中国石油身份管理与认证项目Key用户安装使用手册资料

中国石油身份管理与认证项目USBKey数字证书用户

操作手册

中国石油身份管理与认证项目组

2010年9月

中国石油集团信息系统用户身份管理与认证项目通过为中国石

油信息系统用户提供统一的单点登录平台，可以方便的让USBKey数字证书用户只需要插入USBKey数字证书，并输入该USBKey的PIN码，就可以通过身份管理与认证平台（IAM系统）单点登录到已经集成的其有权限访问的所有应用系统。在提高了访问方式的安全性的同时，也避免了用户记录多套应用系统用户名和密码。

注意：身份管理与认证平台目前只支持在windows操作系统上使用，推荐用户使用IE浏览器,目前暂不支持Firefox浏览器。

下面将向您详细介绍的USBKey数字证书初始化安装和IAM系统初始化配置方法。

一、用户工具安装

用户工具即中国石油USBKey的驱动程序，用户必须在安装好用户工具后方能正常使用USBKey。

您可以使用USBKey包装盒中的驱动光盘直接进行安装，也可以从中国石油集中身份管理与统一认证（IAM系统）服务平台的首页下载该驱动程序进行安装。（以下将以光盘安装的方式为大家演示）首先，将发给您的USBKey驱动光盘插入到个人电脑，双击：UserSetup.exe文件，如下图所示。

此时请点击“安装(N)>”按钮，程序将会正式开始安装。（注意：为保证安装过程不受干扰，请您在安装驱动时不要把USB Key连接在

电脑上）

安装过程结束后，程序会提示您点击“完成”按钮，如下图所示。

注意：

在安装完成后，如果您的个人计算机安装了360防火墙软件，会弹出以下窗口，请您选择保留图标，不处理选项即可，如下图所示。

二、安装IAM系统插件

在安装完成USBKey数字证书驱动后，会自动运行IAM系统插件的

安装程序，请点击：下一步，如下图所示；

选择默认安装，点击：完成，如下图所示；

在安装完成IAM系统插件后，会提示您是否需要安装桌面快捷图标，请点击：是，如下图所示。

注意：

如果您的个人电脑安装了360了防火墙，会提示您是否接受快捷方式的更改，请选择接受本次更改即可。

三、设置PIN口令

安装完成用USBKey驱动和IAM系统插件后，请您将您的USBKey 插入电脑，此时屏幕上将会自动弹出设置密码的对话框，如下图所示：

请您在这个对话框中为您的USBKey设备设定一个PIN码并牢记。

（注：密码长度限制为6-12位,且必须同时包含数字和字母，字母区分大小写）

四、同步集成应用系统密码

请保持您的USBKey设备插在计算机上，双击桌面生成的图标，如下图所示：

在弹出的PIN码框中输入您刚才为USBKey设定的PIN码，如下图所示：

进入身份管理与统一认证平台后，点击：自助服务，如下图所示：

输入您的中国石油电子邮箱密码或者常用的密码；点击：确定，如下图所示：

点击，返回应用系统，请稍微等候几秒钟，点击：电子邮件系统；

您就可以正常使用身份管理与统一认证平台正常单点登录电子

邮件系统及其他已经集成的应用系统了。

附件：USBKey管理工具使用说明

当用户工具安装完成后，插入USBKey并打开USBKey管理工具，即可看到USBKey的ATR信息、CSP名称、工具版本及剩余容量等信息，如下图所示。

在用户工具上部，显示了“常用”、“软件设置”、“一键恢复”、“帮助”四个菜单项，默认显示为“常用”菜单中的设备管理页面。

下面将向您介绍各个菜单项中的各种功能。

1.常用

设备管理--修改卷标

在“设备管理”功能项中，您可以点击“修改卷标”按钮，修改您的USBKey的卷标。卷标即是您的个人USBKey的名称，您可以自由的输入一个您喜欢的任意名字，如“smile”等。

证书管理--查看

在“证书管理”功能项中，点击“查看”的按钮，可以查看您的数字证书的颁发者、有效期限等更加详细的证书信息。

证书管理--安装

在“证书管理”功能项中，点击“安装”的按钮，可将USBKey 中的证书存入IE的缓存区中，方便应用程序调用。

需要注意的是，此项功能通常并不需要您的主动使用，因为插入USBKey后系统会自动执行该动作。若您发现您的USBKey突然无法正常使用，可以通过该功能排错。

证书管理—卸载

在“证书管理”功能项中，点击“卸载”的按钮，可将IE的缓

存区中的证书文件清除。同样地，该功能并不需要您的主动使用。PIN管理—校验PIN

在“PIN管理”功能项中，选择“校验PIN”选项卡，输入USBKey 的用户口令并点击“确认”，可验证口令是否正确。该功能的作用在于，可以让您在不登录中国石油集中身份管理与统一认证服务平台的情况下，验证您是否记忆了正确的口令。

PIN管理—修改PIN

在“PIN管理”功能项中，选择“修改PIN”选项卡，输入正确的当前用户口令，并正确输入两次您想要的新口令，点击“确认”即可完成修改。

2.软件设置

运行设置

在空白地址栏中填入某个网站地址（如https://www.wendangku.net/doc/5f14062003.html,pc），点击“应用”。完成该操作后，您以后将USBKey插入电脑时，系统将会自动访问您输入的网址。

若您勾选“拔除KEY后自动关闭该网页”，并点击“应用”，在拔KEY后已打开的特定网站将会被自动关闭。

语言选项

可根据用户的语言习惯，选择本管理工具语言为中文或英文，点击“应用”后重启管理工具即可应用成功。

3.一键恢复

一键检测

点击“一键检测”按钮，管理工具可自动检查用户电脑的系统环境，并实时诊断影响USBKey使用的各种设置参数，并将结果显示出来供用户查看。

一键修复

点击“一键修复”按钮，可以自动将影响USBKey使用的各个设置参数修复为正常状态。建议用户在无法正常使用USBKey时，先自行使用本功能，若本功能无法解决问题，再咨询相关人员。

4.帮助

查看更加详细的帮助文档和相关信息。

统一身份认证权限管理系统

统一身份认证权限管理系统 使用说明

目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户（账户）管理 (11) 3.1 申请用户（账户） (12) 3.2 用户（账户）审核 (14) 3.3 用户（账户）管理 (16) 3.4 分布式管理 (18) 第4章组织机构（部门）管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色（用户组）管理 (30) 第6章职员（员工）管理 (34) 6.1 职员（员工）管理 (34) 6.2 职员（员工）的排序顺序 (34) 6.3 职员（员工）与用户（账户）的关系 (35) 6.4 职员（员工）导出数据 (36) 6.5 职员（员工）离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典（选项）管理 (1) 9.1 数据字典（选项）管理 (1) 9.2 数据字典（选项）明细管理 (3) 第10章系统日志管理 (4) 10.1 用户（账户）访问情况 (5) 10.2 按用户（账户）查询 (5) 10.3 按模块（菜单）查询 (6) 10.4 按日期查询 (7) 第11章模块（菜单）管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号（流水号）管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)

统一身份认证平台功能描述

统一身份认证平台功 能描述 Revised on November 25, 2020

数字校园系列软件产品 统一身份认证平台 功能白皮书

目录

1产品概述 1.1产品简介 随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题： ?用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登录系统时需要多次输入用户名/密码，操作繁琐。 ?各个系统之间的账号不统一，形成信息孤岛现象，导致学校管理工作重复，增加学校管理工作成本。 ?新开发的系统不可避免的需要用户和权限管理，每一个新开发的系统都需要针对用户和权限进行新开发，既增加了学校开发投入成本，又增加 了日常维护工作量 ?针对学生、教职工应用的各种系统，不能有效的统一管理用户信息，导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账 号，为学校日后的工作带来隐患。 ?缺乏统一的审计管理，出现问题，难以及时发现问题原因。 ?缺乏统一的授权管理，出现权限控制不严，造成信息泄露。 统一身份认证平台经过多年的实践和积累，通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计，有效地解决了以上问题，赢得客户的好评。 1.2应用范围

2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息，所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中，保证数据的保密性和读取效率。通过用户同步功能，及时地把关键业务系统中的用户信息同步到统一认证平台中，然后通过平台再分发给需要的业务系统，保证账号的一致性。

信息系统用户身份认证与权限管理办法

乌拉特中旗人民医院 信息系统用户身份认证与权限管理办法 建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问，所有未被授权的人无法访问到这些数据。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。权限控制是信息系统设计中的重要环节,是系统安全运行的有力保证。身份认证与权限控制两者之间在实际应用中既有联系，又有具体的区别。为规范我院身份认证和权限控制特制定本措施： 一、身份认证 1、授权：医生、护理人员、其他信息系统人员账号的新增、变更、停止，需由本人填写《信息系统授权表》，医务科或护理部等部门审批并注明权限范围后，交由信息科工作人员进行账户新建与授权操作。信息科将《信息系统授权表》归档、保存。 2、身份认证：我院身份认证采用用户名、密码形式。用户设置密码要求大小写字母混写并不定期更换密码，防止密码丢失于盗用。 二、权限控制 1、信息系统权限控制：医生、护理人员、其他人员信息系统权限，由本人填写《信息系统授权表》，医务科或护理部等部门审批并注明使用权限及其范围之后，交由信息科进行权限审核，审核通过后方可进行授权操作。 2、数据库权限控制：数据库操作为数据权限及信息安全的重中之重，

因此数据库的使用要严格控制在十分小的范围之内，信息科要严格保密数据库密码，并控制数据库权限，不允许对数据库任何数据进行添加、修改、删除操作。信息科职员查询数据库操作时需经信息科主任同意后，方可进行查询操作。 三、医疗数据安全 1、病人数据使用控制。在进行了身份认证与权限管理之后，我院可接触到病人信息、数据的范围被严格控制到了医生和护士，通过权限管理医生和护士只可对病人数据进行相应的计费等操作，保障了患者信息及数据的安全。 2、病人隐私保护。为病人保守医疗秘密，实行保护性医疗，不泄露病人的隐私。医务人员既是病人隐私权的义务实施者，同时也是病人隐私的保护者。严格执行《执业医师法》第22条规定：医师在执业活动中要关心、爱护、尊重患者，保护患者隐私；《护士管理办法》第24条规定：护士在执业中得悉就医者的隐私，不得泄露。 3、各信息系统使用人员要注意保密自己的用户口令及密码，不得泄露个他人。长时间离开计算机应及时关闭信息系统软件，防止泄密。 乌拉特中旗人民医院信息科

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能： 为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务 单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。 同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： (1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点 登录服务；

统一身份认证平台讲解-共38页知识分享

统一身份认证平台讲解-共38页

统一身份认证平台设计方案 1）系统总体设计 为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。

提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下：

网络统一身份认证计费管理系统建设方案综合

XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一．计费系统设计规划 (2) 二．方案建设目标 (2) 三．总体方案 (3) 1.方案设计 (3) A.方案（串连网关方式） (3) B.方案（旁路方式+BRAS，BRAS产品） (4) 四．认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五．认证计费管理系统功能介绍 (9) 六．用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)

7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一．计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户，同时在线用户规模为5000人，具有多个出口线路；网络特点呈现高带宽，高用户，多种接入方式使用人群，并且在未来还会以多种网络架构存在（有线，无线）。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量，同时也必须能满足复杂的接入模式，多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下，设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求，同时还需要满足无线和有线认证的融合统一认证管理模式；目前学校已经使用一卡通系统，安全认证计费管理系统必须和一卡通系统实现对接，能支持未来的数字化校园，能够融合到统一身份认证平台。 有线网和无线网是实现账户统一，避免一个用户需要多账户登录有线网和无线网的情况，并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接，实现用户账号的同步关联。 二．方案建设目标 针对目前学校对于用户认证计费系统的需求，通过安全认证网络管理计费系统，搭建一套包括用户接入、认证、计费及用户管理的综合平台，为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解

身份证管理系统

课
题
程
目
设
计
报
告
身份证管理系统
学
号
0908***
姓
名
***
年级专业
09 电子信息工程
无 同组人员
无 学 号
指导老师
***
完成日期
2010
年 6
月
24
日
安徽师范大学物理与电子信息学院 College of Physics and Electronic Information, Anhui Normal Universi
1

一、实践的目的和要求
加深对《C 语言》课程所学知识的理解，进一步巩固 C 语言语法规则。学会编制结构清 晰、风格良好、数据结构适当的Ｃ语言程序，从而具备解决综合性实际问题的能力。
二、实践内容
在熟练掌握 C 语言的基本知识：数据类型（整形、实型、字符型、指针、数组、结 构等） ；运算类型（算术运算、逻辑运算、自增自减运算、赋值运算等） ；程序结构（顺 序结构、判断选择结构、循环结构） ；大程序的功能分解方法（即函数的使用）等。进一 步掌握各种函数的应用，包括时间函数、绘图函数，以及文件的读写操作等。
三.问题描述：
用 C 语言编写程序，实现添加，删除，查找等相关功能。
四.基本要求：
（1）具备添加、删除功能； （2）具备多种查询功能：按年龄、出生日期等； （3）具备统计功能，能统计某年龄段的人数； （4）在此基础上，可进行文件操作。
五．分析：
系统需求 一、 当前身份证信息:通过结构体 Person ID 来保存人的姓名，生日，民族，性别，地址， 身份证号等等相关信息，并且通过 input 函数来进行给当前身份初始信息输入. 二、 身份信息查询: 输入一个人名字, 在文件中查找此人, 若找到则输出此人的全部信息; 若找不到则输出查找失败的信息。 三、新信息插入 ：通过 insert 实现添加功能，然后还可以按生日日期从小到大排序。 四、输出全部学生信息和全部学生成绩。 五、退出系统. 六、附加说明：系统将来完善的功能有：可以通过年龄来模糊查询，也可以通过姓名的 姓来先进行模糊查询，以便后面精确查找。 实际上未完成文件操作和根据年龄查询这两项功能， 所以这个程序的功能也相应大打 折扣，也是需要进一步改进的地方，尤其是文件操作，即对文件继续存储和读取.........
2

统一身份认证平台讲解

统一身份认证平台设计方案 1）系统总体设计 为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护

管理功能。 用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下： a)集中用户管理系统：完成各系统的用户信息整合，实现用户生 命周期的集中统一管理，并建立与各应用系统的同步机制，简 化用户及其账号的管理复杂度，降低系统管理的安全风险。

身份认证与访问控制技术

第5章身份认证与访问控制技术 教学目标 ●理解身份认证的概念及常用认证方式方法 ●了解数字签名的概念、功能、原理和过程 ●掌握访问控制的概念、原理、类型、机制和策略 ●理解安全审计的概念、类型、跟踪与实施 ●了解访问列表与Telnet访问控制实验 5.1 身份认证技术概述 5.1.1 身份认证的概念 身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。 1. 身份认证的概念 认证（Authentication）是指对主客体身份进行确认的过程。 身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时，系统对用户身份的鉴别过程。 2. 认证技术的类型 认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内容。从鉴别对象上，分为消息认证和用户身份认证两种。 （1）消息认证：用于保证信息的完整性和不可否认性。 （2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。 从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证， 5.1.2 常用的身份认证方式 1. 静态密码方式 静态密码方式是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。 2. 动态口令认证 动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态

短信密码和动态口令牌（卡）两种方式，口令一次一密。图5-1动态口令牌 3. USB Key认证 采用软硬件相结合、一次一密的强双因素（两种认证方法） 认证模式。其身份认证系统主要有两种认证模式：基于冲击/响应 模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2 所示。图5-2 网银USB Key 4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证 国际认证机构通称为CA，是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程，即CA认证过程，如表5-1所示。 表5-1 证书的类型与作用 注：数字证书标准有：X.509证书、简单PKI证书、PGP证书和属性证书。 CA主要职能是管理和维护所签发的证书，并提供各种证书服务，包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。 CA的主要职能体现在3个方面： （1）管理和维护客户的证书和证书作废表 （CRL）。 （2）维护整个认证过程的安全。 （3）提供安全审计的依据。 5.1.3 身份认证系统概述 1. 身份认证系统的构成

统一用户管理系统

1.详细需求 1.1 业务需求 统一用户管理平台是一个高性能、易管控的用户和权限数据集成平台，能够统一管理企业中各个信息系统的组织信息和用户信息，能够实现单点登录，简化用户的登录过程，同时提供集中便捷的身份管理、资源管理、安全认证和审计管理，能够实现各个系统的独立的权限注册，配置不同的业务域，独立的业务组织体系模型，并且对于不同权限级别的用户和管理员都有不同的系统功能和数据访问范畴，以满足用户对信息系统使用的方便性和安全管理的要求，最终实现异构系统的有机整合。在系统集成的过程中，借助其强大的系统管控能力，在实施过程中进行权限人员数据的规范化、数据同步自动化、系统访问可控化、权限管理统一化和监控审计可视化。 1.2 系统功能需求 1.2.1 统一用户管理 建立一套集中的用户信息库，利用同步接口提供的功能，把所有的系统用户进行统一存放，系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。形成一套全局用户库，统一管理，作为企业内所有IT应用的用户源。在人员离职、岗位变动时，只需在管理中心一处更改，即可限制其访问权限，消除对后台系统非法访问的威胁。方便了用户管理，也防止过期的用户身份信息未及时删除带来的安全风险。系统支持分级授权。 1.2.2 用户身份认证 遵循W3C的业界标准，在单点登录系统的基础上，实现基于域管理的身份认证服务构件，自主开发的系统能够使用该服务进行认证，同时提供多种认证方式，能实现双因素认证。采用LDAP（轻量目录访问协议，一个开放的目录服务标准）来建构统一用户信息数据库。LDAP已成为未来身份认证和身份管理的标准，具有很好的互操作性和兼容性，基于LDAP可以搭建一个统一身份认证和管理框架，并提供开发接口给各应用系统，为应用系统的后续开发提供了统一身份认证平台和标准。实现多种身份认证方式，支持LDAP、JDBC、WebService、Radius、Openid等多种身份认证方式。

统一身份认证平台功能描述

统一身份认证平台功能 描述 文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

数字校园系列软件产品统一身份认证平台 功能白皮书 目录

1产品概述 1.1产品简介 随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登 录系统时需要多次输入用户名/密码，操作繁琐。 各个系统之间的账号不统一，形成信息孤岛现象，导致学校管理工 作重复，增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理，每一个新开发的系 统都需要针对用户和权限进行新开发，既增加了学校开发投入成 本，又增加了日常维护工作量 针对学生、教职工应用的各种系统，不能有效的统一管理用户信 息，导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号，为学校日后的工作带来隐患。 缺乏统一的审计管理，出现问题，难以及时发现问题原因。 缺乏统一的授权管理，出现权限控制不严，造成信息泄露。 统一身份认证平台经过多年的实践和积累，通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计，有效地解决了以上问题，赢得客户的好评。

1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息，所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中，保证数据的保密性和读取效率。通过用户同步功能，及时地把关键业务系统中的用户信息同步到统一认证平台中，然后通过平台再分发给需要的业务系统，保证账号的一致性。 为所有的用户设置权限生效起止日期，即使不对用户做任何操作，在权限生效期外的用户也无法通过认证，保证了系统的安全性。 用户管理

中国石油天然气集团公司工程建设项目管理办法

中国石油天然气集团公司 工程建设项目管理办法 第一章总则 第一条为加强中国石油天然气集团公司（以下简称集团公司）工程建设项目（以下简称项目）管理，规范项目建设行为，提高项目管理水平和投资效益，根据国家有关法律法规和集团公司有关规定，制定本办法。 第二条本办法适用于集团公司及全资子公司、直属企事业单位（以下称建设单位）的境内项目管理。 集团公司及建设单位控股公司的境内项目管理，应当通过法定程序贯彻执行本办法。 境外项目及国内对外合作项目管理参照本办法执行。 第三条本办法所称项目包括集团公司投资新建、改建及扩建的油气田地面、炼油化工、油气储运、加油（气）站、建构筑物等（详见附件）。 第四条项目管理应严格执行建设程序，突出质量和效益，强化风险控制，积极推广标准化设计、规模化采购、工厂化预制、模块化建设，充分应用集团公司企业资源计划（ERP）系统、项

目管理（EPM）系统，优选承包商和供应商，加强项目全过程管理，确保项目各项目标顺利实现。 集团公司对在项目管理工作中做出突出成绩的集体和个人给予表彰和奖励。 第五条集团公司工程建设项目领导小组（以下简称领导小组）负责组织制订集团公司工程建设项目管理办法和相关政策，统筹协调工程建设实施过程中的重大事项。领导小组办公室设在集团公司规划计划部，负责落实领导小组各项决定，督促相关部门和专业分公司履行项目管理相关职责。 集团公司相关部门按照权限和职能分工履行项目管理与监督职责。 第六条专业分公司履行以下职责： （一）贯彻落实国家、行业和集团公司有关工程建设法律法规、规章制度及标准规范； （二）负责权限范围内项目（预）可行性研究工作组织、项目可行性研究报告审批、项目基础设计（初步设计）审批及专项技术方案审批； （三）负责一类、二类项目管理手册备案管理和执行检查； （四）组织、指导、监督建设单位办理项目专项评价和核准、备案手续并获取所需支持性文件； （五）初审提前采购计划，审查引进设备技术方案、引进设备清单，审批或会签权限内招标方案、招标结果和可不招标事项；

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群 众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录， 实现用户资源的共享，简化用户的操作。

统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计

基础支撑层 统一身份认证（SSO） 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法，一种是建立在PKI，Kerbose和用户名/口令存储的基础上；一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分：统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库，具体方案如下图。 1、采用认证代理，加载到原有系统上，屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行，认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接，用户登录后也可以直接访问系统，不需要二次认证。 4、对于认证代理无法提供的数据信息，可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示：

单点登录只解决用户登录和用户能否有进入某个应用的权限问题，而在每个业务系统的权限则由各自的业务系统进行控制，也就是二次鉴权的思想，这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中，应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册，将各应用系统的授权部分或全部地委托给支撑平台，从而实现统一权限管理，以及权限信息的共享，其注册原理如下图。

用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候，应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能，根据统一系统授权支撑平台返回的结果进行相应的处理，其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式，以满足权限管理的灵活性、可扩展性和可管理性的需求 块

统一身份认证系统

1.1. 统一身份认证系统 通过统一身份认证平台，实现对应用系统的使用者进行统一管理。实现统一登陆，避免每个人需要记住不同应用系统的登陆信息，包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成，实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现，支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS，以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求：50并发认证不超过3秒 ?支持联合发文：支持在Office中加盖多个电子印章，同时保证先前加 盖的印章保持有效，从而满足多个单位联合发文的要求。 ?支持联合审批：支持在Office或者网页（表单）中对选定的可识别区 域内容进行电子签名，这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章：支持两种批量签章方式： ?用户端批量盖章； ?服务器端批量盖章。 ?网页表单批量签章：WEB签章提供批量表单签章功能，不需要打开单个 表单签章，一次性直接完成指定批量表单签章操作，打开某一表单时，能 正常显示签章，并验证表单完整性。 ?提供相应二次开发数据接口：与应用系统集成使用，可以控制用户只能 在应用系统中签章，不能单独在WORD/EXCEL中签章，确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求：电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章，网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签

统一身份认证权限管理系统

` 统一身份认证权限管理系统 使用说明

目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户（账户）管理 (11) 3.1 申请用户（账户） (12) 3.2 用户（账户）审核 (14) 3.3 用户（账户）管理 (15) 3.4 分布式管理 (18) 第4章组织机构（部门）管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (26) 4.3 微型的业务系统 (27) 4.4 外部组织机构 (28) 第5章角色（用户组）管理 (29) 第6章职员（员工）管理 (32) 6.1 职员（员工）管理 (32) 6.2 职员（员工）的排序顺序 (32) 6.3 职员（员工）与用户（账户）的关系 (33) 6.4 职员（员工）导出数据 (34) 6.5 职员（员工）离职处理 (35) 第7章部通讯录 (37) 7.1 我的联系方式 (37) 7.2 部通讯录 (38) 第8章即时通讯 (39) 8.1 发送消息 (39) 8.2 即时通讯 (41) 第9章数据字典（选项）管理 (1) 9.1 数据字典（选项）管理 (1) 9.2 数据字典（选项）明细管理 (3) 第10章系统日志管理 (4) 10.1 用户（账户）访问情况 (4) 10.2 按用户（账户）查询 (5) 10.3 按模块（菜单）查询 (6) 10.4 按日期查询 (7) 第11章模块（菜单）管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号（流水号）管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)

中国石油天然气集团公司工程建设项目质量管理规定

附件 中国石油天然气集团公司 工程建设项目质量管理规定 第一章总则 第一条为加强和规范中国石油天然气集团公司（以下简称集团公司）工程建设项目质量管理，认真贯彻“诚实守信，精益求精”的质量方针，提高工程建设项目质量水平，增强核心竞争力，根据国家工程建设法律法规和集团公司有关规定，制定本规定。 第二条本规定适用于集团公司及其全资子公司、直属企事业单位（以下简称所属企业）对新建、扩建、改建等工程建设项目的质量管理工作。抢险救灾和临时性工程建设项目以及油气田工程技术服务和炼油化工检维修作业的质量管理工作不适用本规定。 集团公司及所属企业控股公司的工程建设项目质量管理，应当通过法定程序贯彻执行本规定。境外工程建设项目质量管理按照项目所在国的法律法规，参照本规定执行。 第三条本规定所称工程建设项目包括油气田地面、油气储运、销售和炼油化工等石油石化专业工程项目以及矿区建设等其他工程项目。

第四条集团公司质量与标准管理部负责工程建设项目质量的综合管理与监督，主要履行以下职责： （一）贯彻执行国家工程建设质量管理法律法规，制订集团公司工程建设质量管理相关规定； （二）组织和指导所属企业建立健全工程建设项目质量管理体系，并监督检查体系运行情况； （三）负责集团公司工程质量监督业务管理工作，归口管理石油天然气工程质量监督总站和各监督站（以下简称集团公司工程质量监督机构）； （四）组织集团公司对工程建设项目的质量检查，负责工程质量信息管理，掌握质量动态； （五）归口管理工程建设重要产品、设备驻厂监造工作； （六）协调处理集团公司及所属企业与外部用户、专业分公司之间发生的重大工程质量纠纷，组织调查处理特大工程质量事故以及涉及两个或两个以上专业分公司的工程质量事故。 集团公司总部机关其他有关部门在其职责范围内负责工程建设项目质量管理相关工作。 第五条专业分公司负责本专业工程建设项目质量管理工作，主要履行以下职责： （一）贯彻执行国家工程建设质量管理法律法规，组织落实集团公司工程建设质量管理规定，制定本专业工程建设项目质量管理的实施细则；

身份认证与权限管理

网站安全性 ―身份认证与权限管理1 简介 (3) 2准备环境 (3) 2.1准备数据库 (3) 2.2修改提供程序 (3) 2.3测试 (4) 3成员资格管理类 (4) 3.1M EMBERSHIP 类 (4) 3.1.1方法 (6) 3.1.2属性 (7) 3.1.3事件 (8) 3.2M EMBERSHIP U SER 类 (9) 3.2.1构造函数 (9) 3.2.2方法 (9) 3.2.3属性 (10) 3.3R OLES类 (11) 3.3.1方法 (11) 3.3.2属性 (12) 3.4F ORMS A UTHENTICATION 类 (14) 3.4.1构造函数 (15) 3.4.2方法 (15) 3.4.3属性 (16) 4操作实例 (17) 4.1搭建环境 (18) 4.2配置工具 (18) 4.3代码编程 (18) 4.3.1创建用户 (18) 4.3.2删除用户 (18)

4.3.3创建角色 (18) 4.3.4删除角色 (18) 4.3.5将用户添加至角色 (18) 4.3.6将用户从角色移除 (18) 4.3.7为角色添加用户 (18) 4.3.8判断用户是否属于角色 (18) 4.3.9验证用户登录是否 (18) 4.3.10修改用户密码 (18) 4.4为用户和角色设置访问权限 (18) 4.4.1配置站点地图提供程序 (18) 4.4.2配置工具设置 (18) 4.4.3配置文件设置 (18) 4.5测试 (18)

1简介 采用.NET自带身份验证与权限管理机制实现网站的身份验证与权限管理，保证网站安全性。 采用成员和角色的概念来实现权限管理，结合站点地图，可实现对不同权限的用户显示不同的菜单，允许操作不同的功能。 2准备环境 2.1准备数据库 1）新建自定义数据库，如db_Net.mdf 2）运行aspnet_regsql工具，位于C:\Windows\https://www.wendangku.net/doc/5f14062003.html,\Framework\v2.0.50727目录，将AspNetSqlProvider的数据库修改为用户自定义数据库db_Net.mdf 2.2修改提供程序 1）在配置文件web.config中定义数据库连接字符串： 2）添加Membership定义

中石油工程项目管理手册审核版

第一章总则3 一、目的3 二、适用范围3 三、术语与定义3 四、项目管理职责6 五、项目管理内容8 六、项目管理程序8 第二章项目经理部组建与解体管理10 一、项目经理部组建管理10 二、项目经理部解体管理14 第三章项目管理策划18 一、项目实施方案18 二、项目施工组织设计20 第四章项目资源管理30 一、现场劳动力管理30 二、物资管理：36 三、施工机械设备管理68 四、监视测量设备管理77 五、工作环境管理87 六、项目资金管理100 第五章项目文件管理112 一、项目文件管理原则112 二、项目文件分类112 三、项目文件管理主要内容112 四、项目文件管理要求112 第六章、项目技术管理122

一、项目技术管理原则122 二、项目技术管理主要内容122 三、项目技术管理要求122 四、设计与开发124 五、施工组织设计与施工方案126 六、技术交底：128 七、施工日志129 八、竣工图130 九、建筑安装工程资料管理130 十、技术总结131 第七章项目进度及统计管理139 一、项目进度管理139 二、项目统计管理142 第八章项目质量管理145 一、项目质量管理原则145 二、项目质量管理程序145 三、项目质量管理要求145 第九章项目执业健康安全及消防管理181 一、项目职业健康安全及消防管理原则181 二、项目安全及消防管理内容181 三、项目安全及消防管理要求181 第十章项目现场管理200 一、项目现场管理原则200 二、项目现场管理主要内容200 三、项目现场管理要求200 第十一章项目分包招标管理220

一、分包方分类220 二、分包招标管理原则220 三、分包招标管理主要内容220 四、分包招标管理要求220 五、分包工程内部招标管理说明223 第十二章项目合同管理233 一、工程合同分类233 二、项目合同管理原则233 三、项目合同管理主要内容233 四、项目合同管理要求233 第十三章项目成本管理249 一、项目制造成本分类249 二、项目成本管理原则249 三、项目成本管理主要内容249 四、项目成本管理要求249 第十四章项目考核评价269 一、公司对项目经理部的考核评价269 二、项目经理部对分包方的考核评价271 第一章总则 一、目的 1.《项目管理手册》B版是根据GB/T19001-2000idtISO9001：2000质量管理体系、GB/T24001-1996idtISO14001：1996环境管理体系及GB/T28001-2001职业健康安全管理体系标准要求，对公司《综合管理手册》B版的进一步展开和补充，是公司第二层次的管理文件。 2.《项目管理手册》B版根据国家有关法律、法规及标准、规范要求，

统一身份认证系统技术方案

智慧海事一期统一身份认证系统 技术方案

目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)