返回
身份认证及访问控制系统设计说明书.doc

身份认证及访问控制系统设计说明书.doc

ID:57677406

大小:185.50 KB

页数:10页

时间:2020-08-31

身份认证及访问控制系统设计说明书.doc_第1页
身份认证及访问控制系统设计说明书.doc_第2页
身份认证及访问控制系统设计说明书.doc_第3页
身份认证及访问控制系统设计说明书.doc_第4页
身份认证及访问控制系统设计说明书.doc_第5页
资源描述:

《身份认证及访问控制系统设计说明书.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、密级编号设计说明书项目类型:产品升级开发项目项目名称:身份认证及访问控制系统起止时间:2006.2-2006.12承担单位:行业集成系统与工程中心项目负责人:吕青松填报日期:2006.2成都卫士通信息产业股份有限公司二○○六年制目录1概述32技术特性32.1功能指标32.2性能指标42.3稳定性指标42.4兼容性指标42.5产品的可操作性说明42.6工作环境说明53总体结构及工作原理53.1总体结构及工作原理53.2身份认证系统各子模块的作用及结构特点53.2.2客户端认证设备系列5客户端认证代理63.2.3证书密钥管理系统63.2.4认证服务器63.2.5安全服务器63.2.6系统管理73

2、.2.7RBAC管理74关键技术74.1混合认证74.2协议代理84.3RBAC(基于角色的访问控制)84.4访问控制目标的对象管理95应用接口91概述身份认证及访问控制系统以密码技术和PKI技术为核心,以数据加密、数字签名、访问控制等安全技术为基础,充分考虑身份认证机制、信息传输安全、权限控制等安全因素,在网络上实现了强有力的身份认证和访问控制功能。使合法用户能够访问网络上的所授权的资源,将非法用户拒绝于网络之外。证书认证实现了网络用户与服务器之间的双向身份认证,并通过Kerberos协议为每个用户颁发访问令牌,实现应用系统统一的身份认证。采用SOCKS标准和代理技术,实现对通信数据的机密

3、性和完整性保护。在代理的同时对协议进行解析,实现对用户请求的访问控制。访问控制采用RBAC(基于角色的访问控制)和面向对象的访问目标管理技术。RBAC使用权限管理更简单、更清晰;面向对象的访问目标管理技术,使访问控制的目标多样化,丰富了访问控制的应用范围。系统代理了应用系统的网络协议,并代理用户访问系统的提供的服务,因而,可对网络用户的行为进行全面的审计,使安全系统更体系、更完善。2技术特性2.1功能指标(1)客户端采用基于COM组件技术的统一接口,支持公司的各种密码模块和中建华盾的指纹鼠标。(2)采用Kerberos和X509证书相结合的认证方式,实现客户端与服务端的认证。(3)认证服务器

4、实现双机热备份功能,能达到平滑切换。(4)实现SOCKS代理,支持以TCP为基础的应用协议代理,为应用系统提供透明的代理服务。(5)RBAC-管理:角色的创建、角色权限的动态继承与互斥、增加、删除角色的权限、用户与角色的关联。支持多种欲进行访问控制的资源对象管理。(6)RBAC-访问控制:对HTTP、TELNET请求实现基于角色的访问控制。(1)记录并查询用户对网络资源访问,为事后审计提供相关的审计数据。(2)与应用系统相结合,实现B/S和C/S应用的一次登录。(3)多台代理服务器之间的连接负载平衡。1.1性能指标(1)认证服务器最大用户容量:5000个。最大并发数:350(2)代理服务器最

5、大并发数:5001.2兼容性指标(1)认证服务器及代理服务器兼容上一版本的客户端;新版本的客户端与原有版本的认证服务器、代理服务器兼容。(2)中心端兼容新老版本的二级认证服务器及代理服务器。1.3产品的可操作性说明故障诊断要求:硬件设备均配置自检模块,对自身进行故障诊断。灾难恢复:系统中的数据均存放在数据库中,系统提供数据库的备份与恢复功能。当灾难出现后,可通过备份恢复系统的数据。双(多)机备份:采用集群技术,对安全服务器实现多机备份和负载均衡,对认证服务器实现双机备份。1.4工作环境说明(1)软件环境:客户端认证代理:Windows98/2000,winxp/win2003。认证服务器:T

6、CP/IP网络。安全服务器:TCP/IP网络。RBAC管理:Windows2000,winxp/win2003。证书及密钥管理系统:Windows98/2000。系统管理:Windows98/2000,winxp/win2003。(1)硬件环境:供电方式:交流220V±10%,50±1Hz;环境条件:工作温度:0°C~+40°C;存储温度:-20°C~+55°C;相对湿度:20%~80%。1总体结构及工作原理1.1总体结构及工作原理系统采用PKI技术对于访问网络的用户,进行基于证书的双向身份认证。通过认证的用户,系统采用Kerberos分布认证体系,为其颁发访问令牌。不能通过认证的用户,系统

7、拒绝为其颁发令牌。用户通过安全系统的代理访问应用服务。安全系统的代理将验证用户的访问令牌,以确定用户是否通过认证。代理从用户请求中取得用户访问的网络资源及其对网络资源的操作,从访问令牌中取得用户身份信息。将这三个要素进行RBAC的访问裁决。通过裁决,系统将代理用户访问网络资源。反之,拒绝用户的访问请求。同时,系统可根据用户的要求对网络中传送的数据信息进行数据机密性和完整性保护。由于,用户的所有访问均通过系统的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。