CN1529258A - 实现web应用安全加固的快速部署方法 - Google Patents
实现web应用安全加固的快速部署方法 Download PDFInfo
- Publication number
- CN1529258A CN1529258A CNA031514103A CN03151410A CN1529258A CN 1529258 A CN1529258 A CN 1529258A CN A031514103 A CNA031514103 A CN A031514103A CN 03151410 A CN03151410 A CN 03151410A CN 1529258 A CN1529258 A CN 1529258A
- Authority
- CN
- China
- Prior art keywords
- ssl
- web
- web application
- password
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种实现WEB应用安全加固的快速部署方法,属于信息安全领域。本发明方法分成格尔SSL网关和格尔SSLPLUS两部分,具体应用流程如下:(1)开发完成独立于WEB应用服务器的SSL网关设备,客户对WEB应用的访问务必通过SSL网关设备,客户访问WEB应用过程中,客户端与SSL网关之间建立基于SSL协议的安全连接,保证客户端与WEB应用服务器之间的传输安全。(2)采用格尔SSL PLUS,提供认证信息转换模块,实现从用户证书到用户名和口令的转换,使得WEB应用为了采用SSL进行安全加固,无需对用户名和口令的登录认证方式作任何的改造。本发明缩短应用安全加固的周期,减少应用系统的改造成本,产品独立,易确诊和排除系统故障。
Description
技术领域
本发明涉及的是一种实现WEB应用安全加固的方法,特别是一种实现WEB应用安全加固的快速部署方法,属于信息安全领域。
背景技术
目前常见的WEB应用(即Browser/Web Server架构的网络应用系统),存在以下安全隐患:(1)登录的用户身份认证均是通过用户名加口令的方式,用户名和口令方式容易被攻击;(2)网络连接中传输的数据是明文,容易被黑客截获。(3)WEB应用服务器在公开的网络中很容易被黑客的各种方式的网络攻击。针对这些安全隐患,一般通过基于PKI原理的SSL技术和防火墙技术来给系统加固。但是因为使用一般的SSL系统,一方面需要SSL复杂的配置,另一方面更重要的原因是需要成熟应用很长时间的WEB应用做改造;另外应用系统安全加固,涉及到SSL系统厂商和应用开发商双方配合的过程,整个实施周期务必加长,客户难以接受。一般WEB应用加固的解决过程(即一般SSL技术的实现),需要完成以下两个工作:1,在WEB服务器上安装SSL代理软件或模块,必要的话还需根据平台做产品移植;2,WEB应用根据SSL代理软件提供的获取客户端证书信息的接口,进行应用身份认证模块的改造,系统的改造可能还需涉及数据库结构的变化。一般WEB应用的加固过程涉及到SSL厂商和应用厂商的工作,这个加固周期自然会很长。
经文献检索发现,国家科技图书中心的文献《基于Secure Socket Layer(SSL)的安全传输》(馆藏号:H043933;分类号:TP391),描述了SSL协议为目前电子商务和网络应用提供加密传输、身份认证、传输信息的完整性检查的功能。另外国家科技图书中心的文献《Secure Blue:An Architecture for a Scalable,Reliable HighVolume SSL》(馆藏号:273330;分类号:TP309-53/A648/(17th)),因原先的SSL协议是固化在HTTP SERVER上,由HTTP SERVER软件来完成SSL的加解密运算,而该文献描述了一种从HTTP SERVER中单独独立出来可独立运行、同时可提供高性能的SSL实现体系,也就是SSL可成为一个独立的代理软件产品。虽然用SSL来解决WEB应用安全问题的技术相当多,但实际应用过程中,都因完成的周期过长、实现和维护有一定的复杂性、实现牵涉的人员较多等原因造成SSL产品没有在实际应用中广泛应用起来。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种实现WEB应用安全加固的快速部署方法,使其独立于WEB应用、对WEB应用完全透明、无需应用做任何修改,就能够实现应用的安全加固功能方法,这样自然能够加快应用系统的安全建设,加快PKI技术的推广应用。
本发明是通过以下技术方案实现的,本发明方法包括:格尔SSL网关和格尔SSLPLUS两部分,具体如下:
(1)开发完成独立的安全认证网关设备(称之为格尔SSL网关),让它架设在WEB应用服务器原有网络位置,然后将WEB应用服务器与格尔SSL网关通过专门的网卡单独连接,即将WEB服务器隔离在安全独立的网络中,这样客户端访问应用系统,务必通过格尔SSL网关。一方面客户端务必通过格尔SSL网关的认证方可访问应用系统,另一方面客户端与格尔SSL网关建立的是基于SSL协议的安全传输通道,实现数据加密传输和数据的完整性校验。这样除达到应用安全加固的效果之外,更重要的实现了SSL系统的快速安装,不用在WEB应用系统上做软件安装或做必要的配置。
在本方法实现过程中,除利用SSL技术之外,还采用了SSL网关技术(称之为格尔SSL网关),与应用客户端进行SSL协议的数据安全传输,与应用服务器进行http协议的数据传输,这中间实现了数据的转发。
(2)采用格尔SSL PLUS,提供了认证信息转换模块,实现从用户证书到用户名加口令的转换;一旦用户利用个人数字证书欲通过格尔SSL网关访问应用,格尔SSL网关对数字证书有效性认证通过之后,利用格尔SSL PLUS将数字证书转换成对应的用户名和口令,然后将客户端访问请求转换成原有WEB应用的认证请求转发给WEB应用服务器。
以上的流程对WEB应用系统而言,认证过程仍然为原有的用户名加口令的方式,而用户名和口令仅在格尔SSL网关和WEB应用服务器单独的网段内传递,不会受到黑客攻击。这样的实现过程可以使得WEB应用系统无需改造,仍然起到了安全加固的作用,这样也就加快了WEB应用安全加固的进程。
本发明关键技术即格尔SSL PLUS,具体说明如下:
(1)格尔SSL网关内建用户证书与应用本身的用户名加口令对应的账号管理系统,提供给应用管理人员以WEB的方式进行帐号的添加、查询、修改等管理功能,实现与应用系统的账号管理系统帐号信息同步的功能。
(2)格尔SSL网关在应用过程中,对于客户端通过提交证书进行登录应用系统的请求,格尔SSL网关除了对证书认证之外,能够解析登录请求,通过账号管理系统将证书信息转换成用户名加口令,然后将整个客户端登录请求转换成WEB应用本身能够认证通过的请求,这样来实现应用的无需改造。
格尔SSL PLUS不能完全解决所有WEB应用的快速部署,但对大多数已建的常规WEB应用适用,快速实现WEB应用安全加固。
格尔SSL PLUS的内部实现流程,具体步骤如下:
①客户端向SSL网关设备发送请求信息。
②SSL网关的SSL处理系统对客户端的访问请求解析。如果不是登录认证的请求,则完成基于SSL协议的请求解析,然后转发明文请求信息到WEB应用服务器;否则,将登录请求的用户证书提交给账号转换系统。
③账号转换系统解析客户端用户证书的通用名,然后到本地账号管理系统中查找到该证书通用名对应的WEB应用账号信息,即用户名和口令,然后将用户名和口令提交给SSL处理系统。
④SSL处理系统将用户名和口令组合成WEB应用能够认可的登录认证请求(请求格式是事先配置完成的),然后将该请求以明文形式转发给WEB应用服务器,请求登录。
⑤WEB应用服务器采用原有的用户名和口令的认证方式进行用户的登录认证(即与安装格尔SSL网关之前同样的方法),然后将认证处理后的内容明文反馈给SSL网关。
⑥SSL网关再将WEB服务器反馈的信息以SSL的协议反馈给客户端。
⑦重复以上①②③④⑤⑥步骤。
为了便于证书到用户名和口令的转换,格尔SSL网关内部提供一套基于WEB的账号管理系统。证书与用户名、口令的对应关系由这账号管理系统来完成,包括账号的添加、删除、修改等。
以上所述的发明方法卸载了原有安装在WEB服务器上SSL功能,采用独立的设备来实现与客户端之间基于SSL协议的安全连接,提高了部署和维护的方便性,加快WEB应用的安全加固进程。对于需要采用SSL协议进行安全加固的WEB应用,无需WEB应用对原有用户名加口令的认证方式进行修改,而客户端就可以采用SSL的访问方法,利用个人证书登录WEB应用;这样WEB应用无需做修改就达到利用SSL进行安全加固的作用,这缩短了WEB应用安全加固的周期。
目前在PKI环境搭建完成,B/S应用颇多的客户应用环境中,通过本发明方法能够在比较短的时间内,完成这些应用的安全加固工作;能够比较快的见到PKI建设的应用效果。从以下各个角度分析这个快速部署技术的效果:
(1)从部署的方便性上分析:无需WEB应用做系统改造,只需完成格尔SSL网关的配置即可完成应用的安全加固。通过这快速部署技术实现了安全加固的方便性,简化了应用系统安全加固过程,缩短了WEB应用安全加固的周期。
(2)从实施周期上分析:假如需要应用做改造的话,整个安全WEB应用加固的周期为:SSL产品厂商与WEB应用沟通时间+WEB应用改造时间+双方联调时间+上线实施;假如无需应用做改造,即采用本技术,整个安全WEB应用加固的周期为:SSL产品厂商与WEB应用联调时间+上线实施;两者相比,不难发现,本技术为WEB应用的安全加固节省了较多的时间。
(3)从应用的维护角度分析:牵涉到SSL产品厂商与WEB应用开发商两方来对整个应用进行支持和维护,SSL要求WEB应用改造的地方较多,双方产品衔接的地方较多,这肯定无利于产品问题诊断和解决,这不光牵涉到产品本身,而且牵涉到双方的利益。通过快速部署技术,能够实现问题的快速诊断和解决。
本发明具有实质性特点和显著进步,本发明采用独立的格尔SSL网关设备,不用在WEB应用服务器上安装任何软件或做任何配置,不用WEB应用系统做任何的改造,但能够实现客户端访问WEB应用的过程中加密传输和身份认证过程,这样减少原有成熟的应用系统破环的可能,缩短应用安全加固的周期,减少应用系统的改造成本,产品独立,易确诊和排除系统故障;采用格尔SSL PLUS,可使得WEB应用本身的用户名和口令的认证方式仍然有效。虽然对用户客户端而言,“用户名和口令”的身份提交方式修改成用户个人证书的提交方式,但对WEB应用而言,是透明的,仍然采用用户名和口令的方式,这样来保证WEB应用的无需改造。
附图说明
图1格尔SSL网关的网络逻辑结构图
图2格尔SSL PLUS的内部实现流程图
具体实施方式
如图所示,通过下面基于WEB的国家图书情报检索系统这个案例,来描述一下利用本技术实现该应用安全加固的快速部署的具体实施过程:
检索客户端采用浏览器进行访问数据检索系统,输入检索者本人在数据检索系统中的用户名和口令进行登录。数据检索系统根据用户的职务级别、工作性质提供不同的检索内容,所以系统必须判断用户的确切身份,然后提供对应的检索内容,绝对不允许越级检索。譬如处长有处长的检索范围,科员有科员的检索范围;技术人员不能检索行政人员能检索的内容等。
目前由于用户名、口令认证存在的弊病,需要对数据检索系统改造。实施过程如下:
(1)改造网络,在数据检索系统服务器增加格尔SSL网关;完成附图1的网络结构改造。
(2)完成SSL网关的基本配置(和数据检索系统无关,只和网络情况、客户端用户证书的身份认证有关的基本配置),保证客户端与SSL网关之间能够建立SSL的安全连接(即图2的⑦)。
(3)了解数据检索系统的登录请求的URL和请求参数,然后在格尔SSL网关设备中进行配置。完成该步,便于格尔SSL网关将解析转换后的登录请求提交给WEB应用服务器(即图2的④)
(4)将应用系统的账号信息导入格尔SSL网关,并在格尔SSL网关中完成应用系统账号与证书关联的配置。即图2的账号管理系统,完成账号管理。完成该步,便于格尔SSL网关完成客户端登录请求的转换(登录请求的转换见图2的②和③)。
(5)启动格尔SSL网关的SSL服务和WEB服务器的WEB服务,系统即可投入运行。
(6)对于访问者对WEB应用的访问方法作了改变,访问者原
http://检索服务 器IP/login.asp修改成
https://格尔SSL网关IP/login.asp访问即可。
实施效果:
某用户PKI平台(CA/RA系统)已建立三年左右,包括省市、地方市县的分支机构在内,已建成的WEB应用系统是相当的多,但实际实施安全加固的WEB应用系统并不多,主要原因不是这些WEB应用不需要安全加固,主要是加固的过程过于复杂,牵涉的地方较多,不便于维护的原因造成。在PKI平台搭建完成的前两年内,实际进行WEB应用安全加固的系统不超过10个;然而在最近的半年,采用WEB应用安全加固的快速部署技术进行安全加固的WEB应用系统已经有10个,这种效果完全得益于这个快速部署方法。
Claims (5)
1、一种实现WEB应用安全加固的快速部署方法,其特征在于,包括格尔SSL网关和格尔SSL PLUS两部分,具体如下:
(1)开发完成独立的格尔SSL网关设备,将它架设在WEB应用服务器原有网络位置,然后将WEB应用服务器与SSL网关通过专门的网卡单独连接,即将WEB服务器隔离在安全独立的网络中,这样客户端访问应用系统,务必通过格尔SSL网关设备,一方面客户端务必通过SSL网关的认证方访问应用系统,另一方面客户端与格尔SSL网关建立的是安全传输通道,实现数据加密传输和数据的完整性校验;
(2)采用格尔SSL PLUS,提供认证信息转换模块,实现从用户证书到用户名和口令的转换,一旦用户利用个人数字证书欲通过格尔SSL网关访问应用,格尔SSL网关对数字证书有效性认证通过之后,利用格尔SSL PLUS将数字证书转换成对应的用户名和口令,然后将客户端访问请求转换成原有WEB应用的认证请求转发给WEB应用服务器。
2、根据权利要求1所述的实现WEB应用安全加固的快速部署方法,其特征是,所述的格尔SSL PLUS,具体说明如下:
(1)格尔SSL网关内建用户证书与应用本身的用户名加口令对应的账号管理系统,提供给应用管理人员以WEB的方式进行帐号的添加、查询、修改管理功能,实现与应用系统的账号管理系统帐号信息同步;
(2)格尔SSL网关在应用过程中,对于客户端通过提交证书进行登录应用系统的请求,SSL网关除了对证书认证之外,还解析登录请求,通过账号管理系统将证书信息转换成用户名和口令,然后将整个客户端登录请求转换成WEB应用本身能够认证通过的请求。
3、根据权利要求2所述的实现WEB应用安全加固的快速部署方法,其特征是,SSL网关内部实现从个人证书到用户名加口令的信息转换,对于需要采用SSL协议进行安全加固的WEB应用,客户端采用SSL的访问方法利用个人证书登录WEB应用,而WEB应用内部仍采用用户名和口令的认证方式,格尔SSL PLUS的内部实现流程,具体步骤如下:
①客户端向SSL网关设备发送请求信息;
②SSL网关的SSL处理系统对客户端的访问请求解析,如果不是登录认证的请求,则完成基于SSL协议的请求解析,然后转发明文请求信息到WEB应用服务器,否则,将登录请求的用户证书提交给账号转换系统;
③账号转换系统解析客户端用户证书的通用名,然后到本地账号管理系统中查找到该证书通用名对应的WEB应用账号信息,即用户名和口令,然后将用户名和口令提交给SSL处理系统;
④SSL处理系统将用户名和口令组合成WEB应用能够认可的登录认证请求,请求格式是事先配置完成的,然后将该请求以明文形式转发给WEB应用服务器,请求登录;
⑤WEB应用服务器采用原有的用户名和口令的认证方式进行用户的登录认证,然后将认证处理后的内容明文反馈给SSL网关;
⑥SSL网关再将WEB服务器反馈的信息以SSL的协议反馈给客户端;
⑦重复以上①②③④⑤⑥步骤。
4、根据权利要求1或者2或者3所述的实现WEB应用安全加固的快速部署方法,其特征是,格尔SSL网关内部提供一套基于WEB的账号管理系统,便于证书到用户名和口令的转换,证书与用户名、口令的对应关系由这账号管理系统来完成,包括账号的添加、删除、修改。
5、根据权利要求1所述的实现WEB应用安全加固的快速部署方法,其特征是,卸载了原有安装在WEB服务器上SSL功能,采用独立的设备来实现与客户端之间基于SSL协议的安全连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA031514103A CN1529258A (zh) | 2003-09-29 | 2003-09-29 | 实现web应用安全加固的快速部署方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA031514103A CN1529258A (zh) | 2003-09-29 | 2003-09-29 | 实现web应用安全加固的快速部署方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1529258A true CN1529258A (zh) | 2004-09-15 |
Family
ID=34287020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA031514103A Pending CN1529258A (zh) | 2003-09-29 | 2003-09-29 | 实现web应用安全加固的快速部署方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1529258A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101432717B (zh) * | 2006-04-26 | 2011-07-27 | 思科技术公司 | 用于实现快速再认证的系统和方法 |
| CN101438274B (zh) * | 2006-05-01 | 2012-07-04 | 微软公司 | 信任关系的声明变换 |
| CN103873437A (zh) * | 2012-12-11 | 2014-06-18 | 姚德明 | 账户管理及保护方法和账户管理中介 |
| CN103875211A (zh) * | 2013-08-23 | 2014-06-18 | 华为技术有限公司 | 一种互联网账号管理方法、管理器、服务器和系统 |
| CN111404772A (zh) * | 2020-03-09 | 2020-07-10 | 杭州迪普科技股份有限公司 | Ssl代理网关的测试系统和方法 |
| CN113901411A (zh) * | 2021-10-15 | 2022-01-07 | 四川新网银行股份有限公司 | 一种web登录前置式安全加固系统、加固方法及登录方法 |
-
2003
- 2003-09-29 CN CNA031514103A patent/CN1529258A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101432717B (zh) * | 2006-04-26 | 2011-07-27 | 思科技术公司 | 用于实现快速再认证的系统和方法 |
| CN101438274B (zh) * | 2006-05-01 | 2012-07-04 | 微软公司 | 信任关系的声明变换 |
| CN103873437A (zh) * | 2012-12-11 | 2014-06-18 | 姚德明 | 账户管理及保护方法和账户管理中介 |
| CN103875211A (zh) * | 2013-08-23 | 2014-06-18 | 华为技术有限公司 | 一种互联网账号管理方法、管理器、服务器和系统 |
| WO2015024261A1 (zh) * | 2013-08-23 | 2015-02-26 | 华为技术有限公司 | 一种互联网账号管理方法、管理器、服务器和系统 |
| CN103875211B (zh) * | 2013-08-23 | 2018-02-02 | 华为技术有限公司 | 一种互联网账号管理方法、管理器、服务器和系统 |
| CN111404772A (zh) * | 2020-03-09 | 2020-07-10 | 杭州迪普科技股份有限公司 | Ssl代理网关的测试系统和方法 |
| CN113901411A (zh) * | 2021-10-15 | 2022-01-07 | 四川新网银行股份有限公司 | 一种web登录前置式安全加固系统、加固方法及登录方法 |
| CN113901411B (zh) * | 2021-10-15 | 2024-06-11 | 四川新网银行股份有限公司 | 一种web登录前置式安全加固系统、加固方法及登录方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101964800B (zh) | 一种在ssl vpn中对数字证书用户认证的方法 | |
| CN1302634C (zh) | 网络连接系统 | |
| KR100946110B1 (ko) | 기존 ssl 세션을 브레이킹하지 않고 인증서-기반 인증으로 스텝 업하는 방법 및 시스템 | |
| CN1227858C (zh) | 实现对计算机网络中服务的安全访问的系统和方法 | |
| CN112202715B (zh) | 一种物联网与区块链可信交互的系统、方法及装置 | |
| TWI796675B (zh) | 基於區塊鏈的身份驗證方法及相關硬體 | |
| CN1688996A (zh) | 远程查询,安全测定,及可靠地传送网络计算装置的配置信息的方法 | |
| KR20030096277A (ko) | 어플리케이션층 보안 방법 및 시스템 | |
| CN1756155A (zh) | 用于网络访问的移动认证 | |
| CN1855814A (zh) | 一种安全的统一身份认证方案 | |
| AU2002252371A1 (en) | Application layer security method and system | |
| CN111181912B (zh) | 浏览器标识的处理方法、装置、电子设备及存储介质 | |
| CN1645807A (zh) | 在安全计算机基础架构内电子地执行合同的方法和系统 | |
| CN103812829B (zh) | 一种提高远程桌面安全性的方法、远程桌面服务器及系统 | |
| CN104063650B (zh) | 一种密钥存储设备及其使用方法 | |
| CN1588853A (zh) | 一种基于网络的统一认证方法及系统 | |
| Wang et al. | Cracking IoT device user account via brute-force attack to SMS authentication code | |
| CN103428159A (zh) | 一种登录程序的方法及服务器 | |
| CN101521574B (zh) | 大型分析仪器网络认证方法 | |
| CN1863048A (zh) | 用户与接入设备间因特网密钥交换协商方法 | |
| CN1529258A (zh) | 实现web应用安全加固的快速部署方法 | |
| CN102054203A (zh) | 适用于面向企业信息资源应用整合的处理方法及装置 | |
| CN1260927C (zh) | 实现安全性认证的ip网络系统及其方法 | |
| CN108924101A (zh) | 一种数据库的操作方法及相关设备 | |
| CN1688124A (zh) | 基于端口技术和认证协议的无线网络接入控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |