身份认证E网关_0产品白皮书_第1页
身份认证E网关_0产品白皮书_第2页
身份认证E网关_0产品白皮书_第3页
身份认证E网关_0产品白皮书_第4页
身份认证E网关_0产品白皮书_第5页
已阅读5页,还剩19页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、JIT身份认证网关G v3.0 产品白皮书Version 1.0有意见请寄: HYPERLINK mailto:info info中国北京市海淀区知春路113号银网中心2层电话:86传真:86大正元信息技术股份有限公司 TOC o 1-5 h z JIT身份认证网关产品白皮书V3.0目录前言2 HYPERLINK l bookmark6 o Current Document 应用场景描述 2 HYPERLINK l bookmark8 o Current Document 需求分析3 HYPERLINK l bookmark10 o Cu

2、rrent Document 术语和缩略语4 HYPERLINK l bookmark12 o Current Document 产品概述4 HYPERLINK l bookmark14 o Current Document 实现原理4 HYPERLINK l bookmark16 o Current Document 产品体系架构组成 5 HYPERLINK l bookmark18 o Current Document 工作模式和组件描述 6 HYPERLINK l bookmark20 o Current Document 产品功能8身份认证 8数字证书认证8 HYPERLINK l b

3、ookmark25 o Current Document 终端设备认证9 HYPERLINK l bookmark27 o Current Document 用户名口令认证10 HYPERLINK l bookmark29 o Current Document 鉴权和访问控制 10 HYPERLINK l bookmark31 o Current Document 应用访问控制10 HYPERLINK l bookmark33 o Current Document 三方权限源支持 11 HYPERLINK l bookmark35 o Current Document 应用支撑 11 HYPE

4、RLINK l bookmark37 o Current Document 支持的应用协议和类型 11 HYPERLINK l bookmark39 o Current Document 单点登录12高可用性12集群设定12双网冗余13双机热备13负载均衡 13 HYPERLINK l bookmark41 o Current Document 部署方式14 HYPERLINK l bookmark43 o Current Document 双臂部署模式 14 HYPERLINK l bookmark45 o Current Document 单臂部署模式14 HYPERLINK l book

5、mark47 o Current Document 双机热备部署15负载均衡部署 16多ISP部署方式 17 HYPERLINK l bookmark51 o Current Document 产品规格17 HYPERLINK l bookmark53 o Current Document 交付产品和系统配置 17 HYPERLINK l bookmark55 o Current Document 交付产品形态17 HYPERLINK l bookmark57 o Current Document 系统配置和特性 18 HYPERLINK l bookmark59 o Current Docu

6、ment 典型案例19 HYPERLINK l bookmark61 o Current Document 某机关行业 19以才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.06.2电子通讯行业201刖日应用场景描述随着信息化的快速发展,网络内信息应用以其高效、便捷的特点得到广泛应 用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多 的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要 资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患:一.没有有效的身份认证机制:一般都采用用户名 +口令的弱认

7、证方式,这 种认证用户的模式,存在极大的隐患,具体表现在:口令易被猜测;口令在公网中传输,容易被截获;一旦口令泄密,所有安全机制即失效;后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全,管 理非常困难。二.数据传输不安全:当前大多网络应用所发放的数据包均是按照 TCP/IP 协议为明文方式传输,而Internet的开放性造成传输信息存在着被窃听、被篡 改的安全问题。三.操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流, 信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网 络应用亟需解决的一个严重问题以才吉大正元信息技术股份有限公司JIT身份认证网关产品

8、白皮书V3.0需求分析针对以上场景,需要建立一套安全防护系统,为用户提供统一、安全的身份 认证服务,并根据用户提交的身份不同而分配不同的权限,以达到权限最小化分配。由于业务系统都是独立部署,并且运行在不同的平台上。因此,在确保业务 系统能够独立运行的前提下解决统一身份认证、统一授权的问题,需要满足以下的需求:应用保护由于应用的复杂性和多样性,需要对使用不同协议的应用进行保护。 除了支 持应用层的常用协议外,还要支持所有使用 TCP、UDP协议的应用,甚至有些 时候还需要将整个IP全部对用户开放。身份认证除了传统的用户名/口令认证外、必须提供高强度的身份认证方式,如 PKI/CA数字证书等,以确

9、保登录的用户确实为授权的个体,消除未授权用户非 法访问的风险。同时,要与用户现有的用户管理系统(如 AD、LDAP、RADIUS 等)相结合,并能做到数据同步。在安全性要求更高的场合里,还需要对登录用户的硬件信息进行认证。访问控制允许用户定义合适的安全策略,可以有效保护对专用网络系统及应用的访 问,可以根据用户的不同身份来确定其访问权限。链路加密使用密码技术和隧道协议来提供网络的保密性、认证性及信息完整性。责任认定可以通过提供的个人信息及计算机硬件信息来综合认证用户的身份, 并可以 记录下其访问应用的情况,实现不可抵赖特性。当出现安全事故时,也可以确保 合法用户不会被任何非法访问事件所牵连。以

10、才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0术语和缩略语缩略语央义中文JIT UMSJIT User Manager System吉大正兀统一用户管理系统JIT PMSJIT Privilege Manager System吉大正兀权限管理系统CACertificate Authority数字证书中心。作为权威的第三方负责发放数字证书CRLCertificate Revoke List证书吊销列表LDAPLightweight Directory Access Protocol轻量级目录访问协议OCSPOnline Certificate Status Protocol在

11、线证书状态协议PKIPublic Key Infrastructure公钥基础设施RARegister Authority审核注册中心SSOSingle Sign-on单点登录SSLSecure Socket Layer安全套接层协议层。它是网景(Netscape )公司提出的基于WEB应用的安全协议2产品概述2.1实现原理吉大正元身份认证网关是提供内部网络的接入控制以及对接入用户进行强 身份认证和审计服务的产品,解决用户使用应用系统时涉及的身份验证、 信息保 密、权限控制等安全问题。为网络应用提供以下安全支撑服务:提供数字证书、用户名口令、硬件信息等多种认证方式基于角色的动态用户授权机制基于

12、协议、端口或IP的应用系统保护针对应用系统资源进行细粒度的权限控制吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0局强度的传输链路加密对用户接入应用系统的行为进行全方位监控、追踪和审计该产品基于开放的标准开发,具备良好的兼容性和可扩展性,全面支持PKI/CA (公钥基础设施)系统,实现边界接入网络安全的整体解决方案。产品部署在应用系统与终端用户之间,真正做到了安全和应用的无缝连接, 更易于推广。图2-1身份认证网关产品体系架构组成安全链路报文认证旁路服务模块I主路服务模块LDAP应用2信息传递应用1应用端fHter或接口图2.1-1G网关体系架构图仃吉大正元信息技术股份有限公司

13、JIT身份认证网关产品白皮书V3.0工作模式和组件描述正元身份认证网关支持主路和旁路两种工作模式,这样能更好的满足用户复 杂的应用接入环境和安全应用需求,在应用安全和应用效率的侧重点上用户可以 自由的选择。主路工作模式主路模式下用户的业务访问都必须经过身份认证网关,用户只有通过身份认 证网关后才可以访问到后台的业务应用, 这是一种业务应用安全需求至上的应用 模式,主路模式的优点在于更强的访问控制和应用网络的地址结构保护。这种模式的组件主要分为三个部分:网关服务端:负责用户的集中身份认证和通信链路保护以及鉴权访问控 制。网关客户端:部署在用户客户端上,构建客户端与网关服务端的认证桥 梁。应用端接

14、口:解决应用访问的二次认证和应用信息传递的开发接口,如 果用户不关注二次认证和信息传递,则不需要。以才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0我!览导为数字证书图-1产品体系架构图旁路工作模式旁路模式下身份认证网关只负责用户的身份认证,用户一旦通过身份认证后其与业务的通信交互则与网关无关,这是一种应用效率至上的应用模式,旁路模式的优点在于更高效的集中身份认证效率,对应用访问的瓶颈影响最小,这种模式的组件主要分为四个部分:网关服务端:负责用户的集中身份认证和鉴权信息传递。客户端API : C/S架构应用下的认证请求发起。应用端接口:负责转发客户端的认证请求到网关服务端。“

15、才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0吉大正元讨份认语网关1E游览器Filie过港B:S应用服务器图 -2 (B/S 应用)图 -3 (C/S 应用)3产品功能身份认证数字证书认证系统支持PKI/CA数字证书认证方式,对PKI全面支持,包括以下方面:上吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0用户数字证书完整性验证验证证书基本信息,包括有效期、信任域、证书状态。CRL更新系统支持动态更新CRL ,并支持WEB站点下载、LDAP服务器下载、 及手工导入三种更新模式。支持OCSP证书验证方式系统支持OCSP协议进行证书状态验证。支持标准的证书载体支

16、持PKCS#12标准证书和各种具备标准 CSP的硬件KEY。支持证书链支持由多级CA颁发的证书。支持单、双向认证选择系统不仅支持使用证书对服务器身份进行认证,也支持使用证书对客户 端身份进行认证。可以通过配置为单向、非强制双向、双向三种认证方 式,设置用户是否需要提交证书。支持多信任域认证同时支持多个证书颁发机构颁发的证书。兼容多家厂商证书系统基于开放标准开发,支持多种证书,包括国内所有区域CAo终端设备认证系统能够对接入客户端设备特征进行认证,只有认证的设备才能成功接入。系统采用硬件特征码标识接入终端设备, 硬件特征码包括:MAC地址和硬以才吉大正元信息技术股份有限公司JIT身份认证网关产品

17、白皮书V3.0盘序列号。如果开启了硬件注册功能,则用户在访问网关时,需提交个人的硬件 信息,由管理员审核通过后方可登录网关。网关的主机绑定功能,强制用户只能从指定主机接入网关才能够成功。接入主机的高可信度提高了应用访问的安全性,同时,在确认该主机安全的情况下, 也绝对防止了非法用户盗用用户帐号后从其他主机访问网关的非法行为。用户名口令认证系统支持联合吉大正元统一用户管理系统(JIT UMS),可以通过连接UMSK 取用户账号信息完成用户认证操作,同时增加验证码机制防止恶意登录。鉴权和访问控制应用访问控制正元G网关支持访问控制模板设置,管理员可以通过配置策略模板,授权用 户对应用系统的访问,应用

18、入门级控制可以配置以下几种策略:全局默认策略控制当应用没有配置具体的访问控制策略时,网关通过全局默认策略进行访 问控制,全局默认策略的优先级最低。根据用户认证方式控制可以根据用户认证等级策略控制用户对应用的访问权限。认证等级分为 口令认证、数字证书认证、口令 +数字证书认证。根据数字证书DN规则控制管理员可以根据用户数字证书,设置 DN项规则策略,限制某个或某一 群组用户对应用的访问。系统采用黑、白名单的形式设置策略,DN规则配置灵活,支持通配符。根据时间段规则控制第10页以才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0管理员可以根据时间段规则策略控制某一时间段内,允许访问

19、应用或者 禁止访问应用根据IP地址规则控制管理员可以根据IP地址规则策略控制某一 IP地址或某一 IP区间段允许 访问应用或者禁止访问应用。根据用户名控制管理员可以根据用户名策略控制某一用户允许或者禁止访问应用三方权限源支持正元G网关支持从JIT UMS (统一用户管理系统)和JIT PMS (统一权限 管理系统)中获取应用入门级或细粒度访问控制权限。其业务流程为:用户通过 身份认证网关的认证,网关连接 UMS或PMS查询该用户在应用中的全局权限 设定,再配合网关自身的访问控制策略模板统一的进行鉴权和访问控制。应用支撑支持的应用协议和类型基于TCP/UDP的任意协议网关支持多种基于TCP/UD

20、P的web或Client/Server结构的应用系统。管 理员只需通过简单的管理接口在服务器上定义需要支持的应用, 及配置好服务器 使用的端口。网关也支持多种使用动态端口的应用协议,比如 FTP, TFTP, Oracle, SQL server等。这些特性使得网关能够最大程度的满足用户的应用需求。灵活安全的应用服务定义在网关中,定义一个服务需要指定服务所在的地址,端口,服务类型,应用第11页以才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0访问控制规则(Application Access Control Rule),关联的客户端应用程序,是否 隐藏服务,服务应用到的角色等

21、。在地址的定义方式上,管理员有三种选择:完整的域名、IP地址或者主机名IP地址。这三种地址指定方式可以满足多数应用的需求。在网关的服务定义中可以添加多个端口。 这种方式满足了那些在一台服务器 上配置多个应用服务的应用需求,同时也可以部分的解决使用动态端口的应用系 统的需要。对于多台服务器提供同一个服务的情况,管理员其实希望只让用户看到其中 的一个服务器即可,不必了解具体有多少服务器在同时提供服务。针对这种要求, 网关为每一个服务提供了一个开关。 根据这个开关的设置,网关就知道该给用户 显示哪个服务,而把其他的作为备份的服务器隐藏起来。单点登录系统支持多个应用系统之间的单点登录,即一次登录,多次

22、使用。用户通过 网关认证后,系统认证平台通过安全 Cookie机制维护该用户的会话信息,用户 登录应用系统时,无需再次认证。极大的简化了用户登录应用系统的步骤,使应用更加流畅。在多台G并行的应用环境下,如果一个用户拥有访问所有应用系统的权限, 那么该用户只需要访问一台网关后面的一个应用即可实现全网关后应用的单点 登录。高可用性集群设定G网关支持集群设定,加入集群的网关会自动同步配置和业务 session信息, 这其中包括用户认证信息和数据缓存等。第12页以才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0双网冗余G网关支持桥模式的配置部署方式, 可以很好的适应有双网冗余灾备考虑

23、的 用户网络环境双机热备网关内置双机热备系统,采用主备机模式,主机(处于工作状态的机器)与 备机之间通过网口连接心跳线,用于监听对方机器是否处于正常工作状态, 当备 机发现工作机停止工作时,通过自己的双机功能将主机的服务切换到备机,由备机继续提供服务。当主机恢复正常后,服务自动切回到主机。双机热备功能用于解决安全认证网关的单点故障问题, 对后台受保护的应用 系统提供更可靠的安全认证等服务。双机热备的G网关不仅同步配置信息,还包括业务日志信息。负载均衡由于G网关支持自身集群设定,故在与第三方负载均衡设备的配合下能有效 实现业务无间断,即假设集群内有一台设备宕机了也不会出现要求已连接用户进 行二次

24、重新认证的情况。第13页以才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.04部署方式双臂部署模式图4-1双臂模式部署图直连部署模式将网关以申接的方式连入网络中,成为内外网通讯的唯一路 径。单臂部署模式图4-2单臂模式部署图第14页“1吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0单臂部署模式将网关与内外网络的接口连接在一个交换机上。 它的接入无需 修改现有的网络拓扑,可根据需求灵活接入。但是,用户通过网关访问被保护服 务的数据流还是主路的,是必须要经过网关的。双机热备部署图4-3双机热备部署图主机-备机模式:当主机DOWN掉后,备机自动切换成主机提供服务,

25、保证 网络连通性。第15页”才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0图4-4负载均衡部署图三方负载模式:1、正元G网关支持集群设定,同步业务 session和配置信息,可与三方负 载均衡设备联合部署,由三方负载均衡设备进行业务流负载分配。第16页”才吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.0多ISP部署方式图4-5多ISP部署图在用户的网络接入环境中,如果存在电信、网通以及移动等多个 ISP来提 供网络服务,不同的运营商提供不同的网络链路以及 IP地址,这样用户在跨运 营商访问网关时的速度会很慢。针对这种情况,网关提供多个外网接口,可分别配置为不

26、同运营商提供的IP 地址。这样用户在访问网关时,由客户端组件计算选择较好的链路进行连接, 保 证客户端的连接速度,保证用户使用体验的质量。5产品规格交付产品和系统配置交付产品形态产品名称产品形态客户端支持的操作系统类型吉大正元信息技术股份有限公司第17页JIT身份认证网关产品白皮书V3.0| 吉大正元身份认证网关 | 硬件 | WindowsXP/2003/Vista/Win7表5.1.1-1 交付产品表第18页系统配置和特性参数型号G2000-EG3000-EG5000-E设备高度1u3u3u网卡2千兆电口4千兆电口4千兆电口2千兆光口电源容量单电源单电源冗余电源电源功耗300W300W50

27、0W设备自重6 Kg10 Kg尺寸规格390*430*44(mm)500*430*132(mm)吉大正元信息技术股份有限公司JIT身份认证网关产品白皮书V3.06典型案例某机关行业外部接,区视关外网敷据交换区H-o-机关内网班期VPN上靛嘱一、士0猿扑耨】孙回平白 内M詈自 “苏器A 的火墙 腹*脖A书丸正元 青舟认证网关图6.1-1某机关网络中的典型应用上图为身份认证网关在某机关网络内部的应用拓扑。 在机关内部办公网上有 许多应用系统,需要对内部办公人员提供服务,同时也有部分系统需要给其下属 单位的部分人员开放相应的权限。 在原来的网络结构中,应用系统如果映射在外 部网络上,则相当于直接暴露在互联网上。 虽然

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论