1、產(chǎn)品應用場景
1.1 UAP-S系統(tǒng)能做什么？
1.1.1 CA中心
    UAP-S系統(tǒng)內(nèi)置一套綜合的企業(yè)級證書管理系統(tǒng)（ETCA），可用于數(shù)字證書的申請、審核、簽發(fā)、注銷、更新和查詢，頒發(fā)的數(shù)字證書格式嚴格遵循X.509v3規(guī)范，具有廣泛適用性和良好的擴展性。通過使用該系統(tǒng)，可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的CA中心。通過使用ETCA發(fā)行的數(shù)字證書可以為用戶提供信息安全的全面服務：
保密性 — 保證信息是秘密的
完整性 — 能檢驗信息未被篡改
身份鑒別 — 檢驗個人或機構(gòu)的身份
不可否定性 — 確保信息或操作不能被否認


    ETCA應用國際先進技術(shù)，采用高強度的加密算法、高可靠性的安全機制及完善的管理及配置策略來保障整個系統(tǒng)的安全、可靠的運行。
    ETCA系統(tǒng)wq遵循PKI及相關(guān)標準，這樣有利于與其它廠商的產(chǎn)品實現(xiàn)互連，增大證書的適用范圍。該系統(tǒng)支持的技術(shù)標注列表如下：

 

圖3-1 CA系統(tǒng)管理界面


1.1.2 企業(yè)認證中心
    UAP-S系統(tǒng)利用其強大的身份認證功能，將用戶的身份認證與企業(yè)的管理技術(shù)和業(yè)務流程密切結(jié)合，保證系統(tǒng)中的數(shù)據(jù)資源只能被有權(quán)限的用戶訪問，未經(jīng)授權(quán)的用戶無法訪問數(shù)據(jù)；防止偽造身份認證手段、訪問者身份等非法措施，從而有效保護信息資源的安全。


    傳統(tǒng)身份認證只使用一種條件判斷用戶的身份，因此認證很容易被仿冒。而雙因子認證或強認證是通過組合兩種或多種不同條件（如通過密碼和芯片組合）來證明一個人的身份，安全性有了明顯提高。UAP-S系統(tǒng)支持對多種身份認證方式的混用，有效提高身份認證的安全性。UAP-S系統(tǒng)支持的認證方式有：
（1）USB智能卡認證
（2）證書認證
（3）動態(tài)令牌
（4）短信認證
（5）指紋認證
（6）靜態(tài)口令
（7）一次性口令
（8）第三方認證組件


UAP-S系統(tǒng)還支持對認證方式的混用：
（1）多種認證方式同時啟用，即用戶必須經(jīng)過兩種或兩種以上認證方式的認證才能登錄進入系統(tǒng)；
（2）多種認證方式選擇啟用，即用戶可以在系統(tǒng)給出的兩種或兩種以上認證方式中選擇一個進行認證，認證通過就能登錄進入系統(tǒng)；
（3）強制認證方式，即系統(tǒng)根據(jù)用戶或用戶角色信息，給出指定的認證方式進行認證，用戶只有在通過指定認證方式認證的情況下才能登錄進入系統(tǒng)；即使用戶使用其他認證方式登錄進入系統(tǒng)，對需要進行強制認證的系統(tǒng)或應用場景依然需要二次強制認證，可以充分保證系統(tǒng)的運行安全和操作維護安全。

 

圖3-2 身份認證方式配置界面圖


1.1.3 應用系統(tǒng)單點登錄
    UAP-S系統(tǒng)具有完善的單點登錄體系，可安全地在應用系統(tǒng)之間傳遞或共享用戶身份認證憑證，用戶不必重復輸入憑證來確定身份。不僅帶來了更好的用戶體驗，更重要的是降低了安全的風險和管理的消耗。 


圖3-3 單點登錄方式配置界面圖


UAP-S系統(tǒng)具有兩種應用系統(tǒng)帳號傳遞機制：
主從帳號方式
    UAP-S系統(tǒng)的用戶信息數(shù)據(jù)獨立于各應用系統(tǒng)，形成統(tǒng)一的用戶{wy}ID，并將其作為用戶的主帳號。如下圖所示：

  

圖3-4 主從帳號管理機制


    當增加一個應用系統(tǒng)時，只需要增加用戶{wy}ID（主帳號）與該應用系統(tǒng)帳號（從帳號）的一個關(guān)聯(lián)信息即可，不會對其它應用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認證時不同應用系統(tǒng)之間用戶交叉和用戶帳號不同的問題。單點登錄過程均通過安全通道來保證數(shù)據(jù)傳輸?shù)陌踩?br />

Ticket票據(jù)方式
    在用戶訪問應用系統(tǒng)之前，由UAP統(tǒng)一認證與訪問控制系統(tǒng)生成一次性的訪問Ticket票據(jù)，并將Ticket提交給應用系統(tǒng)，應用系統(tǒng)通過加密的方式回連UAP，并驗證Ticket有效性，之后返回認證結(jié)果和用戶身份信息給應用系統(tǒng)。應用系統(tǒng)根據(jù)驗證結(jié)果確認用戶身份，并分配用戶權(quán)限。


    此種認證登錄方式下還可以配合IP地址綁定等方式，通過增加客戶端可識別信息進一步加強系統(tǒng)間交互的安全性。


UAP-S具有多種單點登錄實現(xiàn)方式：


反向代理
    在完成客戶端與認證服務器的交互認證后，用戶先登錄進入平臺系統(tǒng)，然后利用反向代理技術(shù)完成服務器端代理用戶認證，并將應用系統(tǒng)信息推送給客戶端瀏覽器，從而實現(xiàn)用戶對該應用系統(tǒng)的訪問。


API插件
    插件方式采用SSO認證服務和集成插件（SSO API）的方式進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。插件方式提供多種API，通過簡單調(diào)用即可實現(xiàn)SSO。


客戶端代理
    對于部分應用場景中應用系統(tǒng)不能停機或開發(fā)商不能配合的情況，UAP-S系統(tǒng)可采用客戶端代理技術(shù)，自動地完成應用系統(tǒng)單點登錄。


HTTP HEADER
    當用戶訪問應用系統(tǒng)時，UAP-S系統(tǒng)的認證登錄功能將該用戶信息加密后放在HTTP HEADER中傳遞給應用系統(tǒng)。應用系統(tǒng)接收后解析HTTP HEADER內(nèi)容，獲得用戶信息，驗證后進入應用系統(tǒng)。
    考慮到HTTP明文傳輸?shù)囊蛩?，可考慮使用SSL加密通道或關(guān)鍵信息加密通道保護用戶認證信息的安全。同時，UAP-S系統(tǒng)也可以在HTTP HEADER中置入經(jīng)過加密的用戶信息，需要對應用系統(tǒng)登錄認證模塊進行改造，使其識別加密后的用戶信息，從而實現(xiàn)用戶身份驗證。


1.1.4 應用帳號統(tǒng)一管理
    UAP-S系統(tǒng)中的用戶帳號信息統(tǒng)一管理組件基于關(guān)系型數(shù)據(jù)庫，用于存儲用戶的帳號信息，并實現(xiàn)對接入平臺的所有應用系統(tǒng)均可以同步帳號信息，節(jié)省了用戶投入，實現(xiàn)了資源利用{zd0}化。

 

圖3-5 應用帳號管理界面


帳號集中管理
    UAP-S系統(tǒng)內(nèi)置應用帳號管理組件，可提供對用戶帳號信息的集中管理，支持與企業(yè)現(xiàn)有IT基礎設施無縫結(jié)合，支持多種類型的連接和互操作標準。


帳號管理的特點如下：
（1）可在一點操作，實現(xiàn)對各應用系統(tǒng)帳號的注冊、變更和注銷管理；
（2）保證用戶帳號{wy}性，實現(xiàn)操作可追溯，可定責；
（3）可集成LDAP、AD帳號信息；


帳號同步
    UAP-S系統(tǒng)的帳號管理功能可與企業(yè)應用系統(tǒng)無縫結(jié)合，通過標準的LDAP接口或Web Service接口，向應用系統(tǒng)自動同步帳號信息。


1.1.5 統(tǒng)一權(quán)限管理
    UAP-S系統(tǒng)通過統(tǒng)一授權(quán)功能，可對用戶組與應用系統(tǒng)或資源的關(guān)聯(lián)關(guān)系，角色與應用系統(tǒng)或資源的關(guān)聯(lián)關(guān)系進行創(chuàng)建和維護，以此來完成用戶對應用系統(tǒng)與資源訪問的授權(quán)。

 

圖3-6 統(tǒng)一授權(quán)管理界面


實體級授權(quán)
    實體級授權(quán)主要指用戶可以訪問哪些資源（包括系統(tǒng)和應用）的授權(quán)。對于一般企業(yè)應用實體級授權(quán)主要為應用系統(tǒng)的實體級授權(quán)。
應用的實體級授權(quán)主要通過統(tǒng)一用戶管理、統(tǒng)一認證、統(tǒng)一授權(quán)功能的相互配合完成：
（1）根據(jù)用戶的權(quán)限策略制定相應的ACL（訪問控制列表）；
（2）將制定的ACL通過附屬到組中形成一定顆粒度的授權(quán)單元；
（3）當一個用戶進行實體級授權(quán)時，可以通過在統(tǒng)一用戶管理功能中分配權(quán)限組的方式對用戶進行授權(quán)。


實體內(nèi)授權(quán)
    實體內(nèi)授權(quán)主要指包括基于角色的授權(quán)和細粒度權(quán)限授權(quán)，對于一般企業(yè)應用實體內(nèi)授權(quán)主要為應用系統(tǒng)的實體內(nèi)授權(quán)。


    應用的實體內(nèi)授權(quán)主要通過整合應用中的角色模塊實現(xiàn)：
（1）與應用的整合需要開發(fā)統(tǒng)一用戶管理Agent實現(xiàn)；
（2）統(tǒng)一用戶管理Agent會回收帳戶的角色以及系統(tǒng)所有的角色；
（3）當對用戶進行授權(quán)管理時，通過對用戶的角色屬性進行。


1.2 UAP-S系統(tǒng)應用場景
1.2.1 多應用統(tǒng)一認證（SSO）
多應用統(tǒng)一認證應用場景部署方案如下圖：

 

圖3-7 多應用統(tǒng)一認證應用場景


    UAP-S系統(tǒng)與應用系統(tǒng)服務器放置在同一網(wǎng)段內(nèi)，可采用串聯(lián)部署或并聯(lián)部署方式，上圖中以并聯(lián)部署方式為例。用戶首先訪問UAP-S系統(tǒng)的認證頁面，經(jīng)過身份鑒別后，按照指定的權(quán)限單點登錄到各個應用系統(tǒng)。同時，根據(jù)部署模式的不同，應用程序原有登錄認證入口可以保留或關(guān)閉。


    此種應用場景可以充分發(fā)揮UAP-S系統(tǒng)單點登錄完善的優(yōu)勢，通過反向代理、API插件、客戶端代理、Ticket票據(jù)等多種技術(shù)手段整合B/S架構(gòu)、C/S架構(gòu)應用系統(tǒng)，方便用戶使用，同時，盡可能減少對用戶現(xiàn)有網(wǎng)絡環(huán)境的變更。


1.2.2 企業(yè)認證中心
認證中心典型部署方案如下圖：

 

圖3-8 企業(yè)認證中心應用場景


    UAP-S系統(tǒng)與各個應用服務器建立網(wǎng)絡連接，應用系統(tǒng)配置自己的認證方式為使用第三方認證源，當用戶訪問應用系統(tǒng)時，應用系統(tǒng)將用戶的認證請求轉(zhuǎn)發(fā)到UAP-S系統(tǒng)，之后將認證結(jié)果返回給應用系統(tǒng)，應用系統(tǒng)根據(jù)認證結(jié)果決定用戶登錄是否成功。


    此種應用場景可以充分發(fā)揮UAP-S系統(tǒng)集成性和多認證方式支持的優(yōu)勢，通過使用標準接口，如LDAP、AD、數(shù)據(jù)庫適配器，直接整合企業(yè)現(xiàn)有IT基礎設施，集成用戶帳號信息，可準確驗證用戶身份；同時，由于UAP-S系統(tǒng)可兼容多種認證方式，無論應用系統(tǒng)采用靜態(tài)口令、數(shù)字證書或是動態(tài)令牌，甚至短信認證，都可以到UAP-S系統(tǒng)中進行認證，并獲得驗證結(jié)果。