身份认证及访问控制系统白皮书.docx
《身份认证及访问控制系统白皮书.docx》由会员分享,可在线阅读,更多相关《身份认证及访问控制系统白皮书.docx(13页珍藏版)》请在冰豆网上搜索。
身份认证及访问控制系统白皮书
身份认证及访问控制系统(Ver2.0)
技术白皮书
卫士通信息产业股份有限公司
2009-2
目录
1前言3
1.1背景3
1.2面临的问题3
2系统简介4
2.1系统概述4
2.2系统原理5
3.主要问题及解决技术6
3.1您是否为没有既安全又高效的认证机制而发愁?
6
3.2您是否为传统的用户名/密码认证模式的安全性感到担忧?
7
3.3您是否希望避免对代理软件的二次开发?
7
3.4您是否受困于繁琐的授权管理工作?
8
3.5您是否担心将越来越多的应用系统口令搞混淆?
9
3.6您是否希望服务器资源不会浪费?
10
3.7您是否为管理过多的分子公司用户而焦头烂额?
10
3.8您是否为如何保障企业域名访问企业内部业务系统的安全性而烦恼?
11
3.9您是否担心信息管理人员泄密?
12
4系统组成12
4.1运行环境12
4.2技术指标13
5系统功能13
6系统特点14
7应用部署模式15
7.1物理串连模式15
7.2逻辑串连模式16
1前言
1.1背景
随着网络技术的高速发展,网络应用迅速覆盖了众多领域:
网上办公、网上银行、电子商务、电子政务等。
伴随着网络应用的普及,网络安全事故也时有发生,加强网络安全的工作刻不容缓。
网络认证技术是网络安全技术的重要组成部分之一。
认证指的是证实被认证对象是否属实和是否有效的一个过程。
其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。
被认证对象的属性可以是口令、数字签名或者如指纹、声音、视网膜这样的生理特征。
认证常常被用于通信双方相互确认身份,以保证通信的安全。
安全传输也是网络安全技术中不可忽略的部分。
安全传输使传输的数据具有加密性、完整性,防止数据被窃取和窜改。
1.2面临的问题
然而传统的网络应用在认证及传输方面均存在着安全隐患,其原因为:
⏹没有有效的身份认证机制。
传统的身份认证均是采用用户名+密码的方式。
这种方式存在着以下弱点:
口令简单了容易被猜测,口令复杂了难于记忆,易于丢失;应用越多,口令越多,越难于管理
⏹没有有效的传输安全机制:
当前大部分的网络应用均是采用TCP协议,这种协议在网络传输中没有数据保护机制,容易造成数据被窜改、窃取。
2系统简介
卫士通公司开发的“身份认证及访问控制系统”是一个着眼于网络边界安全的系统,其有效的整合了网络认证及传输安全,能有效的解决上述问题。
2.1系统概述
身份认证及访问控制系统以密码技术和PKI技术为核心,以数据加密、数字签名、访问控制等安全技术为基础,充分考虑身份认证、信息传输、权限控制等安全因素,在网络上实现强有力的身份认证和访问控制功能,让合法用户能访问网络上的授权资源,将非法用户拒绝于网络之外。
证书认证方式实现了网络用户与服务器之间的双向身份认证,并通过Kerberos协议为每个用户颁发访问令牌,实现应用系统统一的身份认证。
采用SOCKS及http协议的代理技术,可实现对通信数据的机密性和完整性保护,并可在代理用户访问的同时对应用协议进行解析,实现访问控制及单点登录。
访问控制采用RBAC(基于角色的访问控制)对应用服务端口进行控制。
RBAC使用权限管理更简单、更清晰;面向对象的访问目标管理技术,使访问控制的目标多样化,丰富了访问控制的应用范围。
“决策权、执行权、监督权”三权分立为系统确立完善的管理机制,完善的审计功能可对用户行为进行全面监控。
2.2系统原理
系统为每个用户配备USBKEY,USBKEY经CA系统签发后将存放为用户提供身份证明的唯一标识——证书。
用户使用时需通过身份认证客户端软件配合USBKEY,采用基于PKI的握手协议与安全认证网关进行双向身份认证,认证通过后安全认证网关将为用户颁发访问应用系统的令牌。
身份认证客户端软件将截获用户的应用访问请求,并通过安全认证网关访问应用服务。
对于用户的每一次访问请求代理服务都将基于Kerberos协议验证用户的访问令牌,以确定用户的合法身份。
代理服务从用户请求中取得用户访问的服务资源,从访问令牌中取得用户身份信息,并用这两个要素进行RBAC的访问裁决。
通过裁决的请求,系统将代理用户访问网络资源;反之,系统将拒绝用户的访问请求。
同时,系统可根据用户的要求对网络中传送的数据信息进行数据机密性和完整性保护。
安全认证网关从用户访问请求中提取必要信息,形成审计日志。
3.主要问题及解决技术
3.1您是否为没有既安全又高效的认证机制而发愁?
混合认证——PKI与Kerberos相结合的身份认证机制,弥补了相互的弱点,使认证更安全可靠,效率更高。
基于PKI证书的认证,实现用户和服务器的身份认证,确保用户和服务器身份的合法性。
Kerberos认证的引入,满足了分布式应用的需要,并提高了系统的认证效率。
两种认证方式的有机结合,实现了认证的集中管理和分布应用。
3.2您是否为传统的用户名/密码认证模式的安全性感到担忧?
双因子认证——传统的身份认证多采用用户名+密码方式。
每个用户的密码是由用户自己设定,只有用户自己才知道。
只要能够正确输入密码,计算机就认为操作者为合法用户。
实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。
即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。
因此用户名/密码方式是一种极不安全的身份认证方式。
身份认证及访问控制系统采用密码+USBKEY软硬件相结合、一次一密的强双因子认证模式。
USBKEY是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥和数字证书,利用USBKEY内置的密码算法实现对用户身份的认证。
要使USBKEY能正常工作,需要用户输入正确的USBKEY密码。
因此密码掉了,没有USBKEY无法通过认证;USBKEY掉了,没有密码也无法认证。
密码+USBKEY的双因子认证有效地提高了系统的安全级别。
3.3您是否希望避免对代理软件的二次开发?
协议代理——SOCKS技术可实现同一端口对多个应用系统的代理,其优点是大大降低安全系统客户端的开发工作,更好与应用系统协同工作。
当用户系统需要增加应用系统时,仅需进行简单的配置,无需对代理软件进行扩展开发,便可将新的应用系统纳入安全系统的保护中。
应用协议的代理,使用户不能直接访问应用服务,防止了用户对应用服务的非法访问。
同时,数据通过代理进行传输,实现了对传输数据的机密性和完整性保护。
3.4您是否受困于繁琐的授权管理工作?
RBAC(基于角色的访问控制)——基于角色的访问控制技术的主要特点有两个:
一是将对访问者的控制转换为对角色的控制;二是支持角色之间的权限继承与互斥。
从而使授权管理更为方便实用、效率更高,更好的体现企业的管理体系。
角色是提取了一类用户所共有的特点,并对其进行归纳后,对一类职权相同用户的统称。
其具体形式是将众多的用户进行分类,为每一类用户定义一个角色,所有的授权针对角色,不再针对每一个具体的访问者。
因此授权管理的工作量大大降低。
其结构图如下:
角色与角色之间可以继承权限,形成一个角色权限继承图,该图将体现出企业当前的权限构架。
角色权限继承图使各个角色的权限划分更为清晰、明确,降低权限管理的复杂性。
从下图中可以看出,总经理角色从部门角色继承而来,因而它拥有部门角色的所有权限,而部门角色又是从员工角色继承而来的,故拥有员工角色的所有权限。
由此为角色分配权限时,仅需指定该角色所独有的权限即可。
其结构图如下:
3.5您是否担心将越来越多的应用系统口令搞混淆?
SSO技术——在大多数计算机连入网络之前,各个应用系统的实现完全是独立的,各系统都要求用户拥有一个账户才能访问该系统。
随着网络应用的普及,用户使用的应用越来越多,要记住的口令越来越多,但仅仅因为用户要使用不同的机器处理不同的请求而强迫他们多次在网络上进行登录,记住多个口令,显然是令人无法接受的,单点登录能有效的解决该问题。
单点登录是一种方便用户访问网络的技术。
无论多么复杂的网络结构,用户只需在登录时进行一次认证,即可获得访问系统和应用软件的授权,以后便可以在网络中自由穿梭。
身份认证及访问控制系统通过口令代理的方式,实现了“0开发”的web页面单点登录,用户仅需在启动客户端软件时输入USBKEY的口令通过身份认证系统认证,此后无需再输入应用系统口令即可访问应用系统;同时可通过“登录跳转”设置,使用户打开应用首页后自动跳转到用户登录后页面,简化用户操作。
3.6您是否希望服务器资源不会浪费?
负载均衡——由于系统采用代理模式,安全认证网关串接在应用系统客户端和服务端之间。
用户的访问均通过安全认证网关进行转发,故安全认证网关的性能自然成为系统的关键因素。
使用多个安全认证网关代理同样的应用服务,实现安全认证网关的负载均衡是解决该问题既简单又可靠的方法。
负载均衡是由多台服务器以对称的方式组成一个服务器集合,每台服务器都能单独对外提供服务而无需其他服务器辅助。
通过某种负载分组技术,将外部发送来的请求均分到对称结构中的某一台服务器上,而接受到请求的服务器独立地回应客户请求。
身份认证及访问控制系统可通过自有算法将用户分配到不同的安全认证网关,同时也对业界专业的负载均衡器进行了支持,可满足不同用户的负载均衡需求。
3.7您是否为管理过多的分子公司用户而焦头烂额?
多级认证——很多大中型企业下属有多个成员单位,各成员单位分布在不同的地方,成员单位间具有频繁的业务往来。
身份认证及访问控制系统针对这种情况独创多级认证。
多级认证技术以“一个中心多个二级”的模式。
建立一个中心认证系统、多个二级认证系统,各级系统独立管理。
该模式具有以下优势:
⏹有效降低集团总部对用户信息、权限的管理工作量
⏹各二级可独立管理各自的用户信息,灵活、方便
⏹用户一处登录、全网访问
⏹各子系统独立运行,独立维护;一处故障,不影响其它系统工作
3.8您是否为如何保障企业域名访问企业内部业务系统的安全性而烦恼?
域名代理——很多企业申请有域名,通过域名访问企业资源。
然而通常通过域名仅能访问企业DMZ区,不能访问受保护的业务系统。
同时有限的域名资源也无法满足企业自身多个业务的需求。
身份认证及访问控制系统在提供网络边界安全保护的同时,可扩展企业的域名信息。
通过企业申请的公网域名进行身份认证,建立连接企业内部网络的安全通道;通过企业的内部域名访问企业内部业务系统,在提升安全级别的同时,有效降低企业信息系统的运营成本。
3.9您是否担心信息管理人员泄密?
三权分立——三权分立将企业的信息管理人员划分为系统管理员、系统审计员、安全管理员。
通过对管理人员权限的划分,管理人员能相互管理、相互制约,提升企业信息系统的安全性。
4系统组成
本系统由如下模块或设备组成:
客户端:
⏹硬件认证令牌系统设备(可选择的桌面密码机、PCI数据密码卡、智能IC卡、USBkey等)
⏹客户端认证代理软件
服务器端:
⏹安全认证网关
⏹RBAC管理
⏹系统管理
⏹证书及密钥管理系统
4.1运行环境
客户端认证代理
Windows98/2000
安全认证网关
TCP/IP网络
RBAC管理
Windows98/2000/XP/2003
证书及密钥管理系统
Windows98/2000
系统管理
Windows98/2000/XP/2003
4.2技术指标
通信协议
TCP/IP
代理协议
HTTP、FTP
安全规范
PKI、Kerberos、CSP、X509、LDAP
算法
标准
RSA、AES、3DES
专有
08、SSF33、SCB2
访问控制
RBAC、AD
CA
证书及密钥管理系统、第三方CA
架构
支持C/S、B/S架构
安全认证网关(高端)
支持最大2000个并发
安全认证网关(低端)
支持最大500个并发
5系统功能
客户端认证设备系列
采用统一的接口,实现客户端设备的系列化支持。
根据用户的需要,支持软件模块、USBKEY模块、智能IC卡等多种认证设备。
为客户提供广阔的选择空间。
网络身份认证客户端模块
完成用户与客户端认证设备之间的认证,实现基于PKI的握手协议,并利用客户端认证设备实现用户与安全认证网关之间的单、双向身份认证。
网络身份认证客户端模块也代理用户的网络访问请求,代理分为认证型和加密代理型两种,认证型不代理用户应用协议,也不对用户传输的网络数据进行加密保护,仅完成身份认证功能。
加密代理型在认证型的基础上,代理用户的应有协议(如HTTP等),并根据用户的设置,智能的对传输的数据进行加密保护。
证书及密钥管理系统
证书及密钥管理系统按照国际通用的标准设计,具有完善的证书管理和用户管理等功能。
系统将用户证书存放在客户端认证设备中,并发放给用户供客户端认证代理使用;同时将用户信息保存在数据库中,供安全认证服务器和系统管理中心的RBAC管理器使用。
系统应具有图形化的友好界面,方便用户操作。
认证服务模块
实现SSL握手协议,接收客户端、代理服务的认证请求,完成双向身份认证功能,为认证客户发放访问安全服务器的令牌。
安全代理模块
代理用户网络提供的网络服务。
验证用户是否通过认证,并可对传输数据进行安全保护,对通过认证的网络用户实施RABC访问裁决。
并完成对用户的行为进行审计。
由于用户从唯一入口(安全认证网关)访问所有网络资源,因此安全代理模块可以集中进行审计记录。
审计记录是基于用户身份的,它可以准确地记录用户对资源访问的详细情况,为即时监控和事后审计提供了依据。
安全服务器可对用户的登录、使用时间、用户IP地址、访问的资源和进行的操作等信息的记录。
系统
管理
系统管理通过服务器中的系统管理守护模块,控制安全认证网关,实现如网络配置、资源审查、进程管理、访问管理和审计与监控管理等。
RBAC
管理
RBAC管理采用基于角色的访问控制技术对系统中用户进行管理,将旧式系统中对用户的管理抽象为对角色的管理,大大简化了应用系统的管理,提升管理效率。
RBAC管理为用户系统创建访问角色,建立角色的继承关系,为用户分配角色,以及为角色设定访问权限等。
6系统特点
安全性
系统基于PKI技术,运用证书认证技术,可以避免单一口令认证的脆弱性,可安全有效地实现客户端和服务端的相互身份认证。
同时,采用一次一密的动态协商技术,保证认证传输信息的机密性和完整性。
使用RBAC实现文件目录级的访问控制,并可根据用户要求实现更细粒度的访问控制。
实时性
通过系统管理,用户可实时对网络访问进行管理。
系统将提供当前网络的使用状况,如某个用户正在访问网络中的某种服务,某个用户登录了哪个应用系统等。
灵活性
整个系统采用模块化的设计思想,与用户网络环境无关,可运用于任何TCP/IP网络中,无需对用户网络进行改造,方便用户使用。
标准化
支持目前国际标准协议和规范,保证系统的可靠性、兼容性和可扩充性,便于同其他系统接轨和系统的升级。
其中包括X.509V3数字证书、HTTP协议等相关技术规范和标准。
系列化
客户端提供系列化的认证设备,支持软件模块、USBKEY模块、智能IC卡等多种认证设备,为用户提供广阔的选择空间。
7应用部署模式
身份认证系统在实际应用中支持两种部署模式,分别是物理串连模式和逻辑串连模式。
7.1物理串连模式
物理串连模式将安全认证网关串接于应用服务器和客户端之间,应用服务器和客户端之间交互的数据必须经安全认证网关代理。
✧采用物理串联模式具有如下优势
安全性高:
串连模式通过安全认证网关将应用服务器和客户端进行物理隔离,用户无法直接连接应用服务器,仅能在与安全认证网关认证通过后访问被授权的应用服务器端口。
该种方式使应用服务器不直接暴露于客户端,可有效防范来自于客户端的主动或被动攻击。
✧采用物理串联接入方式具有如下不足
1)相对于逻辑串连方式,物理串连方式在物理上将客户端与服务端进行隔离,当服务器需要连接受保护网络以外的服务或服务器中有部分服务不需要安全认证网关的保护,这两种情况均需在网关上进行路由策略配置,通过安全认证网关的路由转发功能实现。
两种方式需消耗安全认证网关的额外带宽,性能相对较低。
2)经物理隔离后客户端与服务端不能直接相联,当出现意外情况如:
安全认证网关损坏,不能采用直联方式紧急恢复网络。
当然该种情况完全可通过多台安全认证网关冗余的方式进行解决。
注:
如系统安全级别较高,我们建议使用物理串连方式进行部署。
7.2逻辑串连模式
逻辑串连模式将安全认证网关物理并联于应用服务器和客户端之间的核心交换机上。
在服务器区可同时部署受保护与不受保护的服务。
两种服务可通过在核心交换机上进行策略区分。
受保护的服务要求必须通过安全认证网关服务器代理方式进行访问,其访问方式于物理串连没有区别;不受保护的服务可通过核心交换机路由转发直接访问。
✧采用逻辑串联模式具有如下优势
1)性能较高:
服务器区的服务可通过核心交换机进行策略区分,分为受保护的服务及不受保护的服务。
受保护的服务被交换机进行路由隔离,客户端访问应用服务必须经过安全认证网关代理方能访问;不受保护的服务由于路由可达因而可直接访问。
该种方式因不受保护的服务无需经过安全认证网关进行路由转发,不占用安全认证网关的带宽,因而性能更高。
2)便于紧急修复:
因服务器区和客户区是通过交换机进行路由隔离,当出现意外情况如:
安全认证网关意外损坏时,可通过在交换机上进行简单设置使服务器与客户机路由可达即可马上恢复网络。
✧采用逻辑串联接入方式具有如下不足
安全性相对较低:
该种方式由于服务端与客户端依赖于交换机进行路由隔离,其安全性还需取决于交换机的安全性,安全级别相对较低。
注:
通常在网络安全级别要求较低时,我们建议采用该种模式进行部署
升级会员 