時代億信UAP-S統一認證與訪問控制系統應用場景

1、產品應用場景
1.1 UAP-S系統能做什麼？
1.1.1 CA中心
    UAP-S系統內建一套綜合的企業級證書管理系統（ETCA），可用於數字證書的申請、稽核、簽發、登出、更新和查詢，頒發的數字證書格式嚴格遵循X.509v3規範，具有廣泛適用性和良好的擴充套件性。透過使用該系統，可以搭建出符合政府、行業、第三方、企業需求的CA中心。透過使用ETCA發行的數字證書可以為使用者提供資訊保安的全面服務：
保密性 — 保證資訊是秘密的
完整性 — 能檢驗資訊未被篡改
身份鑑別 — 檢驗個人或機構的身份
不可否定性 — 確保資訊或操作不能被否認

    ETCA應用國際先進技術，採用高強度的加密演算法、高可靠性的安全機制及完善的管理及配置策略來保障整個系統的安全、可靠的執行。
    ETCA系統完全遵循PKI及相關標準，這樣有利於與其它廠商的產品實現互連，增大證書的適用範圍。該系統支援的技術標註列表如下：

 
圖3-1 CA系統管理介面


1.1.2 企業認證中心
    UAP-S系統利用其強大的身份認證功能，將使用者的身份認證與企業的管理技術和業務流程密切結合，保證系統中的資料資源只能被有許可權的使用者訪問，未經授權的使用者無法訪問資料；防止偽造身份認證手段、訪問者身份等非法措施，從而有效保護資訊資源的安全。

    傳統身份認證只使用一種條件判斷使用者的身份，因此認證很容易被仿冒。而雙因子認證或強認證是透過組合兩種或多種不同條件（如透過密碼和晶片組合）來證明一個人的身份，安全性有了明顯提高。UAP-S系統支援對多種身份認證方式的混用，有效提高身份認證的安全性。UAP-S系統支援的認證方式有：
（1）USB智慧卡認證
（2）證書認證
（3）動態令牌
（4）簡訊認證
（5）指紋認證
（6）靜態口令
（7）一次性口令
（8）第三方認證元件

UAP-S系統還支援對認證方式的混用：
（1）多種認證方式同時啟用，即使用者必須經過兩種或兩種以上認證方式的認證才能登入進入系統；
（2）多種認證方式選擇啟用，即使用者可以在系統給出的兩種或兩種以上認證方式中選擇一個進行認證，認證透過就能登入進入系統；
（3）強制認證方式，即系統根據使用者或使用者角色資訊，給出指定的認證方式進行認證，使用者只有在透過指定認證方式認證的情況下才能登入進入系統；即使使用者使用其他認證方式登入進入系統，對需要進行強制認證的系統或應用場景依然需要二次強制認證，可以充分保證系統的執行安全和操作維護安全。

 
圖3-2 身份認證方式配置介面圖

1.1.3 應用系統單點登入
    UAP-S系統具有完善的單點登入體系，可安全地在應用系統之間傳遞或共享使用者身份認證憑證，使用者不必重複輸入憑證來確定身份。不僅帶來了更好的使用者體驗，更重要的是降低了安全的風險和管理的消耗。 


圖3-3 單點登入方式配置介面圖

UAP-S系統具有兩種應用系統帳號傳遞機制：
主從帳號方式
    UAP-S系統的使用者資訊資料獨立於各應用系統，形成統一的使用者唯一ID，並將其作為使用者的主帳號。如下圖所示：

  
圖3-4 主從帳號管理機制

    當增加一個應用系統時，只需要增加使用者唯一ID（主帳號）與該應用系統帳號（從帳號）的一個關聯資訊即可，不會對其它應用系統產生任何影響，從而解決登入認證時不同應用系統之間使用者交叉和使用者帳號不同的問題。單點登入過程均透過安全通道來保證資料傳輸的安全。

Ticket票據方式
    在使用者訪問應用系統之前，由UAP統一認證與訪問控制系統生成一次性的訪問Ticket票據，並將Ticket提交給應用系統，應用系統透過加密的方式回連UAP，並驗證Ticket有效性，之後返回認證結果和使用者身份資訊給應用系統。應用系統根據驗證結果確認使用者身份，並分配使用者許可權。

    此種認證登入方式下還可以配合IP地址繫結等方式，透過增加客戶端可識別資訊進一步加強系統間互動的安全性。

UAP-S具有多種單點登入實現方式：

反向代理
    在完成客戶端與認證伺服器的互動認證後，使用者先登入進入平臺系統，然後利用反向代理技術完成伺服器端代理使用者認證，並將應用系統資訊推送給客戶端瀏覽器，從而實現使用者對該應用系統的訪問。

API外掛
    外掛方式採用SSO認證服務和整合外掛（SSO API）的方式進行互動驗證使用者資訊，完成應用系統單點登入。外掛方式提供多種API，透過簡單呼叫即可實現SSO。

客戶端代理
    對於部分應用場景中應用系統不能停機或開發商不能配合的情況，UAP-S系統可採用客戶端代理技術，自動地完成應用系統單點登入。

HTTP HEADER
    當使用者訪問應用系統時，UAP-S系統的認證登入功能將該使用者資訊加密後放在HTTP HEADER中傳遞給應用系統。應用系統接收後解析HTTP HEADER內容，獲得使用者資訊，驗證後進入應用系統。
    考慮到HTTP明文傳輸的因素，可考慮使用SSL加密通道或關鍵資訊加密通道保護使用者認證資訊的安全。同時，UAP-S系統也可以在HTTP HEADER中置入經過加密的使用者資訊，需要對應用系統登入認證模組進行改造，使其識別加密後的使用者資訊，從而實現使用者身份驗證。

1.1.4 應用帳號統一管理
    UAP-S系統中的使用者帳號資訊統一管理元件基於關係型資料庫，用於儲存使用者的帳號資訊，並實現對接入平臺的所有應用系統均可以同步帳號資訊，節省了使用者投入，實現了資源利用最大化。

 
圖3-5 應用帳號管理介面

帳號集中管理
    UAP-S系統內建應用帳號管理元件，可提供對使用者帳號資訊的集中管理，支援與企業現有IT基礎設施無縫結合，支援多種型別的連線和互操作標準。

帳號管理的特點如下：
（1）可在一點操作，實現對各應用系統帳號的註冊、變更和登出管理；
（2）保證使用者帳號唯一性，實現操作可追溯，可定責；
（3）可整合LDAP、AD帳號資訊；

帳號同步
    UAP-S系統的帳號管理功能可與企業應用系統無縫結合，透過標準的LDAP介面或Web Service介面，嚮應用系統自動同步帳號資訊。

1.1.5 統一許可權管理
    UAP-S系統透過統一授權功能，可對使用者組與應用系統或資源的關聯關係，角色與應用系統或資源的關聯關係進行建立和維護，以此來完成使用者對應用系統與資源訪問的授權。

 
圖3-6 統一授權管理介面

實體級授權
    實體級授權主要指使用者可以訪問哪些資源（包括系統和應用）的授權。對於一般企業應用實體級授權主要為應用系統的實體級授權。
應用的實體級授權主要透過統一使用者管理、統一認證、統一授權功能的相互配合完成：
（1）根據使用者的許可權策略制定相應的ACL（訪問控制列表）；
（2）將制定的ACL透過附屬到組中形成一定顆粒度的授權單元；
（3）當一個使用者進行實體級授權時，可以透過在統一使用者管理功能中分配許可權組的方式對使用者進行授權。

實體內授權
    實體內授權主要指包括基於角色的授權和細粒度許可權授權，對於一般企業應用實體內授權主要為應用系統的實體內授權。

    應用的實體內授權主要透過整合應用中的角色模組實現：
（1）與應用的整合需要開發統一使用者管理Agent實現；
（2）統一使用者管理Agent會回收帳戶的角色以及系統所有的角色；
（3）當對使用者進行授權管理時，透過對使用者的角色屬性進行。

1.2 UAP-S系統應用場景
1.2.1 多應用統一認證（SSO）
多應用統一認證應用場景部署方案如下圖：

 
圖3-7 多應用統一認證應用場景

    UAP-S系統與應用系統伺服器放置在同一網段內，可採用串聯部署或並聯部署方式，上圖中以並聯部署方式為例。使用者首先訪問UAP-S系統的認證頁面，經過身份鑑別後，按照指定的許可權單點登入到各個應用系統。同時，根據部署模式的不同，應用程式原有登入認證入口可以保留或關閉。

    此種應用場景可以充分發揮UAP-S系統單點登入完善的優勢，透過反向代理、API外掛、客戶端代理、Ticket票據等多種技術手段整合B/S架構、C/S架構應用系統，方便使用者使用，同時，儘可能減少對使用者現有網路環境的變更。

1.2.2 企業認證中心
認證中心典型部署方案如下圖：

 
圖3-8 企業認證中心應用場景

    UAP-S系統與各個應用伺服器建立網路連線，應用系統配置自己的認證方式為使用第三方認證源，當使用者訪問應用系統時，應用系統將使用者的認證請求轉發到UAP-S系統，之後將認證結果返回給應用系統，應用系統根據認證結果決定使用者登入是否成功。

    此種應用場景可以充分發揮UAP-S系統整合性和多認證方式支援的優勢，透過使用標準介面，如LDAP、AD、資料庫介面卡，直接整合企業現有IT基礎設施，整合使用者帳號資訊，可準確驗證使用者身份；同時，由於UAP-S系統可相容多種認證方式，無論應用系統採用靜態口令、數字證書或是動態令牌，甚至簡訊認證，都可以到UAP-S系統中進行認證，並獲得驗證結果。