奥联云安全接入平台.pdf

云安全接入平台 ——海量用户安全接入解决方案 深圳市奥联科技有限公司 安全认证平台介绍 2 目录目录 功能介绍................................................................................................................................................. 4 技术优势................................................................................................................................................. 5 1.1 比 SSL 更方便 .................................................................................................................... 5 1.2 比 IPSEC 客户端更简便 .................................................................................................... 7 1.3 高细粒度访问控制 ............................................................................................................. 8 1.4 支持海量接入 ..................................................................................................................... 8 1.5 详细的访问日志 ................................................................................................................. 9 1.6 应用透明（与浏览器无关） ........................................................................................... 10 1.7 网络无关性 ....................................................................................................................... 10 1.8 多种身份认证 ..................................................................................................................... 8 1.9 支持压缩 ........................................................................................................................... 10 1.10 加速功能 ....................................................................................................................... 10 1.11 客户端支持各种智能终端 ........................................................................................... 10 1.12 高安全性 ....................................................................................................................... 12 客户应用............................................................................................................................................... 12 安全认证平台介绍 3 随着信息化程度的不断提高和互联网的高速发展，用户在家中、酒店、网吧甚至乘坐交通工具移动途中，均可使用电脑或，通过各种各样的方式（ADSL 网络、小区宽带、3G 网络等）接入互联网，从而需要实时、安全的远程访问公司内部的信息系统。

这些远程接入都是动态建立，从安全的角度必须要对接入的用户进行严格的身份认证，对通道进行数据加密，在某些特定环境下还需要采用国家标准算法来保护远程接入的安全；同时，远程终端的多样性也要求远程接入的客户端具有跨平台、 易于升级和维护等特点 这些问题是都是传统的 VPN 技术难以解决的 面对这些新的挑战， 云安全接入平台便应运而生 这是我公司基于 NTLS （Next generation Transport Layer Security）协议、IBC（Identity-Based Cryptograph）密码技术开发的新一代安全接入和身份认证产品同时具备了 SSL 产品使用简单和 IPSEC 产品应用透明的优点，并通过优化 NTLS 协议，实现了海量用户接入客户端使用 IBCkey，即插即用，立刻完成部署 图 1：产品外观（注：不同型号外观有所不同） 安全认证平台介绍 4 功能介绍功能介绍 ? 远程接入：使用 IBCKEY，无论在何时何地，立刻接入公司网络，无需安装任何软件； ? 身份认证：密码技术保证强身份认证，支持 IBC 标识认证、口令认证等； ? 访问控制：基于应用的访问控制，如限制每个用户只能进行某一项操作，访问指定的IP 或者端口； ? 通讯加密：身份认证采用 SM9 算法加密，数据传输支持多种加密算法。

图2：客户端界面（插入key输入PIN码后自动启动安全连接） 图3：客户端界面（内置各种应用，即插即用） 安全认证平台介绍 5 图 4： 后台登录界面（登录支持用户名和 KEY） 图 5： 设备后台管理界面（人性化设计，向导操作） 技术优势技术优势 完全自主知识产权，灵活的管理方式和配置模式，为用户打造高效稳定的网络应用 1.1 比比 SSL 更方便更方便 SSL在经过用户认证后，需要登录SSL的门户页面而云安全接入平台可以直接访问到后台局域网，无需门户跳转SSL一般只能做第七层应用，而云安全接入平台应用透明，无论B/S还是C/S，乃至VOIP、视频均可直接使用 安全认证平台介绍 6 和传统SSL比较如下： 比较项目 SSL 云安全接入平台 C/S应用 普通SSL不支持高端SSL可通过扩展控件方式支持，但需要Client程序修改服务器地址 ★☆☆☆☆ 支持，无需任何设置 ★★★★☆ B/S应用 支持 ★★★★★ 支持 ★★★★★ 使用方式 先登录SSL门户页面，通过认证后，再选择需要应用，跳转到应用页面 ★★★☆☆ 直接访问应用，如同在内网使用所有应用内置，即插即用 ★★★★★ 安全性 单向认证 ★★☆☆☆ 双向认证，更安全 ★★★★★ SIP语音应用 不支持 ☆☆☆☆☆ 支持 ★★★★★ 移动智能设备 需要浏览器而定 ★★★☆☆ 支持android系统、WM系统，和浏览器无关 ★★★★★ 适应性 一般B/S支持IE和chrome等主流，一旦需要控件方式，只能支持IE ★★★☆☆ 和浏览器无关,均可支持 ★★★★★ 客户端介质 浏览器 ★★★★★ KEY或下载绿色客户端 ★★★★★ 算法支持 RSA/AES/3DES ★★★☆☆ RSA/SM1/SM9/AES/3DES ★★★★★ 安全认证平台介绍 7 1.2 比比 IPSEC 客户端更简便客户端更简便 IPSEC客户端需要安装软件、虚拟网卡驱动等，而云安全接入平台把所有客户端设置都内置在一个IBCKEY内，插入KEY直接使用。

和传统IPSec客户端比较如下： 比较项目 IPSEC客户端 云安全接入平台 C/S应用 支持，无需任何设置 ★★★★☆ 支持，无需任何设置 ★★★★☆ B/S应用 支持 ★★★★★ 支持 ★★★★★ 使用方式 直接访问应用，如同在内网使用但没有内置应用链接 ★★★★☆ 直接访问应用，如同在内网使用所有应用内置，即插即用 ★★★★★ 访问控制 只能基于IP层控制 ★★☆☆☆ 基于IP和应用进行控制，非常灵活 ★★★★★ 安装方式 需要安装软件客户端，虚拟网卡 ★★☆☆☆ 直接运行，无需安装虚拟网卡 ★★★★★ 移动办公 换电脑需要重装 ★★☆☆☆ 内置于KEY，即插即用 ★★★★★ 安全性 支持多种认证和算法，高安全性 ★★★★★ 支持多种认证和算法，高安全性 ★★★★★ 防火墙穿透 需要安装客户端，如果遇到NAT环境需要复杂的设置 即插即用，无需改动现有网络 安全认证平台介绍 8 ★★☆☆☆ ★★★★★ 可维护性 使用设置非常麻烦， 需要设置IP、 ID、PSK、算法、协商时间等等参数 ★★☆☆☆ 内置于KEY，即插即用 ★★★★★ 1.3 高细粒度访问控制高细粒度访问控制 云安全接入平台可支持的访问控制包括： (1). 允许接入的用户标识； (2). 内网服务器的IP地址； (3). 内网服务器的端口号； (4). 传输报文的协议类型； (5). 允许接入的时间范围； (6). 允许客户端接收的数据量； (7). 允许客户端发送的数据量； 此外，系统还会在日志中记录用户所访问的服务资源和传输报文的数据量大小，便于对系统安全问题进行分析和审计。

1.4 支持海量接入支持海量接入 基于优化的 TLS 协议，可以支持海量用户的并发接入，并支持冗余和叠加，可适应于大规模的用户同时接入的应用单台设备可支持高达 3 万用户接入，并可通过堆叠实现无限扩容 1.5 多种身份认证多种身份认证 基于 IBC 标识的认证系统有着部署简单、使用成本低、密钥管理简便等特点，因此云安全接入平台采用 IBC 技术作为基础的认证设施根据接入安全策略，客户端软件的接入认证可以强制使用 UsbKey 型的 IBC 认证密钥，此种情况下，不管接入端的 PC 环境是否可信，都不会存在密钥泄露的风险，进一步提高了接入认证的安全性 安全认证平台介绍 9 同时， 云安全接入平台也支持基于 ECSRP5 口令认证， 并可扩展支持 PKI 证书认证的方式 1.6 详细的访问日志详细的访问日志 云安全接入平台可以把基于每个用户对其能访问的IP、端口进行设置，并有详细的日志记录，可精确记录到每个链接包括终端用户的接入标识，接入时间，接入地址，连接数，发送数据量大小，接收数据量大小等同时提供基于用户和服务的信息检索功能，从而方便管理员了解应用使用情况 通过检索数据，管理员可以知道哪些用户使用远程接入的时间最多、哪些用户登录次数最多、哪些用户利用NTLS传递的数据最大、哪些应用被使用得最多等信息。

图 6：日志界面 安全认证平台介绍 10 1.7 应用透明（与浏览器无关）应用透明（与浏览器无关） 管理员只需在后台 WEB 管理界面上定义需要发布的应用，配置内网应用服务器的 IP 地址和端口号及允许接入的标识集合，远程接入客户就可以通过 NTLS 客户端。