格爾安全認(rèn)證網(wǎng)關(guān)的Web 系統(tǒng)開(kāi)發(fā)規(guī)范v1.1上海格爾軟件股份有限公司2004年12月 ,保密事宜：本文檔包含上海格爾軟件股份有限公司的專有商業(yè)信息和保密信息。接受方同意維

格爾安全認(rèn)證網(wǎng)關(guān)的Web 系統(tǒng)開(kāi)發(fā)

規(guī)范

v1.1

上海格爾軟件股份有限公司

2004年12月

保密事宜：

本文檔包含上海格爾軟件股份有限公司的專有商業(yè)信息和保密信息。

接受方同意維護(hù)本文檔所提供信息的保密性，承諾不對(duì)其進(jìn)行復(fù)制，或向評(píng)估小組以外、非直接相關(guān)的人員公開(kāi)此信息。對(duì)于以下三種信息，接受方不向格爾公司承擔(dān)保密責(zé)任：

1 ) 接受方在接收該文檔前，已經(jīng)掌握的信息。

2 ) 可以通過(guò)與接受方無(wú)關(guān)的其它渠道公開(kāi)獲得的信息。

3 ) 可以從第三方，以無(wú)附加保密要求方式獲得的信息。

上海格爾軟件股份有限公司 i 上海市余姚路288號(hào)A 座4樓 Tel: (86-021) 62327010 Fax: (86-021) 62327015

URL: http://www.koal.com

目 錄

1 規(guī)范描述..........................................................................................1 2 開(kāi)發(fā)常見(jiàn)問(wèn)題....................................................................................2

2.1

2.2

2.3 如何保證應(yīng)用用戶與SSL 連接用戶的一致性？...........................2 http 與https 進(jìn)行切換時(shí)應(yīng)用如何保持用戶session ？..................2 采用可選驗(yàn)證時(shí)，應(yīng)用如何判斷用戶是否提交了證書(shū)？...............3 3 應(yīng)用接口..........................................................................................4

3.1

3.2 接口描述...............................................................................4 接口實(shí)例...............................................................................5

上海格爾軟件股份有限公司 ii

上海市余姚路288號(hào)A 座4樓 Tel: (86-021) 62327010 Fax: (86-021) 62327015

URL: http://www.koal.com

1 規(guī)范描述

SSL 安全網(wǎng)關(guān)能夠?qū)τ脩舻臄?shù)字證書(shū)進(jìn)行驗(yàn)證，在瀏覽器與Web 服務(wù)器之間建立安全加密通道，可以為Web 應(yīng)用系統(tǒng)提供用戶身份認(rèn)證和數(shù)據(jù)保密的功能。為了充分利用SSL 安全網(wǎng)關(guān)的安全功能，保證系統(tǒng)可操作性和性能，實(shí)現(xiàn)系統(tǒng)與安全網(wǎng)關(guān)的順利結(jié)合，在Web 應(yīng)用系統(tǒng)的開(kāi)發(fā)過(guò)程中應(yīng)注意以下幾點(diǎn)： 2 系統(tǒng)中的用戶標(biāo)志設(shè)置必須以用戶數(shù)字證書(shū)中的標(biāo)志為基礎(chǔ)。

2 用戶身份的獲取必須以安全網(wǎng)關(guān)提供為準(zhǔn)，用戶身份從cookie 中獲取，系統(tǒng)

可以去掉登錄頁(yè)面。

2 在使用超級(jí)連接時(shí)盡可能使用相對(duì)鏈接，禁止使用HTTP 的絕對(duì)鏈接本地服

務(wù)，否則無(wú)法訪問(wèn)，本地服務(wù)用戶只能通過(guò)HTTPS 訪問(wèn)。

2 避免使用協(xié)議的特有功能，保持HTTP 與HTTPS 的通用性。

2 不得使用KOAL_開(kāi)頭的cookie 作為有用信息，否則會(huì)被過(guò)濾。

2 避免使用過(guò)多的cookie 信息，建議不要超過(guò)1000字節(jié)。

2 對(duì)于網(wǎng)頁(yè)中參數(shù)的傳遞盡可能以POST 方式，避免GET 方式。

2 在網(wǎng)頁(yè)美觀的前提下，保證網(wǎng)頁(yè)的簡(jiǎn)潔性，盡量減少網(wǎng)頁(yè)中的幀數(shù)和資源數(shù)

目（圖片等），提高SSL 的連接性能。

2 減少使用重定向功能，避免使用多重重定向功能。

2 系統(tǒng)提供統(tǒng)一的固定端口對(duì)外提供服務(wù)，避免使用動(dòng)態(tài)及多個(gè)端口。

2 對(duì)每個(gè)網(wǎng)頁(yè)都必須對(duì)獲取的用戶身份cookie 與應(yīng)用保存的用戶session 值進(jìn)

行對(duì)比，防止另一個(gè)用戶使用未關(guān)閉的IE 進(jìn)行訪問(wèn)。

2 若網(wǎng)頁(yè)包含多框架或多窗口，則網(wǎng)頁(yè)內(nèi)容的獲取應(yīng)統(tǒng)一由HTTPS 方式獲取，

避免混用其他方式（HTTP ，about:blank空頁(yè)面等）獲取，否則會(huì)提示網(wǎng)頁(yè)包含不安全內(nèi)容。

上海格爾軟件股份有限公司 1 上海市余姚路288號(hào)A 座4樓 Tel: (86-021) 62327010 Fax: (86-021) 62327015

URL: http://www.koal.com

2 開(kāi)發(fā)常見(jiàn)問(wèn)題

2.1 如何保證應(yīng)用用戶與SSL 連接用戶的一致性？

l 問(wèn)題描述：

通過(guò)SSL 訪問(wèn)應(yīng)用，提交用戶證書(shū)并正確進(jìn)入，此時(shí)在IE 不關(guān)閉的情況下更換用戶證書(shū)，進(jìn)行訪問(wèn)時(shí)會(huì)提示重新輸入證書(shū)密碼并驗(yàn)證，使用新的證書(shū)建立連接訪問(wèn)后，發(fā)現(xiàn)應(yīng)用中的用戶還是先前的用戶，并沒(méi)有與當(dāng)前證書(shū)對(duì)應(yīng)。（此種現(xiàn)象僅會(huì)在客戶端實(shí)現(xiàn)較為完善，對(duì)硬件證書(shū)時(shí)刻監(jiān)控的情況下才會(huì)發(fā)生，否則IE 還是采用原有SSL 連接進(jìn)行，并不以新證書(shū)進(jìn)行連接）。

l 問(wèn)題分析：

通常用戶session 有效期是與客戶端進(jìn)程關(guān)聯(lián)的，由于IE 沒(méi)有關(guān)閉，因此用戶的session 繼續(xù)有效，雖然SSL 連接已經(jīng)發(fā)現(xiàn)用戶發(fā)生變化，但應(yīng)用還是根據(jù)原有的用戶session 進(jìn)行判斷，導(dǎo)致應(yīng)用身份與SSL 連接身份不一致。

l 問(wèn)題解決：

在這種情況下，由于SSL 連接已經(jīng)發(fā)現(xiàn)了身份變更，因此只要應(yīng)用始終與SSL 連接的身份保持一致就可以了。實(shí)現(xiàn)的方法是：應(yīng)用每次收到請(qǐng)求時(shí)都可以通過(guò)cookie 方式獲取用戶身份，然后將此身份與用戶session 保存的身份進(jìn)行對(duì)比，若發(fā)生變化，則重新設(shè)定用戶信息。

2.2 http 與https 進(jìn)行切換時(shí)應(yīng)用如何保持用戶

session ？

l 問(wèn)題描述：

SSL網(wǎng)關(guān)保護(hù)部分Web 資源，具體方式如下，用戶首先通過(guò)http 方式登錄網(wǎng)站，在進(jìn)行某些重要操作時(shí)候使用https 方式通過(guò)SSL 網(wǎng)關(guān)認(rèn)證訪問(wèn)應(yīng)用，此時(shí)Web 應(yīng)用無(wú)法獲取原有用戶session 。

l 問(wèn)題分析：

通常的用戶session 是根據(jù)用戶訪問(wèn)的地址來(lái)匹配的，通常是域名，但以上

上海格爾軟件股份有限公司

上海市余姚路288號(hào)A 座4樓 Tel: (86-021) 62327010 Fax: (86-021) 62327015

URL: http://www.koal.com 2

應(yīng)用方式對(duì)于客戶端來(lái)說(shuō)是兩個(gè)網(wǎng)站（http 訪問(wèn)的地址與https 訪問(wèn)的地址不同），因此通過(guò)https 訪問(wèn)的時(shí)候客戶端不會(huì)把先前的用戶信息發(fā)送到第二個(gè)地址。所以，應(yīng)用無(wú)法獲取用戶session 并不是SSL 網(wǎng)關(guān)將用戶信息過(guò)濾掉，而是客戶端根本沒(méi)有發(fā)送用戶信息。

l 問(wèn)題解決：

通過(guò)以上問(wèn)題分析，問(wèn)題的解決其實(shí)就是解決不同網(wǎng)站（應(yīng)用）間共用用戶session 的問(wèn)題，由于上述“兩個(gè)網(wǎng)站”其實(shí)是一個(gè)，因此只要解決客戶端發(fā)送問(wèn)題就可以了。一種簡(jiǎn)單的方法是在切換https 的時(shí)候，在https 頁(yè)面中加入隱含表單，在提交服務(wù)器之前通過(guò)客戶端腳本將原有用戶端信息自動(dòng)填入，服務(wù)器通過(guò)獲取隱含表單內(nèi)容來(lái)判斷用戶，而不是簡(jiǎn)單的通過(guò)頁(yè)面session 判斷（頁(yè)面session 肯定不一樣）。

2.3 采用可選驗(yàn)證時(shí)，應(yīng)用如何判斷用戶是否提交了證

書(shū)？

l 問(wèn)題描述：

SSL 服務(wù)采用可選驗(yàn)證時(shí)，用戶既可以提交證書(shū)驗(yàn)證，也可以不提交證書(shū)進(jìn)行驗(yàn)證，都可以訪問(wèn)后臺(tái)應(yīng)用，應(yīng)用如何區(qū)分用戶是否進(jìn)行了證書(shū)驗(yàn)證呢，是否可以采取應(yīng)用獲取證書(shū)內(nèi)容的cookie 方式來(lái)來(lái)判斷呢？即能夠獲取到cookie 就認(rèn)為用戶通過(guò)了證書(shū)認(rèn)證，獲取不到cookie 就認(rèn)為用戶未提交證書(shū)。

l 問(wèn)題分析：

當(dāng)用戶提交證書(shū)驗(yàn)證通過(guò)后，SSL 服務(wù)獲取證書(shū)信息并以cookie 方式發(fā)送到應(yīng)用服務(wù)器，在加入證書(shū)信息的cookie 前，SSL 服務(wù)會(huì)對(duì)原有請(qǐng)求信息進(jìn)行分析，若有相同cookie 名稱的內(nèi)容則進(jìn)行破壞處理，保證應(yīng)用獲取的證書(shū)信息的正確性；當(dāng)用戶不提交證書(shū)信息時(shí)，SSL 服務(wù)無(wú)法獲取證書(shū)信息，因此不會(huì)加入新的cookie 信息，當(dāng)然也不會(huì)檢查用戶請(qǐng)求信息中的內(nèi)容了，因此用戶在不提交證書(shū)情況下完全可以在請(qǐng)求中偽造出相應(yīng)的cookie 信息，而SSL 服務(wù)誤認(rèn)為是應(yīng)用所需要的信息而不加處理，造成應(yīng)用也可以獲取到“證書(shū)內(nèi)容的cookie ”，誤認(rèn)為用戶已經(jīng)經(jīng)過(guò)了證書(shū)驗(yàn)證。

l 問(wèn)題解決

上海格爾軟件股份有限公司

上海市余姚路288號(hào)A 座4樓 Tel: (86-021) 62327010 Fax: (86-021) 62327015

URL: http://www.koal.com 3

為了避免應(yīng)用的錯(cuò)誤判斷，SSL 服務(wù)在設(shè)定綁定cookie 的前提下，無(wú)論是否獲取到證書(shū)信息，都在用戶信息中加入名稱為SSL_VERIFY_CERT的cookie 項(xiàng)，證書(shū)通過(guò)驗(yàn)證則cookie 的值為yes ，若為通過(guò)證書(shū)驗(yàn)證值為no 。因此，應(yīng)用可以通過(guò)SSL_VERIFY_CERT來(lái)判斷用戶是否通過(guò)了證書(shū)驗(yàn)證。

3 應(yīng)用接口 3.1 接口描述

SSL 與應(yīng)用系統(tǒng)的接口以cookie 的方式實(shí)現(xiàn)，SSL 服務(wù)將證書(shū)及其他信息以cookie 方式發(fā)送到應(yīng)用服務(wù)器，每一個(gè)cookie 的名稱都有其確定的含義。cookie 名稱的定義如下（假定）： 序號(hào)

3. KOAL_CERT_DN 4. KOAL_CERT_O 5. KOAL_CERT_OU 6. KOAL_CERT_T 證書(shū)主題項(xiàng)值 證書(shū)主題O 項(xiàng)值 證書(shū)主題OU 項(xiàng)值 證書(shū)主題T 項(xiàng)值 組織 單位 職級(jí) 具體內(nèi)容以具體CA 制定的含義為準(zhǔn)

Cookie 名稱

Cookie 值含義

應(yīng)用含義

備注

11. KOAL_CERT_ISSUER證書(shū)頒發(fā)者通用名

_CN

證書(shū)頒發(fā)者組織名

_O

上海格爾軟件股份有限公司

4

上海市余姚路288號(hào)A 座4樓 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com

證書(shū)序列號(hào)

_NUMBER

證書(shū)序列號(hào)

14. KOAL_NOT_BEFORE 證書(shū)啟用日期時(shí)間生效期

(

格

式:yyyy-mm-dd-hh-mm-ss)

15. KOAL_NOT_AFTER

證書(shū)失效日期時(shí)間失效期 (

格

式:yyyy-mm-dd-hh-mm-ss)

16. KOAL_CLIENT_IP　

客戶ＩＰ地址　不驗(yàn)證證書(shū)時(shí)為ｎｏ　

在服務(wù)為可選驗(yàn)證時(shí)需要　

3.2 接口實(shí)例

下面提供Asp 腳本取cookie 的示例：　

用戶編碼=<=Request.Cookies("KOAL_CERT_CN")>

用戶姓名=<=Request.Cookies("KOAL_CERT_GN")>

客戶ＩＰ=<=Request.Cookies("KOAL_CLIENT_IP")>

職級(jí)=<=Request.Cookies(" KOAL_CERT_T")>

EMAIL 地址=<=Request.Cookies("KOAL_CERT_E")>

上海格爾軟件股份有限公司

上海市余姚路288號(hào)A 座4樓 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com

5

組織=<=Request.Cookies("KOAL_CERT_O")>

部門(mén)=<=Request.Cookies("KOAL_CERT_OU")>

頒發(fā)者名稱=<=Request.Cookies("KOAL_CERT_ISSUER_CN ")>

證書(shū)失效期=<=Request.Cookies("KOAL_NOT_AFTER ")>

用戶證書(shū)=<=Request.Cookies("KOAL_CERT ")>

下面是jsp 腳本例子：

<@ page contentType="text/html; charset=GBK">

<@ page import="java.net.URLDecoder">

<

Cookie[] cookies = request.getCookies();

if(cookies == null)

cookies = new Cookie[0];

String name = "";

String value = "";

for(int i = 0; i < cookies.length; i )

{

Cookie cookie = cookies[i];

if("KOAL_CERT_CN".equals(cookie.getName()))

{

name = "用戶標(biāo)識(shí)：";

value = cookie.getValue();

}

else if("KOAL_CERT_G".equals(cookie.getName()))

上海格爾軟件股份有限公司

上海市余姚路288號(hào)A 座4樓 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com 6

{

name = "姓名：";

value = new String(cookie.getValue().getBytes("ISO-8859-1"), "GBK");

}

else if("KOAL_CERT_O".equals(cookie.getName()))

{

name = "組織："; = value new String(URLDecoder.decode(cookie.getValue()).getBytes("ISO-8859-1"), "GBK");

}

else if("KOAL_CERT_OU".equals(cookie.getName())) =

{

name = "部門(mén)：";

value new String(URLDecoder.decode(cookie.getValue()).getBytes("ISO-8859-1"), "GBK");

}

else if("KOAL_CERT_E".equals(cookie.getName()))

{

name = "E-mail：";

value new String(URLDecoder.decode(cookie.getValue()).getBytes("ISO-8859-1"), "GBK");

}

else if("KOAL_CLIENT_IP".equals(cookie.getName()))

{

上海格爾軟件股份有限公司

上海市余姚路288號(hào)A 座4樓 Tel: (86-021) 62327010 Fax: (86-021) 62327015

URL: http://www.koal.com 7 =