认证访问控制墙技术白皮书.doc

资源描述

《认证访问控制墙技术白皮书.doc》由会员分享，可在线阅读，更多相关《认证访问控制墙技术白皮书.doc（76页珍藏版）》请在三一文库上搜索。

1、时代亿信认证访问控制墙时代亿信认证访问控制墙技术白皮书 VersionVersion 2.32.3 北京时代亿信科技有限公司目目录录 1. 总述总述.1 2. 系统架构与系统架构与技术原理技术原理.3 2.1 系统服务架构3 2.2 统一用户管理技术原理4 2.3 统一身份认证技术原理6 2.4 访问控制技术原理6 2.5 性能保障技术原理7 3. 产品分类产品分类.9 3.1 应用版9 3.2 网络版9 3.3 无线认证版10 4. 认证访问控制墙应用版认证访问控制墙应用版.11 4.1 认证访问控制墙应用版概述11 4.1.1 认证访问控制墙应用版简介11 4.1.2 主要功能模块简

2、介12 4.1.3 AWA支持哪些应用.14 4.2 AWA 的功能特点.15 4.2.1 完全自主知识产权15 4.2.2 快速部署15 4.2.3 开放的接口16 4.2.4 高强度的安全性16 4.2.5 分立的管理角色16 4.2.6 完善的日志审计16 4.2.7 丰富的安全策略17 4.2.8 证书管理18 4.2.9 高可用性19 4.2.10 应急访问19 4.3 AWA 能做什么？.19 4.3.1 CA中心19 4.3.2 企业认证中心22 4.3.3 应用系统单点登录24 4.3.4 用户身份统一管理29 4.3.5 统一权限管理31 4.4 AWA 的部署.32 4.4

3、.1 硬件设备部署32 4.4.2 网络部署图32 4.5 AWA 应用场景.34 4.5.1 多应用统一认证（SSO）.34 4.5.2 企业认证中心35 4.5.3 统一用户管理中心35 5. 认证访问控制墙网络版认证访问控制墙网络版.37 5.1 认证访问控制墙网络版概述37 5.1.1 认证访问控制墙网络版简介37 5.1.2 为什么需要AWN39 5.1.3 AWN支持哪些应用？.40 5.2 AWN 的功能特点.40 5.2.1 完全自主知识产权41 5.2.2 业务无关性41 5.2.3 标准化42 5.2.4 高强度的安全性42 5.2.5 按资源安全等级保护42 5.2.6

4、可集成性43 5.2.7 可扩展性43 5.2.8 面向多种资源的授权机制44 5.2.9 面向会话的访问审计44 5.2.10 简单易用性44 5.2.11 快速部署45 5.2.12 高可用性45 5.3 AWN 能做什么？.45 5.3.1 网络访问的认证和授权45 5.3.2 日志审计功能48 5.3.3 WEB资源的访问控制管理.49 5.3.4 C/S资源的访问控制管理50 5.3.5 细粒度的文件访问控制51 5.4 AWN 的部署.52 5.4.1 硬件设备部署52 5.4.2 网络部署图52 5.5 AWN 与应用系统的整合.55 5.5.1 与WEB系统集成.55 5.5.

5、2 与其他系统集成55 5.6 AWN 的应用场景.56 5.6.1 场景1 核心数据保护.56 5.6.2 场景2 集中账号管理.58 5.6.3 场景3 访问控制+细粒度域授权59 6. 认证访问控制墙无线版认证访问控制墙无线版.63 6.1 认证访问控制墙无线版概述63 6.2 认证访问控制墙无线版的功能.64 6.2.1 无线网络准入认证64 6.2.2 多SSID集中认证.64 6.2.3 来宾访客管理65 6.2.4 日志审计65 6.3 认证访问控制墙无线版的特点66 6.3.1 与AC设备无缝结合66 6.3.2 与企业目录无缝结合66 6.3.3 便捷的使用与管理67 6.3

6、.4 快速的系统部署68 6.3.5 用户授权和审计68 6.4 认证访问控制墙无线版的部署68 6.4.1 部署结构68 6.4.2 配置69 7. 成功案例成功案例.70 时代亿信认证访问控制墙技术白皮书第 1 页 1. 总述时代亿信认证访问控制墙是一款提供认证和访问控制的硬件设备，为企业 B/S 和 C/S 业务系统、网络设备、主机、数据库等企业资源，提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。产品能够满足不同企业集中认证、访问控制和安全管理的需求。认证访问控制墙通过网络层和应用层联动，采用网络层协议分析与应用层访问策略相结合的访问控制技术，形成用户

7、信息、协议号、目的 IP 地址、目的端口的用户身份动态资源访问控制策略；在不改动用户应用的前提下，通过协议分析，实现资源的细粒度访问控制；使用流量限速的差异化访问技术，克服传统只能针对应用进行 QoS 设定的缺陷，实现了用户身份与应用绑定的流量控制功能，提高系统性能；同时，本产品可应用到 WLAN 无线网络，实现基于无线网络的统一认证与访问控制。本产品已在中国电信总部 OA 统一认证与访问控制工程、中央国债统一认证及访问控制工程等项目中成功使用。认证访问控制墙着眼于应用层和网络层两个层面的认证与访问控制联动，为电信级企业或集团的各类用户和应用系统、主机、网络设备等资源提供

8、高性能的安全认证服务、安全接入与访问控制服务、安全管理服务、安全审计服务，详见下图。时代亿信认证访问控制墙技术白皮书第 2 页图时代亿信认证访问控制墙服务架构时代亿信推出的认证访问控制墙，是当前市场中唯一整合了 CA、动态口令、短信认证等多种身份认证技术、应用动态加密通道、网络流量差异化服务、网络层访问控制、应用代理、信息中转和推送、协议分析、URL 重写、内容过滤、内容重写、端到端加密通道、服务器插件信息提取等多项关键技术，综合提供身份统一管理、角色统一管理、资源统一管理、授权统一管理、身份统一认证、访问控制等功能的产品，能有效整合各种应用系统用户资源，增强应用资源安

9、全性，提高工作效率，降低沟通成本，是对多种信息安全技术、身份认证技术和访问控制技术的综合应用，可广泛满足用户的多种需求，而无须进行二次开发，快速部署和应用。时代亿信认证访问控制墙技术白皮书第 3 页 2. 系统架构与技术原理 2.1 系统服务架构认证与访问控制系统服务架构图：图认证与访问控制系统服务架构安全认证服务：整合现有网络系统的多种认证方式，如：用户名/口令、数字证书、动态令牌、短信认证、指纹认证等，在网络层和应用层针对不同用户采用差异化的认证方式。安全接入服务：通过安全的接入方式，整合各种异构的应用系统，实现全业务系统的统一认证和单点登录。访问控制服务：结合认证

10、服务，在网络层和应用层实现用户对应用系统、主机、网络设备的动态、差异化、细粒度访问控制。时代亿信认证访问控制墙技术白皮书第 4 页安全管理服务：系统的各类管理员通过安全管理服务完成对用户的统一管理、角色管理、资源管理、授权管理以及系统的管理维护，并能统一制定和下发访问控制策略。安全审计服务：通过系统的安全审计服务，实时监控系统的运行状况、用户认证和资源访问状况，对用户行为进行跟踪审计并形成各种审计报表。 2.2 统一用户管理技术原理用户及组织机构分级管理技术：尽管很多企业用户会配置专门的系统管理员，但随着用户数量的增多和组织机构的增加，单一的系统管理员难以胜任大量繁杂的

11、用户管理工作，使得系统难以维护，降低运行效率，造成系统用户开通的非必要延迟。通过采用分级管理机制，系统管理员可以创建任意多个专门管理员，并授权其管理范围，从而符合企业现有组织架构管理模式，减轻系统管理工作量，提供系统效率和响应速度。用户信息订阅技术：统一用户管理需要维持各个应用系统用户的统一性和唯一性，同时又必须保证一定的灵活性，满足各个应用系统对用户信息的不同要求。通过采用信息订阅技术，统一用户管理系统可以根据业务系统不同的要求提供不同的用户信息。多种用户同步技术：由于企业应用系统的用户存储方式多种多样，要求统一用户管理系统也必须支持多种同步技术，主要有：基于 SOAP

12、协议的同步技术，可以广泛支持各种数据库、AD 域系统和多种语言开发的应用系统，通过接口调用获取用户信息；基于 SSL 协议的同步技术，可以保密地传输用户数据；LDAP 复制技术，支持与 LDAP V3 标准的目录服务系统进行用户信息同步。时代亿信认证访问控制墙技术白皮书第 5 页多种用户同步技术类型：统一用户管理系统对用户信息的同步又可分为 Push 模式和 Fetch 模式，Push 模式下统一用户管理系统首先将用户增量变化信息放置到临时存储区中，然后通过 Web Service 接口将增量的变化信息推送到各个应用系统，各个应用系统利用自身的业务处理逻辑完成对用户增量信息变

13、化的处理。应用系统在完成处理之后向平台返回处理结果，平台根据各个系统的处理结果，最终完成对用户信息的变更；Fetch 模式下统一用户管理系统首先将用户增量变化信息放置到临时存储区中，并完成自身用户信息变更的处理操作。各个应用系统根据自身情况，定时的通过 Web Service 接口将用户的增量变化信息取回，利用自身处理逻辑完成用户信息的变更。用户同步安全技术：统一用户管理系统采用 WS Security 技术框架，保证系统在进行用户信息同步或用户数据传输过程中的安全。时代亿信认证访问控制墙技术白皮书第 6 页 2.3 统一身份认证技术原理统一认证采用 SAML 标准消息协议

14、，通过对用户身份凭证的统一管理，实现在用户各系统和资源间的单点登入和单点登出。在系统认证过程中使用基于 SOAP（简单对象访问）协议标准，实现登录请求的提交和认证结果的返回。采用 SAML 和 SOAP 协议，定义了用于安全服务之间传输安全信息的交换机制，实现不同安全服务系统之间的互操作性，提供了一种机制，使得用户可以在不同的安全服务系统之间交换认证和授权信息。用户系统和资源的安全接入主要采用插件（Plug-in）和支持 SSL 协议的反向代理技术，插件（Plug-in）技术通过在用户系统或资源中部署安全插件，实现用户系统资源的单点接入和防护。反向代理技术实现对用户客户端主机

15、访问受控系统和资源的代理，此方式无需修改用户系统就能实现用户系统和资源的安全接入。针对不同的应用场景，可灵活选用不同的安全接入方式。认证方式支持包括数字证书认证、动态令牌认证、短信认证、指纹认证和简单的用户名口令认证等主流方式，并实现同一用户可采用不同的认证方式获得不同访问权限，如访问一般系统使用口令认证，访问安全级别高的采用数字证书认证。 2.4 访问控制技术原理访问控制包括针对应用资源的实体访问控制和会话访问控制。实体访问控制是指控制用户能够访问哪些应用及资源，会话访问控制是指控制用户在应用会话过程中，能够执行哪些操作。时代亿信认证访问控制墙技术白皮书第 7 页认证

16、墙产品在进行实体访问控制时，使用自主研发的协议分析系统，对用户与资源间会话进行分析，通过 IP 和端口控制技术，结合用户认证完成后的身份信息进行协议分析，根据身份信息、IP 地址、端口等信息动态产生和删除包过滤规则，达到对设备的访问控制目的。认证墙产品针对受控资源使用的协议和提供的服务，可分别设置不同的访问控制策略。在进行会话访问控制时，认证墙产品会结合应用的会话协议进行分析。通过对应用协议的分析和提取，甄别用户操作行为，结合设定的授权策略，达到访问控制的目的。例如当用户访问 Windows 文件共享时，认证墙产品不仅能够控制用户对文件共享服务器的连接访问，还能控制到用户能

17、够访问哪个目录或者具体文件，并且能够控制用户能对这个目录或文件进行何种操作（读取、修改、重命名、删除、创建）。 2.5 性能保障技术原理为构建高性能的统一认证和访问控制系统，本系统基于一个高性能的协议树分析处理引擎，通过定制协议树规则模板，实现对特定协议的匹配分析，通过对协议数据的替换和数据包重组，实现认证、访问控制多个环节上的性能要求。系统在流量整形和控制上使用了数据分类算法 PRIO/CBQ，分类算法主要作用是可以对多种数据流区别对待。一旦数据包进入一个分类的队列规定，它就得被送到某一个类中分类，对数据包进行分类的工具是过滤器。过滤器会返回一个决定，队列规定就根据这个

18、决定把数据包送入相应的类进行排队。每个子类都可以再次使用它们的过滤器进行进一步的分类。直到不需要进一步分类时，数据时代亿信认证访问控制墙技术白皮书第 8 页包才进入该类包含的队列规定排队。除了能够包含其它队列规定之外，绝大多数分类的队列规定能够流量整形。时代亿信认证访问控制墙技术白皮书第 9 页 3. 产品分类认证访问控制墙从产品形态上分为应用版、网络版和无线版。应用版主要应用于 B/S、C/S 系统的统一用户管理、认证和访问控制；网络版主要应用于数据库、主机和网络设备的访问控制；无线版主要应用于 WLAN 无线网络的准入。 3.1 应用版应用版（简称 AWA）作为企业

19、用户管理、应用系统管理、统一认证和权限管理中心，以企业用户、B/S 和 C/S 系统为整合目标，实现统一认证、统一授权和访问控制。认证墙应用版管理员界面图 3.2 网络版网络版认证墙（简称 AWN）是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标，集成强身份认证、会话审计、集中管理功能的一体化硬件设备。可对企业内部用户应用时代亿信认证访问控制墙技术白皮书第 10 页访问、管理员维护等各类操作进行访问控制。AWN 基于包过滤及代理技术，可实现对 http、telnet、ssh、ftp、rdp 远程桌面、cifs 文件共享等应用协议的访问控制及会话审计。认

20、证墙网络版管理界面图 3.3 无线认证版无线认证版（简称 SpotFront）为用户的 WLAN 接入提供安全、方便、灵活的身份认证功能，实现对无线网络的保护以及用户安全域的划分，有效满足企业对无线网络的安全管理需求。无线认证墙可以和无线厂商控制器紧密配合，支持对多 SSID 分别进行网络准入以及，形成从身份认证、VLAN 划分、访客管理、日志审计、访问控制的综合解决方案。时代亿信认证访问控制墙技术白皮书第 11 页无线认证墙举例 4. 认证访问控制墙应用版 4.1 认证访问控制墙应用版概述 4.1.1 认证访问控制墙应用版简介时代亿信认证访问控制墙应用版（以下简称 AWA

21、产品）是新一代的应用系统认证及资源整合产品，可作为企业用户管理、应用系统管理、统一认证和权限管理中心，为 B/S、C/S 架构应用系统提供统一认证与单点登录功能，可配置多种认证方式，可管理各个应用系统用户账号，为应用系统提供账号管理、用户生命周期管理等功能。同时，内置的 CA 组件还可使 AWA 成为企业 CA 中心，为用户提供证书申请、证书审批、证书签发及证书认证等功能。时代亿信认证访问控制墙技术白皮书第 12 页 AWA 是一个针对 B/S、C/S 架构应用系统的强身份认证及资源整合解决方案，对各类信息系统均可提供统一认证、单点登录、用户授权和统一身份管理功能，可统一

22、制定企业安全策略，有效降低企业应用系统管理维护量，提高系统安全水平。 4.1.2 主要功能模块简介 1) 身份认证服务 AWA 可提供口令认证、证书认证、USB 智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式；支持 LDAP、AD、RADIUS 等外部认证源； 2) 统一认证中心认证墙应用版作为企业统一认证中心，为企业应用、主机、设备等提供多种认证接口，实现企业内部用户的统一身份认证；时代亿信认证访问控制墙技术白皮书第 13 页提供基于 SOAP、RADIUS、LDAP、NTLM、SOCKET 等协议的认证接口； 3) 统一用户管理提供组织机构和用户的统一管理，

23、整合分散在各个应用系统的用户基本信息及账号信息，实现跨应用、跨部门的用户生命周期全过程管理。可在一点操作，实现对各应用系统用户的注册、变更和注销等同步管理；支持用户的批量导入、导出服务；支持用户分级管理，用户可由本地管理员进行维护；支持用户属性扩展，可满足企业应用对用户属性的特定需求； 4) 统一权限管理基于角色的统一用户权限模型，兼容用户个人高级权限；整合企业内部资源，实现细粒度的权限划分和访问控制；支持角色的定义和管理；支持部门角色，方便以部门组织机构为单位，对所属用户进行统一授权； 5) 单点登录服务支持 API 插件、反向代理、客户端代理、HTTP HEADER

24、等多种方式，实现应用系统的单点接入；通过唯一的身份标识或用户身份关联映射，实现用户一次认证，即可自由访问有权限的应用系统；提供数据库适配器、LDAP 适配器、HTTP 适配器等方式实现用户身份关联映射信息的自动校验；提供应用系统 WEB 页面的内容过滤改写组件，自动修正页面中的无效链接，确保用户的有效访问；时代亿信认证访问控制墙技术白皮书第 14 页提供应用系统页面表单的自动分析组件，简化应用系统的单点接入配置工作； 6) 用户自服务提供用户自服务管理界面，方便用户自行完成应用系统相关关联映射、身份认证凭证（密码、用户证书）管理等操作，减少管理员负担； 7) 日志

25、审计提供对用户认证、访问、鉴权等操作，管理员各项维护管理操作的日志记录和实时监控。提供详尽的日志审计、报表分析及日志备份导出功能。 8) 企业级 CA 系统提供数字证书的申请、签发、下载、作废、更新等服务，遵循 PKI/CA 国际标准；提供 CRL、证书校验等服务；支持证书模版、证书扩展项定义；支持加密机/加密卡； 9) 公共服务为企业各类应用提供系统配置、组织机构、用户、证书、鉴权等相关的公共服务。 4.1.3 AWA 支持哪些应用 AWA 产品支持对以下应用进行身份认证与资源整合： B/S 模式应用系统模式应用系统 AWA 产品支持多种 WEB 服务器平台，如果只对业务系

26、统进行身份认证或单点登录，WEB 业务系统不需要做任何更改。 C/S 模式应用系统模式应用系统时代亿信认证访问控制墙技术白皮书第 15 页 AWA 支持 C/S 模式应用系统，可提供应用前置和插件 API，方便的对目前大部分 C/S 模式的应用程序进行身份认证和单点登录接入。 IT 基础设施基础设施 AWA 提供对 LDAP、AD 和关系型数据库的支持，可与用户当前 IT 基础设施无缝结合，充分发挥现有投资价值。经过简单的配置，可方便的实现用户信息导入、用户账号配置、用户同步以及分级管理。 CA 中心中心 AWA 产品内置 ETCA 组件，可提供数字证书注册、审批、签发和认证

27、功能，并具有分级管理能力。同时，AWA 提供对多种第三方 CA 系统的支持，包括 CTCA、CFCA 等。 4.2 AWA 的功能特点 4.2.1 完全自主知识产权 AWA 产品是时代亿信多年信息安全技术和行业经验积累所形成的新一代身份认证与资源整合产品，全部功能自主研发，具有完全的自主知识产权。在许多核心技术上深入研究，如动态通道、应用代理、信息中转和推送、URL 重写、内容过滤、端到端加密通道等，使这些技术成为行业领先技术。 4.2.2 快速部署 AWA 产品为硬件产品，针对应用对象和应用场景进行功能优化，大幅度减少了应用系统二次开发工作量，增强了系统的友好性和易用性，缩短了

28、企业部署时间和用户上手时间，为用户节省投资。时代亿信认证访问控制墙技术白皮书第 16 页 4.2.3 开放的接口为了支持技术的飞速发展，AWA 产品采用开放且可扩展的设计，通过使用国际和国内信息技术标准、信息安全国家标准及行业标准，可与多种应用系统、LDAP、AD、数据库进行用户信息、认证信息交互，并可集中收集日志信息，满足统一管理的需要。 4.2.4 高强度的安全性 AWA 产品能够提供完善的应用安全管理机制，通过高强度的密码策略或基于 USB Token、PKI 的认证机制、部件间的安全协议来保护应用系统的安全，在为用户提供完善的认证机制的同时，为了方便用户的认证，AWA

29、产品也提供了短信认证等更为灵活方便的认证机制。 4.2.5 分立的管理角色 AWA 产品在自身安全上也有着完善的措施，其后台管理角色采用三权分立的管理机制，分为系统管理员、系统审计员和系统安全员，每种角色均具有初始默认用户，可分别根据实际情况再创建各自角色的管理员，实现分级管理。 4.2.6 完善的日志审计 AWA 产品可记录系统范围内的安全和系统审计信息，有效地分析整个系统的日常操作与安全事件数据，通过归类、合并、关联、优化、直观呈现等方法，使管理员轻松识别应用系统环境中潜在的恶意威胁活动，可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。时代亿信认证访问控制墙技术

30、白皮书第 17 页 AWA 产品具有实时监控功能，可随时了解用户当前操作的内容，监控用户的操作，及时发现潜在的危险操作或违法操作，便于第一时间处理。实时监控功能还避免了管理员对日志文件的操作，提供直观、清晰、易用的 WEB 监控页面，增强了系统的友好性。 AWA 产品中关键事件可以得到过滤、标记，并被发送给指定的接收对象。这种能力可以使管理员接近实时地发现重要的事件，同时还可以实现 Email 告警、短信告警或其他形式的操作。 AWA 产品具有自动日志维护功能，简化了管理员操作，具备建立定期日志备份、日志转储、日志清理等多项功能，可以确保安全地保存使用日志，而不需人工参与。

31、AWA 产品内置了大量报表和图表功能，使管理员方便地制作多种类型的报告，可以细化到每个字段。报告功能可提供多种格式的报表，包括便于 web 浏览和分发的 HTML 格式。 4.2.7 丰富的安全策略 AWA 产品通过将用户划分为用户组或角色，可以配置不同的安全策略，减轻管理员的工作量。安全策略支持用户 IP 地址策略、管理 IP 地址策略、时间策略、口令策略设置，具体如下：（1）用户 IP 地址策略：限定用户访问 AWA 产品的客户端 IP 地址，阻止未授权的 IP 地址访问应用；（2）管理 IP 地址策略：限定管理员访问 AWA 产品后台管理功能的客户端 IP 地址，阻止未授权

32、的 IP 地址访问管理功能；（3）时间策略：限定用户访问受 AWA 保护的应用系统的时间段，例如可设置只有上班 8 个小时允许访问，从而最大限度减少非法入侵的可能；时代亿信认证访问控制墙技术白皮书第 18 页（4）口令策略：可定义口令的复杂度策略，包括用户口令的长度、定义非重复口令、禁用的字符短语等；可定义口令的过期策略，使用户在一定周期过后就强制要求修改密码；可针对不同用户组和角色应用不同的口令安全策略。 4.2.8 证书管理 AWA 产品内置了企业级证书管理系统，可完成数字证书的综合管理工作，有着如下完备的功能：（1）丰富的证书业务功能（2）基于角色的授权管理（3

33、）支持多级 CA （4）强大的证书模板功能（5）所见即所得的自定义功能（自定义证书模板&自定义证书扩展域）（6）支持汉字证书（7）支持 KMC（密钥管理中心）（8）支持 OCSP（在线证书状态查询）（9）支持可替换的加密模块（10）以用户为中心的证书管理模式证书管理系统配有专门的证书管理员，通过使用优化后的管理页面，管理员只需在图形界面中点击鼠标，就可完成用户证书申请、审批、签发工作，到期的用户证书可以进行批量自动更新。对于希望减轻管理负担的用户，证书自助服务可以直接面向最终用户提供证书申请与签发界面，缩短了实施时代亿信证书认证解决方案的时间。时代亿信认证访问控制墙

34、技术白皮书第 19 页 4.2.9 高可用性 AWA 产品为用户提供了双机热备、负载均衡等高可用性解决方案。 4.2.10 应急访问通过使用应急访问功能，可以在用户遗失或忘带身份认证凭证的情况下，通过管理员临时赋予用户一个可用登录凭证，满足用户使用应用系统的需求。临时可用的登录凭证由管理员根据需要分发，可设置相应的审批流程，临时凭证可与安全策略配合使用，配置时间、IP 地址设置限制，如可限制只有上班 8 小时才能使用等等。 4.3 AWA 能做什么？ 4.3.1 CA 中心 AWA 产品内置一套综合的企业级证书管理系统（ETCA），可用于数字证书的申请、审核、签发、注销、更新

35、和查询，颁发的数字证书格式严格遵循 X.509v3 规范，具有广泛适用性和良好的扩展性。通过使用该系统，可以搭建出符合政府、行业、第三方、企业需求的 CA 中心。通过使用 ETCA 发行的数字证书可以为用户提供信息安全的全面服务：保密性保证信息是秘密的完整性能检验信息未被篡改身份鉴别检验个人或机构的身份不可否定性确保信息或操作不能被否认时代亿信认证访问控制墙技术白皮书第 20 页 ETCA 应用国际先进技术，采用高强度的加密算法、高可靠性的安全机制及完善的管理及配置策略来保障整个系统的安全、可靠的运行。 ETCA 系统完全遵循 PKI 及相关标准，这样有利于与其

36、它厂商的产品实现互连，增大证书的适用范围。该系统支持的技术标注列表如下： ETCA 产品支持的标准类别标准标准内容加密SSF33 分组密码算法数字签名RSA 数字签名，符合 PKCS#1 V2.0 DSA，符合数字签名标准、美国 FIPS PUB 186 和 ANSIX9.30 （第一部分）散列函数SHA1，符合美国 FIPS PUB 1801 和 ANSI X9.30（第二部分） MD5 报文摘要算法，符合因特网 RFC 1321 密钥管理RSA 密钥传输符合因特网 RFC 1421 和 1423 (PEM) 和 PKCS#1 V2.0 伪随机数生成符合 ANSIX9.1 1、密

37、码算法和标准对称技术的完整性报文验证码 (MAC)，符合美国 FIPSPUB 113、ANSIX9.9 和 X9.19 时代亿信认证访问控制墙技术白皮书第 21 页伪随机数生成符合 ANSIX9.17 证书和证书注销列表格式第 3 版证书和证书扩展，符合 ITUTrec.X.509 (1997) 和公用标准 ISO/IEC 9594-8 (1997) 证书注销表和证书注销表扩展，符合 IETF PKIX1 概况表技术规范证书注销表和证书注销表扩展，符合 IETF PKIX1 概况表技术规范 RSA 算法标识符和公开密钥格式，符合 PEM 和 PKCS #1 V2.0

38、文件包封格式基于因特网 RFC 1421 (PEM) 的标准文件包封格式安全文件包封技术，符合 PKCS#7 和 S/MIME 目录协议轻量目录存取协议 (LDAP)，符合 RFC 1777 2、数据格式和协议 PKI 操作协议符合 PKIX2 时代亿信认证访问控制墙技术白皮书第 22 页图 CA 系统管理界面 4.3.2 企业认证中心 AWA 产品利用其强大的身份认证功能，将用户的身份认证与企业的管理技术和业务流程密切结合，保证系统中的数据资源只能被有权限的用户访问，未经授权的用户无法访问数据；防止伪造身份认证手段、访问者身份等非法措施，从而有效保护信息资源的安全。传统身份

39、认证只使用一种条件判断用户的身份，因此认证很容易被仿冒。而双因子认证或强认证是通过组合两种或多种不同条件（如通过密码和芯片组合）来证明一个人的身份，安全性有了明显提高。AWA 产品支持对多种身份认证方式的混用，有效提高身份认证的安全性。AWA 支持的认证方式有：（1）USB 智能卡认证（2）证书认证（3）动态令牌时代亿信认证访问控制墙技术白皮书第 23 页（4）短信认证（5）指纹认证（6）静态口令（7）一次性口令（8）第三方认证组件 AWA 产品还支持对认证方式的混用：（1）多种认证方式同时启用，即用户必须经过两种或两种以上认证方式的认证才能登录进入系统；（2

40、）多种认证方式选择启用，即用户可以在系统给出的两种或两种以上认证方式中选择一个进行认证，认证通过就能登录进入系统；（3）强制认证方式，即系统根据用户或用户角色信息，给出指定的认证方式进行认证，用户只有在通过指定认证方式认证的情况下才能登录进入系统；即使用户使用其他认证方式登录进入系统，对需要进行强制认证的系统或应用场景依然需要二次强制认证，可以充分保证系统的运行安全和操作维护安全。图身份认证方式配置界面时代亿信认证访问控制墙技术白皮书第 24 页 4.3.3 应用系统单点登录 AWA 产品具有完善的单点登录体系，可安全地在应用系统之间传递或共享用户身份认证凭证，用户不必

41、重复输入凭证来确定身份。不仅带来了更好的用户体验，更重要的是降低了安全的风险和管理的消耗。图应用系统单点登录配置界面 AWA 产品具有多种单点登录实现方式，由下面章节详细介绍。 6.3.3.1 主从账号管理 AWA 产品的用户信息数据独立于各应用系统，形成统一的用户唯一 ID，并将其作为用户的主账号。如下图所示：时代亿信认证访问控制墙技术白皮书第 25 页（1）在通过 AWA 统一认证后，可以从登录认证结果中获取平台用户唯一 ID（主账号）；（2）再由其关联不同应用系统的用户账号（从账号）；（3）最后用关联后的账号访问相应的应用系统。当增加一个应用系统时，只需要增加用户

42、唯一 ID（主账号）与该应用系统账号（从账号）的一个关联信息即可，不会对其它应用系统产生任何影响，从而解决登录认证时不同应用系统之间用户交叉和用户账号不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。 6.3.3.2 反向代理在完成客户端与认证服务器的交互认证后，用户先登录进入平台系统，然后利用反向代理技术完成服务器端代理用户认证，并将应用系统信息推送给客户端浏览器，从而实现用户对该应用系统的访问。这种方式下应用系统基本不需改动和开发，对于不能作改动或没有原厂商配合改动的 B/S 架构应用系统，可以使用该方式接入时代亿信认证访问控制墙技术白皮书第 26 页 A

43、WA 产品。实现上，采用 SSO 认证服务和 SSO Agent 进行交互验证用户信息，完成应用系统单点登录。反向代理方式下通过平台访问应用系统的流程如下：（1）用户在平台上点击访问的应用系统 URL 链接；（2）由平台验证用户权限，有权限则在平台数据库中查询用户和应用系统的关联表，无权限则提示用户无权访问；（3）如关联表中无相应记录，则浏览器弹出建立关联的页面；如关联表中有相应记录，则平台服务器提取用户和应用系统的关联信息，送至 SSO 服务加密签名形成数字信封后，返还给平台；（4）由平台将加密信息发送给应用系统前端的 SSO Agent；（5）SSO Agent 收到加

44、密信息后进行解密，并向应用系统提交用户关联信息；（6）应用系统收到用户关联信息后进行验证，验证成功则允许用户访问应用，失败则提示用户更新关联信息。在反向代理模式下，为了保证用户管理信息的正确，AWA 产品还提供了数据库适配器、LDAP 适配器、HTTP 适配器等组件，实现用户身份关联映射信息的自动校验。 6.3.3.3 API 插件插件方式采用 SSO 认证服务和集成插件（SSO API）的方式进行交互验证用户信息，完成应用系统单点登录。插件方式提供多种 API，通过简单调用即可实现 SSO。时代亿信认证访问控制墙技术白皮书第 27 页 J2EEJAR 包包 ASP/.ne

45、tCOM 组件组件 DominoDSAPI 通常情况下，对于有原厂商配合开发的 B/S 架构、C/S 架构应用系统，推荐使用该方式接入 AWA 产品，以实现高效率高可靠的单点登录。插件方式下通过平台访问应用系统的流程如下：（1）用户在平台上点击访问的应用系统 URL 链接；（2）由平台验证用户权限，有权限则在平台数据库中查询用户和应用系统的关联表，无权限则提示用户无权访问；（3）如关联表中无相应记录，则该用户未授权，不允许访问；如关联表中有相应记录，则平台服务器提取用户在该应用系统中的身份信息，送至 SSO 服务加密签名形成数字信封后，返还给平台；（4）由平台将加密信息发送

46、给相应的应用系统；（5）应用系统调用 SSO API，对加密信息进行解密，得到用户身份信息并返回给应用系统；（6）应用系统收到用户身份信息后通过信任机制允许用户访问应用系统。 6.3.3.4 客户端代理对于部分应用场景中应用系统不能停机或开发商不能配合的情况，AWA 产品可采用客户端代理技术，自动地完成应用系统单点登录。其具体认证登录过程如下：时代亿信认证访问控制墙技术白皮书第 28 页（1）在 AWA 产品管理功能中为应用系统激活客户端代理功能，由管理员配置好客户端代理所需要的用户认证参数；（2）用户登录单点登录平台；（3）用户点击应用系统访问链接；（4）客户端代

47、理自动启动，并向应用系统服务器端传递用户认证参数；（5）应用系统服务器端接收到认证参数，按照自身的认证方式通过用户验证，进入系统；（6）用户使用应用系统而无需进行其他操作。 6.3.3.5 HTTP HEADER 当用户访问应用系统时，AWA 产品的认证登录功能将该用户信息加密后放在 HTTP HEADER 中传递给应用系统。应用系统接收后解析 HTTP HEADER 内容，获得用户信息，验证后进入应用系统。考虑到 HTTP 明文传输的因素，可考虑使用 SSL 加密通道或关键信息加密通道保护用户认证信息的安全。同时，AWA 产品也可以在 HTTP HEADER 中置入经过加密

48、的用户信息，需要对应用系统登录认证模块进行改造，使其识别加密后的用户信息，从而实现用户身份验证。 6.3.3.6 Ticket 票据在用户访问应用系统之前，由 AWA 产品生成一次性的访问 Ticket 票据，并将 Ticket 提交给应用系统，应用系统通过加密的方式回连 AWA，并验证 Ticket 有效性，之后返回认证结果和用户身份信息给应用系统。应用系统根据验证结果确认用户身份，并分配用户权限。此种认证登录方式下还可以配合 IP 地址绑定等方式，通过增加客户端可识别信息进一步加强系统间交互的安全性。时代亿信认证访问控制墙技术白皮书第 29 页 4.3.4 用户身份统一

49、管理 AWA 产品中的用户信息统一管理组件基于 LDAP 目录服务和关系型数据库，用于存储用户的基本信息和组织机构信息，接入平台的所有应用系统均可以共享这些信息，节省了用户投入，实现了资源利用最大化。图统一用户管理界面 6.3.4.1 身份统一管理 AWA 产品内置身份管理组件，可提供对用户身份生命周期管理的基础架构，具有较强的扩展性和开放性，支持与企业现有 IT 基础设施无缝结合，支持多种类型的连接和互操作标准。其核心管理功能支持灵活的配置，可满足不同企业的需求，通过与现有应用的服务扩展结合起来，实现资源整合，对今后企业的应用系统扩展打下坚实基础。身份管理的特点如下：（1）与企业门户和目录相结合的集中用户管理；（2）跨应用、跨部门、跨业务的身份生命周期全过程管理；（3）基于角色的集中权限管理；时代亿信认证访问控制墙技术白皮书第 30 页（4）可在一点操作，实现对各应用系统用户身份的注册、变更和注销管理。当员工调离时，能立即禁止该用户账号；（5）保证用户身份唯一性，实现操作可追溯，可定责；（6）与 LDAP、AD 交互操作，自动同步；（7）可集成度高，部署方便快捷，最大化保护已有投资。 6.3.4.2 账号同步 AWA 产品的用户管理功能可与企业现有用户管理基础设施无缝结合，通过标准的 LDAP 接口或

展开阅读全文