《格尔安全认证网关产品白皮书.docx》由会员分享,可在线阅读,更多相关《格尔安全认证网关产品白皮书.docx(23页珍藏版)》请在三一办公上搜索。
1、格尔安全认证网关产品白皮书V5.0上海格尔软件股份有限公司2007年8月保密事宜:本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向格尔公司承担保密责任:1 ) 接受方在接收该文档前,已经掌握的信息。2 ) 可以通过与接受方无关的其它渠道公开获得的信息。3 ) 可以从第三方,以无附加保密要求方式获得的信息。目 录1概述11.1您的网络应用安全吗?11.2解决网络应用安全您要考虑:12产品概述23为什么选择格尔安全认证网关33.1PKI数字证书的全面支持
2、33.2对用户的一致性认证43.3自动签名验证43.4单点登录53.5多应用类型支持53.6对应用的加速53.7安全资质53.8其他特性64产品主要功能65产品部署95.1串联部署95.2并联部署105.3双机热备部署115.4负载均衡部署136选购指南157客户端运行环境168产品支持联系方式169附录公司介绍169.1公司概述169.2技术与产品179.3服务支持179.4质量管理189.5主要案例189.6公司文化理念1910名词解释191 概述1.1 您的网络应用安全吗?随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公
3、等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患:l 没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在:(a)口令易被猜测;(b)口令在公网中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效;(d)后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全,管理非常困难。l 数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输,而Internet的开放性造成传输信息存在
4、着被窃听、被篡改的安全问题。l 操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟需解决的一个严重问题。1.2 解决网络应用安全您要考虑信任是安全的基础,在缺乏信任的环境下,实现信息系统的安全是不可想象的,因此解决网络应用安全的一个核心问题是解决信任问题,信任主要体现在以下几方面:l 强身份认证。建立信任首先要确认参与者的身份,即身份认证。身份认证是安全保障的第一道门槛,也是后续安全措施的依据和基础,如果第一道门槛被攻破,系统“认错人”,则后续的无论多么严密的安全措施基本实效,因此,身份认证机制强度的高低
5、很大程度决定了安全系统的安全级别高低,对于一个直接面对互联网,如果身份认证机制的强度不够,根本无法起到屏障作用,无异于将网资源直接开放。因此,身份认证机制不在于多少,而在于够不够强。基于PKI数字证书的认证是目前被广泛接受的强身份认证机制之一。l 数据秘密性和完整性。一方面,认证机制越强,效率越低。在网络应用中并不是每次交互都进行认证,而是根据第一次认证后的凭证来辨认用户,因此在真正用户在线认证通过后,窃取用户的认证凭证,冒充用户访问是一种有效的攻击手段。因此身份认证过程以及后续传输通讯都需全程保密。另一方面,网络应用中的重要信息被其他人特别是竞争对手得到造成的损失极大,因此要求信息传输时对信
6、息进行高强度加密,保证传输安全性。总之,信息在网络上明文传输,被人轻易获取,无异于自己打开门把东西拿给别人,系统有再强的其他安全机制有何用呢?全程加密是对数据秘密性及完整性保障的优选方案之一。l 不可抵赖性。不可抵赖是信任的一个关键因素也是一个关键约束,是对结果的认可和保障,如果可以事后赖账,无法追究责任,那么先前所作的一切都是前功尽弃。现实生活中已经形成一套不可抵赖性的方式方法,而在网络世界中,数字签名技术是公认的不可抵赖性实现的最优方案,电子签名法的颁布和实施也提供了相应的法律依据。2 产品概述图表 1 E型网关外观图表 2 G型网关外观(以上产品外观图仅做参考,具体外观及接口以实物为准)
7、格尔网关为网络应用提供基于数字证书的高强度身份认证服务、高强度数据链路加密服务及数字签名及验证服务,可以有效保护网络资源的安全访问。支持HTTP、HTTPS的B/S应用以及FTP、远程桌面等通用的C/S应用。3 为什么选择格尔安全认证网关格尔安全认证网关是: 上海格尔软件自主研发的网络安全应用产品。 基于PKI数字证书体系的经过国家密码管理局认证的认证加密产品(SJY128)。 唯一一款集强身份认证、数据保密性、数据完整性及不可抵赖性功能于一身的产品。格尔安全认证网关的价值体现在以下几个方面:3.1 PKI数字证书的全面支持基于对PKI的深刻理解,格尔网关具备了对PKI的全面支持,包括以下几个
8、方面:n 证书单双向的认证选择:格尔网关可以配置建立加密连接时是否认证用户证书。n 多服务,多站点证书支持:格尔网关可以建立多个服务,保护不同的应用,每个服务可以使用不同的站点证书。n 多条证书链支持:格尔网关支持多条证书链同时存在、同时生效,即同一个SSL服务可以同时认证多家CA中心的证书用户。n 动态黑名单支持:格尔网关可以自动到LDAP发布点获取黑名单,并动态更新,不需要重新启动服务。3.2 对用户的一致性认证通常的网关产品只是建立了一个加密连接,与应用完全无关,用户通过认证建立加密连接后必须经过再次认证(如用户名+口令、动态令牌等)登录应用系统,这种两次登录不仅没有加强安全性,而且在给
9、用户带来不便的同时也带来安全隐患,由于加密连接和应用对用户认证的不一致,用户可以使用自己的证书建立连接,使用别人的用户名登录,这种方式给应用的流程和日后审计、取证带来了混乱。格尔网关可以将用户证书中的任意信息以cookie方式向后台服务器传送,应用系统无需额外接口就可以方便获取证书用户信息,即保证了用户的一次登录,又保证了应用对用户认证的一致性,安全性得到进一步保障。同时,使用网关保护的多个应用系统也实现了对用户的单点登录功能,即用户使用一张证书登录所有应用系统。3.3 自动签名验证(专利技术之一)格尔网关创新性的提出了自动签名验证服务,有效解决了网络不可抵赖性问题,使其成为目前唯一一款集强身
10、份认证、数据保密性、数据完整性及不可抵赖性功能于一身的产品,是PKI产品的一种突破。自动签名验证的特色是“自动”,签名、验证等复杂工作都由格尔网关自动完成,对应用实现零+开发,应用只需在网页中进行设置,无需额外开发接口、无需额外专业知识就能轻松实现信息不可抵赖。3.4 SSL协议中双证书的应用(专利技术之一)双证书机制是当前我国PKI体系建设的主流模式。使用签名证书进行身份认证,使用加密证书进行密钥的交换和保护,既使PKI技术在应用中发挥其基于非对称密钥所带来的优势,又满足了国家对PKI应用进行审计监管的需要,是国家密码管理机构对PKI证书应用的基本要求。格尔网关创新的提出了双证书在SSL协议
11、中的应用,并成功在产品中实现,符合国家密码管理机构对密码产品的要求。3.5 单点登录(专利技术之一)对于某些无法修改或者无法获取证书信息从而无法实现用户一致性认证的应用,格尔网关可以实现证书与原有用户信息的映射,在应用无需任何改动的情况下自动完成系统登录,实现单点登录功能。3.6 多应用类型支持格尔网关除了可以对B/S应用进行安全防护外,对于FTP、telnet、SSH、远程桌面、SMTP、POP3等多种非B/S应用也可以进行安全防护,具有广泛的适用性。3.7 对应用的加速格尔网关高端产品采用硬件加速,加解密运算全部由硬件完成,效率是同等硬件环境下软件实现的10倍以上,可以彻底将应用服务器的C
12、PU资源从繁重的加解密中解放出来,起到了对应用加速的作用。3.8 安全资质格尔安全认证网关通过了国家保密局、国家密码管理局的严格鉴定,取得了相关安全资质,符合国家对于密码产品的使用规定。3.9 其他特性l 安全性:系统设置专用网络接口管理系统,系统关闭所有不需要的服务和端口(如FTP、SSH等),只保留SSL服务端口,避免外界的攻击。l 易用性:系统所有管理操作均采用web方式,操作简单方便。l 适用性:系统支持串联、并联等多种部署方式,适用不同的网络环境和应用需求。l 兼容性:支持IE、Netscape、Firefox等主流浏览器,支持IIS、Websphere、Weblogic、apach
13、e、tomcat等主流Web服务器。l 高可用性:系统支持双机热备。4 产品主要功能功能说明功能类型证书认证单双向认证选择功能系统可以设置是否需要用户提交用户证书基本功能动态黑名单功能系统可以自动更新黑名单、动态更新,不需要重新启动服务支持LDAP、HTTP等多种方式更新支持B64、DER等多种格式基本功能多站点证书功能系统可以拥有多个站点证书,不同的服务可以拥有不同的站点证书基本功能多证书链功能一个SSL服务中可同时配置多条证书链,验证不同CA的用户证书基本功能多种证书支持功能支持格尔、CFCA、SHECA及多数省级CA中心数字证书基本功能证书信息传送功能系统可以将用户证书信息包括扩展项信息
14、传送给应用系统基本功能应用支持B/S应用支持B/S应用基本功能通用C/S应用支持FTP、telnet、远程桌面以及通用的C/S应用扩展功能网络应用支持基于IP的所有应用扩展功能多服务功能系统可以创建多个SSL服务,保护不同的应用服务,也可以采用同一个SSL服务保护多个应用服务(需客户端)基本功能地址隐藏功能系统将真正应用服务的地址隐藏,用户仅知道网关地址扩展功能支持应用重定向功能在有防火墙NAT映射的情况下正常访问有重定向的网站基本功能特色功能认证一致性系统通过特有的cookie技术将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息基本功能自动签名验证系统自动实
15、现对应用指定数据的签名和验证功能扩展功能自动登录功能对于特定应用,系统采用用户映射技术,将证书映射为原有系统中的账户,并进行自动登录,在后台应用无需修改的情况下实现单点登录扩展功能策略统一下发系统实现客户端策略的统一下发,用户无需对客户端进行任何配置基本功能信息统计系统能够对用户连接数、应用访问情况,系统资源占用等信息进行详细统计,为更好了解应用及调节资源提供基础基本功能错误重定向系统对于认证错误可以重定向到用户指定页面,增强友好性基本功能访问控制功能实现URL级别的访问控制,对于不同用户、不同角色实现不同的控制扩展功能对称加密算法的替换系统支持加密算法的替换扩展功能系统管理系统备份恢复功能系
16、统可以备份当前SSL的所有配置,保证系统瘫痪时的快速恢复基本功能恢复出厂设置功能系统具有恢复默认设置功能,方便使用基本功能日志发送功能系统将日志以SYSLOG的方式发送到指定服务器。基本功能系统在线升级系统支持Web方式的系统升级基本功能性能检测功能系统支持对CPU、内存、磁盘容量、连接数、进程等资源情况的收集,便于系统的维护和问题定位基本功能可用性双机热备功能高可靠性扩展功能负载均衡系统具有集群功能扩展功能易用性管理员易于操作系统所有管理操作都通过web方式进行,方便使用基本功能用户的良好体验系统可以为终端用户提供良好的错误提示,如证书过期,证书未生效,证书已经作废等信息,不会显示“此页无法
17、显示”令用户不知所措的页面基本功能注:扩展功能不包含在产品的基本版本中,是用户可选配功能。5 产品部署格尔网关可以部署为串联模式(桥模式)或者并联模式(单臂模式)。5.1 串联部署串联模式(桥模式)指格尔网关物理部署在用户和被保护的服务器之间,即格尔网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器通过内部网络与格尔网关连接,因此用户与服务器的连接被格尔网关隔离,用户只知道网关地址,无法直接访问被保护服务器,只有通过网关才能获得服务。串联模式(桥模式)是格尔网关的标准部署模式,也是推荐部署模式,其部署示意图如下:图表 3串联部署示意图串联模式的优点是:l 安全性高:用户必须
18、通过网关的认证加密后才能获取服务,同时网关将服务器与外界网络隔离,避免了对服务器的直接攻击。l 结构清晰:串联模式在物理部署和逻辑结构上都非常简单,容易理解。l 性能高:相对于并联模式,串联模式的效率及带宽利用率更高。串联模式的缺点是:l 需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。5.2 并联部署并联模式(单臂模式)指格尔网关逻辑部署在用户和被保护的服务器之间,而物理连接是在同一网络中,即格尔网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。图表 4 并联部署示意图并联模式的优点是:l 部署方
19、便:应用无需作改动,用户只需变更一下访问地址即可。并联模式的缺点是:l 安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传输,存在被窃听的安全隐患。l 性能较低:相对于串联模式,并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行,效率及带宽利用率相对较低。5.3 双机热备部署系统支持双机热备功能,在需要高可靠性的环境下需要对网关进行双机热备部署。双机热备部署需要部署两台设备,一台作为主机,一台作为备机,两台机器都与网络连接,两台设备之间使用交叉线连接热备口进行状态检测,在正常情况下由主机提供服
20、务,当主机发生异常时系统自动切换到备机进行服务。部署方式如图:图表 5串联模式下的双机热备部署图表 6并联模式下的双机热备部署5.4 负载均衡部署格尔网关可以和大多数负载均衡设备配合使用,格尔网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图:图表 7负载均衡环境下的串联模式部署图表 8负载均衡环境下的并联部署注:负载均衡器将网络的SSL流量负载到可用的格尔网关上,格尔网关对后端的Web服务器并没有负载均衡的作用。6 选购指南格尔网关采用专用网络硬件设备,产品具有多个系列:E-2010E-2020G-4020G-4040设备高度1u1u2u2u网络接口4*100M4*100M
21、6*1000M4*1000M电源指标数量:电压(V):电流(A):功率(W):11002400.53651100240362001902644846029026448460工作温度0C-40 C0C-40 C0C-40 C0C-40 C工作湿度5%-95% RH,不凝结5%-95% RH,不凝结5%-95% RH,不凝结5%-95% RH,不凝结最大新建连接数60 次/秒160次/秒2500次/秒4000次/秒最大并发连接数40080025005500最大流量50Mbps120Mbps680Mbps850Mbps注:上述所有规格及参数若有变动恕不另行通知,请以厂家提供的最终配置为准。7 客户端
22、运行环境与格尔SSL安全网关连接的客户端推荐配置如下:CPU:P3 800M 以上内存:256M以上操作系统:win2000以上版本浏览器:IE6.0以上,密钥长度128位8 产品支持联系方式上海格尔软件股份有限公司地址:上海市余姚路288号A座4楼电话:(86-21)62327010 传真:(86-21)62327015Email:sslvpn邮编: 2000429 附录公司介绍9.1 公司概述上海格尔软件股份有限公司(以下简称格尔软件)成立于1998年3月,注册资本3500万,北京设营销和技术支持中心。公司下设北京格尔国信、上海格尔信息、上海格尔卫信及宁波格尔天屹等子公司,在全国各大中心城
23、市还设有多个办事处。公司现有员工310人,其中本科以上学历占93%,技术开发人员210余人,约占65%。格尔软件是专业从事信息安全核心技术和产品研发,为客户提供信息安全整体解决方案与配套服务的国内身份管理领域的领先企业。公司是国内最早研制PKI平台的厂商,国内首批商用密码产品定点生产与销售单位,国家保密局批准认定的“涉及国家秘密的计算机信息集成甲级资质单位”,国家信息化工作领导小组计算机网络与信息安全管理工作办公室(国信安办)认定的14家计算机网络安全服务试点单位之一,国家“863”计划信息安全示范工程金融子项目的总服务商及“863”课题承担单位。公司曾获国家进步二等奖和上海市科技进步一等奖。
24、公司还是全国信息安全标准化技术委员会的主要成员之一。经过全国信息安全标准化技术委员会严格审定,上海格尔软件股份有限公司被批准为WG1、WG4、WG5、WG7工作组成员,在WG4工作组中承担相关标准制定工作。9.2 技术与产品格尔软件坚持以技术创新推动企业的发展。公司长期从事核心密码技术的研究并有深厚的积累,至今已申请了17项自主研发的专利技术,其中7项已获国家专利局的授权,另外还拥有7项软件著作权。目前,公司已形成PKI基础平台产品、安全网关产品、内网安全应用产品(超级蓝盾系列)三大产品线。核心产品包括PKI/CA身份认证产品、网盾桌面安全软件、安全认证网关、SSO单点登录系统、网络保险箱系统
25、、金融IC卡密钥管理系统、信息安全综合监控与管理平台产品等。9.3 服务支持客户至上是格尔软件的服务宗旨,对客户的全面支持服务与客户共同进步是格尔软件的追求。现在公司已为全国29个省市的众多客户提供了产品或服务,协助用户进行系统维护及基于数字证书的应用推广。公司在上海、北京、西安、湖南、湖北、安徽、江苏、浙江、贵州、福建等地设有技术支持服务机构或人员,为重点客户提供长期、稳定、高效的技术支持与服务。我们还同由其它公司承建的上海CA、西部CA、陕西CA、山东CA、广东CA、CTCA、公安部等众多运营机构建立了战略合作关系,提供证书应用推广所需的产品及技术支持服务。公司利用自己深厚的技术积累,可以
26、为客户提供信息安全咨询培训、安全解决方案设计、产品开发、信息安全系统建设及系统运行维护等一整套信息安全技术支持与委托服务。9.4 质量管理只有过程正确才能保证结果的正确。格尔软件视质量为生命,继04年通过ISO9001质量认证之后,公司又于05年在信息安全行业率先启动了CMMI软件能力成熟度的质量改进过程。现在公司已建立起一套规范的质量管理体系并通过了SEI CMMI L3的评估,成为国内目前少有的达到CMMI3级的信息安全厂商。质量过程的持续改进,保证了公司的研发能力和产品质量的不断提升。客户可以得到放心满意的产品和服务。9.5 主要案例l 国家863计划“数字证书应用综合管理”课题l 国家
27、863计划信息安全示范工程“S219”项目l 浙江省数字证书认证中心;l 江苏省数字证书认证中心;l 河北省数字证书认证中心;l 湖南省数字证书认证中心;l 安徽省数字证书认证中心;l 新疆数字证书认证中心;l 贵阳数字证书认证中心;l 发改委金宏工程(一期)安全子系统网络信任体系;l 国家电子政务外网根CA系统项目;l 航空一集团“金航”主干网安全总集成项目l 中国工程物理研究院CA示范项目l 中国人民银行IC 卡密钥管理系统项目l 中国人民银行银联卡根CA认证系统项目 l 上海卫生监督所信息安全系统;l 国家统计局行业性PKI体系建设;l 上海出入境边防总站整体安全集成项目;l 国家“十五
28、国家密码发展基金密码理论课题”;l 湖北电力信息系统整体安全建设一、二期工程;l 福建电力信息系统信任与授权平台建设一、二期工程;l 中央办公厅某H网认证加密项目l 国家某部委内网全国纵向CA 认证系统及证书安全应用项目l 公安部内网基于CA认证的证书安全应用项目l 国家统计局全国人口普查及大型企业网络直报系统CA认证系统项目l 上海市密钥管理系统试点项目l 信产部“3G无线通讯安全”课题9.6 公司文化理念格尔定位: 领先的身份管理产品及解决方案提供商格尔文化: 团结、奉献、严谨、创新、安全、高效格尔理念: 安全 + 应用,创造新价值10 名词解释 SSL:Secure Sockets La
29、yer,安全套接层协议层,它是网景(Netscape)公司提出的基于WEB应用的安全协议。 证书认证机构(Certificate Authority):一个产生和确定公开密钥证书的可靠和可信的第三方机构。它发行数字证书并确保证书的可信性,或证明一个用户和它们的公共密钥的身份。认证机构也可以为实体产生和确定密钥。习惯上又称作认证中心(CA)。 数字证书(Certificate):数字证书中心签发的用于代表实体身份的一段电文。本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书(服务器证书)。 LDAP:(Lightweight Directory Access Protocol) 是一种
30、轻量级的目录存取协定,提供客户从各个角落连接到目录服务器中。本手册中专指CA用于发布证书及黑名单的LDAP服务。 黑名单:通常所说的CRL(Certificate Revoke List ),因时间或者安全原因被废除的证书列表,一般发布在LDAP上。Radius:Remote Authentication Dial In User Service,广泛应用于宽带窄带认证系统的协议,前端一般为PPPoE或者802.1x。 802.1x(基于端口的验证):启用通过外部服务器针对各个端口验证系统用户。只有经过验证和许可的系统用户才可以传输和接收数据。使用可扩展验证协议(EAP),通过远程验证拨入用户服务(RADIUS)服务器来验证端口。 数字签名(digital signature):具有手写签名功能如身份证明的一组电子数据。这些附加在数据单元上的一些数据,或是对数据单元所作的密码变换,允许数据单元的接收者用以确认数据单元的来源和完整性,并保护数据,防止被人(例如接收者)伪造。
