格尔安全认证网关

格尔产品白皮书上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel:(86-021)62327010Fax:(86-021)62327015URL:格尔安全认证网关(SSL)产品白皮书上海格尔软件股份有限公司格尔产品白皮书上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel:(86-021)62327010Fax:(86-021)62327015URL:版权声明：本文件中出现的全部内容，除另有特别注明，版权均属上海格尔软件股份有限公司（以下简称格尔软件）所有，未经格尔软件书面许可，任何人不得以任何形式擅自拷贝、传播、复制、泄露本文件的全部或部分内容。格尔产品白皮书上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel:(86-021)62327010Fax:(86-021)62327015URL:您的网络应用安全吗？.............................................................41.2解决网络应用安全您要考虑......................................................41.3名词解释.................................................................................52产品概述............................................................................................63产品主要功能特点...............................................................................74产品特色..........................................................................................104.1产品简介...............................................................................104.2PKI数字证书的全面支持.........................................................104.3对用户的一致性认证..............................................................114.4自动签名验证（专利技术之一）..............................................114.5SSL协议中双证书的应用（专利技术之一）...............................124.6单点登录（专利技术之一）....................................................124.7多应用类型支持.....................................................................124.8对应用的加速........................................................................124.9安全资质...............................................................................124.10其他特性...............................................................................135产品参数..........................................................................................136产品部署..........................................................................................146.1串联部署...............................................................................146.2并联部署...............................................................................156.3双机热备部署........................................................................166.4负载均衡部署........................................................................187客户端运行环境................................................................................208附录（主要案例）.............................................................................20格尔产品白皮书上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel:(86-021)62327010Fax:(86-021)62327015URL:您的网络应用安全吗？随着网络的快速发展，网络应用以其高效、便捷的特点得到广泛应用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理，越来越多的重要信息在网络中传输，如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题，但通常的网络应用都存在以下安全隐患：没有有效的身份认证机制：一般都采用用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在：（a）口令易被猜测；（b）口令在公网中传输，容易被截获；（c）一旦口令泄密，所有安全机制即失效；（d）后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管理非常困难。数据传输不安全：当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输，而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。操作抵赖：网络应用将现实世界的实体操作转化为虚拟世界的信息流，信息流的可复制性对操作的唯一性和可信性提出了挑战，操作可以被抵赖成为网络应用亟需解决的一个严重问题。1.2解决网络应用安全您要考虑信任是安全的基础，在缺乏信任的环境下，实现信息系统的安全是不可想象的，因此解决网络应用安全的一个核心问题是解决信任问题，信任主要体现在以下几方面：强身份认证。建立信任首先要确认参与者的身份，即身份认证。身份认证是安全保障的第一道门槛，也是后续安全措施的依据和基础，如果第一道门槛被攻破，系统“认错人”，则后续的无论多么严密的安全措施基本失效，因此，身份认证机制强度的高低很大程度决定了安全系统的安格尔产品白皮书上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel:(86-021)62327010Fax:(86-021)62327015URL:全级别高低，对于一个直接面对互联网，如果身份认证机制的强度不够，根本无法起到屏障作用，无异于将网资源直接开放。因此，身份认证机制不在于多少，而在于够不够强。基于PKI数字证书的认证是目前被广泛接受的强身份认证机制之一。数据秘密性和完整性。一方面，认证机制越强，效率越低。在网络应用中并不是每次交互都进行认证，而是根据第一次认证后的凭证来辨认用户，因此在真正用户在线认证通过后，窃取用户的认证凭证，冒充用户访问是一种有效的攻击手段。因此身份认证过程以及后续传输通讯都需全程保密。另一方面，网络应用中的重要信息被其他人特别是竞争对手得到造成的损失极大，因此要求信息传输时对信息进行高强度加密，保证传输安全性。总之，信息在网络上明文传输，被人轻易获取，无异于自己打开门把东西拿给别人，系统有再强的其他安全机制有何用呢？全程加密是对数据秘密性及完整性保障的优选方案之一。不可抵赖性。不可抵赖是信任的一个关键因素也是一个关键约束，是对结果的认可和保障，如果可以事后赖账，无法追究责任，那么先前所作的一切都是前功尽弃。现实生活中已经形成一套不可抵赖性的方式方法，而在网络世界中，数字签名技术是公认的不可抵赖性实现的最优方案，《电子签名法》的颁布和实施也提供了相应的法律依据。1.3名词解释SSL：SecureSocketsLayer，安全套接层协议层，它是网景（Netscape）公司提出的基于WEB应用的安全协议。证书认证机构（CertificateAuthority）：一个产生和确定公开密钥证书的可靠和可信的第三方机构。它发行数字证书并确保证书的可信性，或证明一个用户和它们的公共密钥的身份。认证机构也可以为实体产生和确定密钥。习惯上又称作认证中心（CA）。数字证书（Certificate）：数字证书中心签发的用于代表实体身份的一段电文。本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书（服务格尔产品白皮书器证书）。LDAP：(LightweightDirectoryAccessProtocol)是一种轻量级的目录存取协定，提供客户从各个角落连接到目录服务器中。本手册中专指CA用于发布证书及黑名单的LDAP服务。黑名单：通常所说的CRL（CertificateRevokeList），因时间或者安全原因被废除的证书列表，一般发布在LDAP上。Radius：RemoteAuthenticationDialInUserService，广泛应用于宽带窄带认证系统的协议，前端一般为PPPoE或者802.1x。802.1x（基于端口的验证）：启用通过外部服务器针对各个端口验证系统用户。只有经过验证和许可的系统用户才可以传输和接收数据。使用可扩展验证协议（EAP），通过RADIUS服务器来验证端口。数字签名（digitalsignature）：具有手写签名功能－如身份证明的一组电子数据。这些附加在数据单元上的一些数据，或是对数据单元所作的密码变换，允许数据单元的接收者用以确认数据单元的来源和完整性，并保护数据，防止被人（例如接收者）伪造。2产品概述图表1E型网关外观上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel:(86-021)62327010Fax:(86-021)62327015URL:(86-021)62327010Fax:(86-021)62327015URL:型网关外观（以上产品外观图仅做参考，具体外观及接口以实物为准）格尔网关为网络应用提供基于数字证书的高强度身份认证服务、高强度数据链路加密服务及数字签名及验证服务，可以有效保护网络资源的安全访问。支持HTTP、HTTPS的B/S应用以及FTP、