现状分析与安全需求
A公司为了解决办公网络的安全问题,采用防火墙为网络构筑一个安全屏障,采用用户名口令方式实现身份验证,通过各种设备自身的权限控制功能实现权限控制;为了解决异地分支机构网上办公、移动办公以及客户合作伙伴的交互问题等,A公司采用在内部网上安装拨号服务器的方法来解决。上述方式虽然能很大程度上解决A公司网上办公常见的安全问题,但是仍然存在很多安全隐患。具体表现在:用户名口令的身份验证方式容被破解;用户名很容易被获得或猜测;密码也易被猜测、易泄露;设备自身的权限控制功能不精确;防火墙的权限控制无法精确到个人用户;服务器权限控制无法扩展;拨号服务器为内部网增加了不安全通道和额外负担;在内部网络防火墙后面架设拨号服务器相当于在防火墙上开了一条通道,成为系统安全薄弱的环节;拨号访问的方式将增加日常办公开支;各种信息在内网和外网上的明文传输使得信息很容易被窃听、篡改和伪造。
针对A公司的安全隐患,深思洛克为其提供一套基于PKI体系的智能卡解决方案。具体是:建立企业CA认证中心,提供在线证书申请服务,通过证书实现身份识别;使用MiKey物理载体存放数字证书,以保证证书的安全性;利用MiKey提供128位的SSL加密通道,RSA密钥是1024位;利用MiKey作为电子身份令牌,实现分组织、分部门的证书存取管理控制,提供精确的访问控制权限;通过严格的身份认证、精确的权限控制和高强度的信息加密传输实现异地办公问题。
图中采用合理规划的网络拓扑结构,利用企业防火墙将内部网络划分为内部区域(LAN)和可控制的非军事区域(DMZ)。
A公司通过实施PKI方案,实现了以下功能。
身份认证:用户在进行任何操作以前需要插入MiKey提交数字证书实现身份的确认,用户证书很难伪造,同时用户的私钥存放在USB智能卡MiKey内,所以无法复制,从而实现防假冒、防抵赖和不可否认性。
权限控制:通过服务器的身份认证以后,根据服务器上设置的安全策略确定用户所拥有的访问控制权限。用户的浏览器会自动下载运行一个Applet小程序,可使用的安全通道会显示在浏览器上,对于合法的访问将建立从客户到服务器之间的安全连接通道,对于非法访问请求将被拒绝。
安全传输:在用户客户端与服务器之间建立起的是一个安全的SSL通道,数据经过不低于128位的对称密钥加密,敏感信息得以安全传输。
异地/移动办公安全性:分支机构或外出员工只需要将MiKey插入计算机的USB接口中,利用CSP,通过使用存储在MiKey中的数字证书实现VPN,远程客户端通过服务器的身份验证后可以与服务器建立一个安全的加密通道,保证异地办公的安全性。
扩展内部网络:通过数字证书和安全访问控制服务器的结合使用,安全地将公司内部网络扩展到Internet上。便于和客户、合作伙伴安全交互:为不同身份的用户签发不同的用户证书,并根据实际需求设立不同的访问控制权限,实现了与不同客户、合作伙伴之间的安全交互。
iKey担当九运会“电子身份认证”
在九运会举行期间,广东省电子商务认证中心向九运会组委会提供了一批数字证书,存放在彩虹天地的iKey1000介质上,用于网上人员注册系统。与会者每人获得一张“电子身份证”,以保证在身份识别过程中的便捷、有效及安全。
在以往举行的全运会上,运动员、教练员、记者、政府官员等要参加运动会,登记资料或要获取相关的信息时,都是通过书面的形式向组委会提交信息或获取资料,一时之间大量的文字资料或重要文件通过传真或邮寄的方式在组委会和参与者之间重复传递,浪费大量的人力和物力。
采用iKey1000作为私钥和数字证书存储的九运会网上注册系统是一个专门对与会人员身份信息进行综合管理的互联网系统。参加九运会的运动员、教练员、记者、政府官员只要随身带上组委会派发的一个 USB电子令牌――iKey(令牌里面存储着由广东省电子商务认证中心提供的数字证书私有密钥),无论何时何地都可以通过互联网和“九运会”取得联系,安全快捷地获取九运会最新的资料,这种方式就像用钥匙开保险柜,然后输入密码取得物品,不同的是整个过程都是在互联网上完成的,只需要几秒钟。
