sec可信平台技术详解与系统架构.pdfVIP

Chinasec可信网络安全平台

技术内幕

2007.3

目录

模块组成

网络通讯模式

块技术特点

键功能机制

统功能介绍

系统架构－基础模块

控制台(C)－服务器(S)－客户端(C)

控制台：标准MMC接口

服务器：Windows服务程序

户端：微型代理程序

系统架构－系统设备

硬件/软网关－转发网关

件/软网关－安全网关

件网关－VPN接入网关

件设备－非法接入阻断设备

系统架构－服务器附加模块

标准服务器程序

服务器热备模块

服务器负载均衡模块

自动日志导出模块

系统架构－控制台附加模块

标准控制台模块

多级管理支持

牌查看和管理工具

日志查看模块

日志报警器

件网关管理模块

网络通讯模式－服务器

主服务器采用被动模式工作

主服务器仅监听网络通讯端口，被动接

收其他模块的通讯请求，不主动进行发

起网络连接操作

热备/负载服务器需要主动连接主服务器，

其他工作方式同主服务器

网络通讯模式－控制台

通讯底层数据包采用加密压缩方式进行

控制台只与服务器进行直接通讯，实时

监控客户端采用服务器转发（客户端实

时控制功能为保证效率，是客户端直接

向控制台发起连接）

控制台主动连接服务器，并采用“问

答”方式工作，服务器不能主动推送

数据过来

网络通讯模式－客户端

通讯底层数据包采用加密压缩方式进行

自动切换主/热备/负载服务器

只与当前服务器进行直接通讯（远程桌

面除外）

户端主动连接服务器，连接成功后，

等待服务器指令

模块技术特点－服务器

负载自适应－高负载的系统操作采用服

务器程序自主控制，不会由于服务器硬

件瓶颈导致系统故障

动服务－降低对网络环境的要求

效数据存储－自主研发的文件数据库，

运行无需第方数据库支持

模块技术特点－控制台

采用Windows标准MMC控制台接口，

与Windows各种专业管理软件操作致

使用硬件令牌保证控制台合法性

通过网络进行管理，可以远程进行系统

管理

模块技术特点－客户端

平台化设计，单客户端支持平台所有系

统

开放化设计，支持多种硬件令牌

底层化设计，所有功能尽量在系统内核

完成，效率高，功能稳定性好，兼容性

好

自身保护：采用MD5验证及保护措施，

保证系统自身的安全运行

模块技术特点－网关

采用嵌入式Linux操作系统，稳定性高

支持硬件网关和软件网关两种形式

支持网关热备和自动负载均衡

关键功能机制－令牌认证

服务器自身令牌的认证

服务器和控制台之间的认证

户端令牌和服务器之间的认证

关键功能机制－网络控制机制

网络数据包控制目标：认证网络资源权

限，网络保密系统，数据管理系统

底层网络数据包流程

全网关/转发网关功能

底层网络数据包加密与解密

底层网络数据包仅控制功能及其机制

防止非法接入的各种实现方式

关键功能机制－存储加密

网络认证系统－安全磁盘

网络认证系统－客户端安全文件

网络认证系统－增强型客户端安全文件

网络保密系统－移动设备管理

网络保密