfo shopcinfo1=(X509CertInfo)shopcimp1.get(https://www.360docs.net/doc/bd19048699.html,+

"."+https://www.360docs.net/doc/bd19048699.html,);

X500Name issuer=(X500Name)shopcinfo1.get(X509CertInfo.SUBJECT+

"."+CertificateIssuerName.DN_NAME);

(4)获取待签发的证书相关信息，与（3）类似；

(5)设置新证书的有效期、序列号、签发者和签名算法：

//设置新证书有效期为1年

Date begindate =new Date();

Date enddate =new Date(begindate.getTime()+3000*24*360*60*1000L); CertificateValidity

cv=new CertificateValidity(begindate,enddate);

cinfo2.set(X509CertInfo.V ALIDITY,cv);

//设置新证书序列号

int sn=(int)(begindate.getTime()/1000);

CertificateSerialNumber csn=new CertificateSerialNumber(sn);

cinfo2.set(X509CertInfo.SERIAL_NUMBER,csn);

//设置新证书签发者

cinfo2.set(X509CertInfo.ISSUER+"."+

CertificateIssuerName.DN_NAME,issuer);

//设置新证书算法

AlgorithmId algorithm =

new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid);

cinfo2.set(https://www.360docs.net/doc/bd19048699.html,+

"."+CertificateAlgorithmId.ALGORITHM, algorithm);

(6)创建证书并签发：

// 创建证书

X509CertImpl newcert=new X509CertImpl(cinfo2);

// 签名

newcert.sign(caprk,"MD5WithRSA");

(7)将新证书提供给注册用户，并提示安装,一般的做法是在用户注册成功后系统立即返回一个证书对象给中间层某个Servlet，由其返回给用户。

统一身份认证-CAS配置实现

一、背景描述 随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施，而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1、每个系统都开发各自的身份认证系统，这将造成资源的浪费，消耗开 发成本，并延缓开发进度； 2、多个身份认证系统会增加系统的管理工作成本； 3、用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗 忘而导致的支持费用不断上涨； 4、无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5、无法统一分析用户的应用行为 因此，对于拥有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关”的目标，方便用户使用。 二、CAS简介 CAS（Central Authentication Service），是耶鲁大学开发的单点登录系统（SSO，single sign-on），应用广泛，具有独立于平台的，易于理解，支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS，并提供了易于使用的方案。Acegi安全系统，是一个用于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务，包括使用Bean Context，拦截器和面向接口的编程方式。因此，Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广

统一身份认证平台讲解

统一身份认证平台设计方案 1）系统总体设计 为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护

管理功能。 用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下： a)集中用户管理系统：完成各系统的用户信息整合，实现用户生 命周期的集中统一管理，并建立与各应用系统的同步机制，简 化用户及其账号的管理复杂度，降低系统管理的安全风险。

统一身份认证平台讲解-共38页知识分享

统一身份认证平台讲解-共38页

统一身份认证平台设计方案 1）系统总体设计 为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。

提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下：

统一身份认证系统技术方案

智慧海事一期统一身份认证系统 技术方案

目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群 众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录， 实现用户资源的共享，简化用户的操作。

统一身份认证系统

1.1. 统一身份认证系统 通过统一身份认证平台，实现对应用系统的使用者进行统一管理。实现统一登陆，避免每个人需要记住不同应用系统的登陆信息，包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成，实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现，支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS，以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求：50并发认证不超过3秒 ?支持联合发文：支持在Office中加盖多个电子印章，同时保证先前加 盖的印章保持有效，从而满足多个单位联合发文的要求。 ?支持联合审批：支持在Office或者网页（表单）中对选定的可识别区 域内容进行电子签名，这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章：支持两种批量签章方式： ?用户端批量盖章； ?服务器端批量盖章。 ?网页表单批量签章：WEB签章提供批量表单签章功能，不需要打开单个 表单签章，一次性直接完成指定批量表单签章操作，打开某一表单时，能 正常显示签章，并验证表单完整性。 ?提供相应二次开发数据接口：与应用系统集成使用，可以控制用户只能 在应用系统中签章，不能单独在WORD/EXCEL中签章，确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求：电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章，网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签

统一身份认证平台

统一身份认证平台 一、主要功能 1.统一身份识别； 2.要求开放性接口，提供源代码，扩展性强，便于后期与其他系统对接； 3.支持移动终端应用（兼容IOS系统、安卓系统；手机端、PAD端；） 4.教师基础信息库平台（按照教育信息化标准-JYT1001_教育管理基础代码实现） 5.学生基础信息库平台（按照教育信息化标准-JYT1001_教育管理基础代码实现） 二、系统说明 2.1单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后台的多个应 用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 2.2即插即用：通过简单的配置，无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式， 可单独使用也可组合使用。 2.4基于角色访问控制：根据用户的角色和URL实现访问控制功能。基于Web界面管 理：系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性；在此基础上进一步实现用户在异构系统（不同平台上建立不同应用服务器的业务系统），高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合，签发合法用户的权限票据，从而能够使合法用户进入其权限范围内的各应用系统，并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术，对用户实行集中统一的管理和身份认证，并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用，不仅规避密码安全风险，还简化用户认证的相关应用操作。 说明：CA安全基础设施可以采用自建方式，也可以选择第三方CA。 3.2具体包含以下主要功能模块： ①身份认证中心 ②存储用户目录：完成对用户身份、角色等信息的统一管理； ③授权和访问管理系统：用户的授权、角色分配；访问策略的定制和管理；用户授权信息 的自动同步；用户访问的实时监控、安全审计； ④身份认证服务：身份认证前置为应用系统提供安全认证服务接口，中转认证和访问请求； 身份认证服务完成对用户身份的认证和角色的转换； ⑤访问控制服务：应用系统插件从应用系统获取单点登录所需的用户信息；用户单点登 录过程中，生成访问业务系统的请求，对敏感信息加密签名； ⑥CA中心及数字证书网上受理系统：用户身份认证和单点登录过程中所需证书的签发； 四、技术要求 4.1技术原理 基于数字证书的单点登录技术，使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件，和防护系统的认证服务器通信，利用系统提供的安全保障和信息服务，共享安全优势。 其原理如下： 1)每个信息资源配置一个访问代理，并为不同的代理分配不同的数字证书，用来保

统一身份认证平台功能描述

数字校园系列软件产品 统一身份认证平台 功能白皮书

目录 1 产品概述............................................................. - 1 - 1.1 产品简介....................................................... - 1 - 1.2 应用范围....................................................... - 2 - 2 产品功能结构......................................................... - 2 - 3 产品功能............................................................. - 3 - 3.1 认证服务....................................................... - 3 - 3.1.1 用户集中管理............................................. - 3 - 3.1.2 认证服务................................................. - 3 - 3.2 授权服务....................................................... - 4 - 3.2.1 基于角色的权限控制....................................... - 4 - 3.2.2 授权服务................................................. - 4 - 3.3 授权、认证接口................................................. - 4 - 3.4 审计服务....................................................... - 5 - 3.5 信息发布服务................................................... - 5 - 3.6 集成服务....................................................... - 6 -

统一身份认证系统建设方案

统一身份认证系统建设方案 发布日期：2008-04-01 1.1 研发背景 随着信息技术的不断发展，企业已逐渐建立起多应用、多服务的IT 架构，在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向，各有其对应的用户群体、技术架构、权限体系，限制了系统之间的信息共享和信息交换，形成的信息孤岛。同时，每一个信息系统的用户拥有不同的角色（职能），需要操作不同的系统，难以对其需要和拥有的信息和操作进行综合处理，限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理，统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录，改变原有各业务系统中的分散式身份认证及授权管理，实现对用户的集中认证和授权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系，汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统（统一认证服务器）、统一身份管理系统（统一身份管理服务器）、目录服务器。 受控层位于各应用服务器前端，负责策略的判定和执行，提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统（AM），主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统（IM），主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”（SSO） “一次鉴权（认证和授权）”是指建立统一的资源访问控制体系。用户采用不同的访问手段（如Intranet、PSTN、GPRS等）通过门户系统

统一身份认证平台集成接口文档

三峡大学统一身份认证平台接口文档

目录 1.统一身份认证简介 (3) 1.1 背景知识 (3) 1.1.1 什么是单点登录（Single Sign On）： (3) 1.1.2 中心认证服务的设计愿景： (3) 1.2 CAS的实现 (4) 系统中的用到的凭证（ticket）： (5) 2.JAVA语言 (6) 2.1 CAS简单登陆的实现 (6) 2.2 CAS登出 (12) 3.PHP语言 (13) 3.1 CAS单点登录测试环境搭建步骤 (13) 3.1.1 获取必要的驱动程序： (13) 3.1.2 搭建php运行环境 (13) 3.1.3 配置PHP cas 客户端测试程序 (13) 3.2 PHP-CAS客户端 (14) 3.2.1 cas-client的初始化 (14) 3.2.2 设置不是SSL的CAS认证 (16) 3.2.3 进行CAS认证 (17) 3.2.4 登出 (20) https://www.360docs.net/doc/bd19048699.html,语言 (22) 4.1 搭建https://www.360docs.net/doc/bd19048699.html,环境 (22) 4.2 CAS简单登陆实现 (22) 4.3 CAS登出实现 (23) 5.ASP语言 (24) 5.1 CAS简单登录实现 (24) 5.2 CAS登出实现 (25) 6.附录 (26) 6.1 附录1 (26) 6.2 附录2 (28) 6.3 附录3 (30) 6.4 附录4 (31) 6.5 附录5 (32)

1.统一身份认证简介 1.1背景知识 1.1.1 什么是单点登录（Single Sign On）： 所谓单点登录是指基于用户/会话认证的一个过程，用户只需一次性提供凭证（仅一次登录），就可以访问多个应用。 目前单点登录主要基于Web的多种应用程序，即通过浏览器实现对多个B/S架构应用的统一账户认证。 1.1.2 中心认证服务的设计愿景： 简单的说，中心认证服务（Central Authentication Service 缩写：CAS）的目的就是使分布在一个企业内部各个不同异构系统的认证工作集中在一起，通过一个公用的认证系统统一管理和验证用户的身份，一般我们称之为统一身份认证平台。 在CAS上认证的用户将获得CAS颁发的一个证书，使用这个证书，用户可以在承认CAS 证书的各个系统上自由穿梭访问，不需要再次的登录认证。 打个比方：对于加入欧盟的国家而言，在他们国家中的公民可以凭借着自己的身份证，在整个欧洲旅行，不用签证。 对于学校内部系统而言，CAS就好比这个颁发欧盟认证的系统，其它系统都是加入欧盟的国家，它们要共同遵守和承认CAS的认证规则。 因此CAS的设计愿望就是： 实现一个易用的、能跨不同Web应用的单点登录认证中心； 实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全漏洞； 降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略。

统一身份认证平台功能描述

数字校园系列软件产品统一身份认证平台 功能白皮书 目录 1 产品概述............................................................. - 1 - 1、1产品简介....................................................... - 1 - 1、2应用范围....................................................... - 2 - 2产品功能结构......................................................... - 2 - 3产品功能............................................................. - 3 - 3、1认证服务....................................................... - 3 - 3、1、1用户集中管理............................................. - 3 - 3、1、2认证服务................................................. - 3 - 3、2授权服务....................................................... - 4 - 3、2、1基于角色的权限控制....................................... - 4 - 3、2、2授权服务................................................. - 4 - 3、3授权、认证接口................................................. - 4 - 3、4审计服务....................................................... - 5 - 3、5信息发布服务................................................... - 5 - 3、6集成服务....................................................... - 6 - 3、6、1应用系统管理............................................. - 6 - 3、6、2应用系统功能管理......................................... - 6 - 3、6、3应用系统操作管理......................................... - 7 -

统一身份认证设计方案(最终版)

统一身份认证设计方案 日期：2016年2月

目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型11 1.3. 2.3 身份信息的存储12 1.3.3 用户生命周期管理12 1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14) 1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16) 1.5.1 集中授权应用背景16 1.5.2 集中授权管理对象17 1.5.3 集中授权的工作原理18 1.5.4 集中授权模式19 1.5.5 细粒度授权19 1.5.6 角色的继承20 1.6 集中认证管理 (21) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式22 1.6. 2.1 用户名/口令认证23 1.6. 2.2 数字证书认证23 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证24 1.6. 2.5 认证方式与安全等级24 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议25 1.6.3.2 Windows 域25 1.6.3.3 SAML协议26 1.6.4 集中认证系统主要功能28 1.6.5 单点登录29

1.6.5.1 单点登录技术29 1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)

统一身份认证

统一身份认证（后附英文版） （网络信息中心网站还有大量师生所需流程和常用设置，现只以统一身份认证为例。 具体包括内容如下 统一身份认证 电子邮件 无线网 VPN 校园一卡通 学生宿舍网络 个人网络存储 虚拟主机 校园网 校内代理 网络短信平台 微软校园软件正版化 网络会议和视频转播 黑莓连接学校无线网络 如何在Outlook Express 中设置与邮件服务器的安全连接 如何在Foxmail 中设置与邮件服务器的安全连接 如何为outlook 客户端设置安全连接 如何用ping命令检测网络状态 如何查看电脑网卡的物理地址（MAC地址） 如何设置IP地址 窗体顶端） 一、如何修改默认身份 1、使用浏览器访问https://www.360docs.net/doc/bd19048699.html,，如下图。 2、点击右上角的“登录”，使用学校“统一身份认证”账号登录系统。登录后，点击页面右上角“个人设置”，如下图。 3、在“个人设置”上，选择“基本信息”，如下图：

4、然后点击默认身份后的“修改”，如下图： 5、在接下来的弹出窗口中，选择需要的身份。 二、如何修改jAccount密码 1、使用浏览器访问https://www.360docs.net/doc/bd19048699.html,，如下图。 2、点击右上角的“登录”，使用学校“统一身份认证”账号登录系统。登录后，点击页面右上角“个人设置”，如下图。 3、在“个人设置”上，选择“安全设置”，如下图：

4、然后选择“修改密码”，如下图： 5、在接下来的弹出窗口中，更新jAccount密码。 三、jAccount账户/ 申请步骤 教职工： 1、网上下载或直接到网络信息中心填写《校园网jAccount账户申请表》 2、网络信息中心审核申请表，当场开通 学生： 网上自助申请，访问https://www.360docs.net/doc/bd19048699.html, 点击“申请”

统一身份认证(CAS)简单说明与优秀设计

统一身份认证（）简单说明与设计方案（转） 1. 单点登录概述 所谓单点登录（），只当企业用户同时访问多个不同（类型的）应用时，他们只需要提供自身的用户凭证信息（比如用户名/密码）一次，仅仅一次。解决方案（比如，）负责统一认证用户，如果需要，也可以完成用户的授权处理。可以看出，当企业用户在不同的应用间切换时，他们不用再重复地输入自身的用户凭证了。在实施后，所用的认证操作都将交给认证中心。现有的解决方案非常多，比如微软的便是典型的解决方案，各容器都提供了自身的专有能力。 2. 的总体架构 1. 简介 （中央认证服务）是建立在非常开放的协议之上的企业级解决方案。诞生于2001年，在2002年发布了2.0协议，这一新的协议提供了（代理）能力，此时的2.0支持多层能力。到2005年，成为了旗下的重要子项目。由于2.0版本的可扩展能力不是非常完美，而且他的架构设计也不是很卓越，为了使得能够适用于更多场合，打算开发出同时遵循1.0和2.0协议的3版本。 现在的3全面拥抱技术，比如容器和技术、、、等。 通常，3由两部分内容构成：3服务器和客户端。由于2.0协议借助于数据结构与客户进行交互，因此开发者可以使用各种语言编写的3客户与服务器进行通信。3服务器采用纯开发而成，它要求目标运行环境实现了2.4+规范、提供 1.4+支持。如果宿主3服务器的目标容器仅仅实现了2.3-规范，则在对3服务器进行少量的改造后，3也能运行其中。 运行时，3服务器仅仅是一个简单的应用，使用者只需要将直接丢到目标容器后，即完成了3的部署。 2. 词汇概念 ( ) 受权的票据证明 ( ) 密钥发放中心 () 服务票据，由的发放。任何一台都需要拥有一张有效的才能访问域内部的应用() 。如果能正确接收，说明在之间的信任关系已经被正确建立起来，通常为一张数字加密的证书 () 票据授权票据，由的发放。即获取这样一张票据后，以后申请各种其他服务票据() 便不必再向提交身份认证信息( 准确术语是) 。 () 认证用服务，索取，发放 () 票据授权服务，索取，发放 3. 工作原理 的单点登录的认证过程，所用应用服务器受到应用请求后，检查和，如果没有或不对，转到认证服务器登录页面，通过安全认证后得到和，再重新定向到相关应用服务器，在回话生命周期之内如果再定向到别的应用，将出示和进行认证，注意，取得的过程是通过安全协议的。 如果通俗形象地说就是：相当于用户要去游乐场，首先要在门口检查用户的身份( 即用户的和), 如果用户通过验证，游乐场的门卫() 即提供给用户一张门卡()。 这张卡片的用处就是告诉游乐场的各个场所，用户是通过正门进来，而不是后门偷爬进来的，并且也是获取进入场所一把钥匙。 现在用户有张卡，但是这对用户来不重要，因为用户来游乐场不是为了拿这张卡的而是为了游览游乐项目，这时用户摩天楼，并想游玩。 这时摩天轮的服务员() 拦下用户，向用户要求摩天轮的() 票据，用户说用户只有一个门卡(), 那用户只要把放在一旁的票据授权机() 上刷一下。

sso统一身份认证和访问控制解决实施方案

统一身份认证及访问控制 技术方案

1.方案概述 1.1.项目背景 随着信息化的迅猛发展，政府、企业、机构等不断增加基于 Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统， OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度； 2)多个身份认证系统会增加整个系统的管理工作成本； 3)用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨； 4)无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5)无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关"的目标，方便用户使用。

1.2.系统概述 针对上述状况，企业单位希望为用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点： 单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后台的多个应用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 即插即用：通过简单的配置，无须用户修改任何现有B/S、C/S应用系统，即可使用。解决了当前其他SSO解决方案实施困难的难题。 多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式，可单独使用也可组合使用。 基于角色访问控制：根据用户的角色和URL实现访问控制功能。 基于Web界面管理：系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以使用HTTPS安全地进行管理。 全面的日志审计：精确地记录用户的日志，可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果通过Web界面以图表的形式展现给管理员。 双机热备：通过双机热备功能，提高系统的可用性，满足企业级用户的需求。

统一登录系统方案

随着教育信息化的普及，学校建立了或者即将建立多套系统，用来实现对行政管理、教学管理、人员管理等学校内部各方事务的信息化服务。但是，由于各个系统分管的部门不同，应用对象不同，对学校影响的紧迫程度不同，各个系统是分步建立的。各个系统的建立时间不同，系统的厂商也不同，从而导致各个系统之间大都相对独立存在，使用者需记忆不同的登录账号，登录不同系统进行操作。这无疑加大了用户日常使用过程中的不便性，降低了工作效率。而学校的系统管理员在对多套系统的用户管理时，无法进行统一的账号及权限管理，这也增加了系统管理人员的管理负担，造成用户管理的不规范，对于信息安全存在一定的安全隐患。 统一身份认证系统就是解决上述问题行之有效的工具。 统一身份认证系统作为平台的安全认证及授权中心，主要为各应用系统提供集中的身份认证与授权服务。用户通过统一信息门户实现单点登录，提高信息化管理应用系统的安全性。通过指定相应的集中认证技术规范，提供统一的应用系统用户管理接口，最终实现学校（教育局）所有系统用户认证的集中统一管理，大幅简化用户登录过程，显著提高工作效率。同时也减轻系统管理员的用户管理工作，统一用户管理。 系统提供一系列全面的认证、授权控制和管理工具，对数据的访问和使用进行全方位多层次的许可、控制和管理，并保护数据拥有者和使用者的数据安全。对于数据库中的同一数据不同用户根据其拥有的权限集的不同定义对该数据对象的操作能力，包括创建、增加、修改元数据的索引属性，创建、增加、修改数据对象以及对数据注释信息进行操作等功能，从而实现对数据的安全保护，提升学校（教育局）的信息安全水平。

单点登录 统一认证、授权和单点登录系统是和门户系统紧密集成的一套基于策略的访问控制平台，采用开放的架构，支持可插接的用户认证模块，能够支持当前主流安全架构，可供Java、.net、ASP、PHP等开发平台调用实现统一认证。其基于LDAP目录服务器，实现用户的身份认证、应用资源的访问控制、策略管理与服务。提供包括传统的用户密码认证、数字证书认证、CA证书认证、动态短信认证等多种认证手段，实现“一次鉴权（认证和授权）”——单点登录，提供基于Web的多种应用程序，即通过浏览器实现对多个B/S 架构应用的统一账户认证。实现了用户只需认证一次，就可以无须再次登录地访问其做授权可以访问的业务系统。 身份管理 建立基于目录服务的统一身份管理机制，建设全校（局）统一的用户身份库，实现用户信息的集中存储和管理，用户信息规范命名、统一存储，用户ID全校（局）唯一，并提供标准接口，实现不同应用系统的用户身份的同步，支持海量的基于LDAP目录服务器的用户数据存储和管理功能。 认证管理

统一身份认证平台功能描述

统一身份认证平台功能 描述 文件编码（GHTU-UITID-GGBKT-POIU-WUUI-8968）

数字校园系列软件产品 统一身份认证平台 功能白皮书 目录

1产品概述 1.1产品简介 随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登 录系统时需要多次输入用户名/密码，操作繁琐。 各个系统之间的账号不统一，形成信息孤岛现象，导致学校管理工 作重复，增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理，每一个新开发的系 统都需要针对用户和权限进行新开发，既增加了学校开发投入成 本，又增加了日常维护工作量 针对学生、教职工应用的各种系统，不能有效的统一管理用户信 息，导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号，为学校日后的工作带来隐患。 缺乏统一的审计管理，出现问题，难以及时发现问题原因。 缺乏统一的授权管理，出现权限控制不严，造成信息泄露。 统一身份认证平台经过多年的实践和积累，通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计，有效地解决了以上问题，赢得客户的好评。

1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息，所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中，保证数据的保密性和读取效率。通过用户同步功能，及时地把关键业务系统中的用户信息同步到统一认证平台中，然后通过平台再分发给需要的业务系统，保证账号的一致性。 为所有的用户设置权限生效起止日期，即使不对用户做任何操作，在权限生效期外的用户也无法通过认证，保证了系统的安全性。 用户管理

单点登录(SSO)_统一身份认证解决方案

工作时，您需要访问公司的多个业务系统，不同的用户名和密码，频繁的登录和切换，简易密码易遭盗用，复杂密码难以记忆。您是否遭遇过因遗忘密码耽误工作，甚至丢失密码造成泄密……？如果您正巧是IT 系统管理者，维护公司各业务系统中庞大的、不断变化的用户信息，则足以让您精疲力尽。 关系管理系统等。传统方式下，各业务系统分别为员工创建帐号和密码，拥有各自独立的用户信息；相对应的，每位员工则必须记住多个用户名和密码以访问不同的应用。问题随之而来： 1. 用户使用不便。 用户必须设法记住若干个用户名和密码，并在登录每个业务系统时使用，要访问其他系统的资源则必须进行频繁的切换。 2. 管理维护复杂。 It 部门需单独维护每套业务系统的用户身份和存取管理，每一次用户情况发生变化都必须逐一在各个业务系统中修改用户信息，分配角色权限，任务繁重且容易出错。 3. 安全隐患严重。 造成极大的安全隐患。 由于维护工作头绪繁杂，管理员极有可能疏忽了在某业务系统中禁用离职员工的帐号，造成相应的商业信息被非法访问。 按照业务流程，新进员工会在人力资源中注册，注册员工帐户会自动在活动目录（AD ）中创建，并根据授权自动在其他业务系统中生成，用户信息统一从人力资源系统自动同步。 功能和特性 东谷单点登录（SSO ）系统是一套企业级综合身份管理解决方案，帮助企业轻松应对上述难题，主要实现以下功能： 1.统一用户管理（UUMS ） 东谷SSO 系统中的统一用户管

2.组织结构同步 上规模的企业都拥有比较复杂的组织结构。如果组织结构不能自动同步到其他系统，则维护工作将十分繁重。在AD中，员工调动不仅是组织单位（OU）变动的问题，还涉及用户所属的部门安全组成员变动。东谷SSO系统改进了AD的安全维护，充分为IT管理人员着想，实现组织结构自动与AD同步，并且自动调整安全组中的人员。 3.密码同步 东谷SSO系统支持单点/多点密码修改。单点密码修改实现起来比较简单，但一般要求用户改变自己修改密码的习惯。多点密码则基本不改变用户习惯。类似获取活动目录（AD）的密码并同步处理这样的难题，东谷SSO系统能够很好地解决。 4.单点登录 东谷SSO系统实现多种灵活的单点登录方式，根据客户需求定制，可以通过SSO门户登录，也可通过SSO客户端登录等。 其中一项重要特色是东谷SSO系统和企业范围内业务系统完美集成。无需门户，也无需客户端，并且无需改变用户以前访问业务系统的任何习惯。用户在Web浏览器中输入URL进入系统、通过网页链接进入系统，或通过以往的任何可用方式进入系统，都可以实现单点登录。对最终用户而言，改变的只是更简单的操作（省略了密码输入环节）和更顺畅的使用体验。 5.即插即用式单点登录 除了企业范围内业务系统单点登录集成外，最终用户往往有自己的特定需求，不同用户可能在不同内网或外网有不同的登录信息，比如有登录CSDN, 登录hotmail, 163邮箱等。这些信息一般不需要在企业范围统一处理。 东谷SSO系统为这类需求提供即插即用单点登录功能，用户只需要将这些不同系统的登录过程做简单的记录，今后就无需再重复输入登录信息。这种方式扩展了 单点登录的应用范围和适应性。à 小结：东谷单点登录解决方案的突出特性 ① 支持活动目录集成 ② 支持异种环境（包括.NET，J2EE） ③ 实现统一用户管理 ④ 实现密码同步 ⑤ 支持多种方式单点登录（从服务器，客户机，IE浏览器 ） 推荐: 东谷活动目录(AD)部署与开发 活动目录（Active Directory）服务是Windows 平 台的核心组件，它为用户管理网络环境各个组成要素的标 识和关系提供了一种有力的手段。随着基于目录的应用日 益流行，企业可以使用Active Directory构建和管理各种复杂的企业网络环境。 东谷技术团队有着丰富的活动目录部署和开发经验，能够提供大中型活动目录规划设计和部署服务，并深入进行 定制开发。 提供活动目录逻辑和物理设计，规划站点和域，设计组织单位、安全组，将客户计算机加入域中，实施安全策 略，规划安全的文件、打印机访问。 东谷开发活动目录同步管理，可以根据客户需求，实现人力资源系统和活动目录自动同步（增加/修改/删除），包括人员信息，部门、组织结构信息，安全组同步等，确保 用户信息的一致性。 用户以最小权限登录到客户机，不能任意下载、安装、运行未经企业许可的软件，使管理变得更方便，安全性得 到显著增强。 最小权限控制需要处理好一个特例：某些特定软件必须管理员权限才能运行，如设计部门专用的CAD软件等。如何让最小权限的用户能够使用？东谷基于活动目录的最小 权限管理方案，可以圆满解决这个问题。 当客户机需要安装软件时，常见的方式是管理员到每台客户机前进行安装，原因是用户可能不会安装，或者没有 安装权限。 使用东谷活动目录的软件单点推送方案，管理员只需从一台服务器，推送(PUSH)客户机所需要的软件即可。与之相对，同样可以做到单点删除客户软件。即使客户软件正 在使用中，也可强制中止使用，并进行删除。 活动目录规划设计和部署： 活动目录开发： 1. 活动目录同步管理 2. 最小权限控制 3. 软件单点推送部署