第一篇：行为管理设备用户认证介绍

行为管理设备用户认证介绍

1.1 用户管理

用户是上网行为管理产品最核心的要素，任何一条策略都是针对一个用户或者部门设置的，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。网康ICG提供了丰富的用户认证方式以及符合企业实际的用户管理能力，很好地满足企业对于用户的管理要求。

1.1.1 用户身份信息维护管理

 按照企业组织结构建立用户组

当用户数目较多、组织结构比较复杂时，按照实际的组织结构管理用户是最有效的方式，易于管理员查询、定位和设置策略。网康ICG支持树型结构管理用户，能够完全按照企业的实际情况建立用户组，如下图所示：

图2-24按照企业组织结构管理用户

 IP网段自动分组

任何互联网行为管控和审计策略最终都将赋予到用户或用户组上，对于以IP网段划分部门的机构，如果用户数目众多或者IP分配变化频繁（如大学的院系），针对每一个用户进行单独的设置是不现实的，这些机构关心的更多的是对某一类用户进行管理，而不是特定的用户。网康ICG可以按照网段进行分组并设置策略，属于某网段的IP会自动适用该网段的策略。ICG支持将新入网的未注册IP自动加入到所属的IP分组中，从而自动为该IP分配预定义的管控策略。对于那些临时来访的外来用户，管理员可以将其计算机设备统一划分在某一IP范围内，并对该IP网段分组制定相关限制性策略，大大增强了动态用户管理的灵活性。

此外，如果管理员没有预先设置IP网段，ICG可以将未注册的用户实时加入系统的未定义用户组中，管理员可以在合适的时机将其移动到已定义用户组中，从而逐步完善用户的定义。

 支持用户的权限组管理

网康ICG支持权限组的定义和管理。可在各级用户组织中建立“权限组”，可将任意用户添加入“权限组”中，一个用户可以同时隶属于多个权限组。这一功能提高了用户策略管理的灵活性，在不改变原用户的组织结构的情况下，可实现对一些分散在各组中的用户进行统一策略管理。

 支持AD域权限组导入

网康ICG可将AD域服务器中用户权限组信息导入到用户组织列表中，并自动创建相对应的权限组，可定义各权限组的互联网行为管控策略。

针对企业网络最常用的认证体系联动（LDAP），重新调整功能实现，支持：  可设置支持完整&部分LDAP导入，包括权限组导入；

 可灵活设置同步模式（导入、镜像），确保与LDAP服务器保持用户信息联动；  支持多个LDAP服务器同时导入，无需担心组织冲突以及显示问题；  支持属性组

网康ICG率先支持属性组用户。属性组用户是指将某些具有一定共同特征（如部门、职位、电话等）的用户以属性组进行保存，网络管理员可从属性这一维对用户进行管理，例如，可通过策略方便实现财务部用户禁止使用QQ等功能。

 支持从多个LDAP服务器同时导入用户数据

对于那些拥有多AD子域服务器的网络环境，ICG可同时同步所有AD子域服务器中的用户信息数据，实现全网用户的统一管理。同时，可以自定义LDAP的导入入口。

 支持用户对象的快速搜索选择 在用户数量庞大，用户组织结构复杂的网络环境中，管理员在制定策略或查询日志时，按组织关系逐层筛选用户这一操作会耗费大量的时间和精力。

网康ICG可以避免上述问题，在所有用户对象选择对话框中，支持用户搜索定位功能。只要在搜索框中输入要选择的用户组或用户名称，即可直接将该用户或用户组添加到用户对象中。

 支持IP/MAC绑定及自动绑定

网康ICG支持二层网络环境和三层网络环境下的IP/MAC绑定。可自动阻塞那些非法占用他人IP地址的用户。此外，系统支持在建立用户时自动进行IP/MAC的绑定操作。

 支持免控制与免审计用户

对于在特殊情况下不需要控制或审计监控的用户，网康ICG提供免控制和免审计功能。

1.1.2 用户身份识别与认证

 丰富的用户认证方式

网康ICG提供多种用户认证和识别方式，为用户管理提供了灵活而完善的方案，包括基本的IP/MAC绑定、三层网络环境下的IP/MAC绑定、网关Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、ESMTP认证、SOCKS认证、PPPoE认证账号识别、第三方用户识别。此外，对于使用微软ISA系统的环境，ICG还支持NTLM认证和BASIC认证，实现与ISA的联动。对于每一种认证方式，ICG都支持分段/混合认证。通过规划并部署合适的认证方式，可以把互联网访问管理应用到具体用户，实现基于用户身份的访问管理。

在有些企业，实行规划合理并且严格执行的IP地址分配制度，那么通过IP地址和网卡MAC地址来确定用户身份是可靠的；但是在有些网络环境下，用IP或网卡MAC地址并不能确定一个人的身份，比如DHCP动态分配IP、或多人共用一台设备的时候，就需要其它方式确定用户身份，如网关本地Web认证或第三方认证。

在WEB认证方式下，管理员可以设定并分发统一的初始口令，并定义账号缓存的有效时间，保障用户身份的安全，使用户身份的确定与具体上网设备完全无关。要实现WEB认证，首先需要在网康互联网控制网关中建立用户信息。NSICG支持多种用户信息获取方式，可以通过IP网段地址扫描，自动获取内网用户的IP地址、计算机名、MAC地址信息，也可以通过LDAP同步的方式定期更新用户目录服务器的用户信息，支持RADIUS认证，此外，还可以使用网康自定义用户导入功能，将微软Excel表格整理的用户信息快速导入。

建立用户信息后，按照管理需求，基于网段、权限、行政职能自定义用户组和成员，并且可以在不同用户组之间灵活调整成员用户，最终形成清晰直观的树型组织结构。这样就解决了“确定用户身份”的问题，并为基于用户或用户组制定策略和统计报表奠定了基础。

 支持认证界面自定义发布信息

使用网康ICG的web认证界面登录时，管理者可以自定义登录界面的信息。在登录界面有专用的窗口用于展示发布信息的标题和内容。同时，登录界面的图片也可以有管理者自定义设置和变更。

 支持混合认证

网康ICG支持多种认证方式的混合，可方便为不同的网段开启不同的认证方式，实现不同用户群的差异化管理；同一网段用户也可同时开启多种认证方式，方便用户在不同的应用环境下都可以认证入网。

 支持邮件用户识别

对于拥有独立企业邮箱的网络环境，ICG支持POP3用户识别，用户入网无需认证，只要通过POP3协议接收一封邮件，ICG即可将邮件账号名记录下来，该用户所有互联网行为都可实名制记录下来，便于日后日志的查询、定位。

 支持计算机名识别

网康ICG支持根据内网计算机的计算机名识别，用户入网无需认证，网康ICG能够自动扫描每一个入网计算机的计算机名并将其作为用户账号记录下，在该计算机上发生的所有网络访问行为将记录在其计算机名下。

 支持强制下线

网康ICG支持WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。

使用者也可以随时将活跃用户列表中的IP加入“屏蔽IP列表”中。 支持认证账号有效期限制

对于一些需求临时入网的用户，管理员可通过该功能限制这些用户可以入网的时间范围，超出限定范围后，该用户无法再入网。一方面提高准入用户的安全性，另一方面可实现入网限时的功能。

 支持认证账号唯一性控制

网康ICG支持认证账号唯一性控制。这一功能可以方便控制同一认证账号是否允许在多台计算机上同时登陆。从而适应不同用户的认证需求。

 支持认证账号黑名单

对于行为异常的认证账号，网康ICG支持将其加入到认证账号黑名单。未经管理员将其从黑名单中清除，该账号将无法通过认证。

 支持第三方认证信息联动接口

网康ICG提供标准的第三方用户认证信息联动接口，可以接收来自第三方网络准入系统或上网计费系统的用户认证信息。从而将上网行为日志准确关联到具体的用户，并实现用户在多认证系统环境下的单点认证。

 登录重定向

网康ICG提供登录重定向增值功能。用户认证通过后，第一次上网请求将触发此功能，网页访问请求被重定向到预设的URL。对于集团企业、政府机关和学校，便于上网用户方便地获悉最新的公告或者相关信息。

第二篇：校园用户认证标准

校园用户认证标准

校园用户包括小学，初中，高中和大学的所有用户，其认证的标准，首先无头像，零粉丝，零微博的均不可认证。再者用户资料及标签里一定加上学校及学院系全称，方便自己学校的学生及校友关注你们。其他具体分类如下：

1.个人认证：

（1）校级部门领导：例如党委书记，校长，党委副书记，副校长，团委书记等学校各部门领导均可认证，但须提供个人身份证明并出具直属部门的介绍信（与新浪微博有直接合作，并可以确认身份的出具名片即可）。

（2）教师类分为教学方向和行政方向：

a.教学方向：讲师，副教授，教授，博士研究生导师，提供个人身份证明并出具直属部门的介绍信（与新浪微博有直接合作，并可以确认身份的出具名片即可）

b.初高中以及小学的特级或高级教师均可认证，但须提供个人身份证明，及党委或团委盖章的介绍信。

c.行政方向：团委老师和辅导员。辅导员全职的可以认证，需提供辅导员所在院系或校学工部（处）介绍信并盖公章，证明其是全职辅导员。团委老师在校比较有影响力的，带的班级比较多的可以认证。

（3）学生类：学生会主席视具体情况，例如在学校影响力较大，工作能力强，粉丝数多，有校领导推荐信或者团委推荐信的优先认证。其余学生暂不认证。

以上用户申请认证均需提供个人身份证明，及盖章的党委或团委介绍信。（此处加入下载表格链接）

2.学校及社团类认证：

（1）校级官方微博均可认证。

（2）校级社团和校级学生会均可认证。

（3）院级社团和院级学生会视情况而定，例如有校领导推荐的，在学校影响力较大，粉丝数上两千，或者和新浪合作校园活动有活动需求的，可以先加v，如果在三个月内未达到两千粉丝的会予以取消认证。不符合以上情况不可给予认证，推荐可以使用微群。

（4）小学，初高中社团或学生组织，暂不认证，推荐可以使用微群。

以上所有用户申请认证，均要提供《高校用户认证信息表》、加盖公章的《高校用户认证申请公函》。（此处加入下载表格链接）

3.校园媒体认证：

校报，校级电视台，校级广播台，校级官方网站微博用户提供有团委盖章的《高校用户认证申请公函》及《高校用户认证信息表》可以认证。

4.新浪微博认证新系统上线，用户可以自己按照自己适合的分类在线上申请，但必须遵守认证标准，提供合格规范的申请资料，方可尽快得到认证。

5.培训机构类认证：

a.各个领域知名培训机构的官方微博均可认证。

b.各个领域知名培训机构的老师，优秀课程顾问，优秀留学顾问及培训机构总监级以上包括总监级的领导均可认证。

第三篇：易名用户邮箱认证

易名用户邮箱认证

1.邮箱认证用途(1)绑定账号邮箱。

(2)域名模板的添加和编辑，需要选择通过认证的邮箱。

(3)交易平台发布其它注册商域名，要先进行交易认证，认证方式之一的邮箱认证要用到通过认证的邮箱。2.添加邮箱认证

(1)登录后，点击在“管理中心-用户管理－认证中心”，进入认证中心页面。

(2)在认证中心页面，点击“邮箱认证”项目后面的“添加”链接，进入邮箱认证页面。(3)在“认证邮箱”中输入要认证的邮箱，点击后面的确认发送认证邮件到填写的邮箱中。返回查询，会显示新增的邮箱认证状态是申请中。(4)到认证的邮箱中查询认证邮件进行认证。

(5)若没有收到邮件，可以点击页面上的“重新发送”，系统会发送新的认证邮件到邮箱中，以最后一次收到的邮件为有效认证邮件。

(6)收到邮件后，点击邮件中的链接，页面会提示认证成功，返回认证中心，邮箱显示认证通过。

3.删除邮箱认证

(1)登录后，点击在“管理中心-用户管理－认证中心“，进入认证中心页面。

(2)在认证中心页面，点击“邮箱认证”项目后面的“添加”链接，进入邮箱认证页面。(3)在列表中找到要删除的邮箱，点击后面的“删除”链接。注意事项：

*账号绑定邮箱不能删除，只能修改。请参考《修改账号注册邮箱》 *如果邮箱已经用于模板，系统会提示不能删除。

第四篇：购买上网行为管理设备方案

购买上网行为管理设备及服务器杀毒软件的方案

（一）深信服上网行为管理解决以下问题：

防止带宽资源滥用

深信服系列上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽，保障OA、ERP、E-mail等办公应用获得足够的带宽支持，提升上网速度和网络办公应用的使用效率。

防止无关网络行为影响工作效率

深信服系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为，并可根据各组织不同要求进行授权的灵活调整，包括基于不同用户身份差异化授权、智能提醒等。

记录上网轨迹满足法规要求

深信服系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关要求、规避可能的法规风险。

为网络管理与优化提供决策依据

深信服系列上网行为管理产品提供了丰富的网络可视化报表，能够提供详细报告让管理者清晰掌握互联网流量的使用情况，找到造成网络故障的原因和网络瓶颈所在，从而对精细化管理网络并持续加以优化提供了有效依据。

防止病毒木马等网络风险

通过部署深信服系列上网行为管理产品，利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等，从源头上切断病毒、木马的潜入，再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段，实现立体式安全护航，确保组织安全上网。

（二）服务器上的卡巴斯基杀毒软件已过期，为保障服务器的安全运行，急需续费或购买其它杀毒软件。

第五篇：统一用户管理的基本原理及其详细介绍

统一用户管理的基本原理及其详细介绍

一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。

例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常复杂。

解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。UUMS应具备以下基本功能:

1.用户信息规范命名、统一存储，用户ID全局惟一。用户ID犹如身份证，区分和标识了不同的个体。

2.UUMS向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性，各应用系统可以选择本系统所需要的部分或全部属性。

3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。

4.应用系统保留用户管理功能，如用户分组、用户授权等功能。

5.UUMS应具有完善的日志功能，详细记录各应用系统对UUMS的操作。

统一用户认证是以UUMS为基础，对所有应用系统提供统一的认证方式和认证策略，以识别用户身份的合法性。统一用户认证应支持以下几种认证方式:

1.匿名认证方式: 用户不需要任何认证，可以匿名的方式登录系统。

2.用户名/密码认证: 这是最基本的认证方式。

3.PKI/CA数字证书认证: 通过数字证书的方式认证用户的身份。

4.IP地址认证: 用户只能从指定的IP地址或者IP地址段访问系统。

5.时间段认证: 用户只能在某个指定的时间段访问系统。

6.访问次数认证: 累计用户的访问次数，使用户的访问次数在一定的数值范围之内。以上认证方式应采用模块化设计，管理员可灵活地进行装载和卸载，同时还可按照用户的要求方便地扩展新的认证模块。

认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。管理员可以根据认证策略对认证方式进行增、删或组合，以满足各种认证的要求。比如，某集团用户多人共用一个账户，用户通过用户名密码访问系统，访问必须限制在某个IP地址段上。该认证策略可表示为:用户名/密码“与”IP地址认证。

PKI/CA数字证书认证虽不常用，但却很有用，通常应用在安全级别要求较高的环境中。PKI(Public Key Infrastructure)即公钥基础设施是利用公钥理论和数字证书来确保系统信息安全的一种体系。

在公钥体制中，密钥成对生成，每对密钥由一个公钥和一个私钥组成，公钥公布于众，私钥为所用者私有。发送者利用接收者的公钥发送信息，称为数字加密，接收者利用自己的私钥解密;发送者利用自己的私钥发送信息，称为数字签名，接收者利用发送者的公钥解密。PKI通过使用数字加密和数字签名技术，保证了数据在传输过程中的机密性(不被非法授权者偷看)、完整性(不能被非法篡改)和有效性(数据不能被签发者否认)。

数字证书有时被称为数字身份证，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。完整的PKI系统应具有权威认证机构CA(CertificateAuthority)、证书注册系统

RA(RegistrationAuthority)、密钥管理中心KMC(KeyManageCenter)、证书发布查询系统和备份恢复系统。CA是PKI的核心，负责所有数字证书的签发和注销;RA接受用户的证书申请或证书注销、恢复等申请，并对其进行审核;KMC负责加密密钥的产生、存贮、管理、备份以及恢复;证书发布查询系统通常采用OCSP(OnlineCertificateStatusProtocol，在线证书状态协议)协议提供查询用户证书的服务，用来验证用户签名的合法性;备份恢复系统负责数字证书、密钥和系统数据的备份与恢复。

单点登录

单点登录(SSO，SingleSign-on)是一种方便用户访问多个系统的技术，用户只需在登录时进行一次注册，就可以在多个系统间自由穿梭，不必重复输入用户名和密码来确定身份。单点登录的实质就是安全上下文(SecurityContext)或凭证(Credential)在多个应用系统之间的传递或共享。当用户登录系统时，客户端软件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文，安全上下文包含用于验证用户的安全信息，系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。遗憾的是J2EE规范并没有规定安全上下文的格式，因此不能在不同厂商的J2EE产品之间传递安全上下文。

目前业界已有很多产品支持SSO，如IBM的WebSphere和BEA的WebLogic，但各家SSO产品的实现方式也不尽相同。WebSphere通过Cookie记录认证信息，WebLogic则是通过Session共享认证信息。Cookie是一种客户端机制，它存储的内容主要包括:名字、值、过期时间、路径和域，路径与域合在一起就构成了Cookie的作用范围，因此用Cookie方式可实现SSO，但域名必须相同;Session是一种服务器端机制，当客户端访问服务器时，服务器为客户端创建一个惟一的SessionID，以使在整个交互过程中始终保持状态，而交互的信息则可由应用自行指定，因此用Session方式实现SSO，不能在多个浏览器之间实现单点登录，但却可以跨域。

实现SSO有无标准可寻？如何使业界产品之间、产品内部之间信息交互更标准、更安全呢？基于此目的，OASIS(结构化信息标准促进组织)提出了SAML解决方案(有关SAML的知识参看链接)。

用户认证中心实际上就是将以上所有功能、所有概念形成一个整体，为企业提供一套完整的用户认证和单点登录解决方案。一个完整的用户认证中心应具备以下功能:

1.统一用户管理。实现用户信息的集中管理，并提供标准接口。

2.统一认证。用户认证是集中统一的，支持PKI、用户名/密码、B/S和C/S等多种身份认证方式

3.单点登录。支持不同域内多个应用系统间的单点登录。

用户认证中心提供了统一认证的功能，那么用户认证中心如何提供统一授权的功能呢？这就是授权管理中，其中应用最多的就是PMI。

PMI(PrivilegeManagementInfrastructure，授权管理基础设施)的目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。PMI是属性证书(AttributeCertificate)、属性权威(AttributeAuthority)、属性证书库等部件的集合体，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。

PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理，即由资源的所有者来进行访问控制。同公钥基础设施PKI相比，两者主要区别在于: PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且PMI可以利用PKI为其提供身份认证。单点登录通用设计模型

统一用户认证和单点登录通用设计模型，它由以下产品组成:

1.PKI体系: 包括CA服务器、RA服务器、KMC和OCSP服务器。

2.AA管理服务器: 即认证(Authentication)和授权(Authorization)服务器，它为系统管理员提供用户信息、认证和授权的管理。

3.UUMS模块: 为各应用系统提供UUMS接口。

4.SSO: 包括SSO代理和SSO服务器。SSO代理部署在各应用系统的服务器端，负责截获客户端的SSO请求，并转发给SSO服务器，如果转发的是OCSP请求，则SSO服务器将其转发给OCSP服务器。在C/S方式中，SSO代理通常部署在客户端。

5.PMI: 包括PMI代理和PMI服务器。PMI代理部署在各应用系统的服务器端，负责截获客户端的PMI请求，并转发给PMI服务器。

6.LDAP服务器: 统一存储用户信息、证书和授权信息。

为判断用户是否已经登录系统，SSO服务器需要存储一张用户会话(Session)表，以记录用户登录和登出的时间，SSO服务器通过检索会话表就能够知道用户的登录情况，该表

通常存储在数据库中。AA系统提供了对会话的记录、监控和撤消等管理功能。为保证稳定与高效，SSO、PMI和OCSP可部署两套或多套应用，同时提供服务。

链接

SAML

SAML(Security AssertionMarkupLanguage，安全性断言标记语言)是一种基于XML的框架，主要用于在各安全系统之间交换认证、授权和属性信息，它的主要目标之一就是SSO。在SAML框架下，无论用户使用哪种信任机制，只要满足SAML的接口、信息交互定义和流程规范，相互之间都可以无缝集成。SAML规范的完整框架及有关信息交互格式与协议使得现有的各种身份鉴别机制(PKI、Kerberos和口令)、各种授权机制(基于属性证书的PMI、ACL、Kerberos的访问控制)通过使用统一接口实现跨信任域的互操作，便于分布式应用系统的信任和授权的统一管理。

SAML并不是一项新技术。确切地说，它是一种语言，是一种XML描述，目的是允许不同安全系统产生的信息进行交换。SAML规范由以下部分组成:

1.断言与协议: 定义XML格式的断言的语法语义以及请求和响应协议。SMAL主要有三种断言: 身份认证断言、属性断言和访问授权断言。

2.绑定与配置文件: 从SAML请求和响应消息到底层通信协议如SOAP或SMTP的映射。

3.一致性规范: 一致性规范设置了一种基本标准，必须满足这一SAML标准的实现才能够称为一致性实现。这样有助于提高互操作性和兼容性。

4.安全和保密的问题: SAML体系结构中的安全风险，具体而言就是SAML如何应对这些风险以及无法解决的风险。

要注意的是，SAML并不是专为SSO设计，但它却为SSO的标准化提供了可行的框架。