身份認證E網關

1、JIT身份認證網關Gv30 產品白皮書Version 1.0有意見請寄：.cn中國北京市海淀區(qū)知春路113號銀網中心2層 電話：86傳真：86大正元信息技術股份有限公司目錄 TOC o 1-5 h z HYPERLINK l bookmark45 o Current Document 前言2 HYPERLINK l bookmark48 o Current Document 應用場景描述2需求分析3 HYPERLINK l bookmark71 o Current Document 術語和縮略語4 HYPERLINK l bookmark

2、74 o Current Document 產品概述4 HYPERLINK l bookmark77 o Current Document 2.1實現原理4產品體系架構組成5 HYPERLINK l bookmark80 o Current Document 工作模式和組件描述6 HYPERLINK l bookmark89 o Current Document 產品功能8 HYPERLINK l bookmark92 o Current Document 身份認證8 HYPERLINK l bookmark95 o Current Document 數字證書認證8終端設備認證9 HYPERL

3、INK l bookmark100 o Current Document 用戶名口令認證10 HYPERLINK l bookmark103 o Current Document 鑒權和訪問控制10 HYPERLINK l bookmark106 o Current Document 應用訪問控制10 HYPERLINK l bookmark109 o Current Document 三方權限源支持11 HYPERLINK l bookmark112 o Current Document 應用支撐11 HYPERLINK l bookmark115 o Current Document 支持

4、的應用協(xié)議和類型11 HYPERLINK l bookmark124 o Current Document 單點登錄12 HYPERLINK l bookmark127 o Current Document 高可用性12 HYPERLINK l bookmark130 o Current Document 集群設定12雙網冗余13雙機熱備13負載均衡13 HYPERLINK l bookmark133 o Current Document 部署方式14 HYPERLINK l bookmark136 o Current Document 雙臂部署模式14 HYPERLINK l bookmar

5、k139 o Current Document 單臂部署模式14 HYPERLINK l bookmark142 o Current Document 雙機熱備部署15 HYPERLINK l bookmark145 o Current Document 負載均衡部署16多ISP部署方式17 HYPERLINK l bookmark148 o Current Document 產品規(guī)格17 HYPERLINK l bookmark151 o Current Document 交付產品和系統(tǒng)配置17 HYPERLINK l bookmark154 o Current Document 交付產品形

6、態(tài)17 HYPERLINK l bookmark157 o Current Document 系統(tǒng)配置和特性18 HYPERLINK l bookmark160 o Current Document 典型案例19 HYPERLINK l bookmark163 o Current Document 某機關行業(yè)19電子通訊行業(yè)6.2電子通訊行業(yè)201前言1.1應用場景描述隨著信息化的快速發(fā)展，網絡內信息應用以其高效、便捷的特點得到廣泛應 用，如網上證券、網上銀行、電子政務、電子商務、企業(yè)遠程辦公等。越來越多 的重要業(yè)務在網上辦理，越來越多的重要信息在網絡中傳輸，如何保護這些重要 資源的安全訪問以

7、及重要數據的安全流轉是網絡應用面臨的重要問題，但通常的 網絡應用都存在以下安全隱患：沒有有效的身份認證機制：一般都采用用戶名+ 口令的弱認證方式，這 種認證用戶的模式，存在極大的隱患，具體表現在：口令易被猜測；口令在公網中傳輸，容易被截獲；一旦口令泄密，所有安全機制即失效；后臺服務系統(tǒng)需要維護龐大的用戶口令列表并負責口令保存的安全，管 理非常困難。數據傳輸不安全：當前大多網絡應用所發(fā)放的數據包均是按照TCP/IP 協(xié)議為明文方式傳輸，而Internet的開放性造成傳輸信息存在著被竊聽、被篡 改的安全問題。操作抵賴：網絡應用將現實世界的實體操作轉化為虛擬世界的信息流， 信息流的可復制性對操作的唯

8、一性和可信性提出了挑戰(zhàn)，操作可以被抵賴成為網 絡應用亟需解決的一個嚴重問題1.2需求分析針對以上場景，需要建立一套安全防護系統(tǒng)，為用戶提供統(tǒng)一、安全的身份 認證服務，并根據用戶提交的身份不同而分配不同的權限，以達到權限最小化分 配。由于業(yè)務系統(tǒng)都是獨立部署，并且運行在不同的平臺上。因此，在確保業(yè)務 系統(tǒng)能夠獨立運行的前提下解決統(tǒng)一身份認證、統(tǒng)一授權的問題，需要滿足以下 的需求：應用保護由于應用的復雜性和多樣性，需要對使用不同協(xié)議的應用進行保護。除了支 持應用層的常用協(xié)議外，還要支持所有使用TCP、UDP協(xié)議的應用，甚至有些 時候還需要將整個IP全部對用戶開放。身份認證除了傳統(tǒng)的用戶名/ 口令認

9、證外、必須提供高強度的身份認證方式，如 PKI/CA數字證書等，以確保登錄的用戶確實為授權的個體，消除未授權用戶非 法訪問的風險。同時，要與用戶現有的用戶管理系統(tǒng)（如AD、LDAP、RADIUS 等）相結合，并能做到數據同步。在安全性要求更高的場合里，還需要對登錄用戶的硬件信息進行認證。訪問控制允許用戶定義合適的安全策略，可以有效保護對專用網絡系統(tǒng)及應用的訪 問，可以根據用戶的不同身份來確定其訪問權限。鏈路加密使用密碼技術和隧道協(xié)議來提供網絡的保密性、認證性及信息完整性。責任認定可以通過提供的個人信息及計算機硬件信息來綜合認證用戶的身份，并可以 記錄下其訪問應用的情況，實現不可抵賴特性。當出現

10、安全事故時，也可以確保 合法用戶不會被任何非法訪問事件所牽連。1.3術語和縮略語縮略語英文中文JIT UMSJIT User Manager System吉大正元統(tǒng)用戶管理系統(tǒng)JIT PMSJIT Privilege Manager System吉大正元權限管理系統(tǒng)CACertificate Authority數字證書中心。作為權威的第三方負責發(fā)放數字證書CRLCertificate Revoke List證書吊銷列表LDAPLightweight Directory Access Protocol輕量級目錄訪問協(xié)議OCSPOnline Certificate Status Protocol在

11、線證書狀態(tài)協(xié)議PKIPublic Key Infrastructure公鑰基礎設施RARegister Authority審核注冊中心SSOSingle Sign-on單點登錄SSLSecure Socket Layer安全套接層協(xié)議層。它是網景（Netscape）公司提出的基于WEB應用的安全協(xié)議2產品概述2.1實現原理吉大正元身份認證網關是提供內部網絡的接入控制以及對接入用戶進行強 身份認證和審計服務的產品，解決用戶使用應用系統(tǒng)時涉及的身份驗證、信息保 密、權限控制等安全問題。為網絡應用提供以下安全支撐服務：提供數字證書、用戶名口令、硬件信息等多種認證方式基于角色的動態(tài)用戶授權機制基于協(xié)議

12、、端口或ip的應用系統(tǒng)保護針對應用系統(tǒng)資源進行細粒度的權限控制高強度的傳輸鏈路加密對用戶接入應用系統(tǒng)的行為進行全方位監(jiān)控、追蹤和審計該產品基于開放的標準開發(fā)，具備良好的兼容性和可擴展性，全面支持PKI/CA （公鑰基礎設施）系統(tǒng)，實現邊界接入網絡安全的整體解決方案。產品部署在應用系統(tǒng)與終端用戶之間，真正做到了安全和應用的無縫連接， 更易于推廣。圖2-1圖2-1身份認證網關2.1產品體系架構組成應用端filter或接口應用端filter或接口圖2.1-1G網關體系架構圖2.1.1工作模式和組件描述正元身份認證網關支持主路和旁路兩種工作模式，這樣能更好的滿足用戶復 雜的應用接入環(huán)境和安全應用需求，

13、在應用安全和應用效率的側重點上用戶可以 自由的選擇。主路工作模式主路模式下用戶的業(yè)務訪問都必須經過身份認證網關，用戶只有通過身份認 證網關后才可以訪問到后臺的業(yè)務應用，這是一種業(yè)務應用安全需求至上的應用 模式，主路模式的優(yōu)點在于更強的訪問控制和應用網絡的地址結構保護。這種模 式的組件主要分為三個部分：網關服務端：負責用戶的集中身份認證和通信鏈路保護以及鑒權訪問控 制。網關客戶端：部署在用戶客戶端上，構建客戶端與網關服務端的認證橋 梁。應用端接口：解決應用訪問的二次認證和應用信息傳遞的開發(fā)接口，如 果用戶不關注二次認證和信息傳遞，則不需要。瀏覽器數字證書7W客戶端代理控件安全佳輸協(xié)議!應用系統(tǒng)1

14、身份認證網關應用系統(tǒng)2 V -1 * V 4g用系繃目錄服務器OCSP服務器ADRADIUS圖-1產品體系架構圖旁路工作模式旁路模式下身份認證網關只負責用戶的身份認證，用戶一旦通過身份認證后 其與業(yè)務的通信交互則與網關無關，這是一種應用效率至上的應用模式，旁路模 式的優(yōu)點在于更高效的集中身份認證效率，對應用訪問的瓶頸影響最小，這種模 式的組件主要分為四個部分：網關服務端：負責用戶的集中身份認證和鑒權信息傳遞。 客戶端API： C/S架構應用下的認證請求發(fā)起。應用端接口：負責轉發(fā)客戶端的認證請求到網關服務端。圖 -2 （B/S 應用）圖 -3 （C/S 應用）3產品功能3.1身份認證311數字證

15、書認證系統(tǒng)支持PKI/CA數字證書認證方式，對PKI全面支持，包括以下方面:用戶數字證書完整性驗證驗證證書基本信息，包括有效期、信任域、證書狀態(tài)。CRL更新系統(tǒng)支持動態(tài)更新CRL，并支持WEB站點下載、LDAP服務器下載、 及手工導入三種更新模式。支持OCSP證書驗證方式系統(tǒng)支持OCSP協(xié)議進行證書狀態(tài)驗證。支持標準的證書載體支持PKCS#12標準證書和各種具備標準CSP的硬件KEY。支持證書鏈支持由多級CA頒發(fā)的證書。支持單、雙向認證選擇系統(tǒng)不僅支持使用證書對服務器身份進行認證，也支持使用證書對客戶 端身份進行認證?？梢酝ㄟ^配置為單向、非強制雙向、雙向三種認證方 式，設置用戶是否需要提交證書

16、。支持多信任域認證同時支持多個證書頒發(fā)機構頒發(fā)的證書。兼容多家廠商證書系統(tǒng)基于開放標準開發(fā)，支持多種證書，包括國內所有區(qū)域CA。3.1.2終端設備認證系統(tǒng)能夠對接入客戶端設備特征進行認證，只有認證的設備才能成功接入。系統(tǒng)采用硬件特征碼標識接入終端設備，硬件特征碼包括：MAC地址和硬 盤序列號。如果開啟了硬件注冊功能，則用戶在訪問網關時，需提交個人的硬件 信息，由管理員審核通過后方可登錄網關。網關的主機綁定功能，強制用戶只能從指定主機接入網關才能夠成功。接入 主機的高可信度提高了應用訪問的安全性，同時，在確認該主機安全的情況下， 也絕對防止了非法用戶盜用用戶帳號后從其他主機訪問網關的非法行為。3

17、.1.3用戶名口令認證系統(tǒng)支持聯合吉大正元統(tǒng)一用戶管理系統(tǒng)（JIT UMS），可以通過連接UMS獲 取用戶賬號信息完成用戶認證操作，同時增加驗證碼機制防止惡意登錄。3.2鑒權和訪問控制3.2.1應用訪問控制正元G網關支持訪問控制模板設置，管理員可以通過配置策略模板，授權用 戶對應用系統(tǒng)的訪問，應用入門級控制可以配置以下幾種策略：全局默認策略控制當應用沒有配置具體的訪問控制策略時，網關通過全局默認策略進行訪 問控制，全局默認策略的優(yōu)先級最低。根據用戶認證方式控制可以根據用戶認證等級策略控制用戶對應用的訪問權限。認證等級分為 口令認證、數字證書認證、口令+數字證書認證。 根據數字證書DN規(guī)則控制管

18、理員可以根據用戶數字證書，設置DN項規(guī)則策略，限制某個或某一 群組用戶對應用的訪問。系統(tǒng)采用黑、白名單的形式設置策略，DN規(guī)則 配置靈活，支持通配符。根據時間段規(guī)則控制管理員可以根據時間段規(guī)則策略控制某一時間段內，允許訪問應用或者 禁止訪問應用根據IP地址規(guī)則控制管理員可以根據IP地址規(guī)則策略控制某一 IP地址或某一 IP區(qū)間段允許 訪問應用或者禁止訪問應用。根據用戶名控制管理員可以根據用戶名策略控制某一用戶允許或者禁止訪問應用3.2.2三方權限源支持正元G網關支持從JIT UMS （統(tǒng)一用戶管理系統(tǒng)）和JIT PMS （統(tǒng)一權限 管理系統(tǒng)）中獲取應用入門級或細粒度訪問控制權限。其業(yè)務流程為：

19、用戶通過 身份認證網關的認證，網關連接UMS或PMS查詢該用戶在應用中的全局權限 設定，再配合網關自身的訪問控制策略模板統(tǒng)一的進行鑒權和訪問控制。3.3應用支撐3.3.1支持的應用協(xié)議和類型基于TCP/UDP的任意協(xié)議網關支持多種基于TCP/UDP的web或Client/Server結構的應用系統(tǒng)。管 理員只需通過簡單的管理接口在服務器上定義需要支持的應用，及配置好服務器 使用的端口。網關也支持多種使用動態(tài)端口的應用協(xié)議，比如FTP, TFTP, Oracle, SQL server等。這些特性使得網關能夠最大程度的滿足用戶的應用需求。靈活安全的應用服務定義在網關中，定義一個服務需要指定服務所

20、在的地址，端口，服務類型，應用 訪問控制規(guī)則(Application Access Control Rule)，關聯的客戶端應用程序，是否 隱藏服務，服務應用到的角色等。在地址的定義方式上，管理員有三種選擇：完整的域名、IP地址或者主機 名IP地址。這三種地址指定方式可以滿足多數應用的需求。在網關的服務定義中可以添加多個端口。這種方式滿足了那些在一臺服務器 上配置多個應用服務的應用需求，同時也可以部分的解決使用動態(tài)端口的應用系 統(tǒng)的需要。對于多臺服務器提供同一個服務的情況，管理員其實希望只讓用戶看到其中 的一個服務器即可，不必了解具體有多少服務器在同時提供服務。針對這種要求， 網關為每一個服務

21、提供了一個開關。根據這個開關的設置，網關就知道該給用戶 顯示哪個服務，而把其他的作為備份的服務器隱藏起來。3.4單點登錄系統(tǒng)支持多個應用系統(tǒng)之間的單點登錄，即一次登錄，多次使用。用戶通過 網關認證后，系統(tǒng)認證平臺通過安全Cookie機制維護該用戶的會話信息，用戶 登錄應用系統(tǒng)時，無需再次認證。極大的簡化了用戶登錄應用系統(tǒng)的步驟，使應 用更加流暢。在多臺G并行的應用環(huán)境下，如果一個用戶擁有訪問所有應用系統(tǒng)的權限， 那么該用戶只需要訪問一臺網關后面的一個應用即可實現全網關后應用的單點 登錄。3.5高可用性3.5.1集群設定G網關支持集群設定，加入集群的網關會自動同步配置和業(yè)務session信息，

22、這其中包括用戶認證信息和數據緩存等。3.5.2雙網冗余G網關支持橋模式的配置部署方式，可以很好的適應有雙網冗余災備考慮的 用戶網絡環(huán)境3.5.3雙機熱備網關內置雙機熱備系統(tǒng)，采用主備機模式，主機（處于工作狀態(tài)的機器）與 備機之間通過網口連接心跳線，用于監(jiān)聽對方機器是否處于正常工作狀態(tài)，當備 機發(fā)現工作機停止工作時，通過自己的雙機功能將主機的服務切換到備機，由備 機繼續(xù)提供服務。當主機恢復正常后，服務自動切回到主機。雙機熱備功能用于解決安全認證網關的單點故障問題，對后臺受保護的應用 系統(tǒng)提供更可靠的安全認證等服務。雙機熱備的G網關不僅同步配置信息，還包括業(yè)務日志信息。3.5.4負載均衡由于G網關

23、支持自身集群設定，故在與第三方負載均衡設備的配合下能有效 實現業(yè)務無間斷，即假設集群內有一臺設備宕機了也不會出現要求已連接用戶進 行二次重新認證的情況。4部署方式4.1雙臂部署模式圖4-1雙臂模式部署圖直連部署模式將網關以串接的方式連入網絡中，成為內外網通訊的唯一路 徑。4.2單臂部署模式圖4-2單臂模式部署圖單臂部署模式將網關與內外網絡的接口連接在一個交換機上。它的接入無需 修改現有的網絡拓撲，可根據需求靈活接入。但是，用戶通過網關訪問被保護服 務的數據流還是主路的，是必須要經過網關的。4.3雙機熱備部署圖4-3雙機熱備部署圖主機-備機模式：當主機DOWN掉后，備機自動切換成主機提供服務，保

24、證 網絡連通性。4.4負載均衡部署圖4-4負載均衡部署圖三方負載模式：1、正元G網關支持集群設定，同步業(yè)務session和配置信息，可與三方負 載均衡設備聯合部署，由三方負載均衡設備進行業(yè)務流負載分配。4.5多ISP部署方式身牛版務器0A身牛版務器0A酗*.Web圖4-5多ISP部署圖在用戶的網絡接入環(huán)境中，如果存在電信、網通以及移動等多個ISP來提 供網絡服務，不同的運營商提供不同的網絡鏈路以及IP地址，這樣用戶在跨運 營商訪問網關時的速度會很慢。針對這種情況，網關提供多個外網接口，可分別配置為不同運營商提供的IP 地址。這樣用戶在訪問網關時，由客戶端組件計算選擇較好的鏈路進行連接，保 證客

25、戶端的連接速度，保證用戶使用體驗的質量。5產品規(guī)格5.1交付產品和系統(tǒng)配置5.1.1交付產品形態(tài)產品名稱產品形態(tài)客戶端支持的操作系統(tǒng)類型產品名稱產品形態(tài)客戶端支持的操作系統(tǒng)類型| 吉大正元身份認證網關 硬件WindowsXP/2003/Vista/Win7表5.1.1-1交付產品表512系統(tǒng)配置和特性參數型號G2000-EG3000-EG5000-E設備高度1u3u3u網卡2千兆電口4千兆電口4千兆電口2千兆光口電源容量單電源單電源冗余電源電源功耗300W300W500W設備自重6 Kg10 Kg尺寸規(guī)格390*430*44(mm)500*430*132(mm)6典型案例6.1 某機關行業(yè)機關外兩員我均街欲據艾挾區(qū)機關內網內網|眼務粗機關外兩員我均街欲據艾挾區(qū)機關內網內網|眼務粗圖6.1-1某機關網絡中的典型應用上圖為身份認證網關在某機關網絡內部的應用拓撲。在機關內部辦公網上有 許多應用系統(tǒng)，需要對內部辦公人員提供服務，同時也有部分系統(tǒng)需要給其下屬 單位的部分人員開放相應的