迈普EIP系统安全网络方案

核心提示： 防止用户假冒用户的身份信息已经不仅仅是用用户名与口令来标识了，他使用存贮在数字证书中的非对称密钥的公钥来标识用户的身份，迈普EIP系统安全网络方案(3)，因此第三方无论使用什么手段得到用户名与口令也无济于事，因为真正的用户信息是在安全性很好的IC中存放的，也可以代理普通的基于C/S模式的特

防止用户假冒

用户的身份信息已经不仅仅是用用户名与口令来标识了，他使用存贮在数字证书中的非对称密钥的公钥来标识用户的身份。因此第三方无论使用什么手段得到用户名与口令也无济于事，因为真正的用户信息是在安全性很好的IC中存放的，所以用户只要保管好自己的IC卡，就不用担心非法用户的假冒。

保证系统的可用性

本方案使用内网、外网相互隔离，只开放所需服务的方式来实现，这样客户端只能通过授权使用所开放的服务，除该服务之外的其它服务都无从访问，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。

2.4 网络方案的优点

不影响原来的网络拓朴

采用本方案不需要对原来的网络拓朴进行改变，只需要为安全代理网关分配一内一外两个IP地址即可实现。

网络信息传输的机密性与完整性

安全代理网关主要实现用户客户端与服务器端的信息传输安全，通过高强度的加密机制来保证用户数据的安全性，其密码长度可达128或168位。

用户接入内部网络的身份认证

远程用户接入内部网络时需要进行身份认证，这个认证系统由三部分组成，用户作为持证者，安全代理网关服务器作为验证者，证书管理服务器作为发证者。客户端与服务器端通过双向的身份认证来保证信息传输对端的身份，及在他们之间进行传输的信息的安全性。

实现针对目标服务的代理

安全代理网关采用针对特定目标服务的代理，对除指定的服务之外的其它服务全部进行屏弊，使内网中对外暴露的服务达到最小，从而提高内网的安全性。

可以代理标准服务，也可以代理自定义服务

安全代理网关不仅可以代理标准的服务(如，http、ftp等)，也可以代理普通的基于C/S模式的特定服务。

远程用户或移动用户对内部信息的访问不受所处位置的影响

远程用户或移动用户在任何可以连接Internet的地方都可以安全访问公司内部机密信息，其访问不受地理位置的影响。