1、GemSafe基于JAVA卡技术的PKI网络安全解决方案,二00八年,公司总机:0756-8660888营销热线:0756-8660668投诉热线:0756-8660877公司邮箱:企业网址:, 网络安全产品,网络信息传输的安全需求,私密性 只有合法的授权人员方可读取传输的数据.身份识别 信息的发送者和接收者必须被确认为事先声明的双方. 完整性 网络中传输的信息数据必须保持初始状态,没有第三方能够修改数据内容.不可否认性 信息的发送方和接收方都无法抵赖电子交易信息的传送事件.,开放的网络世界可能遭遇的信息安全问题:,因此,在开放的国际互联网上防止可能出现的安全隐患,保证信息的高度安全性是至关重
2、要的。 PKI/CA技术可以为互联网上的信息安全提供保障。,1)信息在由发送方向接收方传送的过程中被第三方篡改.2)信息被第三方机构或个人窃取.3)发送方否认发送的信息 (否认发送 /否认发送人).4)接收方否认已收到信息.,PKI/CA支撑网络信息安全的基石,为解决网络的安全问题,世界各国经过多年研究,初步形成了一套完整的解决方案,即公钥基础设施(Public Key Infrastructure,PKI)。它是一种遵循标准的利用公钥加密(非对称密钥)技术提供一套安全基础平台的技术和规范。 PKI 的核心组成部分CA( Certification Authority),即认证中心,它是数字证
3、书的签发机构。而数字证书是PKI中最基本的元素,是个人或实体在网络上的数字身份证,所有安全操作都通过证书及非对称密钥对来实现。具有权威的认证机构CA正是在公钥加密技术基础上,对数字证书进行产生、管理、存档、发放以及作废等方面的管理,来实现相关的网络安全服务。,PKI的主要服务内容,PKI的主要内容包括:认证机构 CAPKI的核心执行机构、证书库(目录服务器LDAP、 CRL )、密钥备份及恢复、密钥和证书的更新、证书历史档案、客户端软 件、交叉认证。PKI的基础技术包括非对称密钥加密、解密,数字签名、签名验证、HASH(摘要)运算等。 PKI提供的主要服务有: 身份认证:身份识别与鉴别,确认实
4、体是他自己所申明的 数据完整性服务:防篡改 ,确认没有被修改、防丢失、缺损、防伪造 数据保密性服务:确保数据的保密,非授权没法读出 不可否认性服务:保证实体对其行为的诚实,防抵赖 公证性服务:证明数据是有效的或正确的 时间戳服务:一个可信任的时间权威,GemSafe的基本原理,GemSafe是基于智能卡技术实现PKI应用的终端网络安全解决方案。它通过带微处理器的IC卡或者是USB KEY,配合符合PKI标准的客户端软件,来完成密钥生成、数字证书储存、数据加密、数字签名等技术,以实现在网上银行、企业内部网络、电子商务、电子政务等信息传输的过程中安全性包括身份的真实性、不可抵赖性、信息的机密性、完
5、整性等。,GemSafe基本构组成,1)硬件介质(两种)其一:Gem eSeal即USB KEY的电子印章,它集成智能卡、读卡器在USB设备中;其二:GXP JAVA卡和读卡器 2)软件中间件产品 -GemSafe Libraries一、在客户端使用的符合PKI标准的软件模块二、支持客户端使用智能卡三、提供客户端工具软件四、可以根据客户要求提供函数接口,Gem e-Seal ,GemPC Key,GXP JAVA卡,工行U盾,GemSafe提供的功能,配合PKI环境,可以实现以下功能: 存储数字证书 在Key/卡内生成RSA密钥对 数字签名(实现不可否认性) 数字证书身份认证 重要信息加密、解
6、密(安全电子邮件) 客户端管理工具 客户需要的定制的接口函数 ,GemSafe应用领域,网上银行电子政务安全电子邮件企业网络证书登录VPN登录其它行业需要高安全登录和 数字签名的网上应用,安全 e-mail模式,使用保存在用户智能卡中的PKI密钥和数字证书,进行签名和加密 用户只需要输入PIN 码进行签名和加密e-mail 已整合到 Outlook 2000/2003 , Outlook Express, Netscape Messenger,强安全网络访问方式模式,传统方式登录,强安全登录模式,使用智能卡登录网络,插入卡片并输入 PIN,取走卡片, PC 会锁定,GemSafe的特性和优势(
7、一),一、高性能芯片确保更高级别的安全性 双因子认证(PIN码USB Key)实现信息存储和加密运算是基于智能卡技术的PKI解决方案的重要安全特性,GemSafe同样具备这两个特征: 首先:每一个Gem e-seal/GXP JAVA卡都具有硬件PIN码保护,PIN码和硬件构成了用户使用 Gem e-seal的两个必要因素,用户只有同时取得了Gem e-seal/GXP JAVA卡和PIN码,才可以登录系统。 其次:基于PKI(公钥基础设施)技术的Gem e-seal/GXP JAVA卡内置智能卡芯片,不仅有足够的空间储存密钥和数字证书,同时实现PKI体系中使用的数据摘要、数据加解密和数字签名
8、的各种算法,加解密运算在USB Key内进行,保证了用户私有密钥不会出现在计算机内存中,完全杜绝了用户密钥被黑客截取的可能性。,二、由于GemSafe的硬件Gem e-seal/GXP JAVA卡率先在国内升级到JAVA卡,高能的卡片芯片带来更高级别的安全性能: 首先:最高支持2048位RSA密钥对;众所周知:RSA密钥越长安全性越高。行业测试证明,在目前的计算机运算速度下,1024位的RSA密钥是安全的,很多CA的根证书都使用1024位的RSA密钥。 其次:更大的存储空间;32KB EEPROM空间(可定制64KB),可存储更多数据;同时,先进的内存管理支持删除Applet和Package功
9、能,释放内存空间,保证最大的可用空间; 再次:支持更多的证书与密钥;最大可支持10个RSA密钥对和证书(32KB容量时),并且可根据客户需要和卡片容量调整; 最后:更高的通讯速度;默认通讯速度高达57600 bps,最高可达115200 bps(普通卡片的默认通讯速度多为9600 bps)。,三、开放式技术平台实现灵活、广阔的多应用 基于最新的Java Card技术,开放式OS架构将平台与应用分开,可下载第三方Applet,即使在卡片发行之后,也能够方便和快速地更新及增加卡上的应用;也可预装/定制应(Applet) ,可根据客户需求将Applet(如PBOC2.0 applet)预装在ROM中
10、,为客户预留更大的EEPROM空间; Gem e-seal/GXP JAVA卡与标准版GemSafe Libraries配合,不仅能支持网银项目,更能提供更多的功能,如企业网登录,文件签名,安全电子邮件等。并支持十几种操作系统语言,不再需要本地化处理,使用无国界。,四、最高级别的技术标准 GemSafe applet通过许多权威机构和官方的认证,符合行业内的最高级别的安全标准。最新的GemSafe applet 以GemXpresso 为平台,GemXpresso 已取得Common Criteria安全认证级别 EAL +4,Common Criteria是国际认可的、最高级别的IT产品安全
11、评估标准。,GemSafe组件技术规范,一、GemSafe之硬件Gem e-seal/GXP JAVA卡遵循技术标准: 符合ISO7816 1/2/3/4 标准 符合PC/SC标准 Microsoft Windows 硬件质量实验室(WHQL) USB2.0全速(12 Mbps,即插即用) CCID芯片卡接口设备1.0 驱动程序支持的操作系统: Windows 98, 2000 和 XP Windows 2000 Server, Windows Server 2003 Windows XP 64bits 和 Server 64 bits Linux Red Hat WS3.0, WS4.0,
12、Suse Professional 9.2 Win CE 4.1, 4.2, 5.0,二、GemSafe之客户端软件GemSafe Libraries性能: GemSafe Libraries是一套基于智能卡的加密库软件,是一个符合PKI标准的通用中间件(middleware)产品。客户端软件与智能卡/USB Key是一一对应的,按照国际标准对访问智能卡的指令进行封装,在上层提供统一的接口。 标准PKI应用程序接口: PKCS#11 v2.01 Microsoft Crypto API 证书管理功能 证书格式:X.509v3 支持多个证书的管理 证书查看,注册(自动 & 手动) 证书导入 证书删除 密码管理功能 用户密码验证、修改 密码解锁 定制密码策略 客户化定制开发 安装程序界面、路径等 客户端软件界面 客户端软件功能 基于GemSafe Libraries的二次开发,让我们为客户做得更好! Our clients do it better !,E-mail: ,金邦达宝嘉控股有限公司,
