產(chǎn)品功能特點(diǎn)
1.1 wq自主知識(shí)產(chǎn)權(quán)
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)是時(shí)代億信多年信息安全技術(shù)和行業(yè)經(jīng)驗(yàn)積累所形成的新一代身份認(rèn)證與資源整合產(chǎn)品，全部功能自主研發(fā)，具有wq的自主知識(shí)產(chǎn)權(quán)。在許多核心技術(shù)上深入研究，如動(dòng)態(tài)通道、應(yīng)用代理、信息中轉(zhuǎn)和推送、URL重寫、內(nèi)容過(guò)濾、端到端加密通道等，使這些技術(shù)成為行業(yè){lx1}技術(shù)。

1.2 成熟{lx1}
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)設(shè)計(jì)從國(guó)家政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、行業(yè)特色等多個(gè)層面出發(fā)，融入了多年專業(yè)經(jīng)驗(yàn)和多個(gè)大規(guī)模項(xiàng)目實(shí)施經(jīng)驗(yàn)，可以滿足B/S架構(gòu)應(yīng)用系統(tǒng)、C/S架構(gòu)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、主機(jī)、網(wǎng)絡(luò)設(shè)備等各種資源統(tǒng)一認(rèn)證、單點(diǎn)登錄、訪問(wèn)控制的需求。

    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)符合《國(guó)家信息安全等級(jí)保護(hù)管理辦法》和《中華人民共和國(guó)電子簽名法》等相關(guān)法律法規(guī)要求；UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)經(jīng)過(guò)國(guó)家密碼管理局產(chǎn)品檢測(cè)，采用SM1、SM2、SM3國(guó)產(chǎn)密碼算法，并具有統(tǒng)一認(rèn)證類產(chǎn)品{wy}商用密碼產(chǎn)品型號(hào)證書；UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)經(jīng)過(guò)國(guó)家保密局產(chǎn)品檢測(cè)，具備管理員三員分立、智能卡PIN碼安全策略、管理平臺(tái)安全防護(hù)等安全保護(hù)措施，并在源代碼層面進(jìn)行了安全加固與抗反向工程。

1.3 統(tǒng)一管理解決方案
    認(rèn)證墻系列產(chǎn)品致力于企業(yè)集中管理領(lǐng)域，為企業(yè)提供的一套集“用戶”、“應(yīng)用”、“資源”、“審計(jì)”為一體的企業(yè)集中管理整體解決方案。它為企業(yè)級(jí)用戶提供下列服務(wù)：
統(tǒng)一用戶管理
統(tǒng)一身份認(rèn)證
統(tǒng)一用戶授權(quán)
統(tǒng)一應(yīng)用接入
統(tǒng)一日志審計(jì)
集中訪問(wèn)控制

    作為成熟完整的企業(yè)統(tǒng)一用戶管理解決方案，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)在認(rèn)證墻產(chǎn)品體系中，基于SmartCOM（時(shí)代億信開發(fā)的一套基于信息安全標(biāo)準(zhǔn)開發(fā)框架。它為不同類型的產(chǎn)品提供了一套統(tǒng)一的結(jié)合標(biāo)準(zhǔn)，使用此框架開發(fā)的信息安全產(chǎn)品間可以根據(jù)需要快速結(jié)合）框架進(jìn)行功能組合，與統(tǒng)一用戶管理系統(tǒng)緊密配合，在規(guī)范用戶管理的基礎(chǔ)上，利用主從帳號(hào)管理體系，實(shí)現(xiàn)用戶訪問(wèn)應(yīng)用系統(tǒng)的帳號(hào)統(tǒng)一管理、應(yīng)用統(tǒng)一認(rèn)證、安全單點(diǎn)登錄、統(tǒng)一用戶授權(quán)、集中訪問(wèn)控制、統(tǒng)一日志審計(jì)。

如上圖所示，內(nèi)網(wǎng)中的所有業(yè)務(wù)系統(tǒng)均與UAP-U集成，加入統(tǒng)一用戶管理體系中，每個(gè)業(yè)務(wù)系統(tǒng)都將認(rèn)證請(qǐng)求提交到UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)進(jìn)行認(rèn)證，從UAP-U中獲得訪問(wèn)授權(quán)，真正的將企業(yè)目錄作為企業(yè)內(nèi)部{wy}的認(rèn)證源。

    同時(shí)，在根據(jù)需求部署UAP-S或UAP-G（UAP-S只對(duì)應(yīng)用進(jìn)行訪問(wèn)控制，UAP-G則可對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制），利用產(chǎn)品間的SmartCOM接口，將UAP-U統(tǒng)一用戶管里和UAP統(tǒng)一認(rèn)證及訪問(wèn)控制系統(tǒng)融為一體，使用戶經(jīng)過(guò)一次認(rèn)證，便可獲得全網(wǎng)的授權(quán)。

1.4 {lx1}的身份認(rèn)證方式
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)利用其{lx1}的身份認(rèn)證功能，將用戶的身份認(rèn)證與企業(yè)的管理技術(shù)和業(yè)務(wù)流程密切結(jié)合，保證系統(tǒng)中的數(shù)據(jù)資源只能被有權(quán)限的用戶訪問(wèn)，未經(jīng)授權(quán)的用戶無(wú)法訪問(wèn)數(shù)據(jù)；防止偽造身份認(rèn)證手段、訪問(wèn)者身份等非法措施，從而有效保護(hù)信息資源的安全。

    傳統(tǒng)身份認(rèn)證只使用一種條件判斷用戶的身份，因此認(rèn)證很容易被仿冒。而雙因子認(rèn)證或強(qiáng)認(rèn)證是通過(guò)組合兩種或多種不同條件（如通過(guò)密碼和芯片組合）來(lái)證明一個(gè)人的身份，安全性有了明顯提高。UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)支持對(duì)多種身份認(rèn)證方式的混用，有效提高身份認(rèn)證的安全性。UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)的認(rèn)證方式有：
USB智能卡認(rèn)證
證書認(rèn)證
動(dòng)態(tài)令牌
短信認(rèn)證
指紋認(rèn)證
靜態(tài)口令
一次性口令
第三方認(rèn)證組件

    除此之外，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)還為用戶提供了基于SOAP、Radius、LDAP、SOCKET等協(xié)議的認(rèn)證接口，并可通過(guò)NTLM與kerborse實(shí)現(xiàn)微軟AD域集成認(rèn)證；

雙重認(rèn)證方式
    多種認(rèn)證方式同時(shí)啟用，即用戶必須經(jīng)過(guò)兩種或兩種以上認(rèn)證方式的認(rèn)證才能登錄進(jìn)入系統(tǒng)；

    強(qiáng)制認(rèn)證方式，即系統(tǒng)根據(jù)用戶或用戶角色信息，給出指定的認(rèn)證方式進(jìn)行認(rèn)證，用戶只有在通過(guò)指定認(rèn)證方式認(rèn)證的情況下才能登錄進(jìn)入系統(tǒng)；即使用戶使用其他認(rèn)證方式登錄進(jìn)入系統(tǒng)，對(duì)需要進(jìn)行強(qiáng)制認(rèn)證的系統(tǒng)或應(yīng)用場(chǎng)景依然需要二次強(qiáng)制認(rèn)證，可以充分保證系統(tǒng)的運(yùn)行安全和操作維護(hù)安全。

    作為統(tǒng)一認(rèn)證及訪問(wèn)控制的一部分，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)為用戶提供了“l(fā)b身份認(rèn)證中心”，通過(guò)讓業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)lb認(rèn)證（單點(diǎn)認(rèn)證）接口的方式，實(shí)現(xiàn)用戶在UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)完成認(rèn)證后，可自由單點(diǎn)到其他被授權(quán)訪問(wèn)的業(yè)務(wù)系統(tǒng)中。

1.5 完善的單點(diǎn)登錄機(jī)制
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)具有完善的單點(diǎn)登錄體系，可安全地在應(yīng)用系統(tǒng)之間傳遞或共享用戶身份認(rèn)證憑證，用戶不必重復(fù)輸入憑證來(lái)確定身份。不僅帶來(lái)了更好的用戶體驗(yàn)，更重要的是降低了安全的風(fēng)險(xiǎn)和管理的消耗。


    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)具有多種單點(diǎn)登錄實(shí)現(xiàn)方式，由下面章節(jié)詳細(xì)介紹。

1.5.1 應(yīng)用系統(tǒng)帳號(hào)傳遞機(jī)制——主從帳號(hào)管理
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)的用戶信息數(shù)據(jù)獨(dú)立于各應(yīng)用系統(tǒng)，形成統(tǒng)一的用戶{wy}ID，并將其作為用戶的主帳號(hào)。如下圖所示：

 

（1）在通過(guò)UAP統(tǒng)一認(rèn)證后，可以從登錄認(rèn)證結(jié)果中獲取平臺(tái)用戶{wy}ID（主帳號(hào)）；
（2）再由其關(guān)聯(lián)不同應(yīng)用系統(tǒng)的用戶帳號(hào)（從帳號(hào)）；
（3）{zh1}用關(guān)聯(lián)后的帳號(hào)訪問(wèn)相應(yīng)的應(yīng)用系統(tǒng)。

    當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí)，只需要增加用戶{wy}ID（主帳號(hào)）與該應(yīng)用系統(tǒng)帳號(hào)（從帳號(hào)）的一個(gè)關(guān)聯(lián)信息即可，不會(huì)對(duì)其它應(yīng)用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認(rèn)證時(shí)不同應(yīng)用系統(tǒng)之間用戶交叉和用戶帳號(hào)不同的問(wèn)題。單點(diǎn)登錄過(guò)程均通過(guò)安全通道來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?br />
1.5.2 應(yīng)用系統(tǒng)帳號(hào)傳遞機(jī)制——Ticket票據(jù)
    在用戶訪問(wèn)應(yīng)用系統(tǒng)之前，由UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)生成一次性的訪問(wèn)Ticket票據(jù)，并將Ticket提交給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)通過(guò)加密的方式回連UAP，并驗(yàn)證Ticket有效性，之后返回認(rèn)證結(jié)果和用戶身份信息給應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)根據(jù)驗(yàn)證結(jié)果確認(rèn)用戶身份，并分配用戶權(quán)限。

    此種認(rèn)證登錄方式下還可以配合IP地址綁定等方式，通過(guò)增加客戶端可識(shí)別信息進(jìn)一步加強(qiáng)系統(tǒng)間交互的安全性。

1.5.3 B/S應(yīng)用單點(diǎn)登錄實(shí)現(xiàn)方式——API插件
    插件方式采用SSO認(rèn)證服務(wù)和集成插件（SSO API）的方式進(jìn)行交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。插件方式提供多種API，通過(guò)簡(jiǎn)單調(diào)用即可實(shí)現(xiàn)SSO。I

    通常情況下，對(duì)于有原廠商配合開發(fā)的B/S架構(gòu)、C/S架構(gòu)應(yīng)用系統(tǒng)，推薦使用該方式接入U(xiǎn)AP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)，以實(shí)現(xiàn)高效率高可靠的單點(diǎn)登錄。

插件方式下通過(guò)平臺(tái)訪問(wèn)應(yīng)用系統(tǒng)的流程如下：
（1）用戶在平臺(tái)上點(diǎn)擊訪問(wèn)的應(yīng)用系統(tǒng)URL鏈接；
（2）由平臺(tái)驗(yàn)證用戶權(quán)限，有權(quán)限則在平臺(tái)數(shù)據(jù)庫(kù)中查詢用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)表，無(wú)權(quán)限則提示用戶無(wú)權(quán)訪問(wèn)；
（3）如關(guān)聯(lián)表中無(wú)相應(yīng)記錄，則該用戶未授權(quán)，不允許訪問(wèn)；如關(guān)聯(lián)表中有相應(yīng)記錄，則平臺(tái)服務(wù)器提取用戶在該應(yīng)用系統(tǒng)中的身份信息，送至SSO服務(wù)加密簽名形成數(shù)字信封后，返還給平臺(tái)；
（4）由平臺(tái)將加密信息發(fā)送給相應(yīng)的應(yīng)用系統(tǒng)；
（5）應(yīng)用系統(tǒng)調(diào)用SSO API，對(duì)加密信息進(jìn)行解密，得到用戶身份信息并返回給應(yīng)用系統(tǒng)；
（6）應(yīng)用系統(tǒng)收到用戶身份信息后通過(guò)信任機(jī)制允許用戶訪問(wèn)應(yīng)用系統(tǒng)。

1.5.4 B/S應(yīng)用單點(diǎn)登錄實(shí)現(xiàn)方式——反向代理
    在完成客戶端與認(rèn)證服務(wù)器的交互認(rèn)證后，用戶先登錄進(jìn)入平臺(tái)系統(tǒng)，然后利用反向代理技術(shù)完成服務(wù)器端代理用戶認(rèn)證，并將應(yīng)用系統(tǒng)信息推送給客戶端瀏覽器，從而實(shí)現(xiàn)用戶對(duì)該應(yīng)用系統(tǒng)的訪問(wèn)。

    這種方式下應(yīng)用系統(tǒng)基本不需改動(dòng)和開發(fā)，對(duì)于不能作改動(dòng)或沒(méi)有原廠商配合改動(dòng)的B/S架構(gòu)應(yīng)用系統(tǒng)，可以使用該方式接入U(xiǎn)AP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)。實(shí)現(xiàn)上，采用SSO認(rèn)證服務(wù)和SSO Agent進(jìn)行交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。

 

反向代理方式下通過(guò)平臺(tái)訪問(wèn)應(yīng)用系統(tǒng)的流程如下：
（1）用戶在平臺(tái)上點(diǎn)擊訪問(wèn)的應(yīng)用系統(tǒng)URL鏈接；
（2）由平臺(tái)驗(yàn)證用戶權(quán)限，有權(quán)限則在平臺(tái)數(shù)據(jù)庫(kù)中查詢用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)表，無(wú)權(quán)限則提示用戶無(wú)權(quán)訪問(wèn)；
（3）如關(guān)聯(lián)表中無(wú)相應(yīng)記錄，則瀏覽器彈出建立關(guān)聯(lián)的頁(yè)面；如關(guān)聯(lián)表中有相應(yīng)記錄，則平臺(tái)服務(wù)器提取用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)信息，送至SSO服務(wù)加密簽名形成數(shù)字信封后，返還給平臺(tái)；
（4）由平臺(tái)將加密信息發(fā)送給應(yīng)用系統(tǒng)前端的SSO Agent；
（5）SSO Agent收到加密信息后進(jìn)行解密，并向應(yīng)用系統(tǒng)提交用戶關(guān)聯(lián)信息；
（6）應(yīng)用系統(tǒng)收到用戶關(guān)聯(lián)信息后進(jìn)行驗(yàn)證，驗(yàn)證成功則允許用戶訪問(wèn)應(yīng)用，失敗則提示用戶更新關(guān)聯(lián)信息。

    在反向代理模式下，為了保證用戶管理信息的正確，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)還提供了數(shù)據(jù)庫(kù)適配器、LDAP適配器、HTTP適配器等組件，實(shí)現(xiàn)用戶身份關(guān)聯(lián)映射信息的自動(dòng)校驗(yàn)。

1.5.5 B/S應(yīng)用單點(diǎn)登錄實(shí)現(xiàn)方式——客戶端代理
    對(duì)于部分應(yīng)用場(chǎng)景中應(yīng)用系統(tǒng)不能停機(jī)或開發(fā)商不能配合的情況，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)可采用客戶端代理技術(shù)，自動(dòng)地完成應(yīng)用系統(tǒng)單點(diǎn)登錄。其具體認(rèn)證登錄過(guò)程如下：
（1）在UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)管理功能中為應(yīng)用系統(tǒng)jh客戶端代理功能，由管理員配置好客戶端代理所需要的用戶認(rèn)證參數(shù)；
（2）用戶登錄單點(diǎn)登錄平臺(tái)；
（3）用戶點(diǎn)擊應(yīng)用系統(tǒng)訪問(wèn)鏈接；
（4）客戶端代理自動(dòng)啟動(dòng)，并向應(yīng)用系統(tǒng)服務(wù)器端傳遞用戶認(rèn)證參數(shù)；
（5）應(yīng)用系統(tǒng)服務(wù)器端接收到認(rèn)證參數(shù)，按照自身的認(rèn)證方式通過(guò)用戶驗(yàn)證，進(jìn)入系統(tǒng)；
（6）用戶使用應(yīng)用系統(tǒng)而無(wú)需進(jìn)行其他操作。

1.5.6 B/S應(yīng)用單點(diǎn)登錄實(shí)現(xiàn)方式——HTTP HEADER
    當(dāng)用戶訪問(wèn)應(yīng)用系統(tǒng)時(shí)，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)的認(rèn)證登錄功能將該用戶信息加密后放在HTTP HEADER中傳遞給應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)接收后解析HTTP HEADER內(nèi)容，獲得用戶信息，驗(yàn)證后進(jìn)入應(yīng)用系統(tǒng)。

    考慮到HTTP明文傳輸?shù)囊蛩?，可考慮使用SSL加密通道或關(guān)鍵信息加密通道保護(hù)用戶認(rèn)證信息的安全。同時(shí)，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)也可以在HTTP HEADER中置入經(jīng)過(guò)加密的用戶信息，需要對(duì)應(yīng)用系統(tǒng)登錄認(rèn)證模塊進(jìn)行改造，使其識(shí)別加密后的用戶信息，從而實(shí)現(xiàn)用戶身份驗(yàn)證。

1.5.7 C/S應(yīng)用單點(diǎn)登錄實(shí)現(xiàn)方式
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)支持C/S模式應(yīng)用系統(tǒng)，可提供應(yīng)用系統(tǒng)插件API，方便的對(duì)目前大部分C/S模式的應(yīng)用程序進(jìn)行身份認(rèn)證和單點(diǎn)登錄接入。
一般的應(yīng)用程序在登錄時(shí)都包括如下內(nèi)容：
程序名稱
用戶名框
密碼框
登錄按鈕
服務(wù)器地址
服務(wù)器端口

    許多客戶端的服務(wù)器地址和端口利用配置文件存儲(chǔ)在客戶端安裝目錄中，所以服務(wù)器地址和端口屬于可選組件。
UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)支持CS客戶端單點(diǎn)登錄的方式主要是利用“單點(diǎn)登錄配置助手”分析客戶端登錄窗口，通過(guò)配置，使UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)可以在用戶門戶頁(yè)面中通過(guò)用戶點(diǎn)擊鏈接調(diào)用客戶端，并填寫登錄信息、點(diǎn)擊登錄按鈕進(jìn)行單點(diǎn)登錄。

 

    管理員利用配置助手工具分析CS客戶端登錄窗口后，按照分析結(jié)果，填寫配置信息及訪問(wèn)策略后，用戶即可在UAP用戶門戶頁(yè)面通過(guò)點(diǎn)擊鏈接的方式使用。

 

1.5.8 單點(diǎn)退出
    與單點(diǎn)登錄相對(duì)應(yīng)，單點(diǎn)退出功能可以解決“單點(diǎn)登錄”功能在方便用戶的同時(shí)留下的安全隱患，用戶在UAP中主動(dòng)下線或超時(shí)下線時(shí)，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)會(huì)向業(yè)務(wù)系統(tǒng)發(fā)起用戶下線通知，告知業(yè)務(wù)系統(tǒng)，某用戶已經(jīng)下線，請(qǐng)銷毀相關(guān)Session會(huì)話。

1.6 靈活的授權(quán)方式
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)同為企業(yè)用戶提供了多種靈活的授權(quán)方式：

角色授權(quán)
部門組織機(jī)構(gòu)授權(quán)
動(dòng)態(tài)授權(quán)

    角色與組織機(jī)構(gòu)都為一類人的總和，所不同的是，系統(tǒng)中的角色是與用戶在工作中所承擔(dān)的現(xiàn)實(shí)角色相對(duì)應(yīng)的，與組織機(jī)構(gòu)的縱向排列相對(duì)，大多數(shù)角色都為橫向排列。如每個(gè)部門的主管、組長(zhǎng)、組員等。

    管理員可以在UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)中同時(shí)為某個(gè)系統(tǒng)分別按照角色和用戶組授權(quán)，如HR系統(tǒng)只有人事部門可以訪問(wèn)，并且部門經(jīng)理及以上級(jí)別可以訪問(wèn)。這種按照用戶組織機(jī)構(gòu)與用戶角色結(jié)合的授權(quán)方式不僅更為靈活，同時(shí)也更符合實(shí)際成產(chǎn)生活的需求。

1.7 內(nèi)置企業(yè)級(jí)CA
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)內(nèi)置了企業(yè)級(jí)證書管理系統(tǒng)，可完成數(shù)字證書的綜合管理工作，有著如下完備的功能：
（1）豐富的證書業(yè)務(wù)功能
（2）基于角色的授權(quán)管理
（3）支持多級(jí)CA
（4）強(qiáng)大的證書模板功能
（5）所見(jiàn)即所得的自定義功能（自定義證書模板&自定義證書擴(kuò)展域）
（6）支持漢字證書
（7）支持KMC（密鑰管理中心）
（8）支持OCSP（在線證書狀態(tài)查詢）
（9）支持可替換的加密模塊
（10）以用戶為中心的證書管理模式

    證書管理系統(tǒng)配有專門的證書管理員，通過(guò)使用優(yōu)化后的管理頁(yè)面，管理員只需在圖形界面中點(diǎn)擊鼠標(biāo)，就可完成用戶證書申請(qǐng)、審批、簽發(fā)工作，到期的用戶證書可以進(jìn)行批量自動(dòng)更新。

    對(duì)于希望減輕管理負(fù)擔(dān)的用戶，證書自助服務(wù)可以直接面向最終用戶提供證書申請(qǐng)與簽發(fā)界面，縮短了實(shí)施時(shí)代億信證書認(rèn)證解決方案的時(shí)間。

1.8 網(wǎng)絡(luò)層訪問(wèn)控制
    針對(duì)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，UAP-G系統(tǒng)采用過(guò)濾分析網(wǎng)絡(luò)包的形式，鑒別用戶訪問(wèn)的是否為受控資源以及用戶是否有權(quán)限訪問(wèn)該資源。

    在實(shí)際應(yīng)用環(huán)境中，存在著大量的網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等）和主機(jī)服務(wù)器（如Linux服務(wù)器、UNIX服務(wù)器等），維護(hù)和管理人員對(duì)這些設(shè)備和服務(wù)器的維護(hù)存在著很大的安全隱患。每個(gè)管理員都可以連接其他人負(fù)責(zé)的網(wǎng)絡(luò)設(shè)備，如果存在帳號(hào)共享的情況，便有可能出現(xiàn)權(quán)力不明，責(zé)任不清的問(wèn)題。

    UAP-G將網(wǎng)絡(luò)設(shè)備和服務(wù)器資源管理中，指定用戶可以訪問(wèn)的網(wǎng)絡(luò)資源，從網(wǎng)絡(luò)層限制了用戶可以連接什么地方，不可以連接什么地方，實(shí)現(xiàn)了系統(tǒng)維護(hù)人員對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器訪問(wèn)控制和認(rèn)證授權(quán)。UAP-G采用多種可選方式對(duì)維護(hù)人員的身份進(jìn)行認(rèn)證，可以有效避免非法用戶的假冒；通過(guò)日志審計(jì)功能，UAP-G能夠?qū)崿F(xiàn)對(duì)用戶網(wǎng)絡(luò)訪問(wèn)的跟蹤，而日志信息的分析和挖掘，為安全事故的調(diào)查提供了一個(gè)很好的輔助工具。

    UAP-G系統(tǒng)對(duì)所有協(xié)議的包過(guò)濾控制，以網(wǎng)橋的模式部署在用戶終端和資源系統(tǒng)之間。用戶在訪問(wèn)資源系統(tǒng)前，必須先登錄UAP-G用戶登錄平臺(tái)；或者用戶在訪問(wèn)WEB資源系統(tǒng)前，如果沒(méi)有認(rèn)證的話，UAP-G會(huì)提示登錄或自動(dòng)重定向到UAP-G的用戶登錄平臺(tái)。用戶在通過(guò)認(rèn)證后，在用戶終端可啟動(dòng)資源系統(tǒng)客戶端(Telnet/SSH、FTP、瀏覽器等)直接登錄用戶被授權(quán)的資源系統(tǒng)，而不需要資源系統(tǒng)的登錄認(rèn)證。

UAP-G系統(tǒng)支持網(wǎng)絡(luò)資源有；
B/S模式應(yīng)用系統(tǒng)
    UAP-G系統(tǒng)支持多種WEB服務(wù)器平臺(tái)，如果只對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行訪問(wèn)控制，WEB業(yè)務(wù)系統(tǒng)不需要做任何更改；若希望使用單點(diǎn)登錄功能，則需要業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)相應(yīng)的單點(diǎn)登錄接口，同時(shí)UAP-G系統(tǒng)提供API支持。

C/S模式應(yīng)用系統(tǒng)
    UAP-G系統(tǒng)支持C/S模式應(yīng)用系統(tǒng)，可方便的對(duì)目前大部分C/S模式的應(yīng)用程序進(jìn)行訪問(wèn)控制管理，減少二次開發(fā)。目前，UAP-G系統(tǒng)可以wm支持下列C/S應(yīng)用的訪問(wèn)控制和日志審計(jì)：
Telnet
SSH
FTP
SCP / SFTP
Oracle、DB2、MySQL、SQL-SERVER等數(shù)據(jù)庫(kù)
文件共享

1.8.1 按資源安全等級(jí)保護(hù)
    UAP-G系統(tǒng)可對(duì)內(nèi)網(wǎng)中的任何類型的主機(jī)進(jìn)行保護(hù)，管理員只需將該主機(jī)置于UAP-G系統(tǒng)后方，便可經(jīng)過(guò)簡(jiǎn)單配置，根據(jù)該主機(jī)的業(yè)務(wù)類型和安全級(jí)別設(shè)定用戶訪問(wèn)策略。利用物理隔離、安全的身份認(rèn)證機(jī)制和靈活的資源授權(quán)機(jī)制，把需要保護(hù)的主機(jī)妥善的保護(hù)起來(lái)，用戶登錄UAP-G系統(tǒng)后，更可體驗(yàn)到單點(diǎn)登錄到B/S 與 C/S資源的簡(jiǎn)單和方便。

1.8.2 可集成性
    當(dāng)前的信息系統(tǒng)中資源包括WEB服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)數(shù)據(jù)資源、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)和數(shù)據(jù)庫(kù)服務(wù)器以及文件共享服務(wù)等，UAP-G系統(tǒng)的目標(biāo)就是將這些不同環(huán)境中的各種資源無(wú)縫的結(jié)合起來(lái)。對(duì)于各種網(wǎng)絡(luò)資源，UAP-G系統(tǒng)通過(guò)網(wǎng)絡(luò)數(shù)據(jù)報(bào)分析、過(guò)濾的解決方案達(dá)到對(duì)資源的授權(quán)控制。對(duì)于一般網(wǎng)絡(luò)中的文件共享服務(wù)，UAP-G系統(tǒng)可通過(guò)在域服務(wù)器簡(jiǎn)單安裝子服務(wù)的形式，進(jìn)行域授權(quán)控制，實(shí)現(xiàn)集成和整合。另外，UAP-G系統(tǒng)wq支持行業(yè)標(biāo)準(zhǔn)，例如X.509，Radius（AAA），在安全服務(wù)之間提供了靈活方便的可交互性。

    根據(jù)UAP-G系統(tǒng)運(yùn)行模式的不同，用戶可以跟據(jù)現(xiàn)有網(wǎng)絡(luò)環(huán)境的情況選擇“網(wǎng)橋”模式和“旁路”模式。

    網(wǎng)橋模式下，只需簡(jiǎn)單將UAP-G系統(tǒng)串聯(lián)到受控資源前面，對(duì)所有訪問(wèn)后方受保護(hù)資源的數(shù)據(jù)包進(jìn)行過(guò)濾控制，從物理上劃分出不同的安全區(qū)域，具有較高的安全及訪問(wèn)控制級(jí)別。可以為受控資源提供最完善的網(wǎng)絡(luò)訪問(wèn)控制、授權(quán)、集中帳號(hào)管理和網(wǎng)絡(luò)訪問(wèn)審計(jì)功能。

    若部署在旁路模式下，只需讓UAP-G系統(tǒng)連接在交換機(jī)上，經(jīng)過(guò)簡(jiǎn)單配置，便可進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的分析和過(guò)濾，及認(rèn)證和授權(quán)服務(wù)。

1.8.3 可擴(kuò)展性
    UAP-G系統(tǒng)體現(xiàn)出了非常強(qiáng)大的可擴(kuò)展性。UAP-G系統(tǒng)基于角色的授權(quán)體制和靈活的集成機(jī)制使得不管業(yè)務(wù)怎么擴(kuò)展、用戶怎么增加、數(shù)據(jù)怎么激增它都能應(yīng)付自如。另外，UAP-G系統(tǒng)靈活方便的API允許用戶根據(jù)實(shí)際需求定制個(gè)性化的安全管理解決方案。

1.8.4 面向多種資源的授權(quán)機(jī)制
    UAP-G系統(tǒng)提供靈活實(shí)用的授權(quán)技術(shù)以便使管理員管理B/S資源、C/S資源、數(shù)據(jù)資源、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)服務(wù)器。UAP-G系統(tǒng)的授權(quán)機(jī)制根據(jù)動(dòng)態(tài)綁定用戶MAC地址來(lái)滿足各種業(yè)務(wù)的不同需求。

    對(duì)服務(wù)器的訪問(wèn)授權(quán)，可以依據(jù)不同的自然人進(jìn)行權(quán)限分配，即使這些自然人共享同一個(gè)系統(tǒng)帳號(hào)。

1.8.5 面向會(huì)話的訪問(wèn)審計(jì)
    一般的網(wǎng)絡(luò)控制產(chǎn)品，在訪問(wèn)審計(jì)方面，主要針對(duì)IP和端口進(jìn)行審計(jì)，比如某個(gè)IP地址在什么時(shí)候使用哪個(gè)端口訪問(wèn)了哪個(gè)IP的哪個(gè)端口，這種審計(jì)無(wú)法得知在訪問(wèn)過(guò)程中，用戶到地執(zhí)行了哪些操作，更無(wú)法針對(duì)這些操作進(jìn)行訪問(wèn)控制。

    UAP-G系統(tǒng)可針對(duì)于用戶訪問(wèn)的會(huì)話內(nèi)容進(jìn)行審計(jì)。比如用戶在Telnet某個(gè)服務(wù)器時(shí)，我們可以控制該用戶是否可以執(zhí)行某個(gè)命令，并且對(duì)用戶對(duì)服務(wù)器所執(zhí)行的操作進(jìn)行會(huì)話記錄，將用戶輸入的命令及服務(wù)器的返回信息進(jìn)行記錄，不論在訪問(wèn)控制方面還是在后期追責(zé)方面，都為用戶提供了非常方便并且準(zhǔn)確的訪問(wèn)控制和日志審計(jì)服務(wù)。

1.8.6 簡(jiǎn)單易用性
    UAP-G系統(tǒng)簡(jiǎn)單易用的管理界面屏蔽了用戶權(quán)限和策略管理的復(fù)雜性，大大減少員工培訓(xùn)和維護(hù)的成本。此外，分級(jí)委托授權(quán)管理也極大地幫助管理員減輕管理負(fù)擔(dān)。
在使用方面，當(dāng)用戶訪問(wèn)一個(gè)受保護(hù)的WEB資源時(shí)，UAP-G系統(tǒng)還將對(duì)用戶進(jìn)行主動(dòng)認(rèn)證，即使用戶不知道服務(wù)器地址，也可方便的進(jìn)行認(rèn)證并可享受權(quán)限內(nèi)的B/S應(yīng)用的單點(diǎn)登錄功能。

1.8.7 可快速實(shí)施
    UAP-G系統(tǒng)提供兩種部署模式：“透明網(wǎng)橋”與“旁路部署”，這兩種部署模式都可簡(jiǎn)單實(shí)現(xiàn)，在最快時(shí)間內(nèi)完成部署，實(shí)現(xiàn)對(duì)現(xiàn)有網(wǎng)絡(luò)環(huán)境配置的最小化修改。
透明網(wǎng)橋：將服務(wù)器部署在受控資源前面，達(dá)到對(duì)受控資源的物理隔離，無(wú)需修改現(xiàn)有網(wǎng)絡(luò)配置即可進(jìn)行資源保護(hù)。
旁路部署：只需讓UAP-G系統(tǒng)連接在交換機(jī)上，經(jīng)過(guò)簡(jiǎn)單配置，便可在wq不影響現(xiàn)有網(wǎng)絡(luò)環(huán)境的前提下完成部署。

1.9 具備快速部署能力
    UAP-G系統(tǒng)為硬件產(chǎn)品，針對(duì)應(yīng)用對(duì)象和應(yīng)用場(chǎng)景進(jìn)行功能優(yōu)化，大幅度減少了應(yīng)用系統(tǒng)二次開發(fā)工作量，增強(qiáng)了系統(tǒng)的友好性和易用性，縮短了企業(yè)部署時(shí)間和用戶上手時(shí)間，為用戶節(jié)省投資。

1.10 豐富的安全策略
    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)通過(guò)將用戶劃分為用戶組或角色，可以配置不同的安全策略，減輕管理員的工作量。安全策略支持用戶IP地址策略、管理IP地址策略、時(shí)間策略、口令策略設(shè)置，具體如下：
（1）用戶IP地址策略：限定用戶訪問(wèn)UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)的客戶端IP地址，阻止未授權(quán)的IP地址訪問(wèn)應(yīng)用；
（2）管理IP地址策略：限定管理員訪問(wèn)UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)后臺(tái)管理功能的客戶端IP地址，阻止未授權(quán)的IP地址訪問(wèn)管理功能；
（3）時(shí)間策略：限定用戶訪問(wèn)受UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)保護(hù)的應(yīng)用系統(tǒng)的時(shí)間段，例如可設(shè)置只有上班8個(gè)小時(shí)允許訪問(wèn)，從而{zd0}限度減少非法入侵的可能；
（4）口令策略：可定義口令的復(fù)雜度策略，包括用戶口令的長(zhǎng)度、定義非重復(fù)口令、禁用的字符短語(yǔ)等；可定義口令的過(guò)期策略，使用戶在一定周期過(guò)后就強(qiáng)制要求修改密碼；可針對(duì)不同用戶組和角色應(yīng)用不同的口令安全策略。

1.11 日志審計(jì)

 

    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)可記錄系統(tǒng)范圍內(nèi)的安全和系統(tǒng)審計(jì)信息，有效地分析整個(gè)系統(tǒng)的日常操作與安全事件數(shù)據(jù)，通過(guò)歸類、合并、關(guān)聯(lián)、優(yōu)化、直觀呈現(xiàn)等方法，使管理員輕松識(shí)別應(yīng)用系統(tǒng)環(huán)境中潛在的惡意威脅活動(dòng)，可幫助用戶明顯地降低受到來(lái)自外界和內(nèi)部的惡意侵襲的風(fēng)險(xiǎn)。

    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)具有實(shí)時(shí)監(jiān)控功能，可隨時(shí)了解用戶當(dāng)前操作的內(nèi)容，監(jiān)控用戶的操作，及時(shí)發(fā)現(xiàn)潛在的危險(xiǎn)操作或違法操作，便于{dy}時(shí)間處理。
實(shí)時(shí)監(jiān)控功能還避免了管理員對(duì)日志文件的操作，提供直觀、清晰、易用的WEB監(jiān)控頁(yè)面，增強(qiáng)了系統(tǒng)的友好性。

    在UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)中發(fā)生的關(guān)鍵事件可以得到過(guò)濾、標(biāo)記，并被發(fā)送給指定的接收對(duì)象。這種能力可以使管理員接近實(shí)時(shí)地發(fā)現(xiàn)重要的事件，同時(shí)還可以實(shí)現(xiàn)Email告警、短信告警或其他形式的操作。

    UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)具有自動(dòng)日志維護(hù)功能，簡(jiǎn)化了管理員操作，具備建立定期日志備份、日志轉(zhuǎn)儲(chǔ)、日志清理等多項(xiàng)功能，可以確保安全地保存使用日志，而不需人工參與。系統(tǒng)內(nèi)置了大量報(bào)表和圖表功能，使管理員方便地制作多種類型的報(bào)告，可以細(xì)化到每個(gè)字段。報(bào)告功能可提供多種格式的報(bào)表，包括便于web 瀏覽和分發(fā)的HTML 格式。
UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)通過(guò)分析網(wǎng)絡(luò)包為用戶提供受控資源訪問(wèn)控制服務(wù)，在用戶完成登錄并獲得正確授權(quán)之后，UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)還將記錄用戶訪問(wèn)受保護(hù)資源的日志記錄。

    日志中記錄了用戶名稱、用戶IP、目的IP和目的端口以及訪問(wèn)時(shí)間等主要信息。
審計(jì)管理員登錄系統(tǒng)后，可對(duì)日志進(jìn)行查詢并導(dǎo)出為Excel文件，方便管理員利用Excel工具對(duì)日志內(nèi)容進(jìn)行各種統(tǒng)計(jì)工作。

    另外，對(duì)于UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)采用三權(quán)分立的授權(quán)機(jī)制，管理員對(duì)UAP統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)所作的所有修改和系統(tǒng)自身發(fā)生的情況都會(huì)被記入日志中，并且只有日志審計(jì)管理員才可對(duì)日志進(jìn)行操作。

1.12 應(yīng)急訪問(wèn)
    通過(guò)使用應(yīng)急訪問(wèn)功能，可以在用戶遺失或忘帶身份認(rèn)證憑證的情況下，通過(guò)管理員臨時(shí)賦予用戶一個(gè)可用登錄憑證，滿足用戶使用應(yīng)用系統(tǒng)的需求。
臨時(shí)可用的登錄憑證由管理員根據(jù)需要分發(fā)，可設(shè)置相應(yīng)的審批流程，臨時(shí)憑證可與安全策略配合使用，配置時(shí)間、IP地址設(shè)置限制，如可限制只有上班8小時(shí)才能使用等等。