1  方案背景

     互联网广泛应用的TCP/IP、HTTP等通信协议是基于明文传输的，攻击者在网络的任何途经节点均可窃听和伪造。在关键的电子政务、电子商务等应用中，难免会涉及用户明感信息的传递，如何保证这些明感数据的防窃听、防伪造，是信息系统建设的关键安全需求。

2  方案目标

     本方案基于SSL协议，解决信息系统数据传输过程中的数据私密性、完整性问题，以防止攻击者的窃听和篡改数据。

3  方案概述

1.由具有电子认证服务许可的CA机构给用户签发数字证书。CA机构在签发证书前，会严格核对用户的身份证件，能满足身份真实性要求；

2. 用户客户端浏览器以HTTPS方式访问网站，浏览器会调用SSL VPN插件进行SSL连接；

3. SSL VPN插件调用电子密钥对握手消息数字签名，可对用户进行身份鉴别和防重放；

4. SSL VPN插件发送SSL握手包到SSL VPN网关；

5. SSL VPN网关调用CA的证书注销状态查验服务，以防止非法用户连接；

6.以上认证通过后，客户端与SSL VPN网关建立安全连接，SSL VPN网关代理访问业务网站，给用户呈现业务界面。

4  网络部署

5  方案价值

1.对SSL VPN网关身份进行验证，有效防止钓鱼网站；

2.能保证传输数据的保密性和完整性，攻击者无法窃听到明文信息，也不能篡改或伪造传输数据；

3.通过配置SSL客户端证书认证，由NETCA给用户签发数字证书，可保证接入用户的身份真实性。

6  项目案例

某港航行政管理综合业务系统密码应用改造项目；

某养老保险业务信息系统密码应用建设项目