• 网站地图
• 联系我们
• 设为首页
• 添加收藏

• 网站首页
• 解决方案
• 同花顺系列产品
• 同花顺手机炒股
• 网络安全产品
• 网络通讯产品
• 客服中心
• 常见问题
• 问题解答
• 提交问题
• 公司动态
• 合作伙伴
• 诚聘英才
• 关于我们

当前位置：网站首页 > 解决方案 > 网络安全产品

网络安全产品

·核新SSL安全代理系统

1）系统简介

　　随着Internet 尤其是电子商务的迅速发展，网络信息安全得到人们的空前重视。由于受美国政府出口管理条例的限制，大多数Web 浏览器和服务器的国际版本存在加密强度底和安全"后门"等问题，网络用户的信息安全面临严重威胁。国内电子商务的发展迫切需要具有自主知识产权的数据安全增强软件，本系统就是为满足这一需求而开发的。

　　鉴于SSL（Secure Sockets Layer ）协议已成为Internet 上进行信息发布和电子商务活动所使用的最主要的安全通讯协议之一，本系统全面遵循SSL 规范，实现了多种高强度加密算法，对国内各主要ca 有良好的支持。系统以安全通讯代理(Proxy)的形式，为Web 浏览器、服务器和其它应用系统提供高强度安全数据通道，可作为电子商务系统信息安全支持平台。

2）系统应用

　　以下以核新SSL安全代理在网上证券交易中的应用为例，介绍两种应用方式。

应用一

　　基于WEB的委托，如下图所示。客户计算机通过核新SSL客户端，用客户数字证书对WEB数据进行加密并做数字签名。密文在高强度加密的形式下传输，通常为128位或168位强加密。在WEB服务器通过SSL服务器代理程序对客户证书进行校验，校验合法后解密，以明文形式传输给CGI委托等应用程序，最后，再由SSL代理程序对CGI的委托数据进行分拣加密（只加密委托所必需的数据，不加密其他WEB页面数据），以密文形式传给委托主站。

 

应用二

　　数据通讯加密采用具有自主知识产权的128位核新SSL安全代理确保数据传输过程中的安全性，整个系统可以支持PKI X.509标准的各种证书系统，对于整个网上交易系统的用户身份的安全识别采用了CFCA、CTca、SHEca或券商自建的ca所发放的证书和私钥进行身份识别。

　　其安全性设计充分保证数据传输的高度保密性、数据的完整性、用户和服务器之间的严格身份认证。

 

3）系统特性

1、在全面实现SSL 协议的基础上，支持128 位以上强加密算法和国产算法，克服了国外同类产品存在的加密强度低、存在安全“后门”的问题；

2、SSL 协议本身不具有传统意义上的数字签名功能，为适应电子商务的需求，在保持与SSL 协议兼容的基础上，在SSL 协议的上层增加了数字签名功能；

3、国内CA 通常具有自己的私钥存储格式和验证证书的接口，普通国外产品不能处理国内各CA发放的证书，鉴于这种实际情况，该系统从软件体系结构上给予了相应的支持，它具有统一的CA 访问接口，增加对一个CA的支持只需增加一个动态库即可，实现了系统的动态扩展。该系统对国内各主要CA（如SHECA 、CTCA 、CFCA）具有良好的支持，适合国内应用；

4、该系统支持基于IC 卡的证书和私钥的存储方式，具有抗攻击、安全性高的特点；具有统一的IC 卡访问接口，可灵活支持各种品牌和型号的IC 卡；

5、具有严格的在线认证机制，早期的SSL 安全产品缺乏有效的在线验证证书状态的手段，本系统支持OCSP 协议，支持国内各主要ca 的在线认证接口，可实时地验证证书的吊销状态；

6、具有良好的开放性，该系统遵循SSL 规范，与各主要Web 服务器、浏览器、SSL 安全增强产品具有完全的互操作性；在证书管理方面，支持X.509 DER 编码、BASE64 编码、PKCS7 、PKCS12 、PKCS15 等标准；

7、多数同类产品仅限于WEB 浏览器和服务器方面的应用，由于SSL 协议已成为电子商务领域最为流行的安全通讯协议，SSL 安全产品面临两个方面的迫切需求：一是支持更为广泛的应用协议和应用系统，二是提供开发平台以支持电子商务系统的快速构造。该系统同时支持HTTP 代理和SOCKS 代理协议，提供安全通讯、证书管理、数字签名等方面的高层接口，是一个适合各种应用的安全通讯支持平台；

8、该系统可与核新CA 系统实现良好集成，该系统提供创建证书请求、发送证书请求、安装证书等一系列功能，可大大简化客户的操作。

4）认证证书

　　

·核新CA系统

1）系统简介

　　证书认证中心(Certification Authority)是负责发放和管理数字证书的权威机构。核新ca系统遵循PKI安全体系，能够创建、签发、查询、吊销数字证书，为企业级的证书应用提供完整、灵活的解决方案。核新ca系统已经通过了公安部的安全检测，并取得了公安部的销售许可证。

2）系统特性

遵循国际标准

　　支持ITU的X.509,RSA Laboratories的PKCS#1、PKCS#7、PKCS#8、PKCS#10、PKCS#12、PKCS#15，IETF的RFC2510、RFC2511、RFC2549、RFC2560等多种国际标准。

系统安全可靠

　　核新ca支持密钥分存、联合启动，外围系统与核心系统之间的通讯采用基于证书的身份认证和加密机制，对操作员实行权限分级管理，具有详细的操作日志，便于审核。提供完善的证书数据库维护、备份功能。

证书的管理

　　核新ca系统可以创建多个根证书，支持多层ca结构，可以制定灵活的证书发行策略。能够创建、签发、查询、吊销用户证书，能与其他ca进行交叉认证。发行的证书支持目前流行的多种标准所规定的证书扩展属性和自定义扩展属性，支持基于IC卡、i-Key、软盘或硬盘的存储方式。

证书的查询

　　核新ca系统支持基于CRL(Certificate Revocation List)、OCSP(Online Certificate Status Protocol)两种方式的证书状态查询。

证书的发布

　　核新ca系统支持基于LDAP协议的ca证书、CRL、用户证书的发布。

3）系统结构

　　如下图所示，ca 服务器离线运行（网络隔离）、处于安全保护之中，RA服务器、OCSP服务器等统称为外围系统，外围系统和 ca 服务器之间使用统一的协议进行通讯。

 

1、ca服务器是ca系统的核心部分，向外围系统提供证书签发、证书吊销、证书更新、证书状态查询等服务，定期发行CRL, 制定证书发行策略，管理外围系统的操作权限和操作员的远程登录，记录详细的操作日志，备份并在异常时恢复系统数据。

2、ca管理器是ca服务器的管理界面，系统管理员可以通过ca管理器远程登录到ca服务器配置系统，进行各项管理操作。操作员只能使用它创建、签发、吊销证书。ca管理器提供友好的操作界面，方便了操作员对系统的使用和维护。

3、RA系统负责对提交了证书申请的用户真实身份进行审查，只有通过了审查的申请才会向ca提交，由ca签发证书。用户证书的密钥对由RA客户端创建，ca和RA服务器不会拥有用户证书的私钥。

4、OCSP服务器响应应用系统查询证书状态的请求，将格式正确的请求数据转往ca服务器进行状态查询，确定证书是否是本ca签发的、是否已被吊销，并将结果返回给应用系统。OCSP服务器和ca服务器通过网络进行连接，为保证在网络故障时OCSP服务器也可以提供证书状态查询服务，OCSP服务器在本地保存了已吊销的证书数据信息。

·核新RA系统

1）系统简介

　　数字证书注册审批机构（Registration Authority）是CA的证书发放、管理的延伸，它负责证书申请者的信息录入、审核以及证书发放等工作，是整个CA中心得以正常运营不可缺少的一部分。

　　核新RA系统对申请证书的用户真实身份进行审核，将通过审核的证书申请发往CA进行签发，当签发后的证书返回给用户后，系统自动安装证书。核新RA支持灵活的审核策略定制，可以满足不同应用领域的需求。例如，我们在证券行业有众多的用户，我们的RA系统能很好地满足用户的需求，使用户的操作快捷、方便。

　　核新RA系统提供了多种用户申请证书的方式，用户可以在网上在线申请、创建证书，也可以直接到营业部申请证书，系统可以采用自动审核或操作员人工审核两种方式对用户身份进行审核。

　　核新软件是中国金融认证中心（CFCA）为数不多的战略合作伙伴之一。

2）系统结构

　　下图以证券业应用为例说明RA结构

 

　　RA前端(RA Client)向RA服务器提交申请、吊销、更新证书的请求，RA服务器接收请求后自动进行身份审核，也可以等待操作员进行人工审核，将审核通过的请求提交给CA进行处理，将处理结果返回给RA前端。

3）证书申请与发放

　　用户可以通过RA Client 直接在网上进行证书的申请并获取证书（分为全自动智能发证、半自动智能发证两种方式），也可以到营业网点通过操作员获取证书。

在线全自动申请与发证

　　全自动申请与发证使用户申请证书、获得证书、安装证书的过程简单快捷。整个过程如下：

　　从整个过程可以看出，用户所做的只是提供最基本的信息，而其他的操作均可以是由系统自动完成。用户可见的只有"证书正在申请中，请稍候"、"证书已安装成功"等提示信息。

在线半自动申请与发证

　　半自动申请与发证是相对全自动智能发证方式而言的。用户通过RA Client在线申请证书，审核是操作员人工完成的，RA Client能自动查询证书申请的状态，及时取回处理结果。

离线证书申请与发放

　　用户直接到营业网点申请证书的过程如下图所示：

 

4）吊销和更新

用户申请吊销和更新证书有3种方式：

1、用户到营业部填写申请表，由录入操作员录入数据，审核操作员根据用户的资料进行审查，将通过审查的资料向CA提交。

2、用户通过WEB页面填写资料，发送给RA服务器，由审核管理员人工审核，或由RA服务器自动审核，RA服务器将处理结果用E-mail的方式通知用户。

3、用户通过RA Client，填写资料，发送给RA服务器，由审核管理员人工审核，或由RA服务器自动审核，RA Client每隔一定的时间间隔，连接到RA服务器，查询处理结果。

·核新防火墙

1）系统简介

　　核新防火墙结合核新在证券、银行等金融行业的安全技术积累，开发出的完全自主知识产权的网络安全产品。它采用先进、独特的软硬件体系结构，具有速度快、安全性高、设置方便及针对性强等特点。是证券、银行、电子商务网站等接入互联网的最理想安全屏障。

2）系统特性

1、状态包过滤

2、支持双向网络地址转换

3、应用层信息过滤

4、IP地址与MAC地址绑定

5、具有用户认证功能

6、规则一致性检查

7、规则及配置信息的导入导出

8、可抵抗DoS攻击

9、智能的日志审计

10、安全管理功能

11、在线的升级及维护功能

3）技术规格

1、网络接口： 3个10/100Base-TX以太网接口(1个可扩充接口)

2、终端控制接口： RS-232接口

3、尺寸：

　　长：330mm

　　宽：435mm

　　高：44.5mm

4、环境：

　　温度：0～50℃

　　湿度：5～95％

5、电源：

　　自动调节电压：180～265V 47～63Hz