鹰眼安全网关白皮书

鹰眼安全网关鹰眼安全网关技术白皮书目录TOC\o"1-3"\h\z1 前言 32 基于web的应用的安全需求分析 33 SSL安全通信 44 鹰眼安全网关解决的安全问题 55 适用范围 56 产品特点及优势 66.1 安全性： 66.2 对设备的管理 66.3 性能 66.4 可扩展性 66.5 易用性 76.6 部署 76.7 应用性 77 产品典型接入模式 77.1 隔离模式。 77.2 共享模式。 88 网关设备使用流程 98.1 安装设备。 98.2 连接管理控制台。 98.3 配置后台Web服务器 99 产品配置 109.1 配置及功能 109.2 能够代理的服务器类型： 1010 主要技术指标 1110.1 支持国际通用标准 1110.2 系统运行环境 1111 典型案例 1112 鹰眼安全网关的安全性的评估 1113 鹰眼安全网关用户管理中心技术白皮书 1213.1 前言 1213.2 公开密钥基础设施（PKI） 1313.3 鹰眼安全网关用户管理中心 1413.3.1 产品简介 1413.3.2 产品组成和结构 1413.3.3 产品技术特点 1513.3.4 产品功能描述 1613.4 系统性能指标 2113.5 应用案例 21

容易被猜测、可以被共享、口令以明文的方式经过网络传输，容易被截获。身份认证是首要的安全措施，其它的安全措施都是在经过认证的用户的真实身份的基础上实施的。数据保密：为了防止未经授权的用户截取网络上的数据，需要一种手段来对数据进行保密。数据加密就是用来实现这一目标的。数据完整性：需要一种方法来确认送到网络上的数据在传输过程中没有被篡改。数据加密和校验被用来实现这一目标。审计记录：所有信息访问活动应该有记录，这种记录要针对用户来进行，可以实现统计、跟踪等功能。SSL安全通信SSL协议是由Netscape公司首先提出的一种安全协议，SSL采用TCP作为传输协议，从而为数据的传送和接收提供了可靠性；它工作在Socket层上，因此独立于更高层的应用，可为更高层的协议，如TELNET、FTP和HTTP等提供安全服务。SSL利用公钥和单钥密码体制，为服务器和客户机之间的通信提供保密性、数据完整性和可认证性等安全服务。SSL安全通信流程如下：ClientServerClientHello>ServerHelloCertificate*ServerKeyExchange*CertificateRequest*<ServerHelloDoneCertificate*ClientKeyExchangeCertificateVerify*[ChangeCipherSpec]Finished>[ChangeCipherSpec]<FinishedApplicationData<>ApplicationDataSSL协议使用公钥密码体制实现客户端和服务器之间的双向身份认证和数据加密密钥的协商，使用单钥密码体制和哈希密码实现通信数据的加密和完整性保护。鹰眼安全网关解决的安全问题Web远程用户使用USBKey（数字证书凭证）硬件介质的双因子（凭证及口令）安全身份认证。Web远程用户到代理设备的通信进行SSL全程加密。对访问企业/政府/军事部门内部所有web应用程序及资源的远程用户进行集中认证/授权管理。对访问敏感资源的用户行为的审计。屏蔽对web应用服务器的攻击。适用范围企业或政府/军事部门的内部网/外部网：确保核心资源的安全管理和访问。企业对客户（B2C）和企业对企业（B2B）的基于Web的应用系统：确保客户数据、企业间共享数据等远程安全访问。产品特点及优势安全性：消除了企业或政府/军事部门内部局域网和外部用户之间的网络通信的安全因素。USBKey（数字证书凭证）硬件介质进行双因子（凭证及口令）安全身份认证。所有的Web服务器都可以实现SSL安全通信。通过审计跟踪用户对敏感信息的访问。通过上传服务器证书及连接证书吊销列表保证数字证书凭证的有效性。通过在鹰眼安全网关上关闭除443和80以外的所有端口，阻止对web应用服务器的远程攻击。对设备的管理基于Web的管理。管理员管理网关设备时需出示数字证书凭证。性能高端系列具有SSL加速性能，每秒钟能同时建立200个以上HTTPS连接。目前网络支持10M/100M。高端系列将支持1000M。可扩展性可选择安装防火墙功能模块。即本设备可进行端口转发。易用性只需在防火墙开通80及443端口。客户端可直接安装使用，不需额外的配置。简单的配置SSL。不会和已经存在的体系结构发生冲突。部署可根据不同的网络环境进行多种接入。通过单个Internet地址访问多个服务器。应用性将来可扩展对SMTP、POP3、IMAP等的代理。将来可扩展应用程序WEB化：在不改变原有的C/S模式下，加入本产品，能自动将其转化成B/S模式。产品典型接入模式隔离模式。如图1。图1共享模式。如图2。图2网关设备使用流程安装设备。按具体网络环境进行网络接线。连接管理控制台。需要：一个有网卡的PC机。PC机需要安装IE5.5及以上版本的浏览器。有八根线的带有RJ45连接头的交叉电缆。利用该线把代理设备与管理控制台PC机连接起来。把交叉电缆的一端连接到管理控制台的网卡接口上，另一端接到代理设备的LAN端口。修改管理控制台PC机的IP地址为。子网掩码为。通过管理界面修改代理设备的WAN的IP地址、子网掩码、默认网关。修改LAN的IP地址以适应局域网。修改了LAN的IP地址后，管理控制台PC机可接入到LAN所在的网络，且其IP地址也要修改成对应的网段。配置后台Web服务器管理控制台通过新的代理设备LAN的IP地址进入管理界面配置后台需代理的Web服务器。代理设备以三种模式代理后台的Web服务器：普通Web服务器。即代理设备与外部客户端的连接是名问方式，缺省是80端口。有用户认证、传输加密但无访问控制的Web服务器。缺省是443端口。有用户认证、传输加密有访问控制功能作为一个将来的扩展功能。产品配置配置及功能有客户程序。在实际使用中如果不需要专用加密设备及USBKey硬件身份设备，则可以不需要客户程序。代理设备具有以下功能：对代理设备主机网关、对内、对外IP地址的修改。服务停止、启动。系统关闭。添加、删除、修改后台被代理的服务器。代理设备的证书、私钥的上传。私钥保护口令的更改。自动或手动加载证书吊销列表。用户访问及管理员管理操作的审计。本设备只针对HTTP/HTTPS端口的简单防火墙设置管理。能够代理的服务器类型：普通Web服务器。即代理设备与外部客户端的连接是名问方式，缺省是80端口。有用户认证、传输加密但无基于角色的访问控制的Web服务器。缺省是443端口。主要技术指标

支持国际通用标准本系统遵循X.509、PKCS、PKIx、SSL/TLS和HTTP/1.1等标准，可以接收任何基于上述标准的数字证书和数字签名。它支持的RSA签名算法密钥长度可达2048位以上。系统运行环境配合使用的鹰眼安全网关客户程序支持Win2000/XP。典型案例某单位因其工作性质，其办公信息系统的用户既有国内内部用户（在一个大院内），又有国内外地用户（分布在国内其它城市的分部），还有国外的分部用户。其需求是：保证国外分社用户访问办公信息系统时，信息加密传输，强制性使用https协议；国内分社用户、本部用户明文访问办公信息系统，使用http协议。这样，鹰眼安全网关保护的重点是国外的用户：1）必须认证国内服务器，同时使用数字证书（存储在USBKey上）向经过认证的服务器证明自己的身份。2）数据传输必须是加密的。3）对用户的操作进行审计。同时鹰眼安全网关还有以下功能：拦截所有到来请求，只处理HTTP请求，对指定的网址强制进行HTTPS转发，对后台其它应用进行端口转发。这样，既能满足当前的安全需求，也能在将来进行安全扩充。鹰眼安全网关的安全性的评估鹰眼安全网关提供了一个安全性很强的基于严格认证的用户身份进行授权，而不是简单的基于IP地址。同时具有以下特点：鹰眼安全网关十分适合于当前Intranet/Extranet发展的主流技术，即基于Web的应用。鹰眼安全网关是专用的中间设备，很容易与各种应用服务器整合。鹰眼安全网关支持基于对称密钥和公开密钥加密机制。鹰眼安全网关管理控制台对地域分布很广的众多Web安全配置、管理十分方便。鹰眼安全网关安全性采用集中式控制，同时可进行远程管理。因而，鹰眼安全网关为用户提供了易于使用、方便访问、安全的网络环境及较为完善的安全Internet/Intranet解决方案。鹰眼安全网关用户管理中心技术白皮书前言随着计算机网络技术的不断发展，许多传统的工作模式逐渐实现了电子化，利用先进的网络技术不仅可以跨越时间和空间的障碍，还可以带来提高效率、节约开支等优势。电子商务和电子政务已逐渐成为现代网络技术应用的热点。电子商务通过大幅度降低交易成本，增加贸易机会，简化贸易流程，提高贸易效率，推动着企业和国民经济结构的改革。电子商务是一个新兴市场，而且是一种替代传统商务活动的新形式。由于电子政务具有提高行政效率，节约财政开支，增强政府透明度，拉动信息化投资与消费需求，促进对外开放，促进政府和百姓实时沟通等优点，因此，电子政务得到了各国政府的响应。在Internet上实现电子商务交易过程和电子政务办公过程，最核心和最关键的问题是保证交易和办公的安全性。所有依赖于计算机和网络技术的应用，就不可避免地存在着由Internet的自由、开放所带来的信息安全隐患。这些信息安全隐患主要有：身份认证

由于非法用户可以伪造、假冒政府网站、社会团体、企业和个人身份，因此登录到网上政务站点的政府内部人员、社会团体、企业、个人无法知道他们所登录的网站是否是可信的政府网站，政府网站也无法验证登录到网站上的客户是否是经过政府部门认证的合法用户，非法用户可以借机进行破坏。"用户名＋口令"的传统认证方式安全性较弱，用户口令易被窃取而导致损失。信息的机密性

传输在各政府部门间、政府与企业间、外出的领导与办公室之间的敏感、机密信息和数据有可能在传输过程中被非法用户截取。信息的完整性

敏感、机密信息和数据在传输过程中有可能被恶意篡改。信息的不可抵赖性

网上行为一旦被否认，政府部门、机构或个人没有已签名的记录来作为仲裁的依据。如何建立一个安全、便捷的电子商务和电子政务应用环境，对信息提供足够的保护，已经成为当前制约电子商务和电子政务发展的主要问题。公开密钥基础设施（PKI）为解决Internet的安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKI技术(PublicKeyInfrastructure——公钥基础设施)。PKI（公钥基础设施）技术采用证书管理公钥，通过第三方的可信任机构——认证中心CA(CertificateAuthority)，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。身份认证Internet上的身份认证主要通过数字证书及其应用完成：什么是数字证书？数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。证书格式及证书现有持证人甲向持证人乙传送数字信息，为了保证信息传送的真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，其传送过程如下：（1）甲准备好要传送的数字信息（明文）（2）甲对数字信息进行哈希（hash）运算，得到一个信息摘要。（3）甲用自己的私钥（SK）对信息摘要进行加密得到甲的数字签名，并将其附在数字信息上。（4）甲随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。（5）甲用乙的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给乙。（6）乙收到甲传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES密钥进行解密，得到DES密钥。（7）乙然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）。（8）乙用甲的公钥（PK）对甲的数字签名进行解密，得到信息摘要。（9）乙用相同的hash算法对收到的明文再进行一次hash运算，得到一个新的信息摘要。（10）乙将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。鹰眼安全网关用户管理中心产品简介成都三零盛安信息系统有限公司自主研发的鹰眼安全网关用户管理中心是一套基于PKI技术实现的，用于在网络中建立安全基础设施的软件系统。可以为网络中各类用户和服务器发放不同类型的数字证书，提供集中的用户管理，为应用系统实现身份认证、数字签名等安全应用提供统一的编程接口。产品组成和结构鹰眼安全网关用户管理中心由三部分组成：证书生成中心证书存储数据库证书发布数据库三部分结构关系如下图所示。证书生成中心（CA）：系统的核心部分。负责签发和管理用户、服务器各类证书及证书吊销列表CRL，把签发的所有证书及CRL发布到证书存储数据库和证书发布数据库。证书存储数据库：保存证书生成中心签发的所有证书及CRL，为证书生成中心提供查询、下载等证书管理。证书发布数据库：保存证书生成中心签发的所有证书及CRL，使用LDAP协议为网络中其它所有应用系统提供证书的查询、下载服务。产品技术特点自身安全性鹰眼安全网关用户管理中心在设计和开发时充分考虑了自身系统的安全，结构化的设计可以使证书签发和证书存储相互独立；证书生成中心和证书存储数据库之间的数据传输使用了加密保护，确保数据在传输过程中的安全；除了进行签发证书时，其它时间里证书发布数据库和证书生成中心是物理断开的。实现标准化鹰眼安全网关用户管理中心完全基于PKI技术实现，支持和遵循以下PKI标准：X509V3标准PKCS#1RSA加密标准PKCS#6可扩展证书语法标准PKCS#7消息封装标准PKCS#8私钥信息语法标准PKCS#10证书请求语法标准PKCS#12证书封装格式LDAP标准多种密码算法鹰眼安全网关用户管理中心支持多种对称和非对称密码算法，用于产生非对称密钥对的密码算法有RSA和DSA；用于数据加密的密码算法有DES、3DES和IDEA。多种证书格式鹰眼安全网关用户管理中心可以为服务器和用户签发多种编码格式和封装格式的数字证书，支持的编码格式有PEM格式和DER格式，支持的封装格式有CRT和P12等。多种证书存储介质由证书生成中心签发的用户证书可以写入多种存储介质中，支持的存储介质有本地硬盘、USB-key和IC卡。可扩展性支持使用第三方密码算法和密码设备（如密钥生成设备）。易用性基于windows平台的纯图形化操作界面，使系统的管理和使用简单易用。丰富的编程开发接口应用程序使用开发接口可以使用系统中的用户信息和证书信息。产品功能描述鹰眼安全网关用户管理中心提供的主要功能如下：1．证书签发证书签发功能包括创建根CA证书、签署证书、申请证书、发布证书和发布吊销列表。创建根CA证书使用证书生成功能创建一个自签名的根证书，作为鹰眼安全网关用户管理中心的信任权威。签署证书接收证书签署请求，用根CA私钥对证书签署请求中的公钥信息做签名，并生成证书。申请证书由鹰眼安全网关用户管理中心生成密钥对，用根CA对公钥签名，生成新的证书。发布证书把证书发布到证书存储数据库和证书发布数据库。发布吊销列表把新的证书吊销列表发布到证书存储数据库和证书发布数据库。证书签发操作创建根CA证书签署证书申请证书2．证书管理证书管理功能包括：证书查询、证书吊销、证书恢复和证书验证。证书查询支持多种条件查询和模糊查询，可以从证书存储