TrustMore集中认证网关功能及特色
审计日志
身份认证和访问控制实现原理
身份认证和访问控制实现原理 身份认证和访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证和访问控制安全需求。而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证和访问控制需求。以下将分别进行介绍: 基于SSL的身份认证和访问控制 目前,SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术,在用户使用浏览器访问Web服务器时,会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时:首先,服务器会传送它的服务器证书,客户端会自动的分析服务器证书,来验证服务器的身份。其次,服务器会要求用户出示客户端证书(即用户证书),服务器完成客户端证书的验证,来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效(即是否被窜改等)和客户端证书是否被吊销等。验证通过后,服务器会解析客户端证书,获取用户信息,并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成,对用户是透明的。 如下图所示,除了系统中已有的客户端浏览器、Web服务器外,要实现基于SSL的身份认证和访问控制安全原理,还需要增加下列模块: 基于SSL的身份认证和访问控制原理图 1.Web服务器证书 要利用SSL技术,在Web服务器上必需安装一个Web服务器证书,用来表明服务器的身份,并对Web服务器的安全性进行设置,使能SSL功能。服务器证书由CA 认证中心颁发,在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web 服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效 期,Web服务器需要使能SSL功能的前提是必须拥有服务器证书,利用服务器证书 来协商、建立安全SSL安全通道。 这样,在用户使用浏览器访问Web服务器,发出SSL握手时,Web服务器将配置的服务器证书返回给客户端,通过验证服务器证书来验证他所访问的网站是否真
统一身份认证平台讲解
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
酒店行业porl认证解决方案
酒店行业p o r l认证解 决方案 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
目录 一、项目背景 随着智能手机、平板电脑成为出行的必备,酒店业为提升品牌管理与服务意识,纷纷上马无线网络项目,为住客提供优质的WIFI接入服务。 酒店无线网络建设分为两种情况:酒店自建无线网络与电信运营商圈地建设。 电信运营商“圈地建设”是指前期电信运营商自己投入费用(包括无线网络设备费用、安装调试维护费用、互联网接入费用及前期与酒店接触所产生的营销费用等),利用酒店现有的经营场所免费给酒店建设无线网络,作为酒店方面不需要出具任何费用,就能让客人使用电信运营商建设的无线网络,后期电信运营商会向使用无线网络的客人收取上网费用以达到收回前期各种费用投资并在今后实现持续盈利的目的。 从表面上来看,受益的确实是酒店方,既不用自己出任何费用又解决了让客人无线上网的实际需求,何乐而不为呢部分酒店都爽快地签订了“圈地协议”,但运营一段时间后发现运营商的无线网络存在着严重的弊端:
1)“圈地建设”具有排它性,如果A电信运营商先与酒店方商谈达成协议,则会要求酒店方不准再让B电信运营商在酒店方的场所建设无线网络,从 而达到自己利益的最大化。这样就导致了三大运营商的用户交叉,酒店宣 称提供无线服务,但B、C运营商的用户却无法接入(运营商无线只向本 品牌的用户服务),导致B、C运营商的用户投诉; 2)“圈地建设”不向酒店方收取任何费用,但不代表不向入住的客人收取费用,电信运营商往往是在市场推广初期以促销的方式让入住酒店的客人免 费体验无线网络,也不排除某些电信运营商一开始就会向入住酒店的客人 收取上网费用,这正印证了“没有免费的午餐”这句话啊!向客人收取费 用的标准会以电信运营商的不同而不同,计费方式是按上网所产生的流量 与上网所产生的时间两种。“圈地建设”所看重的正是酒店方的经营场所 内入住的客人群体,这个客人群体才是能产生利润的根本之根本,酒店只 是一个所谓的“载体”。收费WIFI对用户来说,形同虚设,不得已要使 用网络而留下对酒店形象的负面影响。(双重收费引发客人不满,导致客 人投诉酒店且有可能下次不再入住该酒店) 鉴于此,酒店方希望自建无线网络免费向所有住客开放,以获取住客对酒店服务的确定(毕竟基础设施是一次性投入,而客户却是永久的)。 二、需求分析 一个完整的无线网络包含如下几部分:宽带接入、网关、交换机、AP (AC)。一个酒店如果实现全面覆盖,根据规模不同,少则十几万,多则几十万,也是一笔不小的投资。此非本方案要探讨的问题,酒店希望通过低成本的方案既实现无线网络覆盖,同时又能100%自主拥有自己的无线管理发布平台。
安全认证网关的Web系统开发规范
安全认证网关Web系统开发规范 v1.1 电子政务外网电子认证办公室 2010年12月
目录 1规范描述 (1) 2开发常见问题 (2) 2.1如何保证应用用户与SSL连接用户的一致性? (2) 2.2http与https进行切换时应用如何保持用户session? (2) 2.3采用可选验证时,应用如何判断用户是否提交了证书? (3) 3应用接口 (4) 3.1接口描述 (4) 3.2接口实例 (5) 3.2.1Asp脚本示例 (5) 3.2.2JSP脚本示例 (6) https://www.360docs.net/doc/b314455742.html,的示例 (8) https://www.360docs.net/doc/b314455742.html,的C#脚本示例 (11)
SSL安全网关能够对用户的数字证书进行验证,在浏览器与Web服务器之间建立安全加密通道,可以为Web应用系统提供用户身份认证和数据保密的功能。为了充分利用SSL安全网关的安全功能,保证系统可操作性和性能,实现系统与安全网关的顺利结合,在Web应用系统的开发过程中应注意以下几点: ?系统中的用户标志设置必须以用户数字证书中的标志为基础。 ?用户身份的获取必须以安全网关提供为准,用户身份从cookie中获取,系统 可以去掉登录页面。 ?在使用超级连接时尽可能使用相对链接,禁止使用HTTP的绝对链接本地服 务,否则无法访问,本地服务用户只能通过HTTPS访问。 ?避免使用协议的特有功能,保持HTTP与HTTPS的通用性。 ?不得使用KOAL_开头的cookie作为有用信息,否则会被过滤。 ?避免使用过多的cookie信息,建议不要超过1000字节。 ?对于网页中参数的传递尽可能以POST方式,避免GET方式。 ?在网页美观的前提下,保证网页的简洁性,尽量减少网页中的帧数和资源数 目(图片等),提高SSL的连接性能。 ?减少使用重定向功能,避免使用多重重定向功能。 ?系统提供统一的固定端口对外提供服务,避免使用动态及多个端口。 ?对每个网页都必须对获取的用户身份cookie与应用保存的用户session值进 行对比,防止另一个用户使用未关闭的IE进行访问。 ?若网页包含多框架或多窗口,则网页内容的获取应统一由HTTPS方式获取, 避免混用其他方式(HTTP,about:blank空页面等)获取,否则会提示网页包含不安全内容。
统一身份认证平台讲解-共38页知识分享
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
吉大正元身份认证网关G程序员手册
身份认证网关G 程序员手册 吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.
目录 1受保护应用如何取得证书信息 (3) 1.1证书主题 (3) 1.2证书序列号 (3) 1.3证书颁发者主题 (4) 1.4证书起始有效期 (4) 1.5证书终止有效期 (4) 1.6整张证书的Base64编码 (5) 1.7用户客户端IP (5) 1.8设备名称 (6) 1.9认证方式 (6) 1.10用户权限 (6) 1.11用户帐号 (7) 1.12用户口令 (7) 1.13默认权限 (7) 1.14获取DN中email项的值 (8) 2 吉大正元信息技术股份有限公司
1受保护应用如何取得证书信息 受保护的应用可以在HTTP Header中接收身份认证网关系统中传递过来的证书信息,要注意的是这里只能接收用户在应用管理中选定的证书信息项。获取到的头信息涉及到中文的时候需要进行转码。具体取证书信息的方法如下: 1.1 证书主题 由于证书主题中可能含有中文,所以在取回主题信息后要进行中文转码 JSP中的获取方法: String DN = new String(request.getHeader("dnname").getBytes( "ISO8859-1"),"UTF-8"); ASP中的获取方法: info = Request.ServerV ariables("HTTP_DNNAME") 1.2 证书序列号 JSP中的获取方法: String SN = request.getHeader("serialnumber") ASP中的获取方法: info = Request.ServerV ariables("HTTP_SERIALNUMBER") 3 吉大正元信息技术股份有限公司
格尔安全认证网关产品白皮书
格尔安全认证网关产品白皮书 上海格尔软件股份有限公司 2007年8月
目录
1.1您的网络应用安全吗? 随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患: ●没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户 的模式,存在极大的隐患,具体表现在:(a)口令易被猜测;(b)口令在公网 中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效;(d)后台服 务系统需要维护庞大的用户口令列表并负责口令保存的安全,管理非常困难。 ●数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文 方式传输,而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。 ●操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的 可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟 需解决的一个严重问题。 1.2解决网络应用安全您要考虑 信任是安全的基础,在缺乏信任的环境下,实现信息系统的安全是不可想象的,因此解决网络应用安全的一个核心问题是解决信任问题,信任主要体现在以下几方面: ●强身份认证。建立信任首先要确认参与者的身份,即身份认证。身份认证是安全 保障的第一道门槛,也是后续安全措施的依据和基础,如果第一道门槛被攻破, 系统“认错人”,则后续的无论多么严密的安全措施基本实效,因此,身份认证 机制强度的高低很大程度决定了安全系统的安全级别高低,对于一个直接面对互 联网,如果身份认证机制的强度不够,根本无法起到屏障作用,无异于将网资源
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
身份认证E网关_3.0产品白皮书
JIT 身份认证网关G v3.0产品白皮书 Version 1.0 有意见请寄:info@https://www.360docs.net/doc/b314455742.html, 中国·北京市海淀区知春路113号银网中心2层 电话:86-010-******** 传真:86-010-******** 吉大正元信息技术股份有限公司
目录 1前言 (2) 1.1应用场景描述 (2) 1.2需求分析 (3) 1.3术语和缩略语 (4) 2产品概述 (4) 2.1实现原理 (4) 2.1产品体系架构组成 (5) 2.1.1工作模式和组件描述 (6) 3产品功能 (8) 3.1身份认证 (8) 3.1.1数字证书认证 (8) 3.1.2终端设备认证 (9) 3.1.3用户名口令认证 (10) 3.2鉴权和访问控制 (10) 3.2.1应用访问控制 (10) 3.2.2三方权限源支持 (11) 3.3应用支撑 (11) 3.3.1支持的应用协议和类型 (11) 3.4单点登录 (12) 3.5高可用性 (12) 3.5.1集群设定 (12) 3.5.2双网冗余 (13) 3.5.3双机热备 (13) 3.5.4负载均衡 (13) 4部署方式 (14) 4.1双臂部署模式 (14) 4.2单臂部署模式 (14) 4.3双机热备部署 (15) 4.4负载均衡部署 (16) 4.5多ISP部署方式 (17) 5产品规格 (17) 5.1交付产品和系统配置 (17) 5.1.1交付产品形态 (17) 5.1.2系统配置和特性 (18) 6典型案例 (19) 6.1某机关行业 (19)
6.2 .................................................................................................................... 电子通讯行业 20 1 前言 1.1 应用场景描述 随着信息化的快速发展,网络内信息应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患: 一.没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在: ●口令易被猜测; ●口令在公网中传输,容易被截获; ●一旦口令泄密,所有安全机制即失效; ●后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全,管 理非常困难。 二.数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP 协议为明文方式传输,而Internet 的开放性造成传输信息存在着被窃听、被篡改的安全问题。 三.操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟需解决的一个严重问题
IT产品信息安全认证实施规则物联网感知层网关
编号:CCRC-IR-042:2019 IT产品信息安全认证实施规则 物联网感知层网关 2019-04-26发布 2019-04-30实施中国网络安全审查技术与认证中心发布
目录 1.适用范围 (1) 2.认证模式 (1) 3.认证的基本环节 (1) 3.1认证申请及受理 (1) 3.2文档审核 (1) 3.3型式试验委托及实施 (1) 3.4认证结果评价与批准 (1) 3.5获证后监督 (1) 4.认证实施 (1) 4.1认证流程 (1) 4.2认证申请及受理 (1) 4.3文档审核 (2) 4.4型式试验委托及实施 (2) 4.5认证结果评价与批准 (3) 4.6获证后监督 (3) 5.认证时限 (5) 6.认证证书 (5) 6.1认证证书的保持 (5) 6.2认证证书的变更 (5) 6.3认证证书覆盖产品的扩展 (5) 6.4认证证书的暂停、注销和撤销 (6) 6.5获证产品名录的发布 (6) 7认证标志的使用 (6) 7.1认证标志的样式 (6) 7.2认证标志的使用 (6) 7.3加施位置 (6) 8收费 (7) 附件1: (8) 附件2: (10)
1.适用范围 本规则适用于中国网络安全审查技术与认证中心(CCRC)针对物联网感知层网关开展的信息安全认证。 感知层网关是指实现感知网络与通信网络、不同类型感知网络之间的协议转换和互联,部署于物联网感知层的网络连接设备。 2.认证模式 型式试验 + 获证后监督 3.认证的基本环节 3.1认证申请及受理 3.2文档审核 3.3型式试验委托及实施 3.4认证结果评价与批准 3.5获证后监督 4.认证实施 4.1认证流程 申请方向认证机构申请认证,认证机构在接收到申请方的认证申请后,审查申请资料,确认合格后向申请方选择的实验室安排检测任务,并通知申请方根据要求送样。实验室依据相关标准和/或技术规范进行检测,并在完成检测后向认证机构提交检测报告。认证机构对检测报告审查合格后,需要时由认证机构组织进行初始工厂检查。认证机构对型式试验、相关安全保障能力文档进行综合评价,并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。 4.2认证申请及受理 申请方向认证机构递交认证申请,并按要求提交相关资料,认证机构对资料进行初审,确定申请方提交资料满足要求后,受理该申请。 4.2.1认证的单元划分
涉密信息系统的集中身份认证
涉密信息系统的集中身份认证 在银行取款机上取款时,首先要将银行卡插入取款机的读卡器中,这时机器会提示输入密码,如果输入的密码正确,用户就可以在取款机上进行取款、查询、转帐等事项的操作了。取款机读取银行卡的过程实际上就是让取款机知道是谁要取款,而输入密码就是确认取款人身份。通过这样两步验证,保证了用户银行账户内资金的安全。同样,要确保涉密信息系统中运行的涉密信息安全,就必须按照涉密信息的知悉范围,限定用户的知悉权限。确保涉密信息系统中用户身份的唯一性和不可仿冒性是实现以上访问控制的关键。因此,在涉密信息系统中采用什么样的身份确认(鉴别)方式对系统安全就显得尤为重要。 涉密信息系统中有哪些工作过程需要进行身份的确认呢?一是对接入设备进行确认。该设备必须有系统授权的身份才能与网络联通。二是对用户是否可以使用计算机终端进行确认。如果用户的在系统中的身份不合法,该用户将无权使用这台计算机。三是对用户进入网络的身份进行确认。如该用户没有上网权限,其使用的设备也无法与网络连通。四是对用户接入安全域进行身份确认。只有系统合法身份用户才能按照分级保护所制定的安全策略进行操作。五是对用户通过安全域边界进行身份确认。严格禁止非授权用户跨域访问。六是对用户登陆服务器及各应用系统或其他重要设备进行身份确认,只有授权用户才能登陆服务器等重要设备及应用系统。七是对访问信息资源的用户进行身份确认,以严格限定涉密及敏感信息的知悉范围。八是对网络安全设备管理的身份确认。 当前,涉密信息系统中采用的身份确认方式主要是采用身份标识,如输入用户的姓名或代码、使用系统为用户提供的特殊标识等来通知系统用户的身份,再通过验证口令的方式,确认用户的身份,即身份标识+口令。这种方式的安全性与银行提款机采用的银行卡+密码的方式相比较要差得多。 采用传统“用户名+口令”的身份鉴别方式比较简单、方便,但安全性较低。在《涉及国家秘密的信息系统分级保护技术要求》中,对口令的长度、复杂度和更换周期做了严格规定。这在增加口令安全性的同时,也增加了口令管理的复杂性和用户记忆的难度。此外,用户在众多信息系统中设置相同口令的习惯也使系统面临的风险成倍加大。 包括主机、网络设备和各应用系统等都拥有一套独立的用户管理系统,由于这些设备、系统的不兼容性,致使每一个设备、系统都有不同的身份标识符。这种方式难以在网络上执行统一的安全防护策略。 身份鉴别是网络安全的重要基础,为提升涉密信息系统的安全性,确保国家秘密安全,提出了具有的更高安全性的“集中身份认证”概念并制定了“涉密信息系统集中认证解决方案”。集中身份认证是将可信的数字标识证书存储在USB密钥中,通过一个密钥完成从操作系统登陆、网络及安全域、服务器接入,到应用系统和信息资源的集中安全的身份认证,从根本上解决了用户现实身份与网络中数字身份一致性的问题。 代替传统身份标识的是数字证书,其对应的是用户在网络中的电子身份。为保证用户身份的唯一性,我们把数字证书存储在USB 密钥中,该密钥无法被导出。用户利用一个USB 密钥可以打开所有为其授权的计算机、网络设备及应用系统,从而将原来分散在各应用系统中的用户身标识和口令集中到用户的USB 密钥上,用户无需定期更换和记忆复杂的口令,在方便操作的同时,为涉密信息系统安全提供了基础保障。下面我们来看用户是如何在复杂的网络环境中利用一个USB 密钥实现集中身份认证的。 ●网络设备接入认证 通常对网络设备的识别是通过IP、Mac地址等方式,这仅能判断接入网络的设备是否合法,却不能识别使用这些设备人员的合法性。多安全域、多系统的复杂环境下,安全域边界、服务器、安全设备等各种设备及资源的管理和控制仍采用IP过滤、端口控制、按角色授权等简单识别方式进行访问控制保护。这种判别方式极易被欺骗与假冒,难以保证系统内涉密信息的安全。通过密钥证书与该设备进行绑定,可以有效阻止网络欺骗与假冒行为,阻断非法设备的接入。? ●操作系统登录认证 计算机既是用户的办公设备又是网络的终端设备。在计算机中往往存有涉密或敏感信息,加强计算机终端
格尔SSL安全认证网关产品白皮书
格尔SSL安全认证网关 产品白皮书 V2.0 上海格尔软件股份有限公司 2004年12月
上海格尔软件股份有限公司 1 保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。 3 ) 可以从第三方,以无附加保密要求方式获得的信息。
上海格尔软件股份有限公司 2 目 录 1系统概述.............................................................................................31.1信息传输的安全需求.................................................................31.2一般SSL连接存在的问题..........................................................32系统原理.............................................................................................52.1SSL简介..................................................................................52.2格尔SSL安全代理系统原理......................................................53格尔SSL安全认证网关系统结构...........................................................73.1网络拓朴结构...........................................................................73.2格尔SSL安全认证网关系统组成和结构......................................84格尔SSL安全认证网关功能................................................................115第三方产品兼容.................................................................................135.1第三方CA兼容......................................................................135.2第三方设备厂商兼容...............................................................136格尔SSL安全认证网关产品特点.........................................................137运行环境...........................................................................................158产品相关特性....................................................................................158.1硬件特性...............................................................................158.2物理特性...............................................................................158.3电气特性...............................................................................168.4工作环境...............................................................................16
我国智能身份认证行业的现状透析与未来展望
我国智能身份认证行业的现状透析与未来展望 摘要:近年来,我国对智能身份认证行业日趋重视,研发投入不断增长,智能身份认证产业发展迅速。本文通过研究我国智能身份认证行业的市场发展规律与分布特点,结合我国智能身份认证行业研发经费投入情况、下游企业需求状况情况,对我国智能身份认证行业的各细分市场现状进行了深入的分析,预计我国未来几年智能身份认证行业规模仍将保持30%的高速增长。 智能身份认证系统是智能终端通过RFID、条码、二维码、生物特征识别、IC卡、磁条卡、多证件复合识别等技术对用户的体征、证件、信用卡、票据等信息进行有效读取与认证的综合系统。其核心是对二代身份证的读取识别。 作为全民信息化的重要环节,我国在从2001年开始逐步推进二代身份证换发与应用。 2001年6月,国务院做出了关于换发第二代居民身份证有关问题的批复,决定采用非接触式IC卡技术制作第二代居民身份证,使之具备机器阅读和计算机网络核查功能,并在芯片中存储一定的个人基本信息。 2004年1月1日《中华人民共和国居民身份证法》正式实施,《中华人民共和国居民身份证条例》同时废止,居民身份管理进入到一个新高度。 2004年“第二代居民身份证”项目进入到实施阶段,二代居民身份证的换发工作在全国范围内逐步展开,至2009 年底全国已制发“二代证”超过10亿张,90%以上的16周岁以上应换证人口领取了“二代证,全国二代身份证集中换发基本完成。凭借二代身份证的权威性和使用广泛性,以二代身份证认证为核心的智能身份认证系统逐渐将之前分散零散的认证方式整合成完整的智能身份认证体系。自2009年我国二代身份证换发基本完毕以后,北京旭航电子新技术有限公司各行业对智能身份认证系统的需求相继爆发,特别是公安、金融等政府有强制实名制要求的行业,需求量增长表现尤为明显,本行业在 2009-2011年迎来了一轮高速发展。
锐捷AP内置web认证
内置Web认证配置(本地认证) >> 功能介绍: Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点。在指定的web站点进行认证操作。 锐捷Web认证有2个版本,不同版本的Web认证流程不同,我们将其分别称为锐捷一代Web认证和锐捷二代Web认证。此外我司在设备端也实现了一个简易版的portal服务器功能,称为内置web认证。 适用场景说明 Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。适合无线终端不想或不能安装认证客户端(特别是手机、平板电脑等)但是又想对网络中的客户做准入控制 优点:无线终端不需要安装客户端,使用web浏览器即可 缺点:需要增加radius服务器(用于储存客户端用户名和密码的设备)、内置portal服务功能比较弱 一、组网需求 客户需要通过使用AP内部提供的页面对无线用户进行认证,启用AP内置Web认证功能。 网络中没有radius服务器,认证账号也创建在AP上。 二、组网拓扑
三、配置要点 部署web认证前,请确保前期网络部署已经完成,数据通信都正常。下面的配置只截取的web认证的相关配置 1、启用内置portal AAA认证 2、配置本地帐号 3、放通网关和sta的arp报文 4、开启内部重定向端口 5、在AP上对wlan1开启web认证 四、配置步骤 1、启用内置portal AAA认证 ruijie#config terminal ruijie (config)#aaa new-model ------>启用AAA认证功能 ruijie (config)#aaa accounting network default start-stop none ------>关闭审
TrustMore集中认证网关.技术白皮书
?
2011?
i
TrustMore 集中认证网关
【产品白皮书】
北京中宇万通科技有限公司
?
?
目 录
一、前言?................................................................................................................?1?
1.1 为什么需要集中认证网关??.............................................................................................?1 1.1.1 帐号管理问题(Account).....................................................................................?1 1.1.2 身份认证问题(Authentication) .........................................................................?1 . 1.1.3 权限管理问题(Authorization)?............................................................................?2 1.1.4 集中审计问题(Audit)?.........................................................................................?2 1.1.5 用户体验问题(SSO,?Single?Sing‐On)?..................................................................?2 1.2 如何选择集中认证网关??.................................................................................................?3?
二、TrustMore 集中认证网关介绍?.......................................................................?3?
2.1 为什么选择 TrustMore 集中认证网关?..............................................................................?3 2.1.1 从集中管控角度?......................................................................................................?3 2.1.2 从用户体验角度?......................................................................................................?5 2.1.3 从集中审计角度?......................................................................................................?5 2.2 系统体系架构 ....................................................................................................................?5 . 2.3 核心功能 ............................................................................................................................?7 . 2.3.1 全面支持 PKI 数字证书认证方式?.........................................................................?7 2.3.2 单点登录技术?..........................................................................................................?7 2.3.3 终端签名验证技术?..................................................................................................?8 2.3.4 多类型应用支持?......................................................................................................?8 2.3.5 应用防火墙技术?......................................................................................................?8 2.3.6 应用加速技术?..........................................................................................................?8 2.4 系统部署方式 ....................................................................................................................?9 . 2.4.1 主路方式 .................................................................................................................?9 . 2.4.2 旁路方式 ...............................................................................................................?10 . 2.4.3 双(多)机热备?....................................................................................................?11 2.4.4 负载均衡 ...............................................................................................................?12 . 2.5 系统应用场景 ..................................................................................................................?14 .
三、TrustMore 集中认证网关客户端?.................................................................?14?
3.1 纯客户端模式?...........................................................................................................?14 3.2 基于浏览器的方式?...................................................................................................?15 3.3 客户端对外 API 接口形式?.......................................................................................?16?
四、TrustMore 集中认证网关功能与特色?..........................................................?16 五、规格型号与参数?...........................................................................................?19?
?
i?