安全邮件解决方案
安全接入解决方案
安全存储解决方案
安全中间件解决方案

安全接入解决方案

方案背景

随着企事业信息化信息化建设的不断完善,企事业内部增加了许多应用系统来满足员工的正常办公需求(如:OA、ERP、视频、人力资源管理等系统),这些应用系统的增加为企业提高了生产、办公效率。但是,员工使用这些应用系统的前提是在企业办公网络内部,离开了这个办公网就无法访问这些应用系统,这就给企业员工使用内部应用系统带来了局限性,企业内部各应用系统的效率没有充分发挥,进而导致企业整体效率的下降。因此,提示企业整体效率,必须解诀如下问题:

  1. 企业出差员工如何安全、便捷的访问内部办公系统?
  2. 移动办公人员如何安全、高效的正常办公?
  3. 企业分支机构如何安全的访问总部内部资源?
  4. 如何安全可靠的对接入用户进行访问授权控制?
  5. 如何保障用户接入的兼容性?
  6. 如何保障接入平台对众多应用系统的支持?

现在大多数远程安全访问解决方案是采用VPN方式,其组网结构是站点到站点的组网方式。VPN是网络层的技术,一旦VPN建立加密隧道后,用户就像在局域网内一样畅通无阻的访问各个应用系统。因此VPN在解决远程安全访问时具有以下明显的缺点:

  1. ◆VPN应用最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈急剧增长。
  2. ◆不适用于移动用户,如使用智能手机的用户,如今适用智能手机进行办公已经成为很多用户的一种便捷选择。
  3. ◆VPN的连接性会受到网络地址转换(NAT)的影响。在使用NAT的场合,VPN需要支持NAT穿越技术。由于各厂家的实现是不一致的,这给VPN的互连带来一定的障碍。
  4. ◆VPN需要先完成客户端配置才能建立通信通道,并且配置复杂,尤其是对于NAT和穿越防火墙,往往要在这些设备上作复杂的配置以配合VPN的工作。
  5. ◆由于VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此VPN会增加远程接入的安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够没有约束的访问公司全部的应用,因此会大大增加风险。
  6. ◆应用层的访问控制不灵活:由于VPN工作在网络层,很难对用户能访问哪些系统,使用什么样的身份认证方式进行灵活控制。
  7. ◆传统VPN一般采用IPSec或者SSL协议,这些国际上的协议标准定义死板,没有良好的扩展框架,很难变更其中的加密算法,并不适用于需要采用中国国家算法的情形。

然而,随着接入技术和移动技术的发展,如今的用户可以随时随地以多种方式接入Internet。企业的员工可以在家中、路上、网吧、旅馆,使用自己的、别人的、公用的电脑或手机,通过ADSL网络、小区宽带网络、移动电话网络、无线网络等多种接入网络,远程访问公司的信息系统。这些多种多样的远程接入都是动态建立的,需要对接入的用户进行严格的身份认证,某些特定环境下还需要采用中国国家标准算法来保护远程接入的通路。这些问题是传统的VPN技术难以解决的。远程终端的多样性也要求远程接入的客户端具有跨平台、易于升级和维护等特点。

面对这些新的挑战,NTLS便应运而生了。NTLS以其简单易用的安全接入方式、丰富有效的权限管理,跨平台、易安装、免配置、免维护的客户端而必将成为远程接入市场上的新贵。

问题分析

目前网络技术的发展和应用对远程接入提出了以下要求:

  1. (1). 安全的通讯:要求保证数据传输的私密性和完整性。
  2. (2). 动态连接:用户可以从任何地点发起连接,请求接入。
  3. (3). 强制认证客户端的身份:拒绝接入没有任何有效身份标识的客户端。
  4. (4). 接入客户端能支持多种平台:这包括多种操作系统(Windows、Liunx)、多种应用(B/S,C/S)和多种终端(个人电脑、智能手机,PDA)。
  5. (5). 对用户访问权限进行有效地管理和控制:远程接入的用户可能是公司的高级经理,也可能是普通员工,还有可能是合作伙伴,对不同身份的人应该授予不同的访问权限,对越权的访问请求应该拒绝。

解决方案

针对上述要求,NTLS采用了以下方法给予解决:

  1. (1). 采用NTLS密钥协商协议建立远程连接
  2. NTLS可以灵活配置密钥交换和数据加密的协议,密钥交换协议可以支持ECSRP(基于口令)、PKI(基于数字证书)和SM9(中国国家标准的IBC算法,基于USB KEY密钥)等各种身份认证和密钥协商算法,数据加密协议可以支持3DES、RC4、AES和SM1(中国国家标准的对称算法)等各种对称加密算法,根据政策规定和应用环境,这些算法可以灵活配置使用,能满足企事业单位和政府部门的各种安全保密需求。
  3. (2). 即插即用,配置简单
  4. NTLS客户端软件安装过程非常简单,只需要配置服务器参数后即可使用。PC版本的NTLS客户端软件集成到NTLS USB-Key中,用户只需随身携带NTLS USB-Key,就可以在各种PC环境中即插即用,立即远程接入到NTLS服务器,实现对企业内部应用的远程访问。
  5. (3). 基于标识密码算法的NTLS USB-Key的强身份认证
  6. NTLS作为远程安全接入解决方案,是把用户局域网络的边界延伸到Internet可以到的任何地方。那么接入的终端用户的安全性将可能影响到整个企业网络的安全性,因此强制认证用户的登录身份并做好登录认证密钥的保护,就是至关重要的。
  7. NTLS接入客户端必须具有自己的身份标识。身份标识可以是邮件地址或手机号码等能够定位并区分用户的特征字符串。对身份标识的认证并不是简单的匹配用户名和密码,而是基于安全可靠的标识认证密码算法。所以每个接入客户端都有自己的标识密钥。密钥保存在USB-Key中。USB-Key是一种结合U盘和智能芯片的智能卡。USB-Key对外提供了一组标准的接口,通过该接口只能获取标识信息,而不能导出标识对应的密钥。因而使用USB-Key可以很好地保护用户密钥的私密性。目前NTLS系统采用USB Key访问口令+USB-Key硬件保护标识私钥的方式构成双因子认证。
  8. (4). 本地接入控制
  9. 传统的访问控制实现主要是在服务器端对用户身份进行授权,当用户接入时,根据用户的身份同时也在服务器端验证用户的权限。这种实现方案由于授权与验证都在服务器端执行,因此对服务器的负载较大。而NTLS采用了动态路由更新技术,将服务器端配置的权限模型推送到客户端本地,这样在客户接入时,直接由本地的客户端程序进行权限验证与数据转发,减轻了服务器端的负载,提高了整个系统的执行效率。
  10. (5) 高细粒度的访问控制
  11. 与传统的VPN技术相比,NTLS可以具有更宽阔的粒度选择范围,这包括:源IP地址、目的IP地址、源端口号范围、目的端口号范围、协议类型、接入时间范围、接收数据量范围、发送数据量范围。因而可以更细致地限制用户所访问的网络资源。

NTLS系统的组成

NTLS系统的构成非常简单,建立NTLS网络连接所需的大部分软硬件资源都集中在NTLS设备上,具体的系统组成见下图:

NTLS

远程接入主机

远程接入主机是用户远程接入的终端设备,可以是个人电脑、手机、PDA等。其上运行的客户端软件有:

NTLS代理客户端:用户可以在NTLS USB-Key中直接使用此软件,只需配置NTLS服务器地址,使用非常方便。该程序将与NTLS服务器建立NTLS连接,在TCP/UDP应用程序与远程服务器之间转发报文。

NTLS接入认证设备

NTLS接入认证设备是建立NTLS远程访问所需的唯一网络设备,它包括的功能有:

  1. (1) 安全认证模块:通过密钥交换协议对接入的客户端进行身份认证,效验用户的合法身份标识。
  2. (2) 代理接入模块:负责处理客户端发来的NTLS连接数据包,与资源服务器之间建立TCP/UDP连接;检查用户的访问权限;在客户端和服务器之间转发网络封包数据。
  3. (3) CLI接口模块:负责解释本地管理模块发送的CLI指令,依据指令执行相应的管理配置操作。
  4. (4) WEB管理模块:NTLS设备与管理员之间的人际交互界面,提供一套WEB页面,管理员登录WEB界面后可以对设备进行各种管理操作。

IBC密钥管理系统

NTLS系统需要标识密钥才能进行身份认证和建立NTLS加密连接。IBC密钥管理系统负责生产和发放接入终端的标识密码和设备自身的标识密钥。

管理终端

管理员在管理终端上对NTLS系统进行监控和参数配置工作。

网络服务器

可以是任何种类的应用服务器,如:Web服务器、数据库服务器、文件共享服务器、Telnet、FTP等等。

成功案例

 湖南电信

案例背景

移动OA主要针对湖南省内政府办公系统向移动终端延展。支持公务人员随时随地通过移动终端安全访问政府内部OA系统,进行公务处理。

案例特点

  1. 采用支持海量用户的安全接入平台
  2. 支持安全SIM卡
  3. 部分简单、应用安全