系统组件

PremierAccess系统由四个必须的组件(以及你的组织选择的任选组件)所组成。这些组件与PremierAccess支持的Agent(参考“PremierAccess支持的Agent简介”)互动,提供访问控制。

必须的组件(括号中是它们的缩写)是:

● Administration (Admin) console (AC)——管理控制台

● Administration (Admin) server (AS)——管理服务器

● Authentication, Authorization, and Accounting (AAA) server——AAA服务器

● Directory server (DS)——目录服务器

任选的组件有:

● Certificate Verification (CV) server——证书确认服务器

● Certificate Management (CM) server——证书管理服务器

● Virtual Smart Card (VSC) server——虚拟智能卡服务器

● Universal Web Agent (UWA)

● Web Login Server (WLS)

● Authentication Broker——认证Broker

● RADIUS Servers——RADIUS服务器

PremierAccess的灵活性允许你将它配置在由Windows和UNIX/Solaris机器组成的系统中、仅由Windows机器或仅由Solaris机器组成的系统中。图4列出了PremierAccess的一部分配置。当安装在单独的机器上时,Admin Console(AC)能用Secure Socket Layer (SSL)协议的两种方式加密它与Admin Server(AS)之间的通信。AS依次执行来自AC的命令。

图4 PremierAccess的几种可行配置

图4还表明VSC Server可以定制安装在一台独自的、物理安全的服务器上。我们建议安装有VSC的那台机器最起码应该处于一个安全的位置,以防止未授权的用户访问储存在其中的私有密钥。

 

Admin 控制台(AC)

PremierAccess使用基于Java的管理控制台,它使你在网络上或者多服务器的PremierAccess环境中能够完全控制当地和/或远程情况。管理控制台使用的是运行在Windows 95/98、Me、NT、2000或者Solaris平台上的基于Java的GUI界面。它是管理员进入PremierAccess系统的主要界面。

图5是一个管理控制台的页面。

图5 管理控制台

注:你可以从Solaris或者Windows启动管理控制台。

管理控制台的菜单栏含有文本菜单选项和图标任务按钮。控制栏被分成两部分,左边是管理组的等级树形结构,右边是突出的组中含有的用户和/或对象。最下面是身份信息区域。

控制台的任务栏中含有激活各种选项的按钮。图6是各种按钮所代表的含义:

图6 任务栏图标

管理控制台模仿Windows Explorer 的GUI,使用控制板和信息窗口,你可以根据你的组织的网络安全需要定制配置你的系统。管理控制台与PremierAccess Server的连接是安全加密的,你可以管理用户、创建用户组、分配认证器、创建一个访问你的被保护的Web内容和网络资源的安全政策。你也能够对管理和认证事件日志进行详细的察看。

通过管理控制台,可以保证你与安装有PremierAccess Server组件(参考“PremierAccess的几种可行配置”)的机器的通信路径安全、可靠。当安装在分离的机器上时,SSL可以保证管理控制台和管理服务器之间的连接的安全,并且要有合法管理权限才能够访问记录和使用管理功能。

管理控制台还提供了输入和管理数字证书以及相关认证政策的工具。

注:虽然下面的这些组件是分别讨论的,但是它们可以组合安装在同一台机器上。

Administration server (AS)

管理服务器执行来自管理控制台的命令,并在允许访问目录服务器之前进行适当的认证以保证目录服务器的访问安全。管理服务器持有它自己的密钥,可以用来给每一个写入目录服务器的记录加上数字签名。这些数字签名能够保证存放在目录中的数据的完整性。

AS和目录服务器之间通过LDAP进行通讯,和其他的外部服务器是通过加密的SSL进行通讯。

认证、授权和审计(AAA) Server
AAA服务器是PremierAccess系统认证能力的核心。AAA服务器用于用户认证,访问授权和日志服务。它是PremierAccess的内部组件,用来确定是否能够访问你的组织中受保护的应用和资源。AAA服务器用用户任务(访问规则由一个标志指明)来控制你的用户对这些资源的访问。它还支持来自不同Agent的认证请求。

在用户的认证过程中,AAA服务器行使三个主要的功能,如下表所示:

表1 AAA的功能

问题
AAA的回答
AAA的功能
这是PremierAccess的用户吗?
 “是(或不是)” 认证
允许他/她访问Web或网络资源吗? “是(或不是)” 授
 授权
他/她是否通过了认证和授权?
 “通过(或没通过)” 审计
AAA服务器用一个专有的API(应用程序接口)和PremierAccess支持的各种Agent进行通讯,并且允许使用不同的软硬件认证器。PremierAccess保护的所有网络资源都要求有PremierAccess Agent。可以用AC的日志查询功能来恢复AAA服务器的日志记录。

你也可以使用PremierAccess对常规的和第三方的各种应用系统提供认证,如果要这么做的话,需要用到SafeWord的认证SDK。有关SafeWord认证SDK的技术文档请在我们的网站

www.securecomputing.com上下载。
Certificate Management (CM) server
通过PremierAccess的用户登记功能,CM Server能够生成一个完整的数字证书。CM Server可以让你的组织依据设定的用户安全政策,为用户生成X.509数字证书。

如果有用户通过登记服务器自我注册,CM Server就可以满足管理服务器要求生成数字证书的请求。在CM Server的安装过程中,CM Server生成一个密钥对和私人签署的证书,作为所有将来要生成的用户证书的根证书。

CM Server的管理要求最少,一旦配置完成,CM Server就充当后台的角色,根据特殊的登记请求生成证书。


Certificate Verification (CV) server
CV Server根据你创建的证书确认政策来确认用户的公钥证书。证书确认政策包含一些要素,例如可信任的根证书列表和证书废弃列表(Certificate Revocation Lists)是否被用来进行废弃检查。

用户每次使用数字证书认证时,确认证书过程都是一个由CV Server执行的复杂操作。当AAA服务器接收到一个使用数字证书进行认证的请求时,AAA服务器会通知CV Server进行证书的确认。
Directory server (DS)
PremierAccess 用Novell的eDirectory来存储数据,例如用户登记,任务限定、审计日志和认证器数据。它不能用来储存任何其他的应用程序的数据。所有被管理服务器写入到DS Server中的条款都进行了数字签名,以确保数据的完整性。一些敏感数据,像密钥和口令都由管理服务器的密钥进行了加密。
Enrollment server (ES)
登记服务器运行在PremierAccess的植入式Apache Web服务器上。登记服务器通过生成和储存一个能与标准窗口浏览器兼容的客户化的Web页面,使组织能够进行基于Web的、用户初始化的自我注册。作为管理员,你要为你的用户提供一个适当的Web页面的URL,用户只要浏览一下这个页面,填写要求的信息,他们就可以方便快捷地将他们自己和他们的认证器注册到PremierAccess系统中了。该Web页面也允许用户在登记时测试他们的认证器。这一特性使管理员不用再单独的输入和测试PremierAccess系统中的众多用户,削减了管理负担。

在虚拟智能卡用户登记时,这个用户也需要从ES下载必须的虚拟智能卡客户端软件到自己的PC上。根据你的组织的安全策略,用户的公钥证书可以存储在用户的硬盘上(由用户的PIN进行加密)、物理智能卡或是VSC Server上。在用户下载VSC客户端软件和配置他们的口令牌时,ES提供自动的帮助桌面,用户可以获得正确的指导。

ES也可管理密钥对和X.509的数字证书的生成和签名过程。

Virtual Smart Card (VSC) server
!注意:我门建议将 VSC server安装和运行在一个单独的主机上,并放置在一个安全的区域,以使用户私有密钥获得高级别的安全。

VSC server和VSC客户端软件配合运行,提供了一个能效仿物理智能卡和读卡器这一组合结构的软件,它的操作和实际中的智能卡相同。VSC的主要优势是它提供了智能卡的功能而不需要逻辑上的智能卡和智能卡读卡器。VSC server持有认证用户的私有密钥,而且只向正确认证的用户发布公共数据——证书和公钥。

使用VSC之前需要在用户PC上安装VSC客户端软件,这个软件实际上就是放置在用户PC上的虚拟智能卡。它要求有适当的认证,以增加额外的安全。

VSC server用以下方法来保护用户的私(密)钥:

·这些信息只保存在VSC Server上,而决不在用户的PC上

·内部生成密钥对,而不是在用户的PC上

·保证用户密钥的安全,防止未授权使用(除了使用了PIN选项的用户以外,任何其他人不能使用用户的私有密钥)。私有密钥绝对不会离开VSC server

·对私有密钥进行加密

·当进程完毕或该密钥不再需要时清空VSC内存中的密钥信息
Web Login Server ( WLS)
WLS是一个认证Agent,它是与PremierAccess AAA服务器连接的基于Web的界面。正如其他的认证Agent一样,WLS也使用EASSP(扩展认证和单点登陆协议)来认证用户。WLS用一个叫做Web Agent Command API的HEEP/HTML接口接收来自WEB浏览器和所有其他HTTP客户端的命令。WAC API有认证、再认证和注销的功能。

用户在认证到WLS时,要将他们的浏览器指向WLS登录页面。WLS支持许多不同的认证形式:固定密码、动态密码和数字证书。一旦用户通过了PremierAccess的Web服务器上的登录认证,WLS就会为该用户创建一个会话。该会话是证明该用户已经刚刚完成了认证的凭证,还包含有最近的认证信息和完成该会话的终止信息。

对话中的ID放在用户当前浏览器中的加密cookie中。只要当前会话还有效而且cookie还保存在浏览器中,用户就可以在Universal Agent的支持下享受单点登录了。

用户可以直接访问WLS来登录PremierAccess,然后再访问PremierAccess所保护的Web内容;或者也可以试图先访问PremierAccess所保护的Web内容,而此时PremierAccess Agent将会强迫用户返回PremierAccess进行认证。该认证仍然是由WLS来完成。用户必须明白在完成访问后要将自己注销,当注销之后,用户的会话就终止了。

Authentication Broker
认证broker是一个插件的模式,它能将用户名和密码的认证请求委托到一个外部资源如RADIUS Server或一个Windows 2000活动目录服务器上。当broker启动时,PremierAccess就提供Agents去保护网络资源和基于任务的访问控制。它叫做外部认证资源,目的是去对用户名和密码进行认证。密码可以是记忆式密码或固定密码。通过LDAP,Broker可以和RADIUS或Windows 2000的活动目录服务器兼容。
!注意:要想了解认证Broker的更多信息,或下载broker插件,请登录我们的网站www.securecomputing.com.
例如这样一个应用:网络中认证broker有可能使用的地点是使用VPN的地点或第三方认证器已经配置好的地点。此时,就可以通过认证broker来添加PremierAccess的基于任务的授权。

为了利用认证broker,可以采用第三方系统将相应的任务传回到用户那里,或者配置认证broker,在成功认证的基础上采用默认的任务。

PremierAccess Server有可能收到来自VPN网关的认证请求。通过RADIUS broker插件,PremierAccess将用户名和密码委托到第三方授权系统。它会收到这个系统返回的是否通过的信息,然后发出是否可以进入网络信息。作为响应的一部分,任务和授权信息将带着认证成功与否的信息返回。

当Windows 2000的活动目录中存在非常多的用户名和密码时,Broker 也可以用在对Web的访问方面。PremierAccess通过Web访问控制Agents,减少通过多台Web服务器的sign-on、会话管理、个性化处理和基于策略的访问控制。

在这种情况下,WEB login Server会要求用户提供用户名和密码,然后由WLS转发到AAA服务器处,即通过LDAP broker插件将信息委托到活动目录。是否允许访问Web资源取决于活动目录和基于策略的访问控制认证的结果。最初的认证完毕后,PremierAccess继续提供会话管理、个性化处理以及访问权限的控制,直到用户会话终止。

© CopyRight 2003-2004 普安思科技(www.prcsc.com)
公司地址:北京市朝阳区永安里通用国际大厦B座1107室 电话:86-10-65698337/65698338