格尔SSL安全认证网关产品白皮书

合集下载

安全产品白皮书

CA安全产品白皮书目录1.计算机系统安全隐患 (4)1.1从计算机系统的发展看安全问题 (5)1.2从计算机系统的特点看安全问题 (5)2.信息系统安全管理需求分析 (7)2.1网络层安全防护 (7)2.2系统级安全防护 (9)2.3应用级安全保护 (10)PUTER ASSOCIATES安全解决方案 (13)3.1安全之道 (13)3.1.1网络安全 (14)3.1.2服务器安全 (14)3.1.3用户安全 (14)3.1.4应用程序和服务安全 (14)3.1.5数据安全 (15)3.2E T RUST (15)4.ETRUST 网络防护 (16)4.1E T RUST F IRE W ALL (16)4.1.1概述 (16)4.1.2结构与工作原理 (17)4.1.2.1产品的结构 (17)4.1.2.2eTrust Firewall的工作原理 (17)4.1.3产品的功能特性 (19)4.2E T RUST C ONTENT I NSPECTION (22)4.2.1基本概念与设计 (22)4.2.2工作原理 (24)4.2.3功能 (27)4.2.3.1网际安全保护 (27)4.2.3.2直接在网络网关口保护资讯安全 (28)4.2.3.3网关应用 (28)4.2.3.4集中管理与报告 (29)4.3E T RUST I NTRUSION D ETECTION (30)4.3.1概述 (30)4.3.2结构与原理 (30)4.3.2.1产品结构 (30)4.3.2.2产品原理 (31)4.3.3功能特性 (33)4.3.3.1入侵检测功能 (33)4.3.3.3防止网络滥用 (35)4.3.3.4活动代码和病毒防护 (35)4.3.3.5与其它安全产品集成与配合 (36)4.3.3.6集中管理 (36)4.3.3.7特性384.4E T RUST A NTI-V IRUS (40)4.4.1产品概述 (40)4.4.2结构及工作原理 (41)4.4.3产品功能特性 (44)4.5E T RUST VPN (48)4.5.1基本概念 (48)4.5.2部署方式 (50)4.5.2.1Intranet模式 (50)4.5.2.2远程访问模式 (51)4.5.2.3使用网关服务器的远程访问模式 (52)4.5.2.4外部网模式 (52)4.5.3功能和特点 (53)4.5.3.1安全策略定义 (53)4.5.3.2隧道模式 (54)4.5.3.3路由、网关选项 (54)4.5.3.4对网络服务端口的保护 (55)4.5.3.5用户认证 (55)5.ETRUST 系统安全 (57)5.1E T RUST A CCESS C ONTROL (57)5.1.1操作系统的安全性 (57)5.1.2功能描述 (60)5.1.2.1用户认证 (60)5.1.2.2口令质量控制 (61)5.1.2.3访问控制 (62)5.1.2.4保护目录和文件 (65)5.1.2.5保护特权程序 (66)5.1.2.6保护进程 (67)5.1.2.7保护SURROGATE (67)5.1.2.8保护网络连接 (67)5.1.2.9取消“超级用户” (68)5.1.2.10让普通用户具有超级用户的某些能力 (69)5.1.2.11审计695.1.2.12对Windows NT的保护 (70)5.1.3特点和优势 (71)5.1.3.1防止堆栈溢出型攻击 (71)5.1.3.2强大的功能 (73)5.1.3.4自我保护能力 (74)5.2E T RUST A UDIT (75)5.2.1企业信息安全对审计的需要 (75)5.2.2eTrust Audit (75)5.2.3结构 (76)5.2.3.1良好的设计思路与结构 (76)5.2.3.2利用eTrust Audit 建立有效的审计体系 (77)5.2.4功能与特点 (77)5.2.4.1跨平台事件管理 (78)5.2.4.2基于主机的侵袭检测 (78)5.2.4.3及时多样的报警 (78)6.ETRUST 用户与应用安全 (79)6.1E T RUST S INGLE S IGN O N (79)6.1.1概念和原理 (79)6.1.1.1为什么需要单点登录 (79)6.1.1.2单点登录产品的工作原理 (80)6.1.2功能结构 (81)6.1.3特点和优势 (83)6.2E T RUST A DMIN (85)6.2.1基本概念 (85)6.2.1.1安全集中管理 (85)6.2.1.2eTrust Admin (86)6.2.2工作原理 (87)6.2.2.1现有策略的自动发现 (87)6.2.2.2策略的制定 (88)6.2.2.3策略的传播 (89)6.2.3功能与特点 (89)6.2.3.1主要特性 (89)6.2.3.2功能优势 (90)PUTER ASSOCIATES信息安全服务 (93)7.1风险评估 (93)7.2政策、规程和方法 (94)7.3安全框架设计 (94)7.4安全解决方案的实施 (95)7.5培训 (96)7.6内部审计助理 (97)7.7独立的安全审计 (97)PUTER ASSOCIATES 为企业网络计算环境提供全面的安全解决方案 (99)1.计算机系统安全隐患每年我们都要在计算机系统上花费上百万美元建立与管理信息，这些信息用于商业决策、客户服务和保持竞争力。

格尔安全认证网关5.2.1使用培训

Power/TX Link/Rx LPT1
LPT2
COM
服务器1
服务器2
服务器3
……….
负载均衡部署
Internet
外部用户
SD
用户证书
负载均衡设备
防火墙
格尔安全认证网关
Print Server Power/TX Link/Rx LPT1 LPT2 COM
Print Server Power/TX Link/Rx LPT1 LPT2 COM
用户映射
• 将证书身份与传统身份信息一一对应起来
– 用户映射表即一张三维表：应用-用户证书-用户名/密码 – 用户映射表是HTTP自动提交/自动认证功能的前提，后者通过
查找用户映射表，获得传统身份信息-用户名/密码，并据此自动完成认证
• 三维表中的应用项
– 规则与“访问控制”中的URL资源项相同
– 动作：允许或者阻止 – 资源：有URL和IP地址两种类型，URL支持正则表达式，IP地
址支持类似10.1.1.*的表达式 – 角色：根据用户证书的对应项来确定，如CN、序列号等
• 匹配过程：
– 逐条扫描策略，若角色和资源与当前访问匹配，则执行动作，否则继续扫描；若所有策略都不匹配，则执行动作-阻止
格尔安全认证网关5.2.1 使用培训
内容
• 产品外观 • 部署网关 • 配置网络 • 配置证书 • 配置安全认证服务 • 系统管理 • 故障诊断
产品外观（E型）
产品外观（G型）
内容
• 产品外观 • 部署网关 • 配置网络 • 配置证书 • 配置安全认证服务 • 系统管理 • 故障诊断
部署安全认证网关
__PASSWORD
– 增加一项“自动提交”配置，设置“关键字”，并且通过配置页面上传POST包

SSL VPN技术白皮书

2.3 SSL VPN工作过程2.4 SSL VPN接入方式2.4.1 Web接入方式2.4.2 TCP接入方式2.4.3 IP接入方式3 Comware V5平台实现的技术特色3.1 客户端免安装，免维护3.2 支持多种用户认证技术3.3 丰富灵活的安全策略3.4 细粒度的资源访问控制4 典型组网应用4.1 远程接入组网应用4.2 共享式组网应用4.3 SSL VPN组网模式1 概述1.1 产生背景随着互联网的普及和电子商务的飞速发展，越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络，访问公司的内部资源。

接入用户的身份可能不合法、远端接入主机可能不够安全，这些都为公司内部网络带来了安全隐患。

通过加密实现安全接入的VPN——SVPN（Security VPN）技术提供了一种安全机制，保护公司的内部网络不被攻击，内部资源不被窃取。

SVPN技术主要包括IPsec VPN和SSL VPN。

由于IPsec VPN实现方式上的局限性，导致其存在着一些不足：l部署IPsec VPN网络时，需要在用户主机上安装复杂的客户端软件。

而远程用户的移动性要求VPN 可以快速部署客户端，并动态建立连接；远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点。

这些问题是IPsec VPN技术难以解决的。

l无法检查用户主机的安全性。

如果用户通过不安全的主机访问公司内部网络，可能引起公司内部网络感染病毒。

l访问控制不够细致。

由于IPsec是在网络层实现的，对IP报文的内容无法识别，因而不能控制高层应用的访问请求。

随着企业经营模式的改变，企业需要建立Extranet，与合作伙伴共享某些信息资源，以便提高企业的运作效率。

对合作伙伴的访问必须进行严格有效地控制，才能保证企业信息系统的安全，而IPsec VPN无法实现访问权限的控制。

l在复杂的组网环境中，IPsec VPN部署比较困难。

在使用NAT的场合，IPsec VPN需要支持NAT 穿越技术；在部署防火墙的网络环境中，由于IPsec协议在原TCP/UDP头的前面增加了IPsec报文头，因此，需要在防火墙上进行特殊的配置，允许IPsec报文通过。

KOAL-WP-C01-格尔网盾(NDS)白皮书

2目录1概述 (4)1.1背景 (4)1.2名词解释 (4)2产品主要功能特点 (5)2.1文件保险箱 (5)2.2文件加解密 (5)2.3PC保护 (6)2.4文件碎纸机 (7)2.5邮件安全代理 (7)2.6SSL安全代理客户端 (8)3产品特色 (8)4客户端运行环境 (8)341 概述1.1 背景信息时代离不开电脑，企业和个人正在越来越多地使用电脑，同时把重要信息也存放在电脑中，或者通过网络传送。

一旦机密信息因电脑丢失、偷窃、网络窃听而泄密，将给企业或者个人带来巨大的损失。

如何保障电脑的安全？如何保障电子文档的安全？如何保障互联网通信的安全？这些问题正被越来越多的人所重视。

格尔公司的网盾安全专家（NDS ）(以下简称网盾)正是这样一个解决桌面安全的系统，它包括多个模块，提供了从计算机登录保护、安全虚拟磁盘、安全电子邮件到办公软件安全扩展等多方位的解决方案，可满足企业和个人用户不同层面的安全需求。

1.2 名词解释PC ： Personal Computer ，个人计算机。

CA ： Certification Authority ，证书认证中心。

PKI ： Public Key Infrastructure ，公用密钥体系结构，是一个使用由CA 颁发的数字证书对电子交易中的各方提供身份认证的机制。

OA ： Office Automation ，办公自动化。

HTTP ：Hypertext Transfer Protocol ，超文本传输协议。

SSL ： Secure Socket Layer ，是Netscape 公司设计的主要用于web 的安全传输协议。

ca_格尔产品白皮书

格尔证书认证系统　产品白皮书　ｖ１．３．１　上海格尔软件股份有限公司　２００４年１２月　上海格尔软件股份有限公司　１保密事宜：　本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

　接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息，接受方不向格尔公司承担保密责任：　１　）接受方在接收该文档前，已经掌握的信息。

　２　）可以通过与接受方无关的其它渠道公开获得的信息。

　３　）可以从第三方，以无附加保密要求方式获得的信息。

　上海格尔软件股份有限公司　２目　录　１前言．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３２产品简介．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．４２．１产品概念．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．４２．２体系结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．４２．３格尔证书认证系统产品线．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．４３产品特性及功能．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５３．１产品特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５３．２基本功能一览表．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．６３．３产品总体效果．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８４部署情况示意．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１０５附录．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１１５．１相关名词解释．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１１５．２参考标准．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１２５．３ＰＫＩ简介．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３图表目录　图表　１　格尔证书认证系统产品体系架构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．４图表　２　格尔证书认证系统产品系列列表．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５图表　３　格尔证书认证系统中小企业版产品列表．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５图表　４格尔认证系统产品功能列表．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８图表　５　格尔认证系统部署图．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１０图表　６ＰＫＩ数字认证中心功能结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１４上海格尔软件股份有限公司　３１前言　随着网络技术的不断发展，企业联网的范围也不断扩大，从一个本地网络发展到跨地区跨城市甚至是跨国网络，这其中的各种网络应用在给企业带来便捷高效的收益的同时，也带来了安全管理和安全通讯的问题。

格尔-身份认证管理及解决方案

你是谁--检查用户实体身份标识，判断是否允许进入系统
安全认证网关；LAN接入认证网关；单点登录系统（SSO）；基于身份管理的应用系统
Web应用上 •哪些设备能接入网络？ • 面向Web接入的认证身份认证身份授权 • 每个用户拥有合法有效的数 •需要提供哪些凭证 MAC/IP/有效的数字证书… 字证书才能访问Web应用 •统一的策略网络上
身份管理体系架构
身份责任认定系统
满足[27]号文的关键组件你干了什么（责任认定）
基于身份管理的应用系统对合法操作、非法操作的责任认定
确保对信息“机密性、完整性、真实性、不可抵赖性”的保护身份认证身份授权
身份供应
身份责任认定
身份认证基础支撑平台
身份管理体系架构
身份认证的解决方案
基于数字证书的身份管理
• 安全思路
–坚持积极防御、综合防范；全面提高信息安全防护能力 – 满足政府服务及办公网络安全可信的需求 –信息、应用的深度防御
• 身份管理基础设施安全平台 • 基于身份管理应用支撑类安全产品和中间件
身份管理体系架构
基于身份管理的应用系统身份责任认定
身份供应
身份认证
身份授权
公司本部在上海总部在北京信息安全综合管理平台信息安全综合管理平台1111信息安全服务信息安全服务2222尖端密码技术研究尖端密码技术研究3333icic卡应用安全产品卡应用安全产品4444第一家中国pki厂商第一个金融ic卡国家规范的参与者第一个国内第一个研发综合安全管理平台唯一的金融ic卡密钥管理系统提供商最大销售量自主研发产品的pki厂商国家保密局涉及国家秘密的计算机信息系统软件开发资质证书国家密码管理局商用密码产品生产许可证商用密码产品销售许可证中华人民共和国公安部计算机信息系统安全专用产品销售许可证中国国家信息安全测评认证中心国家信息安全证书认证产品型号证书解放军信息安全测评中心军用信息安全产品认证证书11家wlanwapi国家标准定点厂商之一专利名称专利名称专利号专利号金融ic卡密钥管理系统中的随机密钥约定方法011323434ic卡在线应用追加技术031509096彻底删除硬盘文件的方法011323477基于数据仓库的信息安全审计方法03157778具有mime数据类型过滤技术的ssl代理方法011323442基于数字证书实现的动态口令认证方法03129281x实现web应用安全加固的快速部署技术031514103数字证书认证系统中实体证书跨应用互通方法031292828数字证书跨信任域互通方法2003101090562椭圆曲线加密解密的方法和装置021547173椭圆曲线签名验证签名的方法和装置0215416520054启动已完成4个试点项目效果得到了用户的好评?身份供应系列产品pki取得良好业绩2003年后区域ca建设处于绝对优势地位目前已建设个总行级金融pki体系多个行业及大型企业pki体系金融ic卡安全体系处于优势地位

SPKM白皮书

格尔ＳＰＫＭ产品白皮书　上海格尔软件股份有限公司　２００４年１１月　上海格尔软件股份有限公司　１保密事宜：　本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

　接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息，接受方不向格尔公司承担保密责任：　１　）接受方在接收该文档前，已经掌握的信息。

　２　）可以通过与接受方无关的其它渠道公开获得的信息。

　３　）可以从第三方，以无附加保密要求方式获得的信息。

　上海格尔软件股份有限公司　２目　录　１前言．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．４２产品简介．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．４２．１格尔ＳＰＫＭ产品线．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．４２．２体系结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５３产品特性及功能．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．６３．１产品特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．６３．２基本功能一览表．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．３硬件特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８３．４物理特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８３．５电气特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８３．６工作环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８４安装部署．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．９５附录．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１０５．１名词解释．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１０５．２符合的相关ＲＦＣ．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１０上海格尔软件股份有限公司　３图表目录　图表　１　格尔ＳＰＫＭ产品列表．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．４图表　２　格尔ＳＰＫＭ产品体系架构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５图表　３　格尔ＳＰＫＭ产品功能列表．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７图表　４　格尔ＳＰＫＭ产品安装部署图．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．９　上海格尔软件股份有限公司　４１　前言　ＣＡ系统作为ＰＫＩ的证书／密钥的管理维护中心，它的安全性至关重要，如果ＣＡ被攻破那么其所有相关的证书的应用安全将无法保证，因此必须考虑一种机制，保证ＣＡ系统的安全。

格尔安全认证网关产品白皮书

格尔安全认证网关产品白皮书V5.0上海格尔软件股份2007年8月目录1概述 (1)1.1您的网络应用安全吗？ (1)1.2解决网络应用安全您要考虑： (1)2产品概述 (3)3什么缘故选择格尔安全认证网关 (3)3.1PKI数字证书的全面支持 (4)3.2对用户的一致性认证 (4)3.3自动签名验证 (5)3.4单点登录 (5)3.5多应用类型支持 (6)3.6对应用的加速 (6)3.7安全资质 (6)3.8其他特性 (6)4产品要紧功能 (7)5产品部署 (10)5.1串联部署 (10)5.2并联部署 (12)5.3双机热备部署 (13)5.4负载均衡部署 (15)6选购指南 (16)7客户端运行环境 (17)8产品支持联系方式 (17)9附录公司介绍 (18)9.1公司概述 (18)9.2技术与产品 (18)9.3服务支持 (19)9.4质量治理 (19)9.5要紧案例 (20)9.6公司文化理念 (21)10名词说明 (21)1.1您的网络应用安全吗？随着网络的快速进展，网络应用以其高效、便利的特点得到广泛应用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。

越来越多的重要业务在网上办理，越来越多的重要信息在网络中传输，如何爱护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题，但通常的网络应用都存在以下安全隐患：●没有有效的身份认证机制：一样都采纳用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在：（a）口令易被推测；（b）口令在公网中传输，容易被截获；（c）一旦口令泄密，所有安全机制即失效；（d）后台服务系统需要爱护庞大的用户口令列表并负责口令储存的安全，治理专门困难。

●数据传输不安全：当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输，而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。

●操作抵赖：网络应用将现实世界的实体操作转化为虚拟世界的信息流，信息流的可复制性对操作的唯独性和可信性提出了挑战，操作能够被抵赖成为网络应用亟需解决的一个严峻问题。

格尔网络保险箱产品白皮书

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

上海格尔软件股份有限公司i目录1 概述 (1)1.1 背景 (1)1.2 名词解释 (1)2 产品概述 (2)3 为什么选择格尔网络保险箱 (2)3.1 网络保险箱系统实现了安全的存储 (2)3.2 安全并且灵活的授权方式 (3)3.3 本地使用，远端存储 (3)4 产品主要功能 (3)5 产品部署 (4)6 产品参数 (5)7 客户端运行环境 (6)8 产品支持联系方式 (6)上海格尔软件股份有限公司11概述1.1背景随着信息化程度的日益提高，信息技术被广泛的应用于各个领域。

数据，特别是那些包含了组织内部核心机密信息的文档，成为了不断增长的重要资源和财富。

如何安全的存储、共享成为组织面临的重要问题。

然而，目前的现状是：z涉密的文档被分散存储在组织内部的ＰＣ或服务器上。

无法统一的管理。

z文档即使被集中存储，对文档的保护也只是采用了操作系统所提供的权限控制机制。

z文档如果被加密存储，则不便于在多人之间共享。

针对以上问题，格尔软件推出了网络保险箱。

1.2名词解释NAS: Network Attached Storage，网络连接存储。

是一种专业的网络文件存储及文件备份设备。

NAS是基于LAN的，按照 TCP/IP协议进行通信，面向消息传递，以文件的I/O方式进行数据传输。

CA：Certificate Authority，数字证书中心，作为权威的第三方负责发放数字证书。

数字证书：Certificate，数字证书中心签发的用于代表实体身份的一段电文。

本文中涉及代表用户身份的用户证书和代表服务端身份的站点证书（服务器证书）。

LDAP：(Light Weight Directory Access Protocol) 是一种轻量级的目录存取协定，提供客户从各个角落连接到目录服务器中。

格尔安全认证网关的Web系统开发规范

避免混用其他方式（HTTP，about:blank 空页面等）获取，否则会提示网页包含不安全内容。
1 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:
2.1 如何保证应用用户与 SSL 连接用户的一致性？ ...........................2 2.2 http 与 https 进行切换时应用如何保持用户 session？..................2 2.3 采用可选验证时，应用如何判断用户是否提交了证书？...............3 3 应用接口 ..........................................................................................4 3.1 接口描述...............................................................................4 3.2 接口实例...............................................................................5
i 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:
目录
1 规范描述 ..........................................................................................1 2 开发常见问题....................................................................................2

【6】格尔主机审计系统——产品技术白皮书

II 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:
1 概述
1.1 背景
计算机和网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。但是在享受计算机以及计算机网络所带来的方便性的同时，也出现了安全问题。信息安全面临新的挑战，主要体现在以下几个方面： � 信息安全从外部攻击转向内部，内部防范是重点，特别是重要资料泄密，数据被恶意破坏等； � 病毒、木马等恶意软件趋向破坏和盗取他人文件和机密信息，重要文件的集中安全存储是非常重要的； � � � 粗粒度的访问控制和授权，容易造成越权访问和泄密；局域网本身的保护，防止非法接入和非法外联；不完善的审计，导致管理员权限过大失去约束。
2.2 产品组成
超级蓝盾系统分为超级蓝盾服务器、审计数据库、文件服务器、控制台和客户端几部分。 � 超级蓝盾服务器：超级蓝盾服务器采用高性能专用硬件服务器。服务器采用裁减优化后的 linux 作为操作系统，并内置数据库存储内网中的用
2 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:
超级蓝盾正是为解决以上信息安全问题应运而生，它是内网信息安全解决方案的理想之选。
1.2 名词解释
术语解释
超级蓝盾 PKI 数字证书
格尔公司自主研发的内网安全管理系统 Public Key Infrastructure(公开密钥基础设施) 用于验证需认证者的标识信息与其公钥对应关系的一种数字文档。
3 产品主要功能特点

安全网关系统

本手册仅提供电子文档。

未经书面许可，用户不得以任何形式或通过任何途径，包括使用影印、录制在内的电子或机械手段等对该书任何部分进行复制或传播。

警告和承诺：本文档用于提供关于“安全网关系统”的产品信息。

尽管我们尽最大的努力使本文档尽可能的完备和准确，但疏漏和缺陷之处在所难免。

任何人或实体由于本文档提供的信息造成的任何损失或损害，中安网脉（北京）技术股份有限公司不承担任何义务或责任。

本书中表达的观点权属于中安网脉（北京）技术股份有限公司。

系统版权：中文名称：安全网关系统英文简称：iSecway版本号： 2.0开发单位：中安网脉（北京）技术股份有限公司本系统的版权单位：中安网脉（北京）技术股份有限公司地址：北京市丰台区富丰路7号邮政编码：100070电话：（010）63783209 或 83635361邮箱：support@安全网关系统是中安网脉（北京）技术股份有限公司自主研发的受法律保护的商业软件。

遵守法律是共同的责任，任何人未经授权人许可，不得以任何形式或方法以及出于任何目的复制或传播本软件，权利人将追究侵权者责任并保留要求赔偿的权利。

本软件系统及其文档中使用到其他公司的有关资源，其版权归相应公司所有，亦受到法律的严格保护。

反馈信息：您的反馈意见将使我们受益非浅。

如果您对本手册有任何疑问、意见或建议，请与我们联系：support@，感谢您对我们的支持和帮助。

目录第1章产品研发单位简介 (4)第2章产品概述 (5)第3章产品主要功能 (7)3.1安全网关 (7)3.2安全管理中心 (7)3.3客户端登录认证 (8)3.4基于USB KEY的存储加密和身份认证 (8)第4章产品主要特点 (9)4.1服务器保护强度高 (9)4.2用户认证严格 (9)4.3传输加密 (9)4.4存储加密 (9)4.5易用性 (10)第5章关键技术 (11)5.1用户认证 (11)5.2用户授权 (11)5.3安全隧道 (11)5.4数据安全 (12)5.5自身安全 (12)5.6数据备份 (13)5.7集群功能 (13)5.8日志审计 (13)第6章主要技术指标 (14)6.1安全网关 (14)6.2安全管理中心 (14)第7章产品部署 (15)第8章产品应用领域 (17)第9章技术支持 (18)第1章产品研发单位简介“中国商用密码与信息安全的中流砥柱”——是中安网脉（北京）技术股份有限公司肩负的国家使命，是中安网脉公司孜孜以求的奋斗目标，也是中安网脉公司自我评价的衡量标准。

格尔电子证书系统产品白皮书

2目录1概述 (4)1.1背景 (4)1.2名词解释 (5)2产品概述 (6)2.1产品简介 (6)2.2产品组成 (7)2.2.1格尔证书认证系统 (8)2.2.2格尔证书注册系统 (9)2.2.3格尔密钥管理系统 (10)3产品主要功能特点 (10)3.1基本特性 (10)3.2高级特性 (11)3.3兼容与扩展特性 (11)3.4特别特性 (11)4产品参数 (12)4.1.1企业版 (12)4.1.2大客户版 (13)4.1.3运营中心版 (13)5附录 (14)5.1SRQ15电子证书认证系统证书 (14)5.2PKI简介 (14)31概述1.1背景随着网络技术的不断发展，各种网络应用在给企业带来便捷高效的同时，也带来了安全管理和安全通讯的问题。

为了解决网络安全问题，近年来，PKI（public key infrastructure）安全体系开始被引入并越来越多地得到应用，其运营管理机构一般又称为CA证书机构。

自1998年开始，中国已有多个不同规模的CA证书机构建成并运行，它们在电子政务和电子商务安全应用中发挥着重要的作用。

目前，我国CA证书机构按照应用环境/范围大体可分为以下四类：区域类、行业类、商业类和内部自用（企业）类。

区域类CA证书机构大多以地方政府为背景、以公司机制来运作，主要为本地行政区域内电子政务业务与电子商务业务发放证书；行业类CA证书机构以部委或行业主管部门为背景，以非公司机制或公司机制运作，在本部委系统或行业内为电子政务业务和电子商务业务发放证书；商业类CA证书机构以公司机制运作，面向全国范围为电子商务业务发放证书；内部自用类CA证书机构，主要是企业事业单位自建的证书机构，为自身内部业务发放证书，不向公众提供证书服务。

TrustMore集中认证网关.技术白皮书

i
一、前言
1.1 为什么需要集中认证网关？
随着政府、行业和企业信息化建设的快速发展和推进，信息化建设中信息孤岛问题日益严重。在信息化的发展过程中，IT 应用也伴随着技术的发展而前进，但与其它变革明显不同的是，IT 应用的变化速度更快，也就是说，政府、行业和企业每进行一次局部的 IT 应用更新都可能与以前的应用不配套，也可能与以后的“更高级”的应用不兼容。因此，从产业发展的角度来看，信息孤岛的产生有着一定的必然性。
目前，政府、行业和企业分别在不同时期构建和部署了大量应用系统，可能包括：Portal、 OA、Email、FTP、ERP、业务系统、科技管理系统、项目管理系统等多个应用系统和业务系统。每个系统具有独立的帐号、身份和权限管理模块，相互独立。如何构建统一的集中认证平台，实现多应用系统的集中管控和信息融合是消除信息化孤岛的有效手段之一。
1.2 如何选择集中认证网关？.................................................................................................3
二、TrustMore 集中认证网关介绍 ....................................................................... 3
1
如果出现了冒名访问和暴力破解口令事件，通过现有的审计系统和应用系统自身的审计功能根本不具备可追溯性和可追究性。
此外，所有身份认证信息和数据信息一样采用明文方式在网络中传输，口令非常容易被监听和窃取，而互联网上充斥着各种简单易用的监听工具，任何系统的帐号信息（包括管理维护人员的帐号信息）唾手得，现有的应用系统身份认证机制已经远远无法满足当前政府、行业和企业信息化发展的需求。

格尔安全认证网关用户手册

格尔安全认证网关用户手册（5.x系列）V1.0上海格尔软件股份有限公司2005年10月保密事宜：本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息，接受方不向格尔公司承担保密责任：1 ) 接受方在接收该文档前，已经掌握的信息。

2 ) 可以通过与接受方无关的其它渠道公开获得的信息。

3 ) 可以从第三方，以无附加保密要求方式获得的信息。

i上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 62327015目录1手册指南 (1)1.1概述 (1)1.2目的 (1)1.3适用对象 (1)1.4名词解释 (2)1.5必读声明 (2)2产品简介 (3)2.1格尔SSL网关 (3)2.2产品系列及接口说明 (4)2.2.1产品外观 (4)2.2.2默认网络配置 (7)3部署格尔SSL网关 (9)3.1串联部署 (9)3.2并联部署 (10)3.3双机热备部署 (12)3.4负载均衡部署 (13)4安装格尔SSL网关 (16)4.1产品检查 (16)4.2部署模式选择 (16)4.3环境准备 (16)4.3.1安装位置 (16)ii上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 623270154.4连线 (17)4.5开机 (17)4.6关机 (18)5登录格尔SSL网关 (19)5.1管理客户端准备 (19)5.2登录系统 (19)5.3更改密码 (21)6配置网络信息 (22)6.1网络接口配置 (23)6.1.1配置网络接口 (25)6.1.2配置虚拟接口 (26)6.1.3启动、停止网络接口 (30)6.2路由和DNS配置 (31)6.3使用网络调试工具 (34)6.3.1使用Ping (35)6.3.2使用Traceroute (36)6.3.3使用SSH (37)7配置SSL认证服务 (38)7.1证书配置管理 (39)7.1.1站点证书 (39)7.1.2生成证书请求 (39)7.1.3申请站点证书 (42)iii上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 623270157.1.5证书链配置 (44)7.2SSL服务管理 (48)7.2.1启动/停止SSL服务 (49)7.2.2添加SSL服务 (50)7.2.3删除SSL服务 (51)7.2.4配置/修改SSL服务参数 (51)7.2.5查看SSL服务日志 (64)7.3SSL高级配置 (69)7.3.1证书项绑定设置 (70)7.3.2证书项编码 (72)8配置黑名单下载 (74)8.1黑名单服务配置 (75)8.1.1添加黑名单下载服务 (77)8.1.2删除黑名单下载服务 (79)8.1.3查看、修改黑名单服务 (79)8.1.4立即下载黑名单 (79)8.1.5查看下载日志 (80)8.2定时更新时间配置 (82)8.3立即更新黑名单 (83)9系统管理 (84)9.1日志服务器配置 (85)9.2系统备份 (86)9.3系统恢复 (87)iv上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 623270159.5恢复出厂配置 (89)9.6双机热备 (90)9.7时间配置 (92)9.8性能检测 (93)10附录一：SSL基础知识介绍 (95)11附录二：系统默认配置 (96)11.1系统出厂默认设置 (96)11.2新增服务默认配置 (98)12产品支持联系方式 (100)v上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 62327015图表目录图表1E型产品外观 (4)图表2G型产品外观 (6)图表3格尔SSL网关默认网卡设置 (8)图表4串联部署示意图 (10)图表5并联部署示意图 (11)图表6串联模式下的双机热备部署 (12)图表7并联模式下的双机热备部署 (13)图表8负载均衡环境下的串联模式部署 (14)图表9负载均衡环境下的并联部署 (14)图表10登录 (20)图表11SSL认证服务管理界面 (21)图表12修改密码对话框 (22)图表13网络配置 (23)图表14网络接口信息 (24)图表15接口配置 (25)图表16虚拟接口配置 (27)图表17虚拟接口信息 (28)图表18虚拟接口配置1 (29)图表19删除虚拟接口 (30)图表20路由和DNS配置 (31)图表21添加默认网关 (32)图表22添加静态路由 (32)图表23路由设置错误 (33)vi上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 62327015图表25P ING1 (35)图表26P ING2 (36)图表27T RACEROUTE (36)图表28SSH (37)图表29SSL认证服务管理 (38)图表30生成证书请求 (40)图表31导出站点证书请求 (41)图表32站点证书配置 (42)图表33站点证书私钥不匹配 (43)图表34证书链结构 (45)图表35证书链配置 (46)图表36上传证书链 (47)图表37SSL服务管理 (49)图表38增加SSL服务 (50)图表39SSL服务参数配置-基本参数 (52)图表40SSL服务参数配置-证书配置 (55)图表41用户策略配置 (56)图表42证书链验证错误 (57)图表43无可用黑名单 (59)图表44自定义错误页面 (61)图表45修改自定义错误页面地址 (61)图表46性能选项配置 (63)图表47运行日志 (65)图表48用户访问日志 (66)vii上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 62327015图表50证书项绑定 (70)图表51证书项定义 (71)图表52证书项编码 (73)图表53黑名单下载 (75)图表54黑名单服务配置 (76)图表55LDAP发布服务器信息 (77)图表56立即更新黑名单 (80)图表57黑名单下载日志 (81)图表58下载黑名单日志 (82)图表59定时更新配置 (83)图表60立即更新黑名单 (84)图表61系统管理 (84)图表62日志服务器配置 (85)图表63系统备份 (86)图表64系统备份下载 (87)图表65系统恢复 (88)图表66系统升级 (89)图表67恢复出厂配置 (90)图表68双机热备 (91)图表69时间配置 (92)图表70性能检测 (94)viii上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 623270151手册指南1.1概述本手册主要介绍上海格尔软件股份有限公司（以下简称：格尔软件）格尔SSL安全认证网关(以下简称：格尔SSL网关)的使用及维护。

签名验证服务器技术白皮书

格尔产品白皮书
目录
1 概述...................................................................................................4 1.1 背景 .......................................................................................4 1.2 名词解释.................................................................................4
数据的保密：在许多应用中，信息的内容是需要严格保密的，但是在网络上，网络侦听技术使数据的获取变得十分容易，因此对信息的加密是安全应用系统重要的特点。
4 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:
双机热备功能
高可靠性
多种开发接口支持
客户端提供 C 开发 API，COM 方式 API，Java 开发 API
4 产品特色
¾ 安全性：系统设置专用网络接口管理系统，系统关闭所有不需要的服务和端口（如 FTP、SSH 等），只保留服务端口，避免外界的攻击。
¾ 易用性：系统所有管理操作均采用 WEB 方式，操作简单方便。
SD
Power/TX Link/Rx
LPT1
LPT2
COM
Print Server
SD
SD
Power/TX Link/Rx
LPT1
LPT2

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

格尔ＳＳＬ安全认证网关　产品白皮书　Ｖ２．０　上海格尔软件股份有限公司　２００４年１２月　上海格尔软件股份有限公司　１保密事宜：　本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

　接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息，接受方不向格尔公司承担保密责任：　１　）接受方在接收该文档前，已经掌握的信息。

　２　）可以通过与接受方无关的其它渠道公开获得的信息。

　３　）可以从第三方，以无附加保密要求方式获得的信息。

　上海格尔软件股份有限公司　２目录　１系统概述．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．１信息传输的安全需求．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．２一般ＳＳＬ连接存在的问题．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３２系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．１ＳＳＬ简介．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．２格尔ＳＳＬ安全代理系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５３格尔ＳＳＬ安全认证网关系统结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．１网络拓朴结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．２格尔ＳＳＬ安全认证网关系统组成和结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８４格尔ＳＳＬ安全认证网关功能．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１１５第三方产品兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．１第三方ＣＡ兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．２第三方设备厂商兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３６格尔ＳＳＬ安全认证网关产品特点．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３７运行环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８产品相关特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．１硬件特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．２物理特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．３电气特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６８．４工作环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６上海格尔软件股份有限公司　３１　系统概述　１．１　信息传输的安全需求　随着互联网络的发展，越来越多的网络应用系统从专用或内部网扩展到互联网上。

目前互联网的很多应用，如网上证券、网上银行、电子政务、电子商务等，这一切都必须有一种安全机制来保证信息传输的安全性、保密性、有效性和不可抵赖性。

　ＳＳＬ协议的推出为我们提供了这种安全机制。

标准的ＳＳＬ连接能在用户的浏览器和ＷＥＢ服务器之间建立一条１２８位的加密通道，来保证信息传输的安全。

格尔ＳＳＬ安全认证网关能够实现这种用户的需求，并且能够在性能、操作方便性、应用透明性方面有独到的特点；而且格尔ＳＳＬ安全认证网关能够与格尔ＳＳＬ客户端代理软件配合，满足客户端软件到应用服务器这种Ｃ／Ｓ网络架构的数据安全传输。

　１．２　一般ＳＳＬ连接存在的问题　l应用无法获得访问用户的数字证书信息：一般的ＳＳＬ连接只能提供对用户的证书的验证、对传输数据加密，但不能从数字证书中解析用户信息（用户名、身份证、用户单位等），因此应用不能根据证书信息对用户进行更细微的身份认证或进行二次开发。

　l对访问的用户、访问的时间、访问的客户端ＩＰ、访问的资源等没有一个有效的日志记录和审计功能。

　l一般的ＳＳＬ安全连接服务与应用本身的服务安装在同一台服务器上，因ＳＳＬ安全连接服务本身的加解密运算大量的占用了服务器ＣＰＵ资源，从而使得应用本身运算的ＣＰＵ资源缺乏而造成处理的效率极大降低。

　l单一的针对ＨＴＴＰ的保护：由于ＳＳＬ协议的局限性，一般的ＳＳＬ只能将ＨＴＴＰ改造成ＨＴＴＰＳ，而对其它的各种ＴＣＰ／ＩＰ协议无效，即只能应用于上海格尔软件股份有限公司　４Ｂ／Ｓ架构而无法应用于Ｃ／Ｓ架构的网络传输。

　格尔ＳＳＬ安全认证网关能够克服以上的这些问题，在各种网络应用中得到广泛应用。

　上海格尔软件股份有限公司　５２　系统原理　２．１　ＳＳＬ简介　　ＳＳＬ（Ｓｅｃｕｒｅ　Ｓｏｃｋｅｔｓ　Ｌａｙｅｒ，安全套接字层）是由Ｎｅｔｓｃａｐｅ公司开发的网络安全传输协议，是目前Ｉｎｔｅｒｎｅｔ上点到点之间尤其是ＷＥＢ浏览器与服务器之间进行安全数据通讯所采用的最主要的协议。

ＳＳＬ提供以下功能：　l信息保密：对信息使用基于单一密钥的对称性算法进行加密。

　l身份认证：对通信一方或双方的数字证书验证进行身份确认。

　l完整性校验：采用数字签名和摘要算法技术，保证传输数据的完整性和真实性。

　由于ＳＳＬ具有应用面广、实施成本低、安全高效、操作简单等优点，　它在电子政务、银行、证券、电子商务系统等领域得到广泛的应用，成为保护网络数据的重要协议。

　２．２　格尔ＳＳＬ安全代理系统原理　格尔ＳＳＬ安全认证网关（后面简称：格尔ＳＳＬ网关）是一台独立网关型服务器设备。

在应用中，格尔ＳＳＬ网关将应用服务器隔离在一个独立的网段，应用客户端不与格尔ＳＳＬ网关建立ＳＳＬ安全连接，就无法访问应用系统。

为了建立ＳＳＬ安全连接，应用客户端用户一般只要安装Ｉｎｔｅｒｎｅｔ　Ｅｘｐｌｏｒｅｒ（５．０以上版本）或者安装格尔ＳＳＬ客户端代理软件（在Ｃ／Ｓ的网络架构中或者在客户端使用硬件证书设备时使用）。

通过格尔ＳＳＬ网关为服务器端和用户客户端建立格尔ＳＳＬ　１２８位加密安全连接，实现客户端和服务器之间数据传输安全和客户身份的有效认证。

格尔ＳＳＬ网关常应用于Ｂ／Ｓ的网络架构，实现浏览器与ＷＥＢ服务器之间的安全传输和身份认证。

　格尔ＳＳＬ网关的的网络应用逻辑结构图如下：　上海格尔软件股份有限公司　６非安全网络环境浏览器　图表　１　格尔ＳＳＬ网关的的网络应用逻辑结构图　注：一般用户采用ＩＥ５．０以上的浏览器就可与格尔ＳＳＬ网关建立ＳＳＬ安全连接。

在用户客户端增加格尔ＳＳＬ客户端代理，主要方便个人证书存放在硬件设备（如ＩＣ卡、Ｉｋｅｙ等）的用户使用ＳＳＬ。

同时使用格尔ＳＳＬ客户端代理的ＣＡＣＨＥ功能，提高访问的速度。

对于Ｃ／Ｓ的网络应用，务必安装格尔ＳＳＬ客户端代理方可使用ＳＳＬ安全代理功能。

　上海格尔软件股份有限公司　７３　格尔ＳＳＬ安全认证网关系统结构　３．１　网络拓朴结构　ＩＥ浏览器日志审计服务器ＩｎｔｅｒｎｅｔＤＡＰ服务器访问控制服务器ＷＥＢ服务器１ＷＥＢ服务器２　图表　２　ＳＳＬ网络拓扑图　如上图所示，格尔ＳＳＬ网关，为用户提供ＳＳＬ安全代理服务；黑名单发布功能的ＬＤＡＰ服务器，为格尔ＳＳＬ网关提供黑名单信息，便于格尔ＳＳＬ网关确认用户证书是否已废除；ＷＥＢ服务器为要保护的站点。

通过以下机制来保证ＷＥＢ服务器、数据库的安全：　１．　外部用户只能通过格尔ＳＳＬ网关对ＷＥＢ服务器进行访问。

　２．　用户数据在ＩＥ浏览器和格尔ＳＳＬ网关之间以１２８位高强度密钥加密的安全通道中传输。

　上海格尔软件股份有限公司　８３．　格尔ＳＳＬ网关对访问用户进行身份认证（包含数字签名认证、证书链认证、黑名单认证、证书有效期认证）。

　４．　ＷＥＢ应用也可以获得用户数字证书信息，根据用户信息对用户进行更细微的身份认证。

身份认证审核通过后用户就可以正常访问ＷＥＢ服务器。

　５．　日志审计服务器可以方便的对用户的访问情况进行审计。

　６．　访问控制服务器可以根据格尔ＳＳＬ网关提供的用户信息、访问的ＵＲＬ提供有效的访问控制功能。

　３．２　格尔ＳＳＬ安全认证网关系统组成和结构　标准的格尔ＳＳＬ网关为格尔软件提供的专用网络硬件设备，根据性能和安全性需求，产品具有多个型号：　建议使用环境　ＳＳＬ－Ｅ－２０１０　双向认证，ＳＳＬ握手性能８０ＴＰＳ，最大并发连接数６００　一般百兆网环境　ＳＳＬ－Ｅ－２０２０　双向认证，ＳＳＬ握手性能１８０ＴＰＳ，最大并发连接数１０００　百兆网环境，并发用户多　ＳＳＬ－Ｇ－４０２０　双向认证，ＳＳＬ握手性能５００ＴＰＳ，最大并发连接数２０００　百兆网环境或千兆环境，并发用户多　ＳＳＬ－Ｇ－４０４０　双向认证，ＳＳＬ握手性能１６００ＴＰＳ，最大并发连接数４０００　千兆网环境，并发用户多　上海格尔软件股份有限公司　９格尔ＳＳＬ网关产品系统结构图如下：　图表　３　格尔ＳＳＬ网关系统结构　客户端ＳＳＬ接口：提供客户端的ＳＳＬ接入功能。