格尔安全认证网关产品白皮书

格尔安全认证网关产品白皮书V5.0上海格尔软件股份2007年8月保密事宜：本文档包含上海格尔软件股份的专有商业信息和保密信息。乔接受方同意挎维护本文档偿所提供信息多的保密性，词承诺不对其姥进行复制，惩或向评估小绩组以外、非岂直接相关的戚人员公开此骡信息。对于鞠以下三种信食息，接受方灭不向格尔公荒司承担保密俩责任：千1)蒸接受方在接创收该文档前瓜，已经掌握慈的信息。迷2)遵可以通过与打接受方无关摄的其它渠道肾公开获得的委信息。恰3)膜可以从第三望方，以无附顾加保密要求暮方式获得的述信息。目录TOC\o"1-3"\h\z售1钱票概述虹狐1坡1.1凯减您的网络应棚用安全吗？跟舍1挠1.2料存解决网络应谢用安全您要库考虑：待趋1场2烈巩产品概述赛哑2束3呼房为什么选择卫格尔安全认政证网关护鸟3剪3.1坚椒PKI隐数字证书的舱全面支持叮后3饮3.2东灾对用户的一铜致性认证冰退4堆3.3基络自动签名验兄证五小4繁3.4佛朱单点登录妥级5疗3.5贪晒多应用类型虎支持喊宝5围3.6阴俩对应用的加孟速要凯5狗3.7恩竿安全资质渔尖5乏3.8兼骑其他特性身犯6拨4置死产品主要功石能动拔6牌5么毅产品部署乔痕9尖5.1像霜串联部署矿准9涛5.2湖斩并联部署煤血10微5.3伞筐双机热备部叶署访傅11叛5.4村蚂负载均衡部牧署卧俊13邻6领水选购指南刻吨15脉7卷剑客户端运行始环境汗炮16答8怖钓产品支持联遮系方式员犁16玉9导良附录公司介纹绍恼府16巩9.1喇码公司概述涂而16润9.2逃器技术与产品初玩17讨9.3纹保服务支持遭值17帮9.4齿健质量管理员命18薯9.5叛代主要案例闻辰18滚9.6析匀公司文化理材念需慢19发10幻毫名词解释稳厉19概述限您的网络应扶用安全吗？馒随着网络的努快速发展，掩网络应用螺以其高效、却便捷的特点两得到广泛应绑用奖，如网上证标券、网上银少行、电子政泳务、电子商华务、碰企业远程贫办公等。康越来越多的素重要寸业务在网上喜办理，越来块越多的重要鸭信息在网络绑中朝传输沈，如何保护巷这些烧重要资源的婶安全访问以谱及重要数据黄的快安全尸流转蛇是网络应用市面临的重要碌问题，尸但通常的网狼络应用都存孔在以下安全土隐患：束没有有效的撒身份认证机析制：缎一般都采用激用户名+口提令的弱认证宾方式，这种洗认证用户的悬模式，存在协极大的隐患搅，具体表现绒在：（娘a萝）口令易被野猜测；（吃b足）口令在势公网中帮传输届，挎容易腥被截获；（研c各）虫一旦口令泄棵密，所有安茧全机制即失控效；（宏d忧）后台服务苏系统需要维烟护庞大的用踏户口令列表牌并负责口令辫保存的安全浮，管理非常壳困难。灭数据授传输不安全激：旷当前大多网耗络应用棕所发放的数态据包均是按匆照TCP/雨IP协议驳为明文方式听传输嘱，而Int星ernet捡的开放性造甩成传输信息律存在着被窃模听、被篡改分的安全问题醉。疫操作抵赖：货网络应用将钞现实世界的流实体操作转哀化为虚拟世慌界的信息流诉，信息流的喘可复制性对掉操作的唯一木性和可信性随提出了挑战株，操作可以鸟被跳抵赖成为网剂络应用师亟需解决词的一个严重聪问题。捏解决网络应刚用安全街您要考虑沫信任是安全仁的基础，在烟缺乏信任的稍环境下，实漆现信息系统耀的安全是不伶可想象的，血因此露解决阁网络应用安册全渗的呼一个核心问日题是解决信细任问题，员信任主要体孟现在以下几凑方面苏：丧强身份认证毙。泉建立信任首丛先要供确认参与者况的身份，即蛋身份认证。狸身份认证是愤安全保障的践第一道门槛碧，也是后续革安全措施的谈依据荣和基础僚，豆如果第一道篮门槛被攻破枯，系统葵“密认错人离”怪，则后续的蚂无论多么严领密的安全措能施基本实效做，因此，疫身份认证机热制强度的高厌低很大程度喘决定了安全伐系统的安全鼻级别高低，个对于一个块直接面对互击联网，如果拾身份认证机因制的强度不第够，班根本无法起袋到屏障作用俊，洞无异于将仰网资源直接悉开放。忙因此，身份君认证机制不黄在于多少，荷而在于够不律够强。基于门PKI数字挥证书的认证系是目前被广革泛接受的强焦身份认证机狡制之一。麻数据秘密性脱和完整性且。一方面，栗认证机制越旺强，效率越你低。在网络卧应用中并不乞是每次交互望都进行认证丘，而是根据险第一次认证挥后的凭证来就辨认用户，救因此在真正饲用户在线认露证通过后，具窃取用户的茂认证凭证，丧冒充用户访但问是一种有撕效的攻击手肾段。因此身灭份认证过程辞以及后续传把输通讯都需真全程保密。欧另一方面，呈网络应用中储的重要信息俘被其他人特艘别是竞争对咏手得到造成刃的损失极大结，因此要求姥信息传输时敌对信息进行哀高强度加密誓，保证传输粘安全性。总记之，信息在熔网络上明文惭传输，被人解轻易获取，渗无异于自己旷打开门把东歪西拿给别人臭，系统有再颠强的以其他安全僚机制有何用锡呢？粉全程加密是台对数据秘密帝性及完整性锐保障的优选泛方案之一。铸不可抵赖性高。苍不可抵赖是只信任的一个溪关键因素也剩是一个关键骑约束，是对跨结果的认可锐和保障，起如果可以减事后赖账，塘无法追究责扮任，那么先哀前所作的柔一切都是前注功尽弃。喜现实生活中绣已经形成一赔套不可抵赖举性的方式方陵法，而在网呢络世界中，丽数字签名技仁术是公认的途不可抵赖性傍实现的最优议方案，《电舍子签名法》域的颁布和实祸施也提供了俊相应的法律串依据。产品概述逮图表SEQ图表\*ARABIC梳1俱E型网关妻外观腹图表SEQ图表\*ARABIC醒2烛G型网关株外观宗（以上产品许外观图仅做坛参考，具体厨外观及接口术以实物为准逝）嗽格尔网关礼为网络应用需提供拌基于数字证贺书的高强度晌身份认证服税务、高强度突数据链路加榨密译服务倘及数字签名链及验证服务撑，可以膏有效保护网哀络资源的安跳全访问。支勉持HTTP绝、HTTP牙S的B/S缩应用以及F选TP、远程宰桌面等通用纤的C/S应阴用。桥为什么选择婶格尔安全认汗证网关部格尔安全认般证网关是：栏上海格尔软借件自主研发咐的网络安全慧应用产品惠。次基于PKI添数字证书体溉系的时经过国家密罢码管理局认间证的认证加破密产品（S否JY128贼）统。器唯一一款总集强身份认涌证、数据保逐密性、数据具完整性及不谣可抵赖性功脊能于一身禽的产品。匆格尔安全认亩证网关的代价值体现在浆以下几个方氧面：挤PKI灯数字证书妨的全面粗支持萄基于对PK订I的深刻理态解，苦格尔网关捆具备了对P捎KI的全面仙支持，包括碎以下几个方熄面：冬证书鼻单庄双向的认证卸选择：环格尔网关壤可以配置建炼立加密连接横时是否认证球用户证书。脉多服务，多弟站点证书支和持澡：悼格尔网关慰可以建立多每个服务，保藏护不同的应互用，每个服劳务可以使用蔑不同的站点垦证书。挤多壶条膨证书链支持溪：即格尔网关保支持多条证劲书链同时存吩在、同时生铃效消，慰即同一个S妙SL服务可伏以同时认证处多家CA中汪心的证书用顺户。谨动态黑名单攻支持：邻格尔网关随可以自动到站LDAP发兆布点获取黑包名单，并动晃态更新，不拖需要重新启秩动服务。湖对用户的一锡致性认证喇通常的网关袋产品只是建炸立了一个加阀密连接墨，与应用完限全无关，用口户通过认证街建立加密连付接后必须经闹过再次认证谱（如用户名善+口令、动总态令牌等）摇登录应用系画统，灯这种两次登博录不仅没有宴加强安全性灰，而且在阁给用户带来捧不便巾的协同时也带来疑安全隐患，房由于加密连盯接和应用对登用户认证的押不一致，用美户可以庭使用自己的川证书建立连慌接，使用别艰人的用户名读登录妄，问这种方式揭给应用的赠流程和日后转审计、取证腊带来了混乱晕。盆格尔网关趋可以将用户抚证书中的任治意信息以c券ookie廉方式向后台冶服务器传送录，驴应用系统眼无需参额外接口就铁可以方便获意取晃证书用户信达息，拦即保证了用遍户的一次登桥录，又保证巡了应用对用控户认证的一探致性旧，安全性得年到暖进一步搅保障弟。肆同时，使用将网关保护的敞多个应用系缓统也实现了捡对用户的单电点登录功能纺，即用户使欺用一张证书已登录所有应誓用系统。氧自动签名验探证软（专利技术呼之一）晨格尔网关创罩新性的提出学了自动签名期验证服务，省有效解决了跳网络不可抵缩赖性问题，抹使其成为目犹前唯一一款盖集强身份认膜证、数据保被密性、数据抄完整性及不拿可抵赖性功涨能于一身邀的产品，是么PKI产品幻的一种突破怎。手自动签名验走证的特色是糕“还自动息”扫，签名、验位证等复杂工齿作都由格尔器网关庭自动完成，构对应用实现招零+开发，起应用肤只需在网页案中进行设置咏，无需额外辞开发接口、蝶无需额外专李业知识委就能轻松实浑现督信息酒不可抵赖。热SSL协议勺中双证书的排应用（专利乳技术之一）港双证书机制毒是盘当前我国凉PKI体系悲建设浙的主流模式形。使用签名美证书进行身额份认证，使跌用加密证书竭进行密钥的治交换和保护昂，既使PK辛I技术在应孩用中发挥其役基于非对称裁密钥所带来叉的优势，又葡满足了国家菜对PKI霉应用进行审着计监管的需贝要羞，蚂是国家密码仔管理机构对覆PKI证书盖应用的基本洲要求栋。哈格尔网关创菊新的提出了隔双证书在S虾SL协议中饲的应用，并蝇成功在产品鲁中实现，符妹合舍国家密码管扭理机构职对密码产品朱的要求。盐单点登录剂（专利技术束之一）蜓对于障某些监无法修改或嗽者无法获取惰证书信息从尾而无法实现卧用户一致性浇认证的应用夕，钞格尔网关董可以实现证轧书与原有用岔户信息的映木射，在应用屠无需任何改容动的情况下移自动完成系残统登录，实啊现单点登录欧功能。疾多应用姻类型寸支持朽格尔网关东除了揉可以对B/千S应用进行争安全防护外汤，对于FT妙P、tel座net、S芝SH、远程痕桌面责、SMTP呈、POP3班等多种非B罪/S应用傻也可以进行脆安全防护政，具有广泛奋的适用性。吸对应用的加话速渣格尔网关匙高端产品吓采用硬件加雷速少，加解密运条算吉全部由硬件膛完成，效率雅是同等硬件盏环境下致软件实现的择10倍以上筹，可以彻底插将应用服务川器的CPU庆资源从繁重文的加解密中狐解放出来，等起到了对应慢用加速的作哨用。安全资质河格尔安全认株证网关弱通过了国家道保密局、国腊家密码蔽管理宰局的严格鉴奴定，取得了贝相关安全资意质，符合国辞家对于密码寄产品的使用厘规定。其他特性弄安全性粒：系统痕设置为专用网络接抖口管理系统蚀，系统关闭世所有不需要洪的服务和端浅口线（如FTP尝、SSH等勇）虚，只保留S渡SL服务端励口脆，避免外界浅的攻击内。貌易用性池：系统所有划管理操作均青采用web笨方式，操作懒简单方便。蜘适用性顺：系统支持劝串联、并联摇等多种部署欧方式，适用未不同的网络也环境和应用竿需求。衣兼容性铃：支持IE腥、亲Netsc馋ape、肾Firef顷ox等主流互浏览器，支岸持IIS、团Websp括here、瓦Weblo晶gic、a羞pache笼、tomc膊at等主流念Web服务壁器。仪高可用零性黄：系统支持徒双机热备号。扮产品主要功煎能笔注：扩展功坛能不包含在座产品的基本焦版本中，是兽用户可选配袭功能。产品部署述格尔网关究可以部署为过串联模式（另桥模式）或钻者并联模式叠（单臂模式乖）。串联部署渔串联模式（项桥模式）指请格尔网关液物理部署在端用户和被保锁护的服务器走之间，即火格尔网关慧的外网口与顺用户网络连瓦接，内网口良与被保护服边务器相连。李由于被保护愚服务器通过凝内部网络与能格尔网关商连接，因此各用户与服务便器的连接被谅格尔网关换隔离，用户割只知道网关让地址，无法震直接捕访问恼被保护服务各器，只有通慧过网关才能付获得服务。尿串联模式（回桥模式）是荐格尔网关死的标准部署仪模式，也是岔推荐部署模紧式，其部署狐示意图如下粗：扩图表SEQ图表\*ARABIC欣3殖串联部署示死意图顶串联模式的右优点是：当安全性高：窜用户必须通但过网关的认游证加密后才薯能获取服务侦，同时网关中将服务器与周外界网络隔漏离，避免了哑对服务器的厘直接攻击。闸结构清晰：括串联模式在麦物理部署和饿逻辑结构上毫都非常简单墨，容易理解腥。桃性能高：鸦相对于并联捡模式，串联宁模式的效率貌及带宽利用粪率更高。刷串联模式的窗缺点是：糕需要对原有循服务器进行动网络改动县及进行地址伟改变带来的筒必要的应用由变更。并联部署果并联模式（小单臂模式）鼠指赤格尔网关当逻辑部署在良用户和被保衡护的服务器态之间，而物膀理连接是在袖同一网络中诚，即矩格尔网关足的外网口接撑入原有用户始与服务器枕的网络连接娇中。用户可堤以通过网关侍获取服务，沫也可以直接卵连接到服务锁器（在知道威服务器地址码情况下）获解取服务。乒图表SEQ图表\*ARABIC完4乘并联部署诱示意图己并联模式的捧优点是：危部署方便：周应用无需作正改动，用户碧只需变更一抵下访问地址偏即可。瓣并企联模式的缺闹点是：枯安全性低：能由于服务器溉和外界网络前连接，存在贞用户绕开网煌关直接连接劫服务器和使因用其它方式扇攻击服务器膏的可能性；较同时，网关症到服务器的气明文数据也两在网络上传屋输，存在被伐窃听的安全柱隐患。屈性能较低：松相对于串联息模式，并联啄模式中用户抵到网关和网暗关到服务器秤的数据流量甲都通过一个赏网口进行，脚效率及带宽茧利用率相对南较低。秋双机热备部区署之系统支持双苹机热备功能摘，在需要高娱可靠性的环诱境下需要对欣网关进行双戏机热备部署挡。双机热备聪部署需要部敏署两台设备腐，一台作为鱼主机，一台厉作为备机，晶两台机器都莲与网络连接母，两台设备故之间使用交川叉线连接热般备口进行验状态醋检测，在正第常情况下由毅主机提供服涛务，当主机被发生异常时戴系统自动切滑换到备机进激行服务。部壮署方式如图炸：桶图表SEQ图表\*ARABIC涂5脊串联模式下胞的双机热备兵部署亿图表SEQ图表\*ARABIC摸6萄并联模式下优的双机热备假部署钟负载均衡部铺署散格尔网关令可以和大多少数负载皂均衡设备配就合使用，亚格尔网关驰采用串联模建式和并联模恩式都可以与药负载均衡设孕备很好的配搅合使用。如康下图：玻图表SEQ图表\*ARABIC柄7朝负载均衡环痒境下的串联莫模式部署梦图表SEQ图表\*ARABIC堂8高负载均衡环族境下的并联蹦部署调注：址负载均衡器劳将网络的S朴SL流量负金载到可用的投格尔网关汇上，详格尔网关夜对后端的W弹eb服务器果并没有负载穗均衡的作用众。选购指南江格尔网关纤采用距专用网络硬财件设备，产骡品具有多个蜡系列叹：唱E-201箭0丑E-202毕0纽G-402专0红G-404铃0滨设备高度衣1u洪1u窑2朽u盆2访u少网络接口脊4*翻100M故4*首100M魔6*筋1000M耗4*惕1000M虹电源指标稼数量：险电压（V）巨：宫电流（A）权：盈功率（W）狭：棒1项100~2霞40芹0.5~3谱65舒1检100~2孔40浪3~6隶200薪1慌90~26返4孩4~8晨460低2渔90~26纠4蜓4~8捎460牌工作温度书0莫C-挽-嘱4僻0棍虽C妻0嘴C-谊-呼4平0订忘C焰0挨C-肌-白4应0谋趁C兵0稳C-领-哪4厅0饱景C提工作湿度盖5漫--断95乳RH奏，不凝结图5妥--昨95戏RH改，不凝结转5晃--怖95躁RH呈，不凝结歉5纪--槐95致RH敌，不凝结慌最大新建连胆接数脂60次/海秒鞠160次/警秒忽2500次捷/秒映40熔00次/秒涂最大并发连编接数铸400饶800候2500萌5500倘最大流量求50Mbp馆s班120Mb介ps及680Mb床ps膊850Mb欲ps豆注：上述所征有规格及参繁数若有变动矛恕不另行通跟知，请以厂突家提供的最映终配置为准翻。卫客户端宝运行环境撒与格尔SS旦L安全网关比连接的客户魂端推荐配置扒如下：鹅CPU：P朗3吵800M轻以上反内存：船256M晚以上购操作系统：祝win20熟00以上消版本秒浏览器：I洗E6.0以营上，密钥长未度128位车产品支持联率系方式慈上海格尔软配件股份有限检公司标地址：上海此市余姚路2配88号A座问4楼欣：（8予6-21）凯62327黑010碌仇：（8泪6-21）离62327界015垫Email梦：ssl辅vpn将@koal细番：聪2000厚4贷2若附录公司挽介绍公司概述明上海格尔软咳件股份有限像公司同(零以下简称格睬尔软件惯)文成立于19竭98年3月在，注册资本屿3500万遇，北京设营旧销和技术支险持中心。公星司下设北京闯格尔国信、兆上海格尔信福息、上海格没尔卫信及连宁波格尔天搬屹读等子公司，单在全国云各大中心城揪市还开设呜有欣多个办事处奖。公司询现有员工3午10人，其况中本科以上蜡学历占93雀%，技术开教发人员21蜘0余人，约惨占65%。报格尔软件是冈专业抽从事信息安藏全核心技术收和产品研发述，为客户提仍供信息安全挑整体解决方闪案与症配套株服务睡的国内身份畜管理领域的容领先企业。伴公司是国内哀最早研制P扶KI平台的锡厂商，戏国内首批商昂用密码产品勒定点生产与劲销售单位，酿国家保密局夸批准认定的徒“年涉及国家秘欣密的计算机航信息集成甲厚级资质单位罚”塞，朴国家信息化场工作领导小徐组计算机网压络与信息安某全管理工作栽办公室（国价信安办）认展定的14家洗计算机网络累安全服务试钻点单位之一港，国家“8重63”计划珠信息安全示锻范工程金融驼子项目的总腰服务商及“技863”课袖题承担单位蝴。公司曾获云国家进步二叨等奖和上海锣市科技进步似一等奖。临公司还是全灯国信息安全凤标准化技术槽委员会的主暂要成员之一英。经过全国齿信息安全标歌准化技术委美员会严格审换定，上海格参尔软件股份迟被序批准为WG狠1、WG4格、WG5、观WG7工作哄组成员，在动WG4工作蝶组中承担相逮关标准制定室工作。技术与产品盐格尔软件坚罗持岁以技术创新绣推动企业的玩发展。公司商长期从事核续心密码技术里的研究并有哨深厚的积累因，至今已号申请了辞17筋项疾自主研发的暴专利升技术档，习其中7项已采获国家专利返局的授权，冠另外还拥有针7项软件著辨作权。尤目前，公司失已形成PK惜I基础平台博产品、安全挡网关产品、菜内网安全应称用产品（超容级蓝盾系列拦）三大产品眨线。工核心产品并包括代PKI/C填A身份认证性产品、网盾鬼桌面安全软给件、安全认谜证网关、S编SO单点登谷录系统、网日络保险箱系沾统、金融I口C卡密钥管菌理系统、信前息安全综合恐监控与管理双平台产品等丢。服务支持莲客户至上是站格尔软件的道服务宗旨，钻对蚕客户的吉全面每支持服务烧与客户共同问进步是格尔圣软件的追求涌。扑现在丑公司葬已挎为全国29司个省市的众菊多客户提供灶了产品或服烘务，协助用元户进行系统奥维护缩及帮基于数字证矿书的应用推剃广御。公司欣在上海、北酿京、西安、嫩湖南、湖北随、安徽、江页苏、浙江、和贵州、福建举等地设有技缠术支持服务午机构或人员绢，为重点客能户提供长期过、稳定、高益效的技术支缝持尊与包服务。我们根还同招由少其它公司承诱建的上海C啊A、西部C说A、陕西C切A、山东C腾A、广东C牲A、CTC链A、公安部级等众多运营鱼机构建立了排战略合作关借系，提供证押书应用推广食所需的产品族及技术支持扯服务。伸公司利用自锅己深厚的技这术积累，可剖以为客户提腰供信息安全萝咨询培训、卫安全解决方椒案设计、产爷品开发、信召息安全系统鞋建设及系统痕运行维护等剥一整套信息渴安全技术支骗持与委托服搅务。质量管理彻只有过程正伞确才能保证纤结果的正确蒸。格尔软件荐视质量为生物命，继04举年通过IS报O9001摩质量认证之欠后，公司又岛于05年在钻信息安全行幸业率先启动任了CMMI嘱软件能力成秩熟度的质量筛改进过程。旨现在公司已从建立起一套败规范的质量晴管理体系并狠通过蜻了针SEIC私MMIL宴3良的逝评估习，成为铜国内目前哄少有的达到骗CMMI但3级医的信息安全珠厂毒商帖。亩质量句过程的齐持续改进，令保证了烂公司境的荒研发能力和浪产品质量的伏不断涝提升托。客户可以的得到放心满蝇意的产品和拐服务沫。主要案例酒国家墙863沫计划蚁“情数字证书应垫用综合管理恋”更课题技国家锻863中计划信息安掌全示范工程淘“S219届”换项目寇浙江省数字欠证书认证中庙心；反江苏省数字周证书认证中吨心；菜河北省数字晶证书认证中托心；律湖南省数字蛙证书认证中箱心；渐安徽省数字梦证书认证中盟心；机新疆数字证厦书认证中心瞎；筝贵阳数字证有书认证中心住；顷发改委金宏谁工程（一期科）安全子系蒙统菌—药网络信任体宝系；坚国家电子政馅务外网扩根勤CA货系统项目霉；极航空一集团晚“豪金航雨”虽主干网安全亭总集成项目窑中国工程物惰理研究院C加A示范项目踩中国人民银水行滥IC球卡密钥管理逼系统项目紫中国人民银援行银联卡根读CA蝴认证系统项皆目曾轿上海卫生监辩督所信息安夜全系统；货国家统计局韵行业性PK肺I体系建设允；头上海出入境责边防总站整裕体安全集成揉项目；录国家携“积十五国家密皂码发展基金庄密码理论课皱题搂”通；调湖北电力信宾息系统整体衡安全建设一乡、二期工程尤；奖福建电力信崭息系统信任查与授权平台稻建设一、二丸期工程；滴中央办公厅虎某讽H衬网认证加密贱项目蒜国家某部委税内网全国纵