希尔统一身份认证平台

身份认证/访问控制

应用背景 
   · 校内外的信息发布如果不能得到统一控制，就存在信息泄密的危险，为了做好信息发布的安全工作，需要有一个统一认证和授权的管理机制和一套信息化工具。
   · 除信息发布外，在学校内部信息化资源的访问和应用工作上也应该基于不同的角色加强权限管理，防止不必要的问题发生。
   · 考虑到学校目前存在用户名/密码、校园卡/密码和数字证书等多种认证方式，学校在引进系统加强认证和授权管理的同时，还要充分考虑到其综合功能。
　　希尔数字校园统一身份认证平台可有效管理校务系统所涉及的所有组织机构信息、用户信息、系统角色以及系统资源，对校务系统进行基于角色的资源权限控制。为应用安全在统一身份认证、授权、单点登录和数据传输/存储加密等方面提供保障。
系统简介 
　　希尔数字校园统一身份认证平台，作为网络应用的授权和访问控制中心，实施由用户到应用的安全管理。它通过提供全校统一的用户管理平台和授权、认证体系，实现各应用系统的“集中认证”，规范用户操作行为，强化用户合理使用网络资源的意识。系统采用单点登录技术，用户通过一次认证后，即可获得相应权限，并使用数字化校园中所有应用服务系统提供的服务。  
 

希尔统一身份认证平台功能结构图 

认证的工作流程 
系统特点 
   ·从学校全局的观点，管理学校的所有用户、角色，以及所有的数据资源。 
   ·支持多种认证方式：支持三个级别：用户/密码、校园卡/密码和数字证书。 
   ·系统采用灵活的基于角色的权限管理模型。
     系统的角色与应用系统的权限关联，必要时也可以同用户组织机构的职位一致，方便了系统管理工作。 
     根据业务需要，用户可以定制新的角色，并进行授权  
     基于角色组织大量用户的权限规范，可以极大地减轻管理的负担 
     集中的权限控制的授权管理面向全局的用户和数据资源，覆盖了各种应用 
   ·灵活定义角色之间的继承、相容和互斥关系，授权简单、便捷。 
     并可以通过定义角色之间继承、相容、相斥等关系有效控制资源的继承性或阻止资源权限继承性，可以满足各种复杂的需求。 
   ·在访问控制策略上，用户可以定制不同粗细粒度的安全规则。 
     作用域限定策略：根据具体业务的需求，管理员可以限定账号/角色对访问内容的作用范围。 
     时间限定策略：管理员可以指定特定的账号/角色只允许在特定的时间才能对系统进行访问。 
     访问源限定策略：管理员可以设定地定的账号/角色只允许从特定的网段/IP对系统进行访问。 
     内容访问限定策略：根据特定业务的需要，管理员可以控制到对数据行级/列级的权限。 
     信息级别（业务实体）和角色可能需要绑定。 
   ·单点登录 
     最终用户访问不同子系统，只需要登录（认证）一次，就可以访问许可范围内的所有数字化校园应用子系统。从实现技术上讲有基于cookie、rewrite技术和采用portal等几种方法，根据用户的沈阳APP软件

情况可以选用其中的任何一种。 
   ·数据传输/存储的加密 
     为了保证敏感信息的安全性，我们分别对学生成绩、用户登录密码等信息在传输过程和存储都相应地进行了不同程度的加密处理。 
   ·数字签名 
     针对办公系统中的审批等功能需要数字签名。系统提供了数字签名和签名认证等功能来保证网上办公的可靠性和安全性。