1、精選優質文檔-傾情為你奉上身份認證及訪問控制總體設計方案衛士通信息產業股份有限公司應用安全產品事業部2003年5月專心-專注-專業目 錄1. 設計目標使用證書認證方式實現網絡用戶與服務器之間的雙向身份認證，對通信的數據進行加密性、完整性和不可否認性保護，將訪問控制技術溶入到網絡代理中，對訪問網絡的用戶實施訪問控制。同時，因為系統代理了應用系統的網絡協議，并代理用戶訪問系統的提供的服務，因而，可對網絡用戶的行為進行全面的審計，大大的提高了系統的安全性。主要目標如下：1 實現安全設備統一接口，支持系列化配置的認證設備（USB-Key電子鑰匙、智能IC卡等硬件）；2 基于PKI和Kerberos思想

2、的認證方式，支持可配置的單，雙向身份認證。3 支持數據通信的加密保護，支持標準、商密和普密算法。4 支持常用的網絡協議。（HTTP等）5 對網絡資源（如文件、目錄）實現基于角色的訪問控制。6 提供完善的審計功能，提供數據的備份與恢復。7 系統的負載均載和集群技術。8 SOCKS協議支持。9 SSL算法擴充與標準化。10 認證服務器的二次開發接口。11 實現系統內證書及設備的管理，支持自帶CA 。2. 系統設計在原有網絡應用軟件的環境中，給客戶和服務器加上安全代理模塊和訪問控制模塊，為應用系統提供身份認證、數據安全和訪問控制等方面的安全保障。系統由管理系統、代理服務器、訪問控制服務器、認證服務器

3、、后臺應用服務器、安全客戶端組成。3. 系統組成1）客戶端 硬件認證令牌系統設備（可選擇的計算機安全模塊系列和第三方安全設備等） 客戶端安全認證軟件2）服務器端 認證服務器 代理服務器 服務器密碼機 RBAC服務器 系統管理中心 證書及密鑰管理系統 數據庫服務器l 管理系統 系統管理軟件完成安全系統代理服務的配置、系統服務器的網絡配置、系統審計與監控等。 證書及密鑰管理系統具有CA的基本功能，為系統中的用戶簽發證書及密鑰，并將這些信息存放在安全訪問設備中。 RBAC管理軟件為應用系統創建相關的角色，將定義的角色與證書及密鑰管理系系統中的所產生的用戶進行關聯，賦予角色對應用系統的資源的訪問權限。

4、l 代理服務器 與認證服務器進行身份認證和密鑰協商，驗證用戶的訪問令牌，代理后臺服務器的協議，完成發送/接收數據的加/解密，并對用戶的訪問請求進行權限裁決。l 客戶端代理軟件 使用指定認證設備，完成客戶與認證服務器之間的身份認證，并接收認證服務器返回的訪問令牌。客戶端代理軟件因訪問令牌超時而被代理服務器拒絕訪問時，將與認證服務器重新進行認證，獲取新的訪問令牌。l 認證服務器 采用PKI體系與Kerberos思想相結合的認證方式，對系統中的用戶及設備進行身份認證及密鑰頒發。通過認證的用戶將獲取一個指定代理服務服務器的訪問令牌，訪問令牌含有超時時限等信息。用戶將使用該令牌訪問代理服務器。l 訪問控

5、制服務器 從數據庫取得最新的數據信息，接收代理服務器的訪問裁決請求，從訪問控制信息中決定用戶是否有權進行操作，將判定結果返回給代理服務器。3.1. 工作原理證書及密鑰管理系統為系統中的用戶簽發安全訪問設備，并負責系統中的用戶管理。設備中有包含用戶信息的證書及密鑰等信息，并將生成的用戶信息記錄到數據庫服務器。RBAC管理軟件為應用系統創建相關的角色，根據用戶系統的實際組織結構，指定角色之間的繼承、互斥等關系，并為角色賦予對應用系統的資源的訪問權限。同時，從數據庫服務器取得用戶信息，為用戶分配與之對應的角色。系統管理負責系統的參數配置、信息查詢等。如：為整個系統的網絡地址配置；安全認證服務器配置對

6、外提供的網絡服務；審計信息的查詢等。認證服務器采用分布式身份認證方式，使用X509證書完成與用戶、代理服務器之間的身份認證，為系統中的用戶和代理服務器提供認證和密鑰頒發功能。代理服務器在啟動后，需與身份認證服務器進行認證，注冊其提供的服務。并協商出代理服務器的保護密鑰，該密鑰用于保護頒發給用戶的代理服務器訪問令牌。用戶在訪問協議代理服務器時，需先與身份認證服務器進行認證，協商出與認證服務器之間的通信密鑰，該密鑰用于保護與認證服務器通信的后續數據。然后，獲取欲訪問代理服務器的訪問令牌、提供的網絡服務和保護密鑰。令牌中也含有代理服務器的保護密鑰，用于解密用戶發送的數據。客戶端代理利用安全設備完成與

7、認證服務器的身份認證。安全設備完成對數據的簽名、加密。客戶端代理在本地進行網絡偵聽，當接收到應用系統的發來的連接后，便檢查該網絡連接屬于哪個代理服務器，然后檢查是否已經取得了該代理服務器的訪問令牌，以及該令牌是否還有效。如果尚未取得令牌，則與認證服務器進行身份認證，并申請欲訪問代理服務器的訪問令牌；如令牌已經失效，則無須重新認證，僅需重新申請訪問令牌。獲取令牌后，客戶端代理軟件將生成一通信密鑰，用代理服務器的保護密鑰對其保護后，與訪問令牌一起發送給代理服務器。代理服務器對訪問令牌進行驗證，通過后使用保護密鑰解開用戶發來的通信密鑰。以后用戶與代理服務器之間的通信均使用該通信密鑰進行保護。代理服務

8、器實現應用協議的代理和訪問控制，協議代理是為了實現更細粒度的訪問控制。代理服務器接受到用戶的訪問請求后，從其訪問令處牌中取出用戶的身份信息，如用戶ID。通過用戶ID確定用戶的角色，再將用戶角色信息、用戶訪問的網絡資源及其對網絡資源的操作，這三個要素進行RBAC的訪問裁決。通過裁決，系統將代理用戶訪問網絡資源。反之，拒絕用戶的訪問請求。同時，代理服務器將用戶的連接狀態、每一請求和操作，均記錄在數據庫中，為實現審計和監控提供詳盡的數據依據。代理服務器可根據服務器的要求對網絡中傳送的數據信息進行數據機密性和完整性保護。RBAC服務器裁決用戶訪問請求，由信息下載和訪問裁決兩部份組成。信息下載周期性的從

9、數據庫服務器下載最新的角色授權信息，為裁決模塊提供有效的信息。裁決模塊接收外部的裁決請求，根據用戶名從授權信息中確定用戶的角色，從訪問控制信息中決定用戶是否有權進行操作。3.2. 網絡拓樸3.3. 系統結構3.4. 運行環境客戶端認證代理：Windows98/2000。認證服務器：TCP/IP網絡安全服務器：TCP/IP網絡RBAC服務器：TCP/IP網絡服務器密碼機：TCP/IP網絡證書及密鑰管理系統：Windows 98/2000。系統管理中心：Windows 2000。4. 安全性設計4.1. 密鑰管理綜合運用對稱、非對稱密碼體制，實現身份認證、密碼頒發、數據機密等安全功能。系統中所有數

10、據的加、解密功能均通過安全設備實現，加密密鑰存放在安全設備中，不以明文方式出現在安全設備以外。用戶的私鑰和主密鑰均存放在客戶端安全設備中，只有通過安全設備的口令認證，才能夠使用，且不能讀出。協商的通信密鑰均用對方的公鑰和主密鑰進行保護后，發送給對方。4.2. 系統自身安全系統各模塊均需通過認證方可使用，對存放在數據庫以外的系統數據均做機密性和完整性保護。提供數據的備份與恢復，使系統更加安全可靠。5. 關鍵技術 RBAC（基于角色的訪問控制）技術。 網絡應用協議的分析與代理模。 身份認證機制的研究與實現； SSL算法擴展。 系統服務器之間的負載均衡。5.1. 訪問控制5.1.1. 系統結構系統采

11、用RBAC技術實現對應用系統對象的訪問控制。其思想為將一類用戶歸結為一個角色，角色之間可以繼承和互斥，通過對角色進行權限控制，達到對用戶權限的管理。其結構如下：互斥用戶11角色類型3角色類型2角色類型1用戶31用戶2n用戶1n用戶21角色類型4用戶41角色類型5上圖表現了角色的繼承的關系系統，角色類型3繼承角色類型2的權限，角色類型2繼承角色類型1的權限。由于角色類型3與角色類型5不存在互斥關系，用戶31同時擁有角色類型3和角色類型5的權限。由于角色類型3與角色類型4存在互斥關系，用戶41只能選擇擁有角色類型4或角色類型3的權限，不能同時擁有角色類型4或角色類型3的權限。5.1.2. 權限的設

12、置與裁決為應用系統的每一個訪問對象設置相關的訪問控制權限，并將其與某個角色相關。訪問裁決的思想是通過用戶ID確定用戶所屬的角色，從用戶的訪問請求中取得欲訪問的資源和操作。通過訪問控制列表，檢查用戶角色有無此權限，實現對用戶的訪問行為的訪問控制。本系統中用戶的ID從用戶證書中取得。其流程如下：用戶ID，訪問的資源，操作根據用戶ID取得用戶所屬的角色檢查用戶ID的合法性取得訪問資源的訪問控制列表該角色類型和操作在在訪問控制列表中檢索，并返回結果5.2. 身份認證為了提高系統身份認證的效率，在認證中采用了兩種認證方式：分布式認證和基于證書的認證。分布式認證運用于客戶端與代理服務器之間。證書認證用于與

13、認證服務器相關的認證，如客戶與認證服務器和代理服務器與認證服務器。5.2.1. 客戶端認證流程客戶端(用戶端、代理服務器) 服務器(身份認證服務器)1. 客戶端連接服務器。2. 服務器發送R1（隨機數）。 R14. 服務器驗證客戶證書及其簽名，如果通過認證，則從證書中取出用戶信息。否則，斷開連接。如果客戶端不需要認證服務器，則發送服務器加密證書，并轉至7。否則執行5。加密證書-5. 服務器發送簽名證書+私鑰簽名(R2) +加密證書。 簽名證書+私鑰簽名(R2) +加密證書8. 服務器驗證客戶端私鑰簽名的(RSAKus(key)，如果驗證通過，將key導入加密設備，并置返回結果為成功，否則，置返

14、回結果為失敗。 返回結果(成功或失敗)3. 服務器根據IDC檢查該用戶是否是公共用戶，如果是，則為用戶頒發公共服務的令牌。如果不是公共用戶，則驗證該用戶是否已認證，如果該用戶未認證，則將返回結構置為客戶未認證。否則，服務器為客戶端頒發訪問所有服務的令牌，將返回結果置為獲取令牌成功。 返回信息(認證未成功或(所有代理服務器信息與代理服務器對應的令牌所有后臺服務的信息)-4. 客戶端檢查服務器發送的信息，如果發現未認證，執行認證操作。否則，將令牌保存起來。5. 斷開連接。5.2.3. 代理服務器認證代理服務器 身份認證服務器1. 代理服務器連接身份認證服務器。2. 身份認證服務器發送R1（隨機數）

15、。 R14. 身份認證服務器驗證代理服務器證書及其簽名，如果通過認證，則從證書中取出代理服務器信息。否則，斷開連接。如果代理服務器不需要認證服務器，則發送身份認證服務器加密證書，并轉至7。否則執行5。加密證書-5. 身份認證服務器發送簽名證書+私鑰簽名(R2) +加密證書。簽名證書+私鑰簽名(R2) +加密證書8. 身份認證服務器驗證代理服務器私鑰簽名的(RSAKus(key)，如果驗證通過，將key導入加密設備，并發送身份認證服務器的時鐘。否則，斷開連接。Ekey(TIMEAS)11. 身份認證服務器更新代理服務器的服務信息。并返回認證是否成功的信息給代理服務器。認證是否成功的信息2. 代理

16、服務器檢查用戶的類型，如果是匿名用戶，則發送是否允許匿名用戶訪問的結果；否則，發送驗證客戶的隨機數R1結果 | R14. 服務器驗證用戶發送的訪問令牌，然后從令牌中取出密鑰，對R1作HMAC，并發送 驗證結果+是否加解密(1字節)+HMAC（R2）-5. 如果驗證通過，客戶端與服務器進行數據交換，否則，斷開連接。5.3. 負載均衡5.3.1. 集群技術負載均衡集群，目的是提供和節點個數成正比的負載能力，這種集群很適合提供大訪問量的Web服務。在集群中有一個主控節點，稱為高級流量管理器（ATM）。用戶對于代理服務器的請求全部發送到ATM上，因為ATM上綁定了這項服務對外的IP地址。ATM把接受到

17、的請求再平均發送到各服務節點上，服務節點接收到請求之后，直接把相應的結果發送給用戶。這樣一來，假如在1秒內有1000個請求，而集群中有10個服務節點，則每個節點將處理100個請求。5.4. 代理技術5.4.1. 應用協議代理應用協議進行代理，并對其進行解析，使面向應用的訪問控制成為可能。同時使安全系統可無縫的嵌入到應用系統中，無需對應用系統進行改造。對HTTP協議的代理可實現對WEB服務器上的文件進行訪問控制；對TELNET協議的代理可實現對系統操作的訪問控制。5.4.2. SOCKS代理SOCKS代理技術可實現同一端口對多個應用系統的代理，其優點是大大降低安全系統客戶端的開發工作，更好與應用

18、系統協同工作。當用戶系統有增加應用系統時，僅需進行簡單的配置，無需對代理軟件進行擴展開發，便可將新的應用系統納入安全系統的保護中。5.5. 統一接口系統模塊間的統一接口，使各模塊的開發更容易，系統適應力更高。安全設備的統一接口，使設備的替換、升級更簡單，可實現安全設備的系列化。可采用CSP、PKCS#11等技術。6. 系統特點 數據加密支持多種專用算法，這些專用算法均通過國密辦鑒定。由于采用了模塊組件的設計思想，算法的更換更加容易。 身份認證將PKI的證書認證與傳統的Kerberos思想相結合，大大提高了身份認證的安全性、可靠性和靈活性。 RBAC（基于角色的訪問控制）技術的引入是系統的核心，

19、該技術常用于操作系統和數據庫系統。將其應用于信息安全領域，是項目的最大創新。 系統負載均衡和集群技術的使用，使安全系統不再成為應用系統的瓶頸，提高了系統的吞吐能力，更好的服務與應用系統。 系統將數據加密、身份認證、訪問控制和協議代理等多種信息安全技術有機的結合在一起，尤其是將PKI、RBAC等先進的信息技術的引入，更使系統與眾不同、出類拔萃，建立了信息安全的一個全新的概念。7. 性能指標1. 協議代理服務器：并發支持1000個訪問請求。8. 系統功能8.1. 證書及密鑰管理系統1 證書管理證書、私鑰的生成、注銷和掛失。2 設備管理客戶安全認證設備和認證服務器管理卡的簽發與廢止。3 用戶管理用戶

20、信息錄入、修改、刪除和查詢。4 備份與恢復8.2. 客戶安全代理1 支持系列化的安全設備，包括計算機安全模塊系列和第三方廠商的設備；2 系統參數的可視化配置；包括安全設備的選擇、認證服務器IP地址、本機偵聽等）3 雙向身份認證方式；4 SOCKS服務端接口；5 應用協議的代理；6 通信數據的機密性和完整性保護；7 超時自動重新認證。8.3. 認證服務器1 基于證書的身份認證；2 為認證對象分發代理服務器的訪問令牌和密鑰；3 接收代理服務器所提供的服務注冊；4 提供二次開發接口。8.4. 代理服務器1 訪問令牌的驗證；2 網絡服務的注冊3 代理系統對外開放的相關的網絡服務（如HTTP等）。4 連接RABC服務器對用戶請求進行訪問決定。5 用戶訪問的審計記錄。6 通信數據的加密8.5. 訪問控制服務器1 定時獲取角色信息；2 實現訪問請求的裁決。8.6. 管理系統1 證書及密鑰管理系統a) 系統用戶信息的管理，包括用戶信息的創建、刪除、修改和查詢。b) 統一安全設備接口，支持多種安全設備的無縫接入。c) 支持第三方CA的無縫接入。d) 系統信息的備份與恢復