時代億信UAP-S統一認證與訪問控制系統應用場景
1、產品應用場景
1.1 UAP-S系統能做什麼?
1.1.1 CA中心
UAP-S系統內建一套綜合的企業級證書管理系統(ETCA),可用於數字證書的申請、稽核、簽發、登出、更新和查詢,頒發的數字證書格式嚴格遵循X.509v3規範,具有廣泛適用性和良好的擴充套件性。透過使用該系統,可以搭建出符合政府、行業、第三方、企業需求的CA中心。透過使用ETCA發行的數字證書可以為使用者提供資訊保安的全面服務:
保密性 — 保證資訊是秘密的
完整性 — 能檢驗資訊未被篡改
身份鑑別 — 檢驗個人或機構的身份
不可否定性 — 確保資訊或操作不能被否認
ETCA應用國際先進技術,採用高強度的加密演算法、高可靠性的安全機制及完善的管理及配置策略來保障整個系統的安全、可靠的執行。
ETCA系統完全遵循PKI及相關標準,這樣有利於與其它廠商的產品實現互連,增大證書的適用範圍。該系統支援的技術標註列表如下:
圖3-1 CA系統管理介面
1.1.2 企業認證中心
UAP-S系統利用其強大的身份認證功能,將使用者的身份認證與企業的管理技術和業務流程密切結合,保證系統中的資料資源只能被有許可權的使用者訪問,未經授權的使用者無法訪問資料;防止偽造身份認證手段、訪問者身份等非法措施,從而有效保護資訊資源的安全。
傳統身份認證只使用一種條件判斷使用者的身份,因此認證很容易被仿冒。而雙因子認證或強認證是透過組合兩種或多種不同條件(如透過密碼和晶片組合)來證明一個人的身份,安全性有了明顯提高。UAP-S系統支援對多種身份認證方式的混用,有效提高身份認證的安全性。UAP-S系統支援的認證方式有:
(1)USB智慧卡認證
(2)證書認證
(3)動態令牌
(4)簡訊認證
(5)指紋認證
(6)靜態口令
(7)一次性口令
(8)第三方認證元件
UAP-S系統還支援對認證方式的混用:
(1)多種認證方式同時啟用,即使用者必須經過兩種或兩種以上認證方式的認證才能登入進入系統;
(2)多種認證方式選擇啟用,即使用者可以在系統給出的兩種或兩種以上認證方式中選擇一個進行認證,認證透過就能登入進入系統;
(3)強制認證方式,即系統根據使用者或使用者角色資訊,給出指定的認證方式進行認證,使用者只有在透過指定認證方式認證的情況下才能登入進入系統;即使使用者使用其他認證方式登入進入系統,對需要進行強制認證的系統或應用場景依然需要二次強制認證,可以充分保證系統的執行安全和操作維護安全。
圖3-2 身份認證方式配置介面圖
1.1.3 應用系統單點登入
UAP-S系統具有完善的單點登入體系,可安全地在應用系統之間傳遞或共享使用者身份認證憑證,使用者不必重複輸入憑證來確定身份。不僅帶來了更好的使用者體驗,更重要的是降低了安全的風險和管理的消耗。
圖3-3 單點登入方式配置介面圖
UAP-S系統具有兩種應用系統帳號傳遞機制:
主從帳號方式
UAP-S系統的使用者資訊資料獨立於各應用系統,形成統一的使用者唯一ID,並將其作為使用者的主帳號。如下圖所示:
圖3-4 主從帳號管理機制
當增加一個應用系統時,只需要增加使用者唯一ID(主帳號)與該應用系統帳號(從帳號)的一個關聯資訊即可,不會對其它應用系統產生任何影響,從而解決登入認證時不同應用系統之間使用者交叉和使用者帳號不同的問題。單點登入過程均透過安全通道來保證資料傳輸的安全。
Ticket票據方式
在使用者訪問應用系統之前,由UAP統一認證與訪問控制系統生成一次性的訪問Ticket票據,並將Ticket提交給應用系統,應用系統透過加密的方式回連UAP,並驗證Ticket有效性,之後返回認證結果和使用者身份資訊給應用系統。應用系統根據驗證結果確認使用者身份,並分配使用者許可權。
此種認證登入方式下還可以配合IP地址繫結等方式,透過增加客戶端可識別資訊進一步加強系統間互動的安全性。
UAP-S具有多種單點登入實現方式:
反向代理
在完成客戶端與認證伺服器的互動認證後,使用者先登入進入平臺系統,然後利用反向代理技術完成伺服器端代理使用者認證,並將應用系統資訊推送給客戶端瀏覽器,從而實現使用者對該應用系統的訪問。
API外掛
外掛方式採用SSO認證服務和整合外掛(SSO API)的方式進行互動驗證使用者資訊,完成應用系統單點登入。外掛方式提供多種API,透過簡單呼叫即可實現SSO。
客戶端代理
對於部分應用場景中應用系統不能停機或開發商不能配合的情況,UAP-S系統可採用客戶端代理技術,自動地完成應用系統單點登入。
HTTP HEADER
當使用者訪問應用系統時,UAP-S系統的認證登入功能將該使用者資訊加密後放在HTTP HEADER中傳遞給應用系統。應用系統接收後解析HTTP HEADER內容,獲得使用者資訊,驗證後進入應用系統。
考慮到HTTP明文傳輸的因素,可考慮使用SSL加密通道或關鍵資訊加密通道保護使用者認證資訊的安全。同時,UAP-S系統也可以在HTTP HEADER中置入經過加密的使用者資訊,需要對應用系統登入認證模組進行改造,使其識別加密後的使用者資訊,從而實現使用者身份驗證。
1.1.4 應用帳號統一管理
UAP-S系統中的使用者帳號資訊統一管理元件基於關係型資料庫,用於儲存使用者的帳號資訊,並實現對接入平臺的所有應用系統均可以同步帳號資訊,節省了使用者投入,實現了資源利用最大化。
圖3-5 應用帳號管理介面
帳號集中管理
UAP-S系統內建應用帳號管理元件,可提供對使用者帳號資訊的集中管理,支援與企業現有IT基礎設施無縫結合,支援多種型別的連線和互操作標準。
帳號管理的特點如下:
(1)可在一點操作,實現對各應用系統帳號的註冊、變更和登出管理;
(2)保證使用者帳號唯一性,實現操作可追溯,可定責;
(3)可整合LDAP、AD帳號資訊;
帳號同步
UAP-S系統的帳號管理功能可與企業應用系統無縫結合,透過標準的LDAP介面或Web Service介面,嚮應用系統自動同步帳號資訊。
1.1.5 統一許可權管理
UAP-S系統透過統一授權功能,可對使用者組與應用系統或資源的關聯關係,角色與應用系統或資源的關聯關係進行建立和維護,以此來完成使用者對應用系統與資源訪問的授權。
圖3-6 統一授權管理介面
實體級授權
實體級授權主要指使用者可以訪問哪些資源(包括系統和應用)的授權。對於一般企業應用實體級授權主要為應用系統的實體級授權。
應用的實體級授權主要透過統一使用者管理、統一認證、統一授權功能的相互配合完成:
(1)根據使用者的許可權策略制定相應的ACL(訪問控制列表);
(2)將制定的ACL透過附屬到組中形成一定顆粒度的授權單元;
(3)當一個使用者進行實體級授權時,可以透過在統一使用者管理功能中分配許可權組的方式對使用者進行授權。
實體內授權
實體內授權主要指包括基於角色的授權和細粒度許可權授權,對於一般企業應用實體內授權主要為應用系統的實體內授權。
應用的實體內授權主要透過整合應用中的角色模組實現:
(1)與應用的整合需要開發統一使用者管理Agent實現;
(2)統一使用者管理Agent會回收帳戶的角色以及系統所有的角色;
(3)當對使用者進行授權管理時,透過對使用者的角色屬性進行。
1.2 UAP-S系統應用場景
1.2.1 多應用統一認證(SSO)
多應用統一認證應用場景部署方案如下圖:
圖3-7 多應用統一認證應用場景
UAP-S系統與應用系統伺服器放置在同一網段內,可採用串聯部署或並聯部署方式,上圖中以並聯部署方式為例。使用者首先訪問UAP-S系統的認證頁面,經過身份鑑別後,按照指定的許可權單點登入到各個應用系統。同時,根據部署模式的不同,應用程式原有登入認證入口可以保留或關閉。
此種應用場景可以充分發揮UAP-S系統單點登入完善的優勢,透過反向代理、API外掛、客戶端代理、Ticket票據等多種技術手段整合B/S架構、C/S架構應用系統,方便使用者使用,同時,儘可能減少對使用者現有網路環境的變更。
1.2.2 企業認證中心
認證中心典型部署方案如下圖:
圖3-8 企業認證中心應用場景
UAP-S系統與各個應用伺服器建立網路連線,應用系統配置自己的認證方式為使用第三方認證源,當使用者訪問應用系統時,應用系統將使用者的認證請求轉發到UAP-S系統,之後將認證結果返回給應用系統,應用系統根據認證結果決定使用者登入是否成功。
此種應用場景可以充分發揮UAP-S系統整合性和多認證方式支援的優勢,透過使用標準介面,如LDAP、AD、資料庫介面卡,直接整合企業現有IT基礎設施,整合使用者帳號資訊,可準確驗證使用者身份;同時,由於UAP-S系統可相容多種認證方式,無論應用系統採用靜態口令、數字證書或是動態令牌,甚至簡訊認證,都可以到UAP-S系統中進行認證,並獲得驗證結果。
1.1 UAP-S系統能做什麼?
1.1.1 CA中心
UAP-S系統內建一套綜合的企業級證書管理系統(ETCA),可用於數字證書的申請、稽核、簽發、登出、更新和查詢,頒發的數字證書格式嚴格遵循X.509v3規範,具有廣泛適用性和良好的擴充套件性。透過使用該系統,可以搭建出符合政府、行業、第三方、企業需求的CA中心。透過使用ETCA發行的數字證書可以為使用者提供資訊保安的全面服務:
保密性 — 保證資訊是秘密的
完整性 — 能檢驗資訊未被篡改
身份鑑別 — 檢驗個人或機構的身份
不可否定性 — 確保資訊或操作不能被否認
ETCA應用國際先進技術,採用高強度的加密演算法、高可靠性的安全機制及完善的管理及配置策略來保障整個系統的安全、可靠的執行。
ETCA系統完全遵循PKI及相關標準,這樣有利於與其它廠商的產品實現互連,增大證書的適用範圍。該系統支援的技術標註列表如下:
圖3-1 CA系統管理介面
1.1.2 企業認證中心
UAP-S系統利用其強大的身份認證功能,將使用者的身份認證與企業的管理技術和業務流程密切結合,保證系統中的資料資源只能被有許可權的使用者訪問,未經授權的使用者無法訪問資料;防止偽造身份認證手段、訪問者身份等非法措施,從而有效保護資訊資源的安全。
傳統身份認證只使用一種條件判斷使用者的身份,因此認證很容易被仿冒。而雙因子認證或強認證是透過組合兩種或多種不同條件(如透過密碼和晶片組合)來證明一個人的身份,安全性有了明顯提高。UAP-S系統支援對多種身份認證方式的混用,有效提高身份認證的安全性。UAP-S系統支援的認證方式有:
(1)USB智慧卡認證
(2)證書認證
(3)動態令牌
(4)簡訊認證
(5)指紋認證
(6)靜態口令
(7)一次性口令
(8)第三方認證元件
UAP-S系統還支援對認證方式的混用:
(1)多種認證方式同時啟用,即使用者必須經過兩種或兩種以上認證方式的認證才能登入進入系統;
(2)多種認證方式選擇啟用,即使用者可以在系統給出的兩種或兩種以上認證方式中選擇一個進行認證,認證透過就能登入進入系統;
(3)強制認證方式,即系統根據使用者或使用者角色資訊,給出指定的認證方式進行認證,使用者只有在透過指定認證方式認證的情況下才能登入進入系統;即使使用者使用其他認證方式登入進入系統,對需要進行強制認證的系統或應用場景依然需要二次強制認證,可以充分保證系統的執行安全和操作維護安全。
圖3-2 身份認證方式配置介面圖
1.1.3 應用系統單點登入
UAP-S系統具有完善的單點登入體系,可安全地在應用系統之間傳遞或共享使用者身份認證憑證,使用者不必重複輸入憑證來確定身份。不僅帶來了更好的使用者體驗,更重要的是降低了安全的風險和管理的消耗。
圖3-3 單點登入方式配置介面圖
UAP-S系統具有兩種應用系統帳號傳遞機制:
主從帳號方式
UAP-S系統的使用者資訊資料獨立於各應用系統,形成統一的使用者唯一ID,並將其作為使用者的主帳號。如下圖所示:
圖3-4 主從帳號管理機制
當增加一個應用系統時,只需要增加使用者唯一ID(主帳號)與該應用系統帳號(從帳號)的一個關聯資訊即可,不會對其它應用系統產生任何影響,從而解決登入認證時不同應用系統之間使用者交叉和使用者帳號不同的問題。單點登入過程均透過安全通道來保證資料傳輸的安全。
Ticket票據方式
在使用者訪問應用系統之前,由UAP統一認證與訪問控制系統生成一次性的訪問Ticket票據,並將Ticket提交給應用系統,應用系統透過加密的方式回連UAP,並驗證Ticket有效性,之後返回認證結果和使用者身份資訊給應用系統。應用系統根據驗證結果確認使用者身份,並分配使用者許可權。
此種認證登入方式下還可以配合IP地址繫結等方式,透過增加客戶端可識別資訊進一步加強系統間互動的安全性。
UAP-S具有多種單點登入實現方式:
反向代理
在完成客戶端與認證伺服器的互動認證後,使用者先登入進入平臺系統,然後利用反向代理技術完成伺服器端代理使用者認證,並將應用系統資訊推送給客戶端瀏覽器,從而實現使用者對該應用系統的訪問。
API外掛
外掛方式採用SSO認證服務和整合外掛(SSO API)的方式進行互動驗證使用者資訊,完成應用系統單點登入。外掛方式提供多種API,透過簡單呼叫即可實現SSO。
客戶端代理
對於部分應用場景中應用系統不能停機或開發商不能配合的情況,UAP-S系統可採用客戶端代理技術,自動地完成應用系統單點登入。
HTTP HEADER
當使用者訪問應用系統時,UAP-S系統的認證登入功能將該使用者資訊加密後放在HTTP HEADER中傳遞給應用系統。應用系統接收後解析HTTP HEADER內容,獲得使用者資訊,驗證後進入應用系統。
考慮到HTTP明文傳輸的因素,可考慮使用SSL加密通道或關鍵資訊加密通道保護使用者認證資訊的安全。同時,UAP-S系統也可以在HTTP HEADER中置入經過加密的使用者資訊,需要對應用系統登入認證模組進行改造,使其識別加密後的使用者資訊,從而實現使用者身份驗證。
1.1.4 應用帳號統一管理
UAP-S系統中的使用者帳號資訊統一管理元件基於關係型資料庫,用於儲存使用者的帳號資訊,並實現對接入平臺的所有應用系統均可以同步帳號資訊,節省了使用者投入,實現了資源利用最大化。
圖3-5 應用帳號管理介面
帳號集中管理
UAP-S系統內建應用帳號管理元件,可提供對使用者帳號資訊的集中管理,支援與企業現有IT基礎設施無縫結合,支援多種型別的連線和互操作標準。
帳號管理的特點如下:
(1)可在一點操作,實現對各應用系統帳號的註冊、變更和登出管理;
(2)保證使用者帳號唯一性,實現操作可追溯,可定責;
(3)可整合LDAP、AD帳號資訊;
帳號同步
UAP-S系統的帳號管理功能可與企業應用系統無縫結合,透過標準的LDAP介面或Web Service介面,嚮應用系統自動同步帳號資訊。
1.1.5 統一許可權管理
UAP-S系統透過統一授權功能,可對使用者組與應用系統或資源的關聯關係,角色與應用系統或資源的關聯關係進行建立和維護,以此來完成使用者對應用系統與資源訪問的授權。
圖3-6 統一授權管理介面
實體級授權
實體級授權主要指使用者可以訪問哪些資源(包括系統和應用)的授權。對於一般企業應用實體級授權主要為應用系統的實體級授權。
應用的實體級授權主要透過統一使用者管理、統一認證、統一授權功能的相互配合完成:
(1)根據使用者的許可權策略制定相應的ACL(訪問控制列表);
(2)將制定的ACL透過附屬到組中形成一定顆粒度的授權單元;
(3)當一個使用者進行實體級授權時,可以透過在統一使用者管理功能中分配許可權組的方式對使用者進行授權。
實體內授權
實體內授權主要指包括基於角色的授權和細粒度許可權授權,對於一般企業應用實體內授權主要為應用系統的實體內授權。
應用的實體內授權主要透過整合應用中的角色模組實現:
(1)與應用的整合需要開發統一使用者管理Agent實現;
(2)統一使用者管理Agent會回收帳戶的角色以及系統所有的角色;
(3)當對使用者進行授權管理時,透過對使用者的角色屬性進行。
1.2 UAP-S系統應用場景
1.2.1 多應用統一認證(SSO)
多應用統一認證應用場景部署方案如下圖:
圖3-7 多應用統一認證應用場景
UAP-S系統與應用系統伺服器放置在同一網段內,可採用串聯部署或並聯部署方式,上圖中以並聯部署方式為例。使用者首先訪問UAP-S系統的認證頁面,經過身份鑑別後,按照指定的許可權單點登入到各個應用系統。同時,根據部署模式的不同,應用程式原有登入認證入口可以保留或關閉。
此種應用場景可以充分發揮UAP-S系統單點登入完善的優勢,透過反向代理、API外掛、客戶端代理、Ticket票據等多種技術手段整合B/S架構、C/S架構應用系統,方便使用者使用,同時,儘可能減少對使用者現有網路環境的變更。
1.2.2 企業認證中心
認證中心典型部署方案如下圖:
圖3-8 企業認證中心應用場景
UAP-S系統與各個應用伺服器建立網路連線,應用系統配置自己的認證方式為使用第三方認證源,當使用者訪問應用系統時,應用系統將使用者的認證請求轉發到UAP-S系統,之後將認證結果返回給應用系統,應用系統根據認證結果決定使用者登入是否成功。
此種應用場景可以充分發揮UAP-S系統整合性和多認證方式支援的優勢,透過使用標準介面,如LDAP、AD、資料庫介面卡,直接整合企業現有IT基礎設施,整合使用者帳號資訊,可準確驗證使用者身份;同時,由於UAP-S系統可相容多種認證方式,無論應用系統採用靜態口令、數字證書或是動態令牌,甚至簡訊認證,都可以到UAP-S系統中進行認證,並獲得驗證結果。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10098689/viewspace-1145915/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 時代億信UAP-G統一認證與訪問控制系統應用場景
- 時代億信統一認證與訪問控制功能簡介
- 時代億信統一認證系統軍工單位應用案例
- 時代億信統一認證及使用者管理系統在河北司法成功應用
- 時代億信SpotFront WLAN無線認證系統產品
- 時代億信SID強身份認證系統白皮書
- 時代億信承接青島政法委統一認證專案
- 時代億信證書管理系統功能簡介
- 時代億信檔案共享訪問控制閘道器概述
- 訪問許可權控制系統|全方位認識 mysql 系統庫訪問許可權MySql
- 直播+的黃金時代,電商直播系統的應用場景和特色
- 容器編排系統K8s之訪問控制--使用者認證K8S
- 時代億信安全保密郵件系統白皮書
- 【應用場景】AISWare AIDB 亞信資料庫在多省份計費系統應用案例AI資料庫
- 如何選擇版本控制系統之二---Git的研發應用場景Git
- 時代億信統一使用者管理平臺在某集團公司的應用
- 圖解設計模式:身份認證場景的應用圖解設計模式
- python應用系統訪問瀚高庫Python
- 時代億信統一使用者管理平臺概述
- Google啟用年齡查證系統 控制成人內容訪問許可權Go訪問許可權
- 時代億信文件安全管理系統成功部署青海電信
- Linux系統各個版本具體應用場景!Linux
- 綠盟科技日誌審計系統與統信軟體UOS完成產品互認證
- RHCE7認證學習筆記15——訪問檔案系統筆記
- 國密在車聯網安全認證場景中的應用
- 智和網管平臺與統信作業系統完成認證 強力支撐信創國產替代程式作業系統
- 基於角色管理的系統訪問控制
- TUV南德專家解析"自適應物理安全與資訊保安系統"應用場景
- 作業系統認證與ORACLE密碼檔案認證方式作業系統Oracle密碼
- Linux系統各個版本具體應用場景合集!Linux
- 認證系統之登入認證系統的進階使用 (二)
- 統一身份認證系統的簡單看法
- 資訊系統的場景與形象描述
- CRM管理系統的應用場景——四大作用解析
- sso與spring security整合 預認證場景 PreAuthenticatedSpring
- 時代億信安全公務郵件應用淺析
- 美創科技全新發布API安全監測與訪問控制系統API
- 禁用作業系統認證作業系統