《USB-Key应用于网络办公的安全解决方案 .doc》由会员分享,可在线阅读,更多相关《USB-Key应用于网络办公的安全解决方案 .doc(7页珍藏版)》请在三一文库上搜索。
1、USB-Key应用于网络办公的安全解决方案 目录目录21安全需求分析31.1现状分析:31.2安全需求:32安全解决方案42.1方案技术路线42.2方案设计目标:42.3方案实现功能:52.3.1身份认证52.3.2权限控制52.3.3安全传输52.3.4异地/移动办公安全性52.3.5扩展内部网络52.3.6便于和客户、合作伙伴安全交互62.4方案的特点:62.4.1安全性62.4.2适用性62.4.3经济性6随着互连网的迅猛发展,在各种上网工程的推动下,许多公司、企事业单位和政府机关纷纷筹建各自的办公网络系统。各单位通过自建的办公网络系统,利用互连网的开放性,加快了与外界的沟通、增强了内部
2、管理,也提高了工作效率,但同时互联网上存在的各种安全隐患使得完善的办公网络安全解决方案成为网上办公应用的必须保障。1 安全需求分析 1.1 现状分析: 对于办公网络的安全问题,目前很多单位的解决方式是采用防火墙等设备为网络构筑一个安全屏障,采用用户名口令方式实现身份验证,通过各种设备自身的权限控制功能实现权限控制,内部网络之间的信息传输都是明文对于网上办公应用的延伸,如异地分支机构网上办公、移动办公以及客户合作伙伴的交互问题等。通过Internet异地分支机构、外出员工或合作伙伴使用计算机、Modem和服务器相连接,实现对内部办公网的访问,对于身份认证和权限控制与内网方式相同,内外网间的信息通
3、信也多是明文。上述方式虽然能在很大程度上解决异地、移动办公和交互问题及常见的安全问题,但是仍然存在很多的安全隐患: 用户名口令的身份验证方式容被破解: 用户为了便于记忆,管理员为了便于管理,用户名明文保存,使得用户名很容易被获得或猜测。 用户为了便于记忆,密码也易被猜测、易泄露。设备自身的权限控制功能不精确 防火墙的权限控制无法精确到个人用户,仅仅针对机器。各种信息在内网和外网上的明文传输使得信息很容易被窃听、篡改和伪造 1.2 安全需求: 网上办公系统的安全需求可以划分为以下几个方面: 实现可以防假冒和抵赖的身份认证功能。 根据用户身份实现精确的用户权限控制功能。 网络信息加密传输保证信息安
4、全性。 通过身份认证、权限控制和加密传输安全实现异地、移动办公以及交互问题的解决。2 安全解决方案 2.1 方案技术路线 针对办公网络系统的身份认证、权限控制、加密传输和异地办公的安全问题,我们提供一套基于PKI体系的解决办公网络安全问题的产品。PKI(Public Key Infrastructure 的缩写)即公开密钥体系,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,是一个利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。PKI技术的主要目的是管理在开放网络环境中
5、使用的公开密钥和数字证书,其中最主要的安全技术包括两个方面:公钥加密技术、数字签名技术。公钥加密技术可以提供信息的保密性和访问控制的有效手段,它保证了利用公钥加密后的数据,如果没有提供相应的私钥来解密的话,窃密者即使获得密文也难以知晓其中的内容而数字签名技术则提供了在网络通信之前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段、以及在通信结束之后防止双方相互抵赖的有效机制。2.2 方案设计目标: 建立企业CA认证中心,提供在线证书申请服务,通过证书实现身份识别 。 使用USB-Key物理载体存放数字证书,以保证证书的安全可靠,同时方便使用。 利用USB-Key提供128位的SSL加密通
6、道,RSA密钥是1024bit。 利用USB-Key作为电子身份令牌,实现分组织、分部门的证书存取管理控制,提供精确的访问控制权限。 通过严格的身份认证、精确的权限控制和高强度的信息加密传输实现异地办公问题的低成本高适用性的解决。2.3 方案实现功能: 2.3.1 身份认证 用户在进行任何操作以前需要插入USB-Key提交数字证书实现身份的确认,用户证书很难伪造,同时用户的私钥存放在USB智能卡USB-Key内,所以无法复制使用USB智能卡USB-Key,利用 CA服务器签发的数字证书可以实现身份认证、数据加密以及数字签名的多种功能,从而实现防假冒、防抵赖和不可否认性。2.3.2 权限控制 通
7、过服务器的身份认证以后,根据服务器上设置的安全策略确定用户所拥有的访问控制权限。用户的浏览器会自动下载运行一个Applet小程序,可使用的安全通道会显示在浏览器上,对于合法的访问将建立从客户到服务器之间的安全连接通道,对于非法访问请求将被拒绝。2.3.3 安全传输 在用户客户端与服务器之间建立起的是一个安全的SSL通道,所有数据经过不低于128位的对称密钥加密,保护敏感信息的安全传输。2.3.4 异地/移动办公安全性 分支机构或外出员工只需要将USB-Key插入计算机的USB接口上,通过使用存储在USB-Key中的数字证书实现VPN,远程客户端通过服务器的身份验证以后可以和服务器之间建立一个安
8、全的加密通道,保证异地办公的安全性。2.3.5 扩展内部网络 通过数字证书和安全访问控制服务器的结合使用,安全的将公司内部网络扩展到Internet网上。2.3.6 便于和客户、合作伙伴安全交互 为不同身份的用户签发不同的用户证书,并根据实际需求设立不同的访问控制权限,从而很方便的实现和不同客户、合作伙伴之间的安全交互。2.4 方案的特点: 2.4.1 安全性 关闭防火墙上开的不安全通道,办公系统所有的访问全部通过防火墙,机构的安全可以置于统一的监督、控制和管理之下。严谨的数字证书身份认证系统,如果没有机构签发的合法证书,网络连接不能建立。进入系统后,将处于系统的严格的网络资源控制策略控制中,
9、用户不能越权访问未被授权的资源。机构可以按照自己的需求建立机构的安全控制体系。传输时建立SSL安全通道,所有来往的信息全被高强度加密算法加密,防止网络窃听导致内部信息失密 2.4.2 适用性 能根据机构的具体要求进行访问控制,访问控制可以精确到用户、服务器、应用和以小时计的时间段,控制粒度很细,控制手段方便、灵活。可以方便的根据应用进行应用的扩展,为不同的应用设置相应权限。使用方便,所有会使用浏览器的用户都会使用该系统。 2.4.3 经济性 无须支付过多的额外费用,包括电话线路、中继线、拨号服务器和长途电话等费用。时间效益好,不需要改变现有的网络环境和应用系统,保护以前的网络投资。可以方便地根据实际需求进行用户数量的扩展,扩展时无须添置任何硬件设备。 第 7 页 共 7 页