前 第1 產(chǎn)品概 公司介 產(chǎn)品體系介 產(chǎn)品背 第2 相關(guān)技術(shù)知 PKI技術(shù)知 其他技術(shù)知 MS SSL協(xié) 第3 產(chǎn)品結(jié) 產(chǎn)品組 產(chǎn)品架 第4 產(chǎn)品功 核心功 附加功 第5 產(chǎn)品特 第6 運(yùn)行環(huán) 操作系 支持的應(yīng)用服務(wù) 第7 典型應(yīng) 應(yīng)用描 方案要 系統(tǒng)結(jié)構(gòu) 第8 技術(shù)規(guī) 證書(shū)類(lèi) 算 密鑰強(qiáng) 支持的協(xié) 證書(shū)存儲(chǔ)形 第9 附 詞匯 信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司PAGE1PAGE1 機(jī)密乙乙乙（CA2NetSafe（網(wǎng)安通、LinkSafe（聯(lián)安通）Internet訪(fǎng)問(wèn)的資源非常豐富，從每日新聞、縱橫旅游、文Web應(yīng)用，例如：一般來(lái)講，WebWebDDoS（分布式拒絕服務(wù)攻NetSafePKISSL/TLSWeb應(yīng)用訪(fǎng)問(wèn)的安協(xié)議。SSL/TLS協(xié)議（SecureSocketsLayer）是在傳輸層和應(yīng)用層之間建立NetSafePKIPKI是“PublicKeyInfrastructure作為一種技術(shù)體系，PKI可以作為支持認(rèn)證、完整性、機(jī)密性和不可否認(rèn)為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障。PKI的核心是要解決信息網(wǎng)絡(luò)空間中的信任Authority審核注冊(cè)中心RA（RegistrationAuthority、密鑰管理中心KMC（KeyManagementCenter）等關(guān)鍵組件。CA（CertificateAuthority）PKIPKI的主CACA接受公鑰擁有者的（CRLRA（RegistrationAuthority）CA的組成部分，KMC（KeyManagementCenter）完成加密證書(shū)的密鑰管理DES、3DES、RC2、RC4、AES、SSF-33等。X.509X.509用戶(hù)公鑰證書(shū)由可信賴(lài)的證書(shū)ITUX.509V3里定義。根據(jù)這項(xiàng)標(biāo)準(zhǔn)，數(shù)字證書(shū)包括證書(shū)申請(qǐng)者的CA的信息。X.509數(shù)字證書(shū)內(nèi)容：域SerialPeriodofSubject'sKeyLDAP（LightweightDirectoryAccessProtocol，輕目錄訪(fǎng)問(wèn)協(xié)議。它是TCP/IP來(lái)更新和搜索目錄。LDAP允許通過(guò)訪(fǎng)問(wèn)其他任Internet用戶(hù)。信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司PAGE9PAGE9LDAP目錄中，LDAP目錄是一種數(shù)據(jù)庫(kù)；UNIX文件系統(tǒng)非常相（Name；目錄被進(jìn)一步細(xì)分成組織單元（OrganizationUnitsOU；在這些OU中是包含數(shù)據(jù)的項(xiàng)。這種樹(shù)-葉結(jié)構(gòu)不僅使LDAP變得可擴(kuò)展，而且當(dāng)進(jìn)行簡(jiǎn)單ITUX.509V3里定義。根據(jù)這項(xiàng)標(biāo)準(zhǔn)，數(shù)字證書(shū)包括證書(shū)申請(qǐng)者的CA的信息。X.509數(shù)字證書(shū)內(nèi)容：域SerialPeriodofSubject'sKey信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司MSMSCryptoAPIPKIwindows操作系統(tǒng)實(shí)現(xiàn)安全加MSCryptoAPIwindows操作系統(tǒng)快速開(kāi)發(fā)PKISSL連接、數(shù)字簽名和加密、安全郵件服務(wù)。CSP（CryptographicServiceProvider）通常是一個(gè)動(dòng)態(tài)連接庫(kù)文件(DynamicLinkLibraryDLL文件)CryptoAPICSP提供的CPUUSBKey完成加密服務(wù)。SSL安全套接層協(xié)議（SSL，SecuritySocketLayer）是網(wǎng)景（Netscape）公SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于電子商務(wù)應(yīng)用來(lái)SSLSSL不對(duì)應(yīng)用TLS\hSecurity對(duì)于信息傳輸?shù)陌踩约皢?、雙向身份認(rèn)證的需要。NetSafe具有廣泛的應(yīng)用WEB-SERVER，也可以為特定應(yīng)用提供安全保障。DownloadCRL是NetSafe的輔助服務(wù)組件，完成CRL文件的下載。在NetSafe只有這三個(gè)特性全部通過(guò)驗(yàn)證后，該證書(shū)方能被接受，SSL連接繼續(xù)進(jìn)行。CRL（證書(shū)廢棄列表）CFL（證書(shū)凍結(jié)列表）驗(yàn)證證書(shū)是否在由證書(shū)認(rèn)證中心（CA）CRLCFL文件中信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司LDAP目錄服務(wù)器上。DownloadCRLNetSafe的服務(wù)器上，通過(guò)WebNetSafeIEhttps：//域名：端口/NetSafe接到用戶(hù)的請(qǐng)求后，雙方首先進(jìn)行證書(shū)驗(yàn)證和訪(fǎng)問(wèn)權(quán)限控制HTTP請(qǐng)求到后臺(tái)的應(yīng)用服務(wù)器；信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司SSLHTTPNetSafe可以同時(shí)作為普通資源和安全資源的代理服務(wù)器，使系統(tǒng)維護(hù)人HTTPBHTTPHTTPS請(qǐng)求，NetSafe都會(huì)將它還原成B方的請(qǐng)求類(lèi)型（HTTPS請(qǐng)求，需要對(duì)響應(yīng)進(jìn)行加NetSafe進(jìn)行安裝和配置即可，整個(gè)法性就要完成一系列的證書(shū)驗(yàn)證步驟。NetSafe的證書(shū)驗(yàn)證體系可以確保e支持三種連接方式：TPL連接（客戶(hù)不需要提供證書(shū)SSLTPLL用針對(duì)的用戶(hù)群體不同，通常而言關(guān)鍵的安全應(yīng)用只提供給有可信身份的用戶(hù)，e提供的資源訪(fǎng)問(wèn)權(quán)限控制功能可以將杜絕低安全性的連接訪(fǎng)問(wèn)該安全性的業(yè)務(wù)系統(tǒng)。e但是后臺(tái)的應(yīng)用如何知道是何人在進(jìn)行業(yè)務(wù)操作？這里有兩種方式，一種是應(yīng)用系統(tǒng)重新認(rèn)證身份，這樣勢(shì)必加大開(kāi)發(fā)的復(fù)雜程度也會(huì)消耗應(yīng)用服e告訴后臺(tái)的應(yīng)用是誰(shuí)來(lái)了，這樣可以避免重復(fù)操作也可以保持安全連接和業(yè)務(wù)操作的身份一致性。e提供的證書(shū)信息的后臺(tái)傳輸功能，保證了身份一致性，也可以由管理員靈活控制信息的傳輸內(nèi)容。NetSafe產(chǎn)品為用戶(hù)提供四種類(lèi)型的日志管理服務(wù)，分別為訪(fǎng)問(wèn)日志、系信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司NetSafe運(yùn)行過(guò)程中類(lèi)似內(nèi)存不足的系統(tǒng)錯(cuò)誤；NetSafe服務(wù)運(yùn)行時(shí)自動(dòng)記錄的日志信息，記錄維護(hù)日志會(huì)明顯NetSafe的性能，一般在系統(tǒng)出現(xiàn)故障無(wú)法判斷故障點(diǎn)的時(shí)候才由系NetSafe服務(wù)的控制管理臺(tái)打開(kāi)維護(hù)日志開(kāi)關(guān)；維護(hù)日志可NetSafeNetSafe所進(jìn)行的數(shù)據(jù)處理內(nèi)容，為系統(tǒng)為日志的記錄周期，那么不同規(guī)模的應(yīng)用的日志的信息量就差別很大。NetSafe的系統(tǒng)管理員可以根據(jù)需要設(shè)定保存的日志量，避免硬件資源的4040位的算法的使用就降低了業(yè)務(wù)的安全性，NetSafe產(chǎn)品提供進(jìn)行加密強(qiáng)度的管理服務(wù)，系統(tǒng)可以通過(guò)簡(jiǎn)單設(shè)置完成信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司NetSafe在運(yùn)行時(shí)首先進(jìn)入服務(wù)管理控制臺(tái)，通過(guò)控制臺(tái)命令啟動(dòng)、暫停NetSafe服務(wù)中加入維護(hù)日志記錄或者停止的命令。NetSafe可以與負(fù)載均衡的設(shè)備實(shí)現(xiàn)無(wú)縫結(jié)合，完成后臺(tái)應(yīng)用的負(fù)載均衡性質(zhì)的專(zhuān)用系統(tǒng)是絕對(duì)不允許外來(lái)部門(mén)人員的擅入。NetSafe可以為專(zhuān)門(mén)安全連接的特性配置（連接數(shù)、請(qǐng)求等待數(shù)和等待時(shí)間NetSafe可以與客戶(hù)端和應(yīng)用服務(wù)器端建立連接，但是在資源有限的情況NetSafe的服務(wù)對(duì)象。管理員通過(guò)設(shè)置“連NetSafe同時(shí)實(shí)現(xiàn)連接的數(shù)目；設(shè)置“請(qǐng)求等待數(shù)”保證CRLCRL注銷(xiāo)。CRLCA發(fā)布在目錄服務(wù)器上或者是網(wǎng)絡(luò)鏈接DownloadCRLCRL文件的發(fā)布有兩種方式：CRL文件方式。NetSafeCRL驗(yàn)NetSafeCA證書(shū)。P10NetSafeCA簽發(fā)的服務(wù)器證書(shū)。NetSafeP10NetSafe的服務(wù)器所使NetSafe管理員加密保存，NetSafe管理員的允許。NetSafeNetSafe除了提供命令行方式的中英文安裝卸載向?qū)?，還提供圖形化的信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司ee中包含e控制臺(tái)管理服務(wù)進(jìn)程、安全代理服務(wù)控制進(jìn)程、安全代理服務(wù)L分別完成各自的功能，互不干涉；由守護(hù)進(jìn)程監(jiān)控各服務(wù)進(jìn)程，一旦服務(wù)進(jìn)程出現(xiàn)異常中斷，守護(hù)進(jìn)程可以快速作出恢復(fù)服務(wù)的響應(yīng)。NetSafe管理服務(wù)指令；CRLCRL驗(yàn)證服務(wù)，反饋?zhàn)C書(shū)的狀態(tài)信息；守護(hù)進(jìn)程：監(jiān)控安全代理服務(wù)控制進(jìn)程，日志進(jìn)程，CRL進(jìn)程。信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司HTTPSSSF33算法。HTTP/SSL/TLS/HTTPS（如瀏覽器、SUN實(shí)驗(yàn)室高強(qiáng)度測(cè)試，確保使用穩(wěn)定。HTTP報(bào)文傳輸CRLCRLWebServerB/SNetSafe對(duì)Web應(yīng)用完全透明，并且可以傳遞用戶(hù)身份信息。應(yīng)用NetSafe擁有內(nèi)建的基本訪(fǎng)問(wèn)控制策略，可以對(duì)持證用戶(hù)與匿名用戶(hù)進(jìn)CRLNetSafeCRLCA間NetSafe對(duì)用戶(hù)的操作進(jìn)行審計(jì)記錄，并且可以按照管理員要求進(jìn)行特Windows2000Red-FlagIBMBEA所有用戶(hù)無(wú)論在何處無(wú)論使用何種方式只要能夠上網(wǎng)就可進(jìn)行安全連接；用戶(hù)雖然數(shù)量眾多而且分散，但是不須提供維護(hù)服務(wù)。SSL/TLSWebWebNetSaLDALDAInterneInterneNetSaDownloaCRL數(shù)據(jù)Web用 用NetSafeNetSafe服務(wù)器證書(shū)（證書(shū)主題于業(yè)務(wù)系統(tǒng)的域名一致NetSafe的運(yùn)行參數(shù)和服務(wù)參數(shù)等；DownloadCRLNetSafe服務(wù)（對(duì)于CRLCADownloadCRL服務(wù)；SSLNetSafe服務(wù)（例如：htts://:porteSSL/TLSCRLV2LDAPIC心等基本部分。NetCert產(chǎn)品將為整個(gè)應(yīng)用安全信任域內(nèi)的所有用戶(hù)簽發(fā)有效IE瀏覽器實(shí)現(xiàn)WebSSL/TLS安全連接。WebSSL/TLS安全連接。信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司發(fā)生通常會(huì)使服務(wù)器系統(tǒng)不可用的故障）的能力。HA服務(wù)意味著應(yīng)用程序每RSA：適用于數(shù)字簽名和密鑰交換。Rivest-Shamir-Adleman(RSA)加密算法是目前應(yīng)用最廣泛的公鑰加密算法，特別適用于通過(guò)Internet傳送的數(shù)據(jù)。這種算法以它的三位發(fā)明者的名字命名：RonRivest、AdiShamir和理能力和處理時(shí)間而言。在常用的公鑰算法中，RSA與眾不同，它能夠進(jìn)行DSA：僅適用于數(shù)字簽名。數(shù)字簽名算法(DigitalSignatureAlgorithm,DSA)由美國(guó)國(guó)家安全署(UnitedStatesNationalSecurityAgency,NSA)發(fā)明，已經(jīng)由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)(NationalInstituteofStandardsandTechnology,NIST)收錄到聯(lián)邦信息處理標(biāo)準(zhǔn)(FederalInformationProces