时代亿信 认证墙-UAP统一认证与访问控制产品

1.1  产品简介

UAP统一认证与访问控制产品 (以下简称UAP产品)集数字证书、动态口令、指纹、短信等强身份认证方式于一身， 是一个针对B/S、C/S架构应用系统的强身份认证及资源整合解决方案，对各类信息系统均可提供统一认证、单点登录、用户授权和统一身份管理功能，可统一制定企业安全策略，有效降低企业应用系统管理维护量，提高系统安全水平。

UAP统一认证与访问控制产品还可作为企业内部应用系统、服务器主机、网络设备等资源的访问控制入口，基于包过滤技术，集成强身份认证、会话审计、集中管理等功能,对企业内部用户应用访问进行访问控制和会话审计，实现网络资源分级管理，对访问机密数据库等密级较高的网络资源进行隔离保护，完全杜绝内网信息安全问题。

1.2  产品功能介绍

UAP统一认证与访问控制产品提供全面的认证、授权和审计服务。支持多种认证方式，包括：数字证书、动态口令、指纹、短信等强认证方式及临时口令、用户名口令等普通认证方式。

1.2.1  身份认证

1.2.1.1. 数字证书认证

基于PKI理论体系，采用CA数字证书和加密签名等技术进行身份识别，完成敏感信息以密文形式在网络中传输，企业应用可利用数字信封、数字签名等非对称密钥加密技术，实现对用户身份的认证以及网上信息传送的保密性、完整性、真实性和不可否认性；

无缝集成ETCA、CTCA、CFCA，同时支持第三方CA；

支持智能卡形态及软证书形态；

集成了证书申请、下载、重新申请、吊销等操作。

1.2.1.2. 动态口令认证

采用国际OATH联盟标准技术算法，每隔30/60秒钟或每触发一次动态生成一个随机的、单次使用的6/8位口令，与系统范围内合法用户的令牌信息作同步信任认证运算对照，构成一个安全、可靠的认证系统，保护计算机网络授权用户的合法利益，避免系统或网络受到非授权用户的非法访问；

原样机令牌通过国家标准（GB/T2423）例行试验及欧盟CE认证和美国FCC认证，并通过防震、防潮、抗静电、高低温、湿热、振动、自由跌落、抗电磁干扰等型式试验；

集成了令牌同步、激活、替换等操作。

1.2.1.3. 指纹认证

利用自动指纹识别系统通过特殊的光电转换设备和计算机图像处理技术，对活体指纹进行采集、分析和比对，自动、迅速、准确地鉴别出个人身份；

兼容五大指纹识别硬件厂商产品；

集成了指纹采集操作。

1.2.1.4. 短信认证

通过短信网关向指定手机发送具有时效性的随机的一次性口令；

支持电信、移动、联通等移动通信协议。

1.2.1.5. 临时口令认证

管理员在管理系统内为某用户添加临时口令，作为用户的应急访问方式；

可设置各种临时口令策略，管理方便。

1.2.1.6. 用户名口令认证

支持本地数据库认证及远程数据库、LDAP、AD等外部认证源的认证；

可设置各种密码安全策略。

1.2.1.7. 可选配套系统

1.2.1.7.1. 企业级CA系统

提供数字证书的申请、签发、下载、作废、更新等服务，遵循PKI/CA 国际标准；

提供CRL、证书校验等服务；

支持证书模版、证书扩展项定义；

支持加密机/加密卡；

1.2.1.7.2. 动态令牌管理系统

提供动态令牌的导入、绑定、解除绑定、激活、反激活、令牌替换、同步等服务，采用国际OATH联盟标准技术算法；

提供用户自助激活、同步、替换令牌等服务；

支持自定义认证窗口；

支持双因子认证（静态口令+动态口令）。

1.2.2  单点登录

UAP统一认证与访问控制产品具有完善的单点登录体系，可安全地在应用系统之间传递或共享用户身份认证凭证，用户不必重复输入凭证来确定身份。不仅带来了更好的用户体验，更重要的是降低了安全的风险和管理的消耗。支持多种单点登录方式，包括：API插件、客户端口令代填、服务器端口令代填以及部分主流产品（如domino）的单点登录等。可与门户等系统结合，将单点链接放置在门户等系统中统一展现。

UAP统一认证与访问控制产品提供数据库适配器、LDAP适配器、HTTP适配器等方式实现用户身份关联映射信息的自动校验，通过唯一的身份标识或用户身份关联映射，实现用户一次认证，即可自由访问有权限的应用系统，管理员还可使用应用系统页面表单的自动分析组件，简化应用系统的单点接入配置工作。

1.2.2.1. 插件方式

通过提供api插件包的方式，应用系统可根据简单开发完成单点接入；

提供各种语言的插件包：java、asp、php等。

1.2.2.2. 代理（客户端口令代填）方式

在客户端模拟用户表单提交的方式，登录系统；

应用系统不需要改造。

1.2.2.3. 反向代理（服务器端口令代填）方式

在服务器端模拟用户表单提交的方式，登录系统；

应用系统不需要改造；

可进行过滤规则配置；

可将不安全的链接变为安全的链接，即将http方式访问的系统变为https方式访问。

1.2.2.4. 主流产品

UAP统一认证与访问控制产品提供与国际厂商主流产品的认证单点登录接口，可方便快速的实现接入配置。产品支持以下产品：

1）IBM Domino产品

2）IBM WebSphere Portal产品

3）SAP Portal产品

1.2.3  主从帐号管理

UAP统一认证与访问控制产品支持主从账号管理，本系统内的用户信息数据独立于各应用系统，形成统一的用户唯一ID，并将其作为用户的主账号，再由其关联不同应用系统的用户账号（从账号），最后用关联后的账号访问相应的应用系统，不会对其它应用系统产生任何影响，从而解决登录认证时不同应用系统之间用户交叉和用户账号不同的问题。单点登录过程均可通过安全通道来保证数据传输的安全。

1.2.4  访问控制

UAP统一认证与访问控制产品支持用户权限的集中统一管理及访问控制。在进行实体访问控制时，使用自主研发的协议分析系统，对用户与资源间会话进行分析，通过IP和端口控制技术，结合用户认证完成后的身份信息进行协议分析，根据身份信息、IP地址、端口等信息动态产生和删除包过滤规则，达到对设备的访问控制目的。针对受控资源使用的协议和提供的服务，可分别设置不同的访问控制策略。

1.2.4.1. 物理隔离受控资源

提供对所有协议的包过滤控制，以网桥或旁路的模式部署在用户终端和资源系统之间。用户在访问资源系统前，必须先通过认证中心强身份认证；否则将拒绝用户访问资源或自动重定向到认证页面。用户在通过认证后，在用户终端可启动资源系统客户端(Telnet/SSH、FTP、浏览器等)直接登录用户被授权的资源系统，而不需要资源系统的登录认证。

1.2.4.2. 准确的访问授权

用户在成功登录后，系统将根据用户的账号进行动态绑定IP和MAC，以保证用户身份的唯一性，杜绝重复登录。系统将在用户每次登录前，动态设定该用户的资源访问权限，用户下线后，用户所拥有的资源访问策略自行消除。

在资源设定上，系统将C / S的受控资源进行了分类，方便用户进行C / S单点访问以及管理员调整资源策略。

1.2.4.3. 访问控制审计

通过分析网络包为用户提供受控资源访问控制服务，在用户完成登录并获得正确授权之后，系统还将记录用户名称、用户IP、用户MAC地址、目的IP和目的端口以及访问时间等日志信息。

1.2.4.4. B/S资源访问控制

用户访问WEB资源时根据用户和资源性质以及管理员设定的安全策略进行访问控制。该种访问控制对上层的应用是透明的，即上层的WEB应用不需要做任何改变，适合于任何类型的、已经建设完毕的应用和即将建设的WEB应用，只需要在WEB服务器安装一个安全代理即可。

1.2.4.5. C/S资源访问控制

将网络设备和服务器资源管理中，制定用户可以访问的网络资源，从网络层限制了用户对网络设备和服务器的访问，可以有效避免非法用户的假冒。

1.2.5  资源管理

提供应用系统等资源的注册和管理，供管理员可将注册的资源授予用户。

1.2.6  用户自服务

提供用户自服务管理界面，方便用户自行完成应用系统相关关联映射、身份认证凭证（密码、用户证书）管理等操作，减少管理员负担；

1.2.7  用户管理

支持用户的批量导入、导出服务；

支持用户分级管理，用户可由本地管理员进行维护；

支持用户属性扩展，可满足企业应用对用户属性的特定需求；

1.2.8  权限管理

基于角色的权限模型，兼容用户个人高级权限；

整合企业内部资源，实现细粒度的权限划分和访问控制；

支持角色的定义和管理；

支持部门角色，方便以部门组织机构为单位，对所属用户进行统一授权；

1.2.9  日志审计

提供对用户认证、访问、鉴权等操作，管理员各项维护管理操作的日志记录和实时监控。

1.2.10  公共服务

为企业各类应用提供系统配置、组织机构、用户、证书、鉴权等相关的公共服务。

1.3  产品规格与功能

产品功能

USB智能卡认证（SSL加密通道）

USB智能卡认证（无加密通道）

软证书认证

动态令牌认证

指纹认证

短信认证

用户名/口令认证

临时口令认证

外部认证源认证

统一认证

单点登录（插件）

单点登录（反向代理）

单点登录（主流产品）

企业组织机构用户集成

主从帐号管理

用户自服务

PKI/CA集成

访问控制

日志审计

组织机构、用户相关公共服务

1.4  成功案例

中央国债UAP统一身份管理平台

中央国债登记结算有限责任公司现有的中央债券综合业务系统以簿记系统为核心，由簿记系统、央行公开市场业务支持系统、债券发行系统、大额自动质押融资业务系统、小额质押额度管理系统、信息系统等系统组成。随着业务的不断增多，现有的经办人员管理和簿记系统结合在一起的用户管理模式以及分散的业务系统接入管理模式已经不能满足业务管理需求和安全控制需求。

时代亿信采用UAP统一认证与访问控制产品为中央国债建立了一套基于交换平台和统一用户管理的统一接入系统，在保证交易安全、方便、快捷、有效的基础上，一方面完成了对业务系统的统一接入管理和控制；另一方面完成了对各业务系统用户、角色、权限的统一管理和用户单点登录，从而有效提高中央债券综合业务系统的管理效率和系统安全性。

转载于:https://www.cnblogs.com/shidaiyixin/archive/2012/07/19/2599577.html