1、格尔产品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: http:/1格尔安全认证网关-(W 系列)产 品 白 皮 书上海格尔软件股份有限公司联系人:郑广良 13311889889格尔产品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: http:/2版权声明:本文件中出现的全部内容,除另有特别注明,版 权均属上海格尔软件股份有限公司(以下简称格尔
2、软件)所有,未经格尔软件书面许可,任何人不得以任何形式擅自拷贝、传播、复制、泄露本文件的全部或部分内容。格尔产品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: http:/3目 录1 应用安全解决方案的选择 .51.1 完整的安全信任体系 .51.2 正确合理应用安全体系 .62 产品概述 .73 产品特性 .83.1 高性能 .83.2 高可靠 .93.3 高安全 .93.4 PKI 数字 证书的全面支持 .93.5 对用户的一致性认证 .103.6 SSL 协议 中
3、双证书 的应用(专利技术之一) .103.7 安全资质 .103.8 其他特性 .104 产品主要功能 .115 产品部署 .145.1 串联部署 .145.2 并联部署 .155.3 双机热备部署 .165.4 应用负载部署 .185.5 自负载均衡部署 .196 产品参数- .217 选购指南-W 系列 .228 客户端运行环境 .239 附录(主要案例) .2310 附录公司介绍 .25 公司概述 .25格尔产品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: ht
4、tp:/4 技术与产品 .26 服务支持 .26 质量管理 .27格尔产品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: http:/51 应用安全解决方案的选择随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企 业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何安全方便的访问这些网络资源以及网络数据的安全流转是应用安全面临的重要问题。 针对网络应用的安全解决方案越来越多,选择可靠有效
5、的应用安全解决方案应该从以下考虑:1.1 完整的安全信任体系信任是安全的基础,在缺乏信任的环境下, 实现信息系统的安全是不可想象的,因此解决网络应用安全的一个核心问题是解决信任问题,信任主要体现在以下几方面: 强身份认证。建立信任首先要确认参与者的身份,即身份认证。 身份认证是安全保障的第一道门槛,也是后续安全措施的依据和基础,如果第一道门槛被攻破,系统“认错人”,则后续的无论多么严密的安全措施基本实效,因此,身份认证机制强度的高低很大程度决定了安全系统的安全级别高低,对于一个直接面对互联网,如果身份认证机制的强度不够,根本无法起到屏障作用,无异于将网资源直接开放。因此,身份 认证机制不在于多
6、少,而在于够不够强。基于 PKI 数字证书的 认证是目前被广泛接受的强身份认证机制之一。 数据秘密性和完整性。一方面,认证机制越强,效率越低。在网络应用中并不是每次交互都进行认证,而是根据第一次认证后的凭证来辨认用户,因此在真正用户在线认证通过后,窃取用户的认证凭证,冒充用户访问是一种有效的攻击手段。因此身份认证过程以及后续传输通讯都需全程保密。另一方面,网络应用中的重要信息被其他人特别是竞争对手得到造成的损失极大,因此要求信息传输时对信息进行高强度加密,保证传格尔产品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax
7、: (86-021) 62327015URL: http:/6输安全性。总之,信息在网络上明文传输,被人轻易 获取,无异于自己打开门把东西拿给别人,系统有再强的其他安全机制有何用呢?全程加密是对数据秘密性及完整性保障的优选方案之一。 不可抵赖性。不可抵赖是信任的一个关键因素也是一个关键约束,是对结果的认可和保障,如果可以事后赖账,无法追究责任,那么先前所作的一切都是前功尽弃。现实生活中已经形成一套不可抵赖性的方式方法,而在网络世界中,数字签名技术是公认的不可抵赖性实现的最优方案,电子签名法的颁布和实施也提供了相应的法律依据。身份认证可靠性 秘密性和完整性 不可抵赖性用户名/口令 低 无 低生物
8、特征识别(如指纹,虹膜等)中高(取决于现有技术水平)无 中高(取决于现有技术水平)动态口令 高 无 中PKI 数字证书 高 高 高1.2 正确合理应用安全体系PKI 数字证书 作为安全基础设施,其建 设成功的标志并不是数字证书的颁发,而是数字证书在上层应用的广泛使用及对上层应用安全的全方位提升。正确合理的使用安全设施=加强安全;错误的使用安全 设施= 降低安全。判断数字证书使用的好不好,可以从以下几个方面考虑: PKI 数字 证书使用是否充分PKI 数字证书 最大特点不是提供某项安全措施,而是提供全方位的安全支撑,因此才被称为安全基础设施,可以归纳为身份认证、数据保密性和完整性、不可抵赖性几大
9、类功能,仅仅使用某项功能对于 PKI 数字 证书来说有点大材小用,也无法实现最好的安全效果。格尔产品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: http:/7 PKI 数字 证书使用是否合理安全建设是一个整体工程,独立的一个安全功能再完善也不可能提升系统的整体安全,因此对 PKI 数字 证书的使用也是要合理的 对安全功能进行配合使用,实现对系统的整体提升,比如身份认证再强,如果没有数据保密性和完整性的全程保护,那么使后续交互的数据被窃取以及身份的冒充成为可能,身份认
10、证成为摆设,同 样,如果后续结果可以抵赖,那么前期所有的安全防护都前功尽弃。 PKI 数字 证书使用是否正确安全机制的正确使用和实施才能起到预期的安全效果,错误的使用可能会导致更大的安全漏洞。以证书认证为例,多数用 户甚至 许多厂商都认为证书认证是指获取用户证书,这是非常 错误的,使用一个公开 发 布的,任何人都可以 获取到的用户证书进行认证,无疑于没有认证,真正的 证书认证应该是验证用户私钥。同样,证书认证时,是否对签名、有效期、信任链、黑名单或者证书状态进行完整的体系验证等等。 PKI 数字 证书使用是否方便PKI 数字证书 作为安全基础设施,是面向上 层应用服务的,而当前 应用系统千差万
11、别,包括应用类型、开发语言、使用 协议、操作平台等,因此 PKI 数字证书应该简单、易用,在应用少量改动甚至不改动的情况下享受到 PKI 数字证书带来的安全提升。2 产品概述格尔安全认证网关(SAG)集基于数字 证书强身份认证、数据保密性、数据完整性及不可抵赖性功能于一身的 PKI 安全产品,可以为上层应用提供身份认证服务、数据链路加密服务及数字签名验证等全方位的安全服务。格尔安全认证网关 W 系列(以下 简称格尔网关)是 专为大型互联网应用设计的一款高性能安全产品,基于 SSL 协议为应用提供基于数字证书的高强度身份认证服务、高强度数据链路加密服务,可以有效保 护 网络资源的安全访问。格尔产
12、品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: http:/8图表 1 产品外观(以上产品外观图仅做参考,具体外观及接口以实物为准)3 产品特性3.1 高性能 高效率:格尔网关高端产品采用硬件加速,最高支持 2.5 万次/ 秒的 SSL新建连接(8 核 Xeon CPU 仅达到 2000 次/秒),可以彻底将应用服务器的 CPU 资源从繁重的加解密中解放出来,起到了对应用加速的作用。 高并发:格尔网关采用先进的并发模型,最高支持 50 万以上的 SSL 并发连接。 高
13、吞吐:网关通过对网口聚合功能,实现多个网口同时工作,最高加密吞吐量可达 2Gbps。 应用缓存:支持对应用内容的缓存,可以灵活配置缓存内容和类型,加快用户响应速度,减小应用压力。 压缩技术:支持 HTTP 压缩技术,减少 带宽占用。格尔产品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: http:/93.2 高可靠 服务热备:网关支持双机热备,实现服务连续性和无缝切换,切换时间2 秒。 服务集群:多台格尔网关可以进行集群自负载,实现架构动态扩展,在可靠性增强的同时也提高
14、了系统的性能和容量。 应用负载:网关服务可以针对后台多个应用进行负载。 链路冗余:网关网卡间可以实现冗余,支持双链路部署。 自恢复机制:在系统发生异常失去响应情况下可以自行硬件重启动,恢复服务。 完善的监控、报警机制:对系统的关键资源和指标进行图形化监控,对于异常情况可以进行报警,有利于提前发现并解决问题。3.3 高安全 支持管理员三权分立功能。 支持扩展国密非对称算法 SM1。 支持扩展国密对称算法 SM1。 支持扩展国密杂凑算法 SM3。.3.4 PKI 数字证书的全面支持基于对 PKI 的深刻理解,格尔网关具备了对 PKI 的全面支持,包括以下几个方面: 证书单双向的认证选择:格尔网关可
15、以配置建立加密连接时是否认证用户证书。 多服务,多站点证书支持:格尔网关可以建立多个服务,保护不同的应用,每个服务可以使用不同的站点证书。 多条证书链支持:格尔网关支持多条证书链同时存在、同时生效,即同一个 SSL 服务可以同 时认证 多家 CA 中心的证书用户 。格尔产品白皮书 上海格尔软件股份有限公司上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: http:/10 动态黑名单支持:格尔网关可以自动获取黑名单(支持 LDAP、HTTP、手工上传等多种方式更新),不需要重新启动服务。3.5 对用户的一
16、致性认证通常的网关产品只是建立了一个加密连接,与应用完全无关,用户通过认证建立加密连接后必须经过再次认证(如用户名+口令、 动态令牌等)登录应用系统,这种两次登录不仅没有加强安全性,而且在给用户带来不便的同时也带来安全隐患,由于加密连接和应用 对用户认证的不一致,用户可以使用自己的证书建立连接,使用别人的用户名登 录, 这种方式给应用的流程和日后审计、取 证带来了混乱。格尔网关可以将用户证书中的任意信息以 cookie/URL/HTTP Header 等多种方式向后台服务器传送,应 用系统无需额外接口就可以方便获取证书用户信息,即保证了用户的一次登录,又保证了应用对用户认证的一致性,安全性得到
17、进一步保障。同时,使用网关保护的多个应用系统也实现 了对用户的单点登录功能,即用户使用一张证书登录所有应用系统。3.6 SSL 协议中双证书的应用(专利技术之一)双证书机制是当前我国 PKI 体系建设的主流模式。使用签名证书进行身份认证,使用加密证书进行密钥 的交换和保护,既使 PKI 技术在应用中发挥其基于非对称密钥所带来的优势,又 满足了国家对 PKI 应用 进行审计监管的需要,是国家密码管理机构对 PKI 证书应 用的基本要求。格尔网关创新的提出了双证书在 SSL 协议中的应用,并成功在产品中实现,符合国家密码管理机构对密码产品的要求。3.7 安全资质格尔安全认证网关通过了国家保密局、国家密码管理局的严格鉴定,取得了相关安全资质,符合国家对 于密码产品的使用规定。
