收藏
下载资源

格尔安全认证网关的web系统开发规范

上传人:kms****20 文档编号:46655713 上传时间:2018-06-27 格式:PDF 页数:11 大小:601.79KB
返回 下载 相关 举报
格尔安全认证网关的web系统开发规范_第1页
第1页 / 共11页
格尔安全认证网关的web系统开发规范_第2页
第2页 / 共11页
格尔安全认证网关的web系统开发规范_第3页
第3页 / 共11页
格尔安全认证网关的web系统开发规范_第4页
第4页 / 共11页
格尔安全认证网关的web系统开发规范_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《格尔安全认证网关的web系统开发规范》由会员分享,可在线阅读,更多相关《格尔安全认证网关的web系统开发规范(11页珍藏版)》请在金锄头文库上搜索。

1、 格尔安全认证网关的 Web 系统开发规范 v1.1 上海格尔软件股份有限公司 2004 年 12 月 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ i 保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。 2 ) 可以通过与接受方无关

2、的其它渠道公开获得的信息。 3 ) 可以从第三方,以无附加保密要求方式获得的信息。 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ ii 目 录 1 规范描述.1 2 开发常见问题.2 2.1 如何保证应用用户与 SSL 连接用户的一致性?.2 2.2 http 与 https 进行切换时应用如何保持用户 session?.2 2.3 采用可选验证时,应用如何判断用户是否提交了证书?.3 3 应用接口.4 3.1 接口描述.4 3.2 接口实例.5 上海格尔软

3、件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 1 1 规范描述 SSL 安全网关能够对用户的数字证书进行验证, 在浏览器与 Web 服务器之间建立安全加密通道, 可以为 Web 应用系统提供用户身份认证和数据保密的功能。为了充分利用 SSL 安全网关的安全功能, 保证系统可操作性和性能, 实现系统与安全网关的顺利结合,在 Web 应用系统的开发过程中应注意以下几点: ? 系统中的用户标志设置必须以用户数字证书中的标志为基础。 ? 用户身份的获取必须以安全网关提供为准,

4、 用户身份从 cookie中获取,系统可以去掉登录页面。 ? 在使用超级连接时尽可能使用相对链接,禁止使用 HTTP 的绝对链接本地服务,否则无法访问,本地服务用户只能通过 HTTPS 访问。 ? 避免使用协议的特有功能,保持 HTTP 与 HTTPS 的通用性。 ? 不得使用 KOAL_开头的 cookie作为有用信息,否则会被过滤。 ? 避免使用过多的 cookie信息,建议不要超过 1000 字节。 ? 对于网页中参数的传递尽可能以 POST 方式,避免 GET 方式。 ? 在网页美观的前提下,保证网页的简洁性,尽量减少网页中的帧数和资源数目(图片等) ,提高 SSL 的连接性能。 ?

5、减少使用重定向功能,避免使用多重重定向功能。 ? 系统提供统一的固定端口对外提供服务,避免使用动态及多个端口。 ? 对每个网页都必须对获取的用户身份cookie与应用保存的用户 session 值进行对比,防止另一个用户使用未关闭的 IE 进行访问。 ? 若网页包含多框架或多窗口,则网页内容的获取应统一由 HTTPS 方式获取,避免混用其他方式(HTTP,about:blank 空页面等)获取,否则会提示网页包含不安全内容。 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:

6、http:/ 2 2 开发常见问题 2.1 如何保证应用用户与 SSL 连接用户的一致性? ? 问题描述: 通过 SSL 访问应用,提交用户证书并正确进入,此时在 IE 不关闭的情况下更换用户证书,进行访问时会提示重新输入证书密码并验证,使用新的证书建立连接访问后,发现应用中的用户还是先前的用户,并没有与当前证书对应。 (此种现象仅会在客户端实现较为完善,对硬件证书时刻监控的情况下才会发生,否则 IE 还是采用原有 SSL 连接进行,并不以新证书进行连接) 。 ? 问题分析: 通常用户 session 有效期是与客户端进程关联的, 由于 IE 没有关闭, 因此用户的 session 继续有效,

7、虽然 SSL 连接已经发现用户发生变化,但应用还是根据原有的用户 session 进行判断,导致应用身份与 SSL 连接身份不一致。 ? 问题解决: 在这种情况下,由于 SSL 连接已经发现了身份变更,因此只要应用始终与SSL 连接的身份保持一致就可以了。实现的方法是:应用每次收到请求时都可以通过 cookie 方式获取用户身份, 然后将此身份与用户 session 保存的身份进行对比,若发生变化,则重新设定用户信息。 2.2 http 与https 进 行 切 换 时 应 用 如 何 保 持 用 户 session? ? 问题描述: SSL 网关保护部分 Web 资源,具体方式如下,用户首先

8、通过 http 方式登录网站,在进行某些重要操作时候使用 https 方式通过 SSL 网关认证访问应用,此时 Web 应用无法获取原有用户 session。 ? 问题分析: 通常的用户 session 是根据用户访问的地址来匹配的,通常是域名,但以上上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 3 应用方式对于客户端来说是两个网站(http 访问的地址与 https 访问的地址不同) ,因此通过 https 访问的时候客户端不会把先前的用户信息发送到第二个

9、地址。所以,应用无法获取用户 session 并不是 SSL 网关将用户信息过滤掉,而是客户端根本没有发送用户信息。 ? 问题解决: 通过以上问题分析,问题的解决其实就是解决不同网站(应用)间共用用户session 的问题,由于上述“两个网站”其实是一个,因此只要解决客户端发送问题就可以了。一种简单的方法是在切换 https 的时候,在 https 页面中加入隐含表单,在提交服务器之前通过客户端脚本将原有用户端信息自动填入,服务器通过获取隐含表单内容来判断用户,而不是简单的通过页面 session 判断(页面session 肯定不一样) 。 2.3 采用可选验证时,应用如何判断用户是否提交了证

10、 书? ? 问题描述: SSL 服务采用可选验证时,用户既可以提交证书验证,也可以不提交证书进行验证,都可以访问后台应用,应用如何区分用户是否进行了证书验证呢,是否可以采取应用获取证书内容的 cookie方式来来判断呢?即能够获取到 cookie就认为用户通过了证书认证,获取不到 cookie就认为用户未提交证书。 ? 问题分析: 当用户提交证书验证通过后, SSL 服务获取证书信息并以 cookie方式发送到应用服务器,在加入证书信息的 cookie 前,SSL 服务会对原有请求信息进行分析,若有相同 cookie 名称的内容则进行破坏处理,保证应用获取的证书信息的正确性;当用户不提交证书信

11、息时,SSL 服务无法获取证书信息,因此不会加入新的 cookie 信息,当然也不会检查用户请求信息中的内容了,因此用户在不提交证书情况下完全可以在请求中伪造出相应的 cookie 信息,而 SSL 服务误认为是应用所需要的信息而不加处理, 造成应用也可以获取到“证书内容的 cookie” ,误认为用户已经经过了证书验证。 ? 问题解决 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 4 为了避免应用的错误判断,SSL 服务在设定绑定 cookie的前提下,无

12、论是否获取到证书信息,都在用户信息中加入名称为 SSL_VERIFY_CERT 的 cookie项,证书通过验证则 cookie 的值为 yes,若为通过证书验证值为 no。因此,应用可以通过 SSL_VERIFY_CERT 来判断用户是否通过了证书验证。 3 应用接口 3.1 接口描述 SSL 与应用系统的接口以 cookie的方式实现, SSL 服务将证书及其他信息以cookie方式发送到应用服务器, 每一个 cookie的名称都有其确定的含义。 cookie名称的定义如下(假定) : 序号 Cookie 名称 Cookie 值含义 应用含义 备注 1. KOAL_CERT_CN 证书主题

13、 CN 项值 用户编码 2. KOAL_CERT_G 证书主题 GN 项值 用户姓名 3. KOAL_CERT_DN 证书主题项值 4. KOAL_CERT_O 证书主题 O 项值 组织 5. KOAL_CERT_OU 证书主题 OU 项值 单位 6. KOAL_CERT_T 证书主题 T 项值 职级 7. KOAL_CERT_E 证书主题 E 项值 EAMIL 地址 8. KOAL_CERT_ST 证书主题 ST 项值 机构 9. KOAL_CERT_L 证书主题 L 项值 地点 具 体 内容 以 具体CA 制定 的 含义为准 10. KOAL_CERT B64编码的用户证书 11. KOA

14、L_CERT_ISSUER_CN 证书颁发者通用名 12. KOAL_CERT_ISSUER_O 证书颁发者组织名 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 5 13. KOAL_CERT_SERIAL_NUMBER 证书序列号 证书序列号 14. KOAL_NOT_BEFORE 证书启用日期时间(格式:yyyy-mm-dd-hh-mm-ss) 生效期 15. KOAL_NOT_AFTER 证书失效日期时间(格式:yyyy-mm-dd-hh-mm-ss) 失效期 16. KOAL_CLIENT_IP 客户地址 17. SSL_VERIFY_CERT yes 或 no 验证证书时为 y e s 不验证证书时为 n o 在 服 务为 可 选验 证 时需要 3.2 接口实例 下面提供 Asp 脚本取 cookie 的示例: 用户编码= 用户姓名= 客户= 职级= EMAIL 地址= 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021)

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号