1、电子政务系统信息安全传输及访问控制类型:转载 作者: 日期:2005-01-29 02:01:52该方案主要保护授权用户与政务网中公共站点间敏感数据的安全传输,并实现对站点访问的强身份认证和访问控制。方案简介针对上述应用,采用基于宇盟科技 SSL BOX安全网关提供的“单项 SSL认证口令鉴别动态附加码” 应用方案。WWW 应用服务器前端放置 SSL BOX安全网关实现安全通讯和认证,SSL BOX安全网关采用基于证书的认证方式和基于角色的访问控制,用户端采用口令鉴别动态附加码的认证方式,SSL BOX安全网关和用户端浏览器之间建立 SSL VPN安全通道。系统架构系统的实施架构如下图所示。系
2、统构成如上图,整套方案的系统构架由应用系统和宇盟科技的 SSL BOX安全网关产品组成。实施步骤1、SSL BOX安全网关生成自己的根证书和服务器操作证书或由第三方发放标准服务器证书给 SSLBOX;2、客户端浏览器下载并导入 SSL BOX安全网关的根证书;3、通过管理端程序对后端 WWW应用服务器设置访问控制;4、客户端通过浏览器使用 HTTPS协议访问网站时,SSL BOX安全网关接受请求,客户端实现对 SSL BOX安全网关的认证;5、服务器端通过“口令动态附加码”方式认证客户端。6、客户端浏览器和 SSL BOX安全网关之间所有通信通过 SSL VPN安全通道进行。优势体现:方便性:
3、客户端使用标准的浏览器,不需要任何复杂设置。管理端自动生成或由第三方提供的 SSL BOX安全网关的根证书,并按角色进行访问策略配置,就可以实现基于 SSL单向认证的安全通道。安全性:通过建立安全 SSL VPN隧道,并采用“口令动态附加码”的认证方式,以及实施对公共站点敏感信息的访问控制,加强系统的整体安全性。高效性:SSL BOX安全网关承担 SSL相关的安全处理,降低后端服务器的负载,并实现了负载平衡。针对政务网中复杂业务系统(B/S、C/S 架构应用)的安全解决方案此应用针对基于 Browser/Server、Client/Server 架构的业务系统或其它遗留系统应用,实现强身份认证
4、、安全通信和访问控制。方案简介针对本应用,同样可以采用前述政务网中公共站点的安全传输及访问控制解决方案。为提高安全强度及等级,本方案中采用基于 SSL BOX安全网关的“双向 SSL认证硬件证书令牌”的方式。WWW 业务服务器前端放置 SSL BOX安全网关实现安全通讯和身份认证,SSL BOX安全网关采用基于证书的认证方式和基于角色的访问控制,用户端采用硬件证书令牌的认证方式,SSL BOX安全网关和用户端浏览器之间建立 SSL VPN安全通道。系统架构系统的实施架构如下图所示。系统构成如上图,应用方案的系统构架主要由两大部分组成,即 Unic PKI/CA证书系统和应用系统。实施步骤:1、
5、由可信的第三方 CA为 SSLBOX安全网关和用户签发数字证书;2、SSL BOX 安全网关导入可信任的第三方 CA根证书和安全网关操作证书;3、建立用户证书和应用系统中所使用的用户名之间的映射关系;4、客户端浏览器下载并导入可信任的第三方 CA根证书,并将用户证书存放在硬件证书令牌中;5、通过管理端程序对后端应用服务器设置访问控制策略;6、客户端通过浏览器使用 HTTPS协议访问网站时,SSL BOX安全网关接受请求,客户端基于证书实现对 SSL BOX安全网关服务器的认证;7、用户需要使用硬件证书令牌,服务器端通过证书方式认证客户端。8、客户端浏览器和 SSL BOX安全网关服务器端之间所有通信建立起 SSL VPN安全隧道。优势体现:通用性:SSL BOX安全网关支持第三方标准证书系统,通过使用可信第三方CA,建立基于数字证书的身份认证机制。方便性:客户端使用标准的浏览器,不需要任何复杂设置,只需导入可信根证书,连接硬件证书令牌 E-Guard,就可以实现基于 SSL双向认证的 SSLVPN安全通道。安全性:通过建立安全 SSL VPN通道,并采用基于证书和硬件令牌的认证方式,以及实施针对应用系统基于角色的访问控制,加强了应用系统的整体安全性。高效性:SSL BOX安全网关承担 SSL相关的安全处理,降低后端服务器的负载,并实现负载平衡。
