統一身份認證管理系統
Ⅰ 統一身份認證的統一身份認證(IDS)系統
1、IDS功能概述
統一用戶管理系統(IDS),實現網上應用系統的用戶、角色和組織機構統一化管理,實現各種應用系統間跨域的單點登錄和單點退出和統一的身份認證功能,用戶登錄到一個系統後,再轉入到其他應用系統時不需要再次登錄,簡化了用戶的操作,也保證了同一用戶在不同的應用系統中身份的一致性。
圖: 統一身份認證示意圖
如上圖所示,IDS通過WebService對外發布認證服務,實現了平台的無關性,能與各種主機、各種應用系統對接。另外,IDS還提供了一套標準的介面,保證的IDS與各種應用系統之間對接的易操作性。
IDS的主要功能如下:
1)用戶管理 :實現用戶與組織創建、刪除、維護與同步等功能;
2)用戶認證:通過SOA服務,支持第三方認證系統;
3)單點登錄 :共享多應用系統之間的用戶認證信息,實現在多個應用系統間自由切換;
4)分級管理 :實現管理功能的分散,支持對用戶、組織等管理功能的分級委託;
5)許可權管理: 系統提供了統一的,可以擴展的許可權管理及介面,支持第三方應用系統通過介面獲取用戶許可權。
6)會話管理: 查看、瀏覽與檢索用戶登錄情況,管理員可以在線強制用戶退出當前的應用登錄;
7)支持Windows、Linux、Solaris等操作系統;支持Tomcat、WebLogic、WebSphere等應用伺服器;支持SQL Server等資料庫系統;
2、IDS的結構
統一身份認證通過統一管理不同應用體系身份存貯方式、統一認證的方式,使同一用戶在所有應用系統中的身份一致,應用程序不必關心身份的認證過程。
從結構上來看,統一身份認證系統由統一身份認證管理模塊、統一身份認證伺服器、身份信息存貯伺服器三大部分組成。
其中統一身份認證管理模塊由管理工具和管理服務組成,實現用戶組管理、用戶管理;管理工具實現界面操作,並把操作數據遞交給管理伺服器,管理伺服器在修改存貯伺服器中的內容。
統一身份認證伺服器向應用程序提供統一的Webservice認證服務。它接收應用程序傳遞過來的用戶名和密碼,驗證通過後把用戶的認證令牌返回給應用程序。
身份存儲伺服器存儲身份、許可權數據。其中身份存儲伺服器可以選擇關系型資料庫、LDAP目錄、AD等。另外可以將CA發放的數字證書存儲在身份存儲伺服器。
如下圖所示:
3、IDS的特點
1)方便實用
實現單點登錄(SSO)。用戶一次登錄後,就可以依靠認證令牌在不同系統之間切換。
IDS所有的管理功能都是基於頁面實現的,管理員只要通過瀏覽器即可完成管理工作。
提出了分級管理員的概念,使管理大量用戶變成了可能。
2)跨平台
IDS的實現基於SOA架構
介面採用SOAP XML標准,可跨平台與多種類型的應用系統對接
3)支持多種身份存在方式
支持通用關系型資料庫
LDAP目錄
Microsoft Active Directory(AD)
4)安全可靠
系統能夠集成成熟的認證體系:CA,可以保證交易和企業內部活動中的身份不可抵賴,用戶簽名無法偽造。
系統在數據傳輸過程中,支持HTTPS方式的數據加密傳輸,阻止數據被監聽、分析。
系統能夠定義管理多種許可權級別策略。
Ⅱ 統一身份認證如何在小企業門戶網站中實現
中國互聯網十多年發展,門戶網站也走過了幾個階段。門戶網站發展的初期,各門戶網站不約而同地在內容上和功能上發力,爭相提供新聞、BBS、電子郵件、搜索等基礎性服務。各增值業務系統用戶的急劇增加和分散管理使得門戶網站的管理和維護成本不斷增加,每日大量用戶的登錄和網路活動,其口令等敏感信息的安全性傳輸和存儲問題也日益突出,這些問題直接影響著網站整體運營質量和安全性。
以上問題在當今競爭激烈的門戶網站運營市場是一個非常普遍性的問題。誰先解決這些問題,誰就先贏得商機。對於快速發展的門戶網站,建立一套高效、穩定的統一身份認證系統刻不容緩。北京時代億信科技有限公司基於多年安全認證系統的研發和驗證,為門戶網站提供安全易用的統一身份認證方案,以下以湖北某ASP的門戶網站建設為例加以說明。
需求描述
該門戶網站是一個集新聞、電子郵件、簡訊以及各種網路增值業務和無線資訊為一體的綜合平台。同時,視頻點播(VOD)、小靈通充值等多個電信增值業務系統也正規劃引入平台內。目前,該門戶網站總用戶數在100萬左右,但是沒有統一的用戶管理,各個業務系統相互獨立。用戶每次在訪問各業務系統時都需要以用戶名/口令的方式進行登錄認證。用戶需要記憶多個帳戶和口令,在使用時需要多次輸入,給用戶帶來了很大不便。同時,用戶的登錄認證採用明文方式傳輸,容易造成口令等敏感信息的泄露、竊取,給業務系統帶來安全威脅。
綜合多方考慮,該門戶網站決定在對現有的網路結構不做大的改動的前提下,增加一定的設備和系統,構建統一身份認證平台,為異構業務系統提供統一的身份認證和綜合的安全服務,以實現系統資源的整合、用戶的統一管理和認證、多業務系統的單點登錄,提升門戶網站的管理和運營水平。
解決方案
時代億信根據該門戶網站的具體情況及SSO技術,提供了集身份認證、單點登錄、集中管理和安全通道為一體的解決方案。統一身份認證平台由管理系統、認證伺服器、認證資料庫以及業務系統的認證前置程序組成。實施統一認證後系統的網路結構如下圖所示:
在現有的系統結構中需要增加資料庫伺服器和認證伺服器兩部分,同時在各業務系統上需要部署認證接入前置程序。
綜合該門戶網站的現狀考慮,建議統一身份認證系統的WEB/應用伺服器通過兩台以上主機做Cluster進行負載均衡,認證伺服器和資料庫伺服器分別用兩台主機進行主從熱備。
具體應用
時代億信為該門戶網站構建統一的管理平台,增加了以下內容:
1> 門戶通行證和注冊入口:首先用戶通過在平台上注冊信息,成為平台用戶。通過門戶通行證登錄門戶系統,經平台認證的用戶可以根據自己許可權訪問各個具體的業務系統,而且用戶在通過平台認證後,只要IE瀏覽沒有關閉,用戶可在各業務系統間隨意切換,不需要再次的輸入用戶登錄信息,給網站用戶帶來了極大的方便。認證原理如下圖所示:
2> 門戶中增加平台管理系統:平台管理系統基於WEB方式來完成,主要包括:用戶管理、業務系統及其配置管理、訪問控制管理、監控與日誌。
3> 門戶系統增加用戶與業務系統帳戶的Mapping頁面:用戶在使用門戶通行證登錄門戶後,第一次訪問業務系統時,需要完成與業務系統帳戶的映射(mapping),該頁面根據認證平台中業務系統的配置自動生成。
4> 門戶首頁中各業務系統的鏈接地址更改為虛擬地址:實施統一認證後,門戶首頁中的各業務系統鏈接地址均改為虛擬地址,用戶點擊該地址時,平台首先檢查用戶是否已登錄門戶通行證,如果沒有則跳轉到門戶通行證的登錄頁面,登錄後在再通過認證伺服器和業務系統認證前置程序之間的SSL加密通道自動認證,直接進入要訪問的業務系統。
改造後的門戶網站系統,實現了一下功能:
資源整合:認證平台以資源整合為中心,通過平台的管理系統和資料庫,統一用戶資源和各增值業務系統,實現用戶的統一管理和訪問控制,實現各系統資源的統籌管理。
身份認證和單點登錄:認證平台通過統一的用戶帳戶對用戶身份進行認證,在通過平台認證後,用戶可直接訪問各個業務系統,實現用戶身份認證信息的共享,從而達到多業務系統的單點登錄。
安全通道:認證平台提供兩種安全通道:一種是單向SSL加密,一種是雙向SSL加密安全通道,充分保證登錄認證過程和業務系統訪問過程的安全性。
方案特點
對現有的網路架構改動較小,不影響現有的業務運行;
實現了對多個業務系統的用戶統一身份認證、單點登錄和訪問控制;
實現了認證過程中用戶帳戶信息的安全傳輸;
系統的部署實施簡便,且有強大的管理功能;
系統易於擴展,增加新的業務系統不影響其他業務系統的正常運行。
用戶操作使用方便,形式上易於接受。
Ⅲ 求一篇關於校園卡設計的畢業論文
相關範文:
探討新形勢下高校財務管理信息化的規劃設計要素
摘 要:以適應校園數字化建設的客觀需要,構建具有綜合功能的財務管理信息系統為目標,應用系統分析和相關分析方法,分析了當前及今後一個時期內高校財務信息管理在數字化校園環境支撐下出現的新的應用特點和功能擴展需求,探討了新形勢下高校財務管理信息化的規劃設計要素。
關鍵詞:數字化校園;財務管理;管理信息系統;規劃分析
財務管理是高等學校正常運行和事業發展的重要內容,也是與校園生活密不可分的基本環節。在校園數字化的進程中,無論是有關師生員工個人的財務信息,還是有關項目經費管理等對公財務信息,都是數字校園的重要資源。校園數字化建設中,應當充分重視財務管理的信息資源作用,通過系統設計將其納人數字化校園建設的總體規劃之中。
一、校園卡系統的一般功能概述
校園數字化通常以校園「一卡通」系統建設作為切入點。校園卡系統作為數字校園的基礎環境和支撐平台,其構架完全服從於數字校園建設的整體規劃,成為數字校園中有機的、重要的組成部分。校園卡系統既是數字校園的數據信息存儲、管理和處理中心,也是整個數字校園的核心引擎。在該平台下,各相關應用系統以構件方式存在並運行其上,相關數據和信息按照數字校園規定的數據交換與共享規范在校園網路上滿足各子系統的數據交換、數據同步與數據共享需要。
在當前的技術條件下,校園卡系統通常由一張校園卡和一張相對應的銀行卡作為使用媒介來實現系統功能。校園卡具有校內身份認證和電子消費兩類基本功能。
(1)多證合一、以卡代證:將學生證、教師工作證、醫療證、借書證、出入證等數字化為校園卡身份信息,一卡實現校內各種需要的身份認證功能。
(2)身份認證公共信息管理:通過校園卡中心資料庫,實現學生、教職工的身份檔案的數字化和網路化,確保校園網路信息傳遞的真實性、安全性、可靠性和完整性。
(3)基於統一身份認證的應用服務:透過校園卡的統一身份認證管理,進一步為使用者提供相應的目錄服務,即基於校園數字資源統一組織和應用集成所形成的各種校園網路化應用服務,包括信息分級發布、辦公自動化數據交換、校園管理信息系統數據共享等。
(4)以卡代票、以卡代幣、刷卡消費:取代以往校內使用的各種票據,如飯票、水票、洗澡票、上機票等,以校園卡的「電子錢包」功能滿足師生員工的校內消費和費用繳納需要。
(5)校內消費資金統一歸集:通過分布於校園內各消費點的POS終端,在實現校內消費刷卡支付的同時,實現了校內資金流動的統一歸集,在技術手段上滿足了學校對下屬經營服務單位的財務監管需要。
與校園卡身份信息直接綁定的銀行卡,除了具有一般銀行卡相同的金融服務功能以外,增加了個人銀行賬戶與校園卡「電子錢包」賬戶之間的自助圈存轉賬服務功能,滿足校園卡持卡人校內消費資金自行劃轉的需要。
二、數字校園環境下財務管理信息化的應用特點
1.財務管理信息是數字校園目錄服務重要的公共數據資源。高等學校的財務管理信息,不僅是財務管理部門業務處理的自然結果,更是學校教育事業開展和日常運行中有關經濟活動的信息記錄,其中包含的對公以及對師生員工個人的校內信息資源都極其豐富,是校園數字化不可或缺的重要公共數據資源;數字校園環境中許多的應用目錄服務和相關的辦公自動化系統都離不開財務管理信息的數據資源支撐。
2.校園數字化為財務管理信息化提供了更加完備的數據管理手段。校園卡系統具備了校園數據信息存儲、管理和處理中心的功能,能夠實現基於網路的個人身份認證,以及校內部門關聯信息的數據交換、數據同步與數據共享;所提供的管理信息更加豐富和完善。合理有效地利用校園卡信息來完善財務管理業務,應是財務管理信息化升級改造優先考慮的因素。
3.財務管理信息目錄服務以標准化和關聯信息完備的會計核算管理信息為基礎。在數字化校園環境下,財務管理方面的信息服務體現在財務信息分級發布目錄服務和構建基於中心資料庫的集成應用型財務管理信息系統兩方面。能否有效地實現這些信息服務功能,作為基本信息源的會計核算管理信息的有效性、完備性和可關聯性便是至關成敗的決定性因素。在這種新的管理需求下,會計核算管理信息系統應當以構建集成應用型財務綜合管理信息系統為目標,科學、合理地規劃賬目管理的科目信息和項目信息,使得每一筆賬目記錄附帶必要和有效的管理信息。
4.財務管理信息目錄服務是基於中心資料庫的集成應用型管理信息系統。與會計核算管理信息系統自成一體的封閉特徵不同,基於數字化校園環境的財務綜合管理信息系統需要通過與不同管理部門之間的數據共享與數據交換(數據同步)來實現目錄服務,其邏輯關系如圖1所示。在這種方式下,需要通過Web服務方式將財務綜合管理所需的各方共享數據引入財務管理信息系統;同時也需要將相關的財務數據反饋給中心資料庫,並保持相關數據的同步。
5.集成許可權管理與身份認證平台是財務管理信息目錄服務的安全門戶。除了需要基於校園卡的統一身份認證管理以外,財務管理信息目錄服務需要強化用戶訪問的許可權管理。能夠與校園卡系統平台和財務管理信息系統進行集成,實現身份認證和許可權管理雙重功能的集成身份認證環境,包括統一許可權管理、身份驗證、單點登錄、密碼管理、LDAP外部認證等,應是財務管理信息目錄服務的安全門戶。
6.銀校緊密合作方能形成與管理信息化服務相適應的現金流動管理模式。通過校園卡與個人銀行卡的綁定對應關系,可以方便地將師生員工的收人類現金發放自動存人個人銀行卡;涉及財務報銷的現金支付,可以實現現金的自動人卡。通過校園卡系統的「電子錢包」自助圈存功能,將個人銀行卡中的金額自主「圈人」校園卡,滿足持卡人的校內消費需要。對於學生費用的收繳,按照同樣的做法,還可通過網上銀行自主繳費的方式予以實現。在與銀行緊密合作實現這些功能的基礎上,學校財務管理將大幅度減少現金的流動和不必要的中間環節,建立起與信息化社會相適應的現金管理模式。
三、數字校園環境下財務管理信息系統的基本架構
在校園卡系統信息技術平台的支撐下,學校財務管理的功能和內涵將產生較大的擴展,除了會計核算管理系統需要隨著校園信息化的要求不斷完善外,更需要順應校園數字化的要求,按照數字校園建設總體規劃和信息標准化的要求規劃財務綜合管理功能,布局財務綜合管理信息系統與中心資料庫及相關管理信息系統的數據共享與數據交換內容,構建可實施跨部門、具有綜合管理功能的財務管理信息系統。其基本架構如圖2所示。
四、基於校園卡平台的財務管理信息系統功能規劃
在系統構架下,學校財務管理信息系統的外延大為擴展,形成了融合會計核算管理賬務信息和校園卡系統有用信息,通過數據交換與信息共享來共同支撐的網路化管理信息系統。通過融合和利用來自多方面的管理信息,財務管理信息系統也由原來因具體業務而設的單一功能管理程序變成了在統一信息平台上、以功能模塊形式構成的一體化管理信息系統。
1.基本賬務管理方面。在按會計核算規范進一步完善科目管理信息的基礎上,會計核算管理系統需要參照校園數字化標准之規定,科學合理地設置收支賬目的項目信息,使得任何一筆賬目記錄既對應相應的科目,又附帶相關的管理信息。智能憑證系統作為財務管理其
他功能模塊與會計核算管理系統項目關聯的橋梁,將報賬業務之外的其他賬目自動納入核算管理賬務系統。自由報表系統用以靈活定製和輸出各種需要的管理報表。
2.發放類財務管理方面。在校園卡數據平台的信息支持下,財務管理中涉及教師的工資、津貼、酬金發放,以及學生獎、助學金及各種補助發放,學生費用收取等業務,將改變以往依靠手工傳遞數據信息的落後方式,通過校園卡系統的數據交換、數據同步手段把相關數據直接導入管理子系統;通過與校園卡綁定的銀行卡信息將應發金額直接進入個人賬戶,准確、安全地實現對個人的現金發放業務;通過智能憑證系統將發放結果導入財務核算賬務系統,如此形成一個完整、准確、快捷的現金發放管理數據鏈。
3.財務信息發布方面。將校園卡系統的身份認證功能與會計核算管理系統的項目管理功能有機結合,形成基於校園網路統一身份認證和集成許可權管理的賬務信息查詢與統計功能,構成財務信息分級發布平台。通過對校園卡持卡人不同角色訪問許可權的控制,身份信息直接關聯到與角色相對應的財務管理項目信息,持卡人即可實時、方便地從校園網上查詢或統計其所管理項目的賬務信息或個人財務信息;通過自由定義統計表報,可對項目執行情況實時分析,滿足不同層次的管理需要。
4.綜合性財務管理方面。當前技術條件下,實現跨部門管理的綜合性財務業務主要包括聯網授權與網路報賬、現金報銷的自動劃轉、學生網上自主繳費、校內消費網點結算與分賬、專項投資執行的一體化綜合管理等。
聯網授權與網路報賬業務是在將項目經費管理與個人校園卡關聯,以校園卡代替(多張)經費卡的應用背景下,經費負責人委託經辦人代辦報銷、借款或轉賬支付業務時,通過對經辦人校園卡進行聯網授權,明確授權辦理的業務類型、經費額度、有效期限等,形成數字簽署來代替傳統的簽字機制,以避免會計業務中因辦理人授權不詳而產生不必要的糾紛。通過校園網主頁、學生收費數據系統與合作銀行網上支付平台的跨接,可以便捷地實現基於Inter網的網上自主、異地繳費,為學生自主繳納在校費用提供更為有效的實現平台。
對於由校園卡系統產生的校內消費資金,財務部門僅需由校園卡系統本身提供的分賬對賬系統進行歸集資金的分配與結算管理。為了解決專項建設項目管理過程中計劃、執行過程與執行結果因多部門分塊管理造成的數據不統一問題,並滿足管理層對於執行情況的實時統計和分析,引入基於校園網路的專項建設項目綜合管理信息系統,可有效實施對專項建設項目執行過程的全面管理,在統一的數據平台上完成計劃管理、采購執行、驗收入庫、資金使用、財務數據銜接、項目結轉、實時查詢統計等功能。
參考文獻
1 王永才,段斌,凌琳,胡洪波; 銀行校園卡網上簽單設計 [J];電腦與信息技術; 2000年03期; 40-42
2 韓峰; 智能卡在數字時代中的廣泛應用 [J];中國信用卡; 2000年06期; 78-80
3 閻志成,王柏; 智能卡技術及其應用 [J];電信技術; 1998年11期; 10-12
4 孔靜萍,郝毅; 儲值卡型電子貨幣概述 [J];現代計算機; 2001年01期; 57-59
5 趙春鴻,張雷; 智能卡與安全 [J];信息安全與通信保密; 2002年05期; 60-65
6 Patrick Gueulle ,冰; PIC16C84的微小智能卡操作系統 [J];電子產品世界; 1997年05期; 23-24
7 劉惠英; 循序漸進智能卡 [J];中國信用卡; 2000年09期; 68-70
8 智能卡之安全措施 [J];中國信用卡; 1998年12期; 45-46
9 Udo Flohr ,劉毅; 智能卡入侵 [J];中文信息; 1998年Z1期; 70
10 張帆,張申生,唐業,戴偉; 基於智能卡安全登錄系統的設計 [J];信息安全與通信保密; 2004年03期; 39-42
僅供參考,請自借鑒
希望對您有幫助