格尔ＳＳＬ安全认证网关　产品白皮书　Ｖ２．０　上海格尔软件股份有限公司　２００４年１２月　上海格尔软件股份有限公司　１保密事宜：　本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

　接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息，接受方不向格尔公司承担保密责任：　１　） 接受方在接收该文档前，已经掌握的信息。

　２　） 可以通过与接受方无关的其它渠道公开获得的信息。

　３　） 可以从第三方，以无附加保密要求方式获得的信息。

　上海格尔软件股份有限公司　２目 录　１系统概述．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．１信息传输的安全需求．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．２一般ＳＳＬ连接存在的问题．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３２系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．１ＳＳＬ简介．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．２格尔ＳＳＬ安全代理系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５３格尔ＳＳＬ安全认证网关系统结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．１网络拓朴结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．２格尔ＳＳＬ安全认证网关系统组成和结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８４格尔ＳＳＬ安全认证网关功能．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１１５第三方产品兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．１第三方ＣＡ兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．２第三方设备厂商兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３６格尔ＳＳＬ安全认证网关产品特点．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３７运行环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８产品相关特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．１硬件特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．２物理特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．３电气特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６８．４工作环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６上海格尔软件股份有限公司　３１　系统概述　１．１　信息传输的安全需求　随着互联网络的发展，越来越多的网络应用系统从专用或内部网扩展到互联网上。

目前互联网的很多应用，如网上证券、网上银行、电子政务、电子商务等，这一切都必须有一种安全机制来保证信息传输的安全性、保密性、有效性和不可抵赖性。

　ＳＳＬ协议的推出为我们提供了这种安全机制。

标准的ＳＳＬ连接能在用户的浏览器和ＷＥＢ服务器之间建立一条１２８位的加密通道，来保证信息传输的安全。

格尔ＳＳＬ安全认证网关能够实现这种用户的需求，并且能够在性能、操作方便性、应用透明性方面有独到的特点；而且格尔ＳＳＬ安全认证网关能够与格尔ＳＳＬ客户端代理软件配合，满足客户端软件到应用服务器这种Ｃ／Ｓ网络架构的数据安全传输。

　１．２　一般ＳＳＬ连接存在的问题　l应用无法获得访问用户的数字证书信息：一般的ＳＳＬ连接只能提供对用户的证书的验证、对传输数据加密，但不能从数字证书中解析用户信息（用户名、身份证、用户单位等），因此应用不能根据证书信息对用户进行更细微的身份认证或进行二次开发。

　l对访问的用户、访问的时间、访问的客户端ＩＰ、访问的资源等没有一个有效的日志记录和审计功能。

　l一般的ＳＳＬ安全连接服务与应用本身的服务安装在同一台服务器上，因ＳＳＬ安全连接服务本身的加解密运算大量的占用了服务器ＣＰＵ资源，从而使得应用本身运算的ＣＰＵ资源缺乏而造成处理的效率极大降低。

　l单一的针对ＨＴＴＰ的保护：由于ＳＳＬ协议的局限性，一般的ＳＳＬ只能将ＨＴＴＰ改造成ＨＴＴＰＳ，而对其它的各种ＴＣＰ／ＩＰ协议无效，即只能应用于上海格尔软件股份有限公司　４Ｂ／Ｓ架构而无法应用于Ｃ／Ｓ架构的网络传输。

　格尔ＳＳＬ安全认证网关能够克服以上的这些问题，在各种网络应用中得到广泛应用。

　上海格尔软件股份有限公司　５２　系统原理　２．１　ＳＳＬ简介　　ＳＳＬ（Ｓｅｃｕｒｅ　Ｓｏｃｋｅｔｓ　Ｌａｙｅｒ，安全套接字层）是由Ｎｅｔｓｃａｐｅ公司开发的网络安全传输协议，是目前Ｉｎｔｅｒｎｅｔ上点到点之间尤其是ＷＥＢ浏览器与服务器之间进行安全数据通讯所采用的最主要的协议。

ＳＳＬ提供以下功能：　l信息保密：对信息使用基于单一密钥的对称性算法进行加密。

　l身份认证：对通信一方或双方的数字证书验证进行身份确认。

　l完整性校验：采用数字签名和摘要算法技术，保证传输数据的完整性和真实性。

　由于ＳＳＬ具有应用面广、实施成本低、安全高效、操作简单等优点，　它在电子政务、银行、证券、电子商务系统等领域得到广泛的应用，成为保护网络数据的重要协议。

　２．２　格尔ＳＳＬ安全代理系统原理　格尔ＳＳＬ安全认证网关（后面简称：格尔ＳＳＬ网关）是一台独立网关型服务器设备。

在应用中，格尔ＳＳＬ网关将应用服务器隔离在一个独立的网段，应用客户端不与格尔ＳＳＬ网关建立ＳＳＬ安全连接，就无法访问应用系统。

为了建立ＳＳＬ安全连接，应用客户端用户一般只要安装Ｉｎｔｅｒｎｅｔ　Ｅｘｐｌｏｒｅｒ（５．０以上版本）或者安装格尔ＳＳＬ客户端代理软件（在Ｃ／Ｓ的网络架构中或者在客户端使用硬件证书设备时使用）。

通过格尔ＳＳＬ网关为服务器端和用户客户端建立格尔ＳＳＬ　１２８位加密安全连接，实现客户端和服务器之间数据传输安全和客户身份的有效认证。

格尔ＳＳＬ网关常应用于Ｂ／Ｓ的网络架构，实现浏览器与ＷＥＢ服务器之间的安全传输和身份认证。

　格尔ＳＳＬ网关的的网络应用逻辑结构图如下：　上海格尔软件股份有限公司　６非安全网络环境浏览器　图表　１　格尔ＳＳＬ网关的的网络应用逻辑结构图　注：一般用户采用ＩＥ５．０以上的浏览器就可与格尔ＳＳＬ网关建立ＳＳＬ安全连接。

在用户客户端增加格尔ＳＳＬ客户端代理，主要方便个人证书存放在硬件设备（如ＩＣ卡、Ｉｋｅｙ等）的用户使用ＳＳＬ。

同时使用格尔ＳＳＬ客户端代理的ＣＡＣＨＥ功能，提高访问的速度。

对于Ｃ／Ｓ的网络应用，务必安装格尔ＳＳＬ客户端代理方可使用ＳＳＬ安全代理功能。

　上海格尔软件股份有限公司　７３　格尔ＳＳＬ安全认证网关系统结构　３．１　网络拓朴结构　ＩＥ浏览器日志审计服务器ＩｎｔｅｒｎｅｔＤＡＰ服务器访问控制服务器ＷＥＢ服务器１ＷＥＢ服务器２　图表　２　ＳＳＬ网络拓扑图　如上图所示，格尔ＳＳＬ网关，为用户提供ＳＳＬ安全代理服务；黑名单发布功能的ＬＤＡＰ服务器，为格尔ＳＳＬ网关提供黑名单信息，便于格尔ＳＳＬ网关确认用户证书是否已废除；ＷＥＢ服务器为要保护的站点。

通过以下机制来保证ＷＥＢ服务器、数据库的安全：　１．　外部用户只能通过格尔ＳＳＬ网关对ＷＥＢ服务器进行访问。

　２．　用户数据在ＩＥ浏览器和格尔ＳＳＬ网关之间以１２８位高强度密钥加密的安全通道中传输。

　上海格尔软件股份有限公司　８３．　格尔ＳＳＬ网关对访问用户进行身份认证（包含数字签名认证、证书链认证、黑名单认证、证书有效期认证）。

　４．　ＷＥＢ应用也可以获得用户数字证书信息，根据用户信息对用户进行更细微的身份认证。

身份认证审核通过后用户就可以正常访问ＷＥＢ服务器。

　５．　日志审计服务器可以方便的对用户的访问情况进行审计。

　６．　访问控制服务器可以根据格尔ＳＳＬ网关提供的用户信息、访问的ＵＲＬ提供有效的访问控制功能。

　３．２　格尔ＳＳＬ安全认证网关系统组成和结构　标准的格尔ＳＳＬ网关为格尔软件提供的专用网络硬件设备，根据性能和安全性需求，产品具有多个型号：　建议使用环境　ＳＳＬ－Ｅ－２０１０　双向认证，ＳＳＬ握手性能８０ＴＰＳ，最大并发连接数６００　一般百兆网环境　ＳＳＬ－Ｅ－２０２０　双向认证，ＳＳＬ握手性能１８０ＴＰＳ，最大并发连接数１０００　百兆网环境，并发用户多　ＳＳＬ－Ｇ－４０２０　双向认证，ＳＳＬ握手性能５００ＴＰＳ，最大并发连接数２０００　百兆网环境或千兆环境，并发用户多　ＳＳＬ－Ｇ－４０４０　双向认证，ＳＳＬ握手性能１６００ＴＰＳ，最大并发连接数４０００　千兆网环境，并发用户多　上海格尔软件股份有限公司　９格尔ＳＳＬ网关产品系统结构图如下：　图表　３　格尔ＳＳＬ网关系统结构　客户端ＳＳＬ接口：提供客户端的ＳＳＬ接入功能。