高校校园网络访问授权解决方案

方案配景 

随着高校校园网的不停扩张，网络宁静已经成为各人普遍关注的问题，现在高校使用的宁静装备中，都只能提供部门服务内容。如：

加密性能够提供加密服务，可是，对于内部职员的攻击和冒充行为无能为力，也无法提供不行否认的服务;

防火墙只可以用于掩护一个子网的界限，但同样对于内部职员的攻击素手无策，也不能提供保密服务和不行否认服务;

VPN是通过加密手艺和验证手艺来保证数据信息宁静，可是不使用PKI手艺的VPN在认证和治理上存在缺陷，同时，对于内部网络的攻击者，VPN无能为力;

入侵检测系统只能举行入侵检测，它只能作为宁静系统的一个增补，简朴使用入侵检测系统不能解决信息宁静的保密性，完整性和不行否认性等。

需求剖析

随着日益频仍海内、国际学术交流的生长，以及教职工栖身情况的转变，不少教职工用户教职工需要在校区以外会见校内信息资源。出于信息宁静思量，不少校园网的资源(例如图书馆电子图书服务、海内外学术资源数据库以及内部信息资源等)只对校内的IP地址开放。使用VPN手艺既可很好的解决此类会见的宁静问题。

电子邮件的普遍应用也导致了不宁静因素的流传，以是宁静邮件也是人们所关注的问题，使用PKI系统中的数字证书可以到达人们所需要的宁静收发电子邮件的目的。

应用系统的登录，以及主要操作简直认也是数字证书应用的一个主要环节，使用数字证书可以很清晰简直认使用者的身份、权限以及主要操作的署名确认。这样可以保证系统不会被不明身份人入侵，还可以保证主要操作的可追溯性。

要做到校园网络宁静应用所包罗的数据真实性，保密性，完整性，不行否认性，只有PKI与SSL VPN手艺的联合，才气为高校校园网络构建完善的周全的校园网络宁静计谋，确保校园网宁静、稳固、高效地运转。

方案简介

凭据上述需求的形貌，国富安公司充实施展在信息宁静领域多年的领跑履历，针对校园PKI系统建设的特殊性，提出了如下解决方案：

上述解决方案主要解决了以下问题

(1)数字证书发表功效

建设了PKI/CA系统，实现了发表小我私家数字证书、机构数字证书、装备数字证书等，为实现联合数字软件公司

(2)身份认证功效

通过架设在内部校园网络中的宁静链路接入网关GFA iPass 3000(VPN装备)，实现包罗内网资源对外部的用户认证以及宁静授权会见。

(3)提供了端对端宁静加密通道功效

处于校园网外部的教职员工、学生以及出差职员等授权职员在身份认证通事后，通过SSL VPN端对端建设起的宁静加密通道举行信息的通报和会见，充实保证授权职员在外网的有用会见，提高了信息通报的宁静性。

(4)电子签章应用

电子签章应用数字证书是将差别的数字证书对应差别的部门、小我私家签章，举行绑定，实现在对文件加盖签章的同时举行署名，这样就确保的文件的完整性，以及行为的不行否认性。

产物清单

电子认证系统(GFA CA)、安密通应用系统、宁静链路接入网关