SecureUnisignon统一身份认证登录

【 解决方案】

1、方案背景
　　在一些大型的企业机构，由于工作需要而将众多资源对内对外进行共享。这些资源包括各种文件、应用系统、计算机，甚至其他外部设备。资源共享，一方面提高了工作效率，节约了大量开支；另一方面，也增加了权限管理的繁琐，同时带来了身份认证的安全隐患。

　　在实际使用中，每个资源都在按照自己的要求给用户分配权限，企业相关的每个人员都可能承担多个角色，在不同的系统中，每个用户或角色往往有着不同的职责和权限，访问规则和控制策略也因此而极其复杂。

　　此外，传统的资源管理，通常是采用用户名加密码的方式对用户进行访问控制。系统的不同设计和实施策略，导致了同一机构内存在着多种权限的管理，由此造成访问控制和权限管理的复杂，管理也将变得越来越凌乱，甚至难以控制。

　　目前，缺乏有效的权限管理带来了以下问题：

权限管理混乱

　　对一个机构而言，数据和人力资源都是统一的。但是由于系统设计的原因，可能同时对相同的人员采用不同的管理方式，对机构内的共享数据采用了不同的权限分配策略，这显然不合理，也不利于对机构资源的管理。

系统的不安全因素

　　不同的权限管理策略产生的安全强度是不同的。这就可能造成机构信息安全管理的漏洞，因此入侵者就有可能瞄准那些权限管理相对不安全的系统进行集中攻击，这就给机构资源的安全性带来极大的危害。

权限管理依赖于访问控制应用
　
　　权限的赋予和撤销往往都是在访问控制应用中产生的，不同的访问控制应用之间尽管有相同的用户和授权策略却往往不能互相使用对方产生的权限。每个应用都要维护自己的用户信息和授权方法，权限无法在分布的应用中和远程应用中使用。

资源所有者没有权限

　　应用系统负责权限的发放和使用，造成权限真正的拥有者不能有效，及时的更改，发布实时的权限信息。比如机构内一个人职务或业务的变化必须通知相关的不同应用中进行更新。而从本质上讲，权限的发放和权限的鉴别使用是完全不同的两个过程，完全可以分开，权限的拥有者发放权限，而由资源的保护者验证权限。

增加了系统管理员的负担

　　由于不同的系统采用的是不同的权限管理策略，系统管理员不得不熟悉和操作不同的权限管理模式，这无疑增加了系统管理员的负担。另外，大多数老系统都采用的是权限访问控制列表的方式，但是对于大型复杂应用用这种方式来分配权限，给系统管理员带来巨大负担且易出错。

　　开发复杂费用高

　　设计一个新的安全应用系统时，权限管理是一个极其重要的部分。在缺乏统一权限管理模型的情况下，设计人员要考虑选择权限管理模型、访问控制授权方案，而且开发人员也要根据不同的应用花费较大代价来实现权限管理功能，为一个应用开发的管理往往无法在其它应用中重用，增大系统的费用。

　　针对以上问题，安万公司提出的基于硬件进行统一身份认证和基于策略进行访问权限控制的SecureUnisignon 解决方案，为企业信息管理建立了一个统一身份认证管理平台。

2、系统功能

　　SecureUnisignon 服务器端的认证管理程序以清晰明了的标准服务器管理界面，为管理员提供完整的管理工具（SecureUnisignon Administration），实现对用户、群组以及资源和权限的全面管理。

　　A. 用户管理
　　添加用户（创建账户、关联账户、账户属性），删除用户，修改用户暂停用户（权限）、击活用户权限。

　　B. 群组管理
　　可向LDAP 目录服务器中添加群组、删除群组、或者管理群组（为群组增加或改变成员用户）、为群组分配权限。

　　C. 应用系统管理
　　可以添加资源，对资源进行统一身份认证和权限管理。

　　D. 权限管理
　　可以为资源的不同权限，指定不同的用户或群组。

　　E. 系统日志管理
　　SecureUnisignon 整个系统严格实行操作按级管理，并对各种操作保存完整日志记录，便于查找和管理。为了维护的方便和直观，SecureUnisignon 将系统日志根据信息类型分为：一般错误、重要错误、严重错误、用户登录、用户登出、管理信息六种类型。

3、系统特点

　　SecureUnisignon 系统符合PMI 授权管理基础设施的应用需求，具有下列特点：

　　1) 策略定制灵活。
　　可以根据不同的需求，定制出不同的策略。基本上能满足用户不同的需求，对各种不同情况进行访问控制。

　　2) 系统管理功能操作简单。
　　无论是LDAP 目录服务器对资源、用户、角色和策略的管理，还是认证管理程序对用户身份的管理，操作界面都简单易于掌握，减轻了管理人员的工作负担。

　　3) 具有很好的扩展能力。
　　为了方便系统将来的扩展，系统采用了良好的程序框架，系统增加功能，修改功能，删除功能都非常方便。

　　4) 具有较高的效率。
　　保证认证决策过程不会明显影响访问速度。

　　5) 系统独立于任何应用系统。

• ·黑匣子监控系统[图]
• ·EZ-Lock易锁_文件加密保护系统[图]
• ·东育恒远远程教学资源解决方案[组图]
• ·DCI黑匣子网络安全监控系统[图]
• ·F1JEE ,J2EE业务基础软件和工作流平台[图]

• ·博商零售业网上商店系统解决方案
• ·蓝波物资管理系统——船舶行业软件产品
• ·总体规划下渤船重工管加工分厂的数字化工作
• ·中国舰船研究设计中心PDM系统实施与应用[图]
• ·博商零售业网上商店系统解决方案