產品功能特點
1.1 wq自主知識產權
    UAP統一認證與訪問控制系統是時代億信多年信息安全技術和行業經驗積累所形成的新一代身份認證與資源整合產品，全部功能自主研發，具有wq的自主知識產權。在許多核心技術上深入研究，如動態通道、應用代理、信息中轉和推送、URL重寫、內容過濾、端到端加密通道等，使這些技術成為行業{lx1}技術。

1.2 成熟{lx1}
    UAP統一認證與訪問控制系統設計從國家政策法規、標準規范、行業特色等多個層面出發，融入了多年專業經驗和多個大規模項目實施經驗，可以滿足B/S架構應用系統、C/S架構應用系統、數據庫、主機、網絡設備等各種資源統一認證、單點登錄、訪問控制的需求。

    UAP統一認證與訪問控制系統符合《國家信息安全等級保護管理辦法》和《中華人民共和國電子簽名法》等相關法律法規要求；UAP統一認證與訪問控制系統經過國家密碼管理局產品檢測，采用SM1、SM2、SM3國產密碼算法，并具有統一認證類產品{wy}商用密碼產品型號證書；UAP統一認證與訪問控制系統經過國家保密局產品檢測，具備管理員三員分立、智能卡PIN碼安全策略、管理平臺安全防護等安全保護措施，并在源代碼層面進行了安全加固與抗反向工程。

1.3 統一管理解決方案
    認證墻系列產品致力于企業集中管理領域，為企業提供的一套集“用戶”、“應用”、“資源”、“審計”為一體的企業集中管理整體解決方案。它為企業級用戶提供下列服務：
統一用戶管理
統一身份認證
統一用戶授權
統一應用接入
統一日志審計
集中訪問控制

    作為成熟完整的企業統一用戶管理解決方案，UAP統一認證與訪問控制系統在認證墻產品體系中，基于SmartCOM（時代億信開發的一套基于信息安全標準開發框架。它為不同類型的產品提供了一套統一的結合標準，使用此框架開發的信息安全產品間可以根據需要快速結合）框架進行功能組合，與統一用戶管理系統緊密配合，在規范用戶管理的基礎上，利用主從帳號管理體系，實現用戶訪問應用系統的帳號統一管理、應用統一認證、安全單點登錄、統一用戶授權、集中訪問控制、統一日志審計。

如上圖所示，內網中的所有業務系統均與UAP-U集成，加入統一用戶管理體系中，每個業務系統都將認證請求提交到UAP統一認證與訪問控制系統進行認證，從UAP-U中獲得訪問授權，真正的將企業目錄作為企業內部{wy}的認證源。

    同時，在根據需求部署UAP-S或UAP-G（UAP-S只對應用進行訪問控制，UAP-G則可對網絡進行訪問控制），利用產品間的SmartCOM接口，將UAP-U統一用戶管里和UAP統一認證及訪問控制系統融為一體，使用戶經過一次認證，便可獲得全網的授權。

1.4 {lx1}的身份認證方式
    UAP統一認證與訪問控制系統利用其{lx1}的身份認證功能，將用戶的身份認證與企業的管理技術和業務流程密切結合，保證系統中的數據資源只能被有權限的用戶訪問，未經授權的用戶無法訪問數據；防止偽造身份認證手段、訪問者身份等非法措施，從而有效保護信息資源的安全。

    傳統身份認證只使用一種條件判斷用戶的身份，因此認證很容易被仿冒。而雙因子認證或強認證是通過組合兩種或多種不同條件（如通過密碼和芯片組合）來證明一個人的身份，安全性有了明顯提高。UAP統一認證與訪問控制系統支持對多種身份認證方式的混用，有效提高身份認證的安全性。UAP統一認證與訪問控制系統的認證方式有：
USB智能卡認證
證書認證
動態令牌
短信認證
指紋認證
靜態口令
一次性口令
第三方認證組件

    除此之外，UAP統一認證與訪問控制系統還為用戶提供了基于SOAP、Radius、LDAP、SOCKET等協議的認證接口，并可通過NTLM與kerborse實現微軟AD域集成認證；

雙重認證方式
    多種認證方式同時啟用，即用戶必須經過兩種或兩種以上認證方式的認證才能登錄進入系統；

    強制認證方式，即系統根據用戶或用戶角色信息，給出指定的認證方式進行認證，用戶只有在通過指定認證方式認證的情況下才能登錄進入系統；即使用戶使用其他認證方式登錄進入系統，對需要進行強制認證的系統或應用場景依然需要二次強制認證，可以充分保證系統的運行安全和操作維護安全。

    作為統一認證及訪問控制的一部分，UAP統一認證與訪問控制系統為用戶提供了“lb身份認證中心”，通過讓業務系統實現lb認證（單點認證）接口的方式，實現用戶在UAP統一認證與訪問控制系統完成認證后，可自由單點到其他被授權訪問的業務系統中。

1.5 完善的單點登錄機制
    UAP統一認證與訪問控制系統具有完善的單點登錄體系，可安全地在應用系統之間傳遞或共享用戶身份認證憑證，用戶不必重復輸入憑證來確定身份。不僅帶來了更好的用戶體驗，更重要的是降低了安全的風險和管理的消耗。


    UAP統一認證與訪問控制系統具有多種單點登錄實現方式，由下面章節詳細介紹。

1.5.1 應用系統帳號傳遞機制——主從帳號管理
    UAP統一認證與訪問控制系統的用戶信息數據獨立于各應用系統，形成統一的用戶{wy}ID，并將其作為用戶的主帳號。如下圖所示：

 

（1）在通過UAP統一認證后，可以從登錄認證結果中獲取平臺用戶{wy}ID（主帳號）；
（2）再由其關聯不同應用系統的用戶帳號（從帳號）；
（3）{zh1}用關聯后的帳號訪問相應的應用系統。

    當增加一個應用系統時，只需要增加用戶{wy}ID（主帳號）與該應用系統帳號（從帳號）的一個關聯信息即可，不會對其它應用系統產生任何影響，從而解決登錄認證時不同應用系統之間用戶交叉和用戶帳號不同的問題。單點登錄過程均通過安全通道來保證數據傳輸的安全。

1.5.2 應用系統帳號傳遞機制——Ticket票據
    在用戶訪問應用系統之前，由UAP統一認證與訪問控制系統生成一次性的訪問Ticket票據，并將Ticket提交給應用系統，應用系統通過加密的方式回連UAP，并驗證Ticket有效性，之后返回認證結果和用戶身份信息給應用系統。應用系統根據驗證結果確認用戶身份，并分配用戶權限。

    此種認證登錄方式下還可以配合IP地址綁定等方式，通過增加客戶端可識別信息進一步加強系統間交互的安全性。

1.5.3 B/S應用單點登錄實現方式——API插件
    插件方式采用SSO認證服務和集成插件（SSO API）的方式進行交互驗證用戶信息，完成應用系統單點登錄。插件方式提供多種API，通過簡單調用即可實現SSO。I

    通常情況下，對于有原廠商配合開發的B/S架構、C/S架構應用系統，推薦使用該方式接入UAP統一認證與訪問控制系統，以實現高效率高可靠的單點登錄。

插件方式下通過平臺訪問應用系統的流程如下：
（1）用戶在平臺上點擊訪問的應用系統URL鏈接；
（2）由平臺驗證用戶權限，有權限則在平臺數據庫中查詢用戶和應用系統的關聯表，無權限則提示用戶無權訪問；
（3）如關聯表中無相應記錄，則該用戶未授權，不允許訪問；如關聯表中有相應記錄，則平臺服務器提取用戶在該應用系統中的身份信息，送至SSO服務加密簽名形成數字信封后，返還給平臺；
（4）由平臺將加密信息發送給相應的應用系統；
（5）應用系統調用SSO API，對加密信息進行解密，得到用戶身份信息并返回給應用系統；
（6）應用系統收到用戶身份信息后通過信任機制允許用戶訪問應用系統。

1.5.4 B/S應用單點登錄實現方式——反向代理
    在完成客戶端與認證服務器的交互認證后，用戶先登錄進入平臺系統，然后利用反向代理技術完成服務器端代理用戶認證，并將應用系統信息推送給客戶端瀏覽器，從而實現用戶對該應用系統的訪問。

    這種方式下應用系統基本不需改動和開發，對于不能作改動或沒有原廠商配合改動的B/S架構應用系統，可以使用該方式接入UAP統一認證與訪問控制系統。實現上，采用SSO認證服務和SSO Agent進行交互驗證用戶信息，完成應用系統單點登錄。

 

反向代理方式下通過平臺訪問應用系統的流程如下：
（1）用戶在平臺上點擊訪問的應用系統URL鏈接；
（2）由平臺驗證用戶權限，有權限則在平臺數據庫中查詢用戶和應用系統的關聯表，無權限則提示用戶無權訪問；
（3）如關聯表中無相應記錄，則瀏覽器彈出建立關聯的頁面；如關聯表中有相應記錄，則平臺服務器提取用戶和應用系統的關聯信息，送至SSO服務加密簽名形成數字信封后，返還給平臺；
（4）由平臺將加密信息發送給應用系統前端的SSO Agent；
（5）SSO Agent收到加密信息后進行解密，并向應用系統提交用戶關聯信息；
（6）應用系統收到用戶關聯信息后進行驗證，驗證成功則允許用戶訪問應用，失敗則提示用戶更新關聯信息。

    在反向代理模式下，為了保證用戶管理信息的正確，UAP統一認證與訪問控制系統還提供了數據庫適配器、LDAP適配器、HTTP適配器等組件，實現用戶身份關聯映射信息的自動校驗。

1.5.5 B/S應用單點登錄實現方式——客戶端代理
    對于部分應用場景中應用系統不能停機或開發商不能配合的情況，UAP統一認證與訪問控制系統可采用客戶端代理技術，自動地完成應用系統單點登錄。其具體認證登錄過程如下：
（1）在UAP統一認證與訪問控制系統管理功能中為應用系統jh客戶端代理功能，由管理員配置好客戶端代理所需要的用戶認證參數；
（2）用戶登錄單點登錄平臺；
（3）用戶點擊應用系統訪問鏈接；
（4）客戶端代理自動啟動，并向應用系統服務器端傳遞用戶認證參數；
（5）應用系統服務器端接收到認證參數，按照自身的認證方式通過用戶驗證，進入系統；
（6）用戶使用應用系統而無需進行其他操作。

1.5.6 B/S應用單點登錄實現方式——HTTP HEADER
    當用戶訪問應用系統時，UAP統一認證與訪問控制系統的認證登錄功能將該用戶信息加密后放在HTTP HEADER中傳遞給應用系統。應用系統接收后解析HTTP HEADER內容，獲得用戶信息，驗證后進入應用系統。

    考慮到HTTP明文傳輸的因素，可考慮使用SSL加密通道或關鍵信息加密通道保護用戶認證信息的安全。同時，UAP統一認證與訪問控制系統也可以在HTTP HEADER中置入經過加密的用戶信息，需要對應用系統登錄認證模塊進行改造，使其識別加密后的用戶信息，從而實現用戶身份驗證。

1.5.7 C/S應用單點登錄實現方式
    UAP統一認證與訪問控制系統支持C/S模式應用系統，可提供應用系統插件API，方便的對目前大部分C/S模式的應用程序進行身份認證和單點登錄接入。
一般的應用程序在登錄時都包括如下內容：
程序名稱
用戶名框
密碼框
登錄按鈕
服務器地址
服務器端口

    許多客戶端的服務器地址和端口利用配置文件存儲在客戶端安裝目錄中，所以服務器地址和端口屬于可選組件。
UAP統一認證與訪問控制系統支持CS客戶端單點登錄的方式主要是利用“單點登錄配置助手”分析客戶端登錄窗口，通過配置，使UAP統一認證與訪問控制系統可以在用戶門戶頁面中通過用戶點擊鏈接調用客戶端，并填寫登錄信息、點擊登錄按鈕進行單點登錄。

 

    管理員利用配置助手工具分析CS客戶端登錄窗口后，按照分析結果，填寫配置信息及訪問策略后，用戶即可在UAP用戶門戶頁面通過點擊鏈接的方式使用。

 

1.5.8 單點退出
    與單點登錄相對應，單點退出功能可以解決“單點登錄”功能在方便用戶的同時留下的安全隱患，用戶在UAP中主動下線或超時下線時，UAP統一認證與訪問控制系統會向業務系統發起用戶下線通知，告知業務系統，某用戶已經下線，請銷毀相關Session會話。

1.6 靈活的授權方式
    UAP統一認證與訪問控制系統同為企業用戶提供了多種靈活的授權方式：

角色授權
部門組織機構授權
動態授權

    角色與組織機構都為一類人的總和，所不同的是，系統中的角色是與用戶在工作中所承擔的現實角色相對應的，與組織機構的縱向排列相對，大多數角色都為橫向排列。如每個部門的主管、組長、組員等。

    管理員可以在UAP統一認證與訪問控制系統中同時為某個系統分別按照角色和用戶組授權，如HR系統只有人事部門可以訪問，并且部門經理及以上級別可以訪問。這種按照用戶組織機構與用戶角色結合的授權方式不僅更為靈活，同時也更符合實際成產生活的需求。

1.7 內置企業級CA
    UAP統一認證與訪問控制系統內置了企業級證書管理系統，可完成數字證書的綜合管理工作，有著如下完備的功能：
（1）豐富的證書業務功能
（2）基于角色的授權管理
（3）支持多級CA
（4）強大的證書模板功能
（5）所見即所得的自定義功能（自定義證書模板&自定義證書擴展域）
（6）支持漢字證書
（7）支持KMC（密鑰管理中心）
（8）支持OCSP（在線證書狀態查詢）
（9）支持可替換的加密模塊
（10）以用戶為中心的證書管理模式

    證書管理系統配有專門的證書管理員，通過使用優化后的管理頁面，管理員只需在圖形界面中點擊鼠標，就可完成用戶證書申請、審批、簽發工作，到期的用戶證書可以進行批量自動更新。

    對于希望減輕管理負擔的用戶，證書自助服務可以直接面向最終用戶提供證書申請與簽發界面，縮短了實施時代億信證書認證解決方案的時間。

1.8 網絡層訪問控制
    針對用戶對網絡資源的訪問，UAP-G系統采用過濾分析網絡包的形式，鑒別用戶訪問的是否為受控資源以及用戶是否有權限訪問該資源。

    在實際應用環境中，存在著大量的網絡設備（如路由器、交換機等）和主機服務器（如Linux服務器、UNIX服務器等），維護和管理人員對這些設備和服務器的維護存在著很大的安全隱患。每個管理員都可以連接其他人負責的網絡設備，如果存在帳號共享的情況，便有可能出現權力不明，責任不清的問題。

    UAP-G將網絡設備和服務器資源管理中，指定用戶可以訪問的網絡資源，從網絡層限制了用戶可以連接什么地方，不可以連接什么地方，實現了系統維護人員對網絡設備和服務器訪問控制和認證授權。UAP-G采用多種可選方式對維護人員的身份進行認證，可以有效避免非法用戶的假冒；通過日志審計功能，UAP-G能夠實現對用戶網絡訪問的跟蹤，而日志信息的分析和挖掘，為安全事故的調查提供了一個很好的輔助工具。

    UAP-G系統對所有協議的包過濾控制，以網橋的模式部署在用戶終端和資源系統之間。用戶在訪問資源系統前，必須先登錄UAP-G用戶登錄平臺；或者用戶在訪問WEB資源系統前，如果沒有認證的話，UAP-G會提示登錄或自動重定向到UAP-G的用戶登錄平臺。用戶在通過認證后，在用戶終端可啟動資源系統客戶端(Telnet/SSH、FTP、瀏覽器等)直接登錄用戶被授權的資源系統，而不需要資源系統的登錄認證。

UAP-G系統支持網絡資源有；
B/S模式應用系統
    UAP-G系統支持多種WEB服務器平臺，如果只對業務系統進行訪問控制，WEB業務系統不需要做任何更改；若希望使用單點登錄功能，則需要業務系統實現相應的單點登錄接口，同時UAP-G系統提供API支持。

C/S模式應用系統
    UAP-G系統支持C/S模式應用系統，可方便的對目前大部分C/S模式的應用程序進行訪問控制管理，減少二次開發。目前，UAP-G系統可以wm支持下列C/S應用的訪問控制和日志審計：
Telnet
SSH
FTP
SCP / SFTP
Oracle、DB2、MySQL、SQL-SERVER等數據庫
文件共享

1.8.1 按資源安全等級保護
    UAP-G系統可對內網中的任何類型的主機進行保護，管理員只需將該主機置于UAP-G系統后方，便可經過簡單配置，根據該主機的業務類型和安全級別設定用戶訪問策略。利用物理隔離、安全的身份認證機制和靈活的資源授權機制，把需要保護的主機妥善的保護起來，用戶登錄UAP-G系統后，更可體驗到單點登錄到B/S 與 C/S資源的簡單和方便。

1.8.2 可集成性
    當前的信息系統中資源包括WEB服務器、應用服務器、數據庫數據資源、網絡設備、服務器主機和數據庫服務器以及文件共享服務等，UAP-G系統的目標就是將這些不同環境中的各種資源無縫的結合起來。對于各種網絡資源，UAP-G系統通過網絡數據報分析、過濾的解決方案達到對資源的授權控制。對于一般網絡中的文件共享服務，UAP-G系統可通過在域服務器簡單安裝子服務的形式，進行域授權控制，實現集成和整合。另外，UAP-G系統wq支持行業標準，例如X.509，Radius（AAA），在安全服務之間提供了靈活方便的可交互性。

    根據UAP-G系統運行模式的不同，用戶可以跟據現有網絡環境的情況選擇“網橋”模式和“旁路”模式。

    網橋模式下，只需簡單將UAP-G系統串聯到受控資源前面，對所有訪問后方受保護資源的數據包進行過濾控制，從物理上劃分出不同的安全區域，具有較高的安全及訪問控制級別。可以為受控資源提供最完善的網絡訪問控制、授權、集中帳號管理和網絡訪問審計功能。

    若部署在旁路模式下，只需讓UAP-G系統連接在交換機上，經過簡單配置，便可進行網絡數據包的分析和過濾，及認證和授權服務。

1.8.3 可擴展性
    UAP-G系統體現出了非常強大的可擴展性。UAP-G系統基于角色的授權體制和靈活的集成機制使得不管業務怎么擴展、用戶怎么增加、數據怎么激增它都能應付自如。另外，UAP-G系統靈活方便的API允許用戶根據實際需求定制個性化的安全管理解決方案。

1.8.4 面向多種資源的授權機制
    UAP-G系統提供靈活實用的授權技術以便使管理員管理B/S資源、C/S資源、數據資源、網絡設備、數據庫服務器。UAP-G系統的授權機制根據動態綁定用戶MAC地址來滿足各種業務的不同需求。

    對服務器的訪問授權，可以依據不同的自然人進行權限分配，即使這些自然人共享同一個系統帳號。

1.8.5 面向會話的訪問審計
    一般的網絡控制產品，在訪問審計方面，主要針對IP和端口進行審計，比如某個IP地址在什么時候使用哪個端口訪問了哪個IP的哪個端口，這種審計無法得知在訪問過程中，用戶到地執行了哪些操作，更無法針對這些操作進行訪問控制。

    UAP-G系統可針對于用戶訪問的會話內容進行審計。比如用戶在Telnet某個服務器時，我們可以控制該用戶是否可以執行某個命令，并且對用戶對服務器所執行的操作進行會話記錄，將用戶輸入的命令及服務器的返回信息進行記錄，不論在訪問控制方面還是在后期追責方面，都為用戶提供了非常方便并且準確的訪問控制和日志審計服務。

1.8.6 簡單易用性
    UAP-G系統簡單易用的管理界面屏蔽了用戶權限和策略管理的復雜性，大大減少員工培訓和維護的成本。此外，分級委托授權管理也極大地幫助管理員減輕管理負擔。
在使用方面，當用戶訪問一個受保護的WEB資源時，UAP-G系統還將對用戶進行主動認證，即使用戶不知道服務器地址，也可方便的進行認證并可享受權限內的B/S應用的單點登錄功能。

1.8.7 可快速實施
    UAP-G系統提供兩種部署模式：“透明網橋”與“旁路部署”，這兩種部署模式都可簡單實現，在最快時間內完成部署，實現對現有網絡環境配置的最小化修改。
透明網橋：將服務器部署在受控資源前面，達到對受控資源的物理隔離，無需修改現有網絡配置即可進行資源保護。
旁路部署：只需讓UAP-G系統連接在交換機上，經過簡單配置，便可在wq不影響現有網絡環境的前提下完成部署。

1.9 具備快速部署能力
    UAP-G系統為硬件產品，針對應用對象和應用場景進行功能優化，大幅度減少了應用系統二次開發工作量，增強了系統的友好性和易用性，縮短了企業部署時間和用戶上手時間，為用戶節省投資。

1.10 豐富的安全策略
    UAP統一認證與訪問控制系統通過將用戶劃分為用戶組或角色，可以配置不同的安全策略，減輕管理員的工作量。安全策略支持用戶IP地址策略、管理IP地址策略、時間策略、口令策略設置，具體如下：
（1）用戶IP地址策略：限定用戶訪問UAP統一認證與訪問控制系統的客戶端IP地址，阻止未授權的IP地址訪問應用；
（2）管理IP地址策略：限定管理員訪問UAP統一認證與訪問控制系統后臺管理功能的客戶端IP地址，阻止未授權的IP地址訪問管理功能；
（3）時間策略：限定用戶訪問受UAP統一認證與訪問控制系統保護的應用系統的時間段，例如可設置只有上班8個小時允許訪問，從而{zd0}限度減少非法入侵的可能；
（4）口令策略：可定義口令的復雜度策略，包括用戶口令的長度、定義非重復口令、禁用的字符短語等；可定義口令的過期策略，使用戶在一定周期過后就強制要求修改密碼；可針對不同用戶組和角色應用不同的口令安全策略。

1.11 日志審計

 

    UAP統一認證與訪問控制系統可記錄系統范圍內的安全和系統審計信息，有效地分析整個系統的日常操作與安全事件數據，通過歸類、合并、關聯、優化、直觀呈現等方法，使管理員輕松識別應用系統環境中潛在的惡意威脅活動，可幫助用戶明顯地降低受到來自外界和內部的惡意侵襲的風險。

    UAP統一認證與訪問控制系統具有實時監控功能，可隨時了解用戶當前操作的內容，監控用戶的操作，及時發現潛在的危險操作或違法操作，便于{dy}時間處理。
實時監控功能還避免了管理員對日志文件的操作，提供直觀、清晰、易用的WEB監控頁面，增強了系統的友好性。

    在UAP統一認證與訪問控制系統中發生的關鍵事件可以得到過濾、標記，并被發送給指定的接收對象。這種能力可以使管理員接近實時地發現重要的事件，同時還可以實現Email告警、短信告警或其他形式的操作。

    UAP統一認證與訪問控制系統具有自動日志維護功能，簡化了管理員操作，具備建立定期日志備份、日志轉儲、日志清理等多項功能，可以確保安全地保存使用日志，而不需人工參與。系統內置了大量報表和圖表功能，使管理員方便地制作多種類型的報告，可以細化到每個字段。報告功能可提供多種格式的報表，包括便于web 瀏覽和分發的HTML 格式。
UAP統一認證與訪問控制系統通過分析網絡包為用戶提供受控資源訪問控制服務，在用戶完成登錄并獲得正確授權之后，UAP統一認證與訪問控制系統還將記錄用戶訪問受保護資源的日志記錄。

    日志中記錄了用戶名稱、用戶IP、目的IP和目的端口以及訪問時間等主要信息。
審計管理員登錄系統后，可對日志進行查詢并導出為Excel文件，方便管理員利用Excel工具對日志內容進行各種統計工作。

    另外，對于UAP統一認證與訪問控制系統采用三權分立的授權機制，管理員對UAP統一認證與訪問控制系統所作的所有修改和系統自身發生的情況都會被記入日志中，并且只有日志審計管理員才可對日志進行操作。

1.12 應急訪問
    通過使用應急訪問功能，可以在用戶遺失或忘帶身份認證憑證的情況下，通過管理員臨時賦予用戶一個可用登錄憑證，滿足用戶使用應用系統的需求。
臨時可用的登錄憑證由管理員根據需要分發，可設置相應的審批流程，臨時憑證可與安全策略配合使用，配置時間、IP地址設置限制，如可限制只有上班8小時才能使用等等。