BS網(wǎng)絡(luò)架構(gòu)安全傳輸和訪問控制的解決方案

B/S的網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全傳輸和訪問控制的安全解決方案（PKI產(chǎn)品系列應(yīng)用解決方案之一）上海格爾軟件股份有限公司2002年12月基于B/S架構(gòu)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)，就是用戶客戶端通過IE瀏覽器以HTTP的協(xié)議與服務(wù)器(webserver)進(jìn)行通信的網(wǎng)絡(luò)應(yīng)用方式，這種應(yīng)用通常采用用戶名和口令的機(jī)制進(jìn)行簡(jiǎn)單的身份認(rèn)證，中間傳輸?shù)臄?shù)據(jù)均是明文數(shù)據(jù)。目前這種B/S架構(gòu)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)缺乏一定的安全性，在建立的PKI平臺(tái)基礎(chǔ)上，提供相關(guān)的PKI應(yīng)用產(chǎn)品可以為這種網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供解決方案。通用的說：可以通過數(shù)字認(rèn)證技術(shù)來為應(yīng)用系統(tǒng)提供解決方案。本文將詳細(xì)描述具體的方案。圖表1常見B/S應(yīng)用系統(tǒng)數(shù)據(jù)傳輸邏輯圖1Z覽器X1 〈低強(qiáng)度加密連接SSL代理客戶端S S1Z覽器X1 〈低強(qiáng)度加密連接SSL代理客戶端S S高強(qiáng)度加密連接 _>L高強(qiáng)度加密連接明文Web

服務(wù)器/

應(yīng)用

服務(wù)器3系統(tǒng)解決的基本方案3.1安全傳輸?shù)幕痉桨?.1.1傳輸安全的解決方法：應(yīng)用系統(tǒng)的安全傳輸是通過SSL產(chǎn)品來解決，也就是下面描述SSL服務(wù)器代理和SSL客戶端B/S代理產(chǎn)品。對(duì)于SSL客戶端代理和SSL服務(wù)器代理產(chǎn)品完成基于SSL協(xié)議的安全傳輸，保障整個(gè)網(wǎng)絡(luò)數(shù)據(jù)加密傳輸，同時(shí)對(duì)于應(yīng)用系統(tǒng)基本透明。具體的邏輯架構(gòu)如下圖客戶端服務(wù)端客戶端圖表2安全傳輸?shù)慕鉀Q邏輯圖在ssl代理客戶端和代理服務(wù)器之間，通過ssl協(xié)議實(shí)現(xiàn)高強(qiáng)度的加密連接，保障了數(shù)據(jù)的安全傳輸。3.1.2SSL產(chǎn)品與應(yīng)用系統(tǒng)結(jié)合的方法：3

SSL代理客戶端產(chǎn)品安裝在用戶的客戶端，在使用時(shí)，啟動(dòng)即可，不用作任何配置。SSL代理服務(wù)器產(chǎn)品，以專門的服務(wù)器提供，和WEB服務(wù)器安裝在同一網(wǎng)絡(luò)安全區(qū)域，但需要管理員為保障安全傳輸?shù)腤EBSERVER增加適當(dāng)網(wǎng)絡(luò)配置。下圖就是ssl的網(wǎng)絡(luò)配置。務(wù)的端口，管理員根據(jù)實(shí)際情況進(jìn)行填寫。ip地址2和端口80指的是當(dāng)前需要安全保護(hù)的webServer的地址和服務(wù)的端口，管理員根據(jù)實(shí)際情況進(jìn)行填寫。所以對(duì)于應(yīng)用系統(tǒng)無需做任何改動(dòng)，對(duì)于webServer最終在應(yīng)用中得到的數(shù)據(jù)與原先http方式得到的數(shù)據(jù)一樣，也就是說ssl產(chǎn)品對(duì)應(yīng)用而言是完全透明的。3.1.3用戶最終的使用方式未使用ssl代理產(chǎn)品之前，假設(shè)用戶通過http://webserverIP：webserverport/application/的方式使用系統(tǒng)，安裝和使用ssl代理產(chǎn)品之后，4用戶需通過https://sslserverIP:sslserverport/application的方式訪問和使用應(yīng)用系統(tǒng)，也就是說，原先的webserver的IP修改成當(dāng)前SSL服務(wù)器代理的IP,原先的webserver的port修改成當(dāng)前SSL服務(wù)器代理服務(wù)的端口，同時(shí)http://修改成https://。注意http://webserver_IP/...方式訪問的默認(rèn)端口為80,而https://sslserver_IP/...方式訪問的默認(rèn)端口為443。3.2身份認(rèn)證和訪問控制的基本方案上面主要描述的是通過ssl保證了網(wǎng)絡(luò)應(yīng)用中數(shù)據(jù)傳輸?shù)陌踩珣?yīng)用如何了解當(dāng)前訪問用戶的確切身份，如何通過身份做進(jìn)一步的訪問控制呢，本節(jié)做詳細(xì)描述。3.2.1解決方法:在前面所描述的ssl產(chǎn)品保障了安全傳輸?shù)幕A(chǔ)上，ssl服務(wù)器代理產(chǎn)品附帶了用戶身份提交和認(rèn)證的功能，并且將用戶身份信息提交給WEB應(yīng)用，WEB應(yīng)用在獲取有效的用戶身份之后，分析該用戶的權(quán)限，進(jìn)行有效的訪問控制。按照ssl(SecureSocketLayer)基本協(xié)議，是可以要求客戶端必須含有有效的個(gè)人數(shù)字證書方可訪問sslserver的功能。為了實(shí)現(xiàn)身份認(rèn)證和訪問控制，sslserver產(chǎn)品中提供了這樣的功能，所以用戶通過https://sslserver_IP/...方式訪問系統(tǒng)過程中，會(huì)彈出請(qǐng)用戶選擇含有個(gè)人證書的加密設(shè)備，選擇完畢之后，用戶需輸入當(dāng)前加密設(shè)備口令的對(duì)話框這樣一個(gè)過程，如下圖：同時(shí)，SSL服務(wù)器代理在對(duì)客戶身份做有效的認(rèn)證之后，必須將用戶的身份以某種合適的方式提交給WEB應(yīng)用，WEB應(yīng)用根據(jù)用戶身份信息方可做有效的訪問控制，SSL服務(wù)器代理提供了這一功能，具體的方式是：按照正常情況，sslserver是在得到sslclient的數(shù)據(jù)之后，解密還原成http方式將客戶端請(qǐng)求數(shù)據(jù)發(fā)送給webserver,為此sslserver在提交給web應(yīng)用的客戶端請(qǐng)求數(shù)據(jù)中間增加了用戶身份的信息，這樣web應(yīng)用不光得到客戶端的請(qǐng)求數(shù)據(jù)，同時(shí)也得到了用戶的身份信息，進(jìn)而web應(yīng)用可做相應(yīng)的訪問控制。3.2.2SSL產(chǎn)品與應(yīng)用系統(tǒng)結(jié)合的方法：用戶身份信息是ssl服務(wù)器代理以cookie的形式附加到客戶端的http協(xié)議的請(qǐng)求數(shù)據(jù)中的，cookie是http協(xié)議中的標(biāo)準(zhǔn)元素，不同的cookie名稱代表不同用戶的信息。譬如KOAL_CERT_E代表用戶的email地址，KOAL_CERT_PHONE代表用戶的電話號(hào)碼等。所以ssl產(chǎn)品與B/S應(yīng)用系統(tǒng)結(jié)合，需要WEB應(yīng)用做適當(dāng)?shù)母脑?。具體可以參見下面的說明：保留原有的訪問控制方式，增加一個(gè)安全登錄按扭。(下圖中假設(shè)原驗(yàn)證頁面verify.jsp,而SSL登錄頁面為verifySSL.jsp)昔通登錄用戶名密碼登錄指向http://.../verify,jsp安全登錄登錄指向h圖表淑安全登陸界面圖L.jwp用戶如需安全登錄，則按安全登錄按扭。安全登錄按鈕指向一個(gè)獲取證書信7

息的頁面（假設(shè)名為VerifySSL.jsp）。該頁面通過獲取SSLServer傳遞過來的Cookie內(nèi)容來標(biāo)識(shí)該用戶身份。以下圖示表明了一次成功的登錄所走流程。圖表3-4安全登陸流程由圖所示，對(duì)于應(yīng)用系統(tǒng)而言，使用SSL登錄和普通的用戶名口令登錄方式實(shí)現(xiàn)的最大不同點(diǎn)就是一個(gè)需要對(duì)用戶身份進(jìn)行認(rèn)證（用戶/密碼匹配），一個(gè)直接獲取cookie中用戶信息而不必再驗(yàn)證。如果應(yīng)用沒有從cookie中