格尔安全认证网关产品白皮书
格尔安全认证网关产品白皮书
上海格尔软件股份有限公司
2007年8月
目录
1.1您的网络应用安全吗?
随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患:
●没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户
的模式,存在极大的隐患,具体表现在:(a)口令易被猜测;(b)口令在公网
中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效;(d)后台服
务系统需要维护庞大的用户口令列表并负责口令保存的安全,管理非常困难。
●数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文
方式传输,而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。
●操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的
可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟
需解决的一个严重问题。
1.2解决网络应用安全您要考虑
信任是安全的基础,在缺乏信任的环境下,实现信息系统的安全是不可想象的,因此解决网络应用安全的一个核心问题是解决信任问题,信任主要体现在以下几方面:
●强身份认证。建立信任首先要确认参与者的身份,即身份认证。身份认证是安全
保障的第一道门槛,也是后续安全措施的依据和基础,如果第一道门槛被攻破,
系统“认错人”,则后续的无论多么严密的安全措施基本实效,因此,身份认证
机制强度的高低很大程度决定了安全系统的安全级别高低,对于一个直接面对互
联网,如果身份认证机制的强度不够,根本无法起到屏障作用,无异于将网资源
直接开放。因此,身份认证机制不在于多少,而在于够不够强。基于PKI数字证
书的认证是目前被广泛接受的强身份认证机制之一。
●数据秘密性和完整性。一方面,认证机制越强,效率越低。在网络应用中并不是
每次交互都进行认证,而是根据第一次认证后的凭证来辨认用户,因此在真正用
户在线认证通过后,窃取用户的认证凭证,冒充用户访问是一种有效的攻击手段。
因此身份认证过程以及后续传输通讯都需全程保密。另一方面,网络应用中的重
要信息被其他人特别是竞争对手得到造成的损失极大,因此要求信息传输时对信
息进行高强度加密,保证传输安全性。总之,信息在网络上明文传输,被人轻易
获取,无异于自己打开门把东西拿给别人,系统有再强的其他安全机制有何用呢?
全程加密是对数据秘密性及完整性保障的优选方案之一。
●不可抵赖性。不可抵赖是信任的一个关键因素也是一个关键约束,是对结果的认
可和保障,如果可以事后赖账,无法追究责任,那么先前所作的一切都是前功尽
弃。现实生活中已经形成一套不可抵赖性的方式方法,而在网络世界中,数字签
名技术是公认的不可抵赖性实现的最优方案,《电子签名法》的颁布和实施也提
供了相应的法律依据。
2产品概述
图表 1 E型网关外观
图表 2 G型网关外观
(以上产品外观图仅做参考,具体外观及接口以实物为准)格尔网关为网络应用提供基于数字证书的高强度身份认证服务、高强度数据链路加密服务及数字签名及验证服务,可以有效保护网络资源的安全访问。支持HTTP、HTTPS的B/S应用以及FTP、远程桌面等通用的C/S应用。
3为什么选择格尔安全认证网关
格尔安全认证网关是:
?上海格尔软件自主研发的网络安全应用产品。
?基于PKI数字证书体系的经过国家密码管理局认证的认证加密产品(SJY128)。
?唯一一款集强身份认证、数据保密性、数据完整性及不可抵赖性功能于一身的产品。
格尔安全认证网关的价值体现在以下几个方面:
3.1PKI数字证书的全面支持
基于对PKI的深刻理解,格尔网关具备了对PKI的全面支持,包括以下几个方面:
?证书单双向的认证选择:格尔网关可以配置建立加密连接时是否认证用户证书。
?多服务,多站点证书支持:格尔网关可以建立多个服务,保护不同的应用,每个
服务可以使用不同的站点证书。
?多条证书链支持:格尔网关支持多条证书链同时存在、同时生效,即同一个SSL
服务可以同时认证多家CA中心的证书用户。
动态黑名单支持:格尔网关可以自动到LDAP发布点获取黑名单,并动态更新,不需要重新启动服务。
3.2对用户的一致性认证
通常的网关产品只是建立了一个加密连接,与应用完全无关,用户通过认证建立加密连接后必须经过再次认证(如用户名+口令、动态令牌等)登录应用系统,这种两次登录不仅没有加强安全性,而且在给用户带来不便的同时也带来安全隐患,由于加密连接和应用对用户认证的不一致,用户可以使用自己的证书建立连接,使用别人的用户名登录,这种方式给应用的流程和日后审计、取证带来了混乱。
格尔网关可以将用户证书中的任意信息以cookie方式向后台服务器传送,应用系统无需额外接口就可以方便获取证书用户信息,即保证了用户的一次登录,又保证了应用对用户认证的一致性,安全性得到进一步保障。同时,使用网关保护的多个应用系统也实现了对用户的单点登录功能,即用户使用一张证书登录所有应用系统。
3.3自动签名验证(专利技术之一)
格尔网关创新性的提出了自动签名验证服务,有效解决了网络不可抵赖性问题,使其成为目前唯一一款集强身份认证、数据保密性、数据完整性及不可抵赖性功能于一身的产品,是PKI产品的一种突破。
自动签名验证的特色是“自动”,签名、验证等复杂工作都由格尔网关自动完成,对应用实现零+开发,应用只需在网页中进行设置,无需额外开发接口、无需额外专业知识就能轻松实现信息不可抵赖。
3.4SSL协议中双证书的应用(专利技术之一)
双证书机制是当前我国PKI体系建设的主流模式。使用签名证书进行身份认证,使用加密证书进行密钥的交换和保护,既使PKI技术在应用中发挥其基于非对称密钥所带来的优势,又满足了国家对PKI应用进行审计监管的需要,是国家密码管理机构对PKI证书应
用的基本要求。
格尔网关创新的提出了双证书在SSL协议中的应用,并成功在产品中实现,符合国家密码管理机构对密码产品的要求。
3.5单点登录(专利技术之一)
对于某些无法修改或者无法获取证书信息从而无法实现用户一致性认证的应用,格尔网关可以实现证书与原有用户信息的映射,在应用无需任何改动的情况下自动完成系统登录,实现单点登录功能。
3.6多应用类型支持
格尔网关除了可以对B/S应用进行安全防护外,对于FTP、telnet、SSH、远程桌面、SMTP、POP3等多种非B/S应用也可以进行安全防护,具有广泛的适用性。
3.7对应用的加速
格尔网关高端产品采用硬件加速,加解密运算全部由硬件完成,效率是同等硬件环境下软件实现的10倍以上,可以彻底将应用服务器的CPU资源从繁重的加解密中解放出来,起到了对应用加速的作用。
3.8安全资质
格尔安全认证网关通过了国家保密局、国家密码管理局的严格鉴定,取得了相关安全资质,符合国家对于密码产品的使用规定。
3.9其他特性
●安全性:系统设置专用网络接口管理系统,系统关闭所有不需要的服务和端口(如
FTP、SSH等),只保留SSL服务端口,避免外界的攻击。
●易用性:系统所有管理操作均采用web方式,操作简单方便。
●适用性:系统支持串联、并联等多种部署方式,适用不同的网络环境和应用需求。
●兼容性:支持IE、Netscape、Firefox等主流浏览器,支持IIS、Websphere、Weblogic、
apache、tomcat等主流Web服务器。
●高可用性:系统支持双机热备。
注:扩展功能不包含在产品的基本版本中,是用户可选配功能。
格尔网关可以部署为串联模式(桥模式)或者并联模式(单臂模式)。
5.1串联部署
串联模式(桥模式)指格尔网关物理部署在用户和被保护的服务器之间,即格尔网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器通过内部网络与格尔网关连接,因此用户与服务器的连接被格尔网关隔离,用户只知道网关地址,无法直接访问被保护服务器,只有通过网关才能获得服务。
串联模式(桥模式)是格尔网关的标准部署模式,也是推荐部署模式,其部署示意图如下:
.
图表 3串联部署示意图
串联模式的优点是:
●安全性高:用户必须通过网关的认证加密后才能获取服务,同时网关将服务器与
外界网络隔离,避免了对服务器的直接攻击。
●结构清晰:串联模式在物理部署和逻辑结构上都非常简单,容易理解。
●性能高:相对于并联模式,串联模式的效率及带宽利用率更高。
串联模式的缺点是:
●需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。
5.2并联部署
并联模式(单臂模式)指格尔网关逻辑部署在用户和被保护的服务器之间,而物理连接是在同一网络中,即格尔网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。
图表 4 并联部署示意图
并联模式的优点是:
●部署方便:应用无需作改动,用户只需变更一下访问地址即可。
并联模式的缺点是:
●安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服务器和使
用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传
输,存在被窃听的安全隐患。
●性能较低:相对于串联模式,并联模式中用户到网关和网关到服务器的数据流量
都通过一个网口进行,效率及带宽利用率相对较低。
5.3双机热备部署
系统支持双机热备功能,在需要高可靠性的环境下需要对网关进行双机热备部署。双机热备部署需要部署两台设备,一台作为主机,一台作为备机,两台机器都与网络连接,
两台设备之间使用交叉线连接热备口进行状态检测,在正常情况下由主机提供服务,当主机发生异常时系统自动切换到备机进行服务。部署方式如图:
.
图表5串联模式下的双机热备部署
5.4负载均衡部署
格尔网关可以和大多数负载均衡设备配合使用,格尔网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图:
图表 7负载均衡环境下的串联模式部署
图表 8负载均衡环境下的并联部署
注:负载均衡器将网络的SSL流量负载到可用的格尔网关上,格尔网关对后端的Web 服务器并没有负载均衡的作用。
格尔网关采用专用网络硬件设备,产品具有多个系列:
注:上述所有规格及参数若有变动恕不另行通知,请以厂家提供的最终配置为准。
与格尔SSL安全网关连接的客户端推荐配置如下:
CPU:P3 800M 以上
内存:256M以上
操作系统:win2000以上版本
浏览器:以上,密钥长度128位
上海格尔软件股份有限公司
地址:上海市余姚路288号A座4楼
电话:(86-21)
传真:(86-21)
邮编:200042
9.1公司概述
上海格尔软件股份有限公司(以下简称格尔软件)成立于1998年3月,注册资本3500万,北京设营销和技术支持中心。公司下设北京格尔国信、上海格尔信息、上海格尔卫信及宁波格尔天屹等子公司,在全国各大中心城市还设有多个办事处。公司现有员工310人,其中本科以上学历占93%,技术开发人员210余人,约占65%。
格尔软件是专业从事信息安全核心技术和产品研发,为客户提供信息安全整体解决方案与配套服务的国内身份管理领域的领先企业。公司是国内最早研制PKI平台的厂商,国内首批商用密码产品定点生产与销售单位,国家保密局批准认定的“涉及国
家秘密的计算机信息集成甲级资质单位”,国家信息化工作领导小组计算机网络与信息安全管理工作办公室(国信安办)认定的14家计算机网络安全服务试点单位之一,国家“863”计划信息安全示范工程金融子项目的总服务商及“863”课题承担单位。公司曾获国家进步二等奖和上海市科技进步一等奖。
公司还是全国信息安全标准化技术委员会的主要成员之一。经过全国信息安全标准化技术委员会严格审定,上海格尔软件股份有限公司被批准为WG1、WG4、WG5、WG7工作组成员,在WG4工作组中承担相关标准制定工作。
9.2技术与产品
格尔软件坚持以技术创新推动企业的发展。公司长期从事核心密码技术的研究并有深厚的积累,至今已申请了17项自主研发的专利技术,其中7项已获国家专利局的授权,另外还拥有7项软件着作权。
目前,公司已形成PKI基础平台产品、安全网关产品、内网安全应用产品(超级蓝盾系列)三大产品线。核心产品包括PKI/CA身份认证产品、网盾桌面安全软件、安全认证网关、SSO单点登录系统、网络保险箱系统、金融IC卡密钥管理系统、信息安全综合监控与管理平台产品等。
9.3服务支持
客户至上是格尔软件的服务宗旨,对客户的全面支持服务与客户共同进步是格尔软件的追求。现在公司已为全国29个省市的众多客户提供了产品或服务,协助用户进行系统维护及基于数字证书的应用推广。公司在上海、北京、西安、湖南、湖北、安徽、江苏、浙江、贵州、福建等地设有技术支持服务机构或人员,为重点客户提供长期、稳定、高效的技术支持与服务。我们还同由其它公司承建的上海CA、西部CA、陕西CA、山东CA、广东CA、CTCA、公安部等众多运营机构建立了战略合作关系,提供证书应用推广所需的产品及技术支持服务。
公司利用自己深厚的技术积累,可以为客户提供信息安全咨询培训、安全解决方
安全认证网关的Web系统开发规范
安全认证网关Web系统开发规范 v1.1 电子政务外网电子认证办公室 2010年12月
目录 1规范描述 (1) 2开发常见问题 (2) 2.1如何保证应用用户与SSL连接用户的一致性? (2) 2.2http与https进行切换时应用如何保持用户session? (2) 2.3采用可选验证时,应用如何判断用户是否提交了证书? (3) 3应用接口 (4) 3.1接口描述 (4) 3.2接口实例 (5) 3.2.1Asp脚本示例 (5) 3.2.2JSP脚本示例 (6) https://www.360docs.net/doc/2118733710.html,的示例 (8) https://www.360docs.net/doc/2118733710.html,的C#脚本示例 (11)
SSL安全网关能够对用户的数字证书进行验证,在浏览器与Web服务器之间建立安全加密通道,可以为Web应用系统提供用户身份认证和数据保密的功能。为了充分利用SSL安全网关的安全功能,保证系统可操作性和性能,实现系统与安全网关的顺利结合,在Web应用系统的开发过程中应注意以下几点: ?系统中的用户标志设置必须以用户数字证书中的标志为基础。 ?用户身份的获取必须以安全网关提供为准,用户身份从cookie中获取,系统 可以去掉登录页面。 ?在使用超级连接时尽可能使用相对链接,禁止使用HTTP的绝对链接本地服 务,否则无法访问,本地服务用户只能通过HTTPS访问。 ?避免使用协议的特有功能,保持HTTP与HTTPS的通用性。 ?不得使用KOAL_开头的cookie作为有用信息,否则会被过滤。 ?避免使用过多的cookie信息,建议不要超过1000字节。 ?对于网页中参数的传递尽可能以POST方式,避免GET方式。 ?在网页美观的前提下,保证网页的简洁性,尽量减少网页中的帧数和资源数 目(图片等),提高SSL的连接性能。 ?减少使用重定向功能,避免使用多重重定向功能。 ?系统提供统一的固定端口对外提供服务,避免使用动态及多个端口。 ?对每个网页都必须对获取的用户身份cookie与应用保存的用户session值进 行对比,防止另一个用户使用未关闭的IE进行访问。 ?若网页包含多框架或多窗口,则网页内容的获取应统一由HTTPS方式获取, 避免混用其他方式(HTTP,about:blank空页面等)获取,否则会提示网页包含不安全内容。
格尔安全认证网关产品白皮书
格尔安全认证网关产品白皮书 上海格尔软件股份有限公司 2007年8月
目录
1.1您的网络应用安全吗? 随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患: ●没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户 的模式,存在极大的隐患,具体表现在:(a)口令易被猜测;(b)口令在公网 中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效;(d)后台服 务系统需要维护庞大的用户口令列表并负责口令保存的安全,管理非常困难。 ●数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文 方式传输,而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。 ●操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的 可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟 需解决的一个严重问题。 1.2解决网络应用安全您要考虑 信任是安全的基础,在缺乏信任的环境下,实现信息系统的安全是不可想象的,因此解决网络应用安全的一个核心问题是解决信任问题,信任主要体现在以下几方面: ●强身份认证。建立信任首先要确认参与者的身份,即身份认证。身份认证是安全 保障的第一道门槛,也是后续安全措施的依据和基础,如果第一道门槛被攻破, 系统“认错人”,则后续的无论多么严密的安全措施基本实效,因此,身份认证 机制强度的高低很大程度决定了安全系统的安全级别高低,对于一个直接面对互 联网,如果身份认证机制的强度不够,根本无法起到屏障作用,无异于将网资源
IT产品信息安全认证实施规则物联网感知层网关
编号:CCRC-IR-042:2019 IT产品信息安全认证实施规则 物联网感知层网关 2019-04-26发布 2019-04-30实施中国网络安全审查技术与认证中心发布
目录 1.适用范围 (1) 2.认证模式 (1) 3.认证的基本环节 (1) 3.1认证申请及受理 (1) 3.2文档审核 (1) 3.3型式试验委托及实施 (1) 3.4认证结果评价与批准 (1) 3.5获证后监督 (1) 4.认证实施 (1) 4.1认证流程 (1) 4.2认证申请及受理 (1) 4.3文档审核 (2) 4.4型式试验委托及实施 (2) 4.5认证结果评价与批准 (3) 4.6获证后监督 (3) 5.认证时限 (5) 6.认证证书 (5) 6.1认证证书的保持 (5) 6.2认证证书的变更 (5) 6.3认证证书覆盖产品的扩展 (5) 6.4认证证书的暂停、注销和撤销 (6) 6.5获证产品名录的发布 (6) 7认证标志的使用 (6) 7.1认证标志的样式 (6) 7.2认证标志的使用 (6) 7.3加施位置 (6) 8收费 (7) 附件1: (8) 附件2: (10)
1.适用范围 本规则适用于中国网络安全审查技术与认证中心(CCRC)针对物联网感知层网关开展的信息安全认证。 感知层网关是指实现感知网络与通信网络、不同类型感知网络之间的协议转换和互联,部署于物联网感知层的网络连接设备。 2.认证模式 型式试验 + 获证后监督 3.认证的基本环节 3.1认证申请及受理 3.2文档审核 3.3型式试验委托及实施 3.4认证结果评价与批准 3.5获证后监督 4.认证实施 4.1认证流程 申请方向认证机构申请认证,认证机构在接收到申请方的认证申请后,审查申请资料,确认合格后向申请方选择的实验室安排检测任务,并通知申请方根据要求送样。实验室依据相关标准和/或技术规范进行检测,并在完成检测后向认证机构提交检测报告。认证机构对检测报告审查合格后,需要时由认证机构组织进行初始工厂检查。认证机构对型式试验、相关安全保障能力文档进行综合评价,并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。 4.2认证申请及受理 申请方向认证机构递交认证申请,并按要求提交相关资料,认证机构对资料进行初审,确定申请方提交资料满足要求后,受理该申请。 4.2.1认证的单元划分
身份认证E网关_3.0产品白皮书
JIT 身份认证网关G v3.0产品白皮书 Version 1.0 有意见请寄:info@https://www.360docs.net/doc/2118733710.html, 中国·北京市海淀区知春路113号银网中心2层 电话:86-010-******** 传真:86-010-******** 吉大正元信息技术股份有限公司
目录 1前言 (2) 1.1应用场景描述 (2) 1.2需求分析 (3) 1.3术语和缩略语 (4) 2产品概述 (4) 2.1实现原理 (4) 2.1产品体系架构组成 (5) 2.1.1工作模式和组件描述 (6) 3产品功能 (8) 3.1身份认证 (8) 3.1.1数字证书认证 (8) 3.1.2终端设备认证 (9) 3.1.3用户名口令认证 (10) 3.2鉴权和访问控制 (10) 3.2.1应用访问控制 (10) 3.2.2三方权限源支持 (11) 3.3应用支撑 (11) 3.3.1支持的应用协议和类型 (11) 3.4单点登录 (12) 3.5高可用性 (12) 3.5.1集群设定 (12) 3.5.2双网冗余 (13) 3.5.3双机热备 (13) 3.5.4负载均衡 (13) 4部署方式 (14) 4.1双臂部署模式 (14) 4.2单臂部署模式 (14) 4.3双机热备部署 (15) 4.4负载均衡部署 (16) 4.5多ISP部署方式 (17) 5产品规格 (17) 5.1交付产品和系统配置 (17) 5.1.1交付产品形态 (17) 5.1.2系统配置和特性 (18) 6典型案例 (19) 6.1某机关行业 (19)
6.2 .................................................................................................................... 电子通讯行业 20 1 前言 1.1 应用场景描述 随着信息化的快速发展,网络内信息应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患: 一.没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在: ●口令易被猜测; ●口令在公网中传输,容易被截获; ●一旦口令泄密,所有安全机制即失效; ●后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全,管 理非常困难。 二.数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP 协议为明文方式传输,而Internet 的开放性造成传输信息存在着被窃听、被篡改的安全问题。 三.操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟需解决的一个严重问题
格尔SSL安全认证网关产品白皮书
格尔SSL安全认证网关 产品白皮书 V2.0 上海格尔软件股份有限公司 2004年12月
上海格尔软件股份有限公司 1 保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。 3 ) 可以从第三方,以无附加保密要求方式获得的信息。
上海格尔软件股份有限公司 2 目 录 1系统概述.............................................................................................31.1信息传输的安全需求.................................................................31.2一般SSL连接存在的问题..........................................................32系统原理.............................................................................................52.1SSL简介..................................................................................52.2格尔SSL安全代理系统原理......................................................53格尔SSL安全认证网关系统结构...........................................................73.1网络拓朴结构...........................................................................73.2格尔SSL安全认证网关系统组成和结构......................................84格尔SSL安全认证网关功能................................................................115第三方产品兼容.................................................................................135.1第三方CA兼容......................................................................135.2第三方设备厂商兼容...............................................................136格尔SSL安全认证网关产品特点.........................................................137运行环境...........................................................................................158产品相关特性....................................................................................158.1硬件特性...............................................................................158.2物理特性...............................................................................158.3电气特性...............................................................................168.4工作环境...............................................................................16
TrustMore集中认证网关.技术白皮书
?
2011?
i
TrustMore 集中认证网关
【产品白皮书】
北京中宇万通科技有限公司
?
?
目 录
一、前言?................................................................................................................?1?
1.1 为什么需要集中认证网关??.............................................................................................?1 1.1.1 帐号管理问题(Account).....................................................................................?1 1.1.2 身份认证问题(Authentication) .........................................................................?1 . 1.1.3 权限管理问题(Authorization)?............................................................................?2 1.1.4 集中审计问题(Audit)?.........................................................................................?2 1.1.5 用户体验问题(SSO,?Single?Sing‐On)?..................................................................?2 1.2 如何选择集中认证网关??.................................................................................................?3?
二、TrustMore 集中认证网关介绍?.......................................................................?3?
2.1 为什么选择 TrustMore 集中认证网关?..............................................................................?3 2.1.1 从集中管控角度?......................................................................................................?3 2.1.2 从用户体验角度?......................................................................................................?5 2.1.3 从集中审计角度?......................................................................................................?5 2.2 系统体系架构 ....................................................................................................................?5 . 2.3 核心功能 ............................................................................................................................?7 . 2.3.1 全面支持 PKI 数字证书认证方式?.........................................................................?7 2.3.2 单点登录技术?..........................................................................................................?7 2.3.3 终端签名验证技术?..................................................................................................?8 2.3.4 多类型应用支持?......................................................................................................?8 2.3.5 应用防火墙技术?......................................................................................................?8 2.3.6 应用加速技术?..........................................................................................................?8 2.4 系统部署方式 ....................................................................................................................?9 . 2.4.1 主路方式 .................................................................................................................?9 . 2.4.2 旁路方式 ...............................................................................................................?10 . 2.4.3 双(多)机热备?....................................................................................................?11 2.4.4 负载均衡 ...............................................................................................................?12 . 2.5 系统应用场景 ..................................................................................................................?14 .
三、TrustMore 集中认证网关客户端?.................................................................?14?
3.1 纯客户端模式?...........................................................................................................?14 3.2 基于浏览器的方式?...................................................................................................?15 3.3 客户端对外 API 接口形式?.......................................................................................?16?
四、TrustMore 集中认证网关功能与特色?..........................................................?16 五、规格型号与参数?...........................................................................................?19?
?
i?
信息安全-纵向加密认证网关宣传彩页
纵向加密认证网关 产品说明 NetKeeper-2000纵向加密认证网关部署在企业内部局域网与企业广域网的路由器之间,可以为不同级别多个业务系统之间的实时数据交换提供认证与加密服务,防止业务数据在网络传输过程中被窃取、监听、纂改,实现端到端的选择性保护,保证实时数据传输的机密性、完整性和可靠性。 NetKeeper-2000纵向加密认证网关(千兆型) NetKeeper-2000纵向加密认证网关(普通型) NetKeeper-2000纵向加密认证网关(低端型) 产品特点 ?高性能电力专用硬件加密技术,支持身份鉴别,信息加密,数字签名和密钥生成与保护。 ?应用协议选择性加密,支持对多种专用协议,对不同功能的报文采取不同的应用策略。 ?支持多种灵活接入方式。 ?安全综合防护功能,基于应用的内容过滤和硬件防火墙技术。 ?系统高可靠运行保障技术。采用了多种高可靠性保障技术包括双机冗余备份技术、硬件自动旁路技术、双电源冗余技术等,使得系统达到99.99%
以上的不间断运行水平。 ?高可靠性硬件设计。整体设计分布均匀、布局合理,采用国外进口高档工控双电源,有效地提高系统平均无故障工作时间。 ?严格的生产流程控制。严格遵循ISO9000 2000版质量认证体系,对每一台纵向加密认证网关的关键芯片和元器件进行产品老化试验,出厂前通 过240小时连续通电和大流量通信测试。 产品性能(千兆型) ?产品规格 ?材料:重负荷钢 ?尺寸(长×宽×高):500×440×45毫米 ?重量:12千克 ?网络接口: 4个千兆网卡接口+1个百兆网卡接口(其中eth0与eht1、 eth2与eth3支持自动旁路) ?外设接口:1个终端接口(RS232)+1个智能IC卡接口 ?电源 ?输入电压:220V AC±20% ?输入频率:47~63HZ ?电源功耗:150W ?平均无故障时间(MTBF)>60000小时(100%负荷) ?工作环境 ?工作温度:-10°~55° ?存储温度:-20°~80° ?工作湿度:5~95%,非冷凝 ?存储湿度:5~95%,非冷凝 ?性能指标 ?最大并发加密隧道数:2048条 ?1000M LAN环境下,加密隧道建立延迟<1s ?明文数据包吞吐量:1790Mbps (100条安全策略,1024报文长度) ?密文数据包吞吐量:110Mbps (50条安全策略,1024报文长度) ?数据包转发延迟:<1ms (50%密文数据包吞吐量)
CA认证解决方案-CA Server 网关汇总
CA认证安全解决方案 吉大正元信息技术股份有限公司
目录 1方案背景 (2) 2需求分析 (3) 3系统框架设计 (5) 4系统逻辑设计 (6) 5产品介绍 (7) 5.1CA认证系统 (7) 5.1.1系统构架 (7) 5.1.2系统功能 (8) 5.1.3系统流程 (9) 5.2身份认证网关 (9) 5.2.1系统架构 (9) 5.2.2系统功能 (10) 5.2.3系统流程 (12) 6网络拓扑设计 (13) 7产品配置清单 (14)
1方案背景 随着信息化建设的推进,信息化的水平也有了长足的提高,信息化已经成为政府、企业提高工作效率,降低运营成本、提升客户体验、增加客户粘度,提升自身形象的重要手段。 信息化是架构在网络环境世界来展开,网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险,如何解决虚拟身份的真实有效,敏感信息在网络传输的安全保密且不被攻击者非法篡改,如何防止网络操作日后不被抵赖?同时,随着信息系统的不断增加,信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。因此,安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋,上述问题逐渐给信息化建设管理者提出了新的挑战。 此外,国家安全管理部门发布了《信息安全等级保护管理办法》,提出了“计算机信息系统实行安全等级保护”的要求,等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。 鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求,本方案提出一套基于PKI密码技术的CA认证体系建设方案和基于数字证书的安全应用支撑解决方案,全面解决上述信息安全问题。
ca_格尔产品白皮书
格尔证书认证系统 产品白皮书
v .. 131
上海格尔软件股份有限公司 2 0 年 1 月 04 2
保密事宜:
本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评 估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向格 尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。 3 ) 可以从第三方,以无附加保密要求方式获得的信息。
上海格尔软件股份有限公司
1
上海市余姚路 2 8 A楼 4层 e 60 1 2 2 0 0 a: 8 -2 ) 2 2 0 5 8号 T l( -2 ) 3 7 1 F x 60 1 3 7 1 :8 6 ( 6 U L t : w w k a cm R : t / w . lo hp/ o.
目 录
1 前言.................................. ................................. 3 ................................. 2 产品简介 ............................... 4 ............................... ............................... 21 . 22 . 23 . 产品概念.......................... ......................... 4 ......................... 体系结构.......................... ......................... 4 ......................... 格尔证书认证系统产品线 .................. ................. 4 .................
3 产品特性及功能 ............................5 ............................ ........................... 31 . 32 . 33 . 产品特性.......................... ......................... 5 ......................... 基本功能一览表...................... 6 ...................... ...................... 产品总体效果 ....................... 8 ....................... .......................
4 部署情况示意 ............................ 1 ............................ 0 ............................ 5 附录.................................1 ................................. 1 ................................ 51 . 52 . 53 . 相关名词解释 ....................... 1 ...................... 1 ...................... 参考标准.........................1 ......................... 2 ........................ PI K 简介 .........................1 ......................... 3 ........................
图表目录
图表 1 格尔证书认证系统产品体系架构 ................ ................ ............... 4 图表 2 格尔证书认证系统产品系列列表 ................ ................ ............... 5 图表 3 格尔证书认证系统中小企业版产品列表 ............. ............ 5 ............ 图表 4格尔认证系统产品功能列表................... .................. 8 .................. 图表 5 格尔认证系统部署图.....................1 ..................... 0 .................... 图表 P I 6 K 数字认证中心功能结构 ................. 1 ................. 4 .................
上海格尔软件股份有限公司
2
上海市余姚路 2 8 A楼 4层 e 60 1 2 2 0 0 a: 8 -2 ) 2 2 0 5 8号 T l( -2 ) 3 7 1 F x 60 1 3 7 1 :8 6 ( 6 U L t : w w k a cm R : t / w . lo hp/ o.
深信服上网行为管理安全网关
深信服上网行为管理安全网关 一、深信服上网行为管理安全网关产品 SINFOR M5100-AC-S 38000元/台适用中小型网络,标配4个100M电口; SINFOR M5400-AC-S 100000元/台适用中型网络,标配2个100M电口4个1000M 电口; SINFOR M5400-AC-P 150000元/台适用中大型网络,标配4个1000M电口2个1000M光口 二、深信服上网行为管理安全网关产品截图 (1)防火墙模块 (2)分组模块
(3)控制模块 (4)流量控制模块 (5)记录审计模块
三、深信服产品介绍 针对网络安全问题和用户需求,SINFOR M5X000-AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为,能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为;封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P 应用;杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等;独特的敏感内容拦截和安全审计功能,防止机密泄露;全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表;再辅以SINFOR M5X00-AC 的其他安全扩展功能,全方位保障您的网络安全。 四、深信服上网行为管理安全网关产品特色 产品主要特点: 网关+终端、行为+内容的完整上网行为管理解决方案; 业界最丰富的用户认证方式,网络准入规则提供安全终端接入; 针对用户组、用户、应用提供更细粒度的访问控制; 针对应用协议、网站类型、文件类型等智能流量管理; URL库数量:1000万以上 最全的应用识别协议库,24大类,370多条应用识别规则; 精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容; 独立日志中心,提供海量存储、内容检索、模糊查询、自动报表等功能 支持网关、网桥、旁路等多种部署方式;网桥模式下并支持多路桥接功能
天玥运维安全网关V60-管理员使用手册-v10
2016 适用范围:内部管理员使用手册 天玥运维安全网关V6.0 适用范围:天玥运维安全网关V6.0系列 精细控制合规审计 北京启明星辰信息安全技术有限公司
目录 1 概述 (4) **关于本手册 (4) **格式约定 (4) 2管理员登录4 **用户权限 (4) **管理员登录 (5) 3系统账号管理员8 **系统账号管理 (8) **认证方式 (8) **格尔认证 (8) **认证方式设置 (10) **密码重置功能 (12) **密码策略 (13) 4系统审计员14 **日志查询 (14) **审计报表 (14) 5系统管理员15 **用户管理 (15) **添加用户 (15) **用户其它操作 (18) **用户组织机构 (19) **资源管理 (19) **添加资源 (19) **主机其它操作 (24) **资源组 (26) **资源分类 (27) **资源系统类型 (28) **资源服务类型 (29) **资源AD域 (29) **策略管理 (30) **访问策略 (30) **命令策略 (32) **集合设定 (35) **工单管理 (37) **审计管理 (38) **实时监控 (38) **日志查询 (39) **审计报表 (42) **密码管理 (47) **自动改密计划 (47) **自动改密结果 (48) **下载密码列表 (48)
**手动改密 (49) **系统管理 (49) **业务管理权限 (49) **系统信息 (50) **系统选项 (53) **接口配置 (60) **设备管理 (64) **应用发布66
纵向加密认证网关在电力二次系统安全防护中的应用
纵向加密认证网关在电力二次系统安全防护中的应用 摘要:电力系统安全防护工作坚持“安全防护、网络专用、横向管理、纵向认证”的原则,保证二次系统的安全运行。电力调度数据网在专用通道上使用独立的网络设备组网,在物理层面实现与其它数据网及外部公共信息网的安全隔离。 关键字:电力二次系统;加密技术;调度数据网;纵向加密认证网关 Abstract: The power systemsecurity and protection work adhere to the “safety,networkmanagement,dedicated, transverselongitudinalcertification” principle,to ensure the safe operation ofthe https://www.360docs.net/doc/2118733710.html,workequipment ofelectric power dispatching data networkusing independenton specialchannel,in the realization of security isolation andother data networksand external publicinformation networkphysicallayer. Key words: powertwosystem;encryption technology; dispatching data network;vertical encryption authentication gateway 一、引言 密码是一门科学,有着悠久的历史。密码在古代就用于传递秘密信息。密码一般用于信息通信传输过程中的保密和存储中的保密。随着计算机和信息技术的发展,密码技术的发展也非常迅速,应用领域不断发展。密码除了用于信息加密外,也用于数据信息签名和安全认证。密码技术是保护信息安全的主要手段,它通过对信息进行重新编码,在保证信息的完整性和正确性的同时,也保证信息的机密性,防止信息被篡改、伪造和泄露。加密是使信息在非授权的情况下不可解读的过程。加密依据是一中密码算法和至少有一种密钥,对于加密信息即使知道了算法,没有密钥,也无法解读信息。 电力调度数据网介绍 电力调度数据网通信业务流向主要为各直调厂站向青海省调和各地调的纵向数据传输。电力调度数据网接入层设备采用接入远动LAN交换机和路由器组成,网络协议为TCP/IP,传输平台为SDH/PDH。其他各种应用系统如厂站的RTU、电能量处理器、保护信息管理机等资源子网使用TCP/IP功能接入远动LAN 交换机,需协议转换的可增加网关或由RTU、电能量处理器、保护信息管理机自行完成协议的转换,LAN采用IEEE802系列标准。电力调度数据网是专门用于电力调度和电力生产数据业务的网络,不承担有关日常的管理信息以及如话音业务、视频业务、多媒体等其它业务。做到专网专用,确保电力生产的安全。青
(安全生产)第四章网络安全与认证
第四章网络安全与认证 一、单项选择题 1. 身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和_______。 (A) 可信性 (B) 访问控制 (C) 完整性 (D) 保密性 答案:B; 2. 目前最安全的身份认证机制是_______。 (A) 一次口令机制 (B) 双因素法 (C) 基于智能卡的用户身份认证 (D) 身份认证的单因素法 答案:A; 3. 下列是利用身份认证的双因素法的是_______。 (A) 电话卡 (B) 交通卡 (C) 校园饭卡 (D) 银行卡 答案:D; 4. 下列环节中无法实现信息加密的是_______。 (A) 链路加密 (B) 上传加密 (C) 节点加密 (D) 端到端加密 答案:B; 5. 基于私有密钥体制的信息认证方法采用的算法是_______。 (A) 素数检测 (B) 非对称算法 (C) RSA算法 (D) 对称加密算法 答案:D; 6. RSA算法建立的理论基础是_______。 (A) DES (B) 替代相组合 (C) 大数分解和素数检测 (D) 哈希函数 答案:C; 7. 防止他人对传输的文件进行破坏需要 _______。 (A) 数字签字及验证 (B) 对文件进行加密 (C) 身份认证 (D) 时间戳
答案:A; 8. 下面的机构如果都是认证中心,你认为可以作为资信认证的是_______。 (A) 国家工商局 (B) 著名企业 (C) 商务部 (D) 人民银行 答案:D; 9. 属于黑客入侵的常用手段_______。 (A) 口令设置 (B) 邮件群发 (C) 窃取情报 (D) IP欺骗 答案:D; 10. 我国电子商务立法目前所处的阶段是_______。 (A) 已有《电子商务示范法》 (B) 已有多部独立的电子商务法 (C) 成熟的电子商务法体系 (D) 还没有独立的电子商务法 答案:D; 二、多项选择题 1. 网络交易的信息风险主要来自_______。 (A) 冒名偷窃 (B) 篡改数据 (C) 信息丢失 (D) 虚假信息 答案:A、B、C; 2. 典型的电子商务采用的支付方式是_______。 (A) 汇款 (B) 交货付款 (C) 网上支付 (D) 虚拟银行的电子资金划拨 答案:C、D; 3. 简易的电子商务采用的支付方式是_______。 (A) 汇款 (B) 交货付款 (C) 网上支付 (D) 虚拟银行的电子资金划拨 答案:A、B; 4. 安全认证主要包括_______。 (A) 时间认证 (B) 支付手段认证 (C) 身份认证 (D) 信息认证 答案:C、D;