随着电子商务应用的普及,各个行业在互联网上来实现业务的开通,费用的缴纳,甚至企业运营信息的发布已经离我们越来越近了,电子商务、电子银行等等多种基于Internet的商务业务正如火如荼的展开。
在竞争激烈的运营商市场,在投入最低的运维成本的情况下,充分利用运营商现有的资源优势,为广大的客户群体提供更为灵活方便的服务也逐步的引起了各大运营商的注意。
2002年底中国联通黑龙江分公司开始陆续应用迈普公司提供的MPSec SSL 600办公隧道系统(SSL Proxy System)实现虚拟营业厅的部署,即在网吧处利用可以上网的PC,通过安全连接进入联通的营业系统,对联通的各种业务开展代收费业务,通过这种方式,联通可以通过很低的成本代价,在较大范围内扩展自身业务,在竞争中取得有力地位。在今天上半年,该项目在黑龙江省各个地市联通分公司进行了大规模的应用,截至目前为止,在黑龙江省双鸭山联通、佳木斯联通、大庆联通、哈尔滨联通、鹤岗联通等8个地市使用,运行稳定。
方案如上图所示,采用基于数字证书的身份认证及加密技术来实现所要达到的目的。通过数字证书,由安全代理网关MPSec SSL 600对各客户端的身份进行验证,以保证只有合法身份的用户可以对处于内网的业务服务器进行访问;同时在进行合法业务数据传输之前,由安全代理网关与各客户端协商加密通道,以保证合法数据的加密传输。从而既实现了对客户身份的认证、数据的加密传输,提高了系统的安全性,而又增加了处理业务的灵活性。
该方案的安全特点:
1.防止信息泄漏
由于安全传输客户端与安全代理网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等被保护起来,杜绝了有效信息的泄露。
2.杜绝非法访问
由于用户必须向MPSec-CMS申请数字证书,因此MPSec-CMS系统能够对所有的合法用户进行集中管理,充分保证用户身份的合法性。安全代理网关只允许那些拥有MPSec-CMS所签发的数字证书的用户进行网络连接。如果请求连接的用户没有合法身份,则安全代理网关将拒绝其连接请求,从而限制了非法用户对内网的访问。
3.保护信息的完整性
安全代理网关与安全传输代理客户端之间使用数字证书进行机密性与完整性参数的协商,它不仅能够对所传输的数据进行机密性的保护,同时也对其提供完整性保护。当在传输过程中的数据被篡改之后,安全代理网关与安全传输代理是可以检测到的,如果检测到数据被篡改,他们就会放弃所接收到的数据。
4.防止用户假冒
用户的身份信息已经不仅仅是用用户名与口令来标识了,他使用存贮在数字证书中的非对称密钥的公钥来标识用户的身份。因此第三方无论使用什么手段得到用户名与口令也无济于事,因为真正的用户信息是在安全性很好的IC中存放的,所以用户只要保管好自己的IC卡,就不用担心非法用户的假冒。
5.保证系统的可用性
本方案使用内网、外网相互隔离,只开放所需服务的方式来实现,这样客户端只能通过授权使用所开放的服务,除该服务之外的其它服务都无从访问,从而减少了很多对内网系统进行攻击的途径,达到了对内部网络的最大保护。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
部署VPN需要考虑的安全和设计因素
大多数企业都需要保护互联网通信。对于很多企业来说,保护通信最简单的方法是利用VPN在需要通信的系统之间创建加密通道。
-
深信服打造最快速、最安全、最好用的SSL VPN产品
深信服SSL VPN始终贴近用户需求,通过技术的不断创新来实现“随需而变”。在传统VPN加密传输的基础上,力求为用户提供最快速、最安全、最好用的SSL VPN产品。
-
F5全新安全访问解决方案保障Android用户连接及高效率
F5对Android’s 4.x操作系统添加了业界领先的支持能力,并且增强了SSL VPN功能,有助于IT员工有效管理对数据和服务的安全移动访问。
-
2011年最严重的VPN攻击案例:他们的VPN安全怎么了?
虽然虚拟专用网络技术(VPN)的历史已经超过10年了,但是今天仍有很多引人关注的VPN攻击发生。本文通过2011年4个著名的攻击案例告诉你如何预防VPN攻击。