1. 产品简介
UAP统一认证与访问控制系统可为企业办公网络中的B/S和C/S业务系统、网络设备、主机、数据库等企业资源,提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。
UAP统一认证与访问控制系统分为两个型号:UAP-S和UAP-G,分别具有不同侧重:
UAP-S作为应用帐号管理、统一认证、单点登录和权限管理中心,以企业用户、B/S和C/S系统为整合目标,实现统一认证、统一授权和访问控制。
UAP-G是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标,集成强身份认证、会话审计、集中管理功能的一体化硬件设备。可对企业内部用户应用访问、管理员维护等各类操作进行访问控制。UAP-G基于包过滤及代理技术,可实现对HTTP、Telnet、SSH、FTP、RDP远程桌面、CIFS文件共享等应用协议的访问控制及会话审计。
列表说明UAP-S与UAP-G的区别:
1.1 产品可解决的问题
UAP统一认证与访问控制系统能够满足不同企业集中认证、访问控制和安全管理的需求。
1、安全身份认证服务。提供口令认证、证书认证、USB智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式;同时支持LDAP、AD、RADIUS等外部认证源。
2、xx身份认证中心。为企业应用、主机、设备等提供多种认证接口,实现企业内部用户的统一身份认证,将UAP统一认证与访问控制系统作为企业内所有业务系统的认证入口,用户登录UAP统一认证与访问控制系统后, 由UAP统一认证与访问控制系统对登录用户进行集中授权。
3、应用系统(B/S、C/S)的安全单点登录。通过UAP统一认证与访问控制系统认证并授权的用户,可在UAP统一认证与访问控制系统中通过单点登录的方式访问B/S、C/S应用,方便用户使用,提高工作效率。
4、网络访问控制。在网络设备和服务器资源管理中指定用户可以访问的网络资源,从网络层限制了用户的网络访问权限,可用多种可选方式对维护人员的身份进行认证,可以有效避免非法用户的假冒。
5、访问审计。记录系统范围内的安全和系统审计信息,有效地分析整个系统的日常操作与安全事件数据,通过归类、合并、关联、优化、直观呈现等方法,使管理员轻松识别应用系统环境中潜在的恶意威胁活动,可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。
1.2 功能组成
图1-1:UAP统一认证与访问控制系统功能组成图
如图1-1所示,UAP统一认证与访问控制系统主要分为:管理员平台,ETCA证书中心,用户Portal、外部系统认证接口、底层服务四部分组成。
用户Portal:
包括用户认证入口与自服务平台两部分。用户在认证入口完成身份认证后,系统根据其身份进行业务系统或网络资源的访问授权;用户在自服务管理平台,方便用户自行完成应用系统相关关联映射、身份认证凭证(密码、用户证书)管理等操作,减少管理员负担;
管理员平台:
UAP统一认证及访问控制系统的管理平台为用户提供基于三员分立的管理员管理规范,为使用户可以更明确的、更便捷的管理UAP统一认证与访问控制系统,本系统还提供分级管理员管理功能。管理员可以在本平台可以进行下列工作:
a)系统管理员主要负责配置系统基本参数、用户帐户和组织机构的管理、业务系统管理以及用户日志审计。
b)安全管理员:管理用户证书、配置业务系统接入信息以及制定其他安全策略。
c)系统审计员:审计系统管理员操作日志、审计安全管理员操作日志。
安全认证服务:
UAP统一认证及访问控制系统可提供口令认证、证书认证、USB智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式;
支持LDAP、AD、RADIUS等外部认证源;
xx身份认证中心:
UAP统一认证及访问控制系统作为企业统一认证中心,为企业应用、主机、设备等提供多种认证接口,实现企业内部用户的统一身份认证;
提供基于SOAP、RADIUS、LDAP、NTLM、SOCKET等协议的认证接口;
帐号管理:
提供对应用系统帐号的统一管理;
具有主从帐号管理功能;
支持帐号信息的批量导入服务;
权限管理:
基于角色的用户权限模型,兼容用户个人高级权限;
整合企业内部资源,实现细粒度的权限划分和访问控制;
支持角色的定义和管理;
支持部门角色,方便以部门组织机构为单位,对所属用户进行批量授权;
单点登录服务:
支持B/S架构、 C/S架构应用系统单点登录;
提供API插件单点登录方式;
提供反向代理单点登录方式;
提供客户端代理单点登录方式;
提供HTTP HEADER单点登录方式;
支持应用系统零改动实现单点登录;
网络访问控制:
在主路部署情况将受控资源与访问者物理隔离;
对所有访问请求进行协议分析并应用访问控制规则;
可基于IP或IP+端口设置访问控制规则;
ETCA证书中心:
作为企业级CA证书中心,为用户提供数字证书的申请、签发、下载、作废、更新等服务,遵循PKI/CA 国际标准;
提供CRL、证书校验等服务;
支持证书模版、证书扩展项定义;
支持加密机/加密卡。
1.3 工作原理
1.3.1 应用层访问控制原理
图1-2:UAP-S统一认证及访问控制系统应用层工作原理
如图1-2所示,UAP统一认证及访问控制系统在应用层为用户提供两种认证方式:
业务系统插件认证。
UAP门户认证。
二者的区别主要在于当业务系统实现“认证插件”后,用户可直接访问该业务系统的认证页面,并在该系统中完成身份授权,认证插件只将用户的认证信息提交到UAP的外部认证接口,并获取认证结果。
采用UAP门户认证时,用户需要在UAP统一认证与访问控制系统的用户门户中完成身份认证、访问授权,在完成认证和授权后,用户只需要在UAP的用户门户中选择有权限访问的业务系统链接,即可单点登录到该业务系统中。
通过UAP门户认证后,用户可以凭借UAP统一认证与访问控制系统提供的“xx认证”服务,单点登录到任何被授权访问的业务系统,凭借优秀的单点登录模块、灵活的从帐号机制,即使是CS客户端也可实现单点登录。
1.3.2 网络层访问控制原理
图1-3:UAP-G统一认证及访问控制系统网络层工作原理
如图1-3所示,UAP统一认证及访问控制系统在主路部署模式下,为用户提供了类似透明代理的网络访问控制服务。
用户通过UAP访问网络资源时,UAP底层包的数据过滤器首先会分析数据包的协议、源、目标等信息,并与“访问策略服务”下发的受控资源进行匹配,判断当前通讯是否访问受控资源。若用户访问的是受控资源,则验证当前用户是否已通过身份认证,若未认证,则丢弃当前数据包。若已完成认证,则将数据包转发到底层“协议代理”服务中,使用户通过协议代理服务访问受控资源,并在用户访问过程中记录访问过程与信息。
若用户访问的是非受控资源,数据包过滤器会将数据包转发到“数据转发”服务,使用户真正使用透明代理进行访问。
1.3.3 统一身份认证技术原理
统一认证采用 SAML标准消息协议,通过对用户身份凭证的统一管理,实现在用户各系统和资源间的单点登入和单点登出。在系统认证过程中使用基于SOAP(简单对象访问)协议标准,实现登录请求的提交和认证结果的返回。采用SAML和SOAP协议,定义了用于安全服务之间传输安全信息的交换机制,实现不同安全服务系统之间的互操作性,提供了一种机制,使得用户可以在不同的安全服务系统之间交换认证和授权信息。
用户系统和资源的安全接入主要采用插件(Plug-in)和支持SSL协议的反向代理技术,插件(Plug-in)技术通过在用户系统或资源中部署安全插件,实现用户系统资源的单点接入和防护。反向代理技术实现对用户客户端主机访问受控系统和资源的代理,此方式无需修改用户系统就能实现用户系统和资源的安全接入。针对不同的应用场景,可灵活选用不同的安全接入方式。
认证方式支持包括数字证书认证、动态令牌认证、短信认证、指纹认证和简单的用户名口令认证等主流方式,并实现同一用户可采用不同的认证方式获得不同访问权限,如访问一般系统使用口令认证,访问安全级别高的采用数字证书认证。
1.3.4 访问控制技术原理
访问控制包括针对应用资源的实体访问控制和会话访问控制。实体访问控制是指控制用户能够访问哪些应用及资源,会话访问控制是指控制用户在应用会话过程中,能够执行哪些操作。UAP统一认证及访问控制系统在进行实体访问控制时,使用自主研发的协议分析系统,对用户与资源间会话进行分析,通过IP和端口控制技术,结合用户认证完成后的身份信息进行协议分析,根据身份信息、IP地址、端口等信息动态产生和删除包过滤规则,达到对设备的访问控制目的。UAP统一认证及访问控制系统针对受控资源使用的协议和提供的服务,可分别设置不同的访问控制策略。
在进行会话访问控制时,UAP统一认证及访问控制系统会结合应用的会话协议进行分析。通过对应用协议的分析和提取,甄别用户操作行为,结合设定的授权策略,达到访问控制的目的。
1.3.5 性能保障技术原理
为构建高性能的统一认证和访问控制系统,本系统基于一个高性能的协议树分析处理引擎,通过定制协议树规则模板,实现对特定协议的匹配分析,通过对协议数据的替换和数据包重组,实现认证、访问控制多个环节上的性能要求。
系统在流量整形和控制上使用了数据分类算法PRIO/CBQ,分类算法主要作用是可以对多种数据流区别对待。一旦数据包进入一个分类的队列规定,它就得被送到某一个类中分类,对数据包进行分类的工具是过滤器。过滤器会返回一个决定,队列规定就根据这个决定把数据包送入相应的类进行排队。每个子类都可以再次使用它们的过滤器进行进一步的分类。直到不需要进一步分类时,数据包才进入该类包含的队列规定排队。除了能够包含其它队列规定之外,绝大多数分类的队列规定能够流量整形。
1.4 产品优势
与同类产品相比,UAP统一认证与访问控制系统具有以下优势:
1)产品设计从国家政策法规、标准规范、行业特色等多个层面出发,融入了多年专业经验和多个大规模项目实施经验,能够有效地满足不同用户的个性化需求;
2)符合《国家信息安全等级保护管理办法》和《中华人民共和国电子签名法》等相关法律法规要求;
3)经过国家密码管理局产品检测,采用SM1、SM2、SM3国产密码算法,并具有统一认证类产品{wy}商用密码产品型号证书;
4)经过国家保密局产品检测,具备管理员三员分立、智能卡PIN码安全策略、管理平台安全防护等安全保护措施,并在源代码层面进行了安全加固与抗反向工程;
5)内置多种强身份认证技术,可安全、稳定的支持动态口令、指纹、短信动态码等多种认证方式;
6)支持LDAP、AD、Radius等多种外部认证源;
7)内置企业级CA证书中心,可为用户集中签发与制作证书;
8)统一管理用户帐号与身份认证凭证(证书信息、动态令牌信息、指纹信息,取决于用户当前使用的强身份认证方式);
9)提供API、客户端代理、反向代理、应用适配器多种接入方式,适应应用系统的多种开发语言和开发环境,降低接入难度,实现异构系统集成;
10)支持多访问控制方式和细粒度访问授权;
11)系统采用Java语言进行开发实现,并遵循J2EE规范,能够对系统进行灵活配置,独立性强,适合多种操作系统平台;
12)提供多种数据加密通道服务,SSL加密通道和关键信息加密通道,关键信息加密通道还可选用国密算法,用户可根据实际需要灵活选用;
13)性能稳定,支持集群和负载均衡部署。