产品功能特点
1.1 xx自主知识产权
UAP统一认证与访问控制系统是时代亿信多年信息安全技术和行业经验积累所形成的新一代身份认证与资源整合产品,全部功能自主研发,具有xx的自主知识产权。在许多核心技术上深入研究,如动态通道、应用代理、信息中转和推送、URL重写、内容过滤、端到端加密通道等,使这些技术成为行业{lx1}技术。
1.2 成熟{lx1}
UAP统一认证与访问控制系统设计从国家政策法规、标准规范、行业特色等多个层面出发,融入了多年专业经验和多个大规模项目实施经验,可以满足B/S架构应用系统、C/S架构应用系统、数据库、主机、网络设备等各种资源统一认证、单点登录、访问控制的需求。
UAP统一认证与访问控制系统符合《国家信息安全等级保护管理办法》和《中华人民共和国电子签名法》等相关法律法规要求;UAP统一认证与访问控制系统经过国家密码管理局产品检测,采用SM1、SM2、SM3国产密码算法,并具有统一认证类产品{wy}商用密码产品型号证书;UAP统一认证与访问控制系统经过国家保密局产品检测,具备管理员三员分立、智能卡PIN码安全策略、管理平台安全防护等安全保护措施,并在源代码层面进行了安全加固与抗反向工程。
1.3 统一管理解决方案
认证墙系列产品致力于企业集中管理领域,为企业提供的一套集“用户”、“应用”、“资源”、“审计”为一体的企业集中管理整体解决方案。它为企业级用户提供下列服务:
统一用户管理
统一身份认证
统一用户授权
统一应用接入
统一日志审计
集中访问控制
作为成熟完整的企业统一用户管理解决方案,UAP统一认证与访问控制系统在认证墙产品体系中,基于SmartCOM(时代亿信开发的一套基于信息安全标准开发框架。它为不同类型的产品提供了一套统一的结合标准,使用此框架开发的信息安全产品间可以根据需要快速结合)框架进行功能组合,与统一用户管理系统紧密配合,在规范用户管理的基础上,利用主从帐号管理体系,实现用户访问应用系统的帐号统一管理、应用统一认证、安全单点登录、统一用户授权、集中访问控制、统一日志审计。
图2-1 整体解决方案
如上图所示,内网中的所有业务系统均与UAP-U集成,加入统一用户管理体系中,每个业务系统都将认证请求提交到UAP统一认证与访问控制系统进行认证,从UAP-U中获得访问授权,真正的将企业目录作为企业内部{wy}的认证源。
同时,在根据需求部署UAP-S或UAP-G(UAP-S只对应用进行访问控制,UAP-G则可对网络进行访问控制),利用产品间的SmartCOM接口,将UAP-U统一用户管里和UAP统一认证及访问控制系统融为一体,使用户经过一次认证,便可获得全网的授权。
1.4 {lx1}的身份认证方式
UAP统一认证与访问控制系统利用其{lx1}的身份认证功能,将用户的身份认证与企业的管理技术和业务流程密切结合,保证系统中的数据资源只能被有权限的用户访问,未经授权的用户无法访问数据;防止伪造身份认证手段、访问者身份等非法措施,从而有效保护信息资源的安全。
传统身份认证只使用一种条件判断用户的身份,因此认证很容易被仿冒。而双因子认证或强认证是通过组合两种或多种不同条件(如通过密码和芯片组合)来证明一个人的身份,安全性有了明显提高。UAP统一认证与访问控制系统支持对多种身份认证方式的混用,有效提高身份认证的安全性。UAP统一认证与访问控制系统的认证方式有:
USB智能卡认证
证书认证
动态令牌
短信认证
指纹认证
静态口令
一次性口令
第三方认证组件
除此之外,UAP统一认证与访问控制系统还为用户提供了基于SOAP、Radius、LDAP、SOCKET等协议的认证接口,并可通过NTLM与kerborse实现微软AD域集成认证;
双重认证方式
多种认证方式同时启用,即用户必须经过两种或两种以上认证方式的认证才能登录进入系统;
强制认证方式,即系统根据用户或用户角色信息,给出指定的认证方式进行认证,用户只有在通过指定认证方式认证的情况下才能登录进入系统;即使用户使用其他认证方式登录进入系统,对需要进行强制认证的系统或应用场景依然需要二次强制认证,可以充分保证系统的运行安全和操作维护安全。
作为统一认证及访问控制的一部分,UAP统一认证与访问控制系统为用户提供了“xx身份认证中心”,通过让业务系统实现xx认证(单点认证)接口的方式,实现用户在UAP统一认证与访问控制系统完成认证后,可自由单点到其他被授权访问的业务系统中。
1.5 完善的单点登录机制
UAP统一认证与访问控制系统具有完善的单点登录体系,可安全地在应用系统之间传递或共享用户身份认证凭证,用户不必重复输入凭证来确定身份。不仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。
图2-2 应用系统单点登录配置界面
UAP统一认证与访问控制系统具有多种单点登录实现方式,由下面章节详细介绍。
1.5.1 应用系统帐号传递机制——主从帐号管理
UAP统一认证与访问控制系统的用户信息数据独立于各应用系统,形成统一的用户{wy}ID,并将其作为用户的主帐号。如下图所示:
图2-3 主从帐号管理机制
(1)在通过UAP统一认证后,可以从登录认证结果中获取平台用户{wy}ID(主帐号);
(2)再由其关联不同应用系统的用户帐号(从帐号);
(3){zh1}用关联后的帐号访问相应的应用系统。
当增加一个应用系统时,只需要增加用户{wy}ID(主帐号)与该应用系统帐号(从帐号)的一个关联信息即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户帐号不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。
1.5.2 应用系统帐号传递机制——Ticket票据
在用户访问应用系统之前,由UAP统一认证与访问控制系统生成一次性的访问Ticket票据,并将Ticket提交给应用系统,应用系统通过加密的方式回连UAP,并验证Ticket有效性,之后返回认证结果和用户身份信息给应用系统。应用系统根据验证结果确认用户身份,并分配用户权限。
此种认证登录方式下还可以配合IP地址绑定等方式,通过增加客户端可识别信息进一步加强系统间交互的安全性。
1.5.3 B/S应用单点登录实现方式——API插件
插件方式采用SSO认证服务和集成插件(SSO API)的方式进行交互验证用户信息,完成应用系统单点登录。插件方式提供多种API,通过简单调用即可实现SSO。I
通常情况下,对于有原厂商配合开发的B/S架构、C/S架构应用系统,推荐使用该方式接入UAP统一认证与访问控制系统,以实现高效率高可靠的单点登录。
图2-4 插件机制
插件方式下通过平台访问应用系统的流程如下:
(1)用户在平台上点击访问的应用系统URL链接;
(2)由平台验证用户权限,有权限则在平台数据库中查询用户和应用系统的关联表,无权限则提示用户无权访问;
(3)如关联表中无相应记录,则该用户未授权,不允许访问;如关联表中有相应记录,则平台服务器提取用户在该应用系统中的身份信息,送至SSO服务加密签名形成数字信封后,返还给平台;
(4)由平台将加密信息发送给相应的应用系统;
(5)应用系统调用SSO API,对加密信息进行解密,得到用户身份信息并返回给应用系统;
(6)应用系统收到用户身份信息后通过信任机制允许用户访问应用系统。
1.5.4 B/S应用单点登录实现方式——反向代理
在完成客户端与认证服务器的交互认证后,用户先登录进入平台系统,然后利用反向代理技术完成服务器端代理用户认证,并将应用系统信息推送给客户端浏览器,从而实现用户对该应用系统的访问。
这种方式下应用系统基本不需改动和开发,对于不能作改动或没有原厂商配合改动的B/S架构应用系统,可以使用该方式接入UAP统一认证与访问控制系统。实现上,采用SSO认证服务和SSO Agent进行交互验证用户信息,完成应用系统单点登录。
图2-5 反向代理机制
反向代理方式下通过平台访问应用系统的流程如下:
(1)用户在平台上点击访问的应用系统URL链接;
(2)由平台验证用户权限,有权限则在平台数据库中查询用户和应用系统的关联表,无权限则提示用户无权访问;
(3)如关联表中无相应记录,则浏览器弹出建立关联的页面;如关联表中有相应记录,则平台服务器提取用户和应用系统的关联信息,送至SSO服务加密签名形成数字信封后,返还给平台;
(4)由平台将加密信息发送给应用系统前端的SSO Agent;
(5)SSO Agent收到加密信息后进行解密,并向应用系统提交用户关联信息;
(6)应用系统收到用户关联信息后进行验证,验证成功则允许用户访问应用,失败则提示用户更新关联信息。
在反向代理模式下,为了保证用户管理信息的正确,UAP统一认证与访问控制系统还提供了数据库适配器、LDAP适配器、HTTP适配器等组件,实现用户身份关联映射信息的自动校验。
1.5.5 B/S应用单点登录实现方式——客户端代理
对于部分应用场景中应用系统不能停机或开发商不能配合的情况,UAP统一认证与访问控制系统可采用客户端代理技术,自动地完成应用系统单点登录。其具体认证登录过程如下:
(1)在UAP统一认证与访问控制系统管理功能中为应用系统xx客户端代理功能,由管理员配置好客户端代理所需要的用户认证参数;
(2)用户登录单点登录平台;
(3)用户点击应用系统访问链接;
(4)客户端代理自动启动,并向应用系统服务器端传递用户认证参数;
(5)应用系统服务器端接收到认证参数,按照自身的认证方式通过用户验证,进入系统;
(6)用户使用应用系统而无需进行其他操作。
1.5.6 B/S应用单点登录实现方式——HTTP HEADER
当用户访问应用系统时,UAP统一认证与访问控制系统的认证登录功能将该用户信息加密后放在HTTP HEADER中传递给应用系统。应用系统接收后解析HTTP HEADER内容,获得用户信息,验证后进入应用系统。
考虑到HTTP明文传输的因素,可考虑使用SSL加密通道或关键信息加密通道保护用户认证信息的安全。同时,UAP统一认证与访问控制系统也可以在HTTP HEADER中置入经过加密的用户信息,需要对应用系统登录认证模块进行改造,使其识别加密后的用户信息,从而实现用户身份验证。
1.5.7 C/S应用单点登录实现方式
UAP统一认证与访问控制系统支持C/S模式应用系统,可提供应用系统插件API,方便的对目前大部分C/S模式的应用程序进行身份认证和单点登录接入。
一般的应用程序在登录时都包括如下内容:
程序名称
用户名框
密码框
登录按钮
服务器地址
服务器端口
许多客户端的服务器地址和端口利用配置文件存储在客户端安装目录中,所以服务器地址和端口属于可选组件。
UAP统一认证与访问控制系统支持CS客户端单点登录的方式主要是利用“单点登录配置助手”分析客户端登录窗口,通过配置,使UAP统一认证与访问控制系统可以在用户门户页面中通过用户点击链接调用客户端,并填写登录信息、点击登录按钮进行单点登录。
图2-6 单点登录配置助手
管理员利用配置助手工具分析CS客户端登录窗口后,按照分析结果,填写配置信息及访问策略后,用户即可在UAP用户门户页面通过点击链接的方式使用。
图2-7 C/S应用单点登录后台配置
图2-8 UAP用户Portal页面
1.5.8 单点退出
与单点登录相对应,单点退出功能可以解决“单点登录”功能在方便用户的同时留下的安全隐患,用户在UAP中主动下线或超时下线时,UAP统一认证与访问控制系统会向业务系统发起用户下线通知,告知业务系统,某用户已经下线,请销毁相关Session会话。
1.6 灵活的授权方式
UAP统一认证与访问控制系统同为企业用户提供了多种灵活的授权方式:
角色授权
部门组织机构授权
动态授权
图2-9 组织机构授权与用户角色授权
角色与组织机构都为一类人的总和,所不同的是,系统中的角色是与用户在工作中所承担的现实角色相对应的,与组织机构的纵向排列相对,大多数角色都为横向排列。如每个部门的主管、组长、组员等。
管理员可以在UAP统一认证与访问控制系统中同时为某个系统分别按照角色和用户组授权,如HR系统只有人事部门可以访问,并且部门经理及以上级别可以访问。这种按照用户组织机构与用户角色结合的授权方式不仅更为灵活,同时也更符合实际成产生活的需求。
1.7 内置企业级CA
UAP统一认证与访问控制系统内置了企业级证书管理系统,可完成数字证书的综合管理工作,有着如下完备的功能:
(1)丰富的证书业务功能
(2)基于角色的授权管理
(3)支持多级CA
(4)强大的证书模板功能
(5)所见即所得的自定义功能(自定义证书模板&自定义证书扩展域)
(6)支持汉字证书
(7)支持KMC(密钥管理中心)
(8)支持OCSP(在线证书状态查询)
(9)支持可替换的加密模块
(10)以用户为中心的证书管理模式
证书管理系统配有专门的证书管理员,通过使用优化后的管理页面,管理员只需在图形界面中点击鼠标,就可完成用户证书申请、审批、签发工作,到期的用户证书可以进行批量自动更新。
对于希望减轻管理负担的用户,证书自助服务可以直接面向最终用户提供证书申请与签发界面,缩短了实施时代亿信证书认证解决方案的时间。
1.8 网络层访问控制
针对用户对网络资源的访问,UAP-G系统采用过滤分析网络包的形式,鉴别用户访问的是否为受控资源以及用户是否有权限访问该资源。
在实际应用环境中,存在着大量的网络设备(如路由器、交换机等)和主机服务器(如Linux服务器、UNIX服务器等),维护和管理人员对这些设备和服务器的维护存在着很大的安全隐患。每个管理员都可以连接其他人负责的网络设备,如果存在帐号共享的情况,便有可能出现权力不明,责任不清的问题。
UAP-G将网络设备和服务器资源管理中,指定用户可以访问的网络资源,从网络层限制了用户可以连接什么地方,不可以连接什么地方,实现了系统维护人员对网络设备和服务器访问控制和认证授权。UAP-G采用多种可选方式对维护人员的身份进行认证,可以有效避免非法用户的假冒;通过日志审计功能,UAP-G能够实现对用户网络访问的跟踪,而日志信息的分析和挖掘,为安全事故的调查提供了一个很好的辅助工具。
UAP-G系统对所有协议的包过滤控制,以网桥的模式部署在用户终端和资源系统之间。用户在访问资源系统前,必须先登录UAP-G用户登录平台;或者用户在访问WEB资源系统前,如果没有认证的话,UAP-G会提示登录或自动重定向到UAP-G的用户登录平台。用户在通过认证后,在用户终端可启动资源系统客户端(Telnet/SSH、FTP、浏览器等)直接登录用户被授权的资源系统,而不需要资源系统的登录认证。
UAP-G系统支持网络资源有;
B/S模式应用系统
UAP-G系统支持多种WEB服务器平台,如果只对业务系统进行访问控制,WEB业务系统不需要做任何更改;若希望使用单点登录功能,则需要业务系统实现相应的单点登录接口,同时UAP-G系统提供API支持。
C/S模式应用系统
UAP-G系统支持C/S模式应用系统,可方便的对目前大部分C/S模式的应用程序进行访问控制管理,减少二次开发。目前,UAP-G系统可以xx支持下列C/S应用的访问控制和日志审计:
Telnet
SSH
FTP
SCP / SFTP
Oracle、DB2、MySQL、SQL-SERVER等数据库
文件共享
1.8.1 按资源安全等级保护
UAP-G系统可对内网中的任何类型的主机进行保护,管理员只需将该主机置于UAP-G系统后方,便可经过简单配置,根据该主机的业务类型和安全级别设定用户访问策略。利用物理隔离、安全的身份认证机制和灵活的资源授权机制,把需要保护的主机妥善的保护起来,用户登录UAP-G系统后,更可体验到单点登录到B/S 与 C/S资源的简单和方便。
1.8.2 可集成性
当前的信息系统中资源包括WEB服务器、应用服务器、数据库数据资源、网络设备、服务器主机和数据库服务器以及文件共享服务等,UAP-G系统的目标就是将这些不同环境中的各种资源无缝的结合起来。对于各种网络资源,UAP-G系统通过网络数据报分析、过滤的解决方案达到对资源的授权控制。对于一般网络中的文件共享服务,UAP-G系统可通过在域服务器简单安装子服务的形式,进行域授权控制,实现集成和整合。另外,UAP-G系统xx支持行业标准,例如X.509,Radius(AAA),在安全服务之间提供了灵活方便的可交互性。
根据UAP-G系统运行模式的不同,用户可以跟据现有网络环境的情况选择“网桥”模式和“旁路”模式。
网桥模式下,只需简单将UAP-G系统串联到受控资源前面,对所有访问后方受保护资源的数据包进行过滤控制,从物理上划分出不同的安全区域,具有较高的安全及访问控制级别。可以为受控资源提供最完善的网络访问控制、授权、集中帐号管理和网络访问审计功能。
若部署在旁路模式下,只需让UAP-G系统连接在交换机上,经过简单配置,便可进行网络数据包的分析和过滤,及认证和授权服务。
1.8.3 可扩展性
UAP-G系统体现出了非常强大的可扩展性。UAP-G系统基于角色的授权体制和灵活的集成机制使得不管业务怎么扩展、用户怎么增加、数据怎么激增它都能应付自如。另外,UAP-G系统灵活方便的API允许用户根据实际需求定制个性化的安全管理解决方案。
1.8.4 面向多种资源的授权机制
UAP-G系统提供灵活实用的授权技术以便使管理员管理B/S资源、C/S资源、数据资源、网络设备、数据库服务器。UAP-G系统的授权机制根据动态绑定用户MAC地址来满足各种业务的不同需求。
对服务器的访问授权,可以依据不同的自然人进行权限分配,即使这些自然人共享同一个系统帐号。
1.8.5 面向会话的访问审计
一般的网络控制产品,在访问审计方面,主要针对IP和端口进行审计,比如某个IP地址在什么时候使用哪个端口访问了哪个IP的哪个端口,这种审计无法得知在访问过程中,用户到地执行了哪些操作,更无法针对这些操作进行访问控制。
UAP-G系统可针对于用户访问的会话内容进行审计。比如用户在Telnet某个服务器时,我们可以控制该用户是否可以执行某个命令,并且对用户对服务器所执行的操作进行会话记录,将用户输入的命令及服务器的返回信息进行记录,不论在访问控制方面还是在后期追责方面,都为用户提供了非常方便并且准确的访问控制和日志审计服务。
1.8.6 简单易用性
UAP-G系统简单易用的管理界面屏蔽了用户权限和策略管理的复杂性,大大减少员工培训和维护的成本。此外,分级委托授权管理也极大地帮助管理员减轻管理负担。
在使用方面,当用户访问一个受保护的WEB资源时,UAP-G系统还将对用户进行主动认证,即使用户不知道服务器地址,也可方便的进行认证并可享受权限内的B/S应用的单点登录功能。
1.8.7 可快速实施
UAP-G系统提供两种部署模式:“透明网桥”与“旁路部署”,这两种部署模式都可简单实现,在最快时间内完成部署,实现对现有网络环境配置的最小化修改。
透明网桥:将服务器部署在受控资源前面,达到对受控资源的物理隔离,无需修改现有网络配置即可进行资源保护。
旁路部署:只需让UAP-G系统连接在交换机上,经过简单配置,便可在xx不影响现有网络环境的前提下完成部署。
1.9 具备快速部署能力
UAP-G系统为硬件产品,针对应用对象和应用场景进行功能优化,大幅度减少了应用系统二次开发工作量,增强了系统的友好性和易用性,缩短了企业部署时间和用户上手时间,为用户节省投资。
1.10 丰富的安全策略
UAP统一认证与访问控制系统通过将用户划分为用户组或角色,可以配置不同的安全策略,减轻管理员的工作量。安全策略支持用户IP地址策略、管理IP地址策略、时间策略、口令策略设置,具体如下:
(1)用户IP地址策略:限定用户访问UAP统一认证与访问控制系统的客户端IP地址,阻止未授权的IP地址访问应用;
(2)管理IP地址策略:限定管理员访问UAP统一认证与访问控制系统后台管理功能的客户端IP地址,阻止未授权的IP地址访问管理功能;
(3)时间策略:限定用户访问受UAP统一认证与访问控制系统保护的应用系统的时间段,例如可设置只有上班8个小时允许访问,从而{zd0}限度减少非法入侵的可能;
(4)口令策略:可定义口令的复杂度策略,包括用户口令的长度、定义非重复口令、禁用的字符短语等;可定义口令的过期策略,使用户在一定周期过后就强制要求修改密码;可针对不同用户组和角色应用不同的口令安全策略。
1.11 日志审计
图2-10 日志审计界面
UAP统一认证与访问控制系统可记录系统范围内的安全和系统审计信息,有效地分析整个系统的日常操作与安全事件数据,通过归类、合并、关联、优化、直观呈现等方法,使管理员轻松识别应用系统环境中潜在的恶意威胁活动,可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。
UAP统一认证与访问控制系统具有实时监控功能,可随时了解用户当前操作的内容,监控用户的操作,及时发现潜在的危险操作或违法操作,便于{dy}时间处理。
实时监控功能还避免了管理员对日志文件的操作,提供直观、清晰、易用的WEB监控页面,增强了系统的友好性。
在UAP统一认证与访问控制系统中发生的关键事件可以得到过滤、标记,并被发送给指定的接收对象。这种能力可以使管理员接近实时地发现重要的事件,同时还可以实现Email告警、短信告警或其他形式的操作。
UAP统一认证与访问控制系统具有自动日志维护功能,简化了管理员操作,具备建立定期日志备份、日志转储、日志清理等多项功能,可以确保安全地保存使用日志,而不需人工参与。系统内置了大量报表和图表功能,使管理员方便地制作多种类型的报告,可以细化到每个字段。报告功能可提供多种格式的报表,包括便于web 浏览和分发的HTML 格式。
UAP统一认证与访问控制系统通过分析网络包为用户提供受控资源访问控制服务,在用户完成登录并获得正确授权之后,UAP统一认证与访问控制系统还将记录用户访问受保护资源的日志记录。
日志中记录了用户名称、用户IP、目的IP和目的端口以及访问时间等主要信息。
审计管理员登录系统后,可对日志进行查询并导出为Excel文件,方便管理员利用Excel工具对日志内容进行各种统计工作。
另外,对于UAP统一认证与访问控制系统采用三权分立的授权机制,管理员对UAP统一认证与访问控制系统所作的所有修改和系统自身发生的情况都会被记入日志中,并且只有日志审计管理员才可对日志进行操作。
1.12 应急访问
通过使用应急访问功能,可以在用户遗失或忘带身份认证凭证的情况下,通过管理员临时赋予用户一个可用登录凭证,满足用户使用应用系统的需求。
临时可用的登录凭证由管理员根据需要分发,可设置相应的审批流程,临时凭证可与安全策略配合使用,配置时间、IP地址设置限制,如可限制只有上班8小时才能使用等等。