1.1 为什么需要集中认证网关？.............................................................................................1 1.1.1 帐号管理问题（Account）.....................................................................................1 1.1.2 身份认证问题（Authentication）..........................................................................1 1.1.3 权限管理问题（Authorization）............................................................................2 1.1.4 集中审计问题（Audit） .........................................................................................2 1.1.5 用户体验问题（SSO, Single Sing‐On） ..................................................................2
2.2 系统体系架构.....................................................................................................................5 2.3 核心功能.............................................................................................................................7
2.1 为什么选择 TrustMore 集中认证网关..............................................................................3 2.1.1 从集中管控角度......................................................................................................3 2.1.2 从用户体验角度......................................................................................................5 2.1.3 从集中审计角度......................................................................................................5
目前，政府、行业和企业分别在不同时期构建和部署了大量应用系统，可能包括：Portal、 OA、Email、FTP、ERP、业务系统、科技管理系统、项目管理系统等多个应用系统和业务系 统。每个系统具有独立的帐号、身份和权限管理模块，相互独立。如何构建统一的集中认证 平台，实现多应用系统的集中管控和信息融合是消除信息化孤岛的有效手段之一。
2011
i
TrustMore 集中认证网关
【产品白皮书】
北京中宇万通科技有限公司
目录
一、前言 ................................................................................................................ 1
此外，现有的系统和新开发的应用系统，没有统一的帐号管理规范可遵循，无论已经开 发完成的还是即将开发的新应用系统，都要重复开发人员管理、身份认证、权限管控和审计 模块，而且系统之间无法同步，造成投资浪费和管理成本的提升。
1.1.2 身份认证问题（Authentication）
在已建设的应用系统中，绝大多数都是采用用户名口令的认证方式，而且每个系统维护 的帐号信息不尽相同。当人员使用多系统时，必然导致人员将不同系统口令设置一致，或者 采用弱口令，甚至全部帐号采用弱口令，身份认证和权限管理形同虚设。再加上用户名口令 无法标识自然人，势必导致整个系统的安全等级大幅度降低，根本达不到设计时的安全预想。
1.1.1 帐号管理问题（Account）
目前，大多数已建设的应用系统都具有独立的帐号管理模块，由于建设时期不同，研发 的厂商不同，采用的技术和方法、安全性设计和可管理性也不尽相同。因此，帐号分布在不 同系统，由个人或应用系统维护，无法实现安全策略的统一实施和下发。
其次，人员的帐号信息难以和人员自然属性信息绑定，往往只包含了登录系统所使用的 用户名和口令，无法和自然人一一对应，难以实现实名制标识、认证和审计。
1
如果出现了冒名访问和暴力破解口令事件，通过现有的审计系统和应用系统自身的审计 功能根本不具备可追溯性和可追究性。
此外，所有身份认证信息和数据信息一样采用明文方式在网络中传输，口令非常容易被 监听和窃取，而互联网上充斥着各种简单易用的监听工具，任何系统的帐号信息（包括管理 维护人员的帐号信息）唾手可得，现有的应用系统身份认证机制已经远远无法满足当前政府、 行业和企业信息化发展的需求。
1.2 如何选择集中认证网关？.................................................................................................3
二、TrustMore 集中认证网关介绍 ....................................................................... 3
i
一、前言
1.1 为什么需要集中认证网关？
随着政府、行业和企业信息化建设的快速发展和推进，信息化建设中信息孤岛问题日益 严重。在信息化的发展过程中，IT 应用也伴随着技术的发展而前进，但与其它变革明显不同 的是，IT 应用的变化速度更快，也就是说，政府、行业和企业每进行一次局部的 IT 应用更 新都可能与以前的应用不配套，也可能与以后的“更高级”的应用不兼容。因此，从产业发 展的角度来看，信息孤岛的产生有着一定的必然性。
四、TrustMore 集中认证网关功能与特色.......................................................... 16
五、规格型号与参数 ........................................................................................... 19
1.1.3 权限管理问题（Authorization）
由于没有统一的身份认证和身份标识机制，目前，每个应用系统根据自身的帐号管理系 统实现权限划分。一方面，权限管理变得非常复杂，尤其跨地区开放的应用系统，不仅仅面 临异地访问的安全问题，还面临着人员调整和变动导致的一系列安全隐患，权限的划分无法 做到合理、灵活。
2.3.1 全面支持 PKI 数字证书认证方式 .........................................................................7 2.3.2 单点登录技术..........................................................................................................7 2.3.3 终端签名验证技术..................................................................................................8 2.3.4 多类型应用支持......................................................................................................8 2.3.5 应用防火墙技术......................................................................................................8 2.3.6 应用加速技术..........................................................................................................8 2.4 系统部署方式.....................................................................................................................9 2.4.1 主路方式..................................................................................................................9 2.4.2 旁路方式................................................................................................................10 2.4.3 双（多）机热备....................................................................................................11 2.4.4 负载均衡................................................................................................................12 2.5 系统应用场景...................................................................................................................14.............................................................. 14