业务平台概述 .........................................................................48 2.6.2. 统一身份认证 .........................................................................48 2.6.3. 虚拟卡包平台 ，能够支持 各种异 构应用系统实现结构化与非结构化数据交换的基础支撑层的背景下，整合各类基 础服务能力、服务网关、技术工具等，及时响应各类前台业务应用和运营需求。 一脸通模块提供统一身份认证服务、通行管理服务等，将人脸作为核心服务要素， 44 智 慧 城 市 系 列 - 公 共 服 务 中 台 在合理的范围内使用人脸加快街道运行效率，包括政务业务办理、社区生活、文 问控制及统一授权审计等功 能。角 色管理服务是基于统一用户管理服务能力，按照各职能部门业务工作开 展的习 惯，定制角色及相应权限的业务支撑功能。 单点登录：对现有及新建的各业务系统实现统一账户认证管理和单点登录。 用户管理：通过与各应用系统集成实现对用户身份生命周期统一管理，基于 角色的权限管理。 角色管理：角色代表拥有同一类系统操作权限的组。角色与用户和权限相关 联，可将某些权

景区车载及站台无线组网...................................................................................25 3.3.6 无线接入认证方式..............................................................................................25 发布及时的旅游目的地评价机制。 同时，智慧旅游的网络建设将能深入推进旅游信息化基础设施 和基础能力建设，加强景区游客服务中心、城市游客集散中心的信息化基础设施建设，提升信息 服务水平；加强旅游信息化的安全保障，逐步建立以身份认证、授权管理等为主要内容的旅游信 息体系；并基于该体系进行信息主动推送和数据收集及数据分析。 2.2 全程优质网络体验 随着智能终端的普及移动互联网的蓬勃发展，分享旅途感受已经成为了广大游客在旅途中常 使得景区可以为广大游客进行适度营销的场所，通过第三方支付的后向收费模式，带动智慧旅游 网络的良性、可持续性发展。 景区可以将移动互联网的认证页面做为广大消费者的移动互联网入口，这也是是现阶段投入 最小见效最快的后向收费模式。景区可利用现有的旅游资源和商品资源，为游客提供内容和服务， 也可在认证页面上为第三方提供广告位，以及为优质网络资源方导流，做到多方共赢。这种模式 也决定了景区可以和移动互联网的全平台进行合

假冒 AP 黑客攻击 非法终端 认证服务器 空口安全能力 加密安全能力 准入安全能力 • 频谱分析识别干扰（独立射频扫描） • WIDS/WIPS 空口攻击防范 • 仿冒 AP 识别与反制 • 空口管理帧加密： PMF • 空口数据加密 : WEP/WPA/WPA2/WPA3 • 有线隧道硬件加密： DTLS 、 IPSec • 认证： MAC/802.1x/portal Confidential 19 支持多种认证方式，满足互联网时代商业需求 认证方式 Portal 认证：用户名密码、匿名、短 信、 QQ 、新浪微博、微 信、 Facebook 、 Twitter 、 Passcode 认证； PPSK 认证； MAC 认证； 802.1x 认证（内置 Radius 服务器）； 802.1x 认证（外部 Radius 服务器对接） 传输协议 认证数据采用 HTTP2 协议传输 配置数据采用 NetConf 协议传输 开放认证 支持对接第三方 Portal 服务器 支持对接 QQ 、新浪微博、微 信、 facebook 、 Twitter 社交媒体 用户管理 Portal Server Portal 页面定制 内置 RADIUS server 认证设备 NetConf 配置 社交媒体认证 微信 Facebook 3rd Radius Server

API 流控， 针对不同的 业务等级、用户等级，可实施 API 级别的精细流控，保护集成业务的稳定运行；支 持 API 的监控统计和分析；安全认证，支持 app key&app Secret 对应用进行认证， 用户可编写自定义脚本对接第三方认证；支持 API 的在线调试。 2.2.2.3 应用支撑平台需求 2.2.2.3.1 快速应用开发平台 建设快速应用开发平台，为各应用软件提供统一的容器、微服务应用开发 还支持为特定用户额外分配权限集。支持业务权限管理，用户可以分配多个业务 自定义权限,用于控制访问自定义接口访问。 2.2.2.3.2 统一身份认证 建设统一身份认证管理平台，打通信息孤岛，实现用户单点登录，对现有 主要应用系统的账号、认证、授权和用户行为审计统一入口管理，达到“统一身 份、统一应用、统一认证、统一权限、统一审计”，从而全面保障信息安全，有效 提升内控管理水平，实现信息化业务向全流程无纸化、高效统一、安全可靠、 需支持统一的、集中的机构管理，支持机构的新增、修改、删除、查看等 基本操作；支持多组织机构树，支持机构属性自定义，不同机构树上的机构可 配置不同的属性。 需支持 OAuth、SAML、CAS、Restful 等标准认证协议，为应用系统提供接 口服务和集成能力，实现单点登录。 需支持登录名配置、失败多次锁定、密码到期提醒、强制修改密码、会话 有效期管理、会话数量管理和赋能策略。 需为用户提供统一的登录入口，登录入口可支持多语言、界面

链路冗余、防火墙等等；再次是系统级安全包括数据灾备、病毒防 范等；最后是应用级安全包括统一身份认证、统一权限管理等。而 贯穿整个体系的是安全管理制度和安全标准，以实现非法用户进不 来、无权用户看不到、重要内容改不了、数据操作赖不掉。 整个平台的安全体系设计如下图： 就应用层面来讲，安全包括统一身份认证、统一权限管理等，以 实现非法用户进不来、无权用户看不到、重要内容改不了、数据操 并做好相应的记录文档；及时了解系统软件和应用软件厂家公布的 软件漏洞并进行更新修正。 应用安全体系的架构分为三个部分：身份认证基础设施、应用安 全管理系统、应用安全中间件。 身份认证基础设施是整个系统的基础。平台整合了数字证书、用 户密码模式、动态口令卡、手机动态密码、指纹等多种身份认证模 式，并支持接入本地的 CA 机构。 3、 养老服务系统 建立基于云平台的养老服务系统，包括养老机构运营管理系统、 一卡通系统运行环境  一卡通系统数据中心；  一卡通系统专网建设。 4.2 建设目标 通过一卡通系统的建设，在养老机构建立统一的卡片管理平台， 并依据此平台扩展实现安全认证，出入管理，小额支付，交易结算 等应用。系统设计达到以下几个建设目标：  统一身份管理平台 在养老机构信息化管理中，每一个员工都拥有一个身份信息。 如果加上员工卡，就等于给每个员工发了一张电子名片。养老机构

............. 93 2.3.3.3 接入认证方案.......................................................................................................................93 2.3.3.4 Portal 认证............................ ....................... 94 2.3.3.5 一次认证（无感知认证）：...............................................................................................95 2.3.3.6 微信扫描认证....................................... 建设安全管理中心：主动防御系统建设，包括漏洞扫描平台和补丁升级平 台；等级保护体系建设；安全审计系统建设；安全策略系统建设；建立密钥管 36 xxx 智慧城市建设顶层设计方案 理中心；建设身份认证管理中心；建立安全评测中心。 建立监控应急中心：建立安全监控系统；建立安全预警和事件响应系统； 制定应急响应流程。 建立容灾恢复中心：建立统一的同城灾备中心；建立异地远程灾备系统； 制定灾备恢复方案。

基础支撑平台....................................................................................130 5.4.1 统一安全认证.............................................................................130 5.4.2 统一信息管理..... 对于移动应用来说仍 然需要到不同的系统中去获取所需要的数据，而系统间的数据不一致还常导致 长时间的数据核对，造成关键经营指标的出具滞后和不准确。另外，从系统安 全角度看，基于实际情况各系统没有实现统一的证书认证，存在安全隐患。因 此针对智慧城市各业务系统的数据整合势在必行。 移动业务整合系统是基于高性能平台架构的移动后端整合系统（如下图所 示），内置各种标准协议组件，统一移动业务前后端标准开发技术；同时通过 慧城市建 设成果展示、居民参与入口实施推进坚持快速面世、不断优化、统一城市入口 的方针展开，在实践中探索路径、完善细节、积累经验；平台安全可控，稳定 运行，遵守国家信息安全标准，实行严格的身份认证和等级授权机制，确保数 据使用安全和整个系统良性发展。 本工程非运营或盈利项目，不直接产生经济效益。 1.10主要结论与建议 XX 智慧城市移动服务及应用平台是未来统一的移动化入口是发展趋势，项

..........................11 （五） 跨城互认证书系统与身份认证 ....................................................................................... 14 1. 跨城互认证书系统与身份认证 ....................................... ................................................ 14 2. C-V2X PC5 证书系统与身份认证 .................................................................................. 14 三、 云控基础平台方案图 .................... 施方案。 2 二、 车路云一体化系统总体方案图 总体方案图明确了车路云一体化系统的关键组成部分、各部分内组成、部分间交互数据 流、数据交互内容与通信方式，以及跨城互认证书系统与身份认证等。 （一） 总体数据流 图 1 总体数据流 3 说明： 1、应用系统/平台是云控基础平台赋能业务场景的系统，包括用户已有的系统，如车企 云平台。

安移动接入区 移动终端的安全接入：端到 端数据加密传输、适合移动 终端的认证措施、主流移动 终端的支持 适合我国政府密码管理策略的密码算法配置： 商用密码算法 公钥证书认证算法 支持多种安全接入方式： IPsec VPN 、 SSL VPN 、加 密短消息 系统的网络安全方案：端到 端身份认证、数据加密、完 整性检验、抗重放攻击、抗 DOS 、 DDOS 攻击、公网段 中国电信天翼助力信息化应用 中国电信警务 e 通 警务 e 通 中国电信“警务 e 通”行业应用产品是利用中国电信电 话网、移动网、互联网的融合优势，借助物联网、云 计算等技术模型为公安一线执法人员提供数据加密及 身份认证等技术手段，在保障安全的前提下使用移动 终端与公安信息网进行信息交互的公安移动警务系统。 使公安信息能够覆盖凡是移动通信网络通达的任何地 方，达到公安部“三 A” 要求，即：任何地点，任何时 间及任 安装隔离网闸 ① 移动终端设备管理 ② 访问控制：应用级系统身份认证， 与 CA 系统紧密结合 ③ 安全组织体系、管理制度规范建设 ④ 业务安全监测与管理，业务注册信 息管理、各种安全策略管理、流量监 测、统计分析、安全审计等功能 ① 完备的访问日志 ② 硬件加密卡认证 ③ 独立的加密算法 ④ 身份认证功能：实现终端和用户， 终端和接入网关之间的多重认 证 ⑤ 数据完整性保护：检测和发现数

在实现 环保厅内网和移动接入网的隔离的同时，还负责环保厅内网和移动接入网之间的数据传递和转发。 • 第七层是应用支撑平台，它是面向应用程序的，是为应用系统提供运行环境。应用支撑平台中的认证系统对 用户提供统一认证，实现各个信息管理系统的单点登录。 公网/ 环保厅移动数传专网 移动终端 移动接入服务器 移动通信网 移动应用数据库 移动平台 信息安全网关 安全隔离层 业务库 综合库 L2TP 连接。 联通 AAA 服务器： 负责对用户的域名进行鉴权认证， AAA 服 务器对登录用户的域名和该用户的用户名 密码核对验证。验证通过后，方可接入联 通 GPRS 网络。 用户侧路由器（ LNS ）： 需支持 L2TP 协议， RADIUS 协议 , 要与 GGSN 建立 L2TP 隧道。 企业 AAA 服务器： 用于认证、授权、计费，实现对拨号用户 名、密码和 IP 地址的管理，此服务器为可选配置，用于提高网络的安全性。 当前任务查询、历史任务查询、警情公告查询、通知 公告查询 实现快速指挥工作、交流信息的目标，达到内外办公统 一、互动的效果 19 安全访问控制子系统 软硬件平台安全 （证书、算法） 身份认证 访问控制 存储加密 数据加密 移动应用网关 移动网络接入安全 防火墙 VPN 网关 安全控制与管理 证书管理 入侵检测管理与控制 审计管理 网络设备安全