1 方案背景
互聯(lián)網(wǎng)廣泛應用的TCP/IP�、HTTP等通信協(xié)議是基于明文傳輸?shù)模粽咴诰W(wǎng)絡的任何途經(jīng)節(jié)點均可竊聽和偽造���。在關(guān)鍵的電子政務��、電子商務等應用中,難免會涉及用戶明感信息的傳遞��,如何保證這些明感數(shù)據(jù)的防竊聽�、防偽造���,是信息系統(tǒng)建設的關(guān)鍵安全需求。
2 方案目標
本方案基于SSL協(xié)議���,解決信息系統(tǒng)數(shù)據(jù)傳輸過程中的數(shù)據(jù)私密性���、完整性問題,以防止攻擊者的竊聽和篡改數(shù)據(jù)�。
3 方案概述
1.由具有電子認證服務許可的CA機構(gòu)給用戶簽發(fā)數(shù)字證書。CA機構(gòu)在簽發(fā)證書前���,會嚴格核對用戶的身份證件��,能滿足身份真實性要求����;
2. 用戶客戶端瀏覽器以HTTPS方式訪問網(wǎng)站���,瀏覽器會調(diào)用SSL VPN插件進行SSL連接��;
3. SSL VPN插件調(diào)用電子密鑰對握手消息數(shù)字簽名�,可對用戶進行身份鑒別和防重放���;
4. SSL VPN插件發(fā)送SSL握手包到SSL VPN網(wǎng)關(guān)���;
5. SSL VPN網(wǎng)關(guān)調(diào)用CA的證書注銷狀態(tài)查驗服務����,以防止非法用戶連接��;
6.以上認證通過后���,客戶端與SSL VPN網(wǎng)關(guān)建立安全連接�����,SSL VPN網(wǎng)關(guān)代理訪問業(yè)務網(wǎng)站�����,給用戶呈現(xiàn)業(yè)務界面��。
4 網(wǎng)絡部署
5 方案價值
1.對SSL VPN網(wǎng)關(guān)身份進行驗證��,有效防止釣魚網(wǎng)站���;
2.能保證傳輸數(shù)據(jù)的保密性和完整性,攻擊者無法竊聽到明文信息��,也不能篡改或偽造傳輸數(shù)據(jù)��;
3.通過配置SSL客戶端證書認證���,由NETCA給用戶簽發(fā)數(shù)字證書�����,可保證接入用戶的身份真實性��。
6 項目案例
某港航行政管理綜合業(yè)務系統(tǒng)密碼應用改造項目���;
某養(yǎng)老保險業(yè)務信息系統(tǒng)密碼應用建設項目
