scanywhere     北京安软天地科技有限公司
  首页    公司产品   成功案例   解决方案   技术支持   技术文苑   试用下载   合作伙伴   
·电子签名中间件
技术文苑
 
某市局及其分支机构业务流转VPN解决方案
一.需求分析

概况
    A市统计信息广域网是国家统计信息广域骨干网的分支。
    1. 各县(市)、区统计局局域网用户通过ADSL(ISDN)宽带接入INTERNET网,通过VPN通道访问市局局域网WWW服务器,通过防火墙进入到国家统计信息专网,能够有限制的访问专网内的主机。
    2. 移动用户包括宽带社区用户通过拨号方式进入INTERNET网,通过VPN通道访问市局局域网WWW服务器,再通过防火墙进入到国家统计信息专网,能够有限制的访问专网内的主机。

现有网络分析

    ●A市统计局网络通过专线介入国家统计信息网。
    ●县、区统计局通过ADSL接入Internet,通过Internet访问A市统计局局域网。
    ●移动用户通过宽带获PSTN接入Internet,通过Internet访问A市统计局局域网。
    ●用户能够访问市局的WWW服务器。
    ●用户能够在受限制的情况下访问国家统计信息专网。

    出于安全的目的,用户通过Internet访问A市统计局局域网必须以VPN的方式进行,且VPN用户必须经过严格的身份认证,访问控制检查,最后建立起安全的机密的数据通信通道。

VPN网络的网络结构

说明:
    ●由于用户通过Internet要访问某市VPN专网,所以SRAC VPN要放到A市统计局网络的DMZ区,由于SRAC VPN Server不具有防火墙功能,所以需要受到防火墙的保护,并且具有一个可供外部访问的IP地址,可以访问到VPN网络所保护的服务器。
    ●VPN网络的用户要安装VPN客户端,并且对VPN服务器的443端口的访问能够通过防火墙。
    ●安装VPN客户端的机器用户在通过身份认证后,就能够访问VPN Server保护的服务器。否则VPN服务器将拒绝用户访问。
    ●VPN客户端与VPN服务器的连接是经过身份认证的,VPN服务器对VPN客户作访问控制审查,同时VPN客户段与VPN服务器之间的通信是经过加密的。

注:拓扑图中没有画出身份认证服务器(如EverLink CA)
VPN解决方案
    安软天地依据上述的需求分析和相关的安全技术,提供EverLink SRAC Gateway作为VPN服务器,EverLink CA服务器作为证书认证中心,为所有VPN的用户提供数字,EverLink DSAE作为区、县统计局局域网提供VPN接入服务,EverLink VPN客户端软件为移动用户提供VPN接入服务,同时可以提供USB Key作为移动用户的私钥、数字证书存储介质,完成移动用户的身份认证。
    此方案在设计时严格遵循下述基本原则,并在方案中给出了具体的保证措施。
    ●安全性原则
    ●标准性原则
    ●先进性原则
    ●公开性原则
    ●易用性原则
    ●可扩展性原则

1.方案概述
    本方案设计的核心思想是利用PKI/SSL技术建立起一套集身份认证、数据加密、访问控制等于一体的完善的安全解决措施,以保证A市统计局VPN网络的安全。

方案的整体设计可以分为以下几个部分:
    1.通过利用EverLink CA产品为A市统计局建立专用的CA中心,实现在VPN网络中引入数字证书;
    2.由CA中心为每个VPN用户签发一张数字证书,并在VPN网络中实现用基于数字证书的身份验证方式替换过去的用户名加密码的身份验证方式;
    3.通过利用EverLink SRAC产品作为VPN服务器,集成用户身份认证和访问控制功能,采用要求用户访问时提供数字证书的身份认证方式,建立起基于用户/组-网络服务的访问控制策略,同时提供日志和审计的功能;
    4.将从用户提交的数字证书中获取的用户信息(如姓名、所属部门和E-mail地址等)做为权限控制的依据;
    5.通过EverLink DSAE为局域网提供接入VPN网络的服务;
    6.通过EverLink SRAC软件客户端为移动用户提供VPN网络的服务;
    7.DSAE与SRAC软件客户端与SRAC服务器之间建立起加密的安全的数据通道;
    8.使用USB key作为私钥与证书的存储介质,保证了私钥的安全性;
    整套方案的基础是PKI/SSL。

2.专用CA中心解决方案
    由于PKI体系的基础是数字证书,所以CA中心的建设是首先需要考虑的问题,本方案中的解决方法是采用EverLink CA产品为A市统计局建立一个VPN网络专用的CA中心。

建立专用CA中心的作用
    为A市统计局建立专用CA中心的作用有两个方面:
    一个方面是专用CA中心可为VPN网络提供数字证书发放和管理服务,为系统中的服务器、用户、管理人员以及其他需要数字证书应用服务提供各性化的证书服务,从而VPN网络建立基于数字证书的身份认证体系提供基础,为实现权限控制提供依据;
    另一方面专用CA中心可以为将来PKI应用建立起一整套网上办公/业务系统的统一身份认证体系;

建立专用CA中心的益处
    建立由A市统计局自主管理的专用CA中心可以实现A市统计局采用统一的身份认证体系。自主管理CA系统可以极大地方便CA系统运行,减少系统管理过程中由于信息更改所带来的问题,提高系统的运作效率和管理效率。
    建立专用CA中心可以方便地进行个性化定制,可以保证满足对CA中心的特殊要求,提供满足特殊需要的定制的数字证书并提高系统的工作效率。通过使用由专用CA中心签发的包含特殊信息的数字证书,不仅方便系统应用,而且可以提高身份验证的效率。
    建立统一管理的CA中心能系统的安全风险。因为CA中心由科技厅集中统一管理,各市县不设立服务器和数据库,减少了CA中心的管理人员,也就减少了可接触CA中心的人员,从而降低了安全风险。

CA中心建设方案
    在利用EverLink CA建设A市统计局CA中心的过程中,硬件设备需要一台CA服务器,若干证书存储设备USB Key(根据用户量多少而定)。
    考虑实际建设过程中,存在一个业务扩展的问题,在首期的建设中,根据VPN网络现有的用户规模,一台服务器可以满足系统运行的需求。

3.VPN网络解决方案
    EverLink SRAC是EverLink Secure Access & Control的缩写,一套基于公共密钥体系(PKI)的安全访问控制产品。EverLink SRAC可以在不改变现有软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统安全地延伸到Internet、Intranet上。它不仅向用户的业务应用平台通讯提供了安全的通道,而且提供了用户所期望的安全性、扩展性和管理控制。
    在利用数字证书完成用户身份认证,建立起安全通道知后,DSAE或SRAC服务器的客户端从SRAC服务器获取访问控制列表,用户访问VPN网络内的服务时,就会在安全通道内完成数据得传输。SRAC服务器有三个服务模块,分别是管理端口,私人端口,公共端口,根据应用需要允许通过防火墙访问这三个端口。
    接下来,我们先讨论EverLink SRAC的应用模型,了解EverLink SRAC的安全控制原理;然后再细节性的讨论EverLink SRAC是如何构成VPN网络的。

应用模型

其原理如下:
    1) A市统计局及国家统计信息专网由SRAC服务器保护起来,只向不安全的Internet开放一个实现安全传输的SRAC服务器的私人端口和公共端口。
    2) 所有通过Internet访问A市统计局局域网的用户都必须安装SRAC客户端软件并且具有有效的用户证书,或者是通过DSAE来访问。
    3) VPN网络的用户在通过身份认证的情况下,在Internet上建立起加密的安全的通信通道。
    4) 安全通道采用高强度加密和认证算法。
    5) VPN网络的存在不影响非VPN网络的应用。这样,凡是通过Internet传送到SRAC服务器保护的通道的数据全部采用安全的SSL协议,其他不受保护的服务及本地或内部局域网上传输的数据都使用本身的应用协议(如HTTP等)。

    可见,通过连接SRAC服务器的安全端口,原来暴露在不安全环境中的的数据,就像是穿上了隐身衣一样,即便被不法分子截获,他们得到的也只不过是加密后的数据,还是无法获得数据的本来面目。
 关于安软   网上学院   联系我们   
地址:北京市海淀区中关村南大街48号 电话:62132112?邮编:100081
Email: sales@scanywhere.com 北京安软天地科技有限公司
信息产业部  京ICP备05081063号