1 方案背景
互聯(lián)網(wǎng)廣泛應(yīng)用的TCP/IP、HTTP等通信協(xié)議是基于明文傳輸?shù)模粽咴诰W(wǎng)絡(luò)的任何途經(jīng)節(jié)點(diǎn)均可竊聽(tīng)和偽造。在關(guān)鍵的電子政務(wù)��、電子商務(wù)等應(yīng)用中���,難免會(huì)涉及用戶明感信息的傳遞,如何保證這些明感數(shù)據(jù)的防竊聽(tīng)、防偽造�,是信息系統(tǒng)建設(shè)的關(guān)鍵安全需求。
2 方案目標(biāo)
本方案基于SSL協(xié)議�,解決信息系統(tǒng)數(shù)據(jù)傳輸過(guò)程中的數(shù)據(jù)私密性、完整性問(wèn)題����,以防止攻擊者的竊聽(tīng)和篡改數(shù)據(jù)。
3 方案概述
1.由具有電子認(rèn)證服務(wù)許可的CA機(jī)構(gòu)給用戶簽發(fā)數(shù)字證書�。CA機(jī)構(gòu)在簽發(fā)證書前,會(huì)嚴(yán)格核對(duì)用戶的身份證件���,能滿足身份真實(shí)性要求�����;
2. 用戶客戶端瀏覽器以HTTPS方式訪問(wèn)網(wǎng)站����,瀏覽器會(huì)調(diào)用SSL VPN插件進(jìn)行SSL連接���;
3. SSL VPN插件調(diào)用電子密鑰對(duì)握手消息數(shù)字簽名,可對(duì)用戶進(jìn)行身份鑒別和防重放��;
4. SSL VPN插件發(fā)送SSL握手包到SSL VPN網(wǎng)關(guān);
5. SSL VPN網(wǎng)關(guān)調(diào)用CA的證書注銷狀態(tài)查驗(yàn)服務(wù)��,以防止非法用戶連接��;
6.以上認(rèn)證通過(guò)后����,客戶端與SSL VPN網(wǎng)關(guān)建立安全連接,SSL VPN網(wǎng)關(guān)代理訪問(wèn)業(yè)務(wù)網(wǎng)站�,給用戶呈現(xiàn)業(yè)務(wù)界面。
4 網(wǎng)絡(luò)部署
5 方案價(jià)值
1.對(duì)SSL VPN網(wǎng)關(guān)身份進(jìn)行驗(yàn)證����,有效防止釣魚網(wǎng)站;
2.能保證傳輸數(shù)據(jù)的保密性和完整性����,攻擊者無(wú)法竊聽(tīng)到明文信息,也不能篡改或偽造傳輸數(shù)據(jù)�����;
3.通過(guò)配置SSL客戶端證書認(rèn)證��,由NETCA給用戶簽發(fā)數(shù)字證書�����,可保證接入用戶的身份真實(shí)性。
6 項(xiàng)目案例
某港航行政管理綜合業(yè)務(wù)系統(tǒng)密碼應(yīng)用改造項(xiàng)目���;
某養(yǎng)老保險(xiǎn)業(yè)務(wù)信息系統(tǒng)密碼應(yīng)用建設(shè)項(xiàng)目
