身份认证E网关-3.0产品白皮书.docVIP

JIT身份认证网关Gv3.0

产品白皮书

Version1.0

有意见请寄：info

中国·北京市海淀区知春路113号银网中心2层

：86-010：86-010吉大正元信息技术股份

目录

TOC\o1-3\h\z\u1 前言 2

1.1 应用场景描述 2

1.2 需求分析 3

1.3 术语和缩略语 4

2 产品概述 4

2.1 实现原理 4

2.1 产品体系架构组成 5

工作模式和组件描述 6

3 产品功能 8

3.1 身份认证 8

数字证书认证 8

终端设备认证 9

用户名口令认证 10

3.2 鉴权和访问控制 10

应用访问控制 10

三方权限源支持 11

3.3 应用支撑 11

支持的应用协议和类型 11

3.4 单点登录 12

3.5 高可用性 12

集群设定 12

双网冗余 13

双机热备 13

负载均衡 13

4 部署方式 14

4.1 双臂部署模式 14

4.2 单臂部署模式 14

4.3 双机热备部署 15

4.4 负载均衡部署 16

4.5 多ISP部署方式 17

5 产品规格 17

5.1 交付产品和系统配置 17

交付产品形态 17

系统配置和特性 18

6 典型案例 19

6.1 某机关行业 19

6.2 电子通讯行业 20

前言

应用场景描述

随着信息化的快速开展，网络内信息应用以其高效、便捷的特点得到广泛应用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理，越来越多的重要信息在网络中传输，如何保护这些重要资源的平安访问以及重要数据的平安流转是网络应用面临的重要问题，但通常的网络应用都存在以下平安隐患：

一．没有有效的身份认证机制：一般都采用用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在：

口令易被猜想；

口令在公网中传输，容易被截获；

一旦口令泄密，所有平安机制即失效；

后台效劳系统需要维护庞大的用户口令列表并负责口令保存的平安，管理非常困难。

二．数据传输不平安：当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输，而Internet的开放性造成传输信息存在着被窃听、被篡改的平安问题。

三．操作抵赖：网络应用将现实世界的实体操作转化为虚拟世界的信息流，信息流的可复制性对操作的唯一性和可信性提出了挑战，操作可以被抵赖成为网络应用亟需解决的一个严重问题

需求分析

针对以上场景，需要建立一套平安防护系统，为用户提供统一、平安的身份认证效劳，并根据用户提交的身份不同而分配不同的权限，以到达权限最小化分配。由于业务系统都是独立部署，并且运行在不同的平台上。因此，在确保业务系统能够独立运行的前提下解决统一身份认证、统一授权的问题，需要满足以下的需求：

应用保护

由于应用的复杂性和多样性，需要对使用不同协议的应用进行保护。除了支持应用层的常用协议外，还要支持所有使用TCP、UDP协议的应用，甚至有些时候还需要将整个IP全部对用户开放。

身份认证

除了传统的用户名/口令认证外、必须提供高强度的身份认证方式，如PKI/CA数字证书等，以确保登录的用户确实为授权的个体，消除未授权用户非法访问的风险。同时，要与用户现有的用户管理系统〔如AD、LDAP、RADIUS等〕相结合，并能做到数据同步。

在平安性要求更高的场合里，还需要对登录用户的硬件信息进行认证。

访问控制

允许用户定义适宜的平安策略，可以有效保护对专用网络系统及应用的访问，可以根据用户的不同身份来确定其访问权限。

链路加密

使用密码技术和隧道协议来提供网络的保密性、认证性及信息完整性。

责任认定

可以通过提供的个人信息及计算机硬件信息来综合认证用户的身份，并可以记录下其访问应用的情况，实现不可抵赖特性。当出现平安事故时，也可以确保合法用户不会被任何非法访问事件所牵连。

术语和缩略语

缩略语

英文

中文

JITUMS

JITUserManagerSystem

吉大正元统一用户管理系统

JITPMS

JITPrivilegeManagerSystem

吉大正元权限管理系统

CA

CertificateAuthority

数字证书中心。作为权威的第三方负责发放数字证书

CRL

CertificateRevokeList

证书撤消列表

LDAP

LightweightDirectoryAccessProtocol

轻量级目录访问协议