磐石终端安全系统(V3.0.22)概要设计报告V220100617.docVIP

受控 磐石终端安全系统（3.0.22） 概要设计报告 中国·北京市海淀区知春路113号银网中心B座2层 电话：86-010传真：86-010吉大正元信息技术股份有限公司 更新记录 版本 编制/修改人 修改日期 修改对象 备注（原因、进一步的说明等） 审批人/日期 V1.0 边峥，索瑞军 2010-05-10 文档创建 V1.1 索瑞军 2010-05-13 修改描述信息，修改服务器端主结构图 目录 1 概述 1 1.1 开发与设计的总体思想 1 1.2 开发平台及编程语言 1 1.3 名词解释 1 2 用户界面设计 1 3 总体设计 5 3.1 产品总体结构 5 3.1.1 服务器 5 3.1.2 客户端 6 3.2 软件模块组成 6 3.2.1 服务器 6 3.2.2 客户端 8 3.3 业务流程 10 3.3.1 策略设置 10 3.3.2 Key类型维护 10 3.3.3 客户端以证书为认证因素完成入网接入认证 10 3.3.4 增强客户端在线更新配置链接功能 14 3.4 通信设计 14 3.5 数据存储设计 15 3.5.1 数据库表关系 15 3.5.2 表结构设计 15 3.6 性能设计 15 3.7 可靠性设计 16 3.8 扩展性设计 16 3.9 兼容性设计 16 3.10 可移植性设计 16 3.11 可升级性设计 16 3.12 可管理性设计 17 3.13 可维护性设计 17 3.14 易用性设计 17 3.15 增加市场竞争力和项目控制力设计 17 3.16 远程调试设计 17 3.17 硬件产品端口管理 18 3.18 硬件产品自动化测试的支持 18 3.19 硬件产品对液晶面板的支持 18 3.20 共性技术平台相关设计 18 概述 开发与设计的总体思想 磐石终端安全系统是吉大正元在内网安全理念的基础上，综合利用身份认证和文件系统加密技术开发的针对于终端计算机的信息保护与控制平台。 此v3.0.22版本新增入网接入认证、Key快速更换以及支持主流64位Windows系统功能，其目的在于提高产品易用性和兼容性。 本版本的开发原则为：快速交付，产品稳定。 此版本新增主要功能： 增加入网接入认证功能； 此版本仅支持802.1X网络入网认证。 通过隐藏策略策略控制客户端是否启用入网认证。 客户端支持Key快速更换： 服务器端增加Key类型维护功能；管理员可以通过该功能添加、删除和修改自定义的Key类型。 修改AdminTool工具： 终端用户在离线状态下通过该工具修改客户端所使用的Key类型和磐石服务器IP地址。 增强在线更新配置功能（IE链接方式）： 终端用户可以通过访问该链接完成在线更换Key和服务器IP操作。 客户端新增对以下操作系统支持 WindowsXP Professional SP2/SP3 (64bit) Windows Vista Ultimate/Home SP1 (64bit) Windows 7 Ultimate/Home (64bit) 开发平台及编程语言 开发工具：Eclipse 3.3，Microsoft Visual Studio 2005 + SP1 设计工具：Microsoft Office Visio 2007，Rational Rose 2003 编程语言： 服务端：Java（SUN JDK1.5） 客户端：C++（Microsoft SDK 6.0，Microsoft WDK 6001） 名词解释 802.1X： IEEE 802.1X是IEEE制定关于用户接入网络的认证标准，它的全称是“基于端口的网络接入控制”，可用于为以太网络提供经过身份验证的网络访问。通过基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。 用户界面设计 服务器 服务器端多Key列表维护 Key型号列表 修改Key型号（显示高级配置） Key驱动安装页面 客户端 调整AdminTool工具对多Key情况的支持 AdminTool工具 增强在线更新配置功能，使支持换Key操作（换Key前需安装新Key驱动） 开始 确认Key类型并输入PIN码 确认Key中证书DN 换Key成功提示 换Key失败提示 总体设计 产品总体结构 说明： 客户端与磐石服务器的交互主要是获取密钥，获取安全策略，上传日志等。 客户端与LDAP服务器的交互主要是从LDAP服务器下载用户证书（用于向其他人加密文件）。 磐石服务器与AQS的交互主要是向AQS系统上报审计日志。 服务器 服务器在设计上采用MVC分层设计原