文档介绍:8 身份认证解决方案
目前在 U8 中用户的身份认证支持四种模式:用户+口令(静态密码),动态密码、CA 认证
和域身份认证,同一时间,一个用户只能使用一种认证方式,但是不同用户可以根据权限,
重要程度交叉使用不同的认证方式。
在系统管理模块中增加操作员的时候设置认证方式,默认支持用户+口令,用户可以更
改以便于支持其余三种模式。
图一
U8 系统中的使用
易安全动态密码
1. 在 U8 的应用服务器上,安装“易安全动态密码系统”,根据《U8_动态密码安装配置手
册(深圳海月)》进行相关配置。
2. 在系统管理里设置认证方式为“动态密码”,如图一所示,默认支持的是静态口令。
3. 配置完成后,在客户端登录产品,密码输入框必须输入由设备动态产生的密码才可,如
图二所示:
图二
备注:
两个系统要求用户编码共用,即不论采用哪种认证方式,用户名必须是通过 U8 的系统管理
产生的,易安全动态密码系统支持批量导入 U8 用户,权限控制必须在系统管理中完成,如
果使用动态密码认证,在系统管理增加用户时,可以不考虑密码信息,同时关于密码的安全
策略将不起作用。
详细介绍见《U8 动态密码解决方案(深圳海月)》
的证书使用
BJCA 支持两种 PKI/CA 建设模式:企业自建 CA 和托管 CA。
企业自建 CA 就是企业自己创建和维护根证书,自行颁发证书。用户身份只需要企业内
部审查即可,用户唯一标识为自定义名称,比如 test、demo 等。
托管 CA 是企业到 BJCA 申请证书,BJCA 使用 Public Trust CA 体系为其颁发证书,用
户的身份要经过 BJCA 严格审查,默认唯一标识为身份证号码或企业组织机构代码。
具体使用步骤:
CA 中心或者托管 CA 中心申请合法的数字证书。
U8 的客户端安装 BJCA 的客户端证书管理工具,请参阅《U8_CA 安装配置手册
(BJCA)》进行相关配置。
U8 的服务器端安装 BJCA 的服务器端证书管理工具。在安装 BJCA 服务器端组件时
务必填写正确企业系统名称,名称必须是字母或数字,不能含中文。如图三所示:
图三
4. 配置完成后,在客户端登录产品,密码输入框输入的是在 U8 系统设置的用户密码,
点击确定后,验证 U8 密码正确后,再次弹出证书 PIN 码的输入框,如图四所示:
图四
输入 PIN 码,确定后,系统自动验证证书的合法性。
备注:
目前 U8 系统中的 CA 认证采用的是传统的用户名(密码)+证书的双重认证,使用 CA 密
码认证同时也要保证系统管理里设置的 U8 密码也必须正确,安全策略中的密码策略只对
U8 密码起作用,修改密码也仅修改 U8 自身的密码。
用户在托管 CA 申请证书时,必须正确提交企业系统名称。
详细介绍见《U8 安全解决方案(BJCA)》
天威诚信的证书使用
天威诚信也支持两种 PKI/CA 建设模式:第三方托管 CA 服务和自建型 CA 系统。
第三方托管 CA 服务,是