1 方案背景
互(hu)聯網廣泛應用(yong)的(de)TCP/IP、HTTP等(deng)通信(xin)協議(yi)是基(ji)于明文傳輸的(de),攻擊者(zhe)在網絡的(de)任(ren)何途經節點均可竊聽和偽(wei)(wei)造。在關(guan)(guan)鍵(jian)的(de)電子政務(wu)、電子商(shang)務(wu)等(deng)應用(yong)中,難免會涉及用(yong)戶明感信(xin)息的(de)傳遞,如何保證(zheng)這(zhe)些明感數據的(de)防�������竊聽、防偽(wei)(wei)造,是信(xin)息系(xi)統建設的(de)關(guan)(guan)鍵(jian)安全需求。
2 方案目標
本方案基于SSL協議,解決信息系統數據傳輸過程中的數據私密性、完整性問題,以防止攻擊者的竊聽和篡改數據。
3 方案概述
1.由具有電������子認證服務許可的(de)CA機構(gou)給用戶(hu)(hu)簽發數字證書(shu)。CA機構(gou)在簽發證書(shu)前,會嚴格核對用戶(hu)(hu)的(de)身(she��������n)份證件,能滿足身(shen)份真實性(xing)要求;
2. 用戶客戶端瀏覽(lan)器(qi)以HTTPS方式訪(fang)問(wen)網(wang)站,瀏覽(lan)器(qi)會調用SSL VPN插件進行SSL連��������接(jie);
3. SSL VPN插件調用電子密鑰對握(wo)手消(xiao)息(xi)數字簽名,可對用戶進行身(shen)份鑒(jian)別(bie)和防(fang�����)重放;
4. SSL VPN插件發送SSL握手包到SSL VPN網(wang)關(guan);
5. SSL VPN網關調用CA的證書注(zhu)銷(xiao)狀態查�������驗服(fu)務,以防止非法用戶連(lian)接(jie);
6.以上認證通過后,客戶端與SSL VPN網(wang)(wang)關(guan)建立安全連接(jie),SSL VPN網(wang)(wang)關(�������guan)代(dai)理訪問業務網(wang)(wang)站,給用(yong)戶呈現業務界面。
4 網絡部署
5 方案價值
1.對SSL VPN網關身份進行驗證,有效防止釣魚網站;
������2.能保證傳輸(shu)數據(ju�����)的保密(mi)性和完整性,攻擊者無法竊聽到明文信息,也不能篡改或偽造傳輸(shu)數據(ju);
3.通過配置SSL客戶(hu)端證(zheng)書(shu)認證(zheng),由NETCA給(gei)用戶(hu)簽(qian)發數字證����(zheng)書(shu),可(ke)保證(zheng)接入用戶(hu)的身份真(zhen)實性。
6 項目案例
某港航(hang)行政管(guan)理綜合業務系統密碼應用改造項目;
某養老保險業務信(xin)息系統密碼(ma)應用建(jian)設項(xiang)目
