|
 |
|
 |
 首页 >> 解决方案 |
|
|
| 宇盟科技:电子政务SSL VPN解决方案 [解决方案] |
| IT.com.cn(IT世界) |
| 2005-6-1 17:40:00 文/火乌鸦 |
|
电子政务系统的设计初期,多是将主要精力集中在业务逻辑和流程的分析与整合上,而未对系统本身的安全性进行周详的考虑。随着互联网络的飞速发展,消除并防范网络及信息安全隐患的工作已经迫在眉睫。尤其针对以下问题:
身份认证:在身份认证方面,多数应用系统只是采用了传统的用户名/口令方式,统计表明,这种简单的认证机制存在较多的安全弱点,容易给系统造成安全隐患。对于关键的系统,其内部的资源都是敏感和应该受到保护的。用户名/口令认证机制虽然使用方便,但是容易造成失窃,用户可能会选择比较简单的口令,或者不经意将口令泄露给他人,如果有人窃取和冒充合法用户的身份,进入系统,将会造成敏感数据的失窃,破坏正常的业务管理流程,给用户造成损失。因此,应当采用安全性更高的身份认证机制,最好能够提供双因素的认证,以提高该认证机制的安全强度。宇盟的解决方案建议采用以“安全设备”为存储介质的“数字证书”认证方式。这种方式具有明显的优点:
1.基于公钥密码体制的CA数字证书认证机制,是目前所公认的最安全的身份认证方式,为众多的电子商务和电子政务系统所采用,并且技术成熟,具有通用的国际标准。
2.采用USB存储设备作为证书的存储介质。该设备在安全性上类似于IC卡,可以在内部进行密码运算,不允许将用户私钥导出和复制,并且带有PIN保护,能有效抵御蛮力尝试。在使用上,目前大多数的计算机都有USB接口,此类设备的使用比IC卡简单,不需要专门的读卡器设备。
3. 采用证书身份认证方式,可以实现双因素认证的需求,攻击者如果想冒充合法用户的身份进入系统,不仅需要窃取到用户的数字证书,还需要知道数字证书的保护口令,这种双因素认证机制可以大大提高认证的安全强度,也会使得身份冒充变得更加困难。
安全传输: 宇盟科技采用SSL协议建立安全通道来保护授信应用系统的数据,SSL协议是业界的实际标准,宇盟推出的SSLVPN产品不但能解决B/S架构的WEB应用,更突破了以往无法适用C/S应用的局限。而且对SSL协议的使用均采用安全性最高的双向身份认证的密钥协商,密码算法也采用高安全强度的国际标准算法。
最近的安全权威报告指出,超过70%的安全威胁均来自组织内部,在局域网中的计算机上安装数据包窃听程序,可以窃取和分析任何局域网上传输的数据包,如果有人恶意地监听和窃取应用系统的数据,而数据又没有加密保护措施的话,也会造成难以挽回的损失。有了SSLBOX的安全机制做保护,不仅可以保证局域网内部的数据传输安全,更能消除业务数据在公网中传输所面临的安全隐患。
访问控制:通常应用系统内部都有比较严格的访问控制机制,不同的用户有不同的权限。但是在服务级别上则很少有严格的控制,任何人都可能通过内部办公网段甚至互联网访问到业务主机,这就给攻击者试探合法用户身份甚至直接攻击业务主机提供了可能。
宇盟SSLVPN解决方案中的访问控制的具体实现是通过主体(角色及用户)对客体(B/S或者C/S服务)进行访问控制,C/S和B/S目前控制到服务级,用户(包含证书用户和口令用户),可以划分为不同的角色,每个用户可以属于多个角色,访问控制直接将角色或者角色组授权给某个客体,即定义角色或者角色组对那些客体有访问控制权限。用户访问时,系统先确定其所在的角色或者角色组,然后判断是否对客体具备访问权限,即基于角色的访问控制策略。好处在于将用户和访问控制分开,当用户变化时,不用修改访问控制列表。SSLBox中对客体的访问则划分为三个安全等级,1:安全隧道+口令 2:安全隧道+证书 3:安全隧道+开放,其中口令用户或者证书用户均采用基于角色的访问控制机制来实现。只有持有分配了口令或数字令牌的合法用户才能够访问到系统资源,任何其它的用户均会被拒绝,无法访问系统。而且任何用户均无法绕过SSLBOX访问控制系统,直接访问到收保护的应用服务器,从而保证了安全控制策略的切实有效。
整体部署图例:
证书中心—Unic PKI/CA™
方案中,Unic PKI/CA™为系统内的用户签发数字证书,并采用了管理员集中管理的机制,管理员可以通过专门的终端控制台软件与CA服务器通信,完成用户证书的签发、作废等管理功能。系统还可以支持多种证书存储方式,包括磁盘存储方式和E-Guard存储方式,其中E-Guard存储方式在用户的使用过程中,安全可靠,操作简单,我们推荐在项目实施的时候使用这种方式既配合使用E-Guard。
安全网关—SSL BOX™
SSL BOX™本质上是一个标准的SSL服务器,并发接受客户端的连接请求,按照SSL协议完成对用户的身份认证,并且通过安全的密钥协商,建立起高强度的安全通信通道,为应用数据的传输提供透明的安全保护。
由于安全网关采用标准的SSL协议库,可以作为SSL服务器与IE浏览器内置的SSL客户端模块实现互操作,并且内置了多种不同安全强度的密码算法,可以根据具体的应用环境,配置灵活的安全策略,为应用数据提供不同安全级别的保护机制。
认证钥匙——E-Guard™
E-Gurad 是一种USB接口设备,小巧的体积便于使用者随身携带,可在 Windows 98/2000 及其它多种操作系统下使用。可用于电子邮件加密、数字签名、安全证书、安全网络登录和访问 SSL 安全网络,并为使用者提供身份认证、身份识别和信息加密的服务。
系统部署方案
在中小规模的系统应用中,CA数字证书系统和SSLBOX安全网关,可以运行在同一台服务器之上(这里我们暂称之为安全主机),甚至可以与Web应用服务运行于同一台服务器。管理员可以通过CA中心和SSLBOX安全网关的管理终端,完成配置和管理工作。
1、安全主机与应用服务器为同一台计算机的时候,为了保证安全网关真正能够起到保护作用,我们可以将Web服务器进行配置,使其只接受来自本机的服务请求,这样,所有的远程用户都只能通过安全网关才能够访问应用服务,而不能绕过安全网关上的安全机制直接访问应用服务。
2、为了抵御IP欺骗等攻击手段,还可以按照一种安全性更好的方式部署,安全主机作为一台堡垒主机,安装2块网卡,内部网卡与应用服务器主机同属一个与外部网段不同的网段,安全主机负责外部和内部网段上数据的路由转发,这样可以实现完全的安全控制,任何人都无法绕过安全网关,直接访问应用服务。
用户使用模式
单向认证应用中用户只需要使用IE浏览器即可。而需要双向认证的用户则需安装E-Guard的驱动程序,并且将E-Guard插入计算机的USB接口,然后启动IE浏览器,在其中键入目的服务器的URL,此时IE浏览器的证书管理控件会弹出对话框,用户选择相应的证书,并且输入保护口令,在SSL握手过程结束后,用户的IE浏览器上即可显示应用页面,此后的操作与没有安全系统的时候完全相同。
如果用户使用磁盘文件方式,那么在使用系统之前,需要完成用户证书和可信根证书的导入操作,然后的操作与没有安全系统的时候完全相同。
单点认证模式
多数应用系统在集成安全系统之前,已经有自身的用户名/口令身份认证机制,而且在此机制之上,实现了细致的授权和访问控制。在集成安全系统之后,用户要访问应用系统的话,首先要完成证书身份认证,进行服务级别的访问控制,然后再进入应用系统,进行用户名/口令的认证。这样的话,就需要用户完成两次认证登录,给用户的操作带来了额外的负担。因此,为了满足单点认证的需求,宇盟的解决方案可以在两次认证之间建立一种映射机制,将第二次认证机制忽略,简化用户操作。
首先,管理员在应用系统中添加用户,然后在证书管理终端上签发用户证书,证书的内容中有一些与用户信息有关的项,其中一项是用户名,管理员在此输入相同的用户名,其它项按照实际情况输入。这样,发出的用户证书中就包含了用户名这个信息,我们就利用这个用户名作为两次认证之间传递的参数。
当网关与IE完成SSL握手的双向认证之后,网关可以从获取的用户证书中提取出用户名,并且将这个参数插入应用系统的HTTP协议头的UserAgent字段之中,应用系统原先处理用户登录的Servlet可以进行修改,应用系统信任安全系统的身份认证的结果,不再对用户进行认证,而是从网关转发过来的数据中提取出该用户名,接下来继续实施对该用户的访问控制。这样,用户只需要进行一次证书的登录操作,就可以在安全系统的保护下使用应用系统,实现了单点登录的需求。
·IT产品报价大全 |
|
|
|
|
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
