身份認(rèn)證E網(wǎng)關(guān)_0產(chǎn)品白皮書(shū)

1、JIT身份認(rèn)證網(wǎng)關(guān)G v3.0 產(chǎn)品白皮書(shū)Version 1.0有意見(jiàn)請(qǐng)寄： HYPERLINK mailto:info info中國(guó)北京市海淀區(qū)知春路113號(hào)銀網(wǎng)中心2層電話：86傳真：86大正元信息技術(shù)股份有限公司 TOC o 1-5 h z JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0目錄前言2 HYPERLINK l bookmark6 o Current Document 應(yīng)用場(chǎng)景描述 2 HYPERLINK l bookmark8 o Current Document 需求分析3 HYPERLINK l bookmark10 o Cu

2、rrent Document 術(shù)語(yǔ)和縮略語(yǔ)4 HYPERLINK l bookmark12 o Current Document 產(chǎn)品概述4 HYPERLINK l bookmark14 o Current Document 實(shí)現(xiàn)原理4 HYPERLINK l bookmark16 o Current Document 產(chǎn)品體系架構(gòu)組成 5 HYPERLINK l bookmark18 o Current Document 工作模式和組件描述 6 HYPERLINK l bookmark20 o Current Document 產(chǎn)品功能8身份認(rèn)證 8數(shù)字證書(shū)認(rèn)證8 HYPERLINK l b

3、ookmark25 o Current Document 終端設(shè)備認(rèn)證9 HYPERLINK l bookmark27 o Current Document 用戶名口令認(rèn)證10 HYPERLINK l bookmark29 o Current Document 鑒權(quán)和訪問(wèn)控制 10 HYPERLINK l bookmark31 o Current Document 應(yīng)用訪問(wèn)控制10 HYPERLINK l bookmark33 o Current Document 三方權(quán)限源支持 11 HYPERLINK l bookmark35 o Current Document 應(yīng)用支撐 11 HYPE

4、RLINK l bookmark37 o Current Document 支持的應(yīng)用協(xié)議和類型 11 HYPERLINK l bookmark39 o Current Document 單點(diǎn)登錄12高可用性12集群設(shè)定12雙網(wǎng)冗余13雙機(jī)熱備13負(fù)載均衡 13 HYPERLINK l bookmark41 o Current Document 部署方式14 HYPERLINK l bookmark43 o Current Document 雙臂部署模式 14 HYPERLINK l bookmark45 o Current Document 單臂部署模式14 HYPERLINK l book

5、mark47 o Current Document 雙機(jī)熱備部署15負(fù)載均衡部署 16多ISP部署方式 17 HYPERLINK l bookmark51 o Current Document 產(chǎn)品規(guī)格17 HYPERLINK l bookmark53 o Current Document 交付產(chǎn)品和系統(tǒng)配置 17 HYPERLINK l bookmark55 o Current Document 交付產(chǎn)品形態(tài)17 HYPERLINK l bookmark57 o Current Document 系統(tǒng)配置和特性 18 HYPERLINK l bookmark59 o Current Docu

6、ment 典型案例19 HYPERLINK l bookmark61 o Current Document 某機(jī)關(guān)行業(yè) 19以才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.06.2電子通訊行業(yè)201刖日應(yīng)用場(chǎng)景描述隨著信息化的快速發(fā)展，網(wǎng)絡(luò)內(nèi)信息應(yīng)用以其高效、便捷的特點(diǎn)得到廣泛應(yīng) 用，如網(wǎng)上證券、網(wǎng)上銀行、電子政務(wù)、電子商務(wù)、企業(yè)遠(yuǎn)程辦公等。越來(lái)越多 的重要業(yè)務(wù)在網(wǎng)上辦理，越來(lái)越多的重要信息在網(wǎng)絡(luò)中傳輸，如何保護(hù)這些重要 資源的安全訪問(wèn)以及重要數(shù)據(jù)的安全流轉(zhuǎn)是網(wǎng)絡(luò)應(yīng)用面臨的重要問(wèn)題，但通常的網(wǎng)絡(luò)應(yīng)用都存在以下安全隱患：一.沒(méi)有有效的身份認(rèn)證機(jī)制：一般都采用用戶名 +口令的弱認(rèn)

7、證方式，這 種認(rèn)證用戶的模式，存在極大的隱患，具體表現(xiàn)在：口令易被猜測(cè)；口令在公網(wǎng)中傳輸，容易被截獲；一旦口令泄密，所有安全機(jī)制即失效；后臺(tái)服務(wù)系統(tǒng)需要維護(hù)龐大的用戶口令列表并負(fù)責(zé)口令保存的安全，管 理非常困難。二.數(shù)據(jù)傳輸不安全：當(dāng)前大多網(wǎng)絡(luò)應(yīng)用所發(fā)放的數(shù)據(jù)包均是按照 TCP/IP 協(xié)議為明文方式傳輸，而Internet的開(kāi)放性造成傳輸信息存在著被竊聽(tīng)、被篡 改的安全問(wèn)題。三.操作抵賴：網(wǎng)絡(luò)應(yīng)用將現(xiàn)實(shí)世界的實(shí)體操作轉(zhuǎn)化為虛擬世界的信息流， 信息流的可復(fù)制性對(duì)操作的唯一性和可信性提出了挑戰(zhàn)，操作可以被抵賴成為網(wǎng) 絡(luò)應(yīng)用亟需解決的一個(gè)嚴(yán)重問(wèn)題以才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品

8、白皮書(shū)V3.0需求分析針對(duì)以上場(chǎng)景，需要建立一套安全防護(hù)系統(tǒng)，為用戶提供統(tǒng)一、安全的身份 認(rèn)證服務(wù)，并根據(jù)用戶提交的身份不同而分配不同的權(quán)限，以達(dá)到權(quán)限最小化分配。由于業(yè)務(wù)系統(tǒng)都是獨(dú)立部署，并且運(yùn)行在不同的平臺(tái)上。因此，在確保業(yè)務(wù) 系統(tǒng)能夠獨(dú)立運(yùn)行的前提下解決統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)的問(wèn)題，需要滿足以下的需求：應(yīng)用保護(hù)由于應(yīng)用的復(fù)雜性和多樣性，需要對(duì)使用不同協(xié)議的應(yīng)用進(jìn)行保護(hù)。 除了支 持應(yīng)用層的常用協(xié)議外，還要支持所有使用 TCP、UDP協(xié)議的應(yīng)用，甚至有些 時(shí)候還需要將整個(gè)IP全部對(duì)用戶開(kāi)放。身份認(rèn)證除了傳統(tǒng)的用戶名/口令認(rèn)證外、必須提供高強(qiáng)度的身份認(rèn)證方式，如 PKI/CA數(shù)字證書(shū)等，以確

9、保登錄的用戶確實(shí)為授權(quán)的個(gè)體，消除未授權(quán)用戶非 法訪問(wèn)的風(fēng)險(xiǎn)。同時(shí)，要與用戶現(xiàn)有的用戶管理系統(tǒng)（如 AD、LDAP、RADIUS 等）相結(jié)合，并能做到數(shù)據(jù)同步。在安全性要求更高的場(chǎng)合里，還需要對(duì)登錄用戶的硬件信息進(jìn)行認(rèn)證。訪問(wèn)控制允許用戶定義合適的安全策略，可以有效保護(hù)對(duì)專用網(wǎng)絡(luò)系統(tǒng)及應(yīng)用的訪 問(wèn)，可以根據(jù)用戶的不同身份來(lái)確定其訪問(wèn)權(quán)限。鏈路加密使用密碼技術(shù)和隧道協(xié)議來(lái)提供網(wǎng)絡(luò)的保密性、認(rèn)證性及信息完整性。責(zé)任認(rèn)定可以通過(guò)提供的個(gè)人信息及計(jì)算機(jī)硬件信息來(lái)綜合認(rèn)證用戶的身份， 并可以 記錄下其訪問(wèn)應(yīng)用的情況，實(shí)現(xiàn)不可抵賴特性。當(dāng)出現(xiàn)安全事故時(shí)，也可以確保 合法用戶不會(huì)被任何非法訪問(wèn)事件所牽連。以

10、才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0術(shù)語(yǔ)和縮略語(yǔ)縮略語(yǔ)央義中文JIT UMSJIT User Manager System吉大正兀統(tǒng)一用戶管理系統(tǒng)JIT PMSJIT Privilege Manager System吉大正兀權(quán)限管理系統(tǒng)CACertificate Authority數(shù)字證書(shū)中心。作為權(quán)威的第三方負(fù)責(zé)發(fā)放數(shù)字證書(shū)CRLCertificate Revoke List證書(shū)吊銷列表LDAPLightweight Directory Access Protocol輕量級(jí)目錄訪問(wèn)協(xié)議OCSPOnline Certificate Status Protocol在

11、線證書(shū)狀態(tài)協(xié)議PKIPublic Key Infrastructure公鑰基礎(chǔ)設(shè)施RARegister Authority審核注冊(cè)中心SSOSingle Sign-on單點(diǎn)登錄SSLSecure Socket Layer安全套接層協(xié)議層。它是網(wǎng)景(Netscape )公司提出的基于WEB應(yīng)用的安全協(xié)議2產(chǎn)品概述2.1實(shí)現(xiàn)原理吉大正元身份認(rèn)證網(wǎng)關(guān)是提供內(nèi)部網(wǎng)絡(luò)的接入控制以及對(duì)接入用戶進(jìn)行強(qiáng) 身份認(rèn)證和審計(jì)服務(wù)的產(chǎn)品，解決用戶使用應(yīng)用系統(tǒng)時(shí)涉及的身份驗(yàn)證、 信息保 密、權(quán)限控制等安全問(wèn)題。為網(wǎng)絡(luò)應(yīng)用提供以下安全支撐服務(wù)：提供數(shù)字證書(shū)、用戶名口令、硬件信息等多種認(rèn)證方式基于角色的動(dòng)態(tài)用戶授權(quán)機(jī)制基于

12、協(xié)議、端口或IP的應(yīng)用系統(tǒng)保護(hù)針對(duì)應(yīng)用系統(tǒng)資源進(jìn)行細(xì)粒度的權(quán)限控制吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0局強(qiáng)度的傳輸鏈路加密對(duì)用戶接入應(yīng)用系統(tǒng)的行為進(jìn)行全方位監(jiān)控、追蹤和審計(jì)該產(chǎn)品基于開(kāi)放的標(biāo)準(zhǔn)開(kāi)發(fā)，具備良好的兼容性和可擴(kuò)展性，全面支持PKI/CA （公鑰基礎(chǔ)設(shè)施）系統(tǒng)，實(shí)現(xiàn)邊界接入網(wǎng)絡(luò)安全的整體解決方案。產(chǎn)品部署在應(yīng)用系統(tǒng)與終端用戶之間，真正做到了安全和應(yīng)用的無(wú)縫連接, 更易于推廣。圖2-1身份認(rèn)證網(wǎng)關(guān)產(chǎn)品體系架構(gòu)組成安全鏈路報(bào)文認(rèn)證旁路服務(wù)模塊I主路服務(wù)模塊LDAP應(yīng)用2信息傳遞應(yīng)用1應(yīng)用端fHter或接口圖2.1-1G網(wǎng)關(guān)體系架構(gòu)圖仃吉大正元信息技術(shù)股份有限公司

13、JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0工作模式和組件描述正元身份認(rèn)證網(wǎng)關(guān)支持主路和旁路兩種工作模式，這樣能更好的滿足用戶復(fù) 雜的應(yīng)用接入環(huán)境和安全應(yīng)用需求，在應(yīng)用安全和應(yīng)用效率的側(cè)重點(diǎn)上用戶可以 自由的選擇。主路工作模式主路模式下用戶的業(yè)務(wù)訪問(wèn)都必須經(jīng)過(guò)身份認(rèn)證網(wǎng)關(guān)，用戶只有通過(guò)身份認(rèn) 證網(wǎng)關(guān)后才可以訪問(wèn)到后臺(tái)的業(yè)務(wù)應(yīng)用， 這是一種業(yè)務(wù)應(yīng)用安全需求至上的應(yīng)用 模式，主路模式的優(yōu)點(diǎn)在于更強(qiáng)的訪問(wèn)控制和應(yīng)用網(wǎng)絡(luò)的地址結(jié)構(gòu)保護(hù)。這種模式的組件主要分為三個(gè)部分：網(wǎng)關(guān)服務(wù)端：負(fù)責(zé)用戶的集中身份認(rèn)證和通信鏈路保護(hù)以及鑒權(quán)訪問(wèn)控 制。網(wǎng)關(guān)客戶端：部署在用戶客戶端上，構(gòu)建客戶端與網(wǎng)關(guān)服務(wù)端的認(rèn)證橋 梁。應(yīng)用端接

14、口：解決應(yīng)用訪問(wèn)的二次認(rèn)證和應(yīng)用信息傳遞的開(kāi)發(fā)接口，如 果用戶不關(guān)注二次認(rèn)證和信息傳遞，則不需要。以才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0我!覽導(dǎo)為數(shù)字證書(shū)圖-1產(chǎn)品體系架構(gòu)圖旁路工作模式旁路模式下身份認(rèn)證網(wǎng)關(guān)只負(fù)責(zé)用戶的身份認(rèn)證，用戶一旦通過(guò)身份認(rèn)證后其與業(yè)務(wù)的通信交互則與網(wǎng)關(guān)無(wú)關(guān)，這是一種應(yīng)用效率至上的應(yīng)用模式，旁路模式的優(yōu)點(diǎn)在于更高效的集中身份認(rèn)證效率，對(duì)應(yīng)用訪問(wèn)的瓶頸影響最小，這種模式的組件主要分為四個(gè)部分：網(wǎng)關(guān)服務(wù)端：負(fù)責(zé)用戶的集中身份認(rèn)證和鑒權(quán)信息傳遞?？蛻舳薃PI : C/S架構(gòu)應(yīng)用下的認(rèn)證請(qǐng)求發(fā)起。應(yīng)用端接口：負(fù)責(zé)轉(zhuǎn)發(fā)客戶端的認(rèn)證請(qǐng)求到網(wǎng)關(guān)服務(wù)端?！?/p>

15、才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0吉大正元討份認(rèn)語(yǔ)網(wǎng)關(guān)1E游覽器Filie過(guò)港B：S應(yīng)用服務(wù)器圖 -2 （B/S 應(yīng)用）圖 -3 （C/S 應(yīng)用）3產(chǎn)品功能身份認(rèn)證數(shù)字證書(shū)認(rèn)證系統(tǒng)支持PKI/CA數(shù)字證書(shū)認(rèn)證方式，對(duì)PKI全面支持，包括以下方面:上吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0用戶數(shù)字證書(shū)完整性驗(yàn)證驗(yàn)證證書(shū)基本信息，包括有效期、信任域、證書(shū)狀態(tài)。CRL更新系統(tǒng)支持動(dòng)態(tài)更新CRL ,并支持WEB站點(diǎn)下載、LDAP服務(wù)器下載、 及手工導(dǎo)入三種更新模式。支持OCSP證書(shū)驗(yàn)證方式系統(tǒng)支持OCSP協(xié)議進(jìn)行證書(shū)狀態(tài)驗(yàn)證。支持標(biāo)準(zhǔn)的證書(shū)載體支

16、持PKCS#12標(biāo)準(zhǔn)證書(shū)和各種具備標(biāo)準(zhǔn) CSP的硬件KEY。支持證書(shū)鏈支持由多級(jí)CA頒發(fā)的證書(shū)。支持單、雙向認(rèn)證選擇系統(tǒng)不僅支持使用證書(shū)對(duì)服務(wù)器身份進(jìn)行認(rèn)證，也支持使用證書(shū)對(duì)客戶 端身份進(jìn)行認(rèn)證?？梢酝ㄟ^(guò)配置為單向、非強(qiáng)制雙向、雙向三種認(rèn)證方 式，設(shè)置用戶是否需要提交證書(shū)。支持多信任域認(rèn)證同時(shí)支持多個(gè)證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的證書(shū)。兼容多家廠商證書(shū)系統(tǒng)基于開(kāi)放標(biāo)準(zhǔn)開(kāi)發(fā)，支持多種證書(shū)，包括國(guó)內(nèi)所有區(qū)域CAo終端設(shè)備認(rèn)證系統(tǒng)能夠?qū)尤肟蛻舳嗽O(shè)備特征進(jìn)行認(rèn)證，只有認(rèn)證的設(shè)備才能成功接入。系統(tǒng)采用硬件特征碼標(biāo)識(shí)接入終端設(shè)備， 硬件特征碼包括：MAC地址和硬以才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品

17、白皮書(shū)V3.0盤(pán)序列號(hào)。如果開(kāi)啟了硬件注冊(cè)功能，則用戶在訪問(wèn)網(wǎng)關(guān)時(shí)，需提交個(gè)人的硬件 信息，由管理員審核通過(guò)后方可登錄網(wǎng)關(guān)。網(wǎng)關(guān)的主機(jī)綁定功能，強(qiáng)制用戶只能從指定主機(jī)接入網(wǎng)關(guān)才能夠成功。接入主機(jī)的高可信度提高了應(yīng)用訪問(wèn)的安全性，同時(shí)，在確認(rèn)該主機(jī)安全的情況下， 也絕對(duì)防止了非法用戶盜用用戶帳號(hào)后從其他主機(jī)訪問(wèn)網(wǎng)關(guān)的非法行為。用戶名口令認(rèn)證系統(tǒng)支持聯(lián)合吉大正元統(tǒng)一用戶管理系統(tǒng)（JIT UMS）,可以通過(guò)連接UMSK 取用戶賬號(hào)信息完成用戶認(rèn)證操作，同時(shí)增加驗(yàn)證碼機(jī)制防止惡意登錄。鑒權(quán)和訪問(wèn)控制應(yīng)用訪問(wèn)控制正元G網(wǎng)關(guān)支持訪問(wèn)控制模板設(shè)置，管理員可以通過(guò)配置策略模板，授權(quán)用 戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)，應(yīng)用

18、入門級(jí)控制可以配置以下幾種策略：全局默認(rèn)策略控制當(dāng)應(yīng)用沒(méi)有配置具體的訪問(wèn)控制策略時(shí)，網(wǎng)關(guān)通過(guò)全局默認(rèn)策略進(jìn)行訪 問(wèn)控制，全局默認(rèn)策略的優(yōu)先級(jí)最低。根據(jù)用戶認(rèn)證方式控制可以根據(jù)用戶認(rèn)證等級(jí)策略控制用戶對(duì)應(yīng)用的訪問(wèn)權(quán)限。認(rèn)證等級(jí)分為 口令認(rèn)證、數(shù)字證書(shū)認(rèn)證、口令 +數(shù)字證書(shū)認(rèn)證。根據(jù)數(shù)字證書(shū)DN規(guī)則控制管理員可以根據(jù)用戶數(shù)字證書(shū)，設(shè)置 DN項(xiàng)規(guī)則策略，限制某個(gè)或某一 群組用戶對(duì)應(yīng)用的訪問(wèn)。系統(tǒng)采用黑、白名單的形式設(shè)置策略，DN規(guī)則配置靈活，支持通配符。根據(jù)時(shí)間段規(guī)則控制第10頁(yè)以才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0管理員可以根據(jù)時(shí)間段規(guī)則策略控制某一時(shí)間段內(nèi)，允許訪問(wèn)

19、應(yīng)用或者 禁止訪問(wèn)應(yīng)用根據(jù)IP地址規(guī)則控制管理員可以根據(jù)IP地址規(guī)則策略控制某一 IP地址或某一 IP區(qū)間段允許 訪問(wèn)應(yīng)用或者禁止訪問(wèn)應(yīng)用。根據(jù)用戶名控制管理員可以根據(jù)用戶名策略控制某一用戶允許或者禁止訪問(wèn)應(yīng)用三方權(quán)限源支持正元G網(wǎng)關(guān)支持從JIT UMS （統(tǒng)一用戶管理系統(tǒng)）和JIT PMS （統(tǒng)一權(quán)限 管理系統(tǒng)）中獲取應(yīng)用入門級(jí)或細(xì)粒度訪問(wèn)控制權(quán)限。其業(yè)務(wù)流程為：用戶通過(guò) 身份認(rèn)證網(wǎng)關(guān)的認(rèn)證，網(wǎng)關(guān)連接 UMS或PMS查詢?cè)撚脩粼趹?yīng)用中的全局權(quán)限 設(shè)定，再配合網(wǎng)關(guān)自身的訪問(wèn)控制策略模板統(tǒng)一的進(jìn)行鑒權(quán)和訪問(wèn)控制。應(yīng)用支撐支持的應(yīng)用協(xié)議和類型基于TCP/UDP的任意協(xié)議網(wǎng)關(guān)支持多種基于TCP/UD

20、P的web或Client/Server結(jié)構(gòu)的應(yīng)用系統(tǒng)。管 理員只需通過(guò)簡(jiǎn)單的管理接口在服務(wù)器上定義需要支持的應(yīng)用， 及配置好服務(wù)器 使用的端口。網(wǎng)關(guān)也支持多種使用動(dòng)態(tài)端口的應(yīng)用協(xié)議，比如 FTP, TFTP, Oracle, SQL server等。這些特性使得網(wǎng)關(guān)能夠最大程度的滿足用戶的應(yīng)用需求。靈活安全的應(yīng)用服務(wù)定義在網(wǎng)關(guān)中，定義一個(gè)服務(wù)需要指定服務(wù)所在的地址，端口，服務(wù)類型，應(yīng)用第11頁(yè)以才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0訪問(wèn)控制規(guī)則(Application Access Control Rule),關(guān)聯(lián)的客戶端應(yīng)用程序，是否 隱藏服務(wù)，服務(wù)應(yīng)用到的角色等

21、。在地址的定義方式上，管理員有三種選擇：完整的域名、IP地址或者主機(jī)名IP地址。這三種地址指定方式可以滿足多數(shù)應(yīng)用的需求。在網(wǎng)關(guān)的服務(wù)定義中可以添加多個(gè)端口。 這種方式滿足了那些在一臺(tái)服務(wù)器 上配置多個(gè)應(yīng)用服務(wù)的應(yīng)用需求，同時(shí)也可以部分的解決使用動(dòng)態(tài)端口的應(yīng)用系 統(tǒng)的需要。對(duì)于多臺(tái)服務(wù)器提供同一個(gè)服務(wù)的情況，管理員其實(shí)希望只讓用戶看到其中 的一個(gè)服務(wù)器即可，不必了解具體有多少服務(wù)器在同時(shí)提供服務(wù)。針對(duì)這種要求， 網(wǎng)關(guān)為每一個(gè)服務(wù)提供了一個(gè)開(kāi)關(guān)。 根據(jù)這個(gè)開(kāi)關(guān)的設(shè)置，網(wǎng)關(guān)就知道該給用戶 顯示哪個(gè)服務(wù)，而把其他的作為備份的服務(wù)器隱藏起來(lái)。單點(diǎn)登錄系統(tǒng)支持多個(gè)應(yīng)用系統(tǒng)之間的單點(diǎn)登錄，即一次登錄，多次

22、使用。用戶通過(guò) 網(wǎng)關(guān)認(rèn)證后，系統(tǒng)認(rèn)證平臺(tái)通過(guò)安全 Cookie機(jī)制維護(hù)該用戶的會(huì)話信息，用戶 登錄應(yīng)用系統(tǒng)時(shí)，無(wú)需再次認(rèn)證。極大的簡(jiǎn)化了用戶登錄應(yīng)用系統(tǒng)的步驟，使應(yīng)用更加流暢。在多臺(tái)G并行的應(yīng)用環(huán)境下，如果一個(gè)用戶擁有訪問(wèn)所有應(yīng)用系統(tǒng)的權(quán)限， 那么該用戶只需要訪問(wèn)一臺(tái)網(wǎng)關(guān)后面的一個(gè)應(yīng)用即可實(shí)現(xiàn)全網(wǎng)關(guān)后應(yīng)用的單點(diǎn) 登錄。高可用性集群設(shè)定G網(wǎng)關(guān)支持集群設(shè)定，加入集群的網(wǎng)關(guān)會(huì)自動(dòng)同步配置和業(yè)務(wù) session信息, 這其中包括用戶認(rèn)證信息和數(shù)據(jù)緩存等。第12頁(yè)以才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0雙網(wǎng)冗余G網(wǎng)關(guān)支持橋模式的配置部署方式， 可以很好的適應(yīng)有雙網(wǎng)冗余災(zāi)備考慮

23、的 用戶網(wǎng)絡(luò)環(huán)境雙機(jī)熱備網(wǎng)關(guān)內(nèi)置雙機(jī)熱備系統(tǒng)，采用主備機(jī)模式，主機(jī)（處于工作狀態(tài)的機(jī)器）與 備機(jī)之間通過(guò)網(wǎng)口連接心跳線，用于監(jiān)聽(tīng)對(duì)方機(jī)器是否處于正常工作狀態(tài)， 當(dāng)備 機(jī)發(fā)現(xiàn)工作機(jī)停止工作時(shí)，通過(guò)自己的雙機(jī)功能將主機(jī)的服務(wù)切換到備機(jī)，由備機(jī)繼續(xù)提供服務(wù)。當(dāng)主機(jī)恢復(fù)正常后，服務(wù)自動(dòng)切回到主機(jī)。雙機(jī)熱備功能用于解決安全認(rèn)證網(wǎng)關(guān)的單點(diǎn)故障問(wèn)題， 對(duì)后臺(tái)受保護(hù)的應(yīng)用 系統(tǒng)提供更可靠的安全認(rèn)證等服務(wù)。雙機(jī)熱備的G網(wǎng)關(guān)不僅同步配置信息，還包括業(yè)務(wù)日志信息。負(fù)載均衡由于G網(wǎng)關(guān)支持自身集群設(shè)定，故在與第三方負(fù)載均衡設(shè)備的配合下能有效 實(shí)現(xiàn)業(yè)務(wù)無(wú)間斷，即假設(shè)集群內(nèi)有一臺(tái)設(shè)備宕機(jī)了也不會(huì)出現(xiàn)要求已連接用戶進(jìn) 行二次

24、重新認(rèn)證的情況。第13頁(yè)以才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.04部署方式雙臂部署模式圖4-1雙臂模式部署圖直連部署模式將網(wǎng)關(guān)以申接的方式連入網(wǎng)絡(luò)中，成為內(nèi)外網(wǎng)通訊的唯一路 徑。單臂部署模式圖4-2單臂模式部署圖第14頁(yè)“1吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0單臂部署模式將網(wǎng)關(guān)與內(nèi)外網(wǎng)絡(luò)的接口連接在一個(gè)交換機(jī)上。 它的接入無(wú)需 修改現(xiàn)有的網(wǎng)絡(luò)拓?fù)?，可根?jù)需求靈活接入。但是，用戶通過(guò)網(wǎng)關(guān)訪問(wèn)被保護(hù)服 務(wù)的數(shù)據(jù)流還是主路的，是必須要經(jīng)過(guò)網(wǎng)關(guān)的。雙機(jī)熱備部署圖4-3雙機(jī)熱備部署圖主機(jī)-備機(jī)模式：當(dāng)主機(jī)DOWN掉后，備機(jī)自動(dòng)切換成主機(jī)提供服務(wù)，

25、保證 網(wǎng)絡(luò)連通性。第15頁(yè)”才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0圖4-4負(fù)載均衡部署圖三方負(fù)載模式：1、正元G網(wǎng)關(guān)支持集群設(shè)定，同步業(yè)務(wù) session和配置信息，可與三方負(fù) 載均衡設(shè)備聯(lián)合部署，由三方負(fù)載均衡設(shè)備進(jìn)行業(yè)務(wù)流負(fù)載分配。第16頁(yè)”才吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0多ISP部署方式圖4-5多ISP部署圖在用戶的網(wǎng)絡(luò)接入環(huán)境中，如果存在電信、網(wǎng)通以及移動(dòng)等多個(gè) ISP來(lái)提 供網(wǎng)絡(luò)服務(wù)，不同的運(yùn)營(yíng)商提供不同的網(wǎng)絡(luò)鏈路以及 IP地址，這樣用戶在跨運(yùn) 營(yíng)商訪問(wèn)網(wǎng)關(guān)時(shí)的速度會(huì)很慢。針對(duì)這種情況，網(wǎng)關(guān)提供多個(gè)外網(wǎng)接口，可分別配置為不

26、同運(yùn)營(yíng)商提供的IP 地址。這樣用戶在訪問(wèn)網(wǎng)關(guān)時(shí)，由客戶端組件計(jì)算選擇較好的鏈路進(jìn)行連接， 保 證客戶端的連接速度，保證用戶使用體驗(yàn)的質(zhì)量。5產(chǎn)品規(guī)格交付產(chǎn)品和系統(tǒng)配置交付產(chǎn)品形態(tài)產(chǎn)品名稱產(chǎn)品形態(tài)客戶端支持的操作系統(tǒng)類型吉大正元信息技術(shù)股份有限公司第17頁(yè)JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.0| 吉大正元身份認(rèn)證網(wǎng)關(guān) | 硬件 | WindowsXP/2003/Vista/Win7表5.1.1-1 交付產(chǎn)品表第18頁(yè)系統(tǒng)配置和特性參數(shù)型號(hào)G2000-EG3000-EG5000-E設(shè)備高度1u3u3u網(wǎng)卡2千兆電口4千兆電口4千兆電口2千兆光口電源容量單電源單電源冗余電源電源功耗300W300W50

27、0W設(shè)備自重6 Kg10 Kg尺寸規(guī)格390*430*44(mm)500*430*132(mm)吉大正元信息技術(shù)股份有限公司JIT身份認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書(shū)V3.06典型案例某機(jī)關(guān)行業(yè)外部接，區(qū)視關(guān)外網(wǎng)敷據(jù)交換區(qū)H-o-機(jī)關(guān)內(nèi)網(wǎng)班期VPN上靛囑一、士0猿撲耨】孫回平白 內(nèi)M詈自 “蘇器A 的火墻 腹*脖A書(shū)丸正元 青舟認(rèn)證網(wǎng)關(guān)圖6.1-1某機(jī)關(guān)網(wǎng)絡(luò)中的典型應(yīng)用上圖為身份認(rèn)證網(wǎng)關(guān)在某機(jī)關(guān)網(wǎng)絡(luò)內(nèi)部的應(yīng)用拓?fù)洹?在機(jī)關(guān)內(nèi)部辦公網(wǎng)上有 許多應(yīng)用系統(tǒng)，需要對(duì)內(nèi)部辦公人員提供服務(wù)，同時(shí)也有部分系統(tǒng)需要給其下屬 單位的部分人員開(kāi)放相應(yīng)的權(quán)限。 在原來(lái)的網(wǎng)絡(luò)結(jié)構(gòu)中，應(yīng)用系統(tǒng)如果映射在外 部網(wǎng)絡(luò)上，則相當(dāng)于直接暴露在互聯(lián)網(wǎng)上。 雖然