2022年身份认证与访问控制系统总体设计方案整理 .pdf

身份认证及访问控制总体设计方案卫士通信息产业股份有限公司应用安全产品事业部2003 年 5 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 20 页 - - - - - - - - - 目录1.设计目标 . 12.系统设计 . 12.1. 系统组成 . 22.2. 工作原理 . 32.3. 网络拓朴 . 52.4. 系统结构 . 62.5. 运行环境 . 63.安全性设计 . 73.1. 密钥管理 . 73.2. 系统自身安全 . 74.关键技术 . 74.1. 访问控制 . 74.1.1. 系统结构. 74.1.2. 权限的设置与裁决 . 84.2. 身份认证 . 94.2.1. 客户端认证流程. 94.2.2. 客户获取令牌流程 . 104.2.3. 代理服务器认证. 114.2.4. 身份鉴别. 124.3. 负载均衡 . 134.3.1. 集群技术. 134.4. 代理技术 . 134.4.1. 应用协议代理. 13名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 20 页 - - - - - - - - - 4.4.2. SOCKS 代理. 144.5. 统一接口 . 145.系统特点 . 146.性能指标 . 147.系统功能 . 157.1. 证书及密钥管理系统 . 157.2. 客户安全代理 . 157.3. 认证服务器 . 157.4. 代理服务器 . 157.5. 访问控制服务器 . 167.6. 管理系统 . 167.7. 负载均衡与集群 . 178.进度计划 . 179.人员安排 . 17名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 20 页 - - - - - - - - - 1. 设计目标使用证书认证方式实现网络用户与服务器之间的双向身份认证，对通信的数据进行加密性、完整性和不可否认性保护，将访问控制技术溶入到网络代理中，对访问网络的用户实施访问控制。同时，因为系统代理了应用系统的网络协议，并代理用户访问系统的提供的服务，因而，可对网络用户的行为进行全面的审计，大大的提高了系统的安全性。主要目标如下：1实现安全设备统一接口，支持系列化配置的认证设备（USB-Key电子钥匙、智能 IC 卡等硬件）；2基于 PKI 和 Kerberos思想的认证方式，支持可配置的单，双向身份认证。3支持数据通信的加密保护，支持标准、商密和普密算法。4支持常用的网络协议。 （HTTP 等）5对网络资源（如文件、目录）实现基于角色的访问控制。6提供完善的审计功能，提供数据的备份与恢复。7系统的负载均载和集群技术。8SOCKS 协议支持。9SSL 算法扩充与标准化。10认证服务器的二次开发接口。11实现系统内证书及设备的管理，支持自带CA 。2. 系统设计在原有网络应用软件的环境中，给客户和服务器加上安全代理模块和访问控制模块，为应用系统提供身份认证、数据安全和访问控制等方面的安全保障。系统由管理系统、代理服务器、访问控制服务器、认证服务器、后台应用服务器、安全客户端组成。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 20 页 - - - - - - - - - 3. 系统组成1）客户端硬件认证令牌系统设备（可选择的计算机安全模块系列和第三方安全设备等）客户端安全认证软件2）服务器端认证服务器代理服务器服务器密码机RBAC 服务器系统管理中心证书及密钥管理系统数据库服务器管理系统系统管理软件完成安全系统代理服务的配置、系统服务器的网络配置、系统审计与监控等。证书及密钥管理系统具有CA 的基本功能，为系统中的用户签发证书及密钥，并将这些信息存放在安全访问设备中。RBAC 管理软件为应用系统创建相关的角色，将定义的角色与证书及密钥管理系系统中的所产生的用户进行关联，赋予角色对应用系统的资源的访问权限。代理服务器与认证服务器进行身份认证和密钥协商，验证用户的访问令牌，代理后台服务器的协议，完成发送/ 接收数据的加 / 解密，并对用户的访问请求进行权限裁决。客户端代理软件使用指定认证设备，完成客户与认证服务器之间的身份认证，并接收认证名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 20 页 - - - - - - - - - 服务器返回的访问令牌。客户端代理软件因访问令牌超时而被代理服务器拒绝访问时，将与认证服务器重新进行认证，获取新的访问令牌。认证服务器采用 PKI 体系与 Kerberos 思想相结合的认证方式， 对系统中的用户及设备进行身份认证及密钥颁发。通过认证的用户将获取一个指定代理服务服务器的访问令牌，访问令牌含有超时时限等信息。用户将使用该令牌访问代理服务器。访问控制服务器从数据库取得最新的数据信息，接收代理服务器的访问裁决请求，从访问控制信息中决定用户是否有权进行操作，将判定结果返回给代理服务器。3.1. 工作原理证书及密钥管理系统为系统中的用户签发安全访问设备，并负责系统中的用户管理。设备中有包含用户信息的证书及密钥等信息，并将生成的用户信息记录到数据库服务器。RBAC 管理软件为应用系统创建相关的角色，根据用户系统的实际组织结构，指定角色之间的继承、互斥等关系，并为角色赋予对应用系统的资源的访问权限。同时，从数据库服务器取得用户信息，为用户分配与之对应的角色。系统管理负责系统的参数配置、信息查询等。 如：为整个系统的网络地址配置；安全认证服务器配置对外提供的网络服务；审计信息的查询等。认证服务器采用分布式身份认证方式，使用X509 证书完成与用户、代理服务器之间的身份认证，为系统中的用户和代理服务器提供认证和密钥颁发功能。代理服务器在启动后，需与身份认证服务器进行认证，注册其提供的服务。并协商出代理服务器的保护密钥，该密钥用于保护颁发给用户的代理服务器访问令牌。用户在访问协议代理服务器时，需先与身份认证服务器进行认证，协商出与认证服务器之间的通信密钥，该密钥用于保护与认证服务器通信的后续数据。然后，获取欲访问代理服务器的访问令牌、提供的网络服务和保护密钥。令牌中也含有代理服务器的保护密钥，用于解密用户发送的数据。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 20 页 - - - - - - - - - 客户端代理利用安全设备完成与认证服务器的身份认证。安全设备完成对数据的签名、加密。客户端代理在本地进行网络侦听，当接收到应用系统的发来的连接后，便检查该网络连接属于哪个代理服务器，然后检查是否已经取得了该代理服务器的访问令牌，以及该令牌是否还有效。如果尚未取得令牌，则与认证服务器进行身份认证，并申请欲访问代理服务器的访问令牌；如令牌已经失效，则无须重新认证，仅需重新申请访问令牌。获取令牌后，客户端代理软件将生成一通信密钥，用代理服务器的保护密钥对其保护后，与访问令牌一起发送给代理服务器。代理服务器对访问令牌进行验证，通过后使用保护密钥解开用户发来的通信密钥。以后用户与代理服务器之间的通信均使用该通信密钥进行保护。代理服务器实现应用协议的代理和访问控制，协议代理是为了实现更细粒度的访问控制。代理服务器接受到用户的访问请求后，从其访问令处牌中取出用户的身份信息，如用户ID。通过用户 ID 确定用户的角色，再将用户角色信息、用户访问的网络资源及其对网络资源的操作，这三个要素进行 RBAC 的访问裁决。通过裁决，系统将代理用户访问网络资源。反之，拒绝用户的访问请求。同时，代理服务器将用户的连接状态、每一请求和操作，均记录在数据库中，为实现审计和监控提供详尽的数据依据。代理服务器可根据服务器的要求对网络中传送的数据信息进行数据机密性和完整性保护。RBAC 服务器裁决用户访问请求，由信息下载和访问裁决两部份组成。信息下载周期性的从数据库服务器下载最新的角色授权信息，为裁决模块提供有效的信息。裁决模块接收外部的裁决请求，根据用户名从授权信息中确定用户的角色，从访问控制信息中决定用户是否有权进行操作。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 20 页 - - - - - - - - - 3.2. 网络拓朴名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 20 页 - - - - - - - - - 3.3. 系统结构3.4. 运行环境客户端认证代理：Windows98/2000。认证服务器：TCP/IP 网络安全服务器：TCP/IP 网络RBAC 服务器：TCP/IP 网络服务器密码机：TCP/IP 网络证书及密钥管理系统： Windows 98/2000。系统管理中心：Windows 2000。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 20 页 - - - - - - - - - 4. 安全性设计4.1.密钥管理综合运用对称、非对称密码体制，实现身份认证、密码颁发、数据机密等安全功能。系统中所有数据的加、 解密功能均通过安全设备实现，加密密钥存放在安全设备中，不以明文方式出现在安全设备以外。用户的私钥和主密钥均存放在客户端安全设备中，只有通过安全设备的口令认证，才能够使用， 且不能读出。 协商的通信密钥均用对方的公钥和主密钥进行保护后，发送给对方。4.2.系统自身安全系统各模块均需通过认证方可使用， 对存放在数据库以外的系统数据均做机密性和完整性保护。提供数据的备份与恢复，使系统更加安全可靠。5. 关键技术RBAC（基于角色的访问控制）技术。网络应用协议的分析与代理模。身份认证机制的研究与实现；SSL 算法扩展。系统服务器之间的负载均衡。5.1.访问控制5.1.1.系统结构系统采用 RBAC 技术实现对应用系统对象的访问控制。其思想为将一类用户归结为一个角色， 角色之间可以继承和互斥， 通过对角色进行权限控制， 达到对用户权限的管理。其结构如下：互斥角色类型 3 角色类型 2 角色类型 1 用户 31 用户 2n 用户 21 角色类型 4 用户 41 角色类型 5 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 20 页 - - - - - - - - - 上图表现了角色的继承的关系系统，角色类型 3 继承角色类型 2 的权限，角色类型 2 继承角色类型 1的权限。 由于角色类型 3与角色类型 5不存在互斥关系，用户 31 同时拥有角色类型3 和角色类型 5 的权限。由于角色类型3 与角色类型4 存在互斥关系，用户41 只能选择拥有角色类型4 或角色类型 3 的权限，不能同时拥有角色类型4 或角色类型 3 的权限。5.1.2.权限的设置与裁决为应用系统的每一个访问对象设置相关的访问控制权限，并将其与某个角色相关。访问裁决的思想是通过用户ID 确定用户所属的角色，从用户的访问请求中取得欲访问的资源和操作。 通过访问控制列表， 检查用户角色有无此权限， 实现对用户的访问行为的访问控制。本系统中用户的ID 从用户证书中取得。其流程如下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 20 页 - - - - - - - - - 5.2.身份认证为了提高系统身份认证的效率， 在认证中采用了两种认证方式： 分布式认证和基于证书的认证。 分布式认证运用于客户端与代理服务器之间。证书认证用于与认证服务器相关的认证，如客户与认证服务器和代理服务器与认证服务器。5.2.1.客户端认证流程客户端 (用户端、代理服务器 ) 服务器 (身份认证服务器 ) 1.客户端连接服务器。2.服务器发送 R1（随机数）。R1 4.服务器验证客户证书及其签名， 如果通过认证， 则从证书中取出用户信息。否则，断开连接。 如果客户端不需要认证服务器，则发送服务器加密证书，并转至 7。否则执行 5。加密证书- 5.服务器发送签名证书 +私钥签名 (R2) +加密证书。签名证书 +私钥签名 (R2) +加密证书 8.服务器验证客户端私钥签名的(RSAKus(key)，如果验证通过，将key 导入加密设备，并置返回结果为成功，否则，置返回结果为失败。返回结果 (成功或失败 ) 3.服务器根据 IDC检查该用户是否是公共用户，如果是，则为用户颁发公共服务的令牌。如果不是公共用户，则验证该用户是否已认证，如果该用户未认证，则将返回结构置为客户未认证。否则，服务器为客户端颁发访问所有服务的令牌，将返回结果置为获取令牌成功。返回信息 (认证未成功或 (所有代理服务器信息与代理服务器对应的令牌所有后台服务的信息 ) - 4.客户端检查服务器发送的信息，如果发现未认证，执行认证操作。否则，将令牌保存起来。5.断开连接。5.2.3.代理服务器认证代理服务器身份认证服务器1.代理服务器连接身份认证服务器。2.身份认证服务器发送R1（随机数）。R1 4.身份认证服务器验证代理服务器证书及其签名，如果通过认证，则从证书中取出代理服务器信息。否则，断开连接。如果代理服务器不需要认证服务器，则发送身份认证服务器加密证书，并转至7。否则执行 5。加密证书- 5.身份认证服务器发送签名证书+私钥签名 (R2) +加密证书。签名证书 +私钥签名 (R2) +加密证书 8.身份认证服务器验证代理服务器私钥签名的(RSAKus(key)，如果验证通过，将 key 导入加密设备，并发送身份认证服务器的时钟。否则，断开连接。Ekey(TIMEAS) 11. 身份认证服务器更新代理服务器的服务信息。并返回认证是否成功的信息给代理服务器。认证是否成功的信息 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 20 页 - - - - - - - - - 2.代理服务器检查用户的类型，如果是匿名用户，则发送是否允许匿名用户访问的结果；否则，发送验证客户的随机数R1 结果 | R1 4.服务器验证用户发送的访问令牌， 然后从令牌中取出密钥， 对 R1作 HMAC ，并发送验证结果 +是否加解密 (1 字节)+HMAC （R2）- 5.如果验证通过，客户端与服务器进行数据交换，否则，断开连接。5.3.负载均衡5.3.1.集群技术负载均衡集群，目的是提供和节点个数成正比的负载能力，这种集群很适合提供大访问量的 Web服务。在集群中有一个主控节点，称为高级流量管理器（ATM） 。用户对于代理服务器的请求全部发送到ATM 上，因为 ATM 上绑定了这项服务对外的IP 地址。ATM 把接受到的请求再平均发送到各服务节点上，服务节点接收到请求之后，直接把相应的结果发送给用户。这样一来，假如在1 秒内有 1000 个请求，而集群中有 10 个服务节点，则每个节点将处理100 个请求。5.4.代理技术5.4.1.应用协议代理应用协议进行代理，并对其进行解析，使面向应用的访问控制成为可能。同时使安全系统可无缝的嵌入到应用系统中，无需对应用系统进行改造。对HTTP名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 20 页 - - - - - - - - - 协议的代理可实现对WEB 服务器上的文件进行访问控制； 对 TELNET 协议的代理可实现对系统操作的访问控制。5.4.2.SOCKS 代理SOCKS 代理技术可实现同一端口对多个应用系统的代理，其优点是大大降低安全系统客户端的开发工作， 更好与应用系统协同工作。 当用户系统有增加应用系统时， 仅需进行简单的配置， 无需对代理软件进行扩展开发，便可将新的应用系统纳入安全系统的保护中。5.5.统一接口系统模块间的统一接口，使各模块的开发更容易，系统适应力更高。安全设备的统一接口，使设备的替换、升级更简单，可实现安全设备的系列化。可采用CSP、PKCS#11等技术。6. 系统特点数据加密支持多种专用算法，这些专用算法均通过国密办鉴定。由于采用了模块组件的设计思想，算法的更换更加容易。身份认证将 PKI 的证书认证与传统的Kerberos 思想相结合，大大提高了身份认证的安全性、可靠性和灵活性。RBAC （基于角色的访问控制）技术的引入是系统的核心，该技术常用于操作系统和数据库系统。 将其应用于信息安全领域， 是项目的最大创新。系统负载均衡和集群技术的使用，使安全系统不再成为应用系统的瓶颈，提高了系统的吞吐能力，更好的服务与应用系统。系统将数据加密、身份认证、访问控制和协议代理等多种信息安全技术有机的结合在一起，尤其是将PKI、RBAC 等先进的信息技术的引入，更使系统与众不同、出类拔萃，建立了信息安全的一个全新的概念。7. 性能指标1.协议代理服务器：并发支持1000 个访问请求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 20 页 - - - - - - - - - 8. 系统功能8.1.证书及密钥管理系统1证书管理证书、私钥的生成、注销和挂失。2设备管理客户安全认证设备和认证服务器管理卡的签发与废止。3用户管理用户信息录入、修改、删除和查询。4备份与恢复8.2.客户安全代理1支持系列化的安全设备， 包括计算机安全模块系列和第三方厂商的设备；2系统参数的可视化配置；包括安全设备的选择、认证服务器IP 地址、本机侦听等）3双向身份认证方式；4SOCKS 服务端接口；5应用协议的代理；6通信数据的机密性和完整性保护；7超时自动重新认证。8.3.认证服务器1基于证书的身份认证；2为认证对象分发代理服务器的访问令牌和密钥；3接收代理服务器所提供的服务注册；4提供二次开发接口。8.4.代理服务器1访问令牌的验证；2网络服务的注册名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 20 页 - - - - - - - - - 3代理系统对外开放的相关的网络服务（如HTTP 等） 。4连接 RABC 服务器对用户请求进行访问决定。5用户访问的审计记录。6通信数据的加密8.5.访问控制服务器1定时获取角色信息；2实现访问请求的裁决。8.6.管理系统1证书及密钥管理系统a)系统用户信息的管理，包括用户信息的创建、删除、修改和查询。b)统一安全设备接口，支持多种安全设备的无缝接入。c)支持第三方 CA 的无缝接入。d)系统信息的备份与恢复。e)提供与访问控制模块相关数据的接口。2系统管理a)进程管理：启动和终止服务器上运行的进程。b)资源管理：检查服务器的内存、存储介质的使用情况。c)网络管理：对服务器的网卡地址、网关等进行配置。d)审计监控：查看和终止用户对的网络资源访问，对网络访问进行实时监控和事后审计。3RBAC 管理a)用户角色的创建。b)角色权限的继承与互斥。c)增加、删除角色的权限。d)用户与角色的关联。e)用户、角色信息的加密存储与发布。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 20 页 - - - - - - - - - 8.7.负载均衡与集群采用集群技术可实现多台代理服务器之间的负载均衡。9. 进度计划5 月在已有的基础上，增加客户端代理功能，实现HTTP 协议。客户代理与服务器代理间运行 HMAC 实现相互的身份认证。6 月COM 技术研究，实现统一设备接口，支持安全设备的自动配置。7 月按统一设备接口对公司SSF33算法的硬件设备进行封装。Socks协议客户端与服务端模块的开发。8-9 月 SSL 算法扩展和标准化。同时支持专用算法（SSF33 ）和标准算法。集成 Socks、SSL和 RBAC，完成加密版的开发。10-11 月完成独立的身份认证服务器12 月将负载均衡技术集成到本系统中。10.人员安排负责人内容吕青松系统总体方案、身份认证、协议代理、RBAC 访问裁决、统一接口、 SSL扩展等模块的设计，项目管理。吴庆国身份认证、协议代理、系统管理、SSL 扩展等模块设计开发。彭红协议代理、 RBAC 访问裁决、系统管理、统一设备接口等模块的开发。主机项目组负载均衡的设计开发。发卡项目组证书密钥系统的设计开发。联合实验室RBAC 访问控制系统开发。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 20 页 - - - - - - - - -