1. 產(chǎn)品簡(jiǎn)介
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)可為企業(yè)辦公網(wǎng)絡(luò)中的B/S和C/S業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)等企業(yè)資源，提供高性能的安全認(rèn)證、統(tǒng)一接入、訪問(wèn)控制、安全管理、安全審計(jì)服務(wù)。

UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)分為兩個(gè)型號(hào)：UAP-S和UAP-G，分別具有不同側(cè)重：
    UAP-S作為應(yīng)用帳號(hào)管理、統(tǒng)一認(rèn)證、單點(diǎn)登錄和權(quán)限管理中心，以企業(yè)用戶、B/S和C/S系統(tǒng)為整合目標(biāo)，實(shí)現(xiàn)統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)和訪問(wèn)控制。
UAP-G是以提供企業(yè)內(nèi)部應(yīng)用系統(tǒng)、服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備等資源的訪問(wèn)控制為目標(biāo)，集成強(qiáng)身份認(rèn)證、會(huì)話審計(jì)、集中管理功能的一體化硬件設(shè)備。可對(duì)企業(yè)內(nèi)部用戶應(yīng)用訪問(wèn)、管理員維護(hù)等各類操作進(jìn)行訪問(wèn)控制。UAP-G基于包過(guò)濾及代理技術(shù)，可實(shí)現(xiàn)對(duì)HTTP、Telnet、SSH、FTP、RDP遠(yuǎn)程桌面、CIFS文件共享等應(yīng)用協(xié)議的訪問(wèn)控制及會(huì)話審計(jì)。

列表說(shuō)明UAP-S與UAP-G的區(qū)別：

1.1  產(chǎn)品可解決的問(wèn)題
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)能夠滿足不同企業(yè)集中認(rèn)證、訪問(wèn)控制和安全管理的需求。

1、安全身份認(rèn)證服務(wù)。提供口令認(rèn)證、證書(shū)認(rèn)證、USB智能卡認(rèn)證、動(dòng)態(tài)令牌認(rèn)證、指紋認(rèn)證、短信認(rèn)證等多種認(rèn)證方式；同時(shí)支持LDAP、AD、RADIUS等外部認(rèn)證源。

2、lb身份認(rèn)證中心。為企業(yè)應(yīng)用、主機(jī)、設(shè)備等提供多種認(rèn)證接口，實(shí)現(xiàn)企業(yè)內(nèi)部用戶的統(tǒng)一身份認(rèn)證，將UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)作為企業(yè)內(nèi)所有業(yè)務(wù)系統(tǒng)的認(rèn)證入口，用戶登錄UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)后， 由UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)對(duì)登錄用戶進(jìn)行集中授權(quán)。

3、應(yīng)用系統(tǒng)（B/S、C/S）的安全單點(diǎn)登錄。通過(guò)UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)認(rèn)證并授權(quán)的用戶，可在UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)中通過(guò)單點(diǎn)登錄的方式訪問(wèn)B/S、C/S應(yīng)用，方便用戶使用，提高工作效率。

4、網(wǎng)絡(luò)訪問(wèn)控制。在網(wǎng)絡(luò)設(shè)備和服務(wù)器資源管理中指定用戶可以訪問(wèn)的網(wǎng)絡(luò)資源，從網(wǎng)絡(luò)層限制了用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限，可用多種可選方式對(duì)維護(hù)人員的身份進(jìn)行認(rèn)證，可以有效避免非法用戶的假冒。

5、訪問(wèn)審計(jì)。記錄系統(tǒng)范圍內(nèi)的安全和系統(tǒng)審計(jì)信息，有效地分析整個(gè)系統(tǒng)的日常操作與安全事件數(shù)據(jù)，通過(guò)歸類、合并、關(guān)聯(lián)、優(yōu)化、直觀呈現(xiàn)等方法，使管理員輕松識(shí)別應(yīng)用系統(tǒng)環(huán)境中潛在的惡意威脅活動(dòng)，可幫助用戶明顯地降低受到來(lái)自外界和內(nèi)部的惡意侵襲的風(fēng)險(xiǎn)。

1.2 功能組成

 

如圖1-1所示，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)主要分為：管理員平臺(tái)，ETCA證書(shū)中心，用戶Portal、外部系統(tǒng)認(rèn)證接口、底層服務(wù)四部分組成。

用戶Portal：
    包括用戶認(rèn)證入口與自服務(wù)平臺(tái)兩部分。用戶在認(rèn)證入口完成身份認(rèn)證后，系統(tǒng)根據(jù)其身份進(jìn)行業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)資源的訪問(wèn)授權(quán)；用戶在自服務(wù)管理平臺(tái)，方便用戶自行完成應(yīng)用系統(tǒng)相關(guān)關(guān)聯(lián)映射、身份認(rèn)證憑證（密碼、用戶證書(shū)）管理等操作，減少管理員負(fù)擔(dān)；

管理員平臺(tái)：
    UAP統(tǒng)一認(rèn)證及訪問(wèn)控制系統(tǒng)的管理平臺(tái)為用戶提供基于三員分立的管理員管理規(guī)范，為使用戶可以更明確的、更便捷的管理UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)，本系統(tǒng)還提供分級(jí)管理員管理功能。管理員可以在本平臺(tái)可以進(jìn)行下列工作：
a)系統(tǒng)管理員主要負(fù)責(zé)配置系統(tǒng)基本參數(shù)、用戶帳戶和組織機(jī)構(gòu)的管理、業(yè)務(wù)系統(tǒng)管理以及用戶日志審計(jì)。
b)安全管理員：管理用戶證書(shū)、配置業(yè)務(wù)系統(tǒng)接入信息以及制定其他安全策略。
c)系統(tǒng)審計(jì)員：審計(jì)系統(tǒng)管理員操作日志、審計(jì)安全管理員操作日志。

安全認(rèn)證服務(wù)：
    UAP統(tǒng)一認(rèn)證及訪問(wèn)控制系統(tǒng)可提供口令認(rèn)證、證書(shū)認(rèn)證、USB智能卡認(rèn)證、動(dòng)態(tài)令牌認(rèn)證、指紋認(rèn)證、短信認(rèn)證等多種認(rèn)證方式；
支持LDAP、AD、RADIUS等外部認(rèn)證源；

lb身份認(rèn)證中心：
    UAP統(tǒng)一認(rèn)證及訪問(wèn)控制系統(tǒng)作為企業(yè)統(tǒng)一認(rèn)證中心，為企業(yè)應(yīng)用、主機(jī)、設(shè)備等提供多種認(rèn)證接口，實(shí)現(xiàn)企業(yè)內(nèi)部用戶的統(tǒng)一身份認(rèn)證；
提供基于SOAP、RADIUS、LDAP、NTLM、SOCKET等協(xié)議的認(rèn)證接口；

帳號(hào)管理：
提供對(duì)應(yīng)用系統(tǒng)帳號(hào)的統(tǒng)一管理；
具有主從帳號(hào)管理功能；
支持帳號(hào)信息的批量導(dǎo)入服務(wù)；

權(quán)限管理：
基于角色的用戶權(quán)限模型，兼容用戶個(gè)人高級(jí)權(quán)限；
整合企業(yè)內(nèi)部資源，實(shí)現(xiàn)細(xì)粒度的權(quán)限劃分和訪問(wèn)控制；
支持角色的定義和管理；
支持部門(mén)角色，方便以部門(mén)組織機(jī)構(gòu)為單位，對(duì)所屬用戶進(jìn)行批量授權(quán)；

單點(diǎn)登錄服務(wù)：
支持B/S架構(gòu)、 C/S架構(gòu)應(yīng)用系統(tǒng)單點(diǎn)登錄；
提供API插件單點(diǎn)登錄方式；
提供反向代理單點(diǎn)登錄方式；
提供客戶端代理單點(diǎn)登錄方式；
提供HTTP HEADER單點(diǎn)登錄方式；
支持應(yīng)用系統(tǒng)零改動(dòng)實(shí)現(xiàn)單點(diǎn)登錄；

網(wǎng)絡(luò)訪問(wèn)控制：
在主路部署情況將受控資源與訪問(wèn)者物理隔離；
對(duì)所有訪問(wèn)請(qǐng)求進(jìn)行協(xié)議分析并應(yīng)用訪問(wèn)控制規(guī)則；
可基于IP或IP+端口設(shè)置訪問(wèn)控制規(guī)則；

ETCA證書(shū)中心：
作為企業(yè)級(jí)CA證書(shū)中心，為用戶提供數(shù)字證書(shū)的申請(qǐng)、簽發(fā)、下載、作廢、更新等服務(wù)，遵循PKI/CA 國(guó)際標(biāo)準(zhǔn)；
提供CRL、證書(shū)校驗(yàn)等服務(wù)；
支持證書(shū)模版、證書(shū)擴(kuò)展項(xiàng)定義；
支持加密機(jī)/加密卡。

1.3 工作原理
1.3.1 應(yīng)用層訪問(wèn)控制原理

 

如圖1-2所示，UAP統(tǒng)一認(rèn)證及訪問(wèn)控制系統(tǒng)在應(yīng)用層為用戶提供兩種認(rèn)證方式：
業(yè)務(wù)系統(tǒng)插件認(rèn)證。
UAP門(mén)戶認(rèn)證。

    二者的區(qū)別主要在于當(dāng)業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)“認(rèn)證插件”后，用戶可直接訪問(wèn)該業(yè)務(wù)系統(tǒng)的認(rèn)證頁(yè)面，并在該系統(tǒng)中完成身份授權(quán)，認(rèn)證插件只將用戶的認(rèn)證信息提交到UAP的外部認(rèn)證接口，并獲取認(rèn)證結(jié)果。

    采用UAP門(mén)戶認(rèn)證時(shí)，用戶需要在UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)的用戶門(mén)戶中完成身份認(rèn)證、訪問(wèn)授權(quán)，在完成認(rèn)證和授權(quán)后，用戶只需要在UAP的用戶門(mén)戶中選擇有權(quán)限訪問(wèn)的業(yè)務(wù)系統(tǒng)鏈接，即可單點(diǎn)登錄到該業(yè)務(wù)系統(tǒng)中。

通過(guò)UAP門(mén)戶認(rèn)證后，用戶可以憑借UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)提供的“l(fā)b認(rèn)證”服務(wù)，單點(diǎn)登錄到任何被授權(quán)訪問(wèn)的業(yè)務(wù)系統(tǒng)，憑借優(yōu)秀的單點(diǎn)登錄模塊、靈活的從帳號(hào)機(jī)制，即使是CS客戶端也可實(shí)現(xiàn)單點(diǎn)登錄。

1.3.2  網(wǎng)絡(luò)層訪問(wèn)控制原理

 

如圖1-3所示，UAP統(tǒng)一認(rèn)證及訪問(wèn)控制系統(tǒng)在主路部署模式下，為用戶提供了類似透明代理的網(wǎng)絡(luò)訪問(wèn)控制服務(wù)。

    用戶通過(guò)UAP訪問(wèn)網(wǎng)絡(luò)資源時(shí)，UAP底層包的數(shù)據(jù)過(guò)濾器首先會(huì)分析數(shù)據(jù)包的協(xié)議、源、目標(biāo)等信息，并與“訪問(wèn)策略服務(wù)”下發(fā)的受控資源進(jìn)行匹配，判斷當(dāng)前通訊是否訪問(wèn)受控資源。若用戶訪問(wèn)的是受控資源，則驗(yàn)證當(dāng)前用戶是否已通過(guò)身份認(rèn)證，若未認(rèn)證，則丟棄當(dāng)前數(shù)據(jù)包。若已完成認(rèn)證，則將數(shù)據(jù)包轉(zhuǎn)發(fā)到底層“協(xié)議代理”服務(wù)中，使用戶通過(guò)協(xié)議代理服務(wù)訪問(wèn)受控資源，并在用戶訪問(wèn)過(guò)程中記錄訪問(wèn)過(guò)程與信息。

    若用戶訪問(wèn)的是非受控資源，數(shù)據(jù)包過(guò)濾器會(huì)將數(shù)據(jù)包轉(zhuǎn)發(fā)到“數(shù)據(jù)轉(zhuǎn)發(fā)”服務(wù)，使用戶真正使用透明代理進(jìn)行訪問(wèn)。

1.3.3 統(tǒng)一身份認(rèn)證技術(shù)原理
    統(tǒng)一認(rèn)證采用 SAML標(biāo)準(zhǔn)消息協(xié)議，通過(guò)對(duì)用戶身份憑證的統(tǒng)一管理，實(shí)現(xiàn)在用戶各系統(tǒng)和資源間的單點(diǎn)登入和單點(diǎn)登出。在系統(tǒng)認(rèn)證過(guò)程中使用基于SOAP（簡(jiǎn)單對(duì)象訪問(wèn)）協(xié)議標(biāo)準(zhǔn)，實(shí)現(xiàn)登錄請(qǐng)求的提交和認(rèn)證結(jié)果的返回。采用SAML和SOAP協(xié)議，定義了用于安全服務(wù)之間傳輸安全信息的交換機(jī)制，實(shí)現(xiàn)不同安全服務(wù)系統(tǒng)之間的互操作性，提供了一種機(jī)制，使得用戶可以在不同的安全服務(wù)系統(tǒng)之間交換認(rèn)證和授權(quán)信息。

    用戶系統(tǒng)和資源的安全接入主要采用插件（Plug-in）和支持SSL協(xié)議的反向代理技術(shù)，插件（Plug-in）技術(shù)通過(guò)在用戶系統(tǒng)或資源中部署安全插件，實(shí)現(xiàn)用戶系統(tǒng)資源的單點(diǎn)接入和防護(hù)。反向代理技術(shù)實(shí)現(xiàn)對(duì)用戶客戶端主機(jī)訪問(wèn)受控系統(tǒng)和資源的代理，此方式無(wú)需修改用戶系統(tǒng)就能實(shí)現(xiàn)用戶系統(tǒng)和資源的安全接入。針對(duì)不同的應(yīng)用場(chǎng)景，可靈活選用不同的安全接入方式。

    認(rèn)證方式支持包括數(shù)字證書(shū)認(rèn)證、動(dòng)態(tài)令牌認(rèn)證、短信認(rèn)證、指紋認(rèn)證和簡(jiǎn)單的用戶名口令認(rèn)證等主流方式，并實(shí)現(xiàn)同一用戶可采用不同的認(rèn)證方式獲得不同訪問(wèn)權(quán)限，如訪問(wèn)一般系統(tǒng)使用口令認(rèn)證，訪問(wèn)安全級(jí)別高的采用數(shù)字證書(shū)認(rèn)證。

1.3.4 訪問(wèn)控制技術(shù)原理
    訪問(wèn)控制包括針對(duì)應(yīng)用資源的實(shí)體訪問(wèn)控制和會(huì)話訪問(wèn)控制。實(shí)體訪問(wèn)控制是指控制用戶能夠訪問(wèn)哪些應(yīng)用及資源，會(huì)話訪問(wèn)控制是指控制用戶在應(yīng)用會(huì)話過(guò)程中，能夠執(zhí)行哪些操作。UAP統(tǒng)一認(rèn)證及訪問(wèn)控制系統(tǒng)在進(jìn)行實(shí)體訪問(wèn)控制時(shí)，使用自主研發(fā)的協(xié)議分析系統(tǒng)，對(duì)用戶與資源間會(huì)話進(jìn)行分析，通過(guò)IP和端口控制技術(shù)，結(jié)合用戶認(rèn)證完成后的身份信息進(jìn)行協(xié)議分析，根據(jù)身份信息、IP地址、端口等信息動(dòng)態(tài)產(chǎn)生和刪除包過(guò)濾規(guī)則，達(dá)到對(duì)設(shè)備的訪問(wèn)控制目的。UAP統(tǒng)一認(rèn)證及訪問(wèn)控制系統(tǒng)針對(duì)受控資源使用的協(xié)議和提供的服務(wù)，可分別設(shè)置不同的訪問(wèn)控制策略。

    在進(jìn)行會(huì)話訪問(wèn)控制時(shí)，UAP統(tǒng)一認(rèn)證及訪問(wèn)控制系統(tǒng)會(huì)結(jié)合應(yīng)用的會(huì)話協(xié)議進(jìn)行分析。通過(guò)對(duì)應(yīng)用協(xié)議的分析和提取，甄別用戶操作行為，結(jié)合設(shè)定的授權(quán)策略，達(dá)到訪問(wèn)控制的目的。

1.3.5 性能保障技術(shù)原理
    為構(gòu)建高性能的統(tǒng)一認(rèn)證和訪問(wèn)控制系統(tǒng)，本系統(tǒng)基于一個(gè)高性能的協(xié)議樹(shù)分析處理引擎，通過(guò)定制協(xié)議樹(shù)規(guī)則模板，實(shí)現(xiàn)對(duì)特定協(xié)議的匹配分析，通過(guò)對(duì)協(xié)議數(shù)據(jù)的替換和數(shù)據(jù)包重組，實(shí)現(xiàn)認(rèn)證、訪問(wèn)控制多個(gè)環(huán)節(jié)上的性能要求。

    系統(tǒng)在流量整形和控制上使用了數(shù)據(jù)分類算法PRIO/CBQ，分類算法主要作用是可以對(duì)多種數(shù)據(jù)流區(qū)別對(duì)待。一旦數(shù)據(jù)包進(jìn)入一個(gè)分類的隊(duì)列規(guī)定，它就得被送到某一個(gè)類中分類，對(duì)數(shù)據(jù)包進(jìn)行分類的工具是過(guò)濾器。過(guò)濾器會(huì)返回一個(gè)決定，隊(duì)列規(guī)定就根據(jù)這個(gè)決定把數(shù)據(jù)包送入相應(yīng)的類進(jìn)行排隊(duì)。每個(gè)子類都可以再次使用它們的過(guò)濾器進(jìn)行進(jìn)一步的分類。直到不需要進(jìn)一步分類時(shí)，數(shù)據(jù)包才進(jìn)入該類包含的隊(duì)列規(guī)定排隊(duì)。除了能夠包含其它隊(duì)列規(guī)定之外，絕大多數(shù)分類的隊(duì)列規(guī)定能夠流量整形。

1.4 產(chǎn)品優(yōu)勢(shì)
    與同類產(chǎn)品相比，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)具有以下優(yōu)勢(shì)：
1）產(chǎn)品設(shè)計(jì)從國(guó)家政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、行業(yè)特色等多個(gè)層面出發(fā)，融入了多年專業(yè)經(jīng)驗(yàn)和多個(gè)大規(guī)模項(xiàng)目實(shí)施經(jīng)驗(yàn)，能夠有效地滿足不同用戶的個(gè)性化需求；
2）符合《國(guó)家信息安全等級(jí)保護(hù)管理辦法》和《中華人民共和國(guó)電子簽名法》等相關(guān)法律法規(guī)要求；
3）經(jīng)過(guò)國(guó)家密碼管理局產(chǎn)品檢測(cè)，采用SM1、SM2、SM3國(guó)產(chǎn)密碼算法，并具有統(tǒng)一認(rèn)證類產(chǎn)品{wy}商用密碼產(chǎn)品型號(hào)證書(shū)；
4）經(jīng)過(guò)國(guó)家保密局產(chǎn)品檢測(cè)，具備管理員三員分立、智能卡PIN碼安全策略、管理平臺(tái)安全防護(hù)等安全保護(hù)措施，并在源代碼層面進(jìn)行了安全加固與抗反向工程；
5）內(nèi)置多種強(qiáng)身份認(rèn)證技術(shù)，可安全、穩(wěn)定的支持動(dòng)態(tài)口令、指紋、短信動(dòng)態(tài)碼等多種認(rèn)證方式；
6）支持LDAP、AD、Radius等多種外部認(rèn)證源；
7）內(nèi)置企業(yè)級(jí)CA證書(shū)中心，可為用戶集中簽發(fā)與制作證書(shū)；
8）統(tǒng)一管理用戶帳號(hào)與身份認(rèn)證憑證（證書(shū)信息、動(dòng)態(tài)令牌信息、指紋信息，取決于用戶當(dāng)前使用的強(qiáng)身份認(rèn)證方式）；
9）提供API、客戶端代理、反向代理、應(yīng)用適配器多種接入方式，適應(yīng)應(yīng)用系統(tǒng)的多種開(kāi)發(fā)語(yǔ)言和開(kāi)發(fā)環(huán)境，降低接入難度，實(shí)現(xiàn)異構(gòu)系統(tǒng)集成；
10）支持多訪問(wèn)控制方式和細(xì)粒度訪問(wèn)授權(quán)；
11）系統(tǒng)采用Java語(yǔ)言進(jìn)行開(kāi)發(fā)實(shí)現(xiàn)，并遵循J2EE規(guī)范，能夠?qū)ο到y(tǒng)進(jìn)行靈活配置，獨(dú)立性強(qiáng)，適合多種操作系統(tǒng)平臺(tái)；
12）提供多種數(shù)據(jù)加密通道服務(wù)，SSL加密通道和關(guān)鍵信息加密通道，關(guān)鍵信息加密通道還可選用國(guó)密算法，用戶可根據(jù)實(shí)際需要靈活選用；
13）性能穩(wěn)定，支持集群和負(fù)載均衡部署。