一、NCS-AAA系统概述

    在目前使用的众多业务应用系统（包括B/S模式和C/S模式）中,每一个业务系统都有自己相对独立的身份认证、权限控制和日志审计机制,这种分散的认证授权审计体系造成了资源的大量浪费,使得应用系统的安全建设重复进行,而且系统用户一人需要面对几种不同的认证模式（如需要记忆几种不同的应用系统口令）,也给系统管理员的管理工作造成巨大的负担。

    NCS-AAA（认证授权审计,Authentication Authorization & Auditing）对你现有的业务系统进行有机整合,提供了一套集中、统一的认证授权审计平台,对用户进行集中地身份认证、操作授权验证和用户操作日志审计,实现全网范围内的单点登录,即系统用户只需登录一次,就可以访问具有授权的所有应用系统。

    如果你需要一种方便的系统管理手段、集中统一的资源访问控制机制、简便的单点登录功能的系统,NCS-AAA就是你的首选。

二、NCS-AAA系统的组成及功能

    业务授权审计系统主要集中管理各类应用资源和用户,为用户分配业务授权。业务认证授权审计系统在逻辑上由资源授权审计库（Resource & Privilege & Audit Base,简称RPAB）、认证授权审计服务器（Authentication & Authorization & Audit Server,简称AAA Server）、WEB安全代理服务器、认证授权审计管理服务端（Authentication&Authorization&Audit Management Server,简称AAAMS）、认证授权审计管理工作台（Authentication&Authorization&Audit Management Console,简称AAAMC）以及认证授权审计功能接口。认证授权审计系统的逻辑结构如图所示。

三、资源授权审计库

    资源授权审计库是保存整个业务系统认证授权审计平台核心安全策略的数据中心,包括用户、组、域信息和资源授权信息,系统审计日志信息。

四、认证授权审计服务器

    认证授权审计服务器作为一个服务运行,安装在一台服务器上,为其他业务系统提供认证、授权和日志审计服务的接口,通过检索资源授权审计库决定用户的资源访问权限,对用户身份和操作授权进行验证,同时对于用户在系统中的活动进行记录;
WEB安全代理服务器

    WEB安全代理服务器作为一个服务运行,安装在WEB服务器中,对用户浏览器和WEB之间的资源访问流量进行监控。WEB安全代理服务器与认证授权审计服务器进行通信完成B/S模式下用户的身份认证和资源访问授权;

五、认证授权审计管理服务端

    认证授权审计管理服务端为管理员提供资源授权审计数据库配置接口。认证授权审计管理服务端是一个WEB服务器,管理员通过浏览器实施系统配置管理和日志分析工作;
认证授权审计管理工作台
    认证授权审计管理工作台供系统管理员使用,用于系统配置管理,如建立用户、组和域、业务系统资源授权、系统维护以及日志查询、浏览和分析等。

六、认证授权审计功能接口

    认证授权审计功能接口为业务系统开发商提供业务系统的安全开发接口,便于建立和实施用户认证、资源访问授权、单点登录以及日志审计等功能。

七、NCS-AAA系统的特点

    支持多层结构的认证授权审计机制; 
    各个业务点建立相对独立的用户认证授权审计系统;
    支持口令认证和基于数字证书的认证等多种认证方式;
    完善的用户、组、域管理结构;
    基于应用角色的资源授权管理;
    基于管理员角色的管理员权限配置;
    使用认证授权审计服务器（AAA Server）实现系统的集中认证授权和审计;
    实现全网的单点登录功能（SSO）;
    支持基于B/S结构和C/S结构的各种应用,和业务系统进行无缝整合;
    具有用户全网漫游功能,支持移动办公;
    支持设备的安全集中管理;