1 方案背景
互聯(lián)網(wǎng)廣泛應(yīng)用的TCP/IP����、HTTP等通信協(xié)議是基于明文傳輸?shù)模粽咴诰W(wǎng)絡(luò)的任何途經(jīng)節(jié)點(diǎn)均可竊聽和偽造����。在關(guān)鍵的電子政務(wù)、電子商務(wù)等應(yīng)用中,難免會涉及用戶明感信息的傳遞����,如何保證這些明感數(shù)據(jù)的防竊聽、防偽造�,是信息系統(tǒng)建設(shè)的關(guān)鍵安全需求。
2 方案目標(biāo)
本方案基于SSL協(xié)議�����,解決信息系統(tǒng)數(shù)據(jù)傳輸過程中的數(shù)據(jù)私密性���、完整性問題,以防止攻擊者的竊聽和篡改數(shù)據(jù)�����。
3 方案概述
1.由具有電子認(rèn)證服務(wù)許可的CA機(jī)構(gòu)給用戶簽發(fā)數(shù)字證書�����。CA機(jī)構(gòu)在簽發(fā)證書前��,會嚴(yán)格核對用戶的身份證件�,能滿足身份真實(shí)性要求;
2. 用戶客戶端瀏覽器以HTTPS方式訪問網(wǎng)站,瀏覽器會調(diào)用SSL VPN插件進(jìn)行SSL連接����;
3. SSL VPN插件調(diào)用電子密鑰對握手消息數(shù)字簽名,可對用戶進(jìn)行身份鑒別和防重放�;
4. SSL VPN插件發(fā)送SSL握手包到SSL VPN網(wǎng)關(guān);
5. SSL VPN網(wǎng)關(guān)調(diào)用CA的證書注銷狀態(tài)查驗(yàn)服務(wù)�����,以防止非法用戶連接���;
6.以上認(rèn)證通過后�����,客戶端與SSL VPN網(wǎng)關(guān)建立安全連接����,SSL VPN網(wǎng)關(guān)代理訪問業(yè)務(wù)網(wǎng)站�����,給用戶呈現(xiàn)業(yè)務(wù)界面�。
4 網(wǎng)絡(luò)部署
5 方案價(jià)值
1.對SSL VPN網(wǎng)關(guān)身份進(jìn)行驗(yàn)證��,有效防止釣魚網(wǎng)站�����;
2.能保證傳輸數(shù)據(jù)的保密性和完整性�,攻擊者無法竊聽到明文信息�,也不能篡改或偽造傳輸數(shù)據(jù);
3.通過配置SSL客戶端證書認(rèn)證����,由NETCA給用戶簽發(fā)數(shù)字證書�,可保證接入用戶的身份真實(shí)性。
6 項(xiàng)目案例
某港航行政管理綜合業(yè)務(wù)系統(tǒng)密碼應(yīng)用改造項(xiàng)目���;
某養(yǎng)老保險(xiǎn)業(yè)務(wù)信息系統(tǒng)密碼應(yīng)用建設(shè)項(xiàng)目
