吉大正元产品简介课件

1 2 内容提要 产品体系介绍产品介绍 3 产品体系 产品定位 基于PKI PMI技术解决认证 授权 管理 内容保护等应用安全问题 4 产品体系 产品设计理念 安全为应用服务 安全为管理服务安全性与可用性 易用性结合两个基础设施 一个平台 提供五个统一服务两个基础设施 安全技术基础设施 安全管理基础设施一个平台 应用安全支撑平台五个统一服务 即统一的用户管理服务 统一的身份认证服务 统一的授权服务 统一访问控制服务 统一的安全审计服务 保护原有用户投资 尽量避免调整应用 5 吉大正元产品体系介绍 安全技术基础设施 PKI PMI 应用安全支撑平台 JITCinas 数字签名系统 身份验证系统 安全应用 CAServer签发系统 RAServer注册审核系统 KMCServer密钥管理中心 OCSPServer在线证书状态查询 RAToolkitRA开发工具包 OCSPToolkitOCSP开发工具包 TSA数字时间戳 AA属性证书系统 PMS授权管理系统 JITSRQ05数字证书认证系统 JITPMS授权管理系统 JITSmartOffice通用办公资源与业务管理系统 JITDS桌面安全系统 SZD34智能密码钥匙 SJY 76证书服务器密码机 JIT电子签章系统 JITGalaxy银河目录服务器 电子文档管理系统 电子公文安全传输系统 JITCSS签名服务器 JIT身份认证网关 终端安全 文档安全 办公安全 安全硬件产品 JITUMS统一用户管理系统 证书 权限管理 安全管理设施 身份验证 单点登录 数据保密 行为可控 可查 JITAQS统一审计监控系统 统一管理用户身份 账号 属性审计和监控相关行为内容 6 产品体系 产品荣誉 SRQ05电子证书认证系统 完全自主知识产权第一个通过国家级鉴定国家重点新产品该领域内国家最高科技奖 科技进步一等奖 应用安全支撑平台 第十界中国国际软件博览会金奖 SmartOffice政府资源管理系统 全国政务优秀软件 国务院办公厅 7 产品体系 产品对用户的价值 管理员对各实体 用户 设备等 进行统一管理系统实体之间建立可信 可控 可审计 可追查机制业务应用和安全措施能独立运行 方便各自管理应用与安全的集成简单而便捷提升用户对信息系统的使用体验 8 产品介绍 CA产品 SQR05 统一用户管理系统 UMS 授权管理系统 PMS 应用安全支撑系统 CINAS 综合审计系统 AQS 终端安全系统文件传输系统其他产品目录服务器Ukey加密机 9 提要 CA产品 10 产品概述 产品介绍 JITSRQ05电子证书认证系统是在吉大正元原有产品基础上 结合国内外同类产品的特点研制而成 是用于数字证书的申请 审核 签发 注销 更新 查询的综合管理系统 JITSRQ05电子证书认证系统由以下几个核心组件组成 CA签发管理系统 CAServer RA注册管理系统 RAServer KM密钥管理中心 KMServer OCSP在线证书状态查询系统 OCSPServer 其中CAServer为产品的核心 其他组件围绕认证中心提供更完善的安全解决方案 11 功能介绍 系统结构 12 功能介绍 系统组成 JITSRQ05 吉大正元电子证书认证系统服务器JITSRQ05CAServer 签发管理系统JITSRQ05KMServer 密钥管理中心JITSRQ05RAServer 注册管理系统JITSRQ05OCSPServer 在线证书查询系统开发用APIJITRAToolkitJITOCSPToolkit 13 功能介绍 CAServer CAServer的核心作用签发 管理证书和CRL以证书为中心管理数据 14 功能介绍 CAServer 证书管理基本功能证书申请证书下载证书更新证书注销证书冻结证书解冻证书查询证书归档同一模板下状态为 使用中 的证书 DN 必须唯一 15 功能介绍 CAServer 证书模板的作用证书模板的作用是根据证书应用需要 规范和定制证书内大部分信息 简化证书签发操作 并支持按证书模板分类管理证书 用户证书签发必须依赖证书模板 CA系统初始化后会预置一批常用证书模板 能够满足绝大多数证书应用 自定义扩展域的作用国家 国际标准表扩展域无法满足应用要求时 可以使用自定义扩展域OID 编码方式 VALUE 16 功能介绍 CAServer 权限管理本系统管理员证书模板证书管理授权 模板名称 BaseDN审计管理统计签发证书数量审计操作日志 17 功能介绍 KMServer KMServer的核心作用为CA提供加密密钥管理加密密钥生命周期以密钥为中心管理数据支持为多CA提供密钥服务 18 功能介绍 KMServer 密钥管理定时产生密钥即时产生密钥备用密钥统计在用密钥查询司法取证密钥归档同一机构下同一序列号的证书只能申请使用一对密钥 三库 要求备用密钥库在用密钥库归档密钥库 19 功能介绍 KMServer 机构管理使用CA 通信证书 作为就证书注册可限制CA机构能够提取的密钥类型和密钥数量权限管理超级管理员只能完成授权业务管理员操作其他所有业务管理由业务管理员完成审计管理统计业务量审计操作日志 20 功能介绍 RAServer RAServer的核心作用实现证书申请录入 审核功能管理证书对应的用户信息以用户为中心管理数据 21 功能介绍 RAServer 证书管理证书申请 证书下载 证书查询 证书更新证书冻结 证书解冻 证书注销批量申请证书 批量下载证书用户管理用户组管理添加用户 修改用户 删除用户冻结用户 解冻用户 注销用户 22 功能介绍 RAServer 模板管理获取已授权模板列表设置审核策略 手动审核 自动审核主题规则管理规范证书主题格式定制用户信息与证书主题的对应关系主题规则与证书模板绑定权限管理录入员审核员制证员 23 功能介绍 RAServer 用户自主服务自主下载证书自主更新证书下载根证书下载CRL可灵活控制的自主服务模式可扩展的用户身份验证模式 24 功能介绍 OCSPServer OCSP核心功能提供在线证书状态查询服务支持对多CA提供证书状态查询服务OCSP标识证书状态有效Using注销Revoked未知Unknown 25 功能介绍 开发用API RAToolkit连接CA 实现证书管理功能OCSPToolkit连接OCSP 实现证书状态查询功能 26 提要 数字签名服务器产品 27 产品概述 产品背景 研制背景需求 电子交易和网络业务 如何保证业务行为 时间不可否认和数据安全技术 PKI技术和数字证书应用 提供了技术保障和解决方案保障 随着电子签名法颁布 2005年4月1日 电子签名具有法律效力历程 2004年研制 2006年推出硬件产品2010年5月31日发布吉大正元数字签名服务器2 0 23产品定义吉大正元数字签名服务器是基于数字证书和PKI技术自主研制的硬件安全产品 提供数字签名和数字信封服务 满足用户在网络交易中行为不可抵赖 信息完整性 私密性等需求 解决问题行为可追述 不可抵赖数据防篡改数据保密 28 产品概述 产品形态 数字签名服务器硬件签名服务器服务器接口 V STK C版 COM版 JAVA版数字签名客户端客户端接口 V CTK COM版 JAVA版 29 产品概述 应用价值 完整性 数字签名 如果签名验证失败 说明数据的完整性遭到了破坏 机密性 不可抵赖 数字信封 使用两层加密来获得公开密钥技术的灵活性和秘密密钥技术高效性 数字签名 签名者事后不能否认自己的签名 身份认证 数字签名 接收者能验证签名 而任何其他人都不能伪造签名 30 功能介绍 数字签名服务器 管理员 用户 发送数据 验证签名 通过WEB方式管理服务器 证书存储 私钥存储 CRL OCSP 证书状态检索 发送数据 解密信封 制作数字签名 支持数据原文 文件制作数字签名 签名结构符合P7标准 验证数字签名 支持验证标准的P7签名结果 验证签名过程中 对制作签名证书进行完整验证 包括信任域 有效期 证书状态 制作数字信封 支持数据原文 文件制作数字信封 信封结构符合P7标准 验证数字信封 支持验证标准的P7信封结果 验证信封过程中 对制作信封的证书进行完整验证 包括信任域 有效期 证书状态 数字签名服务器 31 功能介绍 数字签名服务器 数字签名数字签名服务器支持对数据 文件制作数字签名 签名结构符合PKCS 7标准 支持验证符合PKCS 7标准的签名结果 数字签名服务器支持对数据制作数字签名 签名结构符合PKCS 1标准 支持验证符合PKCS 1标准的签名结果 数字信封数字签名服务器支持对数据 文件制作数字信封 信封结构符合PKCS 7标准 支持解密符合PKCS 7标准的信封结果 证书验证数字签名服务器支持对签名 加密证书进行全面验证 包括信任域 有效期和证书状态 交叉验证数字签名服务器支持配置多信任CA签发的根证书 可验证不同CA机构签发的符合PKCS 7标准的签名 信封结果 双机热备数字签名服务器内置双机热备系统 采用主备机模式 主机 处于工作状态的机器 与备机之间通过网口连接心跳线 用于监听对方机器是否处于正常工作状态 32 功能介绍 数字签名客户端 数字签名数字签名客户端支持对数据 文件制作数字签名 签名结构符合PKCS 7标准 支持验证符合PKCS 7标准的签名结果 数字信封数字签名客户端支持对数据 文件制作数字信封 信封结构符合PKCS 7标准 支持解密符合PKCS 7标准的信封结果 证书扩展证书作为用户身份标识 其中可以记载很多用户信息 如姓名 联系方式 工作单位 职务等等 也可以在CA机构定义扩展信息 数字签名客户端支持获取证书标准信息及其扩展信息 供应用系统使用 33 功能介绍 特色功能 数字签名 事后验证 使用证书进行完整数字签名 签名结果中包含签名时的全部证书状态信息 接收者可在生成后的任意时间验证 而其他任何人都不能伪造 监控功能 安全管理员可以对签名 验签业务进行实时的监控和统计 业务日志管理功能 内嵌数据库 安全管理员可以设置 查看日志信息及状态 数字信封 双证书体系 签名证书与加密证书完全独立 保障系统应用的安全监控功能 安全管理员可以对加密 解密业务进行实时的监控和统计 34 产品亮点 技术特点 标准化设计产品遵循 中华人民共和国电子签名法 证书符合X509v3标准 签名 信封结构符合PKCS 7 PKCS 1标准 客户端支持CSP标准的硬件产品 易用性设计支持多样的数据传入方式 可直接传入数据或传入数据存储的路径 支持多平台 多开发语言调用 提供JAVA COM C等多种类型的接口函数 安全性设计基于高强度的双向身份认证 确保了管理者的合法身份 专为数字签名服务器剪裁的操作系统 封闭了管理端口和业务端口以外的所有端口 加强了产品的抗攻击性 高可靠性设计持双机热备功能 避免单机故障 支持联合当今市场主流负载均衡设备 满足大压力 大并发下确保产品稳定性的需求 35 提要 统一用户管理安全产品 36 多应用环境下的用户管理问题 OA系统 MIS系统 ERP系统 管理员 领导 37 面对这些问题 我们该怎么办 38 解决思路 由分散到集中 电子邮件 主机 应用系统 中间件 网络设备 LDAP AD 建立统一管理机制集中管理组织机构集中管理用户信息集中管理帐号信息与SSO结合形成整体方案与数字证书技术结合 提升系统安全性 39 价值分析 集中管理带来的好处 降低管理成本 简化用户管理工作 管理员不再维护多套用户信息 大大减轻了管理员的工作量 提升系统安全 满足合规要求 与数字证书技术相结合 通过加密 签名等手段有效的保证用户信息的安全 提高了安全强度 系统遵照国际国内相关技术标准与法律法规 满足业务单位的合规性需求 例如 SOX法案 等级保护 分级保护 提高工作效率 管理员集中管理用户信息 可以很方便的为新用户