格尔安全认证网关产品白皮书.docx

格尔安全认证网关产品白皮书.docx

《格尔安全认证网关产品白皮书.docx》由会员分享，可在线阅读，更多相关《格尔安全认证网关产品白皮书.docx（20页珍藏版）》请在冰豆网上搜索。

格尔安全认证网关产品白皮书

格尔安全认证网关产品白皮书

V5.0

XX格尔软件股份XX

2007年8月

XX事宜：

本文档包含XX格尔软件股份XX的专有商业信息和XX信息。

接受方同意维护本文档所提供信息的XX性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息，接受方不向格尔公司承担XX责任：

1）接受方在接收该文档前，已经掌握的信息。

2）可以通过与接受方无关的其它渠道公开获得的信息。

3）可以从第三方，以无附加XX要求方式获得的信息。

1概述

1.1您的网络应用安全吗？

随着网络的快速发展，网络应用以其高效、便捷的特点得到广泛应用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。

越来越多的重要业务在网上办理，越来越多的重要信息在网络中传输，如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题，但通常的网络应用都存在以下安全隐患：

●没有有效的身份认证机制：

一般都采用用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在：

（a）口令易被猜测；（b）口令在公网中传输，容易被截获；（c）一旦口令泄密，所有安全机制即失效；（d）后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管理非常困难。

●数据传输不安全：

当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输，而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。

●操作抵赖：

网络应用将现实世界的实体操作转化为虚拟世界的信息流，信息流的可复制性对操作的唯一性和可信性提出了挑战，操作可以被抵赖成为网络应用亟需解决的一个严重问题。

1.2解决网络应用安全您要考虑

信任是安全的基础，在缺乏信任的环境下，实现信息系统的安全是不可想象的，因此解决网络应用安全的一个核心问题是解决信任问题，信任主要体现在以下几方面：

●强身份认证。

建立信任首先要确认参与者的身份，即身份认证。

身份认证是安全保障的第一道门槛，也是后续安全措施的依据和基础，如果第一道门槛被攻破，系统“认错人”，则后续的无论多么严密的安全措施基本实效，因此，身份认证机制强度的高低很大程度决定了安全系统的安全级别高低，对于一个直接面对互联网，如果身份认证机制的强度不够，根本无法起到屏障作用，无异于将网资源直接开放。

因此，身份认证机制不在于多少，而在于够不够强。

基于PKI数字证书的认证是目前被广泛接受的强身份认证机制之一。

●数据秘密性和完整性。

一方面，认证机制越强，效率越低。

在网络应用中并不是每次交互都进行认证，而是根据第一次认证后的凭证来辨认用户，因此在真正用户在线认证通过后，窃取用户的认证凭证，冒充用户访问是一种有效的攻击手段。

因此身份认证过程以及后续传输通讯都需全程XX。

另一方面，网络应用中的重要信息被其他人特别是竞争对手得到造成的损失极大，因此要求信息传输时对信息进行高强度加密，保证传输安全性。

总之，信息在网络上明文传输，被人轻易获取，无异于自己打开门把东西拿给别人，系统有再强的其他安全机制有何用呢？

全程加密是对数据秘密性及完整性保障的优选方案之一。

●不可抵赖性。

不可抵赖是信任的一个关键因素也是一个关键约束，是对结果的认可和保障，如果可以事后赖账，无法追究责任，那么先前所作的一切都是前功尽弃。

现实生活中已经形成一套不可抵赖性的方式方法，而在网络世界中，数字签名技术是公认的不可抵赖性实现的最优方案，《电子签名法》的颁布和实施也提供了相应的法律依据。

2产品概述

图表1E型网关外观

图表2G型网关外观

（以上产品外观图仅做参考，具体外观及接口以实物为准）

格尔网关为网络应用提供基于数字证书的高强度身份认证服务、高强度数据链路加密服务及数字签名及验证服务，可以有效保护网络资源的安全访问。

支持HTTP、HTTPS的B/S应用以及FTP、远程桌面等通用的C/S应用。

3为什么选择格尔安全认证网关

格尔安全认证网关是：

ØXX格尔软件自主研发的网络安全应用产品。

Ø基于PKI数字证书体系的经过国家密码管理局认证的认证加密产品（SJY128）。

Ø唯一一款集强身份认证、数据XX性、数据完整性及不可抵赖性功能于一身的产品。

格尔安全认证网关的价值体现在以下几个方面：

3.1PKI数字证书的全面支持

基于对PKI的深刻理解，格尔网关具备了对PKI的全面支持，包括以下几个方面：

⏹证书单双向的认证选择：

格尔网关可以配置建立加密连接时是否认证用户证书。

⏹多服务，多站点证书支持：

格尔网关可以建立多个服务，保护不同的应用，每个服务可以使用不同的站点证书。

⏹多条证书链支持：

格尔网关支持多条证书链同时存在、同时生效，即同一个SSL服务可以同时认证多家CA中心的证书用户。

⏹动态黑支持：

格尔网关可以自动到LDAP发布点获取黑，并动态更新，不需要重新启动服务。

3.2对用户的一致性认证

通常的网关产品只是建立了一个加密连接，与应用完全无关，用户通过认证建立加密连接后必须经过再次认证（如用户名+口令、动态令牌等）登录应用系统，这种两次登录不仅没有加强安全性，而且在给用户带来不便的同时也带来安全隐患，由于加密连接和应用对用户认证的不一致，用户可以使用自己的证书建立连接，使用别人的用户名登录，这种方式给应用的流程和日后审计、取证带来了混乱。

格尔网关可以将用户证书中的任意信息以cookie方式向后台服务器传送，应用系统无需额外接口就可以方便获取证书用户信息，即保证了用户的一次登录，又保证了应用对用户认证的一致性，安全性得到进一步保障。

同时，使用网关保护的多个应用系统也实现了对用户的单点登录功能，即用户使用一X证书登录所有应用系统。

3.3自动签名验证（专利技术之一）

格尔网关创新性的提出了自动签名验证服务，有效解决了网络不可抵赖性问题，使其成为目前唯一一款集强身份认证、数据XX性、数据完整性及不可抵赖性功能于一身的产品，是PKI产品的一种突破。

自动签名验证的特色是“自动”，签名、验证等复杂工作都由格尔网关自动完成，对应用实现零+开发，应用只需在网页中进行设置，无需额外开发接口、无需额外专业知识就能轻松实现信息不可抵赖。

3.4SSL协议中双证书的应用（专利技术之一）

双证书机制是当前我国PKI体系建设的主流模式。

使用签名证书进行身份认证，使用加密证书进行密钥的交换和保护，既使PKI技术在应用中发挥其基于非对称密钥所带来的优势，又满足了国家对PKI应用进行审计监管的需要，是国家密码管理机构对PKI证书应用的基本要求。

格尔网关创新的提出了双证书在SSL协议中的应用，并成功在产品中实现，符合国家密码管理机构对密码产品的要求。

3.5单点登录（专利技术之一）

对于某些无法修改或者无法获取证书信息从而无法实现用户一致性认证的应用，格尔网关可以实现证书与原有用户信息的映射，在应用无需任何改动的情况下自动完成系统登录，实现单点登录功能。

3.6多应用类型支持

格尔网关除了可以对B/S应用进行安全防护外，对于FTP、telnet、SSH、远程桌面、SMTP、POP3等多种非B/S应用也可以进行安全防护，具有广泛的适用性。

3.7对应用的加速

格尔网关高端产品采用硬件加速，加解密运算全部由硬件完成，效率是同等硬件环境下软件实现的10倍以上，可以彻底将应用服务器的CPU资源从繁重的加解密中解放出来，起到了对应用加速的作用。

3.8安全资质

格尔安全认证网关通过了国家XX局、国家密码管理局的严格鉴定，取得了相关安全资质，符合国家对于密码产品的使用规定。

3.9其他特性

●安全性：

系统设置专用网络接口管理系统，系统关闭所有不需要的服务和端口（如FTP、SSH等），只保留SSL服务端口，避免外界的攻击。

●易用性：

系统所有管理操作均采用web方式，操作简单方便。

●适用性：

系统支持串联、并联等多种部署方式，适用不同的网络环境和应用需求。

●兼容性：

支持IE、Netscape、Firefox等主流浏览器，支持IIS、Websphere、Weblogic、apache、tomcat等主流Web服务器。

●高可用性：

系统支持双机热备。

4产品主要功能

功能

说明

功能类型

证书认证

单双向认证选择功能

系统可以设置是否需要用户提交用户证书

基本功能

动态黑功能

系统可以自动更新黑、动态更新，不需要重新启动服务

支持LDAP、HTTP等多种方式更新

支持B64、DER等多种格式

基本功能

多站点证书功能

系统可以拥有多个站点证书，不同的服务可以拥有不同的站点证书

基本功能

多证书链功能

一个SSL服务中可同时配置多条证书链，验证不同CA的用户证书

基本功能

多种证书支持功能

支持格尔、CFCA、SHECA及多数省级CA中心数字证书

基本功能

证书信息传送功能

系统可以将用户证书信息包括扩展项信息传送给应用系统

基本功能

应用支持

B/S应用

支持B/S应用

基本功能

通用C/S应用

支持FTP、telnet、远程桌面以及通用的C/S应用

扩展功能

网络应用

支持基于IP的所有应用

扩展功能

多服务功能

系统可以创建多个SSL服务，保护不同的应用服务，也可以采用同一个SSL服务保护多个应用服务（需客户端）

基本功能

地址隐藏功能

系统将真正应用服务的地址隐藏，用户仅知道网关地址

扩展功能

支持应用重定向功能

在有防火墙NAT映射的情况下正常访问有重定向的

基本功能

特色功能

认证一致性

系统通过特有的cookie技术将用户的证书信息传送给后台应用，使应用无需证书接口开发就可以方便的获取用户证书信息

基本功能

自动签名验证

系统自动实现对应用指定数据的签名和验证功能

扩展功能

自动登录功能

对于特定应用，系统采用用户映射技术，将证书映射为原有系统中的账户，并进行自动登录，在后台应用无需修改的情况下实现单点登录

扩展功能

策略统一下发

系统实现客户端策略的统一下发，用户无需对客户端进行任何配置

基本功能

信息统计

系统能够对用户连接数、应用访问情况，系统资源占用等信息进行详细统计，为更好了解应用及调节资源提供基础

基本功能

错误重定向

系统对于认证错误可以重定向到用户指定页面，增强友好性

基本功能

访问控制功能

实现URL级别的访问控制，对于不同用户、不同角色实现不同的控制

扩展功能

对称加密算法的替换

系统支持加密算法的替换

扩展功能

系统管理

系统备份恢复功能

系统可以备份当前SSL的所有配置，保证系统瘫痪时的快速恢复

基本功能

恢复出厂设置功能

系统具有恢复默认设置功能，方便使用

基本功能

日志发送功能

系统将日志以SYSLOG的方式发送到指定服务器。

基本功能

系统在线升级

系统支持Web方式的系统升级

基本功能

性能检测功能

系统支持对CPU、内存、磁盘容量、连接数、进程等资源情况的收集，便于系统的维护和问题定位

基本功能

可用性

双机热备功能

高可靠性

扩展功能

负载均衡

系统具有集群功能

扩展功能

易用性

管理员易于操作

系统所有管理操作都通过web方式进行，方便使用

基本功能

用户的良好体验

系统可以为终端用户提供良好的错误提示，如证书过期，证书未生效，证书已经作废等信息，不会显示“此页无法显示”令用户不知所措的页面

基本功能

注：

扩展功能不包含在产品的基本版本中，是用户可选配功能。

5产品部署

格尔网关可以部署为串联模式（桥模式）或者并联模式（单臂模式）。

5.1串联部署

串联模式（桥模式）指格尔网关物理部署在用户和被保护的服务器之间，即格尔网关的外网口与用户网络连接，内网口与被保护服务器相连。

由于被保护服务器通过内部网络与格尔网关连接，因此用户与服务器的连接被格尔网关隔离，用户只知道网关地址，无法直接访问被保护服务器，只有通过网关才能获得服务。

串联模式（桥模式）是格尔网关的标准部署模式，也是推荐部署模式，其部署示意图如下：

图表3串联部署示意图

串联模式的优点是：

●安全性高：

用户必须通过网关的认证加密后才能获取服务，同时网关将服务器与外界网络隔离，避免了对服务器的直接攻击。

●结构清晰：

串联模式在物理部署和逻辑结构上都非常简单，容易理解。

●性能高：

相对于并联模式，串联模式的效率及带宽利用率更高。

串联模式的缺点是：

●需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。

5.2并联部署

并联模式（单臂模式）指格尔网关逻辑部署在用户和被保护的服务器之间，而物理连接是在同一网络中，即格尔网关的外网口接入原有用户与服务器的网络连接中。

用户可以通过网关获取服务，也可以直接连接到服务器（在知道服务器地址情况下）获取服务。

图表4并联部署示意图

并联模式的优点是：

●部署方便：

应用无需作改动，用户只需变更一下访问地址即可。

并联模式的缺点是：

●安全性低：

由于服务器和外界网络连接，存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性；同时，网关到服务器的明文数据也在网络上传输，存在被窃听的安全隐患。

●性能较低：

相对于串联模式，并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行，效率及带宽利用率相对较低。

5.3双机热备部署

系统支持双机热备功能，在需要高可靠性的环境下需要对网关进行双机热备部署。

双机热备部署需要部署两台设备，一台作为主机，一台作为备机，两台机器都与网络连接，两台设备之间使用交叉线连接热备口进行状态检测，在正常情况下由主机提供服务，当主机发生异常时系统自动切换到备机进行服务。

部署方式如图：

图表5串联模式下的双机热备部署

图表6并联模式下的双机热备部署

5.4负载均衡部署

格尔网关可以和大多数负载均衡设备配合使用，格尔网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。

如下图：

图表7负载均衡环境下的串联模式部署

图表8负载均衡环境下的并联部署

注：

负载均衡器将网络的SSL流量负载到可用的格尔网关上，格尔网关对后端的Web服务器并没有负载均衡的作用。

6选购指南

格尔网关采用专用网络硬件设备，产品具有多个系列：

E-2010

E-2020

G-4020

G-4040

设备高度

1u

1u

2u

2u

网络接口

4*100M

4*100M

6*1000M

4*1000M

电源指标

数量：

电压（V）：

电流（A）：

功率（W）：

1

100~240

0.5~3

65

1

100~240

3~6

200

1

90~264

4~8

460

2

90~264

4~8

460

工作温度

0︒C--40︒C

0︒C--40︒C

0︒C--40︒C

0︒C--40︒C

工作湿度

5%--95%RH，不凝结

5%--95%RH，不凝结

5%--95%RH，不凝结

5%--95%RH，不凝结

最大新建连接数

60次/秒

160次/秒

2500次/秒

4000次/秒

最大并发连接数

400

800

2500

5500

最大流量

50Mbps

120Mbps

680Mbps

850Mbps

注：

上述所有规格及参数若有变动恕不另行通知，请以厂家提供的最终配置为准。

7客户端运行环境

与格尔SSL安全网关连接的客户端推荐配置如下：

CPU：

P3800M以上

内存：

256M以上

操作系统：

win2000以上版本

浏览器：

IE6.0以上，密钥长度128位

8产品支持联系方式

XX格尔软件股份XX地址：

XX市余姚路288号A座4楼：

（86-21）62327010传真：

（86-21）62327015Email：

sslvpnkoal.

邮编：

200042

9附录公司介绍

9.1公司概述

XX格尔软件股份XX（以下简称格尔软件）成立于1998年3月，注册资本3500万，设营销和技术支持中心。

公司下设格尔国信、XX格尔信息、XX格尔卫信及XX格尔天屹等子公司，在全国各大中心城市还设有多个办事处。

公司现有员工310人，其中本科以上学历占93%，技术开发人员210余人，约占65%。

格尔软件是专业从事信息安全核心技术和产品研发，为客户提供信息安全整体解决方案与配套服务的国内身份管理领域的领先企业。

公司是国内最早研制PKI平台的厂商，国内首批商用密码产品定点生产与销售单位，国家XX局批准认定的“涉及国家秘密的计算机信息集成甲级资质单位”，国家信息化工作领导小组计算机网络与信息安全管理工作办公室（国信安办）认定的14家计算机网络安全服务试点单位之一，国家“863”计划信息安全示X工程金融子项目的总服务商及“863”课题承担单位。

公司曾获国家进步二等奖和XX市科技进步一等奖。

公司还是全国信息安全标准化技术委员会的主要成员之一。

经过全国信息安全标准化技术委员会严格审定，XX格尔软件股份XX被批准为WG1、WG4、WG5、WG7工作组成员，在WG4工作组中承担相关标准制定工作。

9.2技术与产品

格尔软件坚持以技术创新推动企业的发展。

公司长期从事核心密码技术的研究并有深厚的积累，至今已申请了17项自主研发的专利技术，其中7项已获国家专利局的授权，另外还拥有7项软件著作权。

目前，公司已形成PKI基础平台产品、安全网关产品、内网安全应用产品（超级蓝盾系列）三大产品线。

核心产品包括PKI/CA身份认证产品、网盾桌面安全软件、安全认证网关、SSO单点登录系统、网络保险箱系统、金融IC卡密钥管理系统、信息安全综合监控与管理平台产品等。

9.3服务支持

客户至上是格尔软件的服务宗旨，对客户的全面支持服务与客户共同进步是格尔软件的追求。

现在公司已为全国29个省市的众多客户提供了产品或服务，协助用户进行系统维护及基于数字证书的应用推广。

公司在XX、、XX、XX、XX、XX、XX、XX、XX、XX等地设有技术支持服务机构或人员，为重点客户提供长期、稳定、高效的技术支持与服务。

我们还同由其它公司承建的XXCA、西部CA、XXCA、XXCA、XXCA、CTCA、公安部等众多运营机构建立了战略合作关系，提供证书应用推广所需的产品及技术支持服务。

公司利用自己深厚的技术积累，可以为客户提供信息安全咨询培训、安全解决方案设计、产品开发、信息安全系统建设及系统运行维护等一整套信息安全技术支持与委托服务。

9.4质量管理

只有过程正确才能保证结果的正确。

格尔软件视质量为生命，继04年通过ISO9001质量认证之后，公司又于05年在信息安全行业率先启动了CMMI软件能力成熟度的质量改进过程。

现在公司已建立起一套规X的质量管理体系并通过了SEICMMIL3的评估，成为国内目前少有的达到CMMI3级的信息安全厂商。

质量过程的持续改进，保证了公司的研发能力和产品质量的不断提升。

客户可以得到放心满意的产品和服务。

9.5主要案例

●国家863计划“数字证书应用综合管理”课题

●国家863计划信息安全示X工程“S219”项目

●XX省数字证书认证中心；

●XX省数字证书认证中心；

●XX省数字证书认证中心；

●XX省数字证书认证中心；

●XX省数字证书认证中心；

●XX数字证书认证中心；

●XX数字证书认证中心；

●发改委金宏工程（一期）安全子系统—网络信任体系；

●国家电子政务外网根CA系统项目；

●航空一集团“金航”主干网安全总集成项目

●中国工程物理研究院CA示X项目

●中国人民银行IC卡密钥管理系统项目

●中国人民银行银联卡根CA认证系统项目

●XX卫生监督所信息安全系统；

●国家统计局行业性PKI体系建设；

●XX出入境边防总站整体安全集成项目；

●国家“十五国家密码发展基金密码理论课题”；

●XX电力信息系统整体安全建设一、二期工程；

●XX电力信息系统信任与授权平台建设一、二期工程；

●中央办公厅某H网认证加密项目

●国家某部委内网全国纵向CA认证系统及证书安全应用项目

●公安部内网基于CA认证的证书安全应用项目

●国家统计局全国人口普查及大型企业网络直报系统CA认证系统项目

●XX市密钥管理系统试点项目

●信产部“3G无线通讯安全”课题

9.6公司文化理念

[格尔定位]：

领先的身份管理产品及解决方案提供商

[格尔文化]：

团结、奉献、严谨、创新、安全、高效

[格尔理念]：

安全+应用，创造新价值

10名词解释

✧SSL：

SecureSocketsLayer，安全套接层协议层，它是网景（Netscape）公司提出的基于WEB应用的安全协议。

✧证书认证机构（CertificateAuthority）：

一个产生和确定公开密钥证书的可靠和可信的第三方机构。

它发行数字证书并确保证书的可信性，或证明一个用户和它们的公共密钥的身份。

认证机构也可以为实体产生和确定密钥。

习惯上又称作认证中心（CA）。

✧数字证书（Certificate）：

数字证书中心签发的用于代表实体身份的一段电文。

本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书（服务器证书）。

✧LDAP：

（LightweightDirectoryAccessProtocol）是一种轻量级的目录存取协定，提供客户从各个角落连接到目录服务器中。

本手册中专指CA用于发布证书及黑的LDAP服务。

✧黑：

通常所说的CRL（CertificateRevokeList），因时间或者安全原因被废除的证书列表，一般发布在LDAP上。

✧Radius：

RemoteAuthenticationDialInUserService，广泛应用于宽带窄带认证系统的协议，前端一般为PPPoE或者802.1x。

✧802.1x（基于端口的验证）：

启用通过外部服务器针对各个端口验证系统用户。

只有经过验证和许可的系统用户才可以传输和接收数据。

使用可扩展验证协议（EAP），通过远程验证拨入用户服务（RADIUS）服务器来验证端口。

✧数字签名（digitalsignature）：

具有手写签名功能－如XX明的一组电子数据。

这些附加在数据单元上的一些数据，或是对数据单元所作的密码变换，允许数据单元的接收者用以确认数据单元的来源和完整性，并保护数据，防止被人（例如接收者）伪造。