河北移动boss系统xcess身份认证系统解决方案(编辑修改稿)

河北移动boss系统xcess身份认证系统解决方案(编辑修改稿)内容摘要：

厅终端 用户 PC 执行 计费中心制定的安全策略，使其访问 BOSS 系统时 具 备基本的安全防护，避免 BOSS 因终端 用户 PC 上 DoS 或蠕虫病毒攻击而导致瘫痪；  营业厅终端用户对 BOSS 内网网络资源的访问权限控制，对计费中心内部的人员也进行不同的区别对待；  营业厅访问用户所使用的网络应用程序控制；  营业厅终端用户行为进行详细记录，以便事后审计；  营业厅终端认证系统和安全策略可以根据需要自动升级。 3 铭寰科技 Xcess身份认证系统产品介绍 Xcess 身份认证系统功能介绍 针对河北移动的需求，铭寰科技公司提出了基于 Xcess 产品的解决方案。 铭寰科技 Xcess 产品为企业提供了一个统一 身份认证与安全策略管理系统。 Xcess 支持包括多种身份认证标准和双因素认证手段，允许系统管理员控制对用户的访问授权、终端主机防火墙策略、数字证书的分发与管理等。 其主要功能如下表所示 Xcess 身份认证系统产品功能表 功能 描述 身份用户身份认证协议支持 Xcess 支持多种身份认证标准，具备和多种主流认证服务的互联互通性。 RADIUS 支持 RADIUS 标准，与运营商现有 RADIUS 系统实现无缝连接。 可以对多个 RADIUS 域（ Realm）的用户实现认证。 Active Directory 支持 Windows Active Directory，允许企业用户直接利用现有基于Windows 的用户认证系统。 中国最大的管理资源中心 (大量免费资源共享 ) 第 7 页 共 14 页 认证功能 LDAP 支持 LDAP，允许企业用户直接利用现有基于 LDAP 协议的用户认证系统。 本地认证 支持基于 Xcess 服务器的本地用户数据库的认证。 双因素认证方式 数字证书 支持标准的 数字证书（ Digital Certificate），可以支持服务器和客户端同时要求使用数字证书来进行相互认证。 UKey 支持采用 USB 接口硬件与用户物理绑定，实现双因素用户 身份认证。 动态口令卡 支持采用一次性口令系统和动态口令卡（ Token Card）实现双因素用户身份认证 数字证书管理 Xcess 管理员可以查看用户证书状态，删除证书申请等操作 数字证书分发 数字证书的申请、生成和分发自动完成，无需管理人员手工干预 安全管理功能 本地用户数据库管理 实现本地用户的增 /删 /改、用户组别、用户状态的管理 用户分组与管理 支持对用户进行分组管理，根据不同用户组赋予不同的安全策略 安全策略管理 安全策略管理包括： 默认安全策略管理 特殊安全规则管理 针对 IP、 TCP/UDP 端口及数据流向的安全规则 针对 Inter 和内网不同的安全策略 用户自管理 支持用户自修改口令和部分用户属性 安全策略强制执行 客户端软件自动下载安全策略，并强制执行， 软件自动升级 客户端软件自动检测最新版本，自动完成升级 监测 与审计功能 系统在线监测 允许系统管理员实时监测系统负载，在线用户和证书认证服务器状态等重要系统特征 系统负载 实时显示系统访问数据传输速率和访问数据总量等信息 在线用户列表 实时显示系统在线用户总数，在线时长，登录 IP 地址等信 息 证书认证服务器状态监测 实时显示证书认证服务器在线状态，负载等信息 系统日志 详尽的用户使用日志和管理员活动日志 用户行为日志 可以记录用户登录 /退出，或在特殊状态下记录用户所有访问 IP、端口和应用的详细信息 系统管理员行为日志 可以详细记录管理员登录 /退出及所有对系统配置的修改信息 中国最大的管理资源中心 (大量免费资源共享 ) 第 8 页 共 14 页 其 他 高可用性 支持 多认证服务器集群构架，任一服务器不可用时自动将其用户登录请求分配到其他服务器上 负载分担 实时监测各个 认证服务器的负载状态， 根据负荷动态分配用户请求 可扩展性 多认证 服务器集群构架提供了无限的扩展能力、容错能力、性能的最优化以及整体的策略一致性 Xcess 身份认证系统架构介绍 铭寰科技 Xcess 产品主要由证书认证服务器、 Xcess 管理服务器， Xcess 强制认证网关和 Xcess客户端软件组成 . 1) 证书认证服务器 证书认证服务器是一个高速引擎，最高效率地完成对大量并发的客户端证书认证请求的响应和处理。 证书认证服务器支持多机集群式架构，可以同时实现可用性（ High Availability）和负载分担（ Load Balancing），使得 Xcess 系统理论上可以支持无 限多的用户。 2) Xcess 管理服务器 Xcess 管理服务器是整个系统的核心，功能包括用户认证方式管理、本地用户 /用户组管理、数字证书管理、防火墙安全策略管理等统一管理。 Xcess 管理服务器采用 WEB 界面，便于操作和管理。 3) Xcess 强制认证网关 Xcess 强制认证网关主要负责网络客户端的强制认证。 Xcess 强制认证网关的另一个责任是使用 Gratuitous arp 技术通知该地市的 ROUTER 通往 BOSS 系统的路由指向 Xcess 强制认证网关。 进而检验此 ROUTER 下的网络客户端是否安装并运行了 Xcess 客户端软 件。 如果没有安装 Xcess 客户端软件则将请求重定向到 Xcess 客户端软件的安装页。