USB_Key应用于网络办公的安全解决方案.docVIP

USB-Key应用于网络办公的安全解决方案 目录 目录 2 1 安全需求分析 3 1.1 现状分析： 3 1.2 安全需求： 3 2 安全解决方案 4 2.1 方案技术路线 4 2.2 方案设计目标： 4 2.3 方案实现功能： 5 2.3.1 身份认证 5 2.3.2 权限控制 5 2.3.3 安全传输 5 2.3.4 异地/移动办公安全性 5 2.3.5 扩展内部网络 5 2.3.6 便于和客户、合作伙伴安全交互 6 2.4 方案的特点： 6 2.4.1 安全性 6 2.4.2 适用性 6 2.4.3 经济性 6 随着互连网的迅猛发展，在各种上网工程的推动下，许多公司、企事业单位和政府机关纷纷筹建各自的办公网络系统。各单位通过自建的办公网络系统，利用互连网的开放性，加快了与外界的沟通、增强了内部管理，也提高了工作效率，但同时互联网上存在的各种安全隐患使得完善的办公网络安全解决方案成为网上办公应用的必须保障。 安全需求分析 现状分析： 对于办公网络的安全问题，目前很多单位的解决方式是采用防火墙等设备为网络构筑一个安全屏障，采用用户名口令方式实现身份验证，通过各种设备自身的权限控制功能实现权限控制，内部网络之间的信息传输都是明文对于网上办公应用的延伸，如异地分支机构网上办公、移动办公以及客户合作伙伴的交互问题等。通过异地分支机构、外出员工或合作伙伴使用计算机、Modem和服务器相连接，实现对内部办公网的访问，对于身份认证和权限控制与内网方式相同，内外网间的信息通信也多是明文。 上述方式虽然能在很大程度上解决异地、移动办公和交互问题及常见的安全问题，但是仍然存在很多的安全隐患： 用户名口令的身份验证方式容被破解 用户为了便于记忆，管理员为了便于管理，用户名明文保存，使得用户名很容易被获得或猜测。 用户为了便于记忆，密码也易被猜测、易泄露。 设备自身的权限控制功能不精确 防火墙的权限控制无法精确到个人用户，仅仅针对机器。 各种信息在内网和外网上的明文传输使得信息很容易被窃听、篡改和伪造 安全需求： 网上办公系统的安全需求可以划分为以下几个方面： 实现可以防假冒和抵赖的身份认证功能。 根据用户身份实现精确的用户权限控制功能。 网络信息加密传输保证信息安全性。 通过身份认证、权限控制和加密传输安全实现异地、移动办公以及交互问题的解决。 安全解决方案 方案技术路线 针对办公网络系统的身份认证、权限控制、加密传输和异地办公的安全问题，我们提供一套基于PKI体系的解决办公网络安全问题的产品。 PKI（Public Key Infrastructure 的缩写）即公开密钥体系，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，是一个利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。PKI技术的主要目的是管理在开放网络环境中使用的公开密钥和数字证书，其中最主要的安全技术包括两个方面：公钥加密技术、数字签名技术。公钥加密技术可以提供信息的必威体育官网网址性和访问控制的有效手段，它保证了利用公钥加密后的数据，如果没有提供相应的私钥来解密的话，窃密者即使获得密文也难以知晓其中的内容而数字签名技术则提供了在网络通信之前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段、以及在通信结束之后防止双方相互抵赖的有效机制。 方案设计目标： 建立企业CA认证中心，提供在线证书申请服务，通过证书实现身份识别 。 使用USB-Key物理载体存放数字证书，以保证证书的安全可靠，同时方便使用。 利用USB-Key提供128位的SSL加密通道，RSA密钥是1024bit。 利用USB-Key作为电子身份令牌，实现分组织、分部门的证书存取管理控制，提供精确的访问控制权限。 通过严格的身份认证、精确的权限控制和高强度的信息加密传输实现异地办公问题的低成本高适用性的解决。 方案实现功能： 身份认证 用户在进行任何操作以前需要插入USB-Key提交数字证书实现身份的确认，用户证书很难伪造，同时用户的私钥存放在USB智能卡USB-Key内，所以无法复制使用USB智能卡USB-Key，利用 CA服务器签发的数字证书可以实现身份认证、数据加密以及数字签名的多种功能，从而实现防假冒、防抵赖和不可否认性。 权限控制 通过服务器的身份认证以后，根据服务器上设置的安全策略确定用户所拥有的访问控制权限。用户的浏览器会自动下载运行一个Applet小程序，可使用的安全通道会显示在浏览器上，对于合法的访问将建立从客户到服务器之间的安全连接通道，对于非法访问请求将被拒绝。 安全传输 在用户客户端与服务器之间建立起的是一个安全的SS