社保系統涉及到大量藥店的遠端接入,這些藥店如果以傳統的DDN專線方式接入社保系統,不但投資大、擴充性差而且難以管理。随着3G業務的正式商用,江蘇天益推出了天益SSL VPDN服務(即3G虛拟撥号專線+天益SSL×××服務)和天益SSL×××服務,天益SSLVPDN在建立3G撥号專線的同時,建立SSL加密隧道和基于數字證書的SSL雙向安全認證、授權和通路控制。天益SSL×××是通過網際網路建立SSL加密隧道,并實作基于數字證書的SSL雙向安全認證、授權和通路控制。天益SSLVPDN和天益SSL×××以其高速度、高安全、投資小、易擴充、部署簡單而成為遠端接入的重要方式。尤為重要的是所擁有的3G業務,在帶寬、穩定性等方面均具有獨到的優勢。
天益SSLVPDN和SSL×××和能有效解決遠端接入所面臨的安全問題:
- 身份鑒别和通路控制問題-------防止假冒身份非法入侵
- 資料傳輸的機密性、真實性問題
- 專網與公共網絡(網際網路)的安全隔離問題
本方案為社保提供兩種解決方案:
方案一:天益SSLVPDN方案:利用3G撥号專線,結合天益SSL×××系統,建構社保專網,實作遠端通路。
方案二:天益SSL×××方案:利用3G上網卡接入網際網路,并通過的天益SSL×××系統,在網際網路(Internet)上建立虛拟專網,實作遠端通路。
解決方案一:天益SSL VPDN方案
建設方案
根據社保系統遠端接入的需求,我們建議
- 采用3G無線資料傳輸技術,實作高速移動專線接入,一方面3G的帶寬最高可達7M以上,完全能滿足社保系統的帶寬要求;另一方面,由于3G無線接入,是以與遠端終端的實體位置無關,使用者的遷移、轉讓不需要做二次部署。
- 采用天益SSL/IPSEC ×××網關,建立數字證書雙向認證和授權,保障使用者身份的真實性,防止非法接入。天益SSL/IPSEC ×××網關内置的SSL×××子產品,用以建立加密傳輸通道,保障資訊的機密性;
- 采用天益SSL/IPSEC ×××網關雙機熱備方式,單機出現故障時的無間斷恢複。
方案說明:
結構說明
如上圖所示,遠端終端上部署:3G上網卡(内置數字證書)和天益用戶端軟體。
社保局内網中部署:路由器、天益SSL/IPSEC ×××網關(2台,雙機熱備)
天益SSL/IPSEC ×××網關作為遠端接入網關以專線方式與的接入網關(GGSN Gateway GPRS Supporting Node)相連。
社保局内部使用者也通過天益SSL/IPSEC ×××網關通路背景的應用系統。天益SSL/IPSEC ×××網關為外部使用者提供SSL加密隧道的同時,也為社保局内部和遠端使用者提供統一認證、授權和通路控制服務。確定隻有被授權的合法使用者才能通路其權限内的應用系統。天益SSL/IPSEC ×××網關對内部使用者、外部使用者、社保應用伺服器實作安全隔離,防止來自内部和外部對社保系統的攻擊。
部件功能
A: 天益用戶端軟體結合數字證書:
- 與天益SSL/IPSEC ×××網關建立SSL加密隧道
B: 天益天益SSL/IPSEC ×××網關的功能:
天益SSL/IPSEC ×××網關作為NAS,是遠端使用者的安全接入裝置,其功能如下:
- SSL×××加密隧道
- AAA服務:基于PKI體系的數字證書雙向認證、授權和審計服務
- SGATE:安全隔離和通路控制網關(提供路由接入、SNAT接入和端口映射接入)
方案解析
遠端使用者通路:
3G無線資料卡中内置數字證書,啟動3G撥号程式,建立遠端終端到天益SSL/IPSEC ×××網關之間的專線連接配接。連接配接建立後,啟動天益用戶端軟體,輸入PIN碼後,SSL/IPSEC ×××網關對使用者進行認證,認證通過後,建立移動終端與SSL/IPSEC ×××網關之間的SSL加密隧道,并将該隧道路由到背景的社保應用系統。
内部使用者通路:
社保局内部使用者也通過天益SSL/IPSEC ×××網關通路社保應用系統,天益為内部和外部使用者提供基于數字證書的統一認證、授權和審計服務,并確定隻有被授權的合法使用者才能通路其權限内的應用系統。
安全性分析:
- 3G專線+SSL隧道保證鍊路資料安全
從遠端終端到社保内網接入網關(天益SSL/IPSEC ×××網關)全部采用專線方式,該專線與網際網路實體隔離。同時在專線上建立SSL加密隧道,保障資料傳輸的機密性。
- 二級認證體系保障身份的真實性
1)一級認證:3G撥号認證
遠端終端要通路社保資訊系統,首先需要建立與GGSN的撥接上網,該連接配接由的AAA伺服器提供認證,此認證綁定3G上網卡卡号,確定隻有被授權的上網卡才能建立到社保專網的撥接上網。此為一級認證
2)二級認證:基于PKI體系數字證書雙向認證
使用者要與天益SSL/IPSEC ×××網關建設SSL隧道,需要再經過天益基于PKI的數字證書雙向認證體系的認證,認證通過後,方能建立SSL隧道,SSL隧道建立後,才能通路背景的應用系統。
- 安全隔離+通路控制
天益SSL/IPSEC ×××網關在内部使用者、遠端使用者和内部應用伺服器之間進行安全隔離,并提供統一認證和通路控制。對社保應用伺服器提供鐘罩式保護,防止來自内部和外部使用者的攻擊
- SSL加密協定保障資料的機密性
遠端終端上的天益用戶端和天益SSL/IPSEC ×××網關之間建立SSL加密隧道,保證資訊傳輸的機密性
解決方案二:天益SSL×××方案
