NetSafe完整技术白皮书

前 第1 产品概 公司介 产品体系介 产品背 第2 相关技术知 PKI技术知 其他技术知 MS SSL协 第3 产品结 产品组 产品架 第4 产品功 核心功 附加功 第5 产品特 第6 运行环 操作系 支持的应用服务 第7 典型应 应用描 方案要 系统结构 第8 技术规 证书类 算 密钥强 支持的协 证书存储形 第9 附 词汇 信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司PAGE1PAGE1 机密乙乙乙（CA2NetSafe（网安通、LinkSafe（联安通）Internet访问的资源非常丰富，从每日新闻、纵横旅游、文Web应用，例如：一般来讲，WebWebDDoS（分布式拒绝服务攻NetSafePKISSL/TLSWeb应用访问的安协议。SSL/TLS协议（SecureSocketsLayer）是在传输层和应用层之间建立NetSafePKIPKI是“PublicKeyInfrastructure作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认为网络应用提供可靠的安全保障。PKI的核心是要解决信息网络空间中的信任Authority审核注册中心RA（RegistrationAuthority、密钥管理中心KMC（KeyManagementCenter）等关键组件。CA（CertificateAuthority）PKIPKI的主CACA接受公钥拥有者的（CRLRA（RegistrationAuthority）CA的组成部分，KMC（KeyManagementCenter）完成加密证书的密钥管理DES、3DES、RC2、RC4、AES、SSF-33等。X.509X.509用户公钥证书由可信赖的证书ITUX.509V3里定义。根据这项标准，数字证书包括证书申请者的CA的信息。X.509数字证书内容：域SerialPeriodofSubject'sKeyLDAP（LightweightDirectoryAccessProtocol，轻目录访问协议。它是TCP/IP来更新和搜索目录。LDAP允许通过访问其他任Internet用户。信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司PAGE9PAGE9LDAP目录中，LDAP目录是一种数据库；UNIX文件系统非常相（Name；目录被进一步细分成组织单元（OrganizationUnitsOU；在这些OU中是包含数据的项。这种树-叶结构不仅使LDAP变得可扩展，而且当进行简单ITUX.509V3里定义。根据这项标准，数字证书包括证书申请者的CA的信息。X.509数字证书内容：域SerialPeriodofSubject'sKey信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司MSMSCryptoAPIPKIwindows操作系统实现安全加MSCryptoAPIwindows操作系统快速开发PKISSL连接、数字签名和加密、安全邮件服务。CSP（CryptographicServiceProvider）通常是一个动态连接库文件(DynamicLinkLibraryDLL文件)CryptoAPICSP提供的CPUUSBKey完成加密服务。SSL安全套接层协议（SSL，SecuritySocketLayer）是网景（Netscape）公SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来SSLSSL不对应用TLS\hSecurity对于信息传输的安全性及单、双向身份认证的需要。NetSafe具有广泛的应用WEB-SERVER，也可以为特定应用提供安全保障。DownloadCRL是NetSafe的辅助服务组件，完成CRL文件的下载。在NetSafe只有这三个特性全部通过验证后，该证书方能被接受，SSL连接继续进行。CRL（证书废弃列表）CFL（证书冻结列表）验证证书是否在由证书认证中心（CA）CRLCFL文件中信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司LDAP目录服务器上。DownloadCRLNetSafe的服务器上，通过WebNetSafeIEhttps：//域名：端口/NetSafe接到用户的请求后，双方首先进行证书验证和访问权限控制HTTP请求到后台的应用服务器；信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司SSLHTTPNetSafe可以同时作为普通资源和安全资源的代理服务器，使系统维护人HTTPBHTTPHTTPS请求，NetSafe都会将它还原成B方的请求类型（HTTPS请求，需要对响应进行加NetSafe进行安装和配置即可，整个法性就要完成一系列的证书验证步骤。NetSafe的证书验证体系可以确保e支持三种连接方式：TPL连接（客户不需要提供证书SSLTPLL用针对的用户群体不同，通常而言关键的安全应用只提供给有可信身份的用户，e提供的资源访问权限控制功能可以将杜绝低安全性的连接访问该安全性的业务系统。e但是后台的应用如何知道是何人在进行业务操作？这里有两种方式，一种是应用系统重新认证身份，这样势必加大开发的复杂程度也会消耗应用服e告诉后台的应用是谁来了，这样可以避免重复操作也可以保持安全连接和业务操作的身份一致性。e提供的证书信息的后台传输功能，保证了身份一致性，也可以由管理员灵活控制信息的传输内容。NetSafe产品为用户提供四种类型的日志管理服务，分别为访问日志、系信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司NetSafe运行过程中类似内存不足的系统错误；NetSafe服务运行时自动记录的日志信息，记录维护日志会明显NetSafe的性能，一般在系统出现故障无法判断故障点的时候才由系NetSafe服务的控制管理台打开维护日志开关；维护日志可NetSafeNetSafe所进行的数据处理内容，为系统为日志的记录周期，那么不同规模的应用的日志的信息量就差别很大。NetSafe的系统管理员可以根据需要设定保存的日志量，避免硬件资源的4040位的算法的使用就降低了业务的安全性，NetSafe产品提供进行加密强度的管理服务，系统可以通过简单设置完成信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司NetSafe在运行时首先进入服务管理控制台，通过控制台命令启动、暂停NetSafe服务中加入维护日志记录或者停止的命令。NetSafe可以与负载均衡的设备实现无缝结合，完成后台应用的负载均衡性质的专用系统是绝对不允许外来部门人员的擅入。NetSafe可以为专门安全连接的特性配置（连接数、请求等待数和等待时间NetSafe可以与客户端和应用服务器端建立连接，但是在资源有限的情况NetSafe的服务对象。管理员通过设置“连NetSafe同时实现连接的数目；设置“请求等待数”保证CRLCRL注销。CRLCA发布在目录服务器上或者是网络链接DownloadCRLCRL文件的发布有两种方式：CRL文件方式。NetSafeCRL验NetSafeCA证书。P10NetSafeCA签发的服务器证书。NetSafeP10NetSafe的服务器所使NetSafe管理员加密保存，NetSafe管理员的允许。NetSafeNetSafe除了提供命令行方式的中英文安装卸载向导外，还提供图形化的信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司ee中包含e控制台管理服务进程、安全代理服务控制进程、安全代理服务L分别完成各自的功能，互不干涉；由守护进程监控各服务进程，一旦服务进程出现异常中断，守护进程可以快速作出恢复服务的响应。NetSafe管理服务指令；CRLCRL验证服务，反馈证书的状态信息；守护进程：监控安全代理服务控制进程，日志进程，CRL进程。信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司HTTPSSSF33算法。HTTP/SSL/TLS/HTTPS（如浏览器、SUN实验室高强度测试，确保使用稳定。HTTP报文传输CRLCRLWebServerB/SNetSafe对Web应用完全透明，并且可以传递用户身份信息。应用NetSafe拥有内建的基本访问控制策略，可以对持证用户与匿名用户进CRLNetSafeCRLCA间NetSafe对用户的操作进行审计记录，并且可以按照管理员要求进行特Windows2000Red-FlagIBMBEA所有用户无论在何处无论使用何种方式只要能够上网就可进行安全连接；用户虽然数量众多而且分散，但是不须提供维护服务。SSL/TLSWebWebNetSaLDALDAInterneInterneNetSaDownloaCRL数据Web用 用NetSafeNetSafe服务器证书（证书主题于业务系统的域名一致NetSafe的运行参数和服务参数等；DownloadCRLNetSafe服务（对于CRLCADownloadCRL服务；SSLNetSafe服务（例如：htts://:porteSSL/TLSCRLV2LDAPIC心等基本部分。NetCert产品将为整个应用安全信任域内的所有用户签发有效IE浏览器实现WebSSL/TLS安全连接。WebSSL/TLS安全连接。信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司发生通常会使服务器系统不可用的故障）的能力。HA服务意味着应用程序每RSA：适用于数字签名和密钥交换。Rivest-Shamir-Adleman(RSA)加密算法是目前应用最广泛的公钥加密算法，特别适用于通过Internet传送的数据。这种算法以它的三位发明者的名字命名：RonRivest、AdiShamir和理能力和处理时间而言。在常用的公钥算法中，RSA与众不同，它能够进行DSA：仅适用于数字签名。数字签名算法(DigitalSignatureAlgorithm,DSA)由美国国家安全署(UnitedStatesNationalSecurityAgency,NSA)发明，已经由美国国家标准与技术协会(NationalInstituteofStandardsandTechnology,NIST)收录到联邦信息处理标准(FederalInformationProces