?
2011?
i
TrustMore 集中认证网关
【产品白皮书】
北京中宇万通科技有限公司
?
?
目 录
一、前言?................................................................................................................?1?
1.1 为什么需要集中认证网关??.............................................................................................?1 1.1.1 帐号管理问题(Account).....................................................................................?1 1.1.2 身份认证问题(Authentication) .........................................................................?1 . 1.1.3 权限管理问题(Authorization)?............................................................................?2 1.1.4 集中审计问题(Audit)?.........................................................................................?2 1.1.5 用户体验问题(SSO,?Single?Sing‐On)?..................................................................?2 1.2 如何选择集中认证网关??.................................................................................................?3?
二、TrustMore 集中认证网关介绍?.......................................................................?3?
2.1 为什么选择 TrustMore 集中认证网关?..............................................................................?3 2.1.1 从集中管控角度?......................................................................................................?3 2.1.2 从用户体验角度?......................................................................................................?5 2.1.3 从集中审计角度?......................................................................................................?5 2.2 系统体系架构 ....................................................................................................................?5 . 2.3 核心功能 ............................................................................................................................?7 . 2.3.1 全面支持 PKI 数字证书认证方式?.........................................................................?7 2.3.2 单点登录技术?..........................................................................................................?7 2.3.3 终端签名验证技术?..................................................................................................?8 2.3.4 多类型应用支持?......................................................................................................?8 2.3.5 应用防火墙技术?......................................................................................................?8 2.3.6 应用加速技术?..........................................................................................................?8 2.4 系统部署方式 ....................................................................................................................?9 . 2.4.1 主路方式 .................................................................................................................?9 . 2.4.2 旁路方式 ...............................................................................................................?10 . 2.4.3 双(多)机热备?....................................................................................................?11 2.4.4 负载均衡 ...............................................................................................................?12 . 2.5 系统应用场景 ..................................................................................................................?14 .
三、TrustMore 集中认证网关客户端?.................................................................?14?
3.1 纯客户端模式?...........................................................................................................?14 3.2 基于浏览器的方式?...................................................................................................?15 3.3 客户端对外 API 接口形式?.......................................................................................?16?
四、TrustMore 集中认证网关功能与特色?..........................................................?16 五、规格型号与参数?...........................................................................................?19?
?
i?
?
一、前言?
1.1 为什么需要集中认证网关?
随着政府、 行业和企业信息化建设的快速发展和推进, 信息化建设中信息孤岛问题日益 严重。在信息化的发展过程中,IT 应用也伴随着技术的发展而前进,但与其它变革明显不同 的是,IT 应用的变化速度更快,也就是说,政府、行业和企业每进行一次局部的 IT 应用更 新都可能与以前的应用不配套,也可能与以后的“更高级”的应用不兼容。因此,从产业发 展的角度来看,信息孤岛的产生有着一定的必然性。 目前, 政府、 行业和企业分别在不同时期构建和部署了大量应用系统, 可能包括: Portal、 OA、Email、FTP、ERP、业务系统、科技管理系统、项目管理系统等多个应用系统和业务系 统。每个系统具有独立的帐号、身份和权限管理模块,相互独立。如何构建统一的集中认证 平台,实现多应用系统的集中管控和信息融合是消除信息化孤岛的有效手段之一。?
1.1.1 帐号管理问题(Account)?
目前,大多数已建设的应用系统都具有独立的帐号管理模块,由于建设时期不同,研发 的厂商不同,采用的技术和方法、安全性设计和可管理性也不尽相同。因此,帐号分布在不 同系统,由个人或应用系统维护,无法实现安全策略的统一实施和下发。 其次, 人员的帐号信息难以和人员自然属性信息绑定, 往往只包含了登录系统所使用的 用户名和口令,无法和自然人一一对应,难以实现实名制标识、认证和审计。 此外,现有的系统和新开发的应用系统,没有统一的帐号管理规范可遵循,无论已经开 发完成的还是即将开发的新应用系统,都要重复开发人员管理、身份认证、权限管控和审计 模块,而且系统之间无法同步,造成投资浪费和管理成本的提升。?
1.1.2 身份认证问题(Authentication)
在已建设的应用系统中, 绝大多数都是采用用户名口令的认证方式, 而且每个系统维护 的帐号信息不尽相同。当人员使用多系统时,必然导致人员将不同系统口令设置一致,或者 采用弱口令,甚至全部帐号采用弱口令,身份认证和权限管理形同虚设。再加上用户名口令 无法标识自然人, 势必导致整个系统的安全等级大幅度降低, 根本达不到设计时的安全预想。
1?
?
如果出现了冒名访问和暴力破解口令事件, 通过现有的审计系统和应用系统自身的审计 功能根本不具备可追溯性和可追究性。 此外, 所有身份认证信息和数据信息一样采用明文方式在网络中传输, 口令非常容易被 监听和窃取,而互联网上充斥着各种简单易用的监听工具,任何系统的帐号信息(包括管理 维护人员的帐号信息) 唾手可得, 现有的应用系统身份认证机制已经远远无法满足当前政府、 行业和企业信息化发展的需求。?
1.1.3 权限管理问题(Authorization)?
由于没有统一的身份认证和身份标识机制, 目前, 每个应用系统根据自身的帐号管理系 统实现权限划分。一方面,权限管理变得非常复杂,尤其跨地区开放的应用系统,不仅仅面 临异地访问的安全问题, 还面临着人员调整和变动导致的一系列安全隐患, 权限的划分无法 做到合理、灵活。 面对多系统、多角色、分布式应用的场景,如何合理设定角色、分配权限,并与应用系 统有机的结合,已经成为政府、行业和企业信息化发展过程中亟待解决的问题之一。?
1.1.4 集中审计问题(Audit)?
由于不同的应用系统建设时期不同,管理手段、安全等级都不尽相同,根本无法实现集 中的在线监控和管理, 没有手段能够发现可疑用户和可疑连接。 所有的审计依赖于系统自身, 如果系统自身的审计系统薄弱,出现安全问题无法追踪,甚至根本无法发现信息的外泄。 面对复杂的多应用系统环境, 为了能够真正实现向整个信息化网络提供服务保障, 确保 信息流在可监管、可审计范围内合理使用是信息中心发挥应有职能的基本保障手段。?
1.1.5 用户体验问题(SSO,?Single?Sing‐On)?
每个用户每天都需要登录大量的应用系统, 根据合理的安全策略, 要求用户在每个应用 系统中的帐号不应一致,而且帐号信息需要定期改变。这样,每个用户每天需要频繁输入大 量用户名口令,还要不断维护维护大量的用户名口令。 而实际情况是,面对复杂的应用场景,每个用户趋向使用最简单的口令,这样,所有系 统的认证形同虚设, 将整个信息化的安全等级降到了最低。 如何在不改变现有系统的情况下 解决用户使用难的问题,同时提供强身份认证改造的技术和手段,是政府、行业和企业信息
2?
?
化发展过程中需要经由的必经之路。?
1.2 如何选择集中认证网关?
统一认证、统一授权、统一审计是政府、行业和企业信息化发展的必然趋势,只有集中 管控才能应对大规模信息化的发展, 才能构建信息交互的可信基础平台。 一个完善的集中认 证网关应该从以下几个方面评价: ? ? 具备相对完善的第三方认证系统挂接接口和方案; 具有相对完善的单点登录解决方案,支持 Web 应用单点登录、支持 C/S 应用单点 登录,支持用户名和数字证书方式单点登录; ? ? 具备相对完善的授权访问控制机制; 支持主路和旁路模式的部署。主路模式具有强安全性,但是增加单一故障点;旁路 模式,具有高效、延迟低等特点,但是安全性较低; ? ? 具有完善的日志和审计机制,具有日志挖掘引擎和可定制的统计管理系统; 自身的安全性高,不易遭受攻击;?
二、TrustMore 集中认证网关介绍?
2.1 为什么选择 TrustMore 集中认证网关
2.1.1 从集中管控角度?
TrustMore 集中认证网关是 TrustMore 系列解决方案中的重要组成部分,通过 TrustMore 集中认证网关主要实现身份认证、访问控制、数据完整性、数据保密、数据抗抵赖性等安全 机制。TrustMore 集中认证网关可以和 TrustMore 内容审计和行为重放系统结合使用,互相 协调、补充,构建一个立体的安全保障管理体系。如下图所示:?
3?
?
图 2‐1?TrustMore 系列安全产品和信息网可信接入防护手段 ? TrustMore 边界安全网关:解决可信边界安全接入,实现链路加密和强身份认证, 将内外网实现逻辑隔离,阻断内外网之间的 TCP 会话和外网攻击行为。 ? TrustMore 集中认证网关: 解决内外网访问的集中认证、 统一授权管控和单点登录, 实现对现有应用系统和资源的统一管控, 不改变现有系统的前提下实现强身份认证 的改造。 ? TrustMore 无线安全网关:解决手持终端(智能手机、平板电脑、上网本、车载终 端等)的远程接入和安全数据传输等问题。 ? ? TrustMore 视频安全网关:解决视频接入的安全认证和链路安全问题。 TrustMore 内容审计和行为重放系统:实现集中监控、日志汇总分析、内容分析和 过滤、用户行为分析和用户访问 Web 应用系统的行为重现。 TrustMore 系列安全产品各自应用于不同场景,也可以综合部署,相互协调,共同构建 可信安全接入的综合解决方案。?
4?
?
2.1.2 从用户体验角度?
TrustMore 集中认证网关降低用户在大型网络中使用多业务应用系统的难度,通过单点 登录技术实现用户一次登录自由访问所有有权限访问的应用系统, 增强用户体验, 提高工作 效率。同时,引入 PKI/CA 和 USBKEY 技术,在不改变现有应用系统的情况下,对现有应用实 现强身份认证的改造,全面提升整个信息化平台的安全等级。 TrustMore 集中认证网关的单点登录,不仅仅支持各种 HTTP(Basic、NTLM、Form 表单 等)服务,而且提供完善的 C/S 应用单点登录解决方案,通过友好的界面,给使用者简单、 易用的用户体验。?
2.1.3 从集中审计角度?
绝大多数业务应用系统在设计之初并未考虑到支持第三方日志审计系统, 甚至本身就缺 少日志记录功能,使得集中审计成为了不可能。TrustMore 集中认证网关在不改变应用系统 的前提下实现了集中认证、 权限管控、 帐号映射等一系列问题, 为集中审计提供了技术前提。
2.2 系统体系架构
TrustMore 集中认证网关采用客户端/服务器模式实现,客户端的形式包括“纯客户端模 式”“浏览器+ActiveX 控件方式”和“API 接口方式” 、 ,客户端根据服务端下发的策略执行安 全策略。 TrustMore 集中认证网关客户端主要包含: ? 单点登录模块: 单点登录模块通过服务端下发策略通过分析引擎实现客户端页面或 应用程序的分析,并按照服务端下发的策略实现单点登录机制。 ? 终端策略模块:终端安全策略是实现终端集中管控的安全手段,包括终端注册、审 核、锁定、健康检查、接入阻断等功能。 ? 客户端配置模块:客户端配置管理模块为终端用户提供自我管控和配置交互接口。
TrustMore 集中认证网关服务端主要包含: ? ? 系统监控:主要实现系统资源状态、并发连接、在线人员状态等的监测和管理。 配置管理:主要实现系统自身的配置和管理、资源管理、用户管理、角色管理、客
5?
?
户端安全策略等,通过 XML 格式和客户端通过 SSL 协议进行策略下发和交互。 ? 安全管理:对终端安全进行接入认证、管理和限制,实现身份认证、统一授权和基 于角色的访问控制。 ? 日志管理:支持本地日志存储和第三方日志存储,日志分级、分类管理。能够和 TrustMore 内容审计和行为重放系统配合使用,实现资源监测、用户行为分析和用 户行为重放。 ? 核心分析引擎:核心引擎包括对应用层协议的分析、帐号映射、关联分析、TCP 状 态跟踪等机制,实现集中认证网关的高效运转。?
单点登录(SSO) Web应用分析引擎 C/S应用分析引擎 终端策略 客户端 终端指纹提取 终端自动注册 终端安全检查 终端阻断 代填技术 客户端模拟认证
客户端配置 证书认证 用户名口令认证 动态口令认证 匿名访问
SSL
系统监控
配置管理
安全管理
日志管理 第 三 方 日 志
资 源 监 控
在 线 用 户
状 态 监 控
网 络 管 理
系 统 管 理
策 略 管 理
资 源 管 理
终 端 安 全
身 份 认 证
访 问 控 制
系 统 日 志
日 志 策 略
TrustMore集中认证网关核心引擎(关联分析、协议分析、帐号映射、TCP状态跟踪……)
图 2‐2?TrustMore 集中认证网关体系架构图?
6?
?
2.3 核心功能
2.3.1 全面支持 PKI 数字证书认证方式
TrustMore 集中认证网关是中宇万通自主研发的网络安全产品,能够支持基于 PKI 体系 的数字证书认证和强身份认证体系,是集身份认证、数据传输加密、数据完整性和数据抗抵 赖性于一体的综合安全认证类产品。 TrustMore 集中认证网关支持单向和双向数字证书认证。?
2.3.2 单点登录技术
单点登录 (Single?Sign‐on, SSO) 技术是 TrustMore 集中认证网关核心功能之一。 TrustMore 集中认证网关以独到的单点登录技术和用户体验,在业内遥遥领先。?
2.3.2.1HTTP 应用的单点登录
TrustMore 集中认证网关支持 Bsiac、NTLM、Form 表单提交的 HTTP 和 HTTPS 单点登录, 不仅仅支持客户端代填方式, 而且支持服务端虚拟认证提交技术, 适用各种应用场景的单点 登录。 一般来说,单点登录在后台管理和配置上非常复杂,要求配置人员能够分析 Web 应用 系统的源代码,对管理人员要求非常高。TrustMore 集中认证网关内置自主研发的 HTML 自 动解析器, 采用了独有的单点登录可交互式动态分析技术, 最大限度简化了单点登录的配置。
2.3.2.2C/S 应用的单点登录
具有相对完善的 C/S 应用单点登录解决方案, 可以将用户现有的用户名口令认证方式的 应用系统,通过 TrustMore 集中认证网关转换成为基于 USBKey 的强身份认证方式,为用户 提供友好交互方式和超强的用户体验。?
2.3.2.3 数字证书认证透传
政府、行业和企业内部一些应用系统本身就支持双向 SSL 认证,给单点登录带来了诸多 技术困难。 TrustMore 集中认证网关采用数字证书透传技术解决了该类应用的单点登录问题,
7?
?
实现了全网应用的统一认证。透传证书信息可以根据用户需要进行配置,可以是:1)数字 证书本身;2)数字证书 ID;3)证书 DN 值;4)电子邮件信息等唯一标识。?
2.3.2.4PKI/PMI 挂接
针对公安行业,TrustMore 集中认证网关可以实现和公安 PKI/PMI 系统的无缝挂接,支 持公安部集中认证网关标准,并通过公安部评测。?
2.3.3 终端签名验证技术
TrustMore 集中认证网关实现终端硬件指纹自动提取、签名和注册,对接入设备进行安 全认证和验证。安全等级远远超越 IP 限制和 MAC 限制,能够对终端指定硬件信息、操作系 统信息(例如操作系统版本、安装时间等)进行验证,对定期不访问的设备可以自动锁定, 避免接入设备带来的安全隐患。?
2.3.4 多类型应用支持
TrustMore 集中认证网关除了可以对 B/S 应用进行安全防护外,对于 FTP、telnet、SSH、 远程桌面、SMTP、POP3 等 TCP、UDP 应用也可以进行安全防护,具有广泛的适用性。?
2.3.5 应用防火墙技术
TrustMore 集中认证网关内置应用级防火墙,能够识别非法 URL 攻击、SQL 注入、跨站 脚本攻击、嵌入式脚本和程序等各种攻击和嵌入式非法访问,提高应用系统的安全性。简化 了用户定期扫描和加固应用系统的繁杂工作。?
2.3.6 应用加速技术
一方面,TrustMore 集中认证网关可以支持硬件加速卡,加/解密运算全部由硬件完成, 效率能够达到纯软件技术的十倍或者几十倍。另一方面,TrustMore 集中认证网关内置内存 级缓存技术,可以彻底将应用服务器的 CPU 资源从繁重的加解密中解放出来,起到了对应 用加速的作用。?
8?
?
2.4 系统部署方式
2.4.1 主路方式?
主路模式(桥模式)指 TrustMore 集中认证网关物理部署在终端和被保护的应用服务器 之间,即 TrustMore 集中认证网关的外网口与内外网终端连接,内网口与被保护的应用服务 器相连。由于被保护的应用服务器通过内部网络与 TrustMore 集中认证网关连接,因此终端 用户与应用服务器的连接被 TrustMore 集中认证网关隔离,用户只能够访问到 TrustMore 集 中认证网关,无法直接访问被保护的应用服务器,只有通过 TrustMore 集中认证网关才能获 得有权限访问的业务资源。其部署示意图如下:?
图 2‐3?TrustMore 集中认证网关主路模式部署示意图 主路模式的优点是: ? 安全性高:终端用户必须通过 TrustMore 集中认证网关的认证后才能获取有权限访 问的资源服务,不同角色的用户可访问的资源可以不同。同时,根据用户需要,可 以配置终端到 TrustMore 集中认证网关之间的链路是否加密。TrustMore 集中认证 网关采用代理模式, 阻断了终端和应用服务器之间的 TCP 连接, 实现了网络的逻辑 隔离,避免了终端用户对应用服务器的直接攻击。?
9?
?
? ?
结构清晰:主路模式在物理部署和逻辑结构上都非常简单,容易理解。 性能高:相对于旁路模式,主路模式的效率及带宽利用率更高。
主路模式的缺点是: ? 需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。?
2.4.2 旁路方式?
旁路模式(单臂模式)指 TrustMore 集中认证网关逻辑部署在终端和被保护的应用服务 器之间,而物理连接是在同一网络中,即 TrustMore 集中认证网关通过单臂模式接入到内网 中。用户可以通过 TrustMore 集中认证网关获取有权限访问的资源服务,也可以直接连接到 应用服务器获取服务。?
图 2‐4?TrustMore 集中认证网关旁路模式部署示意图 旁路模式的优点是: ? 部署方便:应用无需作改动,用户只需变更一下访问地址即可。
旁路模式的缺点是:
10?
?
?
安全性低:由于应用服务器和外界网络连接,存在终端用户绕开 TrustMore 集中认 证网关直接连接应用服务器和使用其它方式攻击应用服务器的可能性;同时, TrustMore 集中认证网关到应用服务器的明文数据也在网络上传输,存在被窃听的 安全隐患。?
?
性能较低:相对于主路模式,旁路模式中用户到 TrustMore 集中认证网关和 TrustMore 集中认证网关到应用服务器的数据流量都通过一个网口进行,效率及带 宽利用率相对较低。?
2.4.3 双(多)机热备?
系统支持双(多)机热备功能,在需要高可靠性的环境下需要对 TrustMore 集中认证网 关进行双(多)机热备部署。双(多)机热备部署需要部署两台或两台以上设备,一台作为 主机,其他作为备机,多台 TrustMore 集中认证网关都与网络连接,网关之间通过网络热备 口进行状态检测, 在正常情况下由主网关提供服务, 当主网关发生异常时系统自动切换到从 网关进行服务。部署方式如图:
图2‐5?TrustMore集中认证网关主路模式双(多)机热备部署示意图?
11?
?
图2‐6?TrustMore集中认证网关旁路模式双(多)机热备部署示意图
2.4.4 负载均衡?
TrustMore 集中认证网关内置负载均衡模块, TrustMore 集中认证网关也可以和主流第三 方负载均衡器配合使用。 TrustMore 内置的负载均衡器采用主动模式, 主网关负责会话调度, 负载均衡可以和热备模式配合使用,提升整个系统的可用性和可靠性。如下图:?
12?
?
图 2‐7?TrustMore 集中认证网关主路模式负载均衡部署示意图?
Internet
防火墙
内网交换机
Portal OA Email 项目管理 TrustMore集中 认证网关群 科技管理 远程桌面
LDAP统一身份发布系统
RTX
FTP应用 统一身份管理系统
图 2‐8?TrustMore 集中认证网关旁路模式负载均衡部署示意图?
13?
?
2.5 系统应用场景
随着信息化的发展,业务系统逐渐完善和丰富,资源系统规模不断扩大,资源管理越来 越复杂, 目前很多的信息化系统建设的统一的资源系统安全基础支撑, 可以为资源系统的安 全管理提供服务,这些服务包括用户帐号管理、身份认证、访问控制、用户操作日志和行为 等。 TrustMore 集中认证网关可以为以下类型的用户提供安全服务: ? ? ? ? ? 通信行业:移动、电信、联通等 金融行业:银行、保险、证券、期货等 政府部门:外交、税务、工商、公检法、水利、交通等 企业单位:电力、石油、化工、交通、煤炭、粮食等; 国防军工业?
目前大多数资源系统都是采用用户名/口令认证方式登录,面对大型网络,应用服务相 对多和相对繁杂的场景,那么资源系统的管理人员需要管理几十甚至上百个用户名/口令, 给资源系统管理带来沉重负担,造成额外的口令维护成本。TrustMore 集中认证网关在用户 通过身份认证后, 可以单点登录所有被授权使用的资源, 简化管理维护资源系统的登录过程, 缩短了维护操作的时间,减少了维护成本。 另一方面,通过 TrustMore 集中认证网关的部署,用户必须通过 TrustMore 集中认证网 关才能访问被授权访问的资源系统。 通过用户与帐号关联授权的管理模式及基于会话行为的 审计回放机制,TrustMore 集中认证网关可以将访问资源系统的帐号定位到具体用户(即自 然人) ,并对其操作行为进行全程记录和回放,从而增强了资源维护管理的安全性。?
三、TrustMore 集中认证网关客户端?
3.1 纯客户端模式?
推荐配置如下: CPU:P3?600M 以上?
14?
?
内存:256M 以上 操作系统:32 位和 64 位的 Windows?2000、Windows?XP、Windows2003、Windows?7?
3.2 基于浏览器的方式?
推荐配置如下: CPU:P3?600M 以上 内存:256M 以上 操作系统:32 位和 64 位的 Windows?2000、Windows?XP、Windows2003、Windows?7 浏览器:IE6.0 以上,密钥长度 128 位?
15?
?
3.3 客户端对外 API 接口形式?
提供标准的 API 接口,可以和第三方应用程序进行集成,简化整体解决方案中多客户端 安装和管理问题。?
四、TrustMore 集中认证网关功能与特色?
描述 特色功能
应用保护
保护模式
访问控制
1.保护 B/S 应用和业务; 2.保护 HTTPS 应用和业务; 3.保护 C/S 应用和业务; 4.保护数据库服务; 5.保护 FTP 主、被动模式服务; 1.支持安全代理模式; 2.支持安全透明通道模式; 1.支持 U 盾认证方式 2.支持终端安全策略,集中分发和控 特色功 能 制; 3.支持黑名单机制; 4.基于用户角色的权限管理和访问控 制; 5.基于时间的访问控制;
特色功 能
★★
★★★
16?
?
6.基于 IP 和 MAC 地址的访问控制; 7.管理端支持 U 盾方式认证; 8.支持管理员分权限管理,实现管理 员权限的隔离; 1.数据在传输中加密,加密算法支持: 数据传输 2.支持 HTTP 压缩; 3.支持 URL 分析和替换; 1.设备注册机制:通过提取硬件指纹 信息,识别可信设备; 2.用户安全:通过 U 盾和授权信息识 别可信用户; 3.客户端安全检查: 1)检查操作系统版本; 2)检查 IE 浏览器版本; 3)检查进程; 4)检查注册表; 终端安全 5)检查文件; 4.终端安全链路防护:建立安全链路 之后,通过安全策略限制终端设备对 外网/本地局域网的连接; 5.U 盾脱机检查:U 盾脱离终端设备 时,所有安全链路自动关闭,确保安 全链路的安全; 6.底层防护:在操作系统驱动层实现 终端安全机制,确保安全策略的可靠 运行。 注册设备的人员信息,包括人员的身 份证等基本信息,管理员对设备授权 时就可以很直观的看到该设备自身的 人员注册 信息(有价值的信息),在线用户管 理时,可以根据区域进行分组将对管 理员起到比较大的管理作用。 1.支持 URL 正则表达式过滤; 2.集成 WEB 防火墙功能模块, 防范各 种 WEB 攻击; 抗攻击性 3.集成抗 DoS 攻击模块,抵御常见的 DoS 网路攻击; 第三方数字证 支持本地数据库认证之外,还支持: 书 1.第三方 Radius 服务器认证方式;
17?
特色功 能 特色功 能 特色功 能
★ ★★ ★★★★
特色功 能
★★★
特色功 能
★★★
特色功 能
★★
特色功 能
?
2.第三方 LADP 认证方式; 1.能够审计客户端用户的访问行为; 2. 支 持 分 布 式 日 志 存 储 行 业 标 准 (SysLog 服务); 审计日志 3.支持业务日志,实现集中是监控; 4.审计系统 CPU、内存资源占用,便 于性能监控; 1.无需配置客户端和 WEB 应用系统 特 色 功 ★★★ 的情况下,无缝实现单点登录; 能 2. C/S 应用的单点登录 ★★★★★ 单点登录 (SSO, Single 特色功 3.认证信息透传模式单点登录 ★★ Sign-On) 能 4.公安 PKI/PMI 模式下单点登录 1.纯客户端模式 客户端 2.浏览器模式 3.API 接口方式 双机热备和配置信息的自动同步 性能扩展 支持负载均衡 1.内置了动态域名客户端; 2.内置域名解析系统; 3.DNS 自动分配机制,确保客户端用 户登录集中认证网关之后,透明使用 内网 DNS 服务。 4.内置了静态路由机制;
支持 WEB 方式升级,管理操作简单 易用性、 友好性 用户自己定制界面 1.本地日志,日志分级,日志分类 日志审计 2、分布式日志存储 3.和 TrustMore 内容审计和行为重放系 统系统配合使用 特色功 能 ★★★★★ 特色功 能 ★★ 特色功 能 特色功 能 特色功 能 特色功 能 ★★★★ ★★★★
网络配置
18?
H3C无感知认证技术白皮书 1概述 当下,各种智能终端层出不穷,特别是以iPhone、iPad等为代表的智能终端的流行,促使多媒体业务的应用急剧增加、人们对移动无线上网体验的要求也越来越高。无线通信市场竞争的热点逐渐从技术转向了用户体验上。用户体验的好坏,逐渐成为人们无线上网选择的重要标准。 目前Portal认证是WLAN网络的主流接入认证方式之一。当采用Portal认证时,用户每次接入WLAN网络时都需要在Portal页面中输入用户账号/密码信息,操作较为不便。特别是当前使用WiFi网络的iPad、智能手机等终端设备越来越多,而此类终端受到屏幕、浏览器等资源限制,在Portal页面中输入用户名/密码等信息时极为不便,使得用户上网体验大打折扣。针对此问题,H3C特提出Portal无感知认证方案,大大简化Portal接入流程,提升用户的接入体验。 Portal无感知认证方案具备“一次认证,多次使用”用户体验。如果开通了Portal无感知认证,用户首次登陆Portal页面成功认证后,后续只要关联WLAN SSID就可以用轻松实现认证上网。
2首次接入,Portal认证并绑定MAC 在Portal无感知认证解决方案,用户首次接入WLAN网络认证流程如图1所示。具体认证流程如下: 步骤1、用户连接WLAN网络SSID,并通过DHCP服务器获取IP地址信息。 步骤2、AC将监控用户的上网流量。 步骤3、当AC监控的用户流量达到阈值时,(例如流量阀值可设置为5分钟累积流量10KB),AC将向iMC UAM (负责对MAC地址进行绑定)服务器发起MAC 查询请求。 步骤4、iMC UAM服务器向AC返回查询结果:此终端MAC信息未绑定。(由于此终端用户是首次连接WLAN网络,所以iMC UAM服务器中无此终端的MAC地址信息) 步骤5、AC将按照正常Portal流程向终端重定向Portal认证页面。 步骤6、用户终端输入用户名、密码信息发起Portal认证。 步骤7、AC与Portal服务器之间完成Portal认证。 步骤8、AC向iMC UAM服务器发起MAC绑定请求,MAC绑定服务器完成此用户终端MAC地址信息的与Portal账号的绑定。
Ibot8.0产品白皮书 第 1 页共47 页
目录 1.前言 (6) 1.1.目的范围 (6) 1.2.产品定位 (6) 1.3.名词术语 (6) 2.公司简介 (8) 2.1.小I简介 (8) 2.2.小I发展历程 (8) 3.产品概述 (11) 3.1.智能机器人 (11) 3.2.产品架构 (11) 3.1.1.机器人前端平台 (12) 3.1.2.智能服务引擎平台 (12) 3.1.3.机器人统一管理平台 (14) 3.1.4.知识库组织说明 (14) 3.3.产品演进路径 (17) 3.4.技术特点 (17) 3.5.技术指标 (18) 3.6.扩展接口 (19) 3.7.优势特性 (19) 4.产品主要功能 (22) 4.1.基础智能问答 (22) 4.2.前端用户功能 (23) 4.2.1 Web机器人功能 (23) 4.2.2微信机器人功能 (28) 4.2.3IM机器人功能 (31) 4.2.4短信机器人功能 (33) 4.3.后台主要管理功能 (35) 4.3.1知识管理功能 (35) 4.3.2服务管理功能 (36) 4.3.3渠道管理功能 (36) 4.3.4素材管理功能 (37) 4.3.5语音管理功能 (38) 4.3.6运维管理功能 (38) 4.3.7系统管理功能 (39) 5产品实施 (39) 5.1.实施流程 (39)
5.2.知识建设 (39) 5.2.1 语言知识库构建 (40) 5.2.2 业务知识库构建 (41) 5.3.二次开发 (42) 5.4.系统部署 (44) 5.4.1 常规部署 (45) 5.4.2 扩展部署 (45) 5.4.3 集群部署 (47)
LINGHANG TECHNOLOGIES CO.,LTD 中科分布式存储系统技术白皮书 北京领航科技 2014年04
目录 1、产品介绍 (3) 1.1 云时代的政府/企业烦恼 (3) 1.2 产品服务与定位 (3) 2、中科分布式存储应用场景 (4) 2.1 目标用户 (4) 2.2 产品模式 (4) 2.2.1高性能应用的底层存储 (4) 2.2.2企业级海量数据存储平台 (5) 2.2.3容灾备份平台 (5) 2.3 使用场景 (5) 2.3.1企业级数据存储 (5) 2.3.2私有云计算 (6) 2.3.3海量数据存储 (6) 2.3.4大数据分析 (7) 2.3.5 容灾备份 (7) 3、中科分布式存储核心理念 (8) 4、中科分布式存储功能服务 (9) 4.1 存储系统功能介绍 (9) 4.2 WEB监控管理端功能介绍 (11) 5、系统技术架构 (12) 5.1 系统总体架构 (12) 5.2 系统架构性特点 (12) 5.3 技术指标要求 (14) 5.4 系统软硬件环境 (15)
1、产品介绍 1.1云时代的政府/企业烦恼 ?政府、企事业单位每天产生的大量视频、语音、图片、文档等资料,存在 哪里? ?政府、企事业单位各个部门、各个子系统之间强烈的数据共享需求如何满 足? ?大数据如何高效处理以达到统一存取、实时互动、价值传播、长期沉淀? ?您是否为单位电子邮箱充斥大量冗余数据还要不断扩容而烦恼? ?政府、企事业单位的私有云平台为什么操作和数据存取这么慢? ?政府、企事业单位的存储平台数据量已接近临界值需要扩容,但上面有重 要业务在运行,如何能在线扩展存储空间? ?公司的每一个子公司都有重要客户数据,要是所在的任何一个城市发生大 规模灾难(比如地震)数据怎么办? ?政府、企事业单位有一些历史数据平时比较少用到,但又不能丢掉,占用 了大量的高速存储资源,能否移到更廉价的存储设备上去? 1.2产品服务与定位 大数据时代已经来临! 面对数据资源的爆炸性增长,政府、企事业单位每天产生的海量视频、语音、图片、文档和重要客户数据等资料如何有效存取?政府多个部门之间、公司和子公司之间、公司各个部门之间强烈的数据共享需求如何满足?如果
华为 802.1X 技术白皮书
华为802.1X技术 白皮书
华为 802.1X 技术白皮书
目录
1 2 概述...........................................................................................................................................1 802.1X 的基本原理..................................................................................................................1 2.1 体系结构...........................................................................................................................1 2.1.1 端口 PAE...................................................................................................................2 2.1.2 受控端口 ...................................................................................................................2 2.1.3 受控方向 ...................................................................................................................2 2.2 工作机制...........................................................................................................................2 2.3 认证流程...........................................................................................................................3 3 华为 802.1X 的特点.................................................................................................................3 3.1 基于 MAC 的用户特征识别............................................................................................3 3.2 用户特征绑定...................................................................................................................4 3.3 认证触发方式...................................................................................................................4 3.3.1 标准 EAP 触发方式 .................................................................................................4 3.3.2 DHCP 触发方式 .......................................................................................................4 3.3.3 华为专有触发方式 ...................................................................................................4 3.4 TRUNK 端口认证 ..............................................................................................................4 3.5 用户业务下发...................................................................................................................5 3.5.1 VLAN 业务 ................................................................................................................5 3.5.2 CAR 业务 ..................................................................................................................5 3.6 PROXY 检测 ......................................................................................................................5 3.6.1 Proxy 典型应用方式 ................................................................................................5 3.6.2 Proxy 检测机制 ........................................................................................................5 3.6.3 Proxy 检测结果处理 ................................................................................................6 3.7 IP 地址管理 ......................................................................................................................6 3.7.1 IP 获取 ......................................................................................................................6 3.7.2 IP 释放 ......................................................................................................................6 3.7.3 IP 上传 ......................................................................................................................7 3.8 基于端口的用户容量限制...............................................................................................7 3.9 支持多种认证方法...........................................................................................................7 3.9.1 PAP 方法 ...................................................................................................................7 3.9.2 CHAP 方法 ...............................................................................................................8 3.9.3 EAP 方法 ..................................................................................................................8 3.10 独特的握手机制...............................................................................................................8 3.11 对认证服务器的兼容.......................................................................................................8 3.11.1 EAP 终结方式 ..........................................................................................................8 3.11.2 EAP 中继方式 ..........................................................................................................9 3.12 内置认证服务器...............................................................................................................9 3.13 基于 802.1X 的受控组播.................................................................................................9 3.14 完善的整体解决方案.....................................................................................................10 4 典型组网.................................................................................................................................10
1
一、背景概述 (2) 1、研发背景 (2) 2、产品定位 (2) 二、产品方案功能介绍 (2) 1、设计理念 (2) 2、系统拓扑图 (2) 3、系统构架描述 (2) 4、系统功能介绍 (2) 5、产品方案规格 (2) 四、产品方案应用介绍 (3) 1、应用模式 (3) 2、应用流程 (3) 3、应用环境 (3) 五、产品方案特性介绍 (3) 1、技术特性 (3) 2、应用特性 (3) 3、系统特性 (3) 六、产品方案技术介绍 (3) 1、相关技术 (3) 2、技术指标 (4) 七、产品方案测评数据 (4) 八、实施运维方式说明 (4) 九、售后服务方式说明 (4)
一、背景概述 1、研发背景 介绍用户需求背景、该产品所在行业信息化建设背景、产品所涉及的相关政策简述等,以说明该产品的研发背景,以及满足的客户需求。 2、产品定位 为了满足客户以上需求,该产品具有什么功能,能够解决什么问题。 二、产品方案功能介绍 1、设计理念 该产品方案的设计思路。 2、系统拓扑图 使用统一的图标,制作系统拓扑图。 3、系统构架描述 按照系统的构成,分类对系统进行描述。 4、系统功能介绍 详细阐述系统的主要功能。 5、产品方案规格 产品方案不同的规格介绍,或者对产品方案技术规格的介绍。
四、产品方案应用介绍 1、应用模式 该产品方案包括的应用模式类型,或者针对不同类型客户的解决方案。 2、应用流程 该产品方案的应用流程。 3、应用环境 描述该产品所运行的应用环境。 五、产品方案特性介绍 1、技术特性 主要是性能先进性、功能齐全性、系统兼容性、技术稳定性等。 2、应用特性 主要是部署灵活性、可扩展性、管理方便性、易用性等。 3、系统特性 对系统的主要特性进行描述,根据产品不同和竞争优势的不同而不同。 六、产品方案技术介绍 1、相关技术 主要应用技术的介绍,以及该技术的优势。
车辆管理系统技术白皮书 (Version 2.8.1.9.1) 2019 年 11 月
目录 第一章南航大车辆管理系统概述 (3) 1.1南航大车辆管理系统概述 (3) 1.2南航大车辆管理系统解决方案 (3) 第二章系统构架 (4) 2.1系统架构 (4) 2.2系统体系结构 (4) 第三章南航大车辆管理系统模块组成 (5) 3.1PC端 (5) 3.1.1 用户管理中心 (5) 3.1.2 基础数据管理 (6) 3.1.3 通行证管理 (7) 3.1.4 违章管理 (7) 3.1.5 大数据中心 (8) 3.1.6 外来车辆管理 (8) 3.1.7 信息管理中心 (8) 3.1.8 黑名单管理 (8) 3.2移动端 (9) 3.2.1 车主角色部分 (9) 3.2.2 管理员角色部分 (10) 第四章系统部署要求 (11) 4.1系统要求 (11)
第一章南航大车辆管理系统概述 1.1 南航大车辆管理系统概述 南航大车辆管理系统是一套便捷的校园车辆管理系统。该系统同时满足了校内教职工、学生与校外人员车辆通行证办理的需求,用户只需打开手机访问系统即可完成通行证的办理。管理人员可以通过移动端和PC端完成在线审核,该系统与校内原有抬杆系统无缝对接,最大限度保留老系统。 1.2 南航大车辆管理系统解决方案 系统有PC端和移动端两个入口。PC端只允许管理员登录;移动端管理员与用户都可以登录。管理员可以在PC端对各项基础数据进行维护、在线审核通行证办理申请、审核违章等,亦可在移动端查看、审核通行证办理申请;用户在移动端完成通行证的申请、违章上报、非机动车辆信息登记、查看个人信息等操作。 用户包括校内教职工、学生与社会人员,教职工可凭个人账号直接登录;社会人员可以通过手机号在线注册使用,二者互不影响。?无缝对接学校原有系统,降低改造门槛 为了保证用户通行证数据能在学校原有的抬杆系统中使用,该项目中额外增加了一个数据交换系统。通过该它完成新老系统的数据交换,用户无需对现有设备、系统进行升级改造,使原有系统能够继续使用。
华为eSight 产品技术白皮书 文档版本 01 发布日期 2016-05-30 华为技术有限公司
版权所有? 华为技术有限公司2015。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.doczj.com/doc/6c13196944.html,
目录 1 执行摘要 (4) 2 简介 (5) 3 解决方案 (7) 3.1 eSight系统介绍 (7) 3.1.1 关键技术特点 (7) 3.2 统一监控、诊断和恢复解决方案 (12) 3.2.1 性能采集和预测分析 (12) 3.2.1.1 整体方案介绍 (12) 3.2.1.2 关键技术点介绍 (13) 3.2.1.3 功能约束 (13) 3.2.1.4 典型场景应用 (14) 3.2.2 告警信息采集和通知 (14) 3.2.2.1 整体方案介绍 (14) 3.2.2.2 关键技术点介绍 (15) 3.2.2.3 功能约束 (16) 3.2.2.4 典型场景应用 (17) 3.2.3 网络故障诊断(智真会议) (17) 3.2.3.1 整体方案介绍 (17) 3.2.3.2 关键技术点介绍 (17) 3.2.3.3 功能约束 (18) 3.2.3.4 典型场景应用 (18) 3.2.4 通过设备配置备份数据快速修复故障 (20) 3.2.4.1 整体方案介绍 (20) 3.2.4.2 关键技术点介绍 (20) 3.2.4.3 功能约束 (21) 3.2.4.4 典型场景应用 (21) 3.3 安全管理解决方案介绍 (21) 4 结论 (22) A 缩略语 (23)
酒店行业p o r l认证解 决方案 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
目录 一、项目背景 随着智能手机、平板电脑成为出行的必备,酒店业为提升品牌管理与服务意识,纷纷上马无线网络项目,为住客提供优质的WIFI接入服务。 酒店无线网络建设分为两种情况:酒店自建无线网络与电信运营商圈地建设。 电信运营商“圈地建设”是指前期电信运营商自己投入费用(包括无线网络设备费用、安装调试维护费用、互联网接入费用及前期与酒店接触所产生的营销费用等),利用酒店现有的经营场所免费给酒店建设无线网络,作为酒店方面不需要出具任何费用,就能让客人使用电信运营商建设的无线网络,后期电信运营商会向使用无线网络的客人收取上网费用以达到收回前期各种费用投资并在今后实现持续盈利的目的。 从表面上来看,受益的确实是酒店方,既不用自己出任何费用又解决了让客人无线上网的实际需求,何乐而不为呢部分酒店都爽快地签订了“圈地协议”,但运营一段时间后发现运营商的无线网络存在着严重的弊端:
1)“圈地建设”具有排它性,如果A电信运营商先与酒店方商谈达成协议,则会要求酒店方不准再让B电信运营商在酒店方的场所建设无线网络,从 而达到自己利益的最大化。这样就导致了三大运营商的用户交叉,酒店宣 称提供无线服务,但B、C运营商的用户却无法接入(运营商无线只向本 品牌的用户服务),导致B、C运营商的用户投诉; 2)“圈地建设”不向酒店方收取任何费用,但不代表不向入住的客人收取费用,电信运营商往往是在市场推广初期以促销的方式让入住酒店的客人免 费体验无线网络,也不排除某些电信运营商一开始就会向入住酒店的客人 收取上网费用,这正印证了“没有免费的午餐”这句话啊!向客人收取费 用的标准会以电信运营商的不同而不同,计费方式是按上网所产生的流量 与上网所产生的时间两种。“圈地建设”所看重的正是酒店方的经营场所 内入住的客人群体,这个客人群体才是能产生利润的根本之根本,酒店只 是一个所谓的“载体”。收费WIFI对用户来说,形同虚设,不得已要使 用网络而留下对酒店形象的负面影响。(双重收费引发客人不满,导致客 人投诉酒店且有可能下次不再入住该酒店) 鉴于此,酒店方希望自建无线网络免费向所有住客开放,以获取住客对酒店服务的确定(毕竟基础设施是一次性投入,而客户却是永久的)。 二、需求分析 一个完整的无线网络包含如下几部分:宽带接入、网关、交换机、AP (AC)。一个酒店如果实现全面覆盖,根据规模不同,少则十几万,多则几十万,也是一笔不小的投资。此非本方案要探讨的问题,酒店希望通过低成本的方案既实现无线网络覆盖,同时又能100%自主拥有自己的无线管理发布平台。
协同办公(OA)系统技术白皮书 石河子开发区汇业信息技术有限责任公司 2013年1月28日 版权声明:本文档及相关附件的版权属于石河子开发区汇业信息技术有限责任公司,任何组织或个人未经许可,不得擅自修改、拷贝、分发或以其它方式使用本文档中的内容。
目录 1. 文档描述 (1) 2. 产品概述 (1) 2.1 系统用例 (1) 2.2 系统结构 (2) 3. 系统功能 (3) 3.1 基础功能 (3) 3.2 高级功能 (3) 3.3 定制接口 (3) 4. 产品特点 (3) 4.1 可用性 (3) 4.2 安全与保密性 (4) 4.3 可维护性 (4) 4.4 可移植性 (4) 4.5 技术特点 (4) 5. 系统运行环境 (5) 5.1 服务器环境 (5) 5.2 客户端环境 (5) 6. 成功案例 (6)
1. 文档描述 该文档主要描述协同办公(OA)系统的整体方案与技术实现方式,帮助使用者了解产品功能与技术特性及应用环境需求,具体的功能与操作方式描述请参见以下文档:《协同办公(OA)系统操作手册》、《协同办公(OA)系统用户手册》等。 2. 产品概述 协同办公(OA)系统是采用Internet/Intranet通信基础,以客户端Web浏览器为展现方式、以“工作流”为引擎、以“知识文档”为容器、以“信息门户”为窗口,使企事业单位内部人员方便快捷地共享信息,高效地协同工作;改变过去复杂、低效的手工办公方式,实现迅速、全方位的信息传递、知识采集、文档处理,为企业的管理和决策提供科学的依据。在传统OA的基础应用上,可供企事业机构自行灵活的定义符合自身需求的管理工作流程、知识目录架构、信息门户框架,以更便捷、更简单、更灵活、更开放的满足日常办公需求。并可根据实际需要定制开放接口实现其他系统与本系统间共享数据或调用本系统相关功能生成业务数据。 2.1 系统用例 本系统为企事业单位提供信息交流、文件传递、流程审批、知识文档共享的多功能平台,可以实现邮件、文件柜、信息公告、单位新闻等基础信息交流功能,并可实现电子审批(出差、上报文件、申请)的归档管理与经验总结、学习分享的无形财富管理功能。
安全认证网关Web系统开发规范 v1.1 电子政务外网电子认证办公室 2010年12月
目录 1规范描述 (1) 2开发常见问题 (2) 2.1如何保证应用用户与SSL连接用户的一致性? (2) 2.2http与https进行切换时应用如何保持用户session? (2) 2.3采用可选验证时,应用如何判断用户是否提交了证书? (3) 3应用接口 (4) 3.1接口描述 (4) 3.2接口实例 (5) 3.2.1Asp脚本示例 (5) 3.2.2JSP脚本示例 (6) https://www.doczj.com/doc/6c13196944.html,的示例 (8) https://www.doczj.com/doc/6c13196944.html,的C#脚本示例 (11)
SSL安全网关能够对用户的数字证书进行验证,在浏览器与Web服务器之间建立安全加密通道,可以为Web应用系统提供用户身份认证和数据保密的功能。为了充分利用SSL安全网关的安全功能,保证系统可操作性和性能,实现系统与安全网关的顺利结合,在Web应用系统的开发过程中应注意以下几点: ?系统中的用户标志设置必须以用户数字证书中的标志为基础。 ?用户身份的获取必须以安全网关提供为准,用户身份从cookie中获取,系统 可以去掉登录页面。 ?在使用超级连接时尽可能使用相对链接,禁止使用HTTP的绝对链接本地服 务,否则无法访问,本地服务用户只能通过HTTPS访问。 ?避免使用协议的特有功能,保持HTTP与HTTPS的通用性。 ?不得使用KOAL_开头的cookie作为有用信息,否则会被过滤。 ?避免使用过多的cookie信息,建议不要超过1000字节。 ?对于网页中参数的传递尽可能以POST方式,避免GET方式。 ?在网页美观的前提下,保证网页的简洁性,尽量减少网页中的帧数和资源数 目(图片等),提高SSL的连接性能。 ?减少使用重定向功能,避免使用多重重定向功能。 ?系统提供统一的固定端口对外提供服务,避免使用动态及多个端口。 ?对每个网页都必须对获取的用户身份cookie与应用保存的用户session值进 行对比,防止另一个用户使用未关闭的IE进行访问。 ?若网页包含多框架或多窗口,则网页内容的获取应统一由HTTPS方式获取, 避免混用其他方式(HTTP,about:blank空页面等)获取,否则会提示网页包含不安全内容。
白皮书
文档控制/Document Control 文档属性 模板修改记录 文档修改记录 审阅记录 分发
目录 第一章传统BPM面临的问题和挑战 (3) 1.1IT需要支撑业务在频繁的调整和优化 (3) 1.2传统BPM严重割裂业务 (3) 1.3对于复杂的中国特色企业管理的有效支撑 (3) 1.4高可扩展性和高性能的挑战 (4) 1.5移动端的挑战 (4) 第二章LBPM解决之道 (4) 2.1提出非常6+1接口规范来规约业务系统(去业务化解决方案) (4) 2.2不干预任何业务以避免割裂业务 (5) 2.3长期关注复杂的中国特色企业管理 (5) 2.4从底层架构就支持业务流程的高可扩展和高性能 (5) 2.5充分支持跨浏览器 (6) 第三章为何要使用LBPM? (6) 3.1快速应对市场和业务的频繁变化和调整 (6) 3.2业界性价比最高的BPM (7) 3.3多种手段提升业务系统与LBPM之间高效通讯 (7) 3.4完善的监控机制来保障快速跟踪和分析问题 (8) 第四章LBPM产品核心架构概述 (9) 4.1LBPM流程虚拟机 (10) 4.2LBPM流程引擎 (10) 4.3LBPM流程应用 (10) 4.4LBPM流程扩展服务 (10) 4.5LBPM集成引擎 (11) 第五章LBPM产品功能概述 (11) 5.1流程建模平台 (11) 5.1.1对接业务系统全局配置 (12) 5.1.2创建流程模板 (12) 5.1.3节点绑定业务表单 (13) 5.1.4业务字段映射配置 (13) 5.1.5节点的事件监听器配置业务逻辑 (14) 5.2流程运行平台 (15) 第六章LBPM流程分析平台 (16) 附录A 非常6+1参考 (17) 附录B BPM思想流派参考 (17)
身份认证网关G 程序员手册 吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.
目录 1受保护应用如何取得证书信息 (3) 1.1证书主题 (3) 1.2证书序列号 (3) 1.3证书颁发者主题 (4) 1.4证书起始有效期 (4) 1.5证书终止有效期 (4) 1.6整张证书的Base64编码 (5) 1.7用户客户端IP (5) 1.8设备名称 (6) 1.9认证方式 (6) 1.10用户权限 (6) 1.11用户帐号 (7) 1.12用户口令 (7) 1.13默认权限 (7) 1.14获取DN中email项的值 (8) 2 吉大正元信息技术股份有限公司
1受保护应用如何取得证书信息 受保护的应用可以在HTTP Header中接收身份认证网关系统中传递过来的证书信息,要注意的是这里只能接收用户在应用管理中选定的证书信息项。获取到的头信息涉及到中文的时候需要进行转码。具体取证书信息的方法如下: 1.1 证书主题 由于证书主题中可能含有中文,所以在取回主题信息后要进行中文转码 JSP中的获取方法: String DN = new String(request.getHeader("dnname").getBytes( "ISO8859-1"),"UTF-8"); ASP中的获取方法: info = Request.ServerV ariables("HTTP_DNNAME") 1.2 证书序列号 JSP中的获取方法: String SN = request.getHeader("serialnumber") ASP中的获取方法: info = Request.ServerV ariables("HTTP_SERIALNUMBER") 3 吉大正元信息技术股份有限公司
UTrust SSO统一身份认证和单点登录平台技术白皮书 Version 4.0 北京神州融信信息技术有限公司 https://www.doczj.com/doc/6c13196944.html,
目录 1为什么需要单点登录 (3) 2单点登录技术 (4) 3UTRUST SSO简介 (4) 4UTRUST SSO功能 (5) 4.1.SSO单点登录 (6) 4.1.1基于B/S结构的应用系统单点登录 (6) 4.1.2基于C/S结构的应用系统单点登录 (7) 4.1.3与Windows域结合的单点登录 (7) 4.2.统一身份管理 (7) 4.2.1.多种身份认证方式 (7) 4.2.2.统一用户身份认证 (7) 4.2.3.统一用户身份管理 (8) 4.3.统一授权管理 (9) 4.3.1.访问资源管理 (9) 4.3.2.访问策略管理 (9) 4.3.3.分级授权管理 (9) 4.4.统一审计 (9) 4.5.安全管理 (10) 5UTRUST SSO特点 (10) 6UTRUST SSO解决方案 (12) 1、部署UTrust SSO (12) 2、应用系统整合 (13) 3、门户集成方案 (13) 4、UTrust SSO实施效益 (15)
1 为什么需要统一认证和单点登录 企事业经过多年的信息化建设,已经形成了一大批比较成熟的应用系统,其涉及的应用面覆盖了企事业的大部分生产或业务,政府部门包括办公系统,人事系统,财务系统、信息管理系统等,对于企业还有生产调度系统、劳资管理系统、设备管理系统、PDM或ERP系统等。 由于历史的原因,各应用系统在开发的初期都是独立进行的,造成了彼此之间操作上的割裂和数据之间通信的割断。每一个系统都需要用户输入用户名和密码才能登录。随着业务的发展,企事业将来会增加到几十个应用系统在网上运行。尤其对于一些权限较高或是涉及业务较多的用户,如果每一个系统都需要他们进行密码的验证,那么用户使用系统的不便性是可想而知的。因此经常会有一些用户将多个系统设置成同一密码或是将记不住的密码写在纸上贴在桌子上,这样,对业务系统的访问存在着极大的安全隐患,使一些别有用心的工作人员有机会利用他人密码登录系统,进行非法操作,也会给发生重大事故后的责任追查带来困难。 并且随着企业内控要求的加强,需要企业内部应用系统加强密码管理,每一个应用系统都需要在三个月内更换一次密码,记不住密码变得经常发生。而系统管理员的也被拖入了繁琐的重置用户密码的工作之中,无形中增加了管理员的Help Desk工作。 针对于上述情况,企事业单位需要建设一个单点登录平台,通过一次认证登录后就可访问所有有权访问的应用系统,避免频繁登录,并且能够保证用户身份的合法性和唯一性,对于应用系统的访问建立一套完整的安全防护和用户管理机制,当然在IT信息化规划初期建立这一平台是较好的考虑,以解决如下问题: ?如何避免记忆多个密码? ?如何避免频繁登录? ?如何确保用户身份的唯一性,确保系统访问的安全性? ?如何减少help-desk花费在用户上的时间? ?如何为新建系统架构统一用户身份和认证平台? ?如何对企业各应用系统的访问进行监控和跟踪,确保访问的安全性? ?如何不更改用户应用程序的情况下实现上述需求? ?如何在异构的环境中实现上述的需求?
深度操作系统 服务器产品技术白皮书 武汉深之度科技有限公司
目录 一、概述 (2) 二、深度操作系统服务器版 (3) 三、技术指标 (4) 四、应用需求 (6) 4.1 通用服务器应用 (6) 4.2 小型机替换 (6) 4.3 国产化应用 (7) 五、产品特点 (9) 六、技术特色 (10) 七、产品对比 (11) 八、应用场景 (13) 九、典型案例 (14) 9.1 国家工商总局法人库项目 (15) 9.2 国家工商总局商标局灾备项目 (16) 9.3国土资源部信访系统 (17) 9.4典型用户 (18) 十、产品资质 (19)
一、概述 深度操作系统将全球领先的技术和创新带入政府信息化建设和企业级信息技术基础架构,是当今国内增长最快的操作系统之一。许多政府和企业用户由于其易用性和可扩展性而选择深度操作系统,信息部门和运维部门则更重视深度操作系统提供给桌面终端的稳定性、安全性和灵活性。因为完全开放源代码和自下而上的自主研发,深度操作系统可以快速、轻松的增强和定制,而无需依赖国外厂家的产品维护周期。 深度操作系统服务器版提供对国产处理器与服务器的良好兼容,全面支持国产主流数据库、中间件和应用软件,并通过了工信部安全可靠软硬件测试认证,符合“自主可控”战略目标的要求,可以为国内电子政务、信息化管理等应用提供全国产一体化的架构平台。 深度操作系统服务器版通过对全生态环境的支撑,以及多应用场景解决方案的构建,能够满足企业级用户对服务器高稳定性、高可靠性、高可用性的要求。
二、深度操作系统服务器版 深度操作系统服务器版软件,是深度科技发布的符合POSIX系列标准和兼容LSB标准的服务器操作系统产品,广泛兼容各种数据库和应用中间件,支持企业级的应用软件和开发环境,并提供丰富高效的管理工具,体现了当今Linux服务器操作系统发展的最新水平。 深度操作系统服务器版软件,以安全可靠、高可用、高性能、易维护为核心关注点:基于稳定内核,对系统组件进行配置和优化,提升系统的稳定性和性能;在加密、认证、访问控制、内核参数等多方面进行增强,提高系统的整体安全性;提供稳定可靠的业务支撑,以及高效实用的运维管理,从容面对快速的业务增长和未来挑战。 产品分类产品名称 服务器操作系统产品深度操作系统服务器版软件(x86_64平台) 深度操作系统龙芯服务器版软件(龙芯平台,3B2000/3B3000等)深度操作系统申威服务器版软件(申威平台,1600/1610/1621等) 服务器应用软件产品 深度日志分析软件 深度高可用集群软件
JIT 身份认证网关G v3.0产品白皮书 Version 1.0 有意见请寄:info@https://www.doczj.com/doc/6c13196944.html, 中国·北京市海淀区知春路113号银网中心2层 电话:86-010-******** 传真:86-010-******** 吉大正元信息技术股份有限公司
目录 1前言 (2) 1.1应用场景描述 (2) 1.2需求分析 (3) 1.3术语和缩略语 (4) 2产品概述 (4) 2.1实现原理 (4) 2.1产品体系架构组成 (5) 2.1.1工作模式和组件描述 (6) 3产品功能 (8) 3.1身份认证 (8) 3.1.1数字证书认证 (8) 3.1.2终端设备认证 (9) 3.1.3用户名口令认证 (10) 3.2鉴权和访问控制 (10) 3.2.1应用访问控制 (10) 3.2.2三方权限源支持 (11) 3.3应用支撑 (11) 3.3.1支持的应用协议和类型 (11) 3.4单点登录 (12) 3.5高可用性 (12) 3.5.1集群设定 (12) 3.5.2双网冗余 (13) 3.5.3双机热备 (13) 3.5.4负载均衡 (13) 4部署方式 (14) 4.1双臂部署模式 (14) 4.2单臂部署模式 (14) 4.3双机热备部署 (15) 4.4负载均衡部署 (16) 4.5多ISP部署方式 (17) 5产品规格 (17) 5.1交付产品和系统配置 (17) 5.1.1交付产品形态 (17) 5.1.2系统配置和特性 (18) 6典型案例 (19) 6.1某机关行业 (19)
6.2 .................................................................................................................... 电子通讯行业 20 1 前言 1.1 应用场景描述 随着信息化的快速发展,网络内信息应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患: 一.没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在: ●口令易被猜测; ●口令在公网中传输,容易被截获; ●一旦口令泄密,所有安全机制即失效; ●后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全,管 理非常困难。 二.数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP 协议为明文方式传输,而Internet 的开放性造成传输信息存在着被窃听、被篡改的安全问题。 三.操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟需解决的一个严重问题