JIT 身份认证网关G v3.0产品白皮书Version 1.0有意见请寄：************.cn中国·北京市海淀区知春路113号银网中心2层电话：86-010-******** 传真：86-010-********吉大正元信息技术股份有限公司目录1前言 (2)1.1应用场景描述 (2)1.2需求分析 (3)1.3术语和缩略语 (4)2产品概述 (4)2.1实现原理 (4)2.1产品体系架构组成 (5)2.1.1工作模式和组件描述 (6)3产品功能 (8)3.1身份认证 (8)3.1.1数字证书认证 (8)3.1.2终端设备认证 (9)3.1.3用户名口令认证 (10)3.2鉴权和访问控制 (10)3.2.1应用访问控制 (10)3.2.2三方权限源支持 (11)3.3应用支撑 (11)3.3.1支持的应用协议和类型 (11)3.4单点登录 (12)3.5高可用性 (12)3.5.1集群设定 (12)3.5.2双网冗余 (13)3.5.3双机热备 (13)3.5.4负载均衡 (13)4部署方式 (14)4.1双臂部署模式 (14)4.2单臂部署模式 (14)4.3双机热备部署 (15)4.4负载均衡部署 (16)4.5多ISP部署方式 (17)5产品规格 (17)5.1交付产品和系统配置 (17)5.1.1交付产品形态 (17)5.1.2系统配置和特性 (18)6典型案例 (19)6.1某机关行业 (19)6.2 .................................................................................................................... 电子通讯行业201 前言1.1 应用场景描述随着信息化的快速发展，网络内信息应用以其高效、便捷的特点得到广泛应用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。

越来越多的重要业务在网上办理，越来越多的重要信息在网络中传输，如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题，但通常的网络应用都存在以下安全隐患：一．没有有效的身份认证机制：一般都采用用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在：●口令易被猜测；●口令在公网中传输，容易被截获；●一旦口令泄密，所有安全机制即失效；●后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管理非常困难。

二．数据传输不安全：当前大多网络应用所发放的数据包均是按照TCP/IP 协议为明文方式传输，而Internet 的开放性造成传输信息存在着被窃听、被篡改的安全问题。

三．操作抵赖：网络应用将现实世界的实体操作转化为虚拟世界的信息流，信息流的可复制性对操作的唯一性和可信性提出了挑战，操作可以被抵赖成为网络应用亟需解决的一个严重问题1.2 需求分析针对以上场景，需要建立一套安全防护系统，为用户提供统一、安全的身份认证服务，并根据用户提交的身份不同而分配不同的权限，以达到权限最小化分配。

由于业务系统都是独立部署，并且运行在不同的平台上。

因此，在确保业务系统能够独立运行的前提下解决统一身份认证、统一授权的问题，需要满足以下的需求：➢应用保护由于应用的复杂性和多样性，需要对使用不同协议的应用进行保护。

除了支持应用层的常用协议外，还要支持所有使用TCP、UDP协议的应用，甚至有些时候还需要将整个IP全部对用户开放。

➢身份认证除了传统的用户名/口令认证外、必须提供高强度的身份认证方式，如PKI/CA数字证书等，以确保登录的用户确实为授权的个体，消除未授权用户非法访问的风险。

同时，要与用户现有的用户管理系统（如AD、LDAP、RADIUS 等）相结合，并能做到数据同步。

在安全性要求更高的场合里，还需要对登录用户的硬件信息进行认证。

➢访问控制允许用户定义合适的安全策略，可以有效保护对专用网络系统及应用的访问，可以根据用户的不同身份来确定其访问权限。

➢链路加密使用密码技术和隧道协议来提供网络的保密性、认证性及信息完整性。

➢责任认定可以通过提供的个人信息及计算机硬件信息来综合认证用户的身份，并可以记录下其访问应用的情况，实现不可抵赖特性。

当出现安全事故时，也可以确保合法用户不会被任何非法访问事件所牵连。

1.3 术语和缩略语2 产品概述2.1 实现原理吉大正元身份认证网关是提供内部网络的接入控制以及对接入用户进行强身份认证和审计服务的产品，解决用户使用应用系统时涉及的身份验证、信息保密、权限控制等安全问题。

为网络应用提供以下安全支撑服务：➢提供数字证书、用户名口令、硬件信息等多种认证方式➢基于角色的动态用户授权机制➢基于协议、端口或IP的应用系统保护➢针对应用系统资源进行细粒度的权限控制➢高强度的传输链路加密➢对用户接入应用系统的行为进行全方位监控、追踪和审计该产品基于开放的标准开发，具备良好的兼容性和可扩展性，全面支持PKI/CA（公钥基础设施）系统，实现边界接入网络安全的整体解决方案。

产品部署在应用系统与终端用户之间，真正做到了安全和应用的无缝连接，更易于推广。

图2-1 身份认证网关2.1 产品体系架构组成应用端filter或接口图2.1-1G网关体系架构图2.1.1 工作模式和组件描述正元身份认证网关支持主路和旁路两种工作模式，这样能更好的满足用户复杂的应用接入环境和安全应用需求，在应用安全和应用效率的侧重点上用户可以自由的选择。

2.1.1.1 主路工作模式主路模式下用户的业务访问都必须经过身份认证网关，用户只有通过身份认证网关后才可以访问到后台的业务应用，这是一种业务应用安全需求至上的应用模式，主路模式的优点在于更强的访问控制和应用网络的地址结构保护。

这种模式的组件主要分为三个部分：◆网关服务端：负责用户的集中身份认证和通信链路保护以及鉴权访问控制。

◆网关客户端：部署在用户客户端上，构建客户端与网关服务端的认证桥梁。

◆应用端接口：解决应用访问的二次认证和应用信息传递的开发接口，如果用户不关注二次认证和信息传递，则不需要。

图 2.1.1.1-1 产品体系架构图2.1.1.2 旁路工作模式旁路模式下身份认证网关只负责用户的身份认证，用户一旦通过身份认证后其与业务的通信交互则与网关无关，这是一种应用效率至上的应用模式，旁路模式的优点在于更高效的集中身份认证效率，对应用访问的瓶颈影响最小，这种模式的组件主要分为四个部分：◆网关服务端：负责用户的集中身份认证和鉴权信息传递。

◆客户端API：C/S架构应用下的认证请求发起。

◆应用端接口：负责转发客户端的认证请求到网关服务端。

图 2.1.1.2-2（B/S应用）图 2.1.1.2-3（C/S应用）3 产品功能3.1 身份认证3.1.1 数字证书认证系统支持PKI/CA数字证书认证方式，对PKI全面支持，包括以下方面：●用户数字证书完整性验证验证证书基本信息，包括有效期、信任域、证书状态。

●CRL更新系统支持动态更新CRL，并支持WEB站点下载、LDAP服务器下载、及手工导入三种更新模式。

●支持OCSP证书验证方式系统支持OCSP协议进行证书状态验证。

●支持标准的证书载体支持PKCS#12标准证书和各种具备标准CSP的硬件KEY。

●支持证书链支持由多级CA颁发的证书。

●支持单、双向认证选择系统不仅支持使用证书对服务器身份进行认证，也支持使用证书对客户端身份进行认证。

可以通过配置为单向、非强制双向、双向三种认证方式，设置用户是否需要提交证书。

●支持多信任域认证同时支持多个证书颁发机构颁发的证书。

●兼容多家厂商证书系统基于开放标准开发，支持多种证书，包括国内所有区域CA。

3.1.2 终端设备认证系统能够对接入客户端设备特征进行认证，只有认证的设备才能成功接入。

系统采用硬件特征码标识接入终端设备，硬件特征码包括：MAC地址和硬盘序列号。

如果开启了硬件注册功能，则用户在访问网关时，需提交个人的硬件信息，由管理员审核通过后方可登录网关。

网关的主机绑定功能，强制用户只能从指定主机接入网关才能够成功。

接入主机的高可信度提高了应用访问的安全性，同时，在确认该主机安全的情况下，也绝对防止了非法用户盗用用户帐号后从其他主机访问网关的非法行为。

3.1.3 用户名口令认证系统支持联合吉大正元统一用户管理系统（JIT UMS），可以通过连接UMS获取用户账号信息完成用户认证操作,同时增加验证码机制防止恶意登录。

3.2 鉴权和访问控制3.2.1 应用访问控制正元G网关支持访问控制模板设置，管理员可以通过配置策略模板，授权用户对应用系统的访问，应用入门级控制可以配置以下几种策略：●全局默认策略控制当应用没有配置具体的访问控制策略时，网关通过全局默认策略进行访问控制，全局默认策略的优先级最低。

●根据用户认证方式控制可以根据用户认证等级策略控制用户对应用的访问权限。

认证等级分为口令认证、数字证书认证、口令+数字证书认证。

●根据数字证书DN规则控制管理员可以根据用户数字证书，设置DN项规则策略，限制某个或某一群组用户对应用的访问。

系统采用黑、白名单的形式设置策略，DN规则配置灵活，支持通配符。

●根据时间段规则控制管理员可以根据时间段规则策略控制某一时间段内，允许访问应用或者禁止访问应用●根据IP地址规则控制管理员可以根据IP地址规则策略控制某一IP地址或某一IP区间段允许访问应用或者禁止访问应用。

●根据用户名控制管理员可以根据用户名策略控制某一用户允许或者禁止访问应用3.2.2 三方权限源支持正元G网关支持从JIT UMS（统一用户管理系统）和JIT PMS（统一权限管理系统）中获取应用入门级或细粒度访问控制权限。

其业务流程为：用户通过身份认证网关的认证，网关连接UMS或PMS查询该用户在应用中的全局权限设定，再配合网关自身的访问控制策略模板统一的进行鉴权和访问控制。

3.3 应用支撑3.3.1 支持的应用协议和类型3.3.1.1 基于TCP/UDP的任意协议网关支持多种基于TCP/UDP 的web或Client/Server结构的应用系统。

管理员只需通过简单的管理接口在服务器上定义需要支持的应用，及配置好服务器使用的端口。

网关也支持多种使用动态端口的应用协议，比如FTP, TFTP, Oracle, SQL server等。

这些特性使得网关能够最大程度的满足用户的应用需求。

3.3.1.2 灵活安全的应用服务定义在网关中，定义一个服务需要指定服务所在的地址，端口，服务类型，应用访问控制规则(Application Access Control Rule)，关联的客户端应用程序，是否隐藏服务，服务应用到的角色等。