鹰眼安全网关白皮书.docx
《鹰眼安全网关白皮书.docx》由会员分享,可在线阅读,更多相关《鹰眼安全网关白皮书.docx(22页珍藏版)》请在冰豆网上搜索。
鹰眼安全网关白皮书
鹰眼安全网关技术白皮书
目录
1前言3
2基于web的应用的安全需求分析3
3SSL安全通信4
4鹰眼安全网关解决的安全问题5
5适用范围5
6产品特点及优势6
6.1安全性:
6
6.2对设备的管理6
6.3性能6
6.4可扩展性6
6.5易用性7
6.6部署7
6.7应用性7
7产品典型接入模式7
7.1隔离模式。
7
7.2共享模式。
8
8网关设备使用流程9
8.1安装设备。
9
8.2连接管理控制台。
9
8.3配置后台Web服务器9
9产品配置10
9.1配置及功能10
9.2能够代理的服务器类型:
10
10主要技术指标11
10.1支持国际通用标准11
10.2系统运行环境11
11典型案例11
12鹰眼安全网关的安全性的评估11
13鹰眼安全网关用户管理中心技术白皮书12
13.1前言12
13.2公开密钥基础设施(PKI)13
13.3鹰眼安全网关用户管理中心14
13.3.1产品简介14
13.3.2产品组成和结构14
13.3.3产品技术特点15
13.3.4产品功能描述16
13.4系统性能指标21
13.5应用案例21
1前言
网络和它易于访问的普遍性极大促进了基于web的应用程序以及Intranet、Extranet等的开发。
企业外部网的用户通过网页访问内部网络资源,可以极大地提高效率、推动生产力和提高客户服务质量。
政府/军事部门外部网的用户通过网页访问内部网络资源,可以极大地提高办公效率和提高对外服务质量。
2基于web的应用的安全需求分析
但是基于web的应用是否具有发展潜力,还依赖于人们对网络安全的信任程度。
而互联网安全性的关键点在于是否可以保护机密信息传输的机密性和私有信息记录的私有性。
目前数据安全控制措施越来越多的在应用层实现,因为数据通常是由这些应用生成、存储、管理和传输的。
而且在应用层的安全措施可以控制到单个用户。
应用层的安全措施,主要目的是保证信息访问的合法性,确保合法用户根据拥有的权限合法地访问数据。
在应用层必须采取安全措施来保证数据的安全。
人人都知道防止系统外部用户的攻击,但也必须采取防范措施来防止系统内部的攻击。
防止内部攻击的重要性还在于内部人员对数据的存储位置、信息敏感性甚至防范措施都非常了解,这使得来自内部攻击所造成的损失更大。
因此内、外攻击的防范同等重要,应用层必须有安全措施,用户访问时要经过严格的身份认证。
信息系统的用户可能分布在网络上的任何接入点,所以身份认证技术必须采用针对用户的认证方式,而不能针对地址或应用会话进程。
为了便于管理,需要采用集中式管理的访问控制手段。
一个组织机构中的个人需要通过一种唯一的标识方法来确保他们可以访问不同的信息系统。
信息服务器需要对网络上的用户(不管是本地的还是远程的)进行身份鉴别,以确认对方的真实身份。
身份认证方式主要有:
用户口令、证书、、指纹识别、声音识别等,目前常用的有口令和证书,但这种机制有很大的弊端:
容易被猜测、可以被共享、口令以明文的方式经过网络传输,容易被截获。
身份认证是首要的安全措施,其它的安全措施都是在经过认证的用户的真实身份的基础上实施的。
数据保密:
为了防止XX的用户截取网络上的数据,需要一种手段来对数据进行保密。
数据加密就是用来实现这一目标的。
数据完整性:
需要一种方法来确认送到网络上的数据在传输过程中没有被篡改。
数据加密和校验被用来实现这一目标。
审计记录:
所有信息访问活动应该有记录,这种记录要针对用户来进行,可以实现统计、跟踪等功能。
3SSL安全通信
SSL协议是由Netscape公司首先提出的一种安全协议,SSL采用TCP作为传输协议,从而为数据的传送和接收提供了可靠性;它工作在Socket层上,因此独立于更高层的应用,可为更高层的协议,如TELNET、FTP和HTTP等提供安全服务。
SSL利用公钥和单钥密码体制,为服务器和客户机之间的通信提供保密性、数据完整性和可认证性等安全服务。
SSL安全通信流程如下:
ClientServer
ClientHello-------->ServerHello
Certificate*
ServerKeyExchange*
CertificateRequest*
<--------ServerHelloDone
Certificate*
ClientKeyExchange
CertificateVerify*
[ChangeCipherSpec]
Finished-------->
[ChangeCipherSpec]
<--------Finished
ApplicationData<------->ApplicationData
SSL协议使用公钥密码体制实现客户端和服务器之间的双向身份认证和数据加密密钥的协商,使用单钥密码体制和哈希密码实现通信数据的加密和完整性保护。
4鹰眼安全网关解决的安全问题
ØWeb远程用户使用USBKey(数字证书凭证)硬件介质的双因子(凭证及口令)安全身份认证。
ØWeb远程用户到代理设备的通信进行SSL全程加密。
Ø对访问企业/政府/军事部门内部所有web应用程序及资源的远程用户进行集中认证/授权管理。
Ø对访问敏感资源的用户行为的审计。
Ø屏蔽对web应用服务器的攻击。
5适用范围
Ø企业或政府/军事部门的内部网/外部网:
确保核心资源的安全管理和访问。
Ø企业对客户(B2C)和企业对企业(B2B)的基于Web的应用系统:
确保客户数据、企业间共享数据等远程安全访问。
6产品特点及优势
6.1安全性:
Ø消除了企业或政府/军事部门内部局域网和外部用户之间的网络通信的安全因素。
ØUSBKey(数字证书凭证)硬件介质进行双因子(凭证及口令)安全身份认证。
Ø所有的Web服务器都可以实现SSL安全通信。
Ø通过审计跟踪用户对敏感信息的访问。
Ø通过上传服务器证书及连接证书吊销列表保证数字证书凭证的有效性。
Ø通过在鹰眼安全网关上关闭除443和80以外的所有端口,阻止对web应用服务器的远程攻击。
6.2对设备的管理
Ø基于Web的管理。
管理员管理网关设备时需出示数字证书凭证。
6.3性能
Ø高端系列具有SSL加速性能,每秒钟能同时建立200个以上HTTPS连接。
Ø目前网络支持10M/100M。
高端系列将支持1000M。
6.4可扩展性
Ø可选择安装防火墙功能模块。
即本设备可进行端口转发。
6.5易用性
Ø只需在防火墙开通80及443端口。
Ø客户端可直接安装使用,不需额外的配置。
Ø简单的配置SSL。
Ø不会和已经存在的体系结构发生冲突。
6.6部署
Ø可根据不同的网络环境进行多种接入。
Ø通过单个Internet地址访问多个服务器。
6.7应用性
Ø将来可扩展对SMTP、POP3、IMAP等的代理。
Ø将来可扩展应用程序WEB化:
在不改变原有的C/S模式下,加入本产品,能自动将其转化成B/S模式。
7产品典型接入模式
7.1隔离模式。
如图1。
图1
7.2共享模式。
如图2。
图2
8网关设备使用流程
8.1安装设备。
按具体网络环境进行网络接线。
8.2连接管理控制台。
需要:
Ø一个有网卡的PC机。
ØPC机需要安装IE5.5及以上版本的浏览器。
Ø有八根线的带有RJ45连接头的交叉电缆。
利用该线把代理设备与管理控制台PC机连接起来。
把交叉电缆的一端连接到管理控制台的网卡接口上,另一端接到代理设备的LAN端口。
Ø修改管理控制台PC机的IP地址为192.168.30.2。
子网掩码为255.255.255.0。
Ø通过管理界面修改代理设备的WAN的IP地址、子网掩码、默认网关。
修改LAN的IP地址以适应局域网。
Ø修改了LAN的IP地址后,管理控制台PC机可接入到LAN所在的网络,且其IP地址也要修改成对应的网段。
8.3配置后台Web服务器
管理控制台通过新的代理设备LAN的IP地址进入管理界面配置后台需代理的Web服务器。
代理设备以三种模式代理后台的Web服务器:
Ø普通Web服务器。
即代理设备与外部客户端的连接是名问方式,缺省是80端口。
Ø有用户认证、传输加密但无访问控制的Web服务器。
缺省是443端口。
Ø有用户认证、传输加密有访问控制功能作为一个将来的扩展功能。
9产品配置
9.1配置及功能
Ø有客户程序。
在实际使用中如果不需要专用加密设备及USBKey硬件身份设备,则可以不需要客户程序。
Ø代理设备具有以下功能:
✧对代理设备主机网关、对内、对外IP地址的修改。
✧服务停止、启动。
系统关闭。
✧添加、删除、修改后台被代理的服务器。
✧代理设备的证书、私钥的上传。
私钥保护口令的更改。
✧自动或手动加载证书吊销列表。
✧用户访问及管理员管理操作的审计。
✧本设备只针对HTTP/HTTPS端口的简单防火墙设置管理。
9.2能够代理的服务器类型:
✓普通Web服务器。
即代理设备与外部客户端的连接是名问方式,缺省是80端口。
✓有用户认证、传输加密但无基于角色的访问控制的Web服务器。
缺省是443端口。
10主要技术指标
10.1支持国际通用标准
本系统遵循X.509、PKCS、PKIx、SSL/TLS和HTTP/1.1等标准,可以接收任何基于上述标准的数字证书和数字签名。
它支持的RSA签名算法密钥长度可达2048位以上。
10.2系统运行环境
配合使用的鹰眼安全网关客户程序支持Win2000/XP。
11典型案例
某单位因其工作性质,其办公信息系统的用户既有国内内部用户(在一个大院内),又有国内外地用户(分布在国内其它城市的分部),还有国外的分部用户。
其需求是:
保证国外分社用户访问办公信息系统时,信息加密传输,强制性使用https协议;国内分社用户、本部用户明文访问办公信息系统,使用http协议。
这样,鹰眼安全网关保护的重点是国外的用户:
1)必须认证国内服务器,同时使用数字证书(存储在USBKey上)向经过认证的服务器证明自己的身份。
2)数据传输必须是加密的。
3)对用户的操作进行审计。
同时鹰眼安全网关还有以下功能:
拦截所有到来请求,只处理HTTP请求,对指定的网址强制进行HTTPS转发,对后台其它应用进行端口转发。
这样,既能满足当前的安全需求,也能在将来进行安全扩充。
12鹰眼安全网关的安全性的评估
鹰眼安全网关提供了一个安全性很强的基于严格认证的用户身份进行授权,而不是简单的基于IP地址。
同时具有以下特点:
鹰眼安全网关十分适合于当前Intranet/Extranet发展的主流技术,即基于Web的应用。
鹰眼安全网关是专用的中间设备,很容易与各种应用服务器整合。
鹰眼安全网关支持基于对称密钥和公开密钥加密机制。
鹰眼安全网关管理控制台对地域分布很广的众多Web安全配置、管理十分方便。
鹰眼安全网关安全性采用集中式控制,同时可进行远程管理。
因而,鹰眼安全网关为用户提供了易于使用、方便访问、安全的网络环境及较为完善的安全Internet/Intranet解决方案。
13鹰眼安全网关用户管理中心技术白皮书
13.1前言
随着计算机网络技术的不断发展,许多传统的工作模式逐渐实现了电子化,利用先进的网络技术不仅可以跨越时间和空间的障碍,还可以带来提高效率、节约开支等优势。
电子商务和电子政务已逐渐成为现代网络技术应用的热点。
电子商务通过大幅度降低交易成本,增加贸易机会,简化贸易流程,提高贸易效率,推动着企业和国民经济结构的改革。
电子商务是一个新兴市场,而且是一种替代传统商务活动的新形式。
由于电子政务具有提高行政效率,节约财政开支,增强政府透明度,拉动信息化投资与消费需求,促进对外开放,促进政府和百姓实时沟通等优点,因此,电子政务得到了各国政府的响应。
在Internet上实现电子商务交易过程和电子政务办公过程,最核心和最关键的问题是保证交易和办公的安全性。
所有依赖于计算机和网络技术的应用,就不可避免地存在着由Internet的自由、开放所带来的信息安全隐患。
这些信息安全隐患主要有:
∙身份认证
由于非法用户可以伪造、假冒政府网站、社会团体、企业和个人身份,因此登录到网上政务站点的政府内部人员、社会团体、企业、个人无法知道他们所登录的网站是否是可信的政府网站,政府网站也无法验证登录到网站上的客户是否是经过政府部门认证的合法用户,非法用户可以借机进行破坏。
"用户名+口令"的传统认证方式安全性较弱,用户口令易被窃取而导致损失。
∙信息的机密性
传输在各政府部门间、政府与企业间、外出的领导与办公室之间的敏感、机密信息和数据有可能在传输过程中被非法用户截取。
∙信息的完整性
敏感、机密信息和数据在传输过程中有可能被恶意篡改。
∙信息的不可抵赖性
网上行为一旦被否认,政府部门、机构或个人没有已签名的记录来作为仲裁的依据。
如何建立一个安全、便捷的电子商务和电子政务应用环境,对信息提供足够的保护,已经成为当前制约电子商务和电子政务发展的主要问题。
13.2公开密钥基础设施(PKI)
为解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的
Internet安全解决方案,即目前被广泛采用的PKI技术(PublicKeyInfrastructure——公钥基础设施)。
PKI(公钥基础设施)技术采用证书管理公钥,通过第三方的可信任机构——认证中心CA(CertificateAuthority),把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份。
目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
身份认证
Internet上的身份认证主要通过数字证书及其应用完成:
什么是数字证书?
数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互间的信任问题。
证书是一个经证书认证中心数字签名的包含公开密钥从证书的用途来看,数字证书可分为签名证书和加密证书。
签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加简单的说,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。
身份验证机构的数字签名可以确保证书信息的真实性。
证书格式及证书现有持证人甲向持证人乙传送数字信息,为了保证信息传送的真实性、完整性和不可否认性,需要对要传送的信息进行数字加密和数字签名,其传送过程如下:
(1)甲准备好要传送的数字信息(明文)
(2)甲对数字信息进行哈希(hash)运算,得到一个信息摘要。
(3)甲用自己的私钥(SK)对信息摘要进行加密得到甲的数字签名,并将其附在数字信息上。
(4)甲随机产生一个加密密钥(DES密钥),并用此密钥对要发送的信息进行加密,形成密文。
(5)甲用乙的公钥(PK)对刚才随机产生的加密密钥进行加密,将加密后的DES密钥连同密文一起传送给乙。
(6)乙收到甲传送过来的密文和加过密的DES密钥,先用自己的私钥(SK)对加密的DES密钥进行解密,得到DES密钥。
(7)乙然后用DES密钥对收到的密文进行解密,得到明文的数字信息,然后将DES密钥抛弃(即DES密钥作废)。
(8)乙用甲的公钥(PK)对甲的数字签名进行解密,得到信息摘要。
(9)乙用相同的hash算法对收到的明文再进行一次hash运算,得到一个新的信息摘要。
(10)乙将收到的信息摘要和新产生的信息摘要进行比较,如果一致,说明收到的信息没有被修改过。
13.3鹰眼安全网关用户管理中心
13.3.1产品简介
成都三零盛安信息系统有限公司自主研发的鹰眼安全网关用户管理中心是一套基于PKI技术实现的,用于在网络中建立安全基础设施的软件系统。
可以为网络中各类用户和服务器发放不同类型的数字证书,提供集中的用户管理,为应用系统实现身份认证、数字签名等安全应用提供统一的编程接口。
13.3.2产品组成和结构
鹰眼安全网关用户管理中心由三部分组成:
证书生成中心
证书存储数据库
证书发布数据库
三部分结构关系如下图所示。
证书生成中心(CA):
系统的核心部分。
负责签发和管理用户、服务器各类证书及证书吊销列表CRL,把签发的所有证书及CRL发布到证书存储数据库和证书发布数据库。
证书存储数据库:
保存证书生成中心签发的所有证书及CRL,为证书生成中心提供查询、下载等证书管理。
证书发布数据库:
保存证书生成中心签发的所有证书及CRL,使用LDAP协议为网络中其它所有应用系统提供证书的查询、下载服务。
13.3.3产品技术特点
自身安全性
鹰眼安全网关用户管理中心在设计和开发时充分考虑了自身系统的安全,结构化的设计可以使证书签发和证书存储相互独立;证书生成中心和证书存储数据库之间的数据传输使用了加密保护,确保数据在传输过程中的安全;除了进行签发证书时,其它时间里证书发布数据库和证书生成中心是物理断开的。
实现标准化
鹰眼安全网关用户管理中心完全基于PKI技术实现,支持和遵循以下PKI标准:
X509V3标准
PKCS#1RSA加密标准
PKCS#6可扩展证书语法标准
PKCS#7消息封装标准
PKCS#8私钥信息语法标准
PKCS#10证书请求语法标准
PKCS#12证书封装格式
LDAP标准
多种密码算法
鹰眼安全网关用户管理中心支持多种对称和非对称密码算法,用于产生非对称密钥对的密码算法有RSA和DSA;用于数据加密的密码算法有DES、3DES和IDEA。
多种证书格式
鹰眼安全网关用户管理中心可以为服务器和用户签发多种编码格式和封装格式的数字证书,支持的编码格式有PEM格式和DER格式,支持的封装格式有CRT和P12等。
多种证书存储介质
由证书生成中心签发的用户证书可以写入多种存储介质中,支持的存储介质有本地硬盘、USB-key和IC卡。
可扩展性
支持使用第三方密码算法和密码设备(如密钥生成设备)。
易用性
基于windows平台的纯图形化操作界面,使系统的管理和使用简单易用。
丰富的编程开发接口
应用程序使用开发接口可以使用系统中的用户信息和证书信息。
13.3.4产品功能描述
鹰眼安全网关用户管理中心提供的主要功能如下:
1.证书签发
证书签发功能包括创建根CA证书、签署证书、申请证书、发布证书和发布吊销列表。
创建根CA证书
使用证书生成功能创建一个自签名的根证书,作为鹰眼安全网关用户管理中心的信任权威。
签署证书
接收证书签署请求,用根CA私钥对证书签署请求中的公钥信息做签名,并生成证书。
申请证书
由鹰眼安全网关用户管理中心生成密钥对,用根CA对公钥签名,生成新的证书。
发布证书
把证书发布到证书存储数据库和证书发布数据库。
发布吊销列表
把新的证书吊销列表发布到证书存储数据库和证书发布数据库。
证书签发操作
创建根CA证书
签署证书
申请证书
2.证书管理
证书管理功能包括:
证书查询、证书吊销、证书恢复和证书验证。
证书查询
支持多种条件查询和模糊查询,可以从证书存储数据库中查询所有用户和服务器的证书。
证书吊销
把选定的证书吊销,并生成新的证书吊销列表。
证书恢复
把已经吊销了证书恢复成有效状态,并生成新的证书吊销列表。
证书验证
验证某个证书是否为该CA所签发。
证书管理操作
证书查询
证书吊销
证书恢复
证书验证
3.密钥管理
密钥管理功能包括:
密钥查询、密钥输出和密钥销毁。
密钥查询
查询某个证书是否申请了密钥托管。
密钥输出
把申请了密钥托管的证书私钥从证书存储数据库中取出。
密钥销毁
把申请了密钥托管的证书私钥从证书存储数据库中删除掉,不再保存。
密钥管理
4.系统设置
系统设置功能包括:
目录服务器设置、系统默认参数设置和查看上一次系统配置。
目录服务器设置
设置证书存储服务器和证书发布服务器的IP地址及口令。
系统默认参数设置
设置非对称密码算法密钥长度、密钥保护算法、证书有效期限及证书吊销列表更新周期等
查看上一次系统配置
可以查看上一次系统设置的各项参数。
13.4系统性能指标
1.支持最大用户数≥50万;
2.对称密码算法密钥长度最长可达168bit;
3.非对称密码算法密钥长度最长可达2048bit;
4.单张证书生成时间<300ms(PⅢ800、256RAM配置普通PC)
13.5应用案例
某大型科研机构内部拥有多个应用系统,在各个应用系统中都涉及到用户身份认证和信息保护。
为了使用统一的技术手段实施各个应用系统的安全方案,需要在整个系统中建立一个基于PKI技术的安全基础设施平台。
经过综合考虑技术、投入和服务各方面,最后采用了鹰眼安全网关用户管理中心来建立一个基础平台,为全网用户和各个服务器分发数字证书、同时向各个应用系统提供所有用户信息。
每个用户在使用应用系统时,都拥有一个从鹰眼安全网关用户管理中心申请的个人身份数字证书,该证书是存储在外部介质USB-key中,使用USB-key中的数字证书与各个应用系统服务器实现双向的强身份认证。
同时,用户还可以使用USB-key中的个人数字证书实现对重要信息的签名和验证。