吉大正元产品简介

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,*,1,内容提要,产品体系介绍,产品介绍,2,产品体系产品定位,基于PKI/PMI技术,解决,认证、授权、管理、内容保护等,应用安全问题,3,产品体系产品设计理念,安全为应用服务，安全为管理服务,安全性与可用性、易用性结合,两个基础设施、一个平台，提供五个统一服务,两个基础设施：安全技术基础设施、安全管理基础设施,一个平台：应用安全支撑平台,五个统一服务：即统一的用户管理服务、统一的身份认证服务、统一的授权服务、统一访问控制服务、统一的安全审计服务。,保护原有用户投资、尽量避免调整应用,4,吉大正元产品体系介绍,安全,技术,基础,设施,PKI/PMI,应用,安全,支撑,平台,JIT Cinas,数字签名系统,身份验证系统,安全,应用,CA Server,签发系统,RA Server,注册审核系统,KMC Server,密钥管理中心,OCSP Server,在线证书状态查询,RA Toolkit,RA开发工具包,OCSP Toolkit,OCSP开发工具包,TSA,数字,时间戳,AA,属性证书系统,PMS,授权管理系统,JIT SRQ05,数字证书认证系统,JIT PMS,授权管理系统,JIT SmartOffice,通用办公资源与业务管理系统,JIT DS,桌面安全系统,SZD34,智能,密码,钥匙,SJY-76,证书,服务器,密码机,JIT,电子签章系统,JIT Galaxy,银河目录服务器,电子文档管理系统,电子公文安全传输系统,JIT CSS,签名,服务,器,JIT,身份,认证,网关,终端安全、文档安全、办公安全,安全硬件产品,JIT UMS 统一用户管理系统,证书、权限管理,安全,管理,设施,身份验证、单点登录、数据保密、,行为可控、可查,JIT AQS 统一审计监控系统,统一管理用户身份、账号、属性,审计和监控相关行为内容,5,产品体系 产品荣誉,SRQ05电子证书认证系统,完全自主知识产权,第一个通过国家级鉴定,国家重点新产品,该领域内国家最高科技奖科技进步一等奖,应用安全支撑平台,第十界中国国际软件博览会金奖,SmartOffice政府资源管理系统,全国政务优秀软件（国务院办公厅）,6,产品体系产品对用户的价值,管理员对各实体（用户、设备等）进行统一管理,系统实体之间建立可信、可控、可审计、可追查机制,业务应用和安全措施能独立运行、方便各自管理,应用与安全的集成简单而便捷,提升用户对信息系统的使用体验,7,产品介绍,CA产品（SQR05）,统一用户管理系统（UMS）,授权管理系统（PMS),应用安全支撑系统（CINAS）,综合审计系统（AQS）,终端安全系统,文件传输系统,其他产品,目录服务器,Ukey,加密机,8,提要,CA,产品,9,产品概述产品介绍,JIT SRQ05电子证书认证系统是在吉大正元原有产品基础上，结合国内外同类产品的特点研制而成。是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统。,JIT SRQ05电子证书认证系统由以下几个核心组件组成：,CA签发管理系统（CA Server）,RA注册管理系统（RA Server）,KM密钥管理中心（KM Server）,OCSP在线证书状态查询系统（OCSP Server）,其中CA Server为产品的核心，其他组件围绕认证中心提供更完善的安全解决方案。,10,功能介绍系统结构,11,功能介绍系统组成,JIT SRQ05,吉大正元电子证书认证系统,服务器,JIT SRQ05 CA Server,签发管理系统,JIT SRQ05 KM Server,密钥管理中心,JIT SRQ05 RA Server,注册管理系统,JIT SRQ05 OCSP Server,在线证书查询系统,开发用,API,JIT RA Toolkit,JIT OCSP Toolkit,12,功能介绍CA Server,CA Server的核心作用,签发、管理证书和,CRL,以证书为中心管理数据,13,功能介绍CA Server,证书管理基本功能,证书申请,证书下载,证书更新,证书注销,证书冻结,证书解冻,证书查询,证书归档,同一模板下状态为“使用中”,的证书（DN）必须唯一,14,功能介绍CA Server,证书模板的作用,证书模板的作用是根据证书应用需要，规范和定制证书内大部分信息，简化证书签发操作，并支持按证书模板分类管理证书；,用户证书签发必须依赖证书模板；,CA系统初始化后会预置一批常用证书模板，能够满足绝大多数证书应用；,自定义扩展域的作用,国家,/国际标准表扩展域无法满足应用要求时，可以使用自定义扩展域,OID + 编码方式 + VALUE,15,功能介绍CA Server,权限管理,本系统管理员证书模板,证书管理授权：模板名称,+ BaseDN,审计管理,统计签发证书数量,审计操作日志,16,功能介绍KM Server,KM Server的核心作用,为,CA提供加密密钥,管理加密密钥生命周期,以密钥为中心管理数据,支持为多CA提供密钥服务,17,功能介绍KM Server,密钥管理,定时产生密钥,即时产生密钥,备用密钥统计,在用密钥查询,司法取证,密钥归档,同一机构下同一序列号的证书只能申请使用一对密钥,“三库”要求,备用密钥库,在用密钥库,归档密钥库,18,功能介绍KM Server,机构管理,使用,CA“通信证书”作为就证书注册,可限制CA机构能够提取的密钥类型和密钥数量,权限管理,超级管理员只能完成授权业务管理员操作,其他所有业务管理由业务管理员完成,审计管理,统计业务量,审计操作日志,19,功能介绍RA Server,RA Server的核心作用,实现证书申请录入、审核功能,管理证书对应的用户信息,以用户为中心管理数据,20,功能介绍RA Server,证书管理,证书申请、证书下载、证书查询、证书更新,证书冻结、证书解冻、证书注销,批量申请证书、批量下载证书,用户管理,用户组管理,添加用户、修改用户、删除用户,冻结用户、解冻用户、注销用户,21,功能介绍RA Server,模板管理,获取已授权模板列表,设置审核策略：手动审核、自动审核,主题规则管理,规范证书主题格式,定制用户信息与证书主题的对应关系,主题规则与证书模板绑定,权限管理,录入员,审核员,制证员,22,功能介绍RA Server,用户自主服务,自主下载证书,自主更新证书,下载根证书,下载,CRL,可灵活控制的自主服务模式,可扩展的用户身份验证模式,23,功能介绍OCSP Server,OCSP核心功能,提供在线证书状态查询服务,支持对多,CA提供证书状态查询服务,OCSP标识证书状态,有效,Using,注销 Revoked,未知 Unknown,24,功能介绍开发用API,RA Toolkit,连接CA，实现证书管理功能,OCSP Toolkit,连接OCSP，实现证书状态查询功能,25,提要,数字签名服务器产品,26,产品概述产品背景,研制背景,需求：电子交易和网络业务，如何保证业务行为、时间不可否认和数据安全,技术：,PKI,技术和数字证书应用，提供了技术保障和解决方案,保障：随着电子签名法颁布（,2005,年,4,月,1,日），电子签名具有法律效力,历程：,2004,年研制，,2006,年推出硬件产品,2010,年,5,月,31,日发布吉大正元数字签名服务器,2.0.23,产品定义,吉大正元数字签名服务器是基于数字证书和,PKI,技术自主研制的硬件安全产品，提供数字签名和数字信封服务，满足用户在网络交易中行为不可抵赖，信息完整性、私密性等需求。,解决问题,行为可追述，不可抵赖,数据防篡改,数据保密,27,产品概述产品形态,数字签名服务器,硬件签名服务器,服务器接口（,V-STK,）：,C,版,/COM,版,/JAVA,版,数字签名客户端,客户端接口（,V-CTK,）：,COM,版,/JAVA,版,28,产品概述应用价值,完整性,数字签名：如果签名验证失败，说明数据的完整性遭到了破坏,机密性,不可抵赖,数字信封：使用两层加密来获得公开密钥技术的灵活性和秘密密钥技术高效性,数字签名：签名者事后不能否认自己的签名,身份认证,数字签名：接收者能验证签名，而任何其他人都不能伪造签名,29,功能介绍数字签名服务器,管理员,用户,发送数据,验证签名,通过,WEB方式,管理服务器,证书存储,私钥存储,CRL/OCSP,证书状态检索,发送数据,解密信封,制作数字签名，支持数据原文、文件制作数字签名，签名结构符合,P7,标准。,验证数字签名，支持验证标准的,P7,签名结果，验证签名过程中，对制作签名证书进行完整验证，包括信任域、有效期、证书状态。,制作数字信封，支持数据原文、文件制作数字信封，信封结构符合,P7,标准。,验证数字信封，支持验证标准的,P7,信封结果，验证信封过程中，对制作信封的证书进行完整验证，包括信任域、有效期、证书状态。,数字签名服务器,30,功能介绍数字签名服务器,数字签名,数字签名服务器支持对数据、文件制作数字签名，签名结构符合,PKCS#7,标准；支持验证符合,PKCS#7,标准的签名结果。,数字签名服务器支持对数据制作数字签名，签名结构符合,PKCS#1,标准；支持验证符合,PKCS#1,标准的签名结果。,数字信封,数字签名服务器支持对数据、文件制作数字信封，信封结构符合,PKCS#7,标准；支持解密符合,PKCS#7,标准的信封结果。,证书验证,数字签名服务器支持对签名、加密证书进行全面验证。包括信任域、有效期和证书状态。,交叉验证,数字签名服务器支持配置多信任,CA,签发的根证书，可验证不同,CA,机构签发的符合,PKCS#7,标准的签名、信封结果。,双机热备,数字签名服务器内置双机热备系统，采用主备机模式，主机（处于工作状态的机器）与备机之间通过网口连接心跳线，用于监听对方机器是否处于正常工作状态。,31,功能介绍数字签名客户端,数字签名,数字签名客户端支持对数据、文件制作数字签名，签名结构符合,PKCS#7,标准；支持验证符合,PKCS#7,标准的签名结果。,数字信封,数字签名客户端支持对数据、文件制作数字信封，信封结构符合,PKCS#7,标准；支持解密符合,PKCS#7,标准的信封结果。,证书扩展,证书作为用户身份标识，其中可以记载很多用户信息，如姓名、联系方式、工作单位、职务等等，也可以在,CA,机构定义扩展信息。数字签名客户端支持获取证书标准信息及其扩展信息，供应用系统使用。,32,功能介绍特色功能,数字签名：,事后验证：使用证书进行完整数字签名，签名结果中包含签名时的全部证书状态信息，接收者可在生成后的任意时间验证，而其他任何人都不能伪造。,监控功能：安全管理员可以对签名、验签业务进行实时的监控和统计。,业务日志管理功能：内嵌数据库，安全管理员可以设置、查看日志信息及状态。,数字信封：,双证书体系：签名证书与加密证书完全独立，保障系统应用的安全,监控功能：安全管理员可以对加密、解密业务进行实时的监控和统计。,33,产品亮点技术特点,标准化设计,产品遵循,中华人民共和国电子签名法,；证书符合,X509 v3,标准；签名、信封结构符合,PKCS#7,、,PKCS#1,标准；客户端支持,CSP,标准的硬件产品。,易用性设计,支持多样的数据传入方式：可直接传入数据或传入数据存储的路径；支持多平台、多开发语言调用：提供,JAVA,、,COM,、,C,等多种类型的接口函数。,安全性设计,基于高强度的双向身份认证，确保了管理者的合法身份；专为数字签名服务器剪裁的操作系统，封闭了管理端口和业务端口以外的所有端口，加强了产品的抗攻击性。,高可靠性设计,持双机热备功能，避免单机故障；支持联合当今市场主流负载均衡设备，满足大压力、大并发下确保产品稳定性的需求。,34,提要,统一用户管理安全产品,35,多应用环境下的用户管理问题,OA,系统,MIS,系统,ERP,系统,对于管理员,高成本：,各系统相对独立，管理员需要维护多套用户信息,低安全：,人员变更、离职,，帐号很难在多个系统及时变更,对于单位领导,难管理：,管理者不知道哪些人在 哪些系统中拥有帐号,管理员,领导,36,面对这些问题，,我们该怎么办？,37,解决思路由分散到集中,电子邮件,主机,应用系统,中间件,网络设备,LDAP/AD,建立统一管理机制,集中管理,组织机构,集中管理,用户信息,集中管理,帐号信息,与,SSO,结合形成整体方案,与数字证书技术结合，提升系统安全性,38,价值分析集中管理带来的好处,降低管理成本,简化用户管理工作，管理员不再维护多套用户信息，大大减轻了管理员的工作量,提升系统安全,满足合规要求,与数字证书技术相结合，通过加密、签名等手段有效的保证用户信息的安全，提高了安全强度,系统遵照国际国内相关技术标准与法律法规，满足业务单位的合规性需求，例如：SOX法案、等级保护、分级保护,提高工作效率,管理员集中管理用户信息，可以很方便的为新用户、老用户及时的提供服务，提高了用户的工作效率,39,体系结构,管理服务、同步服务、查询服务,40,产品功能,建立“,主帐号自然人从帐号,”关联,41,产品特点,集中高效的管理,大量用户信息,动态地响应,用户策略的更改,用户个性信息自助服务,适用的应用Adapter管理,现有用户信息资源的,整合与同步,分级分布式用户,属地管理,模式,上下级用户,管理工作流,密码策略,与密码自助服务,对日志信息的查询和统计,42,古有长城卫疆,今有正元护航,选择正元就选择了安全,创新 服务 回报,航,43,