معماری سرویس دهنده پیشخوان دولت
Download
Report
Transcript معماری سرویس دهنده پیشخوان دولت
آنچه تا کنون بوده است ... .
هر دستگاه خدمت دهنده :
برنامه نرم افزاریشناسه و رمزقرارداد-تضامین
سرویس خدمات
دولتی و عمومی
جداگانه
دستگاههای خدمات دهنده
این 3تا خدمته !
اگر 100تا بشه چه
شلوغی میشه؟!
دفتر پیشخوان
دفتر پیشخوان
دفتر پیشخوان
دفتر خدمات دهی
-
نیاز به عقد قرارداد جداگانه با دفاتر توسط هر دستگاه خدمات
دهنده
مشکالت تراکنشهای مالی و پرداخت حق السهم دفاتر
مواجه شدن کاربر دفتر با دهها برنامه گوناگون و شناسه و رمز
مختلف
تنوع سیاستهای امنیتی
معماری کلی سرویس دهنده
تونل امن از
سرویس دهنده
به دستگاه
B
سرویس خدمات
دولتی و عمومی
سرویس دهنده مرکزی
ارتباط امن
دستگاههای خدمات دهنده
تونل امن از دفتر به سرویس دهنده
تونل Aچگونه کار می کند؟
A
دفتر پیشخوان
دفتر پیشخوان
دفتر پیشخوان
تونل امن از دفتر به سرویس دهنده ()َA
Data Center
سازمان فن آوری طالعات
سرویس دهنده مرکزی
EPishkhan
Keyhan
Server
شبکه خصوص ی پیشخوان ()VPN
کیهان چیست ؟
و چگونه امنیت را تضمین میکند؟
ماژول کیا
دفتر پیشخوان
كيهان
•
سيستمي براي امنسازي شبكه است كه كليه سرويسهاي امنيتي را به صورت شفاف ارايه ميكند.
در اين سيستم امنسازي ارتباطات بر اساس تونلهاي امنيتي در اليه شبكه و مبتني بر يك پروتكل
امنيتي اختصاص ي انجام ميگیرد.
•
توسط اين سيستم ميتوان سرويسهاي امنيتي زير را ارايه نمود :
• محرمانگي تبادل اطالعات Confidentiality
• صحت اطالعات مبادله شده Integrity
• احراز اصالت دو عاملي كاربران Two Factor Authentication
• كنترل دسترس ي كاربران
معماری کلی سرویس دهنده
تونل امن از
سرویس دهنده
به دستگاه
سرویس خدمات
دولتی و عمومی
B
سرویس دهنده مرکزی
ارتباط امن
دستگاههای خدمات دهنده
تونل امن از دفتر به سرویس دهنده
تونل Bچگونه کار می کند؟
A
دفتر پیشخوان
دفتر پیشخوان
دفتر پیشخوان
اجزاء اصلی و ارتباطات سرویس دهنده مرکزی
Epishkhan
و تونل B
SSL
سوییچ بانکی
پیشخوان
Digital
Signing
IP
Restriction
سرور وب سرویس
Web Service Server
واحد اعتباری
Credit Module
دستگاه خدمات دهنده
حسابهای خزانه
سرور تشخیص هویت
ماجولهای خدمات
Authentication server
مدیریت حساب کاربران
واحد مجوزهای کاربری
ACL module
تکنولوژی OpenId
هسته مرکزی
Core
Login Form-Services List
سرور کيهان
A
روش معمول ورود به سایتها ؟
•
•
•
برای اتصال به چندین سایت و سرویسهای مختلف نیاز به ایجاد حساب کاربری در هریک و بخاطر سپردن
شناسه و رمز همه آنهاست.
در صورت انتخاب رمز یکسان برای تغییر رمز باید همه حسابها اصالح شود.
برای هر بار مراجعه باید مجددا رمز و شناسه را وارد نمود.
OpenIdچیست؟
• Single-Sing-Onیکبار ایجاد حساب در سرویس دهنده مرکزی ()Provider
• یک شناسه و رمز برای همه سایتها
• امکان هدایت ( )redirectاز سایتهای خواهر به یکدیگر بدون نیاز به Loginمجدد
• استاندارد بین املللی مورد استفاده در:
google-windows Live Id-Yahoo-AOL-Facebook-Twitter-Verisignو دهها سایت معتبر دیگر
تضمین امنیت سرویس دهنده مرکزی
تونل B
SSL
Digital
Signing
Epishkhan
IP
Restriction
دستگاه خدمات دهنده
امضای الکترونیک :
Secure Socket Layerيا همان SSLيک
تکنولوژی استاندارد و به ثبت رسيده برای
تامین ارتباطی امن مابین يک وب serverو
يک Clientاينترنت است .اين ارتباط امن
از تمامی اطالعاتی که انتقال ميابد ,
محافظت ميکند تا در اين انتقال به
صورت محرمانه و دست نخورده باقی
بماند
با استفاده از کلید رمز نگاری عمومی و خصوص ی تضمین
میگردد که :
-1اطالعات محرمانه بماند ( )Confidentialityیعنی فقط
صاحب پیام آن را دریافت میکند و برای کس دیگری
قابل فهم نیست .
-2دست نخوردگی پیام : Integrity
پیام بدون تغییر به مقصد میرسد.
-3تشخیص مبدا پیام :Authenticity
پیام از مرجع معتبر رسیده و جعلی نیست .
سرور وب سرویس
Web Service Server
اعمال محدودیت : IP
فقط سرورهای با آدرسهای مجاز میتوانند به
هم صحبت کنند
رعایت تدابیرو سیاستهای
( )Policyامنیتی خاص هر
دستگاه خدمات دهنده
تکنولوژی استفاده شده در وب سرویس
•
پیاده سازی امنیت بر اساس استاندارد WS-Security
برمبنای XML Signatureو XML Encryptionمیباشد
که بر روی Rampartدر Apache Axis2پیاده سازی شده است .
برای مطالعه بیشتر
http://www.wso2.org
http://en.wikipedia.org/wiki/WS-Security
http://openid.net/
تکنولوژیهای استفاده شده در سرویس دهنده مرکزی
•
•
•
•
•
سیستم عامل سرورها Linux Red Hat :
وب سرور Apache HTTP Server :
بانک اطالعاتی MySql & Postgre Sql :
اسکریپت PHP & Java :
ابزارها و کتابخانه ها Zend - Wso2 - ExtJs
با تشکر
از توجه
شما
امنیت
سرعت
دقت