时代亿信认证墙UAP统一认证与访问控制产品白皮书.docx
《时代亿信认证墙UAP统一认证与访问控制产品白皮书.docx》由会员分享,可在线阅读,更多相关《时代亿信认证墙UAP统一认证与访问控制产品白皮书.docx(19页珍藏版)》请在冰豆网上搜索。
时代亿信认证墙UAP统一认证与访问控制产品白皮书
时代亿信认证墙-UAP统一认证与访问控制产品
3.1产品简介
UAP统一认证与访问控制产品(以下简称UAP产品)集数字证书、动态口令、指纹、短信等强身份认证方式于一身,是一个针对B/S、C/S架构应用系统的强身份认证及资源整合解决方案,对各类信息系统均可提供统一认证、单点登录、用户授权和统一身份管理功能,可统一制定企业安全策略,有效降低企业应用系统管理维护量,提高系统安全水平。
UAP统一认证与访问控制产品还可作为企业内部应用系统、服务器主机、网络设备等资源的访问控制入口,基于包过滤技术,集成强身份认证、会话审计、集中管理等功能,对企业内部用户应用访问进行访问控制和会话审计,实现网络资源分级管理,对访问机密数据库等密级较高的网络资源进行隔离保护,完全杜绝内网信息安全问题。
3.2产品功能介绍
UAP统一认证与访问控制产品提供全面的认证、授权和审计服务。
支持多种认证方式,包括:
数字证书、动态口令、指纹、短信等强认证方式及临时口令、用户名口令等普通认证方式。
3.2.1身份认证
3.2.1.1.数字证书认证
基于PKI理论体系,采用CA数字证书和加密签名等技术进行身份识别,完成敏感信息以密文形式在网络中传输,企业应用可利用数字信封、数字签名等非对称密钥加密技术,实现对用户身份的认证以及网上信息传送的保密性、完整性、真实性和不可否认性;
无缝集成ETCA、CTCA、CFCA,同时支持第三方CA;
支持智能卡形态及软证书形态;
集成了证书申请、下载、重新申请、吊销等操作。
3.2.1.2.动态口令认证
采用国际OATH联盟标准技术算法,每隔30/60秒钟或每触发一次动态生成一个随机的、单次使用的6/8位口令,与系统范围内合法用户的令牌信息作同步信任认证运算对照,构成一个安全、可靠的认证系统,保护计算机网络授权用户的合法利益,避免系统或网络受到非授权用户的非法访问;
原样机令牌通过国家标准(GB/T2423)例行试验及欧盟CE认证和美国FCC认证,并通过防震、防潮、抗静电、高低温、湿热、振动、自由跌落、抗电磁干扰等型式试验;
集成了令牌同步、激活、替换等操作。
3.2.1.3.指纹认证
利用自动指纹识别系统通过特殊的光电转换设备和计算机图像处理技术,对活体指纹进行采集、分析和比对,自动、迅速、准确地鉴别出个人身份;
兼容五大指纹识别硬件厂商产品;
集成了指纹采集操作。
3.2.1.4.短信认证
通过短信网关向指定手机发送具有时效性的随机的一次性口令;
支持电信、移动、联通等移动通信协议。
3.2.1.5.临时口令认证
管理员在管理系统内为某用户添加临时口令,作为用户的应急访问方式;
可设置各种临时口令策略,管理方便。
3.2.1.6.用户名口令认证
支持本地数据库认证及远程数据库、LDAP、AD等外部认证源的认证;
可设置各种密码安全策略。
3.2.1.7.可选配套系统
3.2.1.7.1.企业级CA系统
提供数字证书的申请、签发、下载、作废、更新等服务,遵循PKI/CA国际标准;
提供CRL、证书校验等服务;
支持证书模版、证书扩展项定义;
支持加密机/加密卡;
3.2.1.7.2.动态令牌管理系统
提供动态令牌的导入、绑定、解除绑定、激活、反激活、令牌替换、同步等服务,采用国际OATH联盟标准技术算法;
提供用户自助激活、同步、替换令牌等服务;
支持自定义认证窗口;
支持双因子认证(静态口令+动态口令)。
3.2.2单点登录
UAP统一认证与访问控制产品具有完善的单点登录体系,可安全地在应用系统之间传递或共享用户身份认证凭证,用户不必重复输入凭证来确定身份。
不仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。
支持多种单点登录方式,包括:
API插件、客户端口令代填、服务器端口令代填以及部分主流产品(如domino)的单点登录等。
可与门户等系统结合,将单点链接放置在门户等系统中统一展现。
UAP统一认证与访问控制产品提供数据库适配器、LDAP适配器、HTTP适配器等方式实现用户身份关联映射信息的自动校验,通过唯一的身份标识或用户身份关联映射,实现用户一次认证,即可自由访问有权限的应用系统,管理员还可使用应用系统页面表单的自动分析组件,简化应用系统的单点接入配置工作。
3.2.2.1.插件方式
通过提供api插件包的方式,应用系统可根据简单开发完成单点接入;
提供各种语言的插件包:
java、asp、php等。
3.2.2.2.代理(客户端口令代填)方式
在客户端模拟用户表单提交的方式,登录系统;
应用系统不需要改造。
3.2.2.3.反向代理(服务器端口令代填)方式
在服务器端模拟用户表单提交的方式,登录系统;
应用系统不需要改造;
可进行过滤规则配置;
可将不安全的链接变为安全的链接,即将http方式访问的系统变为https方式访问。
3.2.2.4.主流产品
UAP统一认证与访问控制产品提供与国际厂商主流产品的认证单点登录接口,可方便快速的实现接入配置。
产品支持以下产品:
1)IBMDomino产品
2)IBMWebSpherePortal产品
3)SAPPortal产品
3.2.3主从帐号管理
UAP统一认证与访问控制产品支持主从账号管理,本系统内的用户信息数据独立于各应用系统,形成统一的用户唯一ID,并将其作为用户的主账号,再由其关联不同应用系统的用户账号(从账号),最后用关联后的账号访问相应的应用系统,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账号不同的问题。
单点登录过程均可通过安全通道来保证数据传输的安全。
3.2.4访问控制
UAP统一认证与访问控制产品支持用户权限的集中统一管理及访问控制。
在进行实体访问控制时,使用自主研发的协议分析系统,对用户与资源间会话进行分析,通过IP和端口控制技术,结合用户认证完成后的身份信息进行协议分析,根据身份信息、IP地址、端口等信息动态产生和删除包过滤规则,达到对设备的访问控制目的。
针对受控资源使用的协议和提供的服务,可分别设置不同的访问控制策略。
3.2.4.1.物理隔离受控资源
提供对所有协议的包过滤控制,以网桥或旁路的模式部署在用户终端和资源系统之间。
用户在访问资源系统前,必须先通过认证中心强身份认证;否则将拒绝用户访问资源或自动重定向到认证页面。
用户在通过认证后,在用户终端可启动资源系统客户端(Telnet/SSH、FTP、浏览器等)直接登录用户被授权的资源系统,而不需要资源系统的登录认证。
3.2.4.2.准确的访问授权
用户在成功登录后,系统将根据用户的账号进行动态绑定IP和MAC,以保证用户身份的唯一性,杜绝重复登录。
系统将在用户每次登录前,动态设定该用户的资源访问权限,用户下线后,用户所拥有的资源访问策略自行消除。
在资源设定上,系统将C/S的受控资源进行了分类,方便用户进行C/S单点访问以及管理员调整资源策略。
3.2.4.3.访问控制审计
通过分析网络包为用户提供受控资源访问控制服务,在用户完成登录并获得正确授权之后,系统还将记录用户名称、用户IP、用户MAC地址、目的IP和目的端口以及访问时间等日志信息。
3.2.4.4.B/S资源访问控制
用户访问WEB资源时根据用户和资源性质以及管理员设定的安全策略进行访问控制。
该种访问控制对上层的应用是透明的,即上层的WEB应用不需要做任何改变,适合于任何类型的、已经建设完毕的应用和即将建设的WEB应用,只需要在WEB服务器安装一个安全代理即可。
3.2.4.5.C/S资源访问控制
将网络设备和服务器资源管理中,制定用户可以访问的网络资源,从网络层限制了用户对网络设备和服务器的访问,可以有效避免非法用户的假冒。
3.2.5资源管理
提供应用系统等资源的注册和管理,供管理员可将注册的资源授予用户。
3.2.6用户自服务
提供用户自服务管理界面,方便用户自行完成应用系统相关关联映射、身份认证凭证(密码、用户证书)管理等操作,减少管理员负担;
3.2.7用户管理
支持用户的批量导入、导出服务;
支持用户分级管理,用户可由本地管理员进行维护;
支持用户属性扩展,可满足企业应用对用户属性的特定需求;
3.2.8权限管理
基于角色的权限模型,兼容用户个人高级权限;
整合企业内部资源,实现细粒度的权限划分和访问控制;
支持角色的定义和管理;
支持部门角色,方便以部门组织机构为单位,对所属用户进行统一授权;
3.2.9日志审计
提供对用户认证、访问、鉴权等操作,管理员各项维护管理操作的日志记录和实时监控。
3.2.10公共服务
为企业各类应用提供系统配置、组织机构、用户、证书、鉴权等相关的公共服务。
3.3产品规格与功能
产品功能
USB智能卡认证(SSL加密通道)
USB智能卡认证(无加密通道)
软证书认证
动态令牌认证
指纹认证
短信认证
用户名/口令认证
临时口令认证
外部认证源认证
统一认证
单点登录(插件)
单点登录(反向代理)
单点登录(主流产品)
企业组织机构用户集成
主从帐号管理
用户自服务
PKI/CA集成
访问控制
日志审计
组织机构、用户相关公共服务
3.4成功案例
中央国债UAP统一身份管理平台
中央国债登记结算有限责任公司现有的中央债券综合业务系统以簿记系统为核心,由簿记系统、央行公开市场业务支持系统、债券发行系统、大额自动质押融资业务系统、小额质押额度管理系统、信息系统等系统组成。
随着业务的不断增多,现有的经办人员管理和簿记系统结合在一起的用户管理模式以及分散的业务系统接入管理模式已经不能满足业务管理需求和安全控制需求。
时代亿信采用UAP统一认证与访问控制产品为中央国债建立了一套基于交换平台和统一用户管理的统一接入系统,在保证交易安全、方便、快捷、有效的基础上,一方面完成了对业务系统的统一接入管理和控制;另一方面完成了对各业务系统用户、角色、权限的统一管理和用户单点登录,从而有效提高中央债券综合业务系统的管理效率和系统安全性。
4.文件盾-SecureDOC电子文档安全管理产品
4.1产品简介
SecureDOC电子文档安全管理产品面向企业机构的电子文件防泄密需求,实现电子文件内容的加密保护、文件权限的管理和控制,文件操作的跟踪审计,既保持合法用户对电子文件的合理使用和使用习惯,又有效防止黑客、木马、竞争对手的窃取,以及内部用户有意无意的泄密,从而最大限度地保护企业机构的电子文件资源和知识产权。
SecureDOC电子文档安全管理产品主要包括:
文档安全管理服务平台(SDMS)、文档安全用户服务平台(SDSC)、文档安全客户端(SDClient)、文档安全控件(SDCOM)等组件。
4.2产品功能介绍
SecureDOC电子文档安全管理产品基于驱动级透明加解密技术,对文档内容进行加密保护,并对文档的阅读、编辑、内容复制、打印、截屏、分发等权限进行实时控制和跟踪审计,实现对文档传输、存储、流转、使用过程的全方位保护,防止主动和被动泄密。
4.2.1高强度的文件透明加解密
在用户计算机操作系统的文件过滤驱动层,采用AES128位的对称加密(算法可替换),加密密钥随机产生,并且每个文件的加密密钥均不相同。
在用户计算机操作系统的文件过滤驱动层,自动对文件的读写数据进行加解密处理,与具体的文件格式无关,不改变文件的扩展名、不改变文件的关联应用程序、不改变用户的文件操作方式,即文件的加解密对用户透明。
对于文件的加密,既可以由作者根据文件的密级属性手动加密,也可以根据需求设定某类应用程序产生的文件均自动加密。
对于文件的解密,在内存中进行并防止内存拷贝,不在用户计算机磁盘上产生明文文件。
4.2.2精确的可信进程管理
产品对访问密文文件的应用程序进程进行管理,只有被添加为可信进程,才能访问相应类型的密文文件。
产品对应用程序进程的识别采用进程名和进程特征值相结合的精确判断方式,从而阻止木马等未受信进程对文件的非法访问。
4.2.3细粒度的文件权限控制
产品在用户计算机操作系统级API层面对密文文件的操作进行细粒度控制,阻止任何未授权的操作行为,而不依赖具体的应用程序。
产品有效控制文件的阅读、编辑、内容复制、打印(包括虚拟打印)、带水印打印、截屏、屏幕录像、脱密等操作。
合法用户只有在指定的环境中,才能获取被授予的文件操作权限,并在授予的权限范围内操作文件。
产品提供文件的离线权限控制,以满足特定用户在无法连接授权环境时对文件的合理使用需求。
产品提供文件的外发权限控制,以满足企业外部用户、合作伙伴对文件的使用需求。
对制作的外发文件,可以设定相应的操作权限、时间期限,并可以绑定智能卡或外部主机的硬件信息。
4.2.4动态的文件权限管理
产品提供文件的权限管理,文件作者在客户端、文档管理员在管理端,均可以随时对用户的文件操作进行授权、权限追加、权限撤销,而无需对文件本身进行回收、修改和重发。
同时,文件作者和文档管理员也可以向特定用户授予文件分发权限,并指定其可以分发哪些具体的权限,从而有效控制文件的流转权限和流转范围。
4.2.5便捷的文件授权方式
产品提供便捷的文件授权方式,既可以对用户、用户组、组织机构、职务/角色等进行授权,也可以通过权限模板对批量用户进行授权。
同时,用户也可以通过客户端进行文件权限申请。
4.2.6详细的文件操作审计
产品提供详细的文件授权日志和文件操作日志,以方便对用户的文件操作行为进行审计。
用户在线对密文文件的各类操作信息,将由客户端实时记录到服务器进行存储。
用户离线时对密文文件的各类操作信息,将由客户端加密保存在用户计算机上,当用户在线时,离线日志将自动上传至服务器进行存储。
文件操作日志记录的信息包括:
用户、用户客户端主机IP地址、MAC地址、操作时间、操作的文件和具体的操作行为。
4.2.7完善的产品安全机制
产品支持USB智能卡数字证书认证,充分结合挑战-响应机制和数字证书加密、数字签名机制,增强认证信息的随机性、保密性、真实性,有效地防止认证过程中的机密信息泄露、窃听和重放攻击,保证了身份认证的高度安全性和可靠性。
产品客户端与服务器端之间采用SSL加密通信方式,保证了文件加密密钥和用户文件权限信息获取的安全性。
产品采用AES128位对称密钥对文件进行加密,文件过滤驱动只在内存中进行解密操作,不在磁盘上产生明文文件,并且对内存中的解密数据进行保护,阻止对内存数据的非法拷贝。
产品采用三权分立的管理机制,分为系统管理员、文档管理员、审计管理员,三者自成体系并相互制约,分别完成系统管理维护、文档权限管理、管理行为审计。
4.3产品规格与功能
SecureDOC-A(独立应用型):
该产品独立部署和应用,为企业机构提供电子文件的发布上传、加密、集中存储、接收下载、权限管理、权限控制和审计服务。
SecureDOC-B(集成应用型):
该产品提供文档安全管理集成服务,与企业OA、知识管理(KM)、文件管理、档案管理等系统集成应用,实现企业文件流转、存储和访问过程中的加密、权限管理、权限控制和审计,支持企业组织机构和用户数据的同步。
该产品同时可根据企业文档安全管理的特定需求提供定制开发服务。
产品功能SecureDOC-A
独立应用型SecureDOC-B
集成应用型
驱动级文件透明加解密√√
文件授权√√
细粒度文件操作权限控制
(阅读、编辑、内容复制、打印、水印打印、截屏、屏幕录像、脱密)√√
文件分发权限控制√√
文件离线权限控制√√
文件外发权限控制√√
文件权限模板√√
文件操作审计√√
文件集中存储√þ
文件发布上传/接收下载√þ
文件权限的申请/审批√þ
文件及权限相关消息通知√þ
可信进程管理√√
客户端主机信息管理√√
管理员分级管理和三权分立√√
用户名/口令认证√√
外部数据源认证√√
USB智能卡数字证书认证¡√
第三方认证集成¡√
单点登录集成¡√
组织机构和用户同步服务¡√
文件加密/解密服务¡√
文件授权服务¡√
文件权限查询服务¡√
OA、KM等第三方应用集成¡√
支持手机移动办公¡√
支持特定需求的定制开发¡√
符号说明:
þ表示选择文档安全用户服务平台(SDSC)时具有的可选功能
¡表示不具备该功能
4.4成功案例
金融行业:
民生银行文档安全项目
中国民生银行于1996年1月12日在北京正式成立,是中国首家主要由非公有制企业入股的全国性股份制商业银行,同时又是严格按照《公司法》和《商业银行法》建立的规范的股份制金融企业。
时代亿信采用SecureDOC电子文档安全管理产品构建民生银行文档安全系统,对民生银行所产生的电子文档进行加密授权处理,所有文档以密件形式保存在服务器上,同时支持用户对计算机终端上的文件进行加密授权。
SecureDOC电子文档安全管理产品与民生银行OA、KM等应用系统无缝集成,不改变用户使用应用系统的操作系统,全部加密授权操作在后台自动完成。
用户可以通过文档安全用户服务平台接收和处理加密后的公文,具备离线授权使用、文档外发、文档彻底销毁功能。
民生银行文档安全系统解决方案帮助用户建立了完善的文档安全管理体系,实现了对文档本身的安全保护及对文档传输途径的有效管理,满足国家机要文件及民生银行内部的商业保密文档在传输、保存、利用方面的保密需求。
电信行业:
时代亿信SecureDOC电子文档安全管理产品目前已经成功应用于中国电信集团公司、海南、山东、湖南、天津省公司,针对各公司的具体需要实现了不同方式的数据安全加密保护,集团公司与OA系统无缝集成,可对公文正文和附件进行细粒度加密授权,并对用户提供个人终端安全保密存储区,存储保护所有密文文档;海南、山东、湖南、天津省公司也实现了与OA系统的无缝集成,但分别根据自身需要选择了显式授权和静默授权方式,显式授权由部门文员手工指定公文的授权用户及权限,静默授权按照事先制定好的授权规则进行授权;湖南电信更进一步与邮件系统集成,对用户指定的邮件内容进行加密保护,提升了邮件系统的数据安全性。
SecureDOC电子文档安全管理产品的驱动级透明加解密、应用系统无缝集成的特性获得了中国电信用户的普遍好评,已经成为企业应用系统的安全基础设施之一,在今后必将继续对中国电信企业发展发挥重大作用。
5.文件盾-文件保险箱
5.1产品简介
文件保险箱面向用户计算机中文件的安全存储、保密和隐私保护需求,采用虚拟磁盘加密技术,为用户在计算机中提供一个以用户身份认证为基础的文件保密存储空间(可根据需求和硬盘空间设定,如:
1G、30G)。
文件保险箱提供重要电子文件的加密隐藏保护功能,并提供文件夹加密保护功能,未经认证无法检索和读取文件保险箱以及受保护文件夹中的文件。
结合身份认证和可信进程管理,有效阻止非法用户和木马等非法进程对重要文件的访问,即使硬盘丢失或被窃,相关文件数据也不会被破解读取。
5.2产品功能介绍
(一)文件保险箱的虚拟磁盘功能
1、文件保险箱的创建和容量设置
用户在创建文件保险箱并初始化时,可以根据计算机的磁盘分区情况和容量指定文件保险箱(虚拟磁盘文件)的空间大小、存储位置和名字。
文件保险箱空间大小可根据需要进行选择,主要受计算机磁盘分区的容量限制。
2、文件保险箱的认证方式
文件保险箱默认采用用户名/口令认证,用户可根据自己的安全需求,随时启用智能卡认证(无数字证书)。
3、文件保险箱的访问和操作控制
文件保险箱在认证通过后,虚拟为一个磁盘分区,用户的访问和操作与普通磁盘分区一样。
文件保险箱在虚拟磁盘驱动层采用AES128位对称加密(算法可替换),自动对文件保险箱的合法读写进行解密和加密操作,对用户透明,既保证安全性又保持了易用性。
文件保险箱在认证通过后,对其中的文件访问将受到控制,只有设定的可信进程才能直接进行文件读取操作,而其它非受信进程访问时,将会弹出提示,要求用户进行确认,以防止非法访问。
文件保险箱在认证通过后,把其中的文件复制或剪切到文件保险箱之外时,将会弹出提示,要求用户选择对相应文件是进行“脱密”(脱离文件保险箱保护)还是“加密”(以密文形式进行存储)处理。
文件保险箱在注销或退出后,虚拟磁盘分区自动消失,文件保险箱中的所有文件将加密隐藏存储在虚拟磁盘文件中,任何人无法进行检索和读取,有效保证文件保险箱中电子文件的安全。
4、文件保险箱的断网保护策略
文件保险箱提供了可选的断网保护安全策略,适用于更高级别的安全环境要求。
如果启用该策略,当文件保险箱检测到用户正在操作保险箱中的文件时,会自动切断网络;当用户完成对文件保险箱中文件操作时,会自动地为用户恢复网络连接。
这样减少了重要文件在用户不知道的情况下被木马病毒等恶意软件盗取并通过网络发送出去的风险。
5、文件保险箱的备份、恢复和销毁
当用户变更计算机等情况下,可以对自己的文件保险箱进行备份,并在新计算机中恢复,然后销毁原计算机中的文件保险箱。
6、文件保险箱的多用户支持
不同的用户在同一台计算机上,产生的保密存储空间不同,互不干扰,互相不能访问,便于在同一台计算机上提供多用户使用的能力。
(二)文件/文件夹加密保护功能
文件保险箱提供对文件/文件夹的透明加解密,并可设置专用的加密文件夹。
通过文件/文件夹加解密功能,可实现对用户计算机中单个文件或批量文件的加解密。
通过设置加密文件夹功能,可以将用户计算机中一些文件夹设为专用的加密文件夹,对于复制、剪切、移动、保存到该文件夹的文件将自动加密。
在不改变用户使用习惯的情况下,直接双击加密文件夹中的密文文件,即可自动打开,当用户编辑保存时,仍自动以密文方式存储,从而完成透明加解密,用户无需手工进行加解密操作。
(三)文件保险箱的文件粉碎功能
文件粉碎功能就是将电子文件放入电子碎纸机中进行不可复原的删除操作。
Windows回收站对于文件删除只是进行了简单的标记,使用一般的文件恢复工具,就可以轻松地将使用“Shift+Delete”操作删除的重要信息恢复出来,从而留下了安全隐患。
文件粉碎采用以随机数据多次擦写的方式,确保文件数据在删除后被彻底清除,不可恢复。
(四)基于PKI的端到端文件加密交换
文件保险箱支持与企业级CA集成,当从文件保险箱中向外复制文件时,可以从企业组织机构用户目录树中选择接收方,文件保险箱自动获取并使用该接收方的数字证书加密文件。
加密后的文件可以通过U盘、电子邮件、即时通信等方式传递给接收方,接收方只有使用自己的USB智能卡数字证书认证并将该文件放置到自己的文件保险箱中才能够自动解密,从而实现重要电子文件的端到端加密交换。
5.3产品规格与功能
产品功能文件保险箱
单机版文件保险箱
企业版
虚拟磁盘的创建/销毁√√
虚拟磁盘的备份/恢复√√
虚拟磁盘加密√√
虚拟磁盘中文件的进程访问控制√√
虚拟磁盘中文件复制/剪切/另存的控制√√
断网保护与恢复√√
文件/文件夹加密√√
专用加密文件夹√√
文件粉碎√√
用户名/口令认证√¡
USB智能卡认证(无数字证书)√¡
USB智能卡数字证书认证¡√
PKI/CA集成¡√
企业组织机构用户集成¡√
可信进程集中管理¡√
基于PKI的端到端文件加密交换¡√
虚拟磁盘中文件操作的审计¡√
文件保险箱在线自动升级¡√
符号说明:
√表示具备该功能
¡表
升级会员 