bs网络架构安全传输和访问控制的解决方案.docVIP

B/S的网络应用系统 安全传输和访问控制的安全解决方案 （PKI产品系列应用解决方案之一） 上海格尔软件股份有限公司 2002年12月 产品方案概述 基于B/S架构的网络应用系统，就是用户客户端通过IE浏览器以HTTP的协议与服务器(web server)进行通信的网络应用方式，这种应用通常采用用户名和口令的机制进行简单的身份认证，中间传输的数据均是明文数据。 目前这种B/S架构的网络应用系统缺乏一定的安全性，在建立的PKI平台基础上，提供相关的PKI应用产品可以为这种网络应用系统提供解决方案。 通用的说：可以通过数字认证技术来为应用系统提供解决方案。 本文将详细描述具体的方案。 B/S架构网络应用系统目前结构和现状 图表 1常见B/S应用系统数据传输逻辑图 系统解决的基本方案 安全传输的基本方案 传输安全的解决方法： 应用系统的安全传输是通过SSL 产品来解决，也就是下面描述SSL服务器代理和SSL客户端B/S代理产品。 对于SSL客户端代理和SSL服务器代理产品完成基于SSL协议的安全传输，保障整个网络数据加密传输，同时对于应用系统基本透明。具体的逻辑架构如下图 图表 2安全传输的解决逻辑图 在ssl 代理客户端和代理服务器之间，通过ssl协议实现高强度的加密连接，保障了数据的安全传输。 SSL产品与应用系统结合的方法： SSL 代理客户端产品安装在用户的客户端，在使用时，启动即可，不用作任何配置。 SSL代理服务器产品，以专门的服务器提供，和WEB服务器安装在同一网络安全区域，但需要管理员为保障安全传输的WEB SERVER增加适当网络配置。下图就是ssl 的网络配置。 ip地址1和端口443指的是ssl服务器代理当前的地址和服务的端口，管理员根据实际情况进行填写。 ip地址2和端口80指的是当前需要安全保护的webServer的地址和服务的端口，管理员根据实际情况进行填写。 所以对于应用系统无需做任何改动，对于webServer最终在应用中得到的数据与原先http方式得到的数据一样，也就是说ssl产品对应用而言是完全透明的。 用户最终的使用方式 未使用ssl 代理产品之前，假设用户通过http://webserver_IP：webserver_port/application/ 的方式使用系统，安装和使用ssl代理产品之后，用户需通过https://sslserver_IP:sslserver_port/application 的方式访问和使用应用系统，也就是说，原先的webserver的IP修改成当前SSL服务器代理的IP,原先的webserver的port修改成当前SSL服务器代理服务的端口,同时http://修改成https://。注意http://webserver_IP/...方式访问的默认端口为80，而https://sslserver_IP/...方式访问的默认端口为443 。 身份认证和访问控制的基本方案 上面主要描述的是通过ssl保证了网络应用中数据传输的安全，但应用如何了解当前访问用户的确切身份，如何通过身份做进一步的访问控制呢，本节做详细描述。 解决方法： 在前面所描述的ssl产品保障了安全传输的基础上，ssl 服务器代理产品附带了用户身份提交和认证的功能，并且将用户身份信息提交给WEB 应用，WEB应用在获取有效的用户身份之后，分析该用户的权限，进行有效的访问控制。 按照ssl （Secure Socket Layer）基本协议，是可以要求客户端必须含有有效的个人数字证书方可访问ssl server的功能。为了实现身份认证和访问控制，ssl server产品中提供了这样的功能，所以用户通过https:// sslserver_IP /...方式访问系统过程中，会弹出请用户选择含有个人证书的加密设备，选择完毕之后，用户需输入当前加密设备口令的对话框这样一个过程，如下图： 同时，SSL 服务器代理在对客户身份做有效的认证之后，必须将用户的身份以某种合适的方式提交给WEB应用，WEB应用根据用户身份信息方可做有效的访问控制，SSL 服务器代理提供了这一功能，具体的方式是： 按照正常情况，ssl server是在得到ssl client的数据之后，解密还原成http方式将客户端请求数据发送给web server，为此ssl server在提交给web应用的客户端请求数据中间增加了用户身份的信息，这样web应用不光得到客户端的请求数据，同时也得到了用户的身份信息，进而web应用可做相应的访问控制。 SSL产品与应用系统结合的方法： 用户身份信息是ssl服务器代理以cookie的形式附加到客户端的http协议的请求数据中的，cookie 是http协议中的标准元素，不同的cookie名称代表不同