1、產(chǎn)品應(yīng)用場(chǎng)景
1.1 UAP-S系統(tǒng)能做什么？
1.1.1 CA中心
    UAP-S系統(tǒng)內(nèi)置一套綜合的企業(yè)級(jí)證書管理系統(tǒng)（ETCA），可用于數(shù)字證書的申請(qǐng)、審核、簽發(fā)、注銷、更新和查詢，頒發(fā)的數(shù)字證書格式嚴(yán)格遵循X.509v3規(guī)范，具有廣泛適用性和良好的擴(kuò)展性。通過(guò)使用該系統(tǒng)，可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的CA中心。通過(guò)使用ETCA發(fā)行的數(shù)字證書可以為用戶提供信息安全的全面服務(wù)：
保密性 — 保證信息是秘密的
完整性 — 能檢驗(yàn)信息未被篡改
身份鑒別 — 檢驗(yàn)個(gè)人或機(jī)構(gòu)的身份
不可否定性 — 確保信息或操作不能被否認(rèn)


    ETCA應(yīng)用國(guó)際先進(jìn)技術(shù)，采用高強(qiáng)度的加密算法、高可靠性的安全機(jī)制及完善的管理及配置策略來(lái)保障整個(gè)系統(tǒng)的安全、可靠的運(yùn)行。
    ETCA系統(tǒng)wq遵循PKI及相關(guān)標(biāo)準(zhǔn)，這樣有利于與其它廠商的產(chǎn)品實(shí)現(xiàn)互連，增大證書的適用范圍。該系統(tǒng)支持的技術(shù)標(biāo)注列表如下：

 

圖3-1 CA系統(tǒng)管理界面


1.1.2 企業(yè)認(rèn)證中心
    UAP-S系統(tǒng)利用其強(qiáng)大的身份認(rèn)證功能，將用戶的身份認(rèn)證與企業(yè)的管理技術(shù)和業(yè)務(wù)流程密切結(jié)合，保證系統(tǒng)中的數(shù)據(jù)資源只能被有權(quán)限的用戶訪問(wèn)，未經(jīng)授權(quán)的用戶無(wú)法訪問(wèn)數(shù)據(jù)；防止偽造身份認(rèn)證手段、訪問(wèn)者身份等非法措施，從而有效保護(hù)信息資源的安全。


    傳統(tǒng)身份認(rèn)證只使用一種條件判斷用戶的身份，因此認(rèn)證很容易被仿冒。而雙因子認(rèn)證或強(qiáng)認(rèn)證是通過(guò)組合兩種或多種不同條件（如通過(guò)密碼和芯片組合）來(lái)證明一個(gè)人的身份，安全性有了明顯提高。UAP-S系統(tǒng)支持對(duì)多種身份認(rèn)證方式的混用，有效提高身份認(rèn)證的安全性。UAP-S系統(tǒng)支持的認(rèn)證方式有：
（1）USB智能卡認(rèn)證
（2）證書認(rèn)證
（3）動(dòng)態(tài)令牌
（4）短信認(rèn)證
（5）指紋認(rèn)證
（6）靜態(tài)口令
（7）一次性口令
（8）第三方認(rèn)證組件


UAP-S系統(tǒng)還支持對(duì)認(rèn)證方式的混用：
（1）多種認(rèn)證方式同時(shí)啟用，即用戶必須經(jīng)過(guò)兩種或兩種以上認(rèn)證方式的認(rèn)證才能登錄進(jìn)入系統(tǒng)；
（2）多種認(rèn)證方式選擇啟用，即用戶可以在系統(tǒng)給出的兩種或兩種以上認(rèn)證方式中選擇一個(gè)進(jìn)行認(rèn)證，認(rèn)證通過(guò)就能登錄進(jìn)入系統(tǒng)；
（3）強(qiáng)制認(rèn)證方式，即系統(tǒng)根據(jù)用戶或用戶角色信息，給出指定的認(rèn)證方式進(jìn)行認(rèn)證，用戶只有在通過(guò)指定認(rèn)證方式認(rèn)證的情況下才能登錄進(jìn)入系統(tǒng)；即使用戶使用其他認(rèn)證方式登錄進(jìn)入系統(tǒng)，對(duì)需要進(jìn)行強(qiáng)制認(rèn)證的系統(tǒng)或應(yīng)用場(chǎng)景依然需要二次強(qiáng)制認(rèn)證，可以充分保證系統(tǒng)的運(yùn)行安全和操作維護(hù)安全。

 

圖3-2 身份認(rèn)證方式配置界面圖


1.1.3 應(yīng)用系統(tǒng)單點(diǎn)登錄
    UAP-S系統(tǒng)具有完善的單點(diǎn)登錄體系，可安全地在應(yīng)用系統(tǒng)之間傳遞或共享用戶身份認(rèn)證憑證，用戶不必重復(fù)輸入憑證來(lái)確定身份。不僅帶來(lái)了更好的用戶體驗(yàn)，更重要的是降低了安全的風(fēng)險(xiǎn)和管理的消耗。 


圖3-3 單點(diǎn)登錄方式配置界面圖


UAP-S系統(tǒng)具有兩種應(yīng)用系統(tǒng)帳號(hào)傳遞機(jī)制：
主從帳號(hào)方式
    UAP-S系統(tǒng)的用戶信息數(shù)據(jù)獨(dú)立于各應(yīng)用系統(tǒng)，形成統(tǒng)一的用戶{wy}ID，并將其作為用戶的主帳號(hào)。如下圖所示：

  

圖3-4 主從帳號(hào)管理機(jī)制


    當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí)，只需要增加用戶{wy}ID（主帳號(hào)）與該應(yīng)用系統(tǒng)帳號(hào)（從帳號(hào)）的一個(gè)關(guān)聯(lián)信息即可，不會(huì)對(duì)其它應(yīng)用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認(rèn)證時(shí)不同應(yīng)用系統(tǒng)之間用戶交叉和用戶帳號(hào)不同的問(wèn)題。單點(diǎn)登錄過(guò)程均通過(guò)安全通道來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?br />

Ticket票據(jù)方式
    在用戶訪問(wèn)應(yīng)用系統(tǒng)之前，由UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)生成一次性的訪問(wèn)Ticket票據(jù)，并將Ticket提交給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)通過(guò)加密的方式回連UAP，并驗(yàn)證Ticket有效性，之后返回認(rèn)證結(jié)果和用戶身份信息給應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)根據(jù)驗(yàn)證結(jié)果確認(rèn)用戶身份，并分配用戶權(quán)限。


    此種認(rèn)證登錄方式下還可以配合IP地址綁定等方式，通過(guò)增加客戶端可識(shí)別信息進(jìn)一步加強(qiáng)系統(tǒng)間交互的安全性。


UAP-S具有多種單點(diǎn)登錄實(shí)現(xiàn)方式：


反向代理
    在完成客戶端與認(rèn)證服務(wù)器的交互認(rèn)證后，用戶先登錄進(jìn)入平臺(tái)系統(tǒng)，然后利用反向代理技術(shù)完成服務(wù)器端代理用戶認(rèn)證，并將應(yīng)用系統(tǒng)信息推送給客戶端瀏覽器，從而實(shí)現(xiàn)用戶對(duì)該應(yīng)用系統(tǒng)的訪問(wèn)。


API插件
    插件方式采用SSO認(rèn)證服務(wù)和集成插件（SSO API）的方式進(jìn)行交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。插件方式提供多種API，通過(guò)簡(jiǎn)單調(diào)用即可實(shí)現(xiàn)SSO。


客戶端代理
    對(duì)于部分應(yīng)用場(chǎng)景中應(yīng)用系統(tǒng)不能停機(jī)或開發(fā)商不能配合的情況，UAP-S系統(tǒng)可采用客戶端代理技術(shù)，自動(dòng)地完成應(yīng)用系統(tǒng)單點(diǎn)登錄。


HTTP HEADER
    當(dāng)用戶訪問(wèn)應(yīng)用系統(tǒng)時(shí)，UAP-S系統(tǒng)的認(rèn)證登錄功能將該用戶信息加密后放在HTTP HEADER中傳遞給應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)接收后解析HTTP HEADER內(nèi)容，獲得用戶信息，驗(yàn)證后進(jìn)入應(yīng)用系統(tǒng)。
    考慮到HTTP明文傳輸?shù)囊蛩?，可考慮使用SSL加密通道或關(guān)鍵信息加密通道保護(hù)用戶認(rèn)證信息的安全。同時(shí)，UAP-S系統(tǒng)也可以在HTTP HEADER中置入經(jīng)過(guò)加密的用戶信息，需要對(duì)應(yīng)用系統(tǒng)登錄認(rèn)證模塊進(jìn)行改造，使其識(shí)別加密后的用戶信息，從而實(shí)現(xiàn)用戶身份驗(yàn)證。


1.1.4 應(yīng)用帳號(hào)統(tǒng)一管理
    UAP-S系統(tǒng)中的用戶帳號(hào)信息統(tǒng)一管理組件基于關(guān)系型數(shù)據(jù)庫(kù)，用于存儲(chǔ)用戶的帳號(hào)信息，并實(shí)現(xiàn)對(duì)接入平臺(tái)的所有應(yīng)用系統(tǒng)均可以同步帳號(hào)信息，節(jié)省了用戶投入，實(shí)現(xiàn)了資源利用{zd0}化。

 

圖3-5 應(yīng)用帳號(hào)管理界面


帳號(hào)集中管理
    UAP-S系統(tǒng)內(nèi)置應(yīng)用帳號(hào)管理組件，可提供對(duì)用戶帳號(hào)信息的集中管理，支持與企業(yè)現(xiàn)有IT基礎(chǔ)設(shè)施無(wú)縫結(jié)合，支持多種類型的連接和互操作標(biāo)準(zhǔn)。


帳號(hào)管理的特點(diǎn)如下：
（1）可在一點(diǎn)操作，實(shí)現(xiàn)對(duì)各應(yīng)用系統(tǒng)帳號(hào)的注冊(cè)、變更和注銷管理；
（2）保證用戶帳號(hào){wy}性，實(shí)現(xiàn)操作可追溯，可定責(zé)；
（3）可集成LDAP、AD帳號(hào)信息；


帳號(hào)同步
    UAP-S系統(tǒng)的帳號(hào)管理功能可與企業(yè)應(yīng)用系統(tǒng)無(wú)縫結(jié)合，通過(guò)標(biāo)準(zhǔn)的LDAP接口或Web Service接口，向應(yīng)用系統(tǒng)自動(dòng)同步帳號(hào)信息。


1.1.5 統(tǒng)一權(quán)限管理
    UAP-S系統(tǒng)通過(guò)統(tǒng)一授權(quán)功能，可對(duì)用戶組與應(yīng)用系統(tǒng)或資源的關(guān)聯(lián)關(guān)系，角色與應(yīng)用系統(tǒng)或資源的關(guān)聯(lián)關(guān)系進(jìn)行創(chuàng)建和維護(hù)，以此來(lái)完成用戶對(duì)應(yīng)用系統(tǒng)與資源訪問(wèn)的授權(quán)。

 

圖3-6 統(tǒng)一授權(quán)管理界面


實(shí)體級(jí)授權(quán)
    實(shí)體級(jí)授權(quán)主要指用戶可以訪問(wèn)哪些資源（包括系統(tǒng)和應(yīng)用）的授權(quán)。對(duì)于一般企業(yè)應(yīng)用實(shí)體級(jí)授權(quán)主要為應(yīng)用系統(tǒng)的實(shí)體級(jí)授權(quán)。
應(yīng)用的實(shí)體級(jí)授權(quán)主要通過(guò)統(tǒng)一用戶管理、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)功能的相互配合完成：
（1）根據(jù)用戶的權(quán)限策略制定相應(yīng)的ACL（訪問(wèn)控制列表）；
（2）將制定的ACL通過(guò)附屬到組中形成一定顆粒度的授權(quán)單元；
（3）當(dāng)一個(gè)用戶進(jìn)行實(shí)體級(jí)授權(quán)時(shí)，可以通過(guò)在統(tǒng)一用戶管理功能中分配權(quán)限組的方式對(duì)用戶進(jìn)行授權(quán)。


實(shí)體內(nèi)授權(quán)
    實(shí)體內(nèi)授權(quán)主要指包括基于角色的授權(quán)和細(xì)粒度權(quán)限授權(quán)，對(duì)于一般企業(yè)應(yīng)用實(shí)體內(nèi)授權(quán)主要為應(yīng)用系統(tǒng)的實(shí)體內(nèi)授權(quán)。


    應(yīng)用的實(shí)體內(nèi)授權(quán)主要通過(guò)整合應(yīng)用中的角色模塊實(shí)現(xiàn)：
（1）與應(yīng)用的整合需要開發(fā)統(tǒng)一用戶管理Agent實(shí)現(xiàn)；
（2）統(tǒng)一用戶管理Agent會(huì)回收帳戶的角色以及系統(tǒng)所有的角色；
（3）當(dāng)對(duì)用戶進(jìn)行授權(quán)管理時(shí)，通過(guò)對(duì)用戶的角色屬性進(jìn)行。


1.2 UAP-S系統(tǒng)應(yīng)用場(chǎng)景
1.2.1 多應(yīng)用統(tǒng)一認(rèn)證（SSO）
多應(yīng)用統(tǒng)一認(rèn)證應(yīng)用場(chǎng)景部署方案如下圖：

 

圖3-7 多應(yīng)用統(tǒng)一認(rèn)證應(yīng)用場(chǎng)景


    UAP-S系統(tǒng)與應(yīng)用系統(tǒng)服務(wù)器放置在同一網(wǎng)段內(nèi)，可采用串聯(lián)部署或并聯(lián)部署方式，上圖中以并聯(lián)部署方式為例。用戶首先訪問(wèn)UAP-S系統(tǒng)的認(rèn)證頁(yè)面，經(jīng)過(guò)身份鑒別后，按照指定的權(quán)限單點(diǎn)登錄到各個(gè)應(yīng)用系統(tǒng)。同時(shí)，根據(jù)部署模式的不同，應(yīng)用程序原有登錄認(rèn)證入口可以保留或關(guān)閉。


    此種應(yīng)用場(chǎng)景可以充分發(fā)揮UAP-S系統(tǒng)單點(diǎn)登錄完善的優(yōu)勢(shì)，通過(guò)反向代理、API插件、客戶端代理、Ticket票據(jù)等多種技術(shù)手段整合B/S架構(gòu)、C/S架構(gòu)應(yīng)用系統(tǒng)，方便用戶使用，同時(shí)，盡可能減少對(duì)用戶現(xiàn)有網(wǎng)絡(luò)環(huán)境的變更。


1.2.2 企業(yè)認(rèn)證中心
認(rèn)證中心典型部署方案如下圖：

 

圖3-8 企業(yè)認(rèn)證中心應(yīng)用場(chǎng)景


    UAP-S系統(tǒng)與各個(gè)應(yīng)用服務(wù)器建立網(wǎng)絡(luò)連接，應(yīng)用系統(tǒng)配置自己的認(rèn)證方式為使用第三方認(rèn)證源，當(dāng)用戶訪問(wèn)應(yīng)用系統(tǒng)時(shí)，應(yīng)用系統(tǒng)將用戶的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到UAP-S系統(tǒng)，之后將認(rèn)證結(jié)果返回給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)根據(jù)認(rèn)證結(jié)果決定用戶登錄是否成功。


    此種應(yīng)用場(chǎng)景可以充分發(fā)揮UAP-S系統(tǒng)集成性和多認(rèn)證方式支持的優(yōu)勢(shì)，通過(guò)使用標(biāo)準(zhǔn)接口，如LDAP、AD、數(shù)據(jù)庫(kù)適配器，直接整合企業(yè)現(xiàn)有IT基礎(chǔ)設(shè)施，集成用戶帳號(hào)信息，可準(zhǔn)確驗(yàn)證用戶身份；同時(shí)，由于UAP-S系統(tǒng)可兼容多種認(rèn)證方式，無(wú)論應(yīng)用系統(tǒng)采用靜態(tài)口令、數(shù)字證書或是動(dòng)態(tài)令牌，甚至短信認(rèn)證，都可以到UAP-S系統(tǒng)中進(jìn)行認(rèn)證，并獲得驗(yàn)證結(jié)果。