统一身份认证系统方案_统一身份认证平台方案

应用系统身份认证方式能辨别用户的真实身份，是实现业务系统向基层网安部门推广的前提条件。建设多样化的身份认证手段，是提升业务系统安全性与灵活性的关键举措。网综平台要求各类业务系统使用统一的用户身份；业务系统能够根据实际应用场景及信息内容的重要性，控制终端的使用环境及资源。建设一套集中、统一、多样化、高效的安全认证服务与控制系统，形成业务系统的统一认证和安全控制技术体系和安全服务体系，“安全中心系统”正是解决应用系统统一认证与集中安全控制的技术平台、服务平台、管理平台。

认证系统流程如下图所示：

 认证系统不改变用户使用习惯，实现用户登录资源时多因强认证功能，支持多种强认证方式组合，提升资源认证安全性，满足规范要求。

资源将认证源指向认证系统，当用户直接访问资源时，输入用户名+静态密码+强认证因子，资源将认证请求转发给认证系统，通过认证后，即可登录资源。

1. 认证管理

认证系统可基于Radius、Tacacs、Ldap、CAS等协议，为资源提供统一身份认证服务，可对用户访问资源时设置认证策略，包括IP策略、时间策略。

支持对用户登录资源进行多因强认证，强认证方式包括：动态口令（硬件/手机）、指纹/人脸识别、短信、数字证书等，支持多种强认证方式组合，系统支持基于国密算法生成口令和对数据进行加密，保证数据安全的同时，满足规范要求。

1. 认证策略

认证系统支持认证策略配置，如时间策略和IP策略，提升资源访问安全性。

时间策略

可指定时间段，或设置时间集合，然后绑定用户和资源，限定在指定时间内允许访问，超出指定时间段则禁止访问。

IP策略

可设置单个IP、IP段或IP集合，再绑定用户和资源，限定仅允许指定的IP地址访问资源，指定之外的IP则禁止访问。

1. 多因强认证

认证系统支持多种强认证方式，并支持多种强认证方式组合，包括：

动态口令：支持硬件令牌和手机令牌方式，通过动态口令校验用户身份，每个动态口令只能使用一次，超时失效；

指纹识别：支持与外部指纹识别系统对接，实现通过校验指纹特征来验证用户身份；

人脸识别：支持与外部人脸识别系统对接，实现通过校验人脸特征来验证用户身份；

短信：支持与短信网关对接，以下发短信验证码的方式来验证用户身份；

数字证书：支持通过校验数字证书来验证用户身份，可支持CA、PKI等。

1. 1. 统一用户管理
2. 用户管理

认证系统支持对用户、账号实现集中统一管理，支持手动创建、离线导入、在线同步等方式创建用户信息，支持自定义密码长度、复杂度；可设置密码周期，定期自动更新密码，满足规范要求；可设置用户多因认证方式，包括认证因子数、认证方式，实现用户强身份认证。

1. 口令策略

认证系统支持用户口令策略和资源口令策略设置，提升用户密码和账号密码安全，并定期自动更新密码，避免弱口令存在。