统一认证授权项目v3.docx
《统一认证授权项目v3.docx》由会员分享,可在线阅读,更多相关《统一认证授权项目v3.docx(27页珍藏版)》请在冰豆网上搜索。
统一认证授权项目v3
1.xxx介绍
1.1.公司简介
北京xxx(简称“xxx”)是国内身份认证、身份管理和访问控制管理(IAM)安全解决方案领跑者,是专注于为全球金融机构、政府部门和高安全敏感环境提供身份管理及认证、特权凭证和访问控制管理解决方案的本土提供商。
xxx的安全解决方案已成功应用于众多银行、保险、政府、制造业、物流、媒体、医疗、教育机构及大型跨国公司。
在超过50家世界领先金融机构和超过200家银行成功部署,反映了即便是对信息科技环境要求最严格的金融服务及保险业,其世界级技术仍可协助客户提升企业信息安全的水平。
xxx拥有自主知识产权和专利,可以对产品进行灵活改造以适应用户的定置化需求;拥有各种资质证书,满足中国安全市场业务需求,以及本地法规的监管要求和用户需求。
1.2.产品概述
xxx专注于为全球高安全性敏感环境的企业提供凭证管理和强身份认证解决方案。
主要产品AccessMatrix是一套整合的企业级安全解决方案,让客户能够有效地部署委托授权管理、细粒度权限管理、统一认证、统一单点登录和安全凭证管理服务。
xxx的解决方案以分层分区的专利技术为核心,能够有效地处理一个组织或多个组织内庞大的用户群在凭证管理和强认证方面的需求和挑战。
它提供了可配置的访问控制、身份认证和审计策略,以满足对用户、应用程序和终端设备的最严格的安全管理要求,提供端对端的安全解决方案。
AccessMatrix是一个结构化的产品,通过灵活的配置提供实用和强大的功能,满足大型企事业单位信息安全管理的需求;它为IT安全管理人员提供全面的、集中化的策略管理服务,使他们方便有效地管理用户、系统,实现贯穿整个企业的安全策略。
整体上,AccessMatrix安全认证管理平台具有以下的特点:
→为用户提供集中化的认证、授权和审计服务,使他们安全地访问不同的业务应用系统和企业资源;
→为管理人员提供全面的集中策略管理服务,使他们方便有效地管理应用系统的访问许可、用户权限和贯穿整个企业的安全策略。
→为企业提供双重控制权限,让职责分离。
从系统基础搭建开始都不需要超级用户,而是设置了各种细粒度的角色和权限。
1.3.历史经验和成绩
xxx现在保护着超过10万亿美元的各类资产,其中包括新加坡最大的两家国际银行和世界上最大的瑞士私人银行以及日本最优秀的一家银行。
我们的专利分层分区管理模式,极大的方便了企业根据各自部门的特点来进行安全方便的管理,有助于加强安全性和降低运营成本。
用户要求的解决方案正是我们xxx所拥有的,所有的知识产权和领域技术都是xxx通过金融行业多年的创新和发展积累而得来的。
下表所列的是我们的一些客户(部分客户):
解决方案
xxx产品
客户名称
国家
统一身份认证和访问控制
AccessMatrixUASUSOUAMUIM
中银保险
中国
统一身份认证和访问控制
AccessMatrixUASUSOUAM
哈尔滨银行
中国
统一身份认证和访问控制
AccessMatrixUASUSOUAM
兰州银行
中国
统一身份认证和特权账号管理
AccessMatrixUASUCM
汉口银行
中国
统一身份认证和特权账号管理
AccessMatrixUASUSOUCM
泰安商行
中国
统一身份认证和访问控制
AccessMatrixUCMUSO
承德商行
中国
统一身份认证项目
AMUAS
大连银行
中国
统一身份认证和特权账号管理
AccessMatrixUCM
中国银行北京分行
中国
特权密码管理系统
AccessMatrixUCM
BankofNingboCo.,Ltd.宁波银行
中国
统一认证和访问权限管理系统
AccessMatrixUASUSO
BTV北京电视台
中国
统一用户接入认证系统
AccessMatrixUAS
ChinaUnicom中国联通
中国
网上银行应用的通用安全平台
AccessMatrixUAS
NanyangCommercialBank南洋商业银行
中国,香港
网上银行应用的通用安全平台
AccessMatrixUAS
BankofChina,HongKong中国银行香港分行
香港
员工单一登录
AccessMatrixUSO
AEONCreditServices,HongKong永旺信贷服务
香港
通用应用系统的安全平台
AccessMatrixUAS,USO,UAM
UnitedOverseasBankLimited大华银行
新加坡,马来西亚,泰国,中国,香港
通用应用系统的安全平台
AccessMatrixUSO&UAM
KasikornBank,Thailand泰农银行
泰国
通用应用系统的安全平台
AccessMatrixUAS&UAM
WorldLargestBank花旗集团
全球
通用应用系统的安全平台
AccessMatrixUAS&UAS
InlandRevenueAuthorityofSingapore新加坡国税局
新加坡
通用应用系统的安全平台
AccessMatrixUAS&UAM
KrungThaiBank,Thailand泰京银行
泰国
通用应用系统的安全平台
AccessMatrixUAM
BankruptcyCourt,Malaysia马来西亚破产法庭
马来西亚
通用应用系统的安全平台
AccessMatrixUAM
FisheryDepartment,Malaysia马来西亚渔政部
马来西亚
网上银行应用的通用安全平台
AccessMatrixUAS
BankofSingapore,Singapore新加坡银行
新加坡
网上银行应用的通用安全平台
AccessMatrixUAS
Maybank,Singapore马来亚银行
新加坡
网上银行应用的通用安全平台
AccessMatrixUAS
BankofIndia,Singapore印度银行
新加坡
网上银行应用的通用安全平台
AccessMatrixUAS
BankIslam伊斯兰发展银行
文莱
网上银行应用的通用安全平台
AccessMatrixUAS
CIMBThai,Thailand联昌泰国银行
泰国
网上银行应用的通用安全平台
AccessMatrixUAS
CiticBankInternational花旗银行国际
新加坡,香港
网上银行应用的通用安全平台
AccessMatrixUAS
VIDPublicBank西元大众银行
越南
网上银行应用的通用安全平台
AccessMatrixUAS
BAOVietBank越南宝越银行
越南
网上银行应用的通用安全平台
AccessMatrixUAS
BIDVBank越南投资发展银行
越南
网上银行应用的通用安全平台
AccessMatrixUAS
AMBank,Malaysia
马来西亚
网上银行应用的通用安全平台
AccessMatrixUAS
AIA友邦保险
新加坡,泰国
网上银行应用的通用安全平台
AccessMatrixUAS
BankJuliusBaer瑞士宝盛银行
亚太区
网上银行应用的通用安全平台
AccessMatrixUAS
USBA.G.瑞士银行
亚太区
网上银行应用的通用安全平台
AccessMatrixUAS
MSIG,Singapore三井住友海上保险
新加坡
网上银行应用的通用安全平台
AccessMatrixUAS
Aviva,Singapore英杰华保险
新加坡
员工单一登录
AccessMatrixUSO
TMBBank,Thailand泰国TMB银行
泰国
员工单一登录
AccessMatrixUSO
ShinsheiBank,Japan日本新生银行
日本
员工单一登录
AccessMatrixUSO
ResonaBank,Japan日本大和银行
日本
2.AccessMatrix平台总体架构
2.1.AccessMatrix产品架构
AccessMatrix拥有一个通用开放的基础平台,在此基础上提供不同的产品模块,构建了一个基于帐号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)的4A整体安全管理解决方案,其产品架构如下图所示。
AccessMatrix安全认证管理平台产品架构示意图
xxx目前为AccessMatrix平台提供的产品模块是:
通用认证管理(UAS)、通用登录管理(USO)、通用凭证管理(UCM)、通用访问管理(UAM)。
各模块的作用是:
→通用认证管理系统(UAS)
提供统一的身份认证和管理平台,使企业可以搭建一个统一的认证体系。
能够支持多种认证方式,包括目前流行的静态口令、动态口令OTP、PKI证书认证、SMS口令等,并提供PAM模块易于集成未来新的认证方式。
双因素认证方式的实现,提高了系统认证的安全级别。
→通用登录管理系统(USO)
USO是一个非嵌入式的单点登录解决方案,它可以让客户只登录一次,就可以无缝访问众多加入USO的C/S系统和B/S系统。
用户可以在对应用系统源代码不做任何改变的情况下,方便、快速、安全的实现施单点登录系统,大大提升了认证的效率。
→通用凭证管理系统(UCM)
UCM是一套用于网络、主机、数据库、应用系统的特权共享账号(如root、admin等)的统一管理平台。
基于Web的特权帐户管理解决方案与多层次审批流程机制,让用户可以严格管理特权共享账号和密码的使用,解决了以往系统管理员账号由多人知晓、使用不受控制并导致信息和数据泄露的问题。
同时也解决了应用系统对数据库连接的账号密码的定期更换的问题。
→通用访问控制管理(UAM)
UAM提供了一套完整的支持Web服务、Java和.NET的API,使得开发人员能高效的开发有关安全管理、认证、授权和审计(4A)服务,大大降低集成的工作量。
所有的与安全相关的业务规则都在AccessMatrix中定义和管理,无需在应用系统中进行任何的硬编码,因此UAM极大的提高了软件的复用性,降低维护和支持的成本。
→通用身份管理系统(UIM)
UIM可以管理用户完整生命周期及异构IT环境下的访问权限。
UIM提供了一个安全、自动而且基于策略的用户管理解决方案,满足客户无论是在原有的IT环境还是电子商务时代的IT环境下将企业的核心业务展现给客户、供应商、合作伙伴甚至竞争对手的需求。
UIM是一种具有高度灵活性和扩展能力的企业身份管理系统,可用于管理用户在企业IT资源中的访问权限。
并且UIM包含一个工作流引擎,可规范企业审批管理流程,实现用户管理的自动化。
2.2.客户统一生物认证平台基础架构
下面的图说明了xxx提交给用户银行的统一身份认证和访问权限管理基础架构。
基础架构图
我们所建议的架构是基于AccessMatrix新一代企业访问控制、单点登录和安全管理的通用平台。
AccessMatrix是一个访问管理解决方案的集成套件,它是由熟悉国内外银行业安全专业人员所设计和开发的,更能符合银行业市场的需求。
在AccessMatrix的产品内都嵌入了“审计”和适应银行业的特殊功能,以满足内部和外部审计,以及金融行业和政府监管的要求,这个集成的安全解决方案套件,将符合用户当前和未来的业务要求和政策法规的要求。
AccessMatrix采用Java技术、开放架构、灵活的框架和最新的技术,提供了一个通用的安全管理平台,以满足一个完整的企业4A安全服务,即管理、认证、授权和审计需求,包括所有业务应用系统(Web和非Web)及多种交付渠道。
它同时提供了金融行业的最佳实践和理念:
最小权限、无超级用户、双重控制和职责分离。
AccessMatrix可以使用户利用一个公共的安全平台为其它重要的应用系统提供安全的服务,来确保应用系统的安全性。
取决于银行的安全策略和业务经济性综合考虑,银行可能要实施各种不同的双因素认证设备(如指纹、令牌、PKI等)。
根据内部和外部的安全要求,以及行业法规的要求,银行关于身份认证的安全策略会不断改变,因此采用一个灵活的和适应性强的认证体系来满足业务发展和法规要求是非常重要的。
xxx的安全解决方案采取“令牌无关性”的方案以及灵活的接口,可以使我们安全地与Vasco、RSA、Yeskey等令牌,和/或与其它的多因素认证厂商(指纹、虹膜等)集成,并同时维持最新的技术来保证安全性和法规符合性。
通过AccessMatrixUAS模块,用户可以利用一个通用的身份认证服务基础架构,来安全地整合到各种身份认证机制,这将确保银行现有和未来的2FA设备和其它生物识别身份验证机制都可以部署到AccessMatrixUAS中,从而实现最大金融性,也可以节省过去企业的投资。
采用我们通用安全平台的方法,AccessMatrix确保安全地整合“各种身份认证机制”到一个通用平台,同时也使用户奠定了一个基础,并提供了一个路线图,以帮助他们实现“安全整合”。
安全整合是xxx的核心安全理念,我们协助客户采取一种渐进的、创新和策略的办法,基于一个共同的安全基础架构,来解决应用系统的安全需求。
通过提供一整套集成的解决方案,我们可以通过一个共同的安全基础架构,从战略上和战术上来满足用户银行的业务要求。
功能摘要:
提升应用系统安全
有关安全的业务规则是在AccessMatrix中定义和管理的,以避免在应用系统中代码被写死。
AccessMatrix提供一个灵活和符合成本效益的架构,来管理访问权限和业务规则,这样的安全架构,可加快应用开发,促进更好的软件复用,减少了应用系统的维护工作。
多层应用系统支持
安全框架支持多层应用环境,使企业能够部署一个单一的安全基础架构,来支持Web和非Web的应用。
整合Web服务器和应用服务器的灵活性,降低了应用系统设计的复杂性,增强了企业内部的安全。
启用单点登录
AccessMatrix为企业所有基于Web的应用提供了单点登录能力。
此功能可扩展跨越多个域,以解决当前Web环境的限制。
简化用户管理
由AccessMatrix定义了用户及其权限,它提供了一个独特而有效的的方法来管理用户对企业内应用系统的访问。
荣获专利的分层分区的安全管理手段与授权框架,使企业可以在任何一个组织架构层级指定安全管理员。
本地安全管理员的管理权限可以定义粒度级别,以提高安全性,降低管理成本。
这种创新的架构允许在本地一级管理用户的ID/密码和权限。
这个层次化管理模型可以扩展到包括外部的组织,如客户和业务伙伴,启用他们自己的安全管理员来管理他们的用户ID和用户权限管理,在保证安全性的前提下,大大降低了管理的复杂性。
AccessMatrix可以利用企业现有的用户注册表,例如:
LDAP、MicrosoftADDomain或ActiveDirectory,无需进行用户同步及重复用户维护工作,进一步简化用户管理。
这种整合方式,大大简化了整个企业的实施工作。
实施企业范围的安全策略
AccessMatrix可以定义和管理企业范围的安全策略,用层次化的分段方式反映一个公司现有的组织结构。
因此,我们可以从公司总部到所有子公司、部门和其他内部和外部业务单位全方位部署控制和安全策略。
内置最佳的安全实践与规则
AccessMatrix支持最小特权管理的权责分离的原则。
该产品清晰地划分出安全管理和系统管理两个不同的工作功能。
安全管理员根据工作职能,按粒度分配管理权限。
对于段和子段的安全管理权限范围是有限的。
不同于其他产品,AccessMatrix能够明确指定所管理权限的粒度范围,可使用双重(核对)控制机制,以进一步确保一个管理员提交的修改生效前,必须由另外一个管理员进行批准。
此外,AccessMatrix还可以确保相同的用户不会指定多个角色,而导致利益冲突。
2.3.分层分区管理和授权框架
如前所述,AccessMatrix构架是基于xxx的专利技术“分层分区安全管理和授权框架”设计的。
应用我们的专利技术,AccessMatrix有效地解决了单个企业内部,或者跨企业间,大量用户群的安全管理问题。
应用AccessMatrix,企业客户便可以毫不费力地定义代表其相关操作的区段,然后便可以定义和管理相应的安全管理策略、管理员、用户和应用系统等。
AccessMatrix构架允许:
Ø企业结构之定义
该企业的结构可吻合地定义在策略数据库中。
Ø安全/用户管理员角色之委托
安全/用户管理员可以被赋予该企业任一等级的角色,也可以在一个明确定义的作用域里被赋予要完成该工作所需要的最小权限。
Ø安全策略之实现
安全策略例如口令规则等可定义在根区段中(公司总部),而后被继承到下级区段。
这就允许安全策略在整个企业中轻易地实现。
Ø外部数据库用户之集成
外部认证数据库可以对应到任何一个等级的区段。
这就允许定义在不同区段的不同用户采用不同的认证服务器去认证,例如微软的AD、IBM、SUN目录服务器等。
另外,这些外部数据库用户的登入讯息都可通过标准的适配器的实现与AccessMatrix的策略数据库同步。
如果用户的同步需求不能通过标准的适配器来满足,那就必需通过客户化的适配器来满足。
下面是基于当前我们对用户已有的企业框架的理解,对用户企业层次结构设计的一个初始描述图:
建议战略性企业层次结构
以上的AccessMatrix安全基础架构和安全产品可满足用户银行对管理,认证,授权,审计的安全需求。
❑管理
AccessMatrix提供基于xxx专利的分层分区管理模式来管理安全策略、用户、权限和应用等。
AccessMatrix提供基于GUI和基于Web的两种管理界面。
在AccessMatrix里,区段(Segment)是一个基本的管理单元。
用户、组群、应用系统和子区段都可以被定义在区段里。
例如,一个区段可代表一个机构的一个部门,被这个部门管理的应用系统和系统就可以被定义为这个区段的“应用系统”节点;该部门的用户和他们所在部门的组群相应地可以被定义为该区段的“用户”节点和“组群”节点。
管理员和安全策略也可以定义在区段层。
管理员被赋予适当的管理角色,赋予的管理角色的有效范围则是和各自的管理角色所详细规定的授权项相关联的。
为了减少安全管理的费用,用户银行可以把一些管理功能授权给不同层次的管理员,这些不同层次的管理员都是为各个部门甚至外部客户而定义的。
为确保责任可追究性,应使用双重控制使得管理员单方面的修改请求未得到另外的管理员评审和核准之前不能完成。
❑认证
AccessMatrixUAS实现了灵活的认证插件模块以支持多种认证方法,例如一次性口令和电子证书。
基于商业和安全需求,经批准的安全管理员可以设置或改变认证的方法(通过AccessMatrix管理界面-策略编辑器),而不需要去改变应用系统的源代码。
建议单个用户或者公司应该用一种更强有力的认证方法,例如智能卡或SIM卡中的数字凭证。
现在,AccessMatrixUAS端对端加密模块已经能够提供对用户凭证的端对端的保护。
❑授权
一旦用户身份经过鉴别,AccessMatrix就会确保仅经过授权的用户可以访问应用系统和其功能,并且还要基于该用户的角色、属性和其他的策略信息诸如时间和地域限制。
基于xxx专利的分层分区安全管理和授权框架,AccessMatrix为Web应用系统和非Web应用系统提供了更细粒度的访问控制,从应用系统、对象、方法一直到参数层。
❑审计
AccessMatrix记录普通用户和管理员所执行的活动。
记录的活动包括:
Ø相关的行为:
-登录
-修改密码
-对象的访问
-安全管理活动
Ø事件类型:
-成功
-失败
记录的其它日志信息包括:
Ø用户标识
Ø时间戳
Ø用户所处的位置
Ø用户所访问的对象
Ø管理活动的详细信息
2.4.通用的企业安全架构
下面的图说明了xxx给用户的基于AccessMatrix通用的企业安全解决方案的建议框架。
建议的AccessMatrix通用的企业安全架构
2.4.1.安全注册表组件
安全注册表是AccessMatrix核心安全数据库,该数据库可以兼容JDBC的关系型数据库,如Oracle,MSSQLServer等。
策略注册表中包含的安全策略、用户的权限和应用系统的访问控制权限等,这是默认的安全注册表,策略注册表数据库是在安装阶段决定的。
认证注册表包含有关用户的密码信息,如密码等,这可能是默认安全注册表的一部分,或者是外部的注册表,如LDAP数据库或NT域数据库。
身份认证的注册表数据库是在每个区段定义的。
有两个逻辑安全注册表,每个都有不同的内容:
●策略注册表
策略注册表中包含的安全策略、用户的权限和应用系统的访问控制权限等,这是默认的安全注册表,策略注册表数据库是在安装阶段决定的。
●认证注册表
认证注册表包含有关用户的密码信息,如密码等,这可能是默认安全注册表的一部分,或者是外部的注册表,如LDAP数据库或NT域数据库。
身份认证的注册表数据库是在每个区段定义的。
2.4.2.安全服务器组件
访问管理器AM
AM是AccessMatrix系统的最重要安全服务器,它通过提供以下安全服务管理访问控制:
●认证服务
它支持多种身份验证机制,例如,静态密码、数字证书、动态密码等用户认证。
AccessMatrix认证服务是根据可插拔验证模块(PAM)的标准实施。
●管理服务
AM服务器还允许安全管理员管理整个组织的安全策略、用户和应用系统等。
精细的管理权限可分配给管理员,他们可以通过管理界面来完成相应的管理工作。
2.4.3.管理接口
管理控制台
这是用户的个人信息管理和安全管理GUI工具。
它允许管理员创建用户、分配用户权限/属性、定义应用系统、令牌管理和管理安全策略等。
2.4.4.安全连接
AccessMatrix所有组件之间的所有连接使用标准的SSL协议,它提供了基于PKI的成熟的相互认证,保证信息相互之间传递的保密性和完整性。
AccessMatrix设计为允许选择各种加密强度和加密库,默认的密码库是SUN公司的JCE。
2.5.产品数据全景图
2.6.开放接口全景图
AccessMatrix是一套集企业应用程序存取控制,单点登录及安全管理于一身的系统。
借助AccessMatrix技术力量,产品提供的安全管理,认证,授权以及审计服务,即4A,为您的企业内部的商业运作实现了最为严格的应用安全模式。
通过与应用程序的严密整合,能使多种应用程序来共同实现统一的安全服务。
AM提供灵活的APIs安全系统以及代理技术和一整套APIs安全系统为开发人员提供了高度集成的网络和非网络应用程序。
基于管理员设置的安全准入控制规则,UAM的网络安全代理(WSA)和应用安全代理(ASA)允许企业使用在网内服务器和应用程序服务器上的资源。
这种中央集成的认证和授权规则大大的简化了用户管理以及系统整合的工作。
xxx提供的接口遵循XML-RPC和SOAP协议,AccessMatrix安全服务器使用Java技术与标准,能在任何支持Java
升级会员 