身份认证E网关_3.0产品白皮书

JIT 身份认证网关G v3.0

产品白皮书

Version 1.0

有意见请寄：************.cn

中国·北京市海淀区知春路113号银网中心2层

电话：86-010-******** 传真：86-010-********

吉大正元信息技术股份有限公司

目录

1前言 (2)

1.1应用场景描述 (2)

1.2需求分析 (3)

1.3术语和缩略语 (4)

2产品概述 (4)

2.1实现原理 (4)

2.1产品体系架构组成 (5)

2.1.1工作模式和组件描述 (6)

3产品功能 (8)

3.1身份认证 (8)

3.1.1数字证书认证 (8)

3.1.2终端设备认证 (9)

3.1.3用户名口令认证 (10)

3.2鉴权和访问控制 (10)

3.2.1应用访问控制 (10)

3.2.2三方权限源支持 (11)

3.3应用支撑 (11)

3.3.1支持的应用协议和类型 (11)

3.4单点登录 (12)

3.5高可用性 (12)

3.5.1集群设定 (12)

3.5.2双网冗余 (13)

3.5.3双机热备 (13)

3.5.4负载均衡 (13)

4部署方式 (14)

4.1双臂部署模式 (14)

4.2单臂部署模式 (14)

4.3双机热备部署 (15)

4.4负载均衡部署 (16)

4.5多ISP部署方式 (17)

5产品规格 (17)

5.1交付产品和系统配置 (17)

5.1.1交付产品形态 (17)

5.1.2系统配置和特性 (18)

6典型案例 (19)

6.1某机关行业 (19)

6.2 .................................................................................................................... 电子通讯行业

20

1 前言

1.1 应用场景描述

随着信息化的快速发展，网络内信息应用以其高效、便捷的特点得到广泛应用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理，越来越多的重要信息在网络中传输，如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题，但通常的网络应用都存在以下安全隐患：

一．没有有效的身份认证机制：一般都采用用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在：

●口令易被猜测；

●口令在公网中传输，容易被截获；

●一旦口令泄密，所有安全机制即失效；

●后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管

理非常困难。

二．数据传输不安全：当前大多网络应用所发放的数据包均是按照TCP/IP 协议为明文方式传输，而Internet 的开放性造成传输信息存在着被窃听、被篡改的安全问题。

三．操作抵赖：网络应用将现实世界的实体操作转化为虚拟世界的信息流，信息流的可复制性对操作的唯一性和可信性提出了挑战，操作可以被抵赖成为网络应用亟需解决的一个严重问题

1.2 需求分析

针对以上场景，需要建立一套安全防护系统，为用户提供统一、安全的身份认证服务，并根据用户提交的身份不同而分配不同的权限，以达到权限最小化分配。由于业务系统都是独立部署，并且运行在不同的平台上。因此，在确保业务系统能够独立运行的前提下解决统一身份认证、统一授权的问题，需要满足以下的需求：

➢应用保护

由于应用的复杂性和多样性，需要对使用不同协议的应用进行保护。除了支持应用层的常用协议外，还要支持所有使用TCP、UDP协议的应用，甚至有些时候还需要将整个IP全部对用户开放。

➢身份认证

除了传统的用户名/口令认证外、必须提供高强度的身份认证方式，如

PKI/CA数字证书等，以确保登录的用户确实为授权的个体，消除未授权用户非法访问的风险。同时，要与用户现有的用户管理系统（如AD、LDAP、RADIUS 等）相结合，并能做到数据同步。

在安全性要求更高的场合里，还需要对登录用户的硬件信息进行认证。

➢访问控制

允许用户定义合适的安全策略，可以有效保护对专用网络系统及应用的访问，可以根据用户的不同身份来确定其访问权限。

➢链路加密

使用密码技术和隧道协议来提供网络的保密性、认证性及信息完整性。

➢责任认定

可以通过提供的个人信息及计算机硬件信息来综合认证用户的身份，并可以记录下其访问应用的情况，实现不可抵赖特性。当出现安全事故时，也可以确保合法用户不会被任何非法访问事件所牵连。

1.3 术语和缩略语

2 产品概述

2.1 实现原理

吉大正元身份认证网关是提供内部网络的接入控制以及对接入用户进行强身份认证和审计服务的产品，解决用户使用应用系统时涉及的身份验证、信息保密、权限控制等安全问题。为网络应用提供以下安全支撑服务：➢提供数字证书、用户名口令、硬件信息等多种认证方式

➢基于角色的动态用户授权机制

➢基于协议、端口或IP的应用系统保护

➢针对应用系统资源进行细粒度的权限控制

➢高强度的传输链路加密

➢对用户接入应用系统的行为进行全方位监控、追踪和审计

该产品基于开放的标准开发，具备良好的兼容性和可扩展性，全面支持PKI/CA（公钥基础设施）系统，实现边界接入网络安全的整体解决方案。

产品部署在应用系统与终端用户之间，真正做到了安全和应用的无缝连接，更易于推广。

图2-1 身份认证网关

2.1 产品体系架构组成

应用端filter或接口

图2.1-1G网关体系架构图