1 方案背景
互聯網廣泛應用的TCP/IP�����、HTTP等通信協議是基于明文傳輸的�����,攻擊者在網絡的任何途經節點均可竊聽和偽造���。在關鍵的電子政務�、電子商務等應用中��,難免會涉及用戶明感信息的傳遞����,如何保證這些明感數據的防竊聽����、防偽造����,是信息系統建設的關鍵安全需求��。
2 方案目標
本方案基于SSL協議���,解決信息系統數據傳輸過程中的數據私密性���、完整性問題�,以防止攻擊者的竊聽和篡改數據�����。
3 方案概述
1.由具有電子認證服務許可的CA機構給用戶簽發數字證書��。CA機構在簽發證書前��,會嚴格核對用戶的身份證件�,能滿足身份真實性要求����;
2. 用戶客戶端瀏覽器以HTTPS方式訪問網站����,瀏覽器會調用SSL VPN插件進行SSL連接�����;
3. SSL VPN插件調用電子密鑰對握手消息數字簽名��,可對用戶進行身份鑒別和防重放���;
4. SSL VPN插件發送SSL握手包到SSL VPN網關�;
5. SSL VPN網關調用CA的證書注銷狀態查驗服務����,以防止非法用戶連接���;
6.以上認證通過后���,客戶端與SSL VPN網關建立安全連接����,SSL VPN網關代理訪問業務網站����,給用戶呈現業務界面�。
4 網絡部署
5 方案價值
1.對SSL VPN網關身份進行驗證�����,有效防止釣魚網站�;
2.能保證傳輸數據的保密性和完整性���,攻擊者無法竊聽到明文信息���,也不能篡改或偽造傳輸數據��;
3.通過配置SSL客戶端證書認證�,由NETCA給用戶簽發數字證書�,可保證接入用戶的身份真實性���。
6 項目案例
某港航行政管理綜合業務系統密碼應用改造項目�����;
某養老保險業務信息系統密碼應用建設項目
