1、GemSafe基于JAVA卡技術(shù)的PKI網(wǎng)絡(luò)安全解決方案,二00八年?duì)I銷熱線投訴熱線企業(yè)網(wǎng)址：, 網(wǎng)絡(luò)安全產(chǎn)品,網(wǎng)絡(luò)信息傳輸?shù)陌踩枨?私密性 只有合法的授權(quán)人員方可讀取傳輸?shù)臄?shù)據(jù). 身份識(shí)別 信息的發(fā)送者和接收者必須被確認(rèn)為事先聲明的雙方. 完整性 網(wǎng)絡(luò)中傳輸?shù)男畔?shù)據(jù)必須保持初始狀態(tài)，沒有第三方能夠修改數(shù)據(jù)內(nèi)容. 不可否認(rèn)性 信息的發(fā)送方和接收方都無法抵賴電子交易信息的傳送事件.,開放的網(wǎng)絡(luò)世界可能遭遇的信息安全問題：,因此，在開放的國際互聯(lián)網(wǎng)上防止可能出現(xiàn)的安全隱患，保證信息的高度安全性是至關(guān)重要的。 P

2、KI/CA技術(shù)可以為互聯(lián)網(wǎng)上的信息安全提供保障。,1）信息在由發(fā)送方向接收方傳送的過程中被第三方篡改. 2）信息被第三方機(jī)構(gòu)或個(gè)人竊取. 3）發(fā)送方否認(rèn)發(fā)送的信息 (否認(rèn)發(fā)送 /否認(rèn)發(fā)送人). 4）接收方否認(rèn)已收到信息.,PKI/CA支撐網(wǎng)絡(luò)信息安全的基石,為解決網(wǎng)絡(luò)的安全問題，世界各國經(jīng)過多年研究，初步形成了一套完整的解決方案，即公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）。它是一種遵循標(biāo)準(zhǔn)的利用公鑰加密（非對(duì)稱密鑰）技術(shù)提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。 PKI 的核心組成部分CA( Certification Authority)，即認(rèn)證中心，它是數(shù)字證書的

3、簽發(fā)機(jī)構(gòu)。而數(shù)字證書是PKI中最基本的元素，是個(gè)人或?qū)嶓w在網(wǎng)絡(luò)上的數(shù)字身份證，所有安全操作都通過證書及非對(duì)稱密鑰對(duì)來實(shí)現(xiàn)。具有權(quán)威的認(rèn)證機(jī)構(gòu)CA正是在公鑰加密技術(shù)基礎(chǔ)上，對(duì)數(shù)字證書進(jìn)行產(chǎn)生、管理、存檔、發(fā)放以及作廢等方面的管理，來實(shí)現(xiàn)相關(guān)的網(wǎng)絡(luò)安全服務(wù)。,PKI的主要服務(wù)內(nèi)容,PKI的主要內(nèi)容包括：認(rèn)證機(jī)構(gòu) CAPKI的核心執(zhí)行機(jī)構(gòu)、證書庫(目錄服務(wù)器LDAP、 CRL ）、密鑰備份及恢復(fù)、密鑰和證書的更新、證書歷史檔案、客戶端軟 件、交叉認(rèn)證。 PKI的基礎(chǔ)技術(shù)包括非對(duì)稱密鑰加密、解密，數(shù)字簽名、簽名驗(yàn)證、HASH（摘要）運(yùn)算等。 PKI提供的主要服務(wù)有： 身份認(rèn)證：身份識(shí)別與鑒別，確認(rèn)實(shí)體

4、是他自己所申明的 數(shù)據(jù)完整性服務(wù)：防篡改 ，確認(rèn)沒有被修改、防丟失、缺損、防偽造 數(shù)據(jù)保密性服務(wù)：確保數(shù)據(jù)的保密，非授權(quán)沒法讀出 不可否認(rèn)性服務(wù)：保證實(shí)體對(duì)其行為的誠實(shí)，防抵賴 公證性服務(wù)：證明數(shù)據(jù)是有效的或正確的 時(shí)間戳服務(wù)：一個(gè)可信任的時(shí)間權(quán)威,GemSafe的基本原理,GemSafe是基于智能卡技術(shù)實(shí)現(xiàn)PKI應(yīng)用的終端網(wǎng)絡(luò)安全解決方案。它通過帶微處理器的IC卡或者是USB KEY，配合符合PKI標(biāo)準(zhǔn)的客戶端軟件，來完成密鑰生成、數(shù)字證書儲(chǔ)存、數(shù)據(jù)加密、數(shù)字簽名等技術(shù)，以實(shí)現(xiàn)在網(wǎng)上銀行、企業(yè)內(nèi)部網(wǎng)絡(luò)、電子商務(wù)、電子政務(wù)等信息傳輸?shù)倪^程中安全性包括身份的真實(shí)性、不可抵賴性、信息的機(jī)密性、完整

5、性等。,GemSafe基本構(gòu)組成,1）硬件介質(zhì)（兩種） 其一：Gem eSeal即USB KEY的電子印章，它集成智能卡、讀卡器在USB設(shè)備中； 其二：GXP JAVA卡和讀卡器 2）軟件中間件產(chǎn)品 -GemSafe Libraries 一、在客戶端使用的符合PKI標(biāo)準(zhǔn)的軟件模塊 二、支持客戶端使用智能卡 三、提供客戶端工具軟件 四、可以根據(jù)客戶要求提供函數(shù)接口,Gem e-Seal ,GemPC Key,GXP JAVA卡,工行U盾,GemSafe提供的功能,配合PKI環(huán)境，可以實(shí)現(xiàn)以下功能： 存儲(chǔ)數(shù)字證書 在Key/卡內(nèi)生成RSA密鑰對(duì) 數(shù)字簽名（實(shí)現(xiàn)不可否認(rèn)性） 數(shù)字證書身份認(rèn)證 重要信

6、息加密、解密（安全電子郵件） 客戶端管理工具 客戶需要的定制的接口函數(shù) ,GemSafe應(yīng)用領(lǐng)域,網(wǎng)上銀行 電子政務(wù) 安全電子郵件 企業(yè)網(wǎng)絡(luò)證書登錄 VPN登錄 其它行業(yè)需要高安全登錄和 數(shù)字簽名的網(wǎng)上應(yīng)用,安全 e-mail模式,使用保存在用戶智能卡中的PKI密鑰和數(shù)字證書，進(jìn)行簽名和加密 用戶只需要輸入PIN 碼進(jìn)行簽名和加密e-mail 已整合到 Outlook 2000/2003 , Outlook Express, Netscape Messenger,強(qiáng)安全網(wǎng)絡(luò)訪問方式模式,傳統(tǒng)方式登錄,強(qiáng)安全登錄模式,使用智能卡登錄網(wǎng)絡(luò),插入卡片并輸入 PIN,取走卡片， PC 會(huì)鎖定,GemS

7、afe的特性和優(yōu)勢(shì)（一）,一、高性能芯片確保更高級(jí)別的安全性 雙因子認(rèn)證（PIN碼USB Key）實(shí)現(xiàn)信息存儲(chǔ)和加密運(yùn)算是基于智能卡技術(shù)的PKI解決方案的重要安全特性，GemSafe同樣具備這兩個(gè)特征： 首先：每一個(gè)Gem e-seal/GXP JAVA卡都具有硬件PIN碼保護(hù)，PIN碼和硬件構(gòu)成了用戶使用 Gem e-seal的兩個(gè)必要因素，用戶只有同時(shí)取得了Gem e-seal/GXP JAVA卡和PIN碼，才可以登錄系統(tǒng)。 其次：基于PKI（公鑰基礎(chǔ)設(shè)施）技術(shù)的Gem e-seal/GXP JAVA卡內(nèi)置智能卡芯片，不僅有足夠的空間儲(chǔ)存密鑰和數(shù)字證書，同時(shí)實(shí)現(xiàn)PKI體系中使用的數(shù)據(jù)摘要、

8、數(shù)據(jù)加解密和數(shù)字簽名的各種算法，加解密運(yùn)算在USB Key內(nèi)進(jìn)行，保證了用戶私有密鑰不會(huì)出現(xiàn)在計(jì)算機(jī)內(nèi)存中，完全杜絕了用戶密鑰被黑客截取的可能性。,二、由于GemSafe的硬件Gem e-seal/GXP JAVA卡率先在國內(nèi)升級(jí)到JAVA卡，高能的卡片芯片帶來更高級(jí)別的安全性能： 首先：最高支持2048位RSA密鑰對(duì)；眾所周知：RSA密鑰越長(zhǎng)安全性越高。行業(yè)測(cè)試證明，在目前的計(jì)算機(jī)運(yùn)算速度下，1024位的RSA密鑰是安全的，很多CA的根證書都使用1024位的RSA密鑰。 其次：更大的存儲(chǔ)空間；32KB EEPROM空間(可定制64KB)，可存儲(chǔ)更多數(shù)據(jù)；同時(shí)，先進(jìn)的內(nèi)存管理支持刪除Apple

9、t和Package功能，釋放內(nèi)存空間，保證最大的可用空間； 再次：支持更多的證書與密鑰；最大可支持10個(gè)RSA密鑰對(duì)和證書(32KB容量時(shí))，并且可根據(jù)客戶需要和卡片容量調(diào)整； 最后：更高的通訊速度；默認(rèn)通訊速度高達(dá)57600 bps，最高可達(dá)115200 bps（普通卡片的默認(rèn)通訊速度多為9600 bps）。,三、開放式技術(shù)平臺(tái)實(shí)現(xiàn)靈活、廣闊的多應(yīng)用 基于最新的Java Card技術(shù)，開放式OS架構(gòu)將平臺(tái)與應(yīng)用分開，可下載第三方Applet，即使在卡片發(fā)行之后，也能夠方便和快速地更新及增加卡上的應(yīng)用；也可預(yù)裝/定制應(yīng)(Applet) ，可根據(jù)客戶需求將Applet(如PBOC2.0 appl

10、et)預(yù)裝在ROM中，為客戶預(yù)留更大的EEPROM空間； Gem e-seal/GXP JAVA卡與標(biāo)準(zhǔn)版GemSafe Libraries配合，不僅能支持網(wǎng)銀項(xiàng)目，更能提供更多的功能，如企業(yè)網(wǎng)登錄，文件簽名，安全電子郵件等。并支持十幾種操作系統(tǒng)語言，不再需要本地化處理，使用無國界。,四、最高級(jí)別的技術(shù)標(biāo)準(zhǔn) GemSafe applet通過許多權(quán)威機(jī)構(gòu)和官方的認(rèn)證，符合行業(yè)內(nèi)的最高級(jí)別的安全標(biāo)準(zhǔn)。最新的GemSafe applet 以GemXpresso 為平臺(tái)，GemXpresso 已取得Common Criteria安全認(rèn)證級(jí)別 EAL +4，Common Criteria是國際認(rèn)可的、最

11、高級(jí)別的IT產(chǎn)品安全評(píng)估標(biāo)準(zhǔn)。,GemSafe組件技術(shù)規(guī)范,一、GemSafe之硬件Gem e-seal/GXP JAVA卡遵循技術(shù)標(biāo)準(zhǔn)： 符合ISO7816 1/2/3/4 標(biāo)準(zhǔn) 符合PC/SC標(biāo)準(zhǔn) Microsoft Windows 硬件質(zhì)量實(shí)驗(yàn)室（WHQL） USB2.0全速(12 Mbps,即插即用) CCID芯片卡接口設(shè)備1.0 驅(qū)動(dòng)程序支持的操作系統(tǒng): Windows 98, 2000 和 XP Windows 2000 Server, Windows Server 2003 Windows XP 64bits 和 Server 64 bits Linux Red Hat WS3.0, WS4.0, Suse Professional 9.2 Win CE 4.1, 4.2, 5.0,二、GemSafe之客戶端軟件GemSafe Libraries性能： GemSafe Libraries是一套基于智能卡的加密庫軟件，是一個(gè)符合PKI標(biāo)準(zhǔn)的通用中間件(middleware)產(chǎn)品?？蛻舳塑浖c智能卡/USB Key是一一對(duì)應(yīng)的，按照國際標(biāo)準(zhǔn)對(duì)訪問智能卡的指令進(jìn)行封裝，在上層提供統(tǒng)一的接口。 標(biāo)準(zhǔn)PKI應(yīng)用程序接口： PKCS#11 v2.01 Microsoft Crypto API 證書管理功能 證書格式：X.509v