时代亿信认证访问控制墙技术白皮书文档格式.docx

1、同时，本产品可应用到WLAN无线网络，实现基于无线网络的统一认证与访问控制。本产品已在中国电信总部OA统一认证与访问控制工程、中央国债统一认证及访问控制工程等项目中成功使用。认证访问控制墙着眼于应用层和网络层两个层面的认证与访问控制联动，为电信级企业或集团的各类用户和应用系统、主机、网络设备等资源提供高性能的安全认证服务、安全接入与访问控制服务、安全管理服务、安全审计服务，详见下图。图 时代亿信认证访问控制墙服务架构时代亿信推出的认证访问控制墙，是当前市场中唯一整合了CA、动态口令、短信认证等多种身份认证技术、应用动态加密通道、网络流量差异化服务、网络层访问控制、应用代理、信息中转和推送、协议

2、分析、URL重写、内容过滤、内容重写、端到端加密通道、服务器插件信息提取等多项关键技术，综合提供身份统一管理、角色统一管理、资源统一管理、授权统一管理、身份统一认证、访问控制等功能的产品，能有效整合各种应用系统用户资源，增强应用资源安全性，提高工作效率，降低沟通成本，是对多种信息安全技术、身份认证技术和访问控制技术的综合应用，可广泛满足用户的多种需求，而无须进行二次开发，快速部署和应用。2. 产品分类认证访问控制墙从产品形态上分为应用版、网络版和无线版。应用版主要应用于B/S、C/S系统的统一用户管理、认证和访问控制；网络版主要应用于数据库、主机和网络设备的访问控制；无线版主要应用于WLAN无

3、线网络的准入。2.1 应用版应用版（简称AWA）作为企业用户管理、应用系统管理、统一认证和权限管理中心，以企业用户、B/S和C/S系统为整合目标，实现统一认证、统一授权和访问控制。认证墙应用版管理员界面图2.2 网络版网络版认证墙（简称AWN）是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标，集成强身份认证、会话审计、集中管理功能的一体化硬件设备。可对企业内部用户应用访问、管理员维护等各类操作进行访问控制。AWN基于包过滤及代理技术，可实现对http、telnet、ssh、ftp、rdp远程桌面、cifs文件共享等应用协议的访问控制及会话审计。认证墙网络版管理界面图2.3

4、无线认证版无线认证版（简称SpotFront）为用户的WLAN接入提供安全、方便、灵活的身份认证功能，实现对无线网络的保护以及用户安全域的划分，有效满足企业对无线网络的安全管理需求。无线认证墙可以和无线厂商控制器紧密配合，支持对多SSID分别进行网络准入以及，形成从身份认证、VLAN划分、访客管理、日志审计、访问控制的综合解决方案。无线认证墙举例3. 认证访问控制墙应用版3.1 认证访问控制墙应用版概述3.1.1 认证访问控制墙应用版简介时代亿信认证访问控制墙应用版（以下简称AWA产品）是新一代的应用系统认证及资源整合产品，可作为企业用户管理、应用系统管理、统一认证和权限管理中心，为B/S、C

5、/S架构应用系统提供统一认证与单点登录功能，可配置多种认证方式，可管理各个应用系统用户账号，为应用系统提供账号管理、用户生命周期管理等功能。同时，内置的CA组件还可使AWA成为企业CA中心，为用户提供证书申请、证书审批、证书签发及证书认证等功能。AWA是一个针对B/S、C/S架构应用系统的强身份认证及资源整合解决方案，对各类信息系统均可提供统一认证、单点登录、用户授权和统一身份管理功能，可统一制定企业安全策略，有效降低企业应用系统管理维护量，提高系统安全水平。4. 认证访问控制墙网络版4.1 认证访问控制墙网络版概述4.1.1 认证访问控制墙网络版简介认证访问控制墙网络版 （下文简称AWN）可

6、以对多种业务系统（B/S*和C/S）、网络设备、服务器（Windows、Linux、Unix等）提供身份认证（Authentication）、访问控制（Access Control），日志审计（Audit）等功能，为上层应用提供安全基础支撑，下图为AWN系统的层次结构图。AWN系统层次结构图AWN是一个集中网络访问认证、授权、审计的解决方案。对信息系统中的各类资源，如WEB资源、非WEB资源、数据资源、网络设备、服务器以及数据库等，提供统一的认证授权和访问控制功能，可以提高整个信息系统的安全管理水平，有效降低管理成本。5. 认证访问控制墙无线版5.1 认证访问控制墙无线版概述认证访问控制墙网络

7、版（下文简称SpotFront）是时代亿信公司为企业无线网络安全身份准入认证以及来宾访客管理提供的解决方案，可以为WIFI无线网络供接入访问认证，员工、访客管理等功能，为无线网络提供方便、简洁，功能强大的认证和管理服务。SpotFront产品针对不同的用户和环境要求，可制定不同的认证模式，比单一功能的传统无线认证更能满足多变的实际应用需求。SpotFront产品的用户可划分为正式用户与访客两种主要角色，对于正式用户，可以对其颁发数字证书，进行基于USB智能卡的身份认证，此种方式有利于提高企业信息系统的安全性。对于访客用户，由于访客的身份是未知的，所以需要进行访客的统一管理，每个访客若想使用企业

8、内部的WLAN，就必须向接待该访客的内部员工提出申请，由内部员工在“WLAN访客管理”中申请访客账号，此时访客接入的无线网络与内部员工使用的无线网络为不同网段，有效保护内部应用的安全。图1-2 SpotFront系统原理图6. 成功案例电信行业中国电信集团公司安全公务平台系统中国电信集团公司远程移动安全办公系统中国电信门户/OA（EIAC）互连互访工程中国电信集团公司OA密钥认证系统中国电信集团公司门户密钥认证系统中国电信集团公司财务部信息系统及密钥认证系统中国电信集团公司法律部信息系统及密钥认证系统中国电信集团公司监管事务部信息系统及密钥认证系统中国电信集团公司企业发展部信息系统及密钥认证系

9、统中国电信集团公司大客户CRM密钥认证系统中国电信集团公司政企客户事业部信息系统及密钥认证系统中国电信集团公司运维部密钥认证系统重庆电信公司门户远程移动安全办公系统江苏电信RA数字证书受理系统陕西省电信RA数字证书受理系统贵州省电信OA密钥认证系统安徽省电信OA密钥认证系统新疆电信协同办公密钥认证系统新疆电信公司人力资源远程移动安全办公系统西藏电信公司OA安全认证系统湖南电信公司统一身份认证平台甘肃电信公司门户安远程移动安全办公系统江西电信公司OA远程移动安全办公系统天津电信公司OA远程移动安全办公系统天津电信公司文档安全系统山东电信公司OA远程移动安全办公系统吉林电信公司OA远程移动安全办公

10、系统海南电信公司门户系统及密钥认证系统海南电信公司文档安全系统政府全国人大办公业务资源网统一身份认证系统外交部OA系统安全认证中科院数字图书馆统一身份认证系统南京市政府统一政务平台中央国债登记结算公司统一身份管理平台系统 军队与军工解放军某总部数字证书受理与密钥认证系统某海军基地网络安全项目武警某部数字证书受理与密钥认证系统中国船舶工业集团公司某单位安全防护系统中国船舶重工集团公司某单位安全防护系统国家某机关单位航空工业集团某企业统一认证平台航天科技集团某企业统一认证平台空军某研究所安全保密项目其他行业首创股份有限公司统一身份认证平台开滦集团统一身份认证平台首创集团安全认证项目中国再保险安全认证与远程移动办公项目中国银行（江苏）网上外汇交易安全认证系统赛迪网安全电子邮局连云港港口集团统一身份认证系统联系我们时代亿信总部公司地址： 北京市西城区新街口外大街28号（德胜科技园区）B座115室邮政编码： 100088电话： 86-10-82055353 ，86-10-82055352 86-10-82051801 ，86-10-8205180286-10-82053091 ，86-10-82053092传真： 86-10-82055353-8818电子邮箱： customer网址： 2009 北京时代亿信科技有限公司版权所有。EETRUST是北京时代亿信科技有限公司的注册商标。