BS网络架构安全传输和访问控制的解决方案

B/S的网络应用系统安全传输和访问控制的安全解决方案（PKI产品系列应用解决方案之一）上海格尔软件股份有限公司2002年12月基于B/S架构的网络应用系统，就是用户客户端通过IE浏览器以HTTP的协议与服务器(webserver)进行通信的网络应用方式，这种应用通常采用用户名和口令的机制进行简单的身份认证，中间传输的数据均是明文数据。目前这种B/S架构的网络应用系统缺乏一定的安全性，在建立的PKI平台基础上，提供相关的PKI应用产品可以为这种网络应用系统提供解决方案。通用的说：可以通过数字认证技术来为应用系统提供解决方案。本文将详细描述具体的方案。图表1常见B/S应用系统数据传输逻辑图1Z览器X1 〈低强度加密连接SSL代理客户端S S1Z览器X1 〈低强度加密连接SSL代理客户端S S高强度加密连接 _>L高强度加密连接明文Web

服务器/

应用

服务器3系统解决的基本方案3.1安全传输的基本方案3.1.1传输安全的解决方法：应用系统的安全传输是通过SSL产品来解决，也就是下面描述SSL服务器代理和SSL客户端B/S代理产品。对于SSL客户端代理和SSL服务器代理产品完成基于SSL协议的安全传输，保障整个网络数据加密传输，同时对于应用系统基本透明。具体的逻辑架构如下图客户端服务端客户端图表2安全传输的解决逻辑图在ssl代理客户端和代理服务器之间，通过ssl协议实现高强度的加密连接，保障了数据的安全传输。3.1.2SSL产品与应用系统结合的方法：3

SSL代理客户端产品安装在用户的客户端，在使用时，启动即可，不用作任何配置。SSL代理服务器产品，以专门的服务器提供，和WEB服务器安装在同一网络安全区域，但需要管理员为保障安全传输的WEBSERVER增加适当网络配置。下图就是ssl的网络配置。务的端口，管理员根据实际情况进行填写。ip地址2和端口80指的是当前需要安全保护的webServer的地址和服务的端口，管理员根据实际情况进行填写。所以对于应用系统无需做任何改动，对于webServer最终在应用中得到的数据与原先http方式得到的数据一样，也就是说ssl产品对应用而言是完全透明的。3.1.3用户最终的使用方式未使用ssl代理产品之前，假设用户通过http://webserverIP：webserverport/application/的方式使用系统，安装和使用ssl代理产品之后，4用户需通过https://sslserverIP:sslserverport/application的方式访问和使用应用系统，也就是说，原先的webserver的IP修改成当前SSL服务器代理的IP,原先的webserver的port修改成当前SSL服务器代理服务的端口，同时http://修改成https://。注意http://webserver_IP/...方式访问的默认端口为80,而https://sslserver_IP/...方式访问的默认端口为443。3.2身份认证和访问控制的基本方案上面主要描述的是通过ssl保证了网络应用中数据传输的安全，但应用如何了解当前访问用户的确切身份，如何通过身份做进一步的访问控制呢，本节做详细描述。3.2.1解决方法:在前面所描述的ssl产品保障了安全传输的基础上，ssl服务器代理产品附带了用户身份提交和认证的功能，并且将用户身份信息提交给WEB应用，WEB应用在获取有效的用户身份之后，分析该用户的权限，进行有效的访问控制。按照ssl(SecureSocketLayer)基本协议，是可以要求客户端必须含有有效的个人数字证书方可访问sslserver的功能。为了实现身份认证和访问控制，sslserver产品中提供了这样的功能，所以用户通过https://sslserver_IP/...方式访问系统过程中，会弹出请用户选择含有个人证书的加密设备，选择完毕之后，用户需输入当前加密设备口令的对话框这样一个过程，如下图：同时，SSL服务器代理在对客户身份做有效的认证之后，必须将用户的身份以某种合适的方式提交给WEB应用，WEB应用根据用户身份信息方可做有效的访问控制，SSL服务器代理提供了这一功能，具体的方式是：按照正常情况，sslserver是在得到sslclient的数据之后，解密还原成http方式将客户端请求数据发送给webserver,为此sslserver在提交给web应用的客户端请求数据中间增加了用户身份的信息，这样web应用不光得到客户端的请求数据，同时也得到了用户的身份信息，进而web应用可做相应的访问控制。3.2.2SSL产品与应用系统结合的方法：用户身份信息是ssl服务器代理以cookie的形式附加到客户端的http协议的请求数据中的，cookie是http协议中的标准元素，不同的cookie名称代表不同用户的信息。譬如KOAL_CERT_E代表用户的email地址，KOAL_CERT_PHONE代表用户的电话号码等。所以ssl产品与B/S应用系统结合，需要WEB应用做适当的改造。具体可以参见下面的说明：保留原有的访问控制方式，增加一个安全登录按扭。(下图中假设原验证页面verify.jsp,而SSL登录页面为verifySSL.jsp)昔通登录用户名密码登录指向http://.../verify,jsp安全登录登录指向h图表淑安全登陆界面图L.jwp用户如需安全登录，则按安全登录按扭。安全登录按钮指向一个获取证书信7

息的页面（假设名为VerifySSL.jsp）。该页面通过获取SSLServer传递过来的Cookie内容来标识该用户身份。以下图示表明了一次成功的登录所走流程。图表3-4安全登陆流程由图所示，对于应用系统而言，使用SSL登录和普通的用户名口令登录方式实现的最大不同点就是一个需要对用户身份进行认证（用户/密码匹配），一个直接获取cookie中用户信息而不必再验证。如果应用没有从cookie中