WebST在Intranet的应用方案

一、安全管理需求

1．用户管理：

• 要求解决全局的统一的用户身份认证；

• 用户就近完成身份认证；

• 对移动用户提供同样的身份认证功能。

2．资源管理：

• 资源包括所有的TCP/IP应用，资源目录包括了Web页面和TCP/IP端口；

• 资源在物理上是分布的；

• 各级机构维护自己本地的资源；

• 各级机构管理自己的资源访问授权；

二、WebST解决方案

1．WebST组成

• WebST安全服务器：提供用户注册功能，保存注册用户的信息（身份、所属组、密钥等信息）；提供认证用户身份功能，为用户和应用服务器之间的通信建立安全通道。

• WebSEAL服务器：保存用户对Web资源的访问授权（ACL），对HTTP服务提供访问控制。用户通过WebST安全服务器完成身份认证，取得与Web服务器通信的凭证，再通过WebSEAL服务器提供授权，访问Web服务器资源。

• NetSEAL服务器：保存用户对非Web服务外其他资源的访问授权（ACL），对非HTTP的TCP/IP服务提供访问控制。

• Java Console管理控制台：提供对WebST安全服务器、WebSEAL服务器、NetSEAL服务器的管理控制。

• NetSEAT：WebST客户端软件。

• WebST是基于分布式计算环境（DCE）的，从这一点来看，WebST安全服务器是一个DCE Server，而其他的WebSEAL、NetSEAL、NetSEAT、Java Console等都是DCE Client。

2． WebST配置方案

• 划分两个安全域：总部、一级子公司属于一个安全域，称为一级安全域；任一个一级子公司与其下属的二级子公司属于一个安全域，称为二级安全域。安全域划分如图1所示。

图1 安全域划分

• 在一级安全域内：

• 总部：

• 一级子公司：

• 二级安全域内：

• 一级子公司

• 二级子公司

总的配置图如图3所示。

图3 WebST的总配置图

3．安全控制策略

• 总部、一级子公司作为一个统一的安全域（CELL）管理，一级子公司、及其下属的二级子公司作为另一个安全域。

• WebST安全服务器是安全域内的DCE Server，WebSEAL、NetSEAL、NetSEAT、Java Console等都是安全域内的DCE Client；

3.1 在一级安全域内：

• 总部和一级子公司的WebST安全服务器复制，总部WebST安全服务器作为主安全服务器，一级子公司WebST安全服务器作为复制的安全服务器；

• 安全域内所有的WebSEAL、NetSEAL服务器都是独立的。WebSEAL通过灵巧接点（Smart Junction）技术对本地的所有Web服务器提供安全控制；NetSEAL通过应用网关技术提供对本地的所有非HTTP的TCP/IP服务的安全控制；

• 用户身份认证：用户可以就近到总部或任一个一级子公司登录，因为总部和一级子公司的安全服务器都是复制的，任一个安全服务器上都有用户的注册信息；

图4 一级安全域的安全控制策略

• 访问控制：各地的WebSEAL、NetSEAL服务器提供对本地的应用服务器的访问控制。用户经过身份认证后，通过要访问的资源所在地的WebSEAL或NetSEAL对用户授权，并提供用户和应用服务器之间的安全通信。

• 安全管理：实行分级管理。