一、系统概述
UTrust身份认证和访问控制系统是国内具有自主知识产权的IAM(Indentity and Access Management)类产品,IAM系统的产生主要是为了解决用户对企事业中各应用系统的访问控制和管理的问题,并可以整合内部各应用系统,为企事业提供一个统一的用户、认证,授权,审计和管理框架。作为国内自主开发的IAM产品,UTrust身份认证和访问控制系统为国内政府机关,企事业单位提供了选择本土化产品的方便性,同时也提供了更适宜国内自身信息化应用的IAM解决方案。
二、系统功能
- SSO单点登录
UTrust身份认证和访问控制管理平台具备单点登录功能,当用户持有的USB Key、数字证书或是静态口令通过统一认证平台的认证后,即可访问其有权限的所有应用系统,无需再输入原有系统的登录口令。同时支持基于B/S结构的Web应用系统和C/S结构的非Web应用系统的两种单点登陆方式。
- 统一身份认证
对访问组织或企业内所有应用系统资源(B/S或C/S结构)的用户进行统一的身份认证,并使用增强的身份认证方式,对用户信息和认证手段做统一管理。当用户需要访问被保护的应用系统时,需要出示强身份认证方式:选择存储在计算机上的软证书,或是插入USB Key,UTrust系统对证书信息进行验证。除数字证书认证方式之外,同时也保留了传统的静态口令认证,并且为其他认证方式如动态口令,短信,生物特征等认证方式预留接口,以适应企业对认证方式扩展的需求。
- 统一身份管理
UTrust平台在统一、可伸缩、健壮的基础架构上有效的实现了用户分组管理、用户账号管理、用户角色管理和用户自注册等统一的身份管理功能。分组管理用户可以按照企业内部的用户、部门和安全域三级组织结构并分别进行管理。用户账号管理统一管理用户的账号信息,包括创建,修改,删除,或停止账号。当对一个账号进行上述操作时,即可改变其访问行为。为配合UTrust平台基于角色的授权机制。在管理中心,可以根据组织机构自身的特点及其职能职权的化分,创建各种角色,对其进行定义,为角色分配用户,通过用户的ID与角色映射。同时统一账号管理系统提供了基于Web的自注册服务功能。自注册系统使用户可以自己注册基本信息及其在各应用系统上的账号信息。
- 统一访问控制
UTrust系统架构在用户与应用系统之间,是所有用户访问应用系统的唯一入口。用户要访问应用系统之前,先要到UTrust认证平台上进行身份验证,通过验证之后,用户才有权限访问内部的应用系统。这样极大的减少了企业内部各系统之间相互独立认证而引发的各种安全隐患。UTrust平台采用安全隧道技术,用户对应用系统的任何访问请求和返回信息都要在这个隧道上进行加密传输。保证了用户信息和访问信息在传输过程中不被窃取和篡改。
- 统一授权
在UTrust平台上注册企业或组织内所有需要保护的应用系统,并对所有用户进行统一的授权。采用基于角色的授权机制,按照企业内部的组织结构划分角色,并为用户绑定角色。对于不同的角色分配不同应用系统的访问权限。
对于B/S结构的应用系统,UTrust平台可以为其提供基于URL的细粒度访问权限。为用户或组设置其可以访问的哪个Web系统的哪些页面可以访问,哪些页面不可以访问。同时对C/S系统的访问进行统一授权,为不同的用户角色提供不同的访问策略。
UTrust系统平台列出每一个应用系统下所具有的用户情况。在每个系统下查询用户情况,以直观的方式显示每一个资源下有权访问的用户信息。为不同的角色定制不同的访问策略。访问策略包括可以访问的资源和访问控制规则。访问规则设置灵活,如按时间段,网络IP.或MAC地址等,也可以根据组织结构不同需求定制不同的访问策略。
将各个应用系统的授权管理界面集中的UTrust统一授权管理平台,系统管理员从统一授权管理系统登陆进去后,即可实现对各自的应用系统进行授权。
- 统一审计
统一审计功能主要依靠记录最终用户和管理人员的访问过程,建立一套全面的、有效的回溯和追查机制。可以让系统管理员实时监测用户对企业各应用系统的访问状态,及时发现非法访问事件,对出现的问题进行事后追溯和责任追究提供实证。通过对系统运行状态实时监控审计,还增强了系统的可维护性。统一审计主要完成访问行为审计、审计信息查询、审计信息查询、审计信息防窜改和黑名单功能等几大功能。
- 统一安全管理
UTrust统一安全管理中心为UTrust统一认证,授权和审计平台提供管理功能。系统管理员通过这个管理中心可对上述用户身份信息,认证,权限及审计信息进行统一的管理,并对UTrust系统本身进行维护管理。统一安全管理中心采用基于轻量目录存取服务LDAP或是关系型数据库来存储用户信息、应用系统资源、权限信息,来满足不同企业和组织的IT现状和需求。
三、系统特点
- 应用系统无关性
系统的实施与受保护应用系统的开发语言、开发平台和后台数据库无关,在保持现有的软硬件及网络环境不变情况下,对应用系统不做改造或简单接口,既可以把UTrust系统平台与应用系统无缝整合。
- 系统高安全性
使用数字证书作为强身份认证方式保证了用户登录的安全性,使用SSL的加密通道,并根据需要从多种不同强度的加密算法中选择配置,保证了数据传输中的安全性,用户在登陆的状态下离开计算机,通过超时设置,其他用户无法继续会话来访问受保护的资源保证登陆用户的唯一性。
- 系统可扩展性
UTrust系统平台采用模块化结构,对于整个平台上的功能,可以根据企业需求,灵活选择,分步实施。对于用户的需求,可以定制开发,按用户自身的特点和实际情况附加不同的功能。同时为认证方式、授权管理和系统管理预留API接口,可以将新的应用系统纳入到UTrust系统平台的统一管理中。
- 技术先进性
系统采用基于标准的LDAP目录服务器存储用户信息,提供了强大的跨平台性和跨应用管理能力,为企业其他系统共享资源提供基础。也便于其他应用系统采用同一标准开发纳入统一管理平台。LDAP技术是未来用户管理的统一标准和基础,保持了系统的先进性。
- 访问负载均衡性
UTrust系统支持集群配置,采用负载均衡机制。用户可以在网内部署多台UTrust服务器,UTrust系统可以平衡不同服务器之间的认证请求,按照设定的负载比率将处理请求分配给每台服务器。
- 系统兼容性
UTrust系统平台基于J2EE架构技术开发,与操作系统平台无关,可以方便的在任何操作系统上实施,与其他系统具有很好的兼容性。
- 系统部署灵活性
UTrust 系统平台各子系统及其管理端可以整体部署,也可以独立部署,根据企业的发展和应用现状而定。如审计信息管理可以分离出来部署,为企业的应用系统提供一个独立安全的审计平台,由专门的审计管理员独立管理。
