中安云科安全认证网关(以下简称安全认证网关)是由中安云科科技发展(山东)有限公司自主研发的高性能密码设备,能够为各类业务系统提供高性能的、多任务并行处理的加密传输、身份验证等核心安全认证服务,支持SM1、SM2、SM3、SM4等多种国产密码算法,可以实现电子政务和电子商务行业的众多业务系统用户拥有数字中心统一颁发的证书验证和查询服务,证书验证的具体操作集中在统一认证平台完成,应用系统无需在本地服务器进行用户的身份认证操作。保证传输信息的机密性、完整性和有效性,同时提供安全、完善的密钥管理机制,自身具备较强的安全防护能力。
安全认证网关全面支持PKI信息安全基础设施,提供包括账户管理、单点、加密传输、身份验证等核心安全服务,可以通过集群技术、负载均衡技术、SSL等技术,在不改变网络结构和应用模式的情况下,实现对网络层以上各种应用的完全支持。
支持标准的OAUTH2协议、OIDC协议等开放标准协议或是我司自定义标准协议接入。单点登录采用USBKey+数字证书进行强身份认证。
2.2统一帐号管理
安全认证网关提供用户帐号的生命周期管理,包括帐号的创建、修改、调岗、锁定、删除等操作。
2.3统一权限管理
系统基于角色、权限、部门的授权。能够根据不同的情况定制不同的策略,对各种不同情况进行访问控制。
2.4多身份源登录
扩展支持多种身份源登录方式,USBKEY+静态口令双因素登录、微信等第三方登录方式。对账户口令强度严格校验,保证帐号安全性。
2.5WEB配置管理
支持通过WEB管理系统可对设备进行配置管理、维护、监控等操作。
2.6分权管理
支持对管理系统进行分权管理,管理员用户包括超级管理员、审计管理员、系统管理员、安全管理员。超级管理员用户负责管理员用户的初始化;审计员负责对系统中的日志进行安全审计;系统管理员负责对软件环境日堂运行的管理和维护,以及对系统的备份和操作系统恢复;安全管理员负责业务配置、应用管理、授权管理等管理操作。
支持基于用户手机号码、邮箱地址标识实现客户端远程接入,支持访问控制策略配置,支持会话管理,支持用户接入状态查询会话数和会话内容等。
支持备份/恢复当前服务配置,可以在使用双机热备时,在主、备机之间进行配置同步,以及保证系统瘫痪时的快速恢复。
支持对系统进行恢复默认出厂设置,执行该操作后系统配置信息、网络配置信息、客户端用户信息、密码卡信息等所有配置将还原到初始化状态。
支持对CPU、内存、磁盘IO、服务、在线用户信息等资源使用情况进行记录。
提供日志查看、条件过滤、导出等功能,并支持将日志以SYSLOG的方式发送到指定日志服务器。
支持标准X509 V3证书格式,以及符合工信和国密标准的权威第三方CA证书。
支持国密标准算法(SM1、SM2、SM3、SM4),国际算法(RSA 1024、RSA 2048)以及SHA1、SHA256等算法。
支持签名证书和加密证书的双证书认证体系。
支持同时配置多个站点证书,不同的服务可分别配置不同的站点证书。
为了建立更加完善的认证体制,很多企业引进了CA中心,通过CA中心来建立更加完善的认证体制。中安云科安全认证网关能够更好的与CA中心这样的认证体制进行结合,并支持同时配置至少5张不同的CA 根证书
在同一个服务实例中,支持配置使用RSA/SM2 证书,根据客户端的算法类型自动适应。
支持单、双向认证,用户可以根据实际需要配置单向认证或双向认证。
支持B/S应用,以及通用的C/S应用,包括FTP、Telnet、远程桌面等。
支持windows、Linux、IOS、Android安全接入客户端,支持PC端扫码认证。
支持设备相互热备,提供自动回切、热备分组、配置同步等功能。
可以通过配合负载均衡服务器实现集群负载均衡,也可支持第三方负载均衡服务器实现负载。
支持使用国密标准加密卡进行硬件加速,提高密码运算效率。
可通过SNMP管理软件远程查看设备运行状态。
服务端可主动获取 OCSP 查询结果并随着服务端证书一起发送给客户端,从而让客户端跳过自己去验证的过程,提高SSL握手效率。
支持通过WEB管理界面对系统进行功能升级。
支持对程序完整性、密钥和数据完整性、随机数周期、算法进行检测。
产品遵循国密局相关规范,同时支持RSA(1024~2048)和SM2非对称加密算法标准,还支持国密标准和国际通用的对称加密算法(SM1/4、AES)、杂凑算法(SHA1/256、SM3)等。
产品提供了对B/S的应用提供了强大的支持,包括安全传输、身份验证、安全审计以及访问控制,同时还能通过HTTP Header方式把证书信息传递给应用,便于应用系统基于证书做更细微的控制或二次开发。安全认证网关除了能够保障B/S类应用外也提供了解决通用C/S应用安全加固的方法。
提供纯java的JCE/JSSE以及纯C的OpenSSL国密实现,面向ISV提供国密SSL开发集成。支持单向国密SSL/双向国密SSL,支持密码卡(SDK接口)、国密U盾(SKF接口)。
支持对任意多线路同时进行负载均衡和线路选择,(仅受设备硬件网络接口数量限制),支持在不同线路上分配不同的流量负载,且策略可以在不同的线路中自动切换,接入方式不受限制。
安全认证网关依托于安全可靠的SSL协议,它包括以下三个协议:
握手协议:客户端和服务器通过该协议完成通讯双方的身份认证、协商加密算法、交换加密密钥等。记录协议:SSL记录协议建立在可靠的传输协议(如TCP)之上它提供连接安全性,为高层协议提供数据封装、压缩、加密等基本功能的支持。警告协议:用来为通讯双方传递SSL的相关警告,如果在通信过程中某一方发现任何异常,就会给对方放松警示信息通告。
登录安全管理员Web管理页面,为用户创建用户账号,用户名称为用户的唯一标识,不可重复。每个用户被分配到不同的用户组中,以方便管理。
用户登录成功后,系统将该用户当前登录设备的IP地址加入到白名单中。只有当用户账号状态为已登录时,可查看允许访问的资源列表,且只有访问设备的IP与登录设备IP相同,才允许访问被授权的资源。
角色管理提供了细致到URL的权限划分,为资源访问提供了较强的安全性保障。可以为同一个用户用户分配多个角色。用户登录资源访问页面,通过资源链接访问被授权的资源。
用户只需登录一次就可访问其所有有权访问的系统。当用户持有的USB Key、数字证书或是静态密码等认证方式安全认证网关的认证后,即可访问其有权限的所有应用系统,用户无需再输入原有系统的登录密码,后台的各应用系统上的用户名和密码可以不相同。简化了用户的登录过程,节省了在各系统间工作切换浪费的时间。而且也无需再记忆大量的密码,方便用户对系统的访问。
对于 B/S结构应用系统,用户只需通过浏览器界面登录一次,即可通过本系统单点登录访问后台的多个用户权限内的Web应用系统,无需逐一输入用户名、密码登录。对于B/S结构的单点登录,可分为对业务系统改造和对业务系统不改造的单点登录。其中对业务系统不改造的单点登录采用模拟表单提交、简单代填等技术手段,对系统无需改造即可把业务系统纳入单点登录。对业务系统改造的单点登录,可以通过OAUTH2协议、OIDC协议等开放标准协议或是我司自定义标准协议接入。
USBKey认证被认为是安全性较高的双因素认证方式,由于其安全性,被网银广泛采用。本系统支持标准国密USBKey认证,且不存在传统USBKey认证只能采用IE浏览器的问题。用户只需要在安全认证网关进行一次身份认证后,即可轻松访问所有后台应用。
系统提供用户帐户的生命周期管理,包括帐户的创建、修改、调岗、锁定、删除等操作。
按照企业内部的组织结构,分组管理用户,可以进行部门管理,部门用户管理。对于组织机构的管理可以分多层次管理,一个部门下面设置子部门,子部门下面对用户进行管理。
可以按企业内部组织结构来分级建立用户,可以无限制地创建任意多级公司,子公司,部门,子部门等。
可对用户进行分级管理,通过设定具有不同权限管理级别的系统管理员。可以灵活设定本级的管理员只能管理本级的用户或是可以管理本级以及子级的用户,并为用户分配权限。对用户的操作可以控制到是否具有查看、新建、修改、删除等权限。
系统可以指定一个或是多个超级管理员,超级管理员可以管理所有的用户。解除了总部管理员的管理负担,明确管理职责,方便企业的用户管理工用。
系统基于角色、岗位、部门的授权。能够根据不同的情况定制不同的策略,对各种不同情况进行访问控制。
采用基于角色的授权机制,按照企业内部的组织结构划分角色,并为用户绑定角色。对于不同的角色分配不同的访问策略,用户在个人门户上将只会显示其有权访问的系统。
基于岗位的授权与角色授权类似,针对岗位定义访问策略,同一岗位的用户具有相同的访问权限。
基于部门的授权为按部门进行授权,针对部门定义访问策略。
基于应用组的授权为按应用组进行授权,针对应用组定义访问策略。
产品部署可以分为串联模式(桥模式)或者并联模式(单臂模式),各有利弊。模式的选型主要取决于实际产品的应用场景,以下将分别描述典型的产品部署模式。
串联模式(桥模式)指网关物理部署在用户和被保护的服务器之间,即安全认证网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器通过内部网络与安全认证网关连接,因此用户与服务器的连接被其隔离,用户只知道网关地址,无法直接访问被保护服务器,只有通过网关才能获得服务。
串联模式(桥模式)是安全认证网关的标准部署模式,也是推荐部署模式,其部署示意图如下:
方案优点介绍:
A. 应用服务器使用的地址均归属于由安全认证网关分配的私有地址,物理隔离用户和应用服务器间的直接联系从而保证了应用服务器区域的整体安全。
B. 安全认证网关与应用服务器之间通讯均建立在加密通讯隧道基础之上,由此可见即使内网用户中存在信息窃取的非法行为,也只能获取到加密后的信息充分保证了应用系统用户信息的安全。
C. 在部署实施上整体方案逻辑很清晰,需要保护的应用服务器架设在网关逻辑位置之后的私有局域网内即可。
并联模式(单臂模式)指安全认证网关逻辑部署在用户和被保护的服务器之间,而物理连接是在同一网络中,即安全认证网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。
方案优点介绍:
A. 与应用系统的高兼容性是该部署模式的主要特点,网关本身与应用系统部署的服务器存在与一个网路区域中,可以灵活的调节用户是否需要通过身份认证才可对应用系统进行访问。
B. 项目需求中存在部分证书用户和部分用户名+口令用户,该部署模式能很好的同时兼容两种用户的访问模式的并行。并灵活的进行由业务需求为主导的拓展。
C. 项目需求中存在只需要进行用户的身份认证,而并不需要建立加密隧道的。此时该部署模式能很好的节约安全认证网关的性能资源,因为保持加密隧道是主要性能消耗的环节。
扫一扫关注微信公众号