身份认证E网关_3.0产品白皮书

国家电子政务外网电子认证服务体系白皮书国家电子政务外网数字证书中心目录1概述 (1)1.1政务CA的使命 (2)1.2政务CA的服务宗旨 (2)1.3政务CA的愿景 (2)1.4管理与服务机构 (3)2全国认证服务体系建设 (5)2.1电子认证服务体系建设情况 (5)2.2基础设施建设情况 (6)3电子认证服务开展情况......................................................... 错误!未定义书签。

3.1业务开展情况.............................................................. 错误!未定义书签。

3.2证书服务和管理.......................................................... 错误!未定义书签。

3.3合规及运维情况.......................................................... 错误!未定义书签。

3.4服务能力与优势.......................................................... 错误!未定义书签。

3.5应用案例...................................................................... 错误!未定义书签。

4服务内容.. (6)4.1证书服务 (13)4.2密码服务 (13)4.3业务网络接入 (13)4.4安全身份认证网关 (14)4.5单点登录服务系统 (15)4.6签名验证服务系统 (17)4.7电子签章系统 (19)4.8时间戳服务系统 (19)4.9本地用户注册系统 (21)1概述国家电子政务外网数字证书中心(政务CA)是经国家密码管理局核准并授予电子政务电子认证服务资质，由国家电子政务外网管理中心电子认证办公室管理的面向各级政务部门及其所属单位，以数字证书方式为主，提供数字认证、授权管理和责任认定等网络信任体系领域的专业化服务机构。

北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容，其版权属于北京北信源软件股份有限公司（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关（可选配） (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。

与此同时，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外，还能够覆盖到企业网络的每一个角落，甚至是当使用者的移动设备离开企业网络时，仍能有效的提供终端设备接入控制的执行。

北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容，其属于北信源软件股份（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关（可选配） (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。

与此同时，还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外，还能够覆盖到企业网络的每一个角落，甚至是当使用者的移动设备离开企业网络时，仍能有效的提供终端设备接入控制的执行。

格尔ＳＳＬ安全认证网关　产品白皮书　Ｖ２．０　上海格尔软件股份有限公司　２００４年１２月　上海格尔软件股份有限公司　１保密事宜：　本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

　接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息，接受方不向格尔公司承担保密责任：　１　） 接受方在接收该文档前，已经掌握的信息。

　２　） 可以通过与接受方无关的其它渠道公开获得的信息。

　３　） 可以从第三方，以无附加保密要求方式获得的信息。

　上海格尔软件股份有限公司　２目 录　１系统概述．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．１信息传输的安全需求．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．２一般ＳＳＬ连接存在的问题．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３２系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．１ＳＳＬ简介．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．２格尔ＳＳＬ安全代理系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５３格尔ＳＳＬ安全认证网关系统结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．１网络拓朴结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．２格尔ＳＳＬ安全认证网关系统组成和结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８４格尔ＳＳＬ安全认证网关功能．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１１５第三方产品兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．１第三方ＣＡ兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．２第三方设备厂商兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３６格尔ＳＳＬ安全认证网关产品特点．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３７运行环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８产品相关特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．１硬件特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．２物理特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．３电气特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６８．４工作环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６上海格尔软件股份有限公司　３１　系统概述　１．１　信息传输的安全需求　随着互联网络的发展，越来越多的网络应用系统从专用或内部网扩展到互联网上。

力控®工业网络安全防护网关pSafetyLink®技术白皮书北京三维力控科技有限公司版权和所有权声明北京三维力控科技有限公司对本白皮书持有版权并保留一切权利。

未经许可，任何人不得以摘录、复印、剪切等手段复制本文档中的文字、图表、数据的部分和全部。

否则，本公司将在适当情况下追究相应责任。

商标声明pSafetyLink为北京三维力控科技有限公司的注册商标。

本白皮书中涉及的其它所有品牌和产品名称均为相关公司的商标或注册商标。

目 录1. 概述 (4)1.1. 工业网络安全形势 (4)1.2. 常规网络安全产品的不足 (4)2. pSafetyLink产品简介 (6)3. 应用环境 (6)3.1. 基于OPC的应用 (7)3.2. 基于Modbus、DNP3的应用 (8)4. 产品架构 (8)4.1. 硬件架构 (8)4.2. 软件架构 (9)5. 主要技术 (10)5.1. 安全技术 (10)5.1.1. 内核安全技术 (10)5.1.2. 网络隔离技术 (10)5.1.3. 测点访问控制 (10)5.1.4. 身份认证 (11)5.2. 可靠性技术 (11)5.3. 系统性能 (11)6. 主要功能 (12)6.1. 开发工具PSL‐Config (12)6.2. 监视工具PSL‐Monitor (13)6.3. 通信标准 (13)7. 硬件平台 (13)7.1. 隔离硬件结构 (14)7.2. 硬件设计 (14)7.3. 硬件优化 (14)7.4. 生产流程控制 (14)7.5. 硬件规格 (14)1.概述1.1.工业网络安全形势在现代工业企业的信息系统中，由各种DCS、PLC、测控设备、SCADA构成的过程控制系统位于底层车间，负责完成基本的生产控制。

随着企业信息化建设的发展，迫切要求实现过程控制系统与上层管理信息系统之间互通、互联，完成经营管理层与车间执行层的双向信息流交互，使企业对生产情况保证实时反应，消除信息孤岛与断层现象。

SURE时间戳服务器SURE Time Stamping Authority Server技术白皮书山东确信信息产业股份有限公司ShanDong Sure Information Industry Inc二零一零年知识产权声明：本白皮书中的内容是山东确信信息产业股份有限公司SURE时间戳服务器技术说明书。

相关权利归山东确信信息产业股份有限公司所有。

白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。

山东确信信息产业股份有限公司山东省济南市高新区舜华路2000号舜泰广场11号楼北区2层电话：（86-0531）6659 0661传真：（86-0531）8811 3370网址：电子信箱：********************目录第一章产品概述 (4)1.1公司简介 (4)1.2产品体系介绍 (5)1.3产品背景 (5)第二章术语及定义 (6)第三章 SURE时间戳服务器概述 (7)3.1概述 (7)3.2网络部署 (7)3.3功能描述 (8)1、服务器端功能（TSA Server） (8)2、客户端应用接口（TSA Client API）功能 (9)3.4产品特点 (9)第四章产品运行环境 (11)4.1硬件环境 (11)4.2软件环境 (11)1、 TSA Server (11)2、客户端接口（Client API） (11)第五章技术指标 (12)第一章产品概述随着全球经济一体化速度的加快和信息安全领域的快速发展，这对我国所有的企业来说面临着机遇和挑战。

信息化浪潮的到来，提高了企业的工作效率，增强了核心竞争力，为企业能够迅速把握住相关信息并转化为经济效益提供了有效地帮助。

目前，各单位的日常办公与网络密不可分，网上办公系统（OA）、ERP、财务系统、审批系统等逐步与日常业务密切结合，成为日常工作中不可或缺的一部分。

但网络欺诈、信息泄密、信息抵赖等问题普遍存在，对信息安全提出了严峻的考验。

EIP产品白皮书----企业e化解决方案2001年10月北京科讯博联科技有限责任公司公司简介北京科讯博联科技有限责任公司(Beijing Info-Portal Technology Co.,Ltd.)是一家注册于中关村科技园区的高新技术企业,主营业务是应用服务提供、软件研发、软件销售、系统集成。

公司拥有众多的技术开发、服务人员，具备国际、国内大中型软件项目开发经验和软件产品研发的实力，并可为用户提供从前期系统架构设计到后期技术培训等一系列应用服务。

面对全球化的市场与竞争，国内各级政府、企、事业机构结合自己的实际情况越来越多地提出了电子化、信息化、知识化的不同层次的e化需求。

科讯博联与北京太科信息系统工程有限公司联合推出的“企业e化解决方案”，面向用户电子化、信息化的需求，将先进管理经验与先进Internet技术实现有效整合，同时结合我们的专业级应用服务及丰富的经验，为用户提供了一套突破时空限制、讲求效率与成本、适应网络经济时代要求的有效解决方案。

科讯博联所有员工秉承“专业、信赖、创新”的企业理念，努力提供先进科技与完美服务，配合用户的事业发展脚步，共同携手前进。

我们的目标：优秀的软件服务提供商及软件供应商。

目录1. 为什么选择科讯博联EIP (5)2. 科讯博联EIP系统特点 (6)2.1.强大的系统功能 (6)2.2.用户操作简易性 (6)2.3.完善的系统安全机制 (6)2.4.良好的可扩展性 (7)2.5.数据备份支持 (7)3. 科讯博联EIP的功能模块 (8)3.1.OA(办公自动化) (8)3.1.1. 传统的操作和EIP/OA的区别 (8)3.1.2. 科讯博联EIP版本构成及区别 (8)3.1.2.1. 版本构成及区别 (8)3.1.3. 客户定制端 (9)3.1.3.1. 功能结构图 (9)3.1.3.2. 定制 (9)3.1.3.2.1. 组织架构 (10)3.1.3.2.2. 角色定制 (10)3.1.3.2.3. 表单定制 (11)3.1.3.2.4. 动作定制 (11)3.1.3.2.5. 流程定制 (12)3.1.3.2.6. 元素定制 (12)3.1.3.3. 流程管理 (13)3.1.3.3.1. 流程分类 (13)3.1.3.3.2. 流程发布 (13)3.1.3.3.3. 流程终止 (14)3.1.3.3.4. 流程统计 (14)3.1.3.3.5. 流程检查 (14)3.1.3.4. 系统管理 (15)3.1.3.4.1. 专用功能授权 (15)3.1.3.4.2. 查询功能授权 (15)3.1.3.4.3. 系统模块授权 (15)3.1.3.4.4. 系统密码更改 (16)3.1.3.4.5. 上传/下载 (16)3.1.3.5. 帮助系统 (17)3.1.4. 运行器端 (17)3.1.4.1. 系统结构图 (17)3.1.4.2. 表单流程 (17)3.1.4.2.1. 激活 (17)3.1.4.2.2. 登录 (17)3.1.4.2.3. 登录后的界面 (18)3.1.5. 管理中心(服务器端) (19)3.1.5.1. 系统激活 (19)3.1.5.2. 系统配置 (20)3.1.6. 流程监控器 (20)3.1.6.1. 流程监控器的功能 (20)3.1.6.2. 流程监控器的配置 (20)3.1.6.3. 流程监控器的使用 (21)4. 系统运行环境 (23)4.1.EIP系统要求 (23)4.1.1.企业版 (23)4.1.2.大企业版 (23)4.1.3.企业集团版 (24)4.1.4 行业用户版 (25)4.1.5. ASP中心版(不限用户数) (25)4.2.系统架构图(见附图) (26)5. 成功案例 (27)5.1.生产制造业 (27)5.2.营销业 (27)5.3.教育业 (27)5.4.行政团体 (27)5.5.高新技术产业 (28)6. 科讯博联售后服务方案 (29)7．联系我们 (29)1. 为什么选择科讯博联EIPEIP是Enterprise Information Portal的缩写，简称企业信息入口。

信安世纪应用安全网关NSAE全系列产品技术白皮书信安世纪科技有限公司INFOSEC TECHNOLOGIES CO.,LTD二零零八年知识产权声明本白皮书中的内容是信安世纪公司NSAE应用安全网关产品技术说明书。

本材料的相关权利归信安世纪公司所有。

白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。

© 2007 信安世纪科技有限公司All rights reserved.NSAE应用安全网关产品技术白皮书信安世纪科技有限公司北京市西城区南礼士路二条甲1号月坛理想大厦6层电话：(86-10) 6802 5518传真：(86-10) 6802 5519邮编：100045网址：电子信箱：*******************.cn目录前言 (1)第1章产品概述 (1)1.1公司介绍 (1)1.2产品体系介绍 (3)1.3产品背景 (4)第2章产品简介 (6)2.1产品型号 (6)2.2产品应用 (9)第3章产品功能 (10)3.1功能特性 (10)3.1.1应用加速（SSL加速） (10)3.1.2服务器负载均衡（SLB） (13)3.1.3链路负载均衡（LLB） (18)3.1.4全局服务负载分担（GSLB） (21)3.1.5其他功能 (25)3.2部署方式 (29)3.3产品优势 (30)第4章技术特性 (33)4.1产品特性 (33)4.2硬件特性 (35)4.3性能特性 (36)第5章总结 (37)前言当前，无论在政府网、金融网、企业网、校园网还是在广域网如Internet上，业务量的发展都超出了过去最乐观的估计，用户大量的信息请求，不断更新的应用需求以及对业务不间断的持续访问，成为应用服务商解决互联网服务，获得用户认可的关键因素，即使按照当时最优条件配置建设的网络，面对不间断、快速的用户增长，服务器也会无法承担。

原有链路也会因为用户量的不断增大导致用户访问速度过慢，链路拥塞，网络故障频繁，尤其是各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担，而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配，使之不至于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况，就成为信息提供商及应用服务商必须克服的问题，负载均衡机制也因此应运而生。

安全网关系统技术白皮书中安网脉（北京）技术股份有限公司 北京电子科技学院二零零九年三月版权声明安全网关系统技术白皮书首先，我们非常感谢您查看本文档：本文档介绍了安全网关系统的产品体系结构、功能、运行环境，为用户在选用本系统时提供参考。

本手册仅提供电子文档。

Copyright © 2006 by SINOINFOSEC，中安网脉（北京）技术股份有限公司版权所有。

未经书面许可，用户不得以任何形式或通过任何途径，包括使用影印、录制在内的电子或机械手段等对该书任何部分进行复制或传播。

警告和承诺：本文档用于提供关于“安全网关系统”的产品信息。

尽管我们尽最大的努力使本文档尽可能的完备和准确，但疏漏和缺陷之处在所难免。

任何人或实体由于本文档提供的信息造成的任何损失或损害，中安网脉（北京）技术股份有限公司不承担任何义务或责任。

本书中表达的观点权属于中安网脉（北京）技术股份有限公司。

系统版权：中文名称：安全网关系统英文简称：iSecway版本号： 2.0开发单位：中安网脉（北京）技术股份有限公司本系统的版权单位：中安网脉（北京）技术股份有限公司地址：北京市丰台区富丰路7号邮政编码：100070电话：（010）63783209 或 83635361邮箱：support@安全网关系统是中安网脉（北京）技术股份有限公司自主研发的受法律保护的商业软件。

遵守法律是共同的责任，任何人未经授权人许可，不得以任何形式或方法以及出于任何目的复制或传播本软件，权利人将追究侵权者责任并保留要求赔偿的权利。

本软件系统及其文档中使用到其他公司的有关资源，其版权归相应公司所有，亦受到法律的严格保护。

反馈信息：您的反馈意见将使我们受益非浅。

如果您对本手册有任何疑问、意见或建议，请与我们联系：support@，感谢您对我们的支持和帮助。

目录第1章 产品研发单位简介 (4)第2章 产品概述 (5)第3章 产品主要功能 (7)3.1安全网关 (7)3.2安全管理中心 (7)3.3客户端登录认证 (8)3.4基于USB KEY的存储加密和身份认证 (8)第4章 产品主要特点 (9)4.1服务器保护强度高 (9)4.2用户认证严格 (9)4.3传输加密 (9)4.4存储加密 (9)4.5易用性 (10)第5章 关键技术 (11)5.1用户认证 (11)5.2用户授权 (11)5.3安全隧道 (11)5.4数据安全 (12)5.5自身安全 (12)5.6数据备份 (13)5.7集群功能 (13)5.8日志审计 (13)第6章 主要技术指标 (14)6.1安全网关 (14)6.2安全管理中心 (14)第7章 产品部署 (15)第8章 产品应用领域 (17)第9章 技术支持 (18)第1章产品研发单位简介“中国商用密码与信息安全的中流砥柱”——是中安网脉（北京）技术股份有限公司肩负的国家使命，是中安网脉公司孜孜以求的奋斗目标，也是中安网脉公司自我评价的衡量标准。

数字证书安全应用套件（ICSSO）白皮书一、概述数字证书安全应用套件（ICSSO）是西安中望软件资讯有限责任公司自主开发的一套基于CA（Certificate Authority）体系实现数字身份认证、数据加解密、签名加密、数字信封等系统功能，确保应用系统的数据安全和应用安全，极大提升系统的安全性。

二、系统应用结构数字证书安全应用套件（ICSSO）可以结合到其它各种类型的应用系统中，实现数字证书的安全要求。

在一个完整的、基于CA体系解决方案，ICSSO系统必须与相关的应用系统（如电子政务、电子商务、OA办公自动化系统、其它业务管理系统等）、ICMS 数字证书管理系统相结合、相配套使用。

见如下示意图：即ICMS数字证书管理系统是整个安全架构的基础系统。

有关ICMS数字证书管理系统请参考《ICMS数字证书管理系统白皮书》三、系统特点1、基于PKI技术实现用户身份认证，同时支持客户-服务器间的双向身份认证，消除了"用户名+口令"的传统登录方式带来的系统安全性问题，保证身份认证的安全性和准确性，所以是最安全和方便的身份认证方式：。

2、采用以数字证书为基础的公钥密码系统(Certificate-based public key cryptosystem)，通过可信的第三方(Trusted Third Party；TTP)来保证证书和公钥的有效性。

3、对关键信息加密传输和存储：使用本系统后，关键信息以密文的形式传输和存储，即使是系统管理员，也看不到此部分信息，只有拥有对应证书和私钥的用户才能看到此关键信息。

4、系统安装和使用都很简单：本软件将数字证书这一"复杂"的工具隐藏在系统后台，使用者不需要了解关于CA的任何知识就能方便的使用。

在系统的安装上，普通的管理员按照说明书就能完成，极大的降低了技术门槛。

5、可以实现与系统代码级的结合，并且适用于各种类型的应用系统。

6、使用国密办认定的EKEY存储介质，具有安全性高、速度快、稳定性高等特点。

华为SVN安全接入网关技术白皮书华为技术有限公司版权所有© 华为技术有限公司2014。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：******************客户服务电话：4008302118目录1概述 (5)1.1企业网络的新挑战 (5)1.2传统VPN解决方案 (5)1.3 SSL VPN解决方案 (7)1.4华为一体化VPN解决方案 (8)2 SVN安全接入网关的特点 (9)2.1灵活的部署方式 (9)2.2丰富的远程安全接入功能 (11)2.2.1 Web代理 (11)2.2.2文件共享 (12)2.2.3端口转发 (12)2.2.4网络扩展 (13)2.2.5隧道定制开发 (14)2.3强大的安全云网关功能 (14)2.3.1桌面云网关 (15)2.3.2负载均衡网关 (16)2.4整体安全防护特性 (18)2.4.1传输数据加密 (18)2.4.2用户身份认证 (19)2.4.3接入终端安全 (22)2.4.4专业的防火墙防护 (23)2.4.5网关设备安全防护 (27)2.4.6灵活的资源授权 (27)2.4.7细粒度的访问控制 (28)2.4.8防暴力破解机制 (29)2.4.9日志与审计 (29)2.5完备的IPv6技术 (30)2.5.1 IPv6基本功能 (31)2.5.2 IPv4/IPv6解决方案 (31)2.5.3 IPv6路由技术 (32)2.6高可靠性 (32)2.6.1可靠的硬件平台 (32)2.6.2健壮的软件体系 (35)2.6.3双机备份技术 (35)2.6.4链路备份技术 (36)2.6.5华为SVN可靠性技术优势 (36)2.7优秀的组网适应能力 (37)2.7.1一体化VPN网关 (37)2.7.2高密度的端口支持 (37)2.7.3丰富的路由协议和路由管理 (38)2.7.4多线路智能选路 (38)2.7.5敏捷园区配套 (40)2.8完善的维护管理系统 (41)2.8.1丰富的维护管理手段 (41)2.8.2基于SNMP的终端系统管理 (41)2.8.3 WEB管理 (41)2.9领先的虚拟网关技术 (42)2.10典型组网 (43)2.10.1 SVN用于企业网络 (43)2.10.2 SVN用于电信BOSS系统 (46)2.10.3 SVN用于政府及事业单位 (48)2.10.4 SVN用于桌面云解决方案 (49)3附录A (50)3.1 SVN特性列表 (50)4附录B: 缩略语 (54)1 概述随着现代企业信息网络的不断发展以及智能终端的广泛应用，远程安全访问/移动办公的需求也呈现出迅猛的增长态势。

统一身份认证管理平台UTS V4.0产品白皮书北京天安捷信科技有限公司2013年5月1前言随着信息化的不断深入，企业的IT环境越来越复杂。

众多IT系统的建设，一方面为企业带了先进高效的管理方法和工作平台，帮助企业更好的实现业务目标；另一方面也为用户日常工作，IT系统管理和业务系统安全带来了很多的问题和风险信息孤岛难以打破实体身份难以管理共享安全难以保障应用效益难以体现管理水平难以提升北京天安捷信科技有限公司，在深刻理解企业应用系统整合需求的基础上，针对信息化管理现状，以业务需求为导向，自主开发出统一信任管理平台（UTS），为企业提供基于可信身份的统一信任管理解决方案。

统一信任管理平台可为企业实现：1)业务资源整合在多个不同业务系统之间搭建一座桥梁，相互之间关联到一个统一平台上，强化不同业务系统间的协同工作；系统访问将变得更加透明、便捷。

该平台的建立为实现业务系统的综合管理、高效整合提供了可行性和便利性；2)统一身份管理提供了有效、安全的身份管理机制，为企业完成各系统间的用户信息整合，实现用户生命周期的集中统一管理；同时基于PKI/CA体系为所有用户提供数字证书服务，使对企业应用系统的访问更加安全、可靠；3)安全策略集中统一的安全策略提高了系统的管理效率，通过统一的策略管理和基于角色的访问控制技术、各种高强度认证方式，提升了用户的认证体验和企业的管理效率；1技术架构图2-1 UTS V4.0技术架构图平台的技术优势采用JAVA开发，适应市场中主流的应用服务器。

如tomcat、websphere、weblogic、jboss、glassfish等前端采用javascript这种解释性脚本语言，兼容大部分浏览器采用springmvc框架，使得开发简洁，利于扩展采用hibernate框架，系统可以运行在市场各大主流数据库下。

2系统架构图3-1 UTS V4.0系统架构图系统整体功能架构主要由应用层、策略层、服务层、数据层和数据接口层组成，以上层次结构的设计主要功能如下：●应用层UTS用户主要分为系统用户和最终用户两类，应用层主要面向最终用户提供服务，在UTS整体架构设计中，能够独立作为应用面向最终用户提供服务的主要就是SSO单点登录系统，最终用户通过访问SSO单点登录系统完成UTS后台所有策略管理配置的实现机制效果。

统一身份认证平台产品白皮书1. 产品简介统一身份认证平台可为企业办公网络中的B/S和C/S业务系统、网络设备、主机、数据库等企业资源，提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。

统一身份认证平台分为两个型号：平台-S和平台-G，分别具有不同侧重：平台-S作为应用帐号管理、统一认证、单点登录和权限管理中心，以企业用户、B/S和C/S系统为整合目标，实现统一认证、统一授权和访问控制。

平台-G是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标，集成强身份认证、会话审计、集中管理功能的一体化硬件设备。

可对企业内部用户应用访问、管理员维护等各类操作进行访问控制。

平台-G基于包过滤及代理技术，可实现对HTTP、Telnet、SSH、FTP、RDP远程桌面、CIFS 文件共享等应用协议的访问控制及会话审计。

列表说明平台-S与平台-G的区别：1.1 产品可解决的问题统一身份认证平台能够满足不同企业集中认证、访问控制和安全管理的需求。

1、安全身份认证服务。

提供口令认证、证书认证、USB智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式；同时支持LDAP、AD、RADIUS等外部认证源。

2、联邦身份认证中心。

为企业应用、主机、设备等提供多种认证接口，实现企业内部用户的统一身份认证，将统一身份认证平台作为企业内所有业务系统的认证入口，用户登录统一身份认证平台后，由统一身份认证平台对登录用户进行集中授权。

3、应用系统（B/S、C/S）的安全单点登录。

通过统一身份认证平台认证并授权的用户，可在统一身份认证平台中通过单点登录的方式访问B/S、C/S应用，方便用户使用，提高工作效率。

4、网络访问控制。

在网络设备和服务器资源管理中指定用户可以访问的网络资源，从网络层限制了用户的网络访问权限，可用多种可选方式对维护人员的身份进行认证，可以有效避免非法用户的假冒。

5、访问审计。

记录系统范围内的安全和系统审计信息，有效地分析整个系统的日常操作与安全事件数据，通过归类、合并、关联、优化、直观呈现等方法，使管理员轻松识别应用系统环境中潜在的恶意威胁活动，可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。