CFCA安全代理_技术白皮书.doc

CFCA数据安全网关 技术白皮书 Version 1.2 中国金融认证中心 2007年7月 本白皮书中的内容是金融认证中心开发的产品的技术说明书。本材料的所有权归金融认证中心所有。白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。 ? 2007 金融认证中心 All rights reserved. 地址：北京市宣武区右安门内大街新安南里甲1号 电话：86-10传真：86-10邮编：100054 网址： 目录 1 技术背景 3 2 产品概述 4 2.1 安全需求 4 2.2 产品概述 4 2.3 网络拓扑结构 5 2.4 产品结构图 5 2.5 产品性能 6 3 产品功能列表 6 4 产品特点 7 4.1 安全性 7 4.2 标准性 7 4.3 易用性 7 4.4 稳定性 8 4.5 透明性与兼容性 8 5 产品运行环境 8 5.1 硬件环境 8 5.2 软件环境 8 技术背景 PKI技术 PKI（Pubic Key Infrastructure）是遵循一系列标准的利用公钥密码技术为基础的一整套安全基础设施的通称。 PKI必须具有权威认证机构CA在公钥密码技术基础上对证书的产生、管理、存档、发放以及作废进行管理的功能，包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序，以及为PKI体系中的各成员提供全部的安全服务。如：实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息必威体育官网网址等。 数字证书 数字证书是各类实体（持卡人/个人、商户/企业、网关/银行等），在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性，证书格式及证书内容遵循X.509标准。 从证书的一般用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。 SSL（Secure socket Layer）安全套接层协议 SSL安全套接层协议主要是使用公钥密码体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。 安全套接层协议是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据必威体育官网网址性。使用SSL可保证信息的真实性、完整性和必威体育官网网址性。 Socket通信模块：处理与客户端和Web服务器之间的Socket通信。 Web服务模块：内置服务器管理。 服务器证书管理：产生服务器证书申请书，导入CA证书，导入服务器证书，备份服务器证书。 客户端请求处理：处理客户端请求信息。 配置文件管理：解析和管理配置文件。 日志管理：记录系统日志，访问日志和Debug日志，定期管理日志文件。 CRL下载：定时下载CRL文件到本地。 XML工具：解析XML文件。 加密编码库：底层算法实现，有加解密、签名验签功能。 产品性能 产品型号 性能指标 建议使用环境 软件版本 双向认证，最大并发连接数1200 百兆网环境，并发用户少 产品功能列表 功能 详细描述 B/S结构（HTTPS代理） 在客户端浏览器和Web服务器之间建立基于数字证书的最高强度为128位加密安全连接。 B/S结构（HTTP代理）安全网关起到转发客户端请求的功能。 C/S结构（C/S代理） 客户端需要使用SSL客户端和安全网关进行SSL通讯，安全网关将通讯内容转发给应用系统。 代理多个应用服务器 安全网关支持建立多个SSL服务，每个服务可以是不同的类型，每个访问可以保护一个应用服务器。 可与其连接的客户端 IE浏览器，SSL客户端（C或者Java语言） 双向身份认证 客户端验证服务器证书， 黑名单验证 数据安全网关从CA的目录服务器定期获得CRL，验证客户端证书的有效性，并支持多CA数字证书验证。 服务器站点重定向 支持访问有重定向的网站。 证书管理安全网关可以产生证书申请请求，导入公钥证书和CA证书，具有证书自动备份功能。 用户证书信息捆绑 应用系统可以利用此功能获得用户数字证书DN、SN、有效期和证书编码等内容。 日志功能 可以记录服务器系统日志、客户端访问日志，并可以随时开启Debug功能，记录Debug日志，以便调试和故障诊断。 对WEB应用来说，数据安全网关服务器无缝的与WEB应用连接，并不需要WEB应用为数据安全网关服务器做特别