身份认证与访问控制系统总体设计方案.docx

《身份认证与访问控制系统总体设计方案.docx》由会员分享，可在线阅读，更多相关《身份认证与访问控制系统总体设计方案.docx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、身份认证及访问掌握总体设计方案卫士通信息产业股份应用安全产品事业部2023 年 5 月目录1. 设计目标12. 系统设计12.1. 系统组成22.2. 工作原理32.3. 网络拓朴52.4. 系统构造62.5. 运行环境63. 安全性设计73.1. 密钥治理73.2. 系统自身安全74. 关键技术74.1. 访问掌握74.1.1. 系统构造74.1.2. 权限的设置与裁决84.2. 身份认证94.2.1. 客户端认证流程94.2.2. 客户猎取令牌流程104.2.3. 代理效劳器认证114.2.4. 身份鉴别124.3. 负载均衡134.3.1. 集群技术134.4. 代理技术134.4.1.

2、 应用协议代理134.4.2. SOCKS 代理144.5. 统一接口145. 系统特点146. 性能指标147. 系统功能157.1. 证书及密钥治理系统157.2. 客户安全代理157.3. 认证效劳器157.4. 代理效劳器157.5. 访问掌握效劳器167.6. 治理系统167.7. 负载均衡与集群178. 进度打算179. 人员安排171. 设计目标使用证书认证方式实现网络用户与效劳器之间的双向身份认证，对通信的数据进展加密性、完整性和不行否认性保护，将访问掌握技术溶入到网络代理中，对访问网络的用户实施访问掌握。同时，由于系统代理了应用系统的网络协议，并代理用户访问系统的供给的效劳，

3、因而，可对网络用户的行为进展全面的审计，大大的提高了系统的安全性。主要目标如下：1. 实现安全设备统一接口，支持系列化配置的认证设备USB-Key 电子钥匙、智能 IC 卡等硬件；2. 基于 PKI 和 Kerberos 思想的认证方式，支持可配置的单，双向身份认证。3. 支持数据通信的加密保护，支持标准、商密和普密算法。4. 支持常用的网络协议。 等5. 对网络资源如文件、名目实现基于角色的访问掌握。6. 供给完善的审计功能，供给数据的备份与恢复。7. 系统的负载均载和集群技术。8. SOCKS 协议支持。9. SSL 算法扩大与标准化。10. 认证效劳器的二次开发接口。11. 实现系统内证

4、书及设备的治理，支持自带 CA 。2. 系统设计在原有网络应用软件的环境中，给客户和效劳器加上安全代理模块和访问掌握模块，为应用系统供给身份认证、数据安全和访问掌握等方面的安全保障。系统由治理系统、代理效劳器、访问掌握效劳器、认证效劳器、后台应用效劳器、安全客户端组成。3. 系统组成1） 客户端 硬件认证令牌系统设备可选择的计算机安全模块系列和第三方安全设备等 客户端安全认证软件2） 效劳器端 认证效劳器 代理效劳器 效劳器密码机 RBAC 效劳器 系统治理中心 证书及密钥治理系统 数据库效劳器l 治理系统 系统治理软件完成安全系统代理效劳的配置、系统效劳器的网络配置、系统审计与监控等。 证书

5、及密钥治理系统具有 CA 的根本功能，为系统中的用户签发证书及密钥，并将这些信息存放在安全访问设备中。 RBAC 治理软件为应用系统创立相关的角色，将定义的角色与证书及密钥治理系系统中的所产生的用户进展关联，赐予角色对应用系统的资源的访问权限。l 代理效劳器 与认证效劳器进展身份认证和密钥协商，验证用户的访问令牌，代理后台效劳器的协议，完成发送/接收数据的加/解密，并对用户的访问恳求进展权限裁决。l 客户端代理软件 使用指定认证设备，完成客户与认证效劳器之间的身份认证，并接收认证效劳器返回的访问令牌。客户端代理软件因访问令牌超时而被代理效劳器拒绝访问时，将与认证效劳器重进展认证，猎取的访问令牌

6、。l 认证效劳器 承受 PKI 体系与 Kerberos 思想相结合的认证方式，对系统中的用户及设备进展身份认证及密钥颁发。通过认证的用户将猎取一个指定代理效劳效劳器的访问令牌，访问令牌含有超时时限等信息。用户将使用该令牌访问代理效劳器。l 访问掌握效劳器 从数据库取得最的数据信息，接收代理效劳器的访问裁决恳求，从访问掌握信息中打算用户是否有权进展操作，将判定结果返回给代理效劳器。3.1. 工作原理证书及密钥治理系统为系统中的用户签发安全访问设备，并负责系统中的用户治理。设备中有包含用户信息的证书及密钥等信息，并将生成的用户信息记录到数据库效劳器。RBAC 治理软件为应用系统创立相关的角色，依

7、据用户系统的实际组织构造， 指定角色之间的继承、互斥等关系，并为角色赐予对应用系统的资源的访问权限。同时，从数据库效劳器取得用户信息，为用户安排与之对应的角色。系统治理负责系统的参数配置、信息查询等。如：为整个系统的网络地址配置； 安全认证效劳器配置对外供给的网络效劳；审计信息的查询等。认证效劳器承受分布式身份认证方式，使用 X509 证书完成与用户、代理效劳器之间的身份认证，为系统中的用户和代理效劳器供给认证和密钥颁发功能。代理效劳器在启动后，需与身份认证效劳器进展认证，注册其供给的效劳。并协商出代理效劳器的保护密钥，该密钥用于保护颁发给用户的代理效劳器访问令牌。用户在访问协议代理效劳器时，

8、需先与身份认证效劳器进展认证，协商出与认证效劳器之间的通信密钥，该密钥用于保护与认证效劳器通信的后续数据。然后，猎取欲访问代理效劳器的访问令牌、供给的网络效劳和保护密钥。令牌中也含有代理效劳器的保护密钥，用于解密用户发送的数据。客户端代理利用安全设备完成与认证效劳器的身份认证。安全设备完成对数据的签名、加密。客户端代理在本地进展网络侦听，当接收到应用系统的发来的连接后，便检查该网络连接属于哪个代理效劳器，然后检查是否已经取得了该代理效劳器的访问令牌，以及该令牌是否还有效。假设尚未取得令牌，则与认证效劳器进展身份认证，并申请欲访问代理效劳器的访问令牌；如令牌已经失效，则无须重认证，仅需重申请访问

9、令牌。猎取令牌后，客户端代理软件将生成一通信密钥，用代理效劳器的保护密钥对其保护后，与访问令牌一起发送给代理效劳器。代理效劳器对访问令牌进展验证，通过后使用保护密钥解开用户发来的通信密钥。以后用户与代理效劳器之间的通信均使用该通信密钥进展保护。代理效劳器实现应用协议的代理和访问掌握，协议代理是为了实现更细粒度的访问掌握。代理效劳器承受到用户的访问恳求后，从其访问令处牌中取出用户的身份信息，如用户 ID。通过用户 ID 确定用户的角色，再将用户角色信息、用户访问的网络资源及其对网络资源的操作，这三个要素进展 RBAC 的访问裁决。通过裁决， 系统将代理用户访问网络资源。反之，拒绝用户的访问恳求。

10、同时，代理效劳器将用户的连接状态、每一恳求和操作，均记录在数据库中，为实现审计和监控供给详尽的数据依据。代理效劳器可依据效劳器的要求对网络中传送的数据信息进展数据机密性和完整性保护。RBAC 效劳器裁决用户访问恳求，由信息下载和访问裁决两部份组成。信息下载周期性的从数据库效劳器下载最的角色授权信息，为裁决模块供给有效的信息。裁决模块接收外部的裁决恳求，依据用户名从授权信息中确定用户的角色，从访问掌握信息中打算用户是否有权进展操作。3.2. 网络拓朴3.3. 系统构造3.4. 运行环境客户端认证代理： 认证效劳器：安全效劳器： RBAC 效劳器 ： 效劳器密码机：Windows98/2023。T

11、CP/IP 网络TCP/IP 网络TCP/IP 网络TCP/IP 网络证书及密钥治理系统： Windows98/2023。系统治理中心：Windows2023。4. 安全性设计4.1. 密钥治理综合运用对称、非对称密码体制，实现身份认证、密码颁发、数据机密等安全功能。系统中全部数据的加、解密功能均通过安全设备实现，加密密钥存放在安全设备中，不以明文方式消灭在安全设备以外。用户的私钥和主密钥均存放在客户端安全设备中，只有通过安全设备的口令认证，才能够使用，且不能读出。协商的通信密钥均用对方的公钥和主密钥进展保护后，发送给对方。4.2. 系统自身安全系统各模块均需通过认证方可使用，对存放在数据库以

12、外的系统数据均做机密性和完整性保护。供给数据的备份与恢复，使系统更加安全牢靠。5. 关键技术 RBAC基于角色的访问掌握技术。 网络应用协议的分析与代理模。 身份认证机制的争论与实现； SSL 算法扩展。 系统效劳器之间的负载均衡。5.1. 访问掌握5.1.1. 系统构造系统承受 RBAC 技术实现对应用系统对象的访问掌握。其思想为将一类用户归结为一个角色，角色之间可以继承和互斥，通过对角色进展权限掌握，到达对用户权限的治理。其构造如下：互斥角色类型 4角色类型 3角色类型 5角色类型 2用户 31用户 41角色类型 1用户 21用户 2n上图表现了角色的继承的关系系统，角色类型 3 继承角色

13、类型 2 的权限，角色类型 2 继承角色类型 1 的权限。由于角色类型 3 与角色类型 5 不存在互斥关系， 用户 31 同时拥有角色类型 3 和角色类型 5 的权限。由于角色类型 3 与角色类型4 存在互斥关系，用户 41 只能选择拥有角色类型 4 或角色类型 3 的权限，不能同时拥有角色类型 4 或角色类型 3 的权限。5.1.2. 权限的设置与裁决为应用系统的每一个访问对象设置相关的访问掌握权限，并将其与某个角色相关。访问裁决的思想是通过用户 ID 确定用户所属的角色，从用户的访问恳求中取得欲访问的资源和操作。通过访问掌握列表，检查用户角色有无此权限，实现对用户的访问行为的访问掌握。本系

14、统中用户的 ID 从用户证书中取得。其流程如下：用户 ID，访问的资源，操检查用户ID 的合法依据用户 ID 取得用户所属的取得访问资源的访问掌握列该角色类型和操作在在访问掌握列表中检索，并返回5.2. 身份认证为了提高系统身份认证的效率，在认证中承受了两种认证方式：分布式认证和基于证书的认证。分布式认证运用于客户端与代理效劳器之间。证书认证用于与认证效劳器相关的认证，如客户与认证效劳器和代理效劳器与认证效劳器。5.2.1. 客户端认证流程客户端(用户端、代理效劳器)效劳器(身份认证效劳器)1. 客户端连接效劳器。2. 效劳器发送 R1随机数。R14. 效劳器验证客户证书及其签名，假设通过认证

15、，则从证书中取出用户信息。否则，断开连接。假设客户端不需要认证效劳器，则发送效劳器加密证书， 并转至 7。否则执行 5。加密证书-5. 效劳器发送签名证书+私钥签名(R2) +加密证书。签名证书+私钥签名(R2) +加密证书8. 效劳器验证客户端私钥签名的(RSAKus(key)，假设验证通过，将 key 导入加密设备，并置返回结果为成功，否则，置返回结果为失败。返回结果(成功或失败)3. 效劳器依据 IDC 检查该用户是否是公共用户，假设是，则为用户颁发公共效劳的令牌。假设不是公共用户，则验证该用户是否已认证，假设该用户未认证，则将返回构造置为客户未认证。否则，效劳器为客户端颁发访问全部效劳

16、的令牌，将返回结果置为猎取令牌成功。返回信息(认证未成功或(全部代理效劳器信息与代理效劳器对应的令牌 全部后台效劳的信息)-4. 客户端检查效劳器发送的信息，假设觉察未认证，执行认证操作。否则， 将令牌保存起来。5. 断开连接。5.2.3. 代理效劳器认证代理效劳器身份认证效劳器1. 代理效劳器连接身份认证效劳器。2. 身份认证效劳器发送 R1随机数。R14. 身份认证效劳器验证代理效劳器证书及其签名，假设通过认证，则从证书中取出代理效劳器信息。否则，断开连接。假设代理效劳器不需要认证效劳器，则发送身份认证效劳器加密证书，并转至 7。否则执行 5。加密证书-5. 身份认证效劳器发送签名证书+私

17、钥签名(R2) +加密证书。签名证书+私钥签名(R2) +加密证书8. 身份认证效劳器验证代理效劳器私钥签名的(RSAKus(key)，假设验证通过， 将 key 导入加密设备，并发送身份认证效劳器的时钟。否则，断开连接。Ekey(TIMEAS)11. 身份认证效劳器更代理效劳器的效劳信息。并返回认证是否成功的信息给代理效劳器。认证是否成功的信息2. 代理效劳器检查用户的类型，假设是匿名用户，则发送是否允许匿名用户访问的结果；否则，发送验证客户的随机数 R1结果 | R14. 效劳器验证用户发送的访问令牌，然后从令牌中取出密钥，对R1 作HMAC， 并发送验证结果+是否加解密(1 字节)+HM

18、ACR2-5. 假设验证通过，客户端与效劳器进展数据交换，否则，断开连接。5.3. 负载均衡5.3.1. 集群技术负载均衡集群，目的是供给和节点个数成正比的负载力量，这种集群很适合供给大访问量的 Web 效劳。在集群中有一个主控节点，称为高级流量治理器 ATM。用户对于代理效劳器的恳求全部发送到 ATM 上，由于 ATM 上绑定了这项效劳对外的 IP 地址。ATM 把承受到的恳求再平均发送到各效劳节点上，效劳节点接收到恳求之后， 直接把相应的结果发送给用户。这样一来，假设在 1 秒内有 1000 个恳求，而集群中有 10 个效劳节点，则每个节点将处理 100 个恳求。5.4. 代理技术5.4.

19、1. 应用协议代理应用协议进展代理，并对其进展解析，使面对应用的访问掌握成为可能。同时使安全系统可无缝的嵌入到应用系统中，无需对应用系统进展改造。对 协议的代理可实现对 WEB 效劳器上的文件进展访问掌握；对 TELNET 协议的代理可实现对系统操作的访问掌握。5.4.2. SOCKS 代理SOCKS 代理技术可实现同一端口对多个应用系统的代理，其优点是大大降低安全系统客户端的开发工作，更好与应用系统协同工作。当用户系统有增加应用系统时，仅需进展简洁的配置，无需对代理软件进展扩开放发，便可将的应用系统纳入安全系统的保护中。5.5. 统一接口系统模块间的统一接口，使各模块的开发更简洁，系统适应力

20、更高。安全设备的统一接口，使设备的替换、升级更简洁，可实现安全设备的系列化。可承受CSP、PKCS#11 等技术。1. 系统特点 数据加密支持多种专用算法，这些专用算法均通过国密办鉴定。由于承受了模块组件的设计思想，算法的更换更加简洁。 身份认证将 PKI 的证书认证与传统的 Kerberos 思想相结合，大大提高了身份认证的安全性、牢靠性和敏捷性。 RBAC基于角色的访问掌握技术的引入是系统的核心，该技术常用于操作系统和数据库系统。将其应用于信息安全领域，是工程的最大创。 系统负载均衡和集群技术的使用，使安全系统不再成为应用系统的瓶颈，提高了系统的吞吐力量，更好的效劳与应用系统。 系统将数据

21、加密、身份认证、访问掌握和协议代理等多种信息安全技术有机的结合在一起，尤其是将PKI、RBAC 等先进的信息技术的引入，更使系统与众不同、出类拔萃，建立了信息安全的一个全的概念。2. 性能指标1.协议代理效劳器：并发支持 1000 个访问恳求。3. 系统功能8.1. 证书及密钥治理系统1. 证书治理证书、私钥的生成、注销和挂失。2. 设备治理客户安全认证设备和认证效劳器治理卡的签发与废止。3. 用户治理用户信息录入、修改、删除和查询。4. 备份与恢复8.2. 客户安全代理1. 支持系列化的安全设备，包括计算机安全模块系列和第三方厂商的设备；2. 系统参数的可视化配置；包括安全设备的选择、认证效

22、劳器IP 地址、本机侦听等3. 双向身份认证方式；4. SOCKS 效劳端接口；5. 应用协议的代理；6. 通信数据的机密性和完整性保护；7. 超时自动重认证。8.3. 认证效劳器1. 基于证书的身份认证；2. 为认证对象分发代理效劳器的访问令牌和密钥；3. 接收代理效劳器所供给的效劳注册；4. 供给二次开发接口。8.4. 代理效劳器1. 访问令牌的验证；2. 网络效劳的注册3. 代理系统对外开放的相关的网络效劳如 等。4. 连接 RABC 效劳器对用户恳求进展访问打算。5. 用户访问的审计记录。6. 通信数据的加密8.5. 访问掌握效劳器1. 定时猎取角色信息；2. 实现访问恳求的裁决。8.

23、6. 治理系统1. 证书及密钥治理系统a) 系统用户信息的治理，包括用户信息的创立、删除、修改和查询。b) 统一安全设备接口，支持多种安全设备的无缝接入。c) 支持第三方 CA 的无缝接入。d) 系统信息的备份与恢复。e) 供给与访问掌握模块相关数据的接口。2. 系统治理a) 进程治理：启动和终止效劳器上运行的进程。b) 资源治理：检查效劳器的内存、存储介质的使用状况。c) 网络治理：对效劳器的网卡地址、网关等进展配置。d) 审计监控：查看和终止用户对的网络资源访问，对网络访问进展实时监控和事后审计。3. RBAC 治理a) 用户角色的创立。b) 角色权限的继承与互斥。c) 增加、删除角色的权

24、限。d) 用户与角色的关联。e) 用户、角色信息的加密存储与公布。8.7. 负载均衡与集群承受集群技术可实现多台代理效劳器之间的负载均衡。4. 进度打算5 月在已有的根底上，增加客户端代理功能，实现 协议。客户代理与效劳器代理间运行 HMAC 实现相互的身份认证。6 月COM 技术争论，实现统一设备接口，支持安全设备的自动配置。7 月按统一设备接口对公司SSF33 算法的硬件设备进展封装。Socks 协议客户端与效劳端模块的开发。8-9 月SSL 算法扩展和标准化。同时支持专用算法SSF33和标准算法。集成 Socks、SSL 和 RBAC，完成加密版的开发。10-11 月完成独立的身份认证效劳器12 月将负载均衡技术集成到本系统中。负责人内容系统总体方案、身份认证、协议代理、RBAC 访问裁决、吕青松统一接口、SSL 扩展等模块的设计，工程治理。身份认证、协议代理、系统治理、SSL 扩展等模块设计吴庆国开发。协议代理、RBAC 访问裁决、系统治理、统一设备接口等彭红模块的开发。主机工程组负载均衡的设计开发。发卡工程组证书密钥系统的设计开发。联合试验室RBAC 访问掌握系统开发。5. 人员安排