BS网络架构安全传输和访问控制的解决方案.doc

B/S的网络应用系统 安全传输和访问控制的安全解决方案 （PKI产品系列应用解决方案之一） 上海格尔软件股份有限公司 2002年12月 1 产品方案概述 基于B/S架构的网络应用系统，就是用户客户端通过IE浏览器以HTTP的协议与服务器(web server)进行通信的网络应用方式，这种应用通常采用用户名和口令的机制进行简单的身份认证，中间传输的数据均是明文数据。 目前这种B/S架构的网络应用系统缺乏一定的安全性，在建立的PKI平台基础上，提供相关的PKI应用产品可以为这种网络应用系统提供解决方案。 通用的说：可以通过数字认证技术来为应用系统提供解决方案。 本文将详细描述具体的方案。 2 B/S架构网络应用系统目前结构和现状 浏览器 明文数据 Web服务器/应用服务器 明文数据 图表 1常见B/S应用系统数据传输逻辑图 3 系统解决的基本方案 3.1 安全传输的基本方案 3.1.1 传输安全的解决方法： 应用系统的安全传输是通过SSL 产品来解决，也就是下面描述SSL服务器代理和SSL客户端B/S代理产品。 对于SSL客户端代理和SSL服务器代理产品完成基于SSL协议的安全传输，保障整个网络数据加密传输，同时对于应用系统基本透明。具体的逻辑架构如下图 图表 2安全传输的解决逻辑图 在ssl 代理客户端和代理服务器之间，通过ssl协议实现高强度的加密连接，保障了数据的安全传输。 3.1.2 SSL产品与应用系统结合的方法： SSL 代理客户端产品安装在用户的客户端，在使用时，启动即可，不用作任何配置。 SSL代理服务器产品，以专门的服务器提供，和WEB服务器安装在同一网络安全区域，但需要管理员为保障安全传输的WEB SERVER增加适当网络配置。下图就是ssl 的网络配置。 ip地址61.151.240.41和端口443指的是ssl服务器代理当前的地址和服务的端口，管理员根据实际情况进行填写。 ip地址61.151.240.42和端口80指的是当前需要安全保护的webServer的地址和服务的端口，管理员根据实际情况进行填写。 所以对于应用系统无需做任何改动，对于webServer最终在应用中得到的数据与原先http方式得到的数据一样，也就是说ssl产品对应用而言是完全透明的。 3.1.3 用户最终的使用方式 未使用ssl 代理产品之前，假设用户通过http://webserver_IP：webserver_port/application/ 的方式使用系统，安装和使用ssl代理产品之后，用户需通过https://sslserver_IP:sslserver_port/application 的方式访问和使用应用系统，也就是说，原先的webserver的IP修改成当前SSL服务器代理的IP,原先的webserver的port修改成当前SSL服务器代理服务的端口,同时http://修改成https://。注意http://webserver_IP/...方式访问的默认端口为80，而https://sslserver_IP/...方式访问的默认端口为443 。 3.2 身份认证和访问控制的基本方案 上面主要描述的是通过ssl保证了网络应用中数据传输的安全，但应用如何了解当前访问用户的确切身份，如何通过身份做进一步的访问控制呢，本节做详细描述。 3.2.1 解决方法： 在前面所描述的ssl产品保障了安全传输的基础上，ssl 服务器代理产品附带了用户身份提交和认证的功能，并且将用户身份信息提交给WEB 应用，WEB应用在获取有效的用户身份之后，分析该用户的权限，进行有效的访问控制。 按照ssl （Secure Socket Layer）基本协议，是可以要求客户端必须含有有效的个人数字证书方可访问ssl server的功能。为了实现身份认证和访问控制，ssl server产品中提供了这样的功能，所以用户通过https:// sslserver_IP /...方式访问系统过程中，会弹出请用户选择含有个人证书的加密设备，选择完毕之后，用户需输入当前加密设备口令的对话框这样一个过程，如下图： 同时，SSL 服务器代理在对客户身份做有效的认证之后，必须将用户的身份以某种合适的方式提交给WEB应用，WEB应用根据用户身份信息方可做有效的访问控制，SSL 服务器代理提供了这一功能，具体的方式是： 按照正常情况，ssl server是在得到ssl client的数据之后，解密还原成http方式将客户端请求数据发送给web server，为此ssl server在提交给web应用的客户端请求数据中间增加了用户身份的信息，这样web应用不光得到客户端的请求数据，同时也得到了用户的身份信息，进而web应用可做相应的访问控制。 3.2.2 SSL产品与应用系统结合的方法： 用户身份信息是ssl服务器代理以cookie的形式附加到客户端的http协议的请求数据中的，cookie 是http协议中的标准元素，不同的cookie名称代表不同用户的信息。譬如KOAL_CERT_E代表用户的email地址，KOAL_CERT_PHONE代表用户的电话号码等。 所以ssl 产品与B/S应用系统结合，需要WEB应用做适当的改造。具体可以参见下面的说明： 保留原有的访问控制方式，增加一个安全登录按扭。（下图中假设原验证页面verify.jsp，而SSL登录页面为verifySSL.jsp） 图表 33 安全登陆界面图 用户如需安全登录，则按安全登录按扭。安全登录按钮指向一个获取证书信息的页面（假设名为 VerifySSL.jsp）。该页面通过获取SSLServer传递过来的Cookie内容来标识该用户身份。 以下图示表明了一次成功的登录所走流程。 图表 34 安全登陆流程 由图所示，对于应用系统而言，使用SSL登录和普通的用户名口令登录方式实现的最大不同点就是一个需要对用户身份进行认证（用户/密码匹配），一个直接获取cookie中用户信息而不必再验证。如果应用没有从cookie中获取相应的信息，处理为拒绝该次登录。 如果登录方式完全使用SSL安全登录，只要做以下几点： l 将原先的登录方式从网页上去处，只留下SSL安全登录方式 l 如果用户信息不能从cookie中获取，应用拒绝该次访问 l 如有必要，可设置只允许SSL Server所在IP访问该应用。 8 上海格尔软件股份有限公司 上海市北京西路1399号建京大厦5楼 Tel: (86-021) 62891100 Fax: (86-021) 62892215 URL: