格爾安全認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書

1、格爾安全認(rèn)證網(wǎng)關(guān)產(chǎn)品白皮書V5.0上海格爾軟軟件股份份有限公公司2007年年8月保密事宜：本文檔包含含上海格格爾軟件件股份有有限公司司的專有有商業(yè)信信息和保保密信息息。接受方同意意維護(hù)本本文檔所所提供信信息的保保密性，承承諾不對(duì)對(duì)其進(jìn)行行復(fù)制，或或向評(píng)估估小組以以外、非非直接相相關(guān)的人人員公開開此信息息。對(duì)于于以下三三種信息息，接受受方不向向格爾公公司承擔(dān)擔(dān)保密責(zé)責(zé)任：1 ) 接受方方在接收收該文檔檔前，已已經(jīng)掌握握的信息息。2 ) 可以通通過(guò)與接接受方無(wú)無(wú)關(guān)的其其它渠道道公開獲獲得的信信息。3 ) 可以從從第三方方，以無(wú)無(wú)附加保保密要求求方式獲獲得的信信息。目 錄TOC o 1-3 h z

2、HYPERLINK l _Toc173209920 1概述 PAGEREF _Toc173209920 h 1 HYPERLINK l _Toc173209921 1.1您您的網(wǎng)絡(luò)絡(luò)應(yīng)用安安全嗎？ PAGEREF _Toc173209921 h 1 HYPERLINK l _Toc173209922 1.2解解決網(wǎng)絡(luò)絡(luò)應(yīng)用安安全您要要考慮： PAGEREF _Toc173209922 h 1 HYPERLINK l _Toc173209923 2產(chǎn)品概概述 PAGEREF _Toc173209923 h 2 HYPERLINK l _Toc173209924 3為什么么選擇格格爾安全全認(rèn)證網(wǎng)網(wǎng)

3、關(guān) PAGEREF _Toc173209924 h 3 HYPERLINK l _Toc173209925 3.1PPKI數(shù)數(shù)字證書書的全面面支持 PAGEREF _Toc173209925 h 3 HYPERLINK l _Toc173209926 3.2對(duì)對(duì)用戶的的一致性性認(rèn)證 PAGEREF _Toc173209926 h 4 HYPERLINK l _Toc173209927 3.3自自動(dòng)簽名名驗(yàn)證 PAGEREF _Toc173209927 h 4 HYPERLINK l _Toc173209928 3.4單單點(diǎn)登錄錄 PAGEREF _Toc173209928 h 5 HYPERL

4、INK l _Toc173209929 3.5多多應(yīng)用類類型支持持 PAGEREF _Toc173209929 h 5 HYPERLINK l _Toc173209930 3.6對(duì)對(duì)應(yīng)用的的加速 PAGEREF _Toc173209930 h 5 HYPERLINK l _Toc173209931 3.7安安全資質(zhì)質(zhì) PAGEREF _Toc173209931 h 5 HYPERLINK l _Toc173209932 3.8其其他特性性 PAGEREF _Toc173209932 h 6 HYPERLINK l _Toc173209933 4產(chǎn)品主主要功能能 PAGEREF _Toc1732

5、09933 h 6 HYPERLINK l _Toc173209934 5產(chǎn)品部部署 PAGEREF _Toc173209934 h 9 HYPERLINK l _Toc173209935 5.1串串聯(lián)部署署 PAGEREF _Toc173209935 h 9 HYPERLINK l _Tocc173320999366 5.22并聯(lián)部部署 PAGEREF _Toc173209936 h 10 HYPERLINK l _Toc173209937 5.3雙雙機(jī)熱備備部署 PAGEREF _Toc173209937 h 11 HYPERLINK l _Toc173209938 5.4負(fù)負(fù)載均衡衡部署

6、 PAGEREF _Toc173209938 h 13 HYPERLINK l _Toc173209939 6選購(gòu)指指南 PAGEREF _Toc173209939 h 15 HYPERLINK l _Toc173209940 7客戶端端運(yùn)行環(huán)環(huán)境 PAGEREF _Toc173209940 h 16 HYPERLINK l _Toc173209941 8產(chǎn)品支支持聯(lián)系系方式 PAGEREF _Toc173209941 h 16 HYPERLINK l _Toc173209942 9附錄公公司介紹紹 PAGEREF _Toc173209942 h 16 HYPERLINK l _Toc1732

7、09943 9.1公公司概述述 PAGEREF _Toc173209943 h 16 HYPERLINK l _Toc173209944 9.2技技術(shù)與產(chǎn)產(chǎn)品 PAGEREF _Toc173209944 h 17 HYPERLINK l _Toc173209945 9.3服服務(wù)支持持 PAGEREF _Toc173209945 h 17 HYPERLINK l _Toc177320099446 9.44質(zhì)量管管理 PAGEREF _Toc173209946 h 18 HYPERLINK l _Toc173209947 9.5主主要案例例 PAGEREF _Toc173209947 h 18 H

8、YPERLINK l _Toc173209948 9.6公公司文化化理念 PAGEREF _Toc173209948 h 19 HYPERLINK l _Toc173209949 10名詞詞解釋 PAGEREF _Toc173209949 h 19概述您的網(wǎng)絡(luò)應(yīng)應(yīng)用安全全嗎？隨著網(wǎng)絡(luò)的的快速發(fā)發(fā)展，網(wǎng)網(wǎng)絡(luò)應(yīng)用用以其高高效、便便捷的特特點(diǎn)得到到廣泛應(yīng)應(yīng)用，如如網(wǎng)上證證券、網(wǎng)網(wǎng)上銀行行、電子子政務(wù)、電電子商務(wù)務(wù)、企業(yè)業(yè)遠(yuǎn)程辦辦公等。越來(lái)越多的重要業(yè)務(wù)在網(wǎng)上辦理，越來(lái)越多的重要信息在網(wǎng)絡(luò)中傳輸，如何保護(hù)這些重要資源的安全訪問(wèn)以及重要數(shù)據(jù)的安全流轉(zhuǎn)是網(wǎng)絡(luò)應(yīng)用面臨的重要問(wèn)題，但通常的網(wǎng)絡(luò)應(yīng)用都存在以下安

9、全隱患：沒(méi)有有效的的身份認(rèn)認(rèn)證機(jī)制制：一般般都采用用用戶名名+口令令的弱認(rèn)認(rèn)證方式式，這種種認(rèn)證用用戶的模模式，存存在極大大的隱患患，具體體表現(xiàn)在在：（aa）口令令易被猜猜測(cè)；（b）口令在公網(wǎng)中傳輸，容易被截獲；（c）一旦口令泄密，所有安全機(jī)制即失效；（d）后臺(tái)服務(wù)系統(tǒng)需要維護(hù)龐大的用戶口令列表并負(fù)責(zé)口令保存的安全，管理非常困難。數(shù)據(jù)傳輸不不安全：當(dāng)前大大多網(wǎng)絡(luò)絡(luò)應(yīng)用所所發(fā)放的的數(shù)據(jù)包包均是按按照TCCP/IIP協(xié)議議為明文文方式傳傳輸，而而Intternnet的的開放性性造成傳傳輸信息息存在著著被竊聽聽、被篡篡改的安安全問(wèn)題題。操作抵賴：網(wǎng)絡(luò)應(yīng)應(yīng)用將現(xiàn)現(xiàn)實(shí)世界界的實(shí)體體操作轉(zhuǎn)轉(zhuǎn)化為虛虛擬世界

10、界的信息息流，信信息流的的可復(fù)制制性對(duì)操操作的唯唯一性和和可信性性提出了了挑戰(zhàn)，操操作可以以被抵賴成成為網(wǎng)絡(luò)絡(luò)應(yīng)用亟亟需解決決的一個(gè)個(gè)嚴(yán)重問(wèn)問(wèn)題。解決網(wǎng)絡(luò)應(yīng)應(yīng)用安全全您要考考慮信任是安全全的基礎(chǔ)礎(chǔ)，在缺缺乏信任任的環(huán)境境下，實(shí)實(shí)現(xiàn)信息息系統(tǒng)的的安全是是不可想想象的，因因此解決決網(wǎng)絡(luò)應(yīng)應(yīng)用安全全的一個(gè)核核心問(wèn)題題是解決決信任問(wèn)問(wèn)題，信信任主要要體現(xiàn)在在以下幾幾方面：強(qiáng)身份認(rèn)證證。建立信信任首先先要確認(rèn)認(rèn)參與者者的身份份，即身身份認(rèn)證證。身份份認(rèn)證是是安全保保障的第第一道門門檻，也也是后續(xù)續(xù)安全措措施的依依據(jù)和基基礎(chǔ)，如果第第一道門門檻被攻攻破，系系統(tǒng)“認(rèn)錯(cuò)人人”，則后后續(xù)的無(wú)無(wú)論多么么嚴(yán)密的的安

11、全措措施基本本實(shí)效，因因此，身身份認(rèn)證證機(jī)制強(qiáng)強(qiáng)度的高高低很大大程度決決定了安安全系統(tǒng)統(tǒng)的安全全級(jí)別高高低，對(duì)對(duì)于一個(gè)個(gè)直接面面對(duì)互聯(lián)聯(lián)網(wǎng)，如如果身份份認(rèn)證機(jī)機(jī)制的強(qiáng)強(qiáng)度不夠夠，根本本無(wú)法起起到屏障障作用，無(wú)異于將網(wǎng)資源直接開放。因此，身份認(rèn)證機(jī)制不在于多少，而在于夠不夠強(qiáng)。基于PKI數(shù)字證書的認(rèn)證是目前被廣泛接受的強(qiáng)身份認(rèn)證機(jī)制之一。數(shù)據(jù)秘密性性和完整整性。一一方面，認(rèn)證機(jī)制越強(qiáng)，效率越低。在網(wǎng)絡(luò)應(yīng)用中并不是每次交互都進(jìn)行認(rèn)證，而是根據(jù)第一次認(rèn)證后的憑證來(lái)辨認(rèn)用戶，因此在真正用戶在線認(rèn)證通過(guò)后，竊取用戶的認(rèn)證憑證，冒充用戶訪問(wèn)是一種有效的攻擊手段。因此身份認(rèn)證過(guò)程以及后續(xù)傳輸通訊都需全程保密

12、。另一方面，網(wǎng)絡(luò)應(yīng)用中的重要信息被其他人特別是競(jìng)爭(zhēng)對(duì)手得到造成的損失極大，因此要求信息傳輸時(shí)對(duì)信息進(jìn)行高強(qiáng)度加密，保證傳輸安全性?？傊畔⒃诰W(wǎng)絡(luò)上明文傳輸，被人輕易獲取，無(wú)異于自己打開門把東西拿給別人，系統(tǒng)有再?gòu)?qiáng)的其他安全機(jī)制有何用呢？全程加密是對(duì)數(shù)據(jù)秘密性及完整性保障的優(yōu)選方案之一。不可抵賴性性。不可可抵賴是是信任的的一個(gè)關(guān)關(guān)鍵因素素也是一一個(gè)關(guān)鍵鍵約束，是是對(duì)結(jié)果果的認(rèn)可可和保障障，如果果可以事事后賴賬賬，無(wú)法法追究責(zé)責(zé)任，那那么先前前所作的的一切都都是前功功盡棄?，F(xiàn)實(shí)生活中已經(jīng)形成一套不可抵賴性的方式方法，而在網(wǎng)絡(luò)世界中，數(shù)字簽名技術(shù)是公認(rèn)的不可抵賴性實(shí)現(xiàn)的最優(yōu)方案，電子簽名法的頒布和

13、實(shí)施也提供了相應(yīng)的法律依據(jù)。產(chǎn)品概述圖表 SEQ 圖表 * ARABIC 1 E型網(wǎng)網(wǎng)關(guān)外觀觀圖表 SEQ 圖表 * ARABIC 2 G型網(wǎng)網(wǎng)關(guān)外觀觀（以上產(chǎn)品品外觀圖圖僅做參參考，具具體外觀觀及接口口以實(shí)物物為準(zhǔn)）格爾網(wǎng)關(guān)為為網(wǎng)絡(luò)應(yīng)應(yīng)用提供供基于數(shù)數(shù)字證書書的高強(qiáng)強(qiáng)度身份份認(rèn)證服服務(wù)、高高強(qiáng)度數(shù)數(shù)據(jù)鏈路路加密服服務(wù)及數(shù)數(shù)字簽名名及驗(yàn)證證服務(wù)，可可以有效效保護(hù)網(wǎng)網(wǎng)絡(luò)資源源的安全全訪問(wèn)。支支持HTTTP、HHTTPPS的BB/S應(yīng)應(yīng)用以及及FTPP、遠(yuǎn)程程桌面等等通用的的C/SS應(yīng)用。為什么選擇擇格爾安安全認(rèn)證證網(wǎng)關(guān)格爾安全認(rèn)認(rèn)證網(wǎng)關(guān)關(guān)是：上海格爾軟軟件自主主研發(fā)的的網(wǎng)絡(luò)安安全應(yīng)用用產(chǎn)品?；?/p>

14、PKII數(shù)字證證書體系系的經(jīng)過(guò)過(guò)國(guó)家密密碼管理理局認(rèn)證證的認(rèn)證證加密產(chǎn)產(chǎn)品（SSJY1128）。唯一一款集集強(qiáng)身份份認(rèn)證、數(shù)數(shù)據(jù)保密密性、數(shù)數(shù)據(jù)完整整性及不不可抵賴賴性功能能于一身身的產(chǎn)品品。格爾安全認(rèn)認(rèn)證網(wǎng)關(guān)關(guān)的價(jià)值值體現(xiàn)在在以下幾幾個(gè)方面面：PKI數(shù)字字證書的的全面支支持基于對(duì)PKKI的深深刻理解解，格爾爾網(wǎng)關(guān)具具備了對(duì)對(duì)PKII的全面面支持，包包括以下下幾個(gè)方方面：證書單雙向向的認(rèn)證證選擇：格爾網(wǎng)網(wǎng)關(guān)可以以配置建建立加密密連接時(shí)時(shí)是否認(rèn)認(rèn)證用戶戶證書。多服務(wù)，多多站點(diǎn)證證書支持持：格爾網(wǎng)網(wǎng)關(guān)可以以建立多多個(gè)服務(wù)務(wù)，保護(hù)護(hù)不同的的應(yīng)用，每每個(gè)服務(wù)務(wù)可以使使用不同同的站點(diǎn)點(diǎn)證書。多條證書鏈鏈

15、支持：格爾網(wǎng)網(wǎng)關(guān)支持持多條證證書鏈同同時(shí)存在在、同時(shí)時(shí)生效，即同一一個(gè)SSSL服務(wù)務(wù)可以同同時(shí)認(rèn)證證多家CCA中心心的證書書用戶。動(dòng)態(tài)黑名單單支持：格爾網(wǎng)網(wǎng)關(guān)可以以自動(dòng)到到LDAAP發(fā)布布點(diǎn)獲取取黑名單單，并動(dòng)動(dòng)態(tài)更新新，不需需要重新新啟動(dòng)服服務(wù)。對(duì)用戶的一一致性認(rèn)認(rèn)證通常的網(wǎng)關(guān)關(guān)產(chǎn)品只只是建立立了一個(gè)個(gè)加密連連接，與與應(yīng)用完完全無(wú)關(guān)關(guān)，用戶戶通過(guò)認(rèn)認(rèn)證建立立加密連連接后必必須經(jīng)過(guò)過(guò)再次認(rèn)認(rèn)證（如如用戶名名+口令令、動(dòng)態(tài)態(tài)令牌等等）登錄錄應(yīng)用系系統(tǒng)，這這種兩次次登錄不不僅沒(méi)有有加強(qiáng)安安全性，而而且在給給用戶帶帶來(lái)不便便的同時(shí)也也帶來(lái)安安全隱患患，由于于加密連連接和應(yīng)應(yīng)用對(duì)用用戶認(rèn)證證的不一一致

16、，用用戶可以以使用自自己的證證書建立立連接，使使用別人人的用戶戶名登錄錄，這種方方式給應(yīng)應(yīng)用的流流程和日日后審計(jì)計(jì)、取證證帶來(lái)了了混亂。格爾網(wǎng)關(guān)可可以將用用戶證書書中的任任意信息息以coookiie方式式向后臺(tái)臺(tái)服務(wù)器器傳送，應(yīng)用系統(tǒng)無(wú)需額外接口就可以方便獲取證書用戶信息，即保證了用戶的一次登錄，又保證了應(yīng)用對(duì)用戶認(rèn)證的一致性，安全性得到進(jìn)一步保障。同時(shí)，使用網(wǎng)關(guān)保護(hù)的多個(gè)應(yīng)用系統(tǒng)也實(shí)現(xiàn)了對(duì)用戶的單點(diǎn)登錄功能，即用戶使用一張證書登錄所有應(yīng)用系統(tǒng)。自動(dòng)簽名驗(yàn)驗(yàn)證（專專利技術(shù)術(shù)之一）格爾網(wǎng)關(guān)創(chuàng)創(chuàng)新性的的提出了了自動(dòng)簽簽名驗(yàn)證證服務(wù)，有效解決了網(wǎng)絡(luò)不可抵賴性問(wèn)題，使其成為目前唯一一款集強(qiáng)身份認(rèn)證、數(shù)

17、據(jù)保密性、數(shù)據(jù)完整性及不可抵賴性功能于一身的產(chǎn)品，是PKI產(chǎn)品的一種突破。自動(dòng)簽名驗(yàn)驗(yàn)證的特特色是“自動(dòng)”，簽名名、驗(yàn)證證等復(fù)雜雜工作都都由格爾爾網(wǎng)關(guān)自自動(dòng)完成成，對(duì)應(yīng)應(yīng)用實(shí)現(xiàn)現(xiàn)零+開開發(fā)，應(yīng)應(yīng)用只需需在網(wǎng)頁(yè)頁(yè)中進(jìn)行行設(shè)置，無(wú)無(wú)需額外外開發(fā)接接口、無(wú)無(wú)需額外外專業(yè)知知識(shí)就能能輕松實(shí)實(shí)現(xiàn)信息息不可抵抵賴。SSL協(xié)議議中雙證證書的應(yīng)應(yīng)用（專專利技術(shù)術(shù)之一）雙證書機(jī)制制是當(dāng)前前我國(guó)PPKI體體系建設(shè)設(shè)的主流流模式。使使用簽名名證書進(jìn)進(jìn)行身份份認(rèn)證，使使用加密密證書進(jìn)進(jìn)行密鑰鑰的交換換和保護(hù)護(hù)，既使使PKII技術(shù)在在應(yīng)用中中發(fā)揮其其基于非非對(duì)稱密密鑰所帶帶來(lái)的優(yōu)優(yōu)勢(shì)，又又滿足了了國(guó)家對(duì)對(duì)PKII應(yīng)用進(jìn)

18、進(jìn)行審計(jì)計(jì)監(jiān)管的的需要，是國(guó)家家密碼管管理機(jī)構(gòu)構(gòu)對(duì)PKKI證書書應(yīng)用的的基本要要求。格爾網(wǎng)關(guān)創(chuàng)創(chuàng)新的提提出了雙雙證書在在SSLL協(xié)議中中的應(yīng)用用，并成成功在產(chǎn)產(chǎn)品中實(shí)實(shí)現(xiàn)，符符合國(guó)家家密碼管管理機(jī)構(gòu)構(gòu)對(duì)密碼碼產(chǎn)品的的要求。單點(diǎn)登錄（專專利技術(shù)術(shù)之一）對(duì)于某些無(wú)無(wú)法修改改或者無(wú)無(wú)法獲取取證書信信息從而而無(wú)法實(shí)實(shí)現(xiàn)用戶戶一致性性認(rèn)證的的應(yīng)用，格爾網(wǎng)關(guān)可以實(shí)現(xiàn)證書與原有用戶信息的映射，在應(yīng)用無(wú)需任何改動(dòng)的情況下自動(dòng)完成系統(tǒng)登錄，實(shí)現(xiàn)單點(diǎn)登錄功能。多應(yīng)用類型型支持格爾網(wǎng)關(guān)除除了可以以對(duì)B/S應(yīng)用用進(jìn)行安安全防護(hù)護(hù)外，對(duì)對(duì)于FTTP、ttelnnet、SSSH、遠(yuǎn)遠(yuǎn)程桌面面、SMMTP、PPOP33等多

19、種種非B/S應(yīng)用用也可以以進(jìn)行安安全防護(hù)護(hù)，具有有廣泛的的適用性性。對(duì)應(yīng)用的加加速格爾網(wǎng)關(guān)高高端產(chǎn)品品采用硬硬件加速速，加解解密運(yùn)算算全部由由硬件完完成，效效率是同同等硬件件環(huán)境下下軟件實(shí)實(shí)現(xiàn)的110倍以以上，可可以徹底底將應(yīng)用用服務(wù)器器的CPPU資源源從繁重重的加解解密中解解放出來(lái)來(lái)，起到到了對(duì)應(yīng)應(yīng)用加速速的作用用。安全資質(zhì)格爾安全認(rèn)認(rèn)證網(wǎng)關(guān)關(guān)通過(guò)了了國(guó)家保保密局、國(guó)國(guó)家密碼碼管理局的的嚴(yán)格鑒鑒定，取取得了相相關(guān)安全全資質(zhì)，符符合國(guó)家家對(duì)于密密碼產(chǎn)品品的使用用規(guī)定。其他特性安全性：系系統(tǒng)設(shè)置置專用網(wǎng)網(wǎng)絡(luò)接口口管理系系統(tǒng)，系系統(tǒng)關(guān)閉閉所有不不需要的的服務(wù)和和端口（如如FTPP、SSSH等），只

20、保留SSL服務(wù)端口，避免外界的攻擊。易用性：系系統(tǒng)所有有管理操操作均采采用weeb方式式，操作作簡(jiǎn)單方方便。適用性：系系統(tǒng)支持持串聯(lián)、并并聯(lián)等多多種部署署方式，適適用不同同的網(wǎng)絡(luò)絡(luò)環(huán)境和和應(yīng)用需需求。兼容性：支支持IEE、Neetsccapee、Fiireffox等等主流瀏瀏覽器，支支持IIIS、WWebsspheere、WWebllogiic、aapacche、ttomccat等等主流WWeb服服務(wù)器。高可用性：系統(tǒng)支支持雙機(jī)機(jī)熱備。產(chǎn)品主要功功能功能說(shuō)明功能類型證書認(rèn)證單雙向認(rèn)證證選擇功功能系統(tǒng)可以設(shè)設(shè)置是否否需要用用戶提交交用戶證證書基本功能動(dòng)態(tài)黑名單單功能系統(tǒng)可以自自動(dòng)更新新黑名單單、

21、動(dòng)態(tài)態(tài)更新，不不需要重重新啟動(dòng)動(dòng)服務(wù)支持LDAAP、HHTTPP等多種種方式更更新支持B644、DEER等多多種格式式基本功能多站點(diǎn)證書書功能系統(tǒng)可以擁?yè)碛卸鄠€(gè)個(gè)站點(diǎn)證證書，不不同的服服務(wù)可以以擁有不不同的站站點(diǎn)證書書基本功能多證書鏈功功能一個(gè)SSLL服務(wù)中中可同時(shí)時(shí)配置多多條證書書鏈，驗(yàn)驗(yàn)證不同同CA的的用戶證證書基本功能多種證書支支持功能能支持格爾、CCFCAA、SHHECAA及多數(shù)數(shù)省級(jí)CCA中心心數(shù)字證證書基本功能證書信息傳傳送功能能系統(tǒng)可以將將用戶證證書信息息包括擴(kuò)擴(kuò)展項(xiàng)信信息傳送送給應(yīng)用用系統(tǒng)基本功能應(yīng)用支持B/S應(yīng)用用支持B/SS應(yīng)用基本功能通用C/SS應(yīng)用支持FTPP、teel

22、neet、遠(yuǎn)遠(yuǎn)程桌面面以及通通用的CC/S應(yīng)應(yīng)用擴(kuò)展功能網(wǎng)絡(luò)應(yīng)用支持基于IIP的所所有應(yīng)用用擴(kuò)展功能多服務(wù)功能能系統(tǒng)可以創(chuàng)創(chuàng)建多個(gè)個(gè)SSLL服務(wù)，保保護(hù)不同同的應(yīng)用用服務(wù)，也也可以采采用同一一個(gè)SSSL服務(wù)務(wù)保護(hù)多多個(gè)應(yīng)用用服務(wù)（需需客戶端端）基本功能地址隱藏功功能系統(tǒng)將真正正應(yīng)用服服務(wù)的地地址隱藏藏，用戶戶僅知道道網(wǎng)關(guān)地地址擴(kuò)展功能支持應(yīng)用重重定向功功能在有防火墻墻NATT映射的的情況下下正常訪訪問(wèn)有重重定向的的網(wǎng)站基本功能特色功能認(rèn)證一致性性系統(tǒng)通過(guò)特特有的ccookkie技技術(shù)將用用戶的證證書信息息傳送給給后臺(tái)應(yīng)應(yīng)用，使使應(yīng)用無(wú)無(wú)需證書書接口開開發(fā)就可可以方便便的獲取取用戶證證書信息息基

23、本功能自動(dòng)簽名驗(yàn)驗(yàn)證系統(tǒng)自動(dòng)實(shí)實(shí)現(xiàn)對(duì)應(yīng)應(yīng)用指定定數(shù)據(jù)的的簽名和和驗(yàn)證功功能擴(kuò)展功能自動(dòng)登錄功功能對(duì)于特定應(yīng)應(yīng)用，系系統(tǒng)采用用用戶映映射技術(shù)術(shù)，將證證書映射射為原有有系統(tǒng)中中的賬戶戶，并進(jìn)進(jìn)行自動(dòng)動(dòng)登錄，在在后臺(tái)應(yīng)應(yīng)用無(wú)需需修改的的情況下下實(shí)現(xiàn)單單點(diǎn)登錄錄擴(kuò)展功能策略統(tǒng)一下下發(fā)系統(tǒng)實(shí)現(xiàn)客客戶端策策略的統(tǒng)統(tǒng)一下發(fā)發(fā)，用戶戶無(wú)需對(duì)對(duì)客戶端端進(jìn)行任任何配置置基本功能信息統(tǒng)計(jì)系統(tǒng)能夠?qū)?duì)用戶連連接數(shù)、應(yīng)應(yīng)用訪問(wèn)問(wèn)情況，系系統(tǒng)資源源占用等等信息進(jìn)進(jìn)行詳細(xì)細(xì)統(tǒng)計(jì)，為為更好了了解應(yīng)用用及調(diào)節(jié)節(jié)資源提提供基礎(chǔ)礎(chǔ)基本功能錯(cuò)誤重定向向系統(tǒng)對(duì)于認(rèn)認(rèn)證錯(cuò)誤誤可以重重定向到到用戶指指定頁(yè)面面，增強(qiáng)強(qiáng)友好性性基本功能訪問(wèn)控

24、制功功能實(shí)現(xiàn)URLL級(jí)別的的訪問(wèn)控控制，對(duì)對(duì)于不同同用戶、不不同角色色實(shí)現(xiàn)不不同的控控制擴(kuò)展功能對(duì)稱加密算算法的替替換系統(tǒng)支持加加密算法法的替換換擴(kuò)展功能系統(tǒng)管理系統(tǒng)備份恢恢復(fù)功能能系統(tǒng)可以備備份當(dāng)前前SSLL的所有有配置，保保證系統(tǒng)統(tǒng)癱瘓時(shí)時(shí)的快速速恢復(fù)基本功能恢復(fù)出廠設(shè)設(shè)置功能能系統(tǒng)具有恢恢復(fù)默認(rèn)認(rèn)設(shè)置功功能，方方便使用用基本功能日志發(fā)送功功能系統(tǒng)將日志志以SYYSLOOG的方方式發(fā)送送到指定定服務(wù)器器。基本功能系統(tǒng)在線升升級(jí)系統(tǒng)支持WWeb方方式的系系統(tǒng)升級(jí)級(jí)基本功能性能檢測(cè)功功能系統(tǒng)支持對(duì)對(duì)CPUU、內(nèi)存存、磁盤盤容量、連連接數(shù)、進(jìn)進(jìn)程等資資源情況況的收集集，便于于系統(tǒng)的的維護(hù)和和問(wèn)題

25、定定位基本功能可用性雙機(jī)熱備功功能高可靠性擴(kuò)展功能負(fù)載均衡系統(tǒng)具有集集群功能能擴(kuò)展功能易用性管理員易于于操作系統(tǒng)所有管管理操作作都通過(guò)過(guò)webb方式進(jìn)進(jìn)行，方方便使用用基本功能用戶的良好好體驗(yàn)系統(tǒng)可以為為終端用用戶提供供良好的的錯(cuò)誤提提示，如如證書過(guò)過(guò)期，證證書未生生效，證證書已經(jīng)經(jīng)作廢等等信息，不不會(huì)顯示示“此頁(yè)無(wú)無(wú)法顯示示”令用戶戶不知所所措的頁(yè)頁(yè)面基本功能注：擴(kuò)展功功能不包包含在產(chǎn)產(chǎn)品的基基本版本本中，是是用戶可可選配功功能。產(chǎn)品部署格爾網(wǎng)關(guān)可可以部署署為串聯(lián)聯(lián)模式（橋橋模式）或或者并聯(lián)聯(lián)模式（單單臂模式式）。串聯(lián)部署串聯(lián)模式（橋橋模式）指指格爾網(wǎng)網(wǎng)關(guān)物理理部署在在用戶和和被保護(hù)護(hù)的服務(wù)

26、務(wù)器之間間，即格格爾網(wǎng)關(guān)關(guān)的外網(wǎng)網(wǎng)口與用用戶網(wǎng)絡(luò)絡(luò)連接，內(nèi)內(nèi)網(wǎng)口與與被保護(hù)護(hù)服務(wù)器器相連。由由于被保保護(hù)服務(wù)務(wù)器通過(guò)過(guò)內(nèi)部網(wǎng)網(wǎng)絡(luò)與格格爾網(wǎng)關(guān)關(guān)連接，因因此用戶戶與服務(wù)務(wù)器的連連接被格格爾網(wǎng)關(guān)關(guān)隔離，用用戶只知知道網(wǎng)關(guān)關(guān)地址，無(wú)無(wú)法直接接訪問(wèn)被保保護(hù)服務(wù)務(wù)器，只只有通過(guò)過(guò)網(wǎng)關(guān)才才能獲得得服務(wù)。串聯(lián)模式（橋橋模式）是是格爾網(wǎng)網(wǎng)關(guān)的標(biāo)標(biāo)準(zhǔn)部署署模式，也也是推薦薦部署模模式，其其部署示示意圖如如下：圖表 SEQ 圖表 * ARABIC 3串串聯(lián)部署署示意圖圖串聯(lián)模式的的優(yōu)點(diǎn)是是：安全性高：用戶必必須通過(guò)過(guò)網(wǎng)關(guān)的的認(rèn)證加加密后才才能獲取取服務(wù)，同同時(shí)網(wǎng)關(guān)關(guān)將服務(wù)務(wù)器與外外界網(wǎng)絡(luò)絡(luò)隔離，避避免了對(duì)對(duì)服務(wù)器

27、器的直接接攻擊。結(jié)構(gòu)清晰：串聯(lián)模模式在物物理部署署和邏輯輯結(jié)構(gòu)上上都非常常簡(jiǎn)單，容容易理解解。性能高：相相對(duì)于并并聯(lián)模式式，串聯(lián)聯(lián)模式的的效率及及帶寬利利用率更更高。串聯(lián)模式的的缺點(diǎn)是是：需要對(duì)原有有服務(wù)器器進(jìn)行網(wǎng)網(wǎng)絡(luò)改動(dòng)動(dòng)及進(jìn)行行地址改改變帶來(lái)來(lái)的必要要的應(yīng)用用變更。并聯(lián)部署并聯(lián)模式（單單臂模式式）指格格爾網(wǎng)關(guān)關(guān)邏輯部部署在用用戶和被被保護(hù)的的服務(wù)器器之間，而而物理連連接是在在同一網(wǎng)網(wǎng)絡(luò)中，即即格爾網(wǎng)網(wǎng)關(guān)的外外網(wǎng)口接接入原有有用戶與與服務(wù)器器的網(wǎng)絡(luò)絡(luò)連接中中。用戶戶可以通通過(guò)網(wǎng)關(guān)關(guān)獲取服服務(wù)，也也可以直直接連接接到服務(wù)務(wù)器（在在知道服服務(wù)器地地址情況況下）獲獲取服務(wù)務(wù)。圖表 SEQ 圖表 *

28、 ARABIC 4 并聯(lián)部部署示意意圖并聯(lián)模式的的優(yōu)點(diǎn)是是：部署方便：應(yīng)用無(wú)無(wú)需作改改動(dòng)，用用戶只需需變更一一下訪問(wèn)問(wèn)地址即即可。并聯(lián)模式的的缺點(diǎn)是是：安全性低：由于服服務(wù)器和和外界網(wǎng)網(wǎng)絡(luò)連接接，存在在用戶繞繞開網(wǎng)關(guān)關(guān)直接連連接服務(wù)務(wù)器和使使用其它它方式攻攻擊服務(wù)務(wù)器的可可能性；同時(shí)，網(wǎng)網(wǎng)關(guān)到服服務(wù)器的的明文數(shù)數(shù)據(jù)也在在網(wǎng)絡(luò)上上傳輸，存存在被竊竊聽的安安全隱患患。性能較低：相對(duì)于于串聯(lián)模模式，并并聯(lián)模式式中用戶戶到網(wǎng)關(guān)關(guān)和網(wǎng)關(guān)關(guān)到服務(wù)務(wù)器的數(shù)數(shù)據(jù)流量量都通過(guò)過(guò)一個(gè)網(wǎng)網(wǎng)口進(jìn)行行，效率率及帶寬寬利用率率相對(duì)較較低。雙機(jī)熱備部部署系統(tǒng)支持雙雙機(jī)熱備備功能，在在需要高高可靠性性的環(huán)境境下需要要對(duì)網(wǎng)關(guān)關(guān)

29、進(jìn)行雙雙機(jī)熱備備部署。雙雙機(jī)熱備備部署需需要部署署兩臺(tái)設(shè)設(shè)備，一一臺(tái)作為為主機(jī)，一一臺(tái)作為為備機(jī)，兩兩臺(tái)機(jī)器器都與網(wǎng)網(wǎng)絡(luò)連接接，兩臺(tái)臺(tái)設(shè)備之之間使用用交叉線線連接熱熱備口進(jìn)進(jìn)行狀態(tài)態(tài)檢測(cè)，在在正常情情況下由由主機(jī)提提供服務(wù)務(wù)，當(dāng)主主機(jī)發(fā)生生異常時(shí)時(shí)系統(tǒng)自自動(dòng)切換換到備機(jī)機(jī)進(jìn)行服服務(wù)。部部署方式式如圖：圖表 SEQ 圖表 * ARABIC 5串串聯(lián)模式式下的雙雙機(jī)熱備備部署圖表 SEQ 圖表 * ARABIC 6并并聯(lián)模式式下的雙雙機(jī)熱備備部署負(fù)載均衡部部署格爾網(wǎng)關(guān)可可以和大大多數(shù)負(fù)負(fù)載均衡衡設(shè)備配配合使用用，格爾爾網(wǎng)關(guān)采采用串聯(lián)聯(lián)模式和和并聯(lián)模模式都可可以與負(fù)負(fù)載均衡衡設(shè)備很很好的配配合使用用

30、。如下下圖：圖表 SEQ 圖表 * ARABIC 7負(fù)負(fù)載均衡衡環(huán)境下下的串聯(lián)聯(lián)模式部部署圖表 SEQ 圖表 * ARABIC 8負(fù)負(fù)載均衡衡環(huán)境下下的并聯(lián)聯(lián)部署注：負(fù)載均均衡器將將網(wǎng)絡(luò)的的SSLL流量負(fù)負(fù)載到可可用的格格爾網(wǎng)關(guān)關(guān)上，格爾爾網(wǎng)關(guān)對(duì)對(duì)后端的的Webb服務(wù)器器并沒(méi)有有負(fù)載均均衡的作作用。選購(gòu)指南格爾網(wǎng)關(guān)采采用專用用網(wǎng)絡(luò)硬硬件設(shè)備備，產(chǎn)品品具有多多個(gè)系列列：E-20110E-20220G-40220G-40440設(shè)備高度1u1u2u2u網(wǎng)絡(luò)接口4*1000M4*1000M6*10000M4*10000M電源指標(biāo)數(shù)量：電壓（V）：電流（A）：功率（W）：110022400.533651

31、100224036200190266448460290266448460工作溫度0C-440 C0C-440 C0C-440 C0C-440 C工作濕度5-955 RHH，不凝凝結(jié)5-955 RHH，不凝凝結(jié)5-955 RHH，不凝凝結(jié)5-955 RHH，不凝凝結(jié)最大新建連連接數(shù)60 次/秒160次/秒2500次次/秒4000次次/秒最大并發(fā)連連接數(shù)40080025005500最大流量50Mbpps120Mbbps680Mbbps850Mbbps注：上述所所有規(guī)格格及參數(shù)數(shù)若有變變動(dòng)恕不不另行通通知，請(qǐng)請(qǐng)以廠家家提供的的最終配配置為準(zhǔn)準(zhǔn)。客戶端運(yùn)行行環(huán)境與格爾SSSL安全全網(wǎng)關(guān)連連接的客客戶端

32、推推薦配置置如下：CPU：PP3 8800MM 以上上內(nèi)存：2556M以以上操作系統(tǒng)：winn20000以上上版本瀏覽器：IIE6.0以上上，密鑰鑰長(zhǎng)度1128位位產(chǎn)品支持聯(lián)聯(lián)系方式式上海格爾軟軟件股份份有限公公司地址址：上海海市余姚姚路2888號(hào)AA座4樓樓電話：（866-211）62232770100 傳真：（866-211）62232770155Emaail：ssllvpnnm郵編： 22000042附錄公司介介紹公司概述述上海格爾軟軟件股份份有限公公司(以下簡(jiǎn)簡(jiǎn)稱格爾爾軟件)成立于于19998年33月，注注冊(cè)資本本35000萬(wàn)，北北京設(shè)營(yíng)營(yíng)銷和技技術(shù)支持持中心。公公司下設(shè)設(shè)北京格格爾國(guó)

33、信信、上海海格爾信信息、上上海格爾爾衛(wèi)信及及寧波格格爾天屹屹等子公公司，在在全國(guó)各各大中心心城市還還設(shè)有多個(gè)辦辦事處。公公司現(xiàn)有有員工3310人人，其中中本科以以上學(xué)歷歷占933%，技技術(shù)開發(fā)發(fā)人員2210余余人，約約占655%。格爾軟件是是專業(yè)從從事信息息安全核核心技術(shù)術(shù)和產(chǎn)品品研發(fā)，為為客戶提提供信息息安全整整體解決決方案與與配套服務(wù)務(wù)的國(guó)內(nèi)內(nèi)身份管管理領(lǐng)域域的領(lǐng)先先企業(yè)。公公司是國(guó)國(guó)內(nèi)最早早研制PPKI平平臺(tái)的廠廠商，國(guó)國(guó)內(nèi)首批批商用密密碼產(chǎn)品品定點(diǎn)生生產(chǎn)與銷銷售單位位，國(guó)家家保密局局批準(zhǔn)認(rèn)認(rèn)定的“涉及國(guó)國(guó)家秘密密的計(jì)算算機(jī)信息息集成甲甲級(jí)資質(zhì)質(zhì)單位”，國(guó)家信信息化工工作領(lǐng)導(dǎo)導(dǎo)小組計(jì)計(jì)算

34、機(jī)網(wǎng)網(wǎng)絡(luò)與信信息安全全管理工工作辦公公室（國(guó)國(guó)信安辦辦）認(rèn)定定的144家計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)安全服服務(wù)試點(diǎn)點(diǎn)單位之之一，國(guó)國(guó)家“8863”計(jì)計(jì)劃信息息安全示示范工程程金融子子項(xiàng)目的的總服務(wù)務(wù)商及“8863”課課題承擔(dān)擔(dān)單位。公公司曾獲獲國(guó)家進(jìn)進(jìn)步二等等獎(jiǎng)和上上海市科科技進(jìn)步步一等獎(jiǎng)獎(jiǎng)。公司還是全全國(guó)信息息安全標(biāo)標(biāo)準(zhǔn)化技技術(shù)委員員會(huì)的主主要成員員之一。經(jīng)經(jīng)過(guò)全國(guó)國(guó)信息安安全標(biāo)準(zhǔn)準(zhǔn)化技術(shù)術(shù)委員會(huì)會(huì)嚴(yán)格審審定，上上海格爾爾軟件股股份有限限公司被被批準(zhǔn)為為WG11、WGG4、WWG5、WWG7工工作組成成員，在在WG44工作組組中承擔(dān)擔(dān)相關(guān)標(biāo)標(biāo)準(zhǔn)制定定工作。技術(shù)與產(chǎn)品品格爾軟件堅(jiān)堅(jiān)持以技技術(shù)創(chuàng)新新推動(dòng)企企業(yè)

35、的發(fā)發(fā)展。公公司長(zhǎng)期期從事核核心密碼碼技術(shù)的的研究并并有深厚厚的積累累，至今今已申請(qǐng)請(qǐng)了177項(xiàng)自主研研發(fā)的專專利技術(shù)術(shù)，其中77項(xiàng)已獲獲國(guó)家專專利局的的授權(quán)，另另外還擁?yè)碛?項(xiàng)項(xiàng)軟件著著作權(quán)。目前，公司司已形成成PKII基礎(chǔ)平平臺(tái)產(chǎn)品品、安全全網(wǎng)關(guān)產(chǎn)產(chǎn)品、內(nèi)內(nèi)網(wǎng)安全全應(yīng)用產(chǎn)產(chǎn)品（超超級(jí)藍(lán)盾盾系列）三三大產(chǎn)品品線。核核心產(chǎn)品品包括PKKI/CCA身份份認(rèn)證產(chǎn)產(chǎn)品、網(wǎng)網(wǎng)盾桌面面安全軟軟件、安安全認(rèn)證證網(wǎng)關(guān)、SSSO單單點(diǎn)登錄錄系統(tǒng)、網(wǎng)網(wǎng)絡(luò)保險(xiǎn)險(xiǎn)箱系統(tǒng)統(tǒng)、金融融IC卡卡密鑰管管理系統(tǒng)統(tǒng)、信息息安全綜綜合監(jiān)控控與管理理平臺(tái)產(chǎn)產(chǎn)品等。服務(wù)支持客戶至上是是格爾軟軟件的服服務(wù)宗旨旨，對(duì)客客戶的全全面支持持

36、服務(wù)與與客戶共共同進(jìn)步步是格爾爾軟件的的追求?，F(xiàn)在公司司已為全國(guó)國(guó)29個(gè)個(gè)省市的的眾多客客戶提供供了產(chǎn)品品或服務(wù)務(wù)，協(xié)助助用戶進(jìn)進(jìn)行系統(tǒng)統(tǒng)維護(hù)及及基于數(shù)數(shù)字證書書的應(yīng)用用推廣。公公司在上上海、北北京、西西安、湖湖南、湖湖北、安安徽、江江蘇、浙浙江、貴貴州、福福建等地地設(shè)有技技術(shù)支持持服務(wù)機(jī)機(jī)構(gòu)或人人員，為為重點(diǎn)客客戶提供供長(zhǎng)期、穩(wěn)穩(wěn)定、高高效的技技術(shù)支持持與服務(wù)。我我們還同同由其它公公司承建建的上海海CA、西西部CAA、陜西西CA、山山東CAA、廣東東CA、CCTCAA、公安安部等眾眾多運(yùn)營(yíng)營(yíng)機(jī)構(gòu)建建立了戰(zhàn)戰(zhàn)略合作作關(guān)系，提提供證書書應(yīng)用推推廣所需需的產(chǎn)品品及技術(shù)術(shù)支持服服務(wù)。公司利用自自己深

37、厚厚的技術(shù)術(shù)積累，可可以為客客戶提供供信息安安全咨詢?cè)兣嘤?xùn)、安安全解決決方案設(shè)設(shè)計(jì)、產(chǎn)產(chǎn)品開發(fā)發(fā)、信息息安全系系統(tǒng)建設(shè)設(shè)及系統(tǒng)統(tǒng)運(yùn)行維維護(hù)等一一整套信信息安全全技術(shù)支支持與委委托服務(wù)務(wù)。質(zhì)量管理只有過(guò)程正正確才能能保證結(jié)結(jié)果的正正確。格格爾軟件件視質(zhì)量量為生命命，繼004年通通過(guò)ISSO90001質(zhì)質(zhì)量認(rèn)證證之后，公公司又于于05年年在信息息安全行行業(yè)率先先啟動(dòng)了了CMMMI軟件件能力成成熟度的的質(zhì)量改改進(jìn)過(guò)程程。現(xiàn)在在公司已已建立起起一套規(guī)規(guī)范的質(zhì)質(zhì)量管理理體系并并通過(guò)了SEII CMMMI L3的的評(píng)估，成成為國(guó)內(nèi)內(nèi)目前少少有的達(dá)達(dá)到CMMMI33級(jí)的信信息安全全廠商。質(zhì)量過(guò)程的的持續(xù)改改

38、進(jìn)，保保證了公公司的研發(fā)能能力和產(chǎn)產(chǎn)品質(zhì)量量的不斷斷提升?？涂蛻艨梢砸缘玫椒欧判臐M意意的產(chǎn)品品和服務(wù)務(wù)。主要案例國(guó)家8633計(jì)劃“數(shù)字證證書應(yīng)用用綜合管管理”課題國(guó)家8633計(jì)劃信信息安全全示范工工程“SS2199”項(xiàng)目目浙江省數(shù)字字證書認(rèn)認(rèn)證中心心；江蘇省數(shù)字字證書認(rèn)認(rèn)證中心心；河北省數(shù)字字證書認(rèn)認(rèn)證中心心；湖南省數(shù)字字證書認(rèn)認(rèn)證中心心；安徽省數(shù)字字證書認(rèn)認(rèn)證中心心；新疆?dāng)?shù)字證證書認(rèn)證證中心；貴陽(yáng)數(shù)字證證書認(rèn)證證中心；發(fā)改委金宏宏工程（一一期）安安全子系系統(tǒng)網(wǎng)絡(luò)信信任體系系；國(guó)家電子政政務(wù)外網(wǎng)網(wǎng)根CA系統(tǒng)統(tǒng)項(xiàng)目；航空一集團(tuán)團(tuán)“金航”主干網(wǎng)網(wǎng)安全總總集成項(xiàng)項(xiàng)目中國(guó)工程物物理研究究院CAA示范項(xiàng)項(xiàng)目中國(guó)人民銀銀行ICC 卡密密鑰管理理系統(tǒng)項(xiàng)項(xiàng)目中國(guó)人民銀銀行銀聯(lián)聯(lián)卡根CCA認(rèn)證證系統(tǒng)項(xiàng)項(xiàng)目 上海衛(wèi)生監(jiān)監(jiān)督所信信息安全全系統(tǒng)；國(guó)家統(tǒng)計(jì)局局行業(yè)性性PKII體系建建設(shè)；上海出入境境邊防總總站整體體安全集集成項(xiàng)目目；國(guó)家“十五五國(guó)家密密碼發(fā)展展基金密密