时代亿信UAP-S统一认证与访问控制系统应用场景..docVIP

时代亿信UAP-S统一认证与访问控制系统应用场景 产品应用场景 UAP-S系统能做什么？ CA中心 UAP-S系统内置一套综合的企业级证书管理系统（ETCA），可用于数字证书的申请、审核、签发、注销、更新和查询，颁发的数字证书格式严格遵循X.509v3规范，具有广泛适用性和良好的扩展性。通过使用该系统，可以搭建出符合政府、行业、第三方、企业需求的CA中心。通过使用ETCA发行的数字证书可以为用户提供信息安全的全面服务： 保密性 — 保证信息是秘密的 完整性 — 能检验信息未被篡改 身份鉴别 — 检验个人或机构的身份 不可否定性 — 确保信息或操作不能被否认 ETCA应用国际先进技术，采用高强度的加密算法、高可靠性的安全机制及完善的管理及配置策略来保障整个系统的安全、可靠的运行。 ETCA系统完全遵循PKI及相关标准，这样有利于与其它厂商的产品实现互连，增大证书的适用范围。该系统支持的技术标注列表如下： ETCA产品支持的标准 类别 标准 标准内容 1、密码算法和标准 加密 SM1密码算法 数字签名 SM2数字签名 RSA 数字签名，符合PKCS#1 V2.0 DSA，符合数字签名标准、美国 FIPS PUB 186 和 ANSIX9.30 （第一部分） 散列函数 SM3散列算法 SHA－1，符合美国 FIPS PUB 180－1 和 ANSI X9.30（第二部分） MD5 报文摘要算法，符合因特网 RFC 1321 密钥管理 RSA 密钥传输符合因特网RFC 1421 和 1423 (PEM) 和 PKCS#1 V2.0 伪随机数生成符合 ANSIX9.1 对称技术的完整性 报文验证码 (MAC)，符合美国 FIPSPUB 113、ANSIX9.9 和 X9.19 伪随机数生成 符合 ANSIX9.17 2、数据格式和协议 证书和证书注销列表格式 第3版证书和证书扩展，符合 ITU－Trec.X.509 (1997) 和公用标准 ISO/IEC 9594-8 (1997) 证书注销表和证书注销表扩展，符合 IETF PKIX－1概况表技术规范 证书注销表和证书注销表扩展，符合 IETF PKIX－1概况表技术规范 RSA 算法标识符和公开密钥格式，符合PEM 和 PKCS #1 V2.0 文件包封格式 基于因特网 RFC 1421 (PEM) 的标准文件包封格式 安全文件包封技术，符合 PKCS#7和S/MIME 目录协议 轻量目录存取协议 (LDAP)，符合 RFC 1777 PKI 操作协议 符合 PKIX－2 图3-1 CA系统管理界面 企业认证中心 UAP-S系统利用其强大的身份认证功能，将用户的身份认证与企业的管理技术和业务流程密切结合，保证系统中的数据资源只能被有权限的用户访问，未经授权的用户无法访问数据；防止伪造身份认证手段、访问者身份等非法措施，从而有效保护信息资源的安全。 传统身份认证只使用一种条件判断用户的身份，因此认证很容易被仿冒。而双因子认证或强认证是通过组合两种或多种不同条件（如通过密码和芯片组合）来证明一个人的身份，安全性有了明显提高。UAP-S系统支持对多种身份认证方式的混用，有效提高身份认证的安全性。UAP-S系统支持的认证方式有： （1）USB智能卡认证 （2）证书认证 （3）动态令牌 （4）短信认证 （5）指纹认证 （6）静态口令 （7）一次性口令 （8）第三方认证组件 UAP-S系统还支持对认证方式的混用： （1）多种认证方式同时启用，即用户必须经过两种或两种以上认证方式的认证才能登录进入系统； （2）多种认证方式选择启用，即用户可以在系统给出的两种或两种以上认证方式中选择一个进行认证，认证通过就能登录进入系统； （3）强制认证方式，即系统根据用户或用户角色信息，给出指定的认证方式进行认证，用户只有在通过指定认证方式认证的情况下才能登录进入系统；即使用户使用其他认证方式登录进入系统，对需要进行强制认证的系统或应用场景依然需要二次强制认证，可以充分保证系统的运行安全和操作维护安全。 图3-2 身份认证方式配置界面图 应用系统单点登录 UAP-S系统具有完善的单点登录体系，可安全地在应用系统之间传递或共享用户身份认证凭证，用户不必重复输入凭证来确定身份。不仅带来了更好的用户体验，更重要的是降低了安全的风险和管理的消耗。 图3-3 单点登录方式配置界面图 UAP-S系统具有两种应用系统帐号传递机制： 主从帐号方式 UAP-S系统的用户信息数据独立于各应用系统，形成统一的用户唯一ID，并将其作为用户的主帐号。如下图所示： 图3-4 主从帐号管理机制 当增加一个应用系统时，只需要增加用户唯一ID（主帐号）与该应用系统帐号（从帐号）的一个关联信息