当前位置:文档之家 › 身份认证E网关_3.0产品白皮书

身份认证E网关_3.0产品白皮书

  • 格式:doc
  • 大小:1.22 MB
  • 文档页数:22

下载文档原格式

  / 22

合集下载

国家电子政务外网 电子认证服务体系白皮书

国家电子政务外网 电子认证服务体系白皮书

国家电子政务外网电子认证服务体系白皮书国家电子政务外网数字证书中心目录1概述 (1)1.1政务CA的使命 (2)1.2政务CA的服务宗旨 (2)1.3政务CA的愿景 (2)1.4管理与服务机构 (3)2全国认证服务体系建设 (5)2.1电子认证服务体系建设情况 (5)2.2基础设施建设情况 (6)3电子认证服务开展情况......................................................... 错误!未定义书签。

3.1业务开展情况.............................................................. 错误!未定义书签。

3.2证书服务和管理.......................................................... 错误!未定义书签。

3.3合规及运维情况.......................................................... 错误!未定义书签。

3.4服务能力与优势.......................................................... 错误!未定义书签。

3.5应用案例...................................................................... 错误!未定义书签。

4服务内容.. (6)4.1证书服务 (13)4.2密码服务 (13)4.3业务网络接入 (13)4.4安全身份认证网关 (14)4.5单点登录服务系统 (15)4.6签名验证服务系统 (17)4.7电子签章系统 (19)4.8时间戳服务系统 (19)4.9本地用户注册系统 (21)1概述国家电子政务外网数字证书中心(政务CA)是经国家密码管理局核准并授予电子政务电子认证服务资质,由国家电子政务外网管理中心电子认证办公室管理的面向各级政务部门及其所属单位,以数字证书方式为主,提供数字认证、授权管理和责任认定等网络信任体系领域的专业化服务机构。

北信源网络接入控制管理系统白皮书v3.0

北信源网络接入控制管理系统白皮书v3.0

北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。

与此同时,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。

TISSON 天网VPN安全网关 技术白皮书

TISSON 天网VPN安全网关 技术白皮书
5
天网网络流量优化系统技术白皮书
智能 QOS 分配技术,包括固定带宽分配、最大带宽分配,优先级管理等, 确保系统资源的合理分配和数据的安全传输;
6
天网网络流量优化系统技术白皮书
规格参数表
表 1 天网 VPN 安全网关的产品规格
目标应用
中小型企事业,企业分支机构
机箱
固定接口
配置口(CON)/10/100M 以太网口(WAN+LAN+DMZ)
支持应用层的管理控制,包括 HTTP 的域名过滤,文件名过滤(如图
片,java)关键字过滤,控制 IM 程序,如 msn,QQ 等,抵抗恶意
脚本的攻击。
虚拟主机、端口映射功能,支持本地回流。
有效抵抗 DOS/DDOS、扫描、嗅探、同步等多种攻击,可自定义
TCP/UDP/ICMP 的 Flood 攻击检测策略,控制单用户最大连接数,
天网 VPN 安全网关提供有强大的防火墙功能,能够充分保护内部网络,既防御 外来侵犯、来自公共网络的攻击,也可控制内部用户对公共网络的访问方式并记 录其上网行为。支持多条不同种类的外网线路接入,可通过流量管理实现不同服 务的 Qos 保证,包括实现带宽的自动均衡,选择最佳路由以及线路的冗余备份 等功能,使企业更为有效而安全地利用有限的网络资源,实现网络功能的最大化, 并有效提高员工的工作效率。
天讯瑞达先后与国内多所重点高校结成战略伙伴关系,联合成立研发中心, 为深入开展技术研究、产品开发、系统测试等工作提供了坚实基础,所共同研发 的新项目,分别得到了多项科技专项资金的支持。
通过科技、创新、服务使客户满意是我们永远的追求!
3
天网网络流量优化系统技术白皮书
天网 VPN 安全网关,由天讯瑞达通讯技术有限公司专门针对现代中小型企 事业、企业分支机构的实际需求而精心研制,它将防火墙、内容过滤、访问控制、 智能路由、动态寻址等企业至关重要的安全功能集于一身,同时具备性能优越、 安全可靠、低成本的 VPN 功能,可基于全动态 IP 的广域网搭建统一的 IPSEC VPN 网络,为多至 100 个远程办公室或者移动用户提供远端接入服务,并可通 过 VPN 转发功能使办公人员通过办公网络安全地转接到其他 VPN 网络中,从 而在满足企业日常有序办公的前提下,为企业网络的远程互访与信息数据的传输 提供安全经济的增值功能,如架构内部 ERP 系统、OA 系统、财务软件、视频 系统的远程运行和内部免费 VOIP 电话及视频会议等。

深网DEEPNET系列产品白皮书

深网DEEPNET系列产品白皮书
商标信息
是深腾信息注册商标,受商标法保护。未经深腾公司书面许可不得擅自拷贝、传播、 复制、泄露本商标的全部或部分内容。
获得帮助
安全相关资料可以访问公司网站: 本产品相关最新信息可以访问网址: 本产品的技术支持可以拨打电话:400-618-0158 产品支持电子邮件地址:support@
1、1 互联网访问带来的威胁
上班时间员工娱乐、购物、聊天、在线游戏、炒股、招聘网站一一在上班时间里浏览和工作无关的网站, 降低员工工作效率,增加企业运营成本。
上班时间利用 BT、FTP、MP3 、网络蚂蚁、视频、音乐一一挤占带宽,造成网络性能恶化,导致正常业 务无法顺利开展,影响企业的竞争力。
工作时间在线博彩、知识产权、色情网站、传播谣言、BBS 论坛和邪教一一通过单位网络有意或无意的非 法上网行为,给企业造成潜在法律隐患。
公司信息
深腾信息技术有限公司 总部 地 址:上海市共和新路 2449号泛欧现代大厦12层 邮编:200072 销售咨询:021-51806180 技术支持:400-618-0158 传 真:021-51820549
-2-
目录
1、互联网概述................................................................................................................................................................... 4 2、功能介绍 ...................................................................................................................................................................... 5

天融信-NGFWARES白皮书

天融信-NGFWARES白皮书

服务热线:400­610­5119/800­810­5119
3
l 强大的应用代理模块
NGFWARES 系列产品说明
具有透明应用代理功能,支持 FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、 WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、 DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-(S、M、R)、RADIUS-1645、PPTP、 SQLNET—1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID (TCP、UDP)PCANYWHERE、IGMP、GRE、PPPOE、IPV6 等协议,可以实现文件级过滤。
本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有, 未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形 式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失, 天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考, 有关内容可能会随时更新,天融信恕不承担另行通知之义务。
l 深层的内容安全控制功能
防火墙支持对 HTTP 的 URL 过滤,通过将 HTTP 的命令分为读、写和执行来控制命令 的使用,达到命令级的过滤;也支持对 FTP 命令和传输文件的过滤,通过将文件资源和 URL 资源应用到访问规则中来控制对文件或 URL 的请求,支持对移动代码如 Vbscript、 JAVA script、ActiveX、Applet 的过滤,支持页面关键词过滤,支持对邮件主题、发件 人、收件人、附件类型和大小的控制功能。

北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。

与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。

格尔SSL安全认证网关产品白皮书

格尔SSL安全认证网关 产品白皮书 V2.0 上海格尔软件股份有限公司 2004年12月 上海格尔软件股份有限公司 1保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。

 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。

 3 ) 可以从第三方,以无附加保密要求方式获得的信息。

 上海格尔软件股份有限公司 2目 录 1系统概述.............................................................................................31.1信息传输的安全需求.................................................................31.2一般SSL连接存在的问题..........................................................32系统原理.............................................................................................52.1SSL简介..................................................................................52.2格尔SSL安全代理系统原理......................................................53格尔SSL安全认证网关系统结构...........................................................73.1网络拓朴结构...........................................................................73.2格尔SSL安全认证网关系统组成和结构......................................84格尔SSL安全认证网关功能................................................................115第三方产品兼容.................................................................................135.1第三方CA兼容......................................................................135.2第三方设备厂商兼容...............................................................136格尔SSL安全认证网关产品特点.........................................................137运行环境...........................................................................................158产品相关特性....................................................................................158.1硬件特性...............................................................................158.2物理特性...............................................................................158.3电气特性...............................................................................168.4工作环境...............................................................................16上海格尔软件股份有限公司 31 系统概述 1.1 信息传输的安全需求 随着互联网络的发展,越来越多的网络应用系统从专用或内部网扩展到互联网上。

pSafetyLink技术白皮书

力控®工业网络安全防护网关pSafetyLink®技术白皮书北京三维力控科技有限公司版权和所有权声明北京三维力控科技有限公司对本白皮书持有版权并保留一切权利。

未经许可,任何人不得以摘录、复印、剪切等手段复制本文档中的文字、图表、数据的部分和全部。

否则,本公司将在适当情况下追究相应责任。

商标声明pSafetyLink为北京三维力控科技有限公司的注册商标。

本白皮书中涉及的其它所有品牌和产品名称均为相关公司的商标或注册商标。

目 录1. 概述 (4)1.1. 工业网络安全形势 (4)1.2. 常规网络安全产品的不足 (4)2. pSafetyLink产品简介 (6)3. 应用环境 (6)3.1. 基于OPC的应用 (7)3.2. 基于Modbus、DNP3的应用 (8)4. 产品架构 (8)4.1. 硬件架构 (8)4.2. 软件架构 (9)5. 主要技术 (10)5.1. 安全技术 (10)5.1.1. 内核安全技术 (10)5.1.2. 网络隔离技术 (10)5.1.3. 测点访问控制 (10)5.1.4. 身份认证 (11)5.2. 可靠性技术 (11)5.3. 系统性能 (11)6. 主要功能 (12)6.1. 开发工具PSL‐Config (12)6.2. 监视工具PSL‐Monitor (13)6.3. 通信标准 (13)7. 硬件平台 (13)7.1. 隔离硬件结构 (14)7.2. 硬件设计 (14)7.3. 硬件优化 (14)7.4. 生产流程控制 (14)7.5. 硬件规格 (14)1.概述1.1.工业网络安全形势在现代工业企业的信息系统中,由各种DCS、PLC、测控设备、SCADA构成的过程控制系统位于底层车间,负责完成基本的生产控制。

随着企业信息化建设的发展,迫切要求实现过程控制系统与上层管理信息系统之间互通、互联,完成经营管理层与车间执行层的双向信息流交互,使企业对生产情况保证实时反应,消除信息孤岛与断层现象。

SURE时间戳服务器技术白皮书

SURE时间戳服务器SURE Time Stamping Authority Server技术白皮书山东确信信息产业股份有限公司ShanDong Sure Information Industry Inc二零一零年知识产权声明:本白皮书中的内容是山东确信信息产业股份有限公司SURE时间戳服务器技术说明书。

相关权利归山东确信信息产业股份有限公司所有。

白皮书中的任何部分未经本公司许可,不得转印、影印或复印及传播。

山东确信信息产业股份有限公司山东省济南市高新区舜华路2000号舜泰广场11号楼北区2层电话:(86-0531)6659 0661传真:(86-0531)8811 3370网址:电子信箱:********************目录第一章产品概述 (4)1.1公司简介 (4)1.2产品体系介绍 (5)1.3产品背景 (5)第二章术语及定义 (6)第三章 SURE时间戳服务器概述 (7)3.1概述 (7)3.2网络部署 (7)3.3功能描述 (8)1、服务器端功能(TSA Server) (8)2、客户端应用接口(TSA Client API)功能 (9)3.4产品特点 (9)第四章产品运行环境 (11)4.1硬件环境 (11)4.2软件环境 (11)1、 TSA Server (11)2、客户端接口(Client API) (11)第五章技术指标 (12)第一章产品概述随着全球经济一体化速度的加快和信息安全领域的快速发展,这对我国所有的企业来说面临着机遇和挑战。

信息化浪潮的到来,提高了企业的工作效率,增强了核心竞争力,为企业能够迅速把握住相关信息并转化为经济效益提供了有效地帮助。

目前,各单位的日常办公与网络密不可分,网上办公系统(OA)、ERP、财务系统、审批系统等逐步与日常业务密切结合,成为日常工作中不可或缺的一部分。

但网络欺诈、信息泄密、信息抵赖等问题普遍存在,对信息安全提出了严峻的考验。

EIP信息门户-EIP产品白皮书企业e化解决方案 精品

EIP产品白皮书----企业e化解决方案2001年10月北京科讯博联科技有限责任公司公司简介北京科讯博联科技有限责任公司(Beijing Info-Portal Technology Co.,Ltd.)是一家注册于中关村科技园区的高新技术企业,主营业务是应用服务提供、软件研发、软件销售、系统集成。

公司拥有众多的技术开发、服务人员,具备国际、国内大中型软件项目开发经验和软件产品研发的实力,并可为用户提供从前期系统架构设计到后期技术培训等一系列应用服务。

面对全球化的市场与竞争,国内各级政府、企、事业机构结合自己的实际情况越来越多地提出了电子化、信息化、知识化的不同层次的e化需求。

科讯博联与北京太科信息系统工程有限公司联合推出的“企业e化解决方案”,面向用户电子化、信息化的需求,将先进管理经验与先进Internet技术实现有效整合,同时结合我们的专业级应用服务及丰富的经验,为用户提供了一套突破时空限制、讲求效率与成本、适应网络经济时代要求的有效解决方案。

科讯博联所有员工秉承“专业、信赖、创新”的企业理念,努力提供先进科技与完美服务,配合用户的事业发展脚步,共同携手前进。

我们的目标:优秀的软件服务提供商及软件供应商。

目录1. 为什么选择科讯博联EIP (5)2. 科讯博联EIP系统特点 (6)2.1.强大的系统功能 (6)2.2.用户操作简易性 (6)2.3.完善的系统安全机制 (6)2.4.良好的可扩展性 (7)2.5.数据备份支持 (7)3. 科讯博联EIP的功能模块 (8)3.1.OA(办公自动化) (8)3.1.1. 传统的操作和EIP/OA的区别 (8)3.1.2. 科讯博联EIP版本构成及区别 (8)3.1.2.1. 版本构成及区别 (8)3.1.3. 客户定制端 (9)3.1.3.1. 功能结构图 (9)3.1.3.2. 定制 (9)3.1.3.2.1. 组织架构 (10)3.1.3.2.2. 角色定制 (10)3.1.3.2.3. 表单定制 (11)3.1.3.2.4. 动作定制 (11)3.1.3.2.5. 流程定制 (12)3.1.3.2.6. 元素定制 (12)3.1.3.3. 流程管理 (13)3.1.3.3.1. 流程分类 (13)3.1.3.3.2. 流程发布 (13)3.1.3.3.3. 流程终止 (14)3.1.3.3.4. 流程统计 (14)3.1.3.3.5. 流程检查 (14)3.1.3.4. 系统管理 (15)3.1.3.4.1. 专用功能授权 (15)3.1.3.4.2. 查询功能授权 (15)3.1.3.4.3. 系统模块授权 (15)3.1.3.4.4. 系统密码更改 (16)3.1.3.4.5. 上传/下载 (16)3.1.3.5. 帮助系统 (17)3.1.4. 运行器端 (17)3.1.4.1. 系统结构图 (17)3.1.4.2. 表单流程 (17)3.1.4.2.1. 激活 (17)3.1.4.2.2. 登录 (17)3.1.4.2.3. 登录后的界面 (18)3.1.5. 管理中心(服务器端) (19)3.1.5.1. 系统激活 (19)3.1.5.2. 系统配置 (20)3.1.6. 流程监控器 (20)3.1.6.1. 流程监控器的功能 (20)3.1.6.2. 流程监控器的配置 (20)3.1.6.3. 流程监控器的使用 (21)4. 系统运行环境 (23)4.1.EIP系统要求 (23)4.1.1.企业版 (23)4.1.2.大企业版 (23)4.1.3.企业集团版 (24)4.1.4 行业用户版 (25)4.1.5. ASP中心版(不限用户数) (25)4.2.系统架构图(见附图) (26)5. 成功案例 (27)5.1.生产制造业 (27)5.2.营销业 (27)5.3.教育业 (27)5.4.行政团体 (27)5.5.高新技术产业 (28)6. 科讯博联售后服务方案 (29)7.联系我们 (29)1. 为什么选择科讯博联EIPEIP是Enterprise Information Portal的缩写,简称企业信息入口。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

JIT 身份认证网关G v3.0产品白皮书Version 1.0有意见请寄:************.cn中国·北京市海淀区知春路113号银网中心2层电话:86-010-******** 传真:86-010-********吉大正元信息技术股份有限公司目录1前言 (2)1.1应用场景描述 (2)1.2需求分析 (3)1.3术语和缩略语 (4)2产品概述 (4)2.1实现原理 (4)2.1产品体系架构组成 (5)2.1.1工作模式和组件描述 (6)3产品功能 (8)3.1身份认证 (8)3.1.1数字证书认证 (8)3.1.2终端设备认证 (9)3.1.3用户名口令认证 (10)3.2鉴权和访问控制 (10)3.2.1应用访问控制 (10)3.2.2三方权限源支持 (11)3.3应用支撑 (11)3.3.1支持的应用协议和类型 (11)3.4单点登录 (12)3.5高可用性 (12)3.5.1集群设定 (12)3.5.2双网冗余 (13)3.5.3双机热备 (13)3.5.4负载均衡 (13)4部署方式 (14)4.1双臂部署模式 (14)4.2单臂部署模式 (14)4.3双机热备部署 (15)4.4负载均衡部署 (16)4.5多ISP部署方式 (17)5产品规格 (17)5.1交付产品和系统配置 (17)5.1.1交付产品形态 (17)5.1.2系统配置和特性 (18)6典型案例 (19)6.1某机关行业 (19)6.2 .................................................................................................................... 电子通讯行业201 前言1.1 应用场景描述随着信息化的快速发展,网络内信息应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。

越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患:一.没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在:●口令易被猜测;●口令在公网中传输,容易被截获;●一旦口令泄密,所有安全机制即失效;●后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全,管理非常困难。

二.数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP 协议为明文方式传输,而Internet 的开放性造成传输信息存在着被窃听、被篡改的安全问题。

三.操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟需解决的一个严重问题1.2 需求分析针对以上场景,需要建立一套安全防护系统,为用户提供统一、安全的身份认证服务,并根据用户提交的身份不同而分配不同的权限,以达到权限最小化分配。

由于业务系统都是独立部署,并且运行在不同的平台上。

因此,在确保业务系统能够独立运行的前提下解决统一身份认证、统一授权的问题,需要满足以下的需求:➢应用保护由于应用的复杂性和多样性,需要对使用不同协议的应用进行保护。

除了支持应用层的常用协议外,还要支持所有使用TCP、UDP协议的应用,甚至有些时候还需要将整个IP全部对用户开放。

➢身份认证除了传统的用户名/口令认证外、必须提供高强度的身份认证方式,如PKI/CA数字证书等,以确保登录的用户确实为授权的个体,消除未授权用户非法访问的风险。

同时,要与用户现有的用户管理系统(如AD、LDAP、RADIUS 等)相结合,并能做到数据同步。

在安全性要求更高的场合里,还需要对登录用户的硬件信息进行认证。

➢访问控制允许用户定义合适的安全策略,可以有效保护对专用网络系统及应用的访问,可以根据用户的不同身份来确定其访问权限。

➢链路加密使用密码技术和隧道协议来提供网络的保密性、认证性及信息完整性。

➢责任认定可以通过提供的个人信息及计算机硬件信息来综合认证用户的身份,并可以记录下其访问应用的情况,实现不可抵赖特性。

当出现安全事故时,也可以确保合法用户不会被任何非法访问事件所牵连。

1.3 术语和缩略语2 产品概述2.1 实现原理吉大正元身份认证网关是提供内部网络的接入控制以及对接入用户进行强身份认证和审计服务的产品,解决用户使用应用系统时涉及的身份验证、信息保密、权限控制等安全问题。

为网络应用提供以下安全支撑服务:➢提供数字证书、用户名口令、硬件信息等多种认证方式➢基于角色的动态用户授权机制➢基于协议、端口或IP的应用系统保护➢针对应用系统资源进行细粒度的权限控制➢高强度的传输链路加密➢对用户接入应用系统的行为进行全方位监控、追踪和审计该产品基于开放的标准开发,具备良好的兼容性和可扩展性,全面支持PKI/CA(公钥基础设施)系统,实现边界接入网络安全的整体解决方案。

产品部署在应用系统与终端用户之间,真正做到了安全和应用的无缝连接,更易于推广。

图2-1 身份认证网关2.1 产品体系架构组成应用端filter或接口图2.1-1G网关体系架构图2.1.1 工作模式和组件描述正元身份认证网关支持主路和旁路两种工作模式,这样能更好的满足用户复杂的应用接入环境和安全应用需求,在应用安全和应用效率的侧重点上用户可以自由的选择。

2.1.1.1 主路工作模式主路模式下用户的业务访问都必须经过身份认证网关,用户只有通过身份认证网关后才可以访问到后台的业务应用,这是一种业务应用安全需求至上的应用模式,主路模式的优点在于更强的访问控制和应用网络的地址结构保护。

这种模式的组件主要分为三个部分:◆网关服务端:负责用户的集中身份认证和通信链路保护以及鉴权访问控制。

◆网关客户端:部署在用户客户端上,构建客户端与网关服务端的认证桥梁。

◆应用端接口:解决应用访问的二次认证和应用信息传递的开发接口,如果用户不关注二次认证和信息传递,则不需要。

图 2.1.1.1-1 产品体系架构图2.1.1.2 旁路工作模式旁路模式下身份认证网关只负责用户的身份认证,用户一旦通过身份认证后其与业务的通信交互则与网关无关,这是一种应用效率至上的应用模式,旁路模式的优点在于更高效的集中身份认证效率,对应用访问的瓶颈影响最小,这种模式的组件主要分为四个部分:◆网关服务端:负责用户的集中身份认证和鉴权信息传递。

◆客户端API:C/S架构应用下的认证请求发起。

◆应用端接口:负责转发客户端的认证请求到网关服务端。

图 2.1.1.2-2(B/S应用)图 2.1.1.2-3(C/S应用)3 产品功能3.1 身份认证3.1.1 数字证书认证系统支持PKI/CA数字证书认证方式,对PKI全面支持,包括以下方面:●用户数字证书完整性验证验证证书基本信息,包括有效期、信任域、证书状态。

●CRL更新系统支持动态更新CRL,并支持WEB站点下载、LDAP服务器下载、及手工导入三种更新模式。

●支持OCSP证书验证方式系统支持OCSP协议进行证书状态验证。

●支持标准的证书载体支持PKCS#12标准证书和各种具备标准CSP的硬件KEY。

●支持证书链支持由多级CA颁发的证书。

●支持单、双向认证选择系统不仅支持使用证书对服务器身份进行认证,也支持使用证书对客户端身份进行认证。

可以通过配置为单向、非强制双向、双向三种认证方式,设置用户是否需要提交证书。

●支持多信任域认证同时支持多个证书颁发机构颁发的证书。

●兼容多家厂商证书系统基于开放标准开发,支持多种证书,包括国内所有区域CA。

3.1.2 终端设备认证系统能够对接入客户端设备特征进行认证,只有认证的设备才能成功接入。

系统采用硬件特征码标识接入终端设备,硬件特征码包括:MAC地址和硬盘序列号。

如果开启了硬件注册功能,则用户在访问网关时,需提交个人的硬件信息,由管理员审核通过后方可登录网关。

网关的主机绑定功能,强制用户只能从指定主机接入网关才能够成功。

接入主机的高可信度提高了应用访问的安全性,同时,在确认该主机安全的情况下,也绝对防止了非法用户盗用用户帐号后从其他主机访问网关的非法行为。

3.1.3 用户名口令认证系统支持联合吉大正元统一用户管理系统(JIT UMS),可以通过连接UMS获取用户账号信息完成用户认证操作,同时增加验证码机制防止恶意登录。

3.2 鉴权和访问控制3.2.1 应用访问控制正元G网关支持访问控制模板设置,管理员可以通过配置策略模板,授权用户对应用系统的访问,应用入门级控制可以配置以下几种策略:●全局默认策略控制当应用没有配置具体的访问控制策略时,网关通过全局默认策略进行访问控制,全局默认策略的优先级最低。

●根据用户认证方式控制可以根据用户认证等级策略控制用户对应用的访问权限。

认证等级分为口令认证、数字证书认证、口令+数字证书认证。

●根据数字证书DN规则控制管理员可以根据用户数字证书,设置DN项规则策略,限制某个或某一群组用户对应用的访问。

系统采用黑、白名单的形式设置策略,DN规则配置灵活,支持通配符。

●根据时间段规则控制管理员可以根据时间段规则策略控制某一时间段内,允许访问应用或者禁止访问应用●根据IP地址规则控制管理员可以根据IP地址规则策略控制某一IP地址或某一IP区间段允许访问应用或者禁止访问应用。

●根据用户名控制管理员可以根据用户名策略控制某一用户允许或者禁止访问应用3.2.2 三方权限源支持正元G网关支持从JIT UMS(统一用户管理系统)和JIT PMS(统一权限管理系统)中获取应用入门级或细粒度访问控制权限。

其业务流程为:用户通过身份认证网关的认证,网关连接UMS或PMS查询该用户在应用中的全局权限设定,再配合网关自身的访问控制策略模板统一的进行鉴权和访问控制。

3.3 应用支撑3.3.1 支持的应用协议和类型3.3.1.1 基于TCP/UDP的任意协议网关支持多种基于TCP/UDP 的web或Client/Server结构的应用系统。

管理员只需通过简单的管理接口在服务器上定义需要支持的应用,及配置好服务器使用的端口。

网关也支持多种使用动态端口的应用协议,比如FTP, TFTP, Oracle, SQL server等。

这些特性使得网关能够最大程度的满足用户的应用需求。

3.3.1.2 灵活安全的应用服务定义在网关中,定义一个服务需要指定服务所在的地址,端口,服务类型,应用访问控制规则(Application Access Control Rule),关联的客户端应用程序,是否隐藏服务,服务应用到的角色等。