基于JAVA卡技术的PKI网络安全解决方案.ppt

1、二二0000八年八年金邦达宝嘉控股有限公司金邦达宝嘉控股有限公司 网络安全产品网络安全产品网络信息传输的安全需求网络信息传输的安全需求私密性私密性 只有合法的授权人员方可读取传输的数据.身份识别身份识别 信息的发送者和接收者必须被确认为事先声明的双方.完整性完整性 网络中传输的信息数据必须保持初始状态，没有第三方能够修改数据内容.不可否认性不可否认性 信息的发送方和接收方都无法抵赖电子交易信息的传送事件.因此，在开放的国际互联网上防止可能出现的安全隐患，保证信息的高度安全性是至关重要的。PKI/CAPKI/CA技术可以为互联网上的信息安全提供保障。1）信息在由发送方向接收方传送的过程中被第三方

2、篡改.2）信息被第三方机构或个人窃取.3）发送方否认发送的信息(否认发送/否认发送人).4）接收方否认已收到信息.PKI/CA支撑网络信息安全的基石支撑网络信息安全的基石 为为解决网络的安全问题，世界各国经过多年研究，初步形成了一套完整的解决方案，即公钥基础设施（Public Key Infrastructure，PKI）。它是一种遵循标准的利用公钥加密（非公钥加密（非对称密钥）对称密钥）技术提供一套安全基础平台的技术和规范。PKI 的核心组成部分CA(Certification Authority)，即认证中心，它是数字证书的签发机构。而数字证书是PKI中最基本的元素，是个人或实体在网络上的

3、数字身份证，所有安全操作都通过证书及非对称密钥对来实现。具有权威的认证机构CA正是在公钥加密技术基础上，对数字证书进行产生、管理、存档、发放以及作废等方面的管理，来实现相关的网络安全服务。PKI的主要服务内容的主要服务内容PKI的主要内容包括：认证机构 CAPKI的核心执行机构、证书库(目录服务器LDAP、CRL）、密钥备份及恢复、密钥和证书的更新、证书历史档案、客户端软 件、交叉认证。PKI的基础技术包括非对称密钥加密、解密，数字签名、签名验证、HASH（摘要）运算等。PKI提供的主要服务有：身份认证：身份识别与鉴别，确认实体是他自己所申明的 数据完整性服务：防篡改，确认没有被修改、防丢失、

4、缺损、防伪造 数据保密性服务：确保数据的保密，非授权没法读出 不可否认性服务：保证实体对其行为的诚实，防抵赖 公证性服务：证明数据是有效的或正确的 时间戳服务：一个可信任的时间权威GemSafe的基本原理的基本原理 GemSafe是基于智能卡技术实现PKI应用的终端网络安全解决方案。它通过带微处理器的IC卡或者是USB KEY，配合符合PKI标准的客户端软件，来完成密钥生成、数字证书储存、数据加密、数字签名等技术，以实现在网上银行、企业内部网络、电子商务、电子政务等信息传输的过程中安全性包括身份的真实性、不可抵赖性、信息的机密性、完整性等。1）硬件介质（两种）硬件介质（两种）其一：Gem eS

5、eal即USB KEY的电子印章，它集成智能卡、读卡器在USB设备中；其二：GXP JAVA卡和读卡器 2）软件中间件产品）软件中间件产品-GemSafe Libraries一、在客户端使用的符合PKI标准的软件模块二、支持客户端使用智能卡三、提供客户端工具软件四、可以根据客户要求提供函数接口Gem e-Seal GemPC KeyGXP JAVA卡工行U盾GemSafe提供的功能提供的功能配合PKI环境，可以实现以下功能：存储数字证书 在Key/卡内生成RSA密钥对 数字签名（实现不可否认性）数字证书身份认证 重要信息加密、解密（安全电子邮件）客户端管理工具 客户需要的定制的接口函数 Gem

6、Safe应用领域应用领域 网上银行 电子政务 安全电子邮件 企业网络证书登录 VPN登录 其它行业需要高安全登录和 数字签名的网上应用安全安全 e-mail模式模式 使用保存在用户智能卡中的PKI密钥和数字证书，进行签名和加密 用户只需要输入PIN 码进行签名和加密e-mail 已整合到 Outlook 2000/2003,Outlook Express,Netscape Messenger传统方式登录强安全登录模式使用智能卡登录网络插入卡片并输入 PIN取走卡片，PC 会锁定GemSafe的特性和优势（一）的特性和优势（一）一、高性能芯片确保更高级别的安全性高性能芯片确保更高级别的安全性 双

7、因子认证（PIN码USB Key）实现信息存储和加密运算是基于智能卡技术的PKI解决方案的重要安全特性，GemSafe同样具备这两个特征：首先：每一个Gem e-seal/GXP JAVA卡都具有硬件PIN码保护，PIN码和硬件构成了用户使用 Gem e-seal的两个必要因素，用户只有同时取得了Gem e-seal/GXP JAVA卡和PIN码，才可以登录系统。其次：基于PKI（公钥基础设施）技术的Gem e-seal/GXP JAVA卡内置智能卡芯片，不仅有足够的空间储存密钥和数字证书，同时实现PKI体系中使用的数据摘要、数据加解密和数字签名的各种算法，加解密运算在USB Key内进行，保

8、证了用户私有密钥不会出现在计算机内存中，完全杜绝了用户密钥被黑客截取的可能性。二、由于由于GemSafe的硬件的硬件Gem e-seal/GXP JAVA卡率先在国内升级到卡率先在国内升级到JAVA卡，高能的卡片卡，高能的卡片芯片带来更高级别的安全性能：芯片带来更高级别的安全性能：首先：最高支持2048位RSA密钥对；众所周知：RSA密钥越长安全性越高。行业测试证明，在目前的计算机运算速度下，1024位的RSA密钥是安全的，很多CA的根证书都使用1024位的RSA密钥。其次：更大的存储空间；32KB EEPROM空间(可定制64KB)，可存储更多数据；同时，先进的内存管理支持删除Applet和

9、Package功能，释放内存空间，保证最大的可用空间；再次：支持更多的证书与密钥；最大可支持10个RSA密钥对和证书(32KB容量时)，并且可根据客户需要和卡片容量调整；最后：更高的通讯速度；默认通讯速度高达57600 bps，最高可达115200 bps（普通卡片的默认通讯速度多为9600 bps）。三、开放式技术平台实现灵活、广阔的多应用三、开放式技术平台实现灵活、广阔的多应用 基于最新的Java Card技术，开放式OS架构将平台与应用分开，可下载第三方Applet，即使在卡片发行之后，也能够方便和快速地更新及增加卡上的应用；也可预装/定制应(Applet)，可根据客户需求将Applet

10、(如PBOC2.0 applet)预装在ROM中，为客户预留更大的EEPROM空间；Gem e-seal/GXP JAVA卡与标准版GemSafe Libraries配合，不仅能支持网银项目，更能提供更多的功能，如企业网登录，文件签名，安全电子邮件等。并支持十几种操作系统语言，不再需要本地化处理，使用无国界。四、最高级别的技术标准四、最高级别的技术标准 GemSafe applet通过许多权威机构和官方的认证，符合行业内的最高级别的安全标准。最新的GemSafe applet 以GemXpresso 为平台，GemXpresso 已取得Common Criteria安全认证级别 EAL+4，C

11、ommon Criteria是国际认可的、最高级别的IT产品安全评估标准。GemSafe组件技术规范组件技术规范一、一、GemSafe之硬件之硬件Gem e-seal/GXP JAVA卡遵循技术标准：卡遵循技术标准：符合ISO7816 1/2/3/4 标准 符合PC/SC标准 Microsoft Windows 硬件质量实验室（WHQL）USB2.0全速(12 Mbps,即插即用)CCID芯片卡接口设备1.0 驱动程序支持的操作系统:Windows 98,2000 和 XP Windows 2000 Server,Windows Server 2003 Windows XP 64bits 和

12、Server 64 bits Linux Red Hat WS3.0,WS4.0,Suse Professional 9.2 Win CE 4.1,4.2,5.0二、GemSafe之客户端软件之客户端软件GemSafe Libraries性能：性能：GemSafe Libraries是一套基于智能卡的加密库软件，是一个符合PKI标准的通用中间件(middleware)产品。客户端软件与智能卡/USB Key是一一对应的，按照国际标准对访问智能卡的指令进行封装，在上层提供统一的接口。标准PKI应用程序接口：PKCS#11 v2.01 Microsoft Crypto API 证书管理功能 证书格式：X.509v3 支持多个证书的管理 证书查看，注册(自动&手动)证书导入 证书删除 密码管理功能 用户密码验证、修改 密码解锁 定制密码策略 客户化定制开发 安装程序界面、路径等 客户端软件界面 客户端软件功能 基于GemSafe Libraries的二次开发让我们为客户做得更好让我们为客户做得更好!Our clients do it better!E-mail:金邦达宝嘉控股有限公司金邦达宝嘉控股有限公司