基于JAVA卡技术的PKI网络安全解决方案

GemSafe——

基于JAVA卡技术的PKI网络安全解决方案二00八年金邦达宝嘉控股有限公司★网络安全产品GemSafe——

基于JAVA卡技术的PKI网络安全解决方1网络信息传输的安全需求私密性只有合法的授权人员方可读取传输的数据.身份识别信息的发送者和接收者必须被确认为事先声明的双方.完整性网络中传输的信息数据必须保持初始状态，没有第三方能够修改数据内容.不可否认性信息的发送方和接收方都无法抵赖电子交易信息的传送事件.

网络信息传输的安全需求私密性2开放的网络世界可能遭遇的信息安全问题：因此，在开放的国际互联网上防止可能出现的安全隐患，保证信息的高度安全性是至关重要的。PKI/CA技术可以为互联网上的信息安全提供保障。1）信息在由发送方向接收方传送的过程中被第三方篡改.2）信息被第三方机构或个人窃取.3）发送方否认发送的信息(否认发送/否认发送人).4）接收方否认已收到信息.开放的网络世界可能遭遇的信息安全问题：因此，在开放的国际互联3PKI/CA－支撑网络信息安全的基石

为解决网络的安全问题，世界各国经过多年研究，初步形成了一套完整的解决方案，即公钥基础设施（PublicKeyInfrastructure，PKI）。它是一种遵循标准的利用公钥加密（非对称密钥）技术提供一套安全基础平台的技术和规范。

PKI的核心组成部分CA(CertificationAuthority)，即认证中心，它是数字证书的签发机构。而数字证书是PKI中最基本的元素，是个人或实体在网络上的数字身份证，所有安全操作都通过证书及非对称密钥对来实现。具有权威的认证机构CA正是在公钥加密技术基础上，对数字证书进行产生、管理、存档、发放以及作废等方面的管理，，来实现相关的网络安全服务。

PKI/CA－支撑网络信息安全的基石为解决网4PKI的主要服务内容PKI的主要内容包括：认证机构CA——PKI的核心执行机构、证书库(目录服务器LDAP、CRL）、密钥备份及恢复、密钥和证书的更新、证书历史档案、客户端软件、交叉认证。PKI的基础技术包括非对称密钥加密、解密，数字签名、签名验证、HASH（摘要）运算等。PKI提供的主要服务有：身份认证：身份识别与鉴别，确认实体是他自己所申明的数据完整性服务：防篡改，确认没有被修改、防丢失、缺损、防伪造数据保密性服务：确保数据的保密，非授权没法读出不可否认性服务：保证实体对其行为的诚实，防抵赖公证性服务：证明数据是有效的或正确的时间戳服务：一个可信任的时间权威PKI的主要服务内容PKI的主要内容包括：认证机构CA——5GemSafe的基本原理GemSafe是基于智能卡技术实现PKI应用的终端网络安全解决方案。它通过带微处理器的IC卡或者是USBKEY，配合符合PKI标准的客户端软件，来完成密钥生成、数字证书储存、数据加密、数字签名等技术，以实现在网上银行、企业内部网络、电子商务、电子政务等信息传输的过程中安全性——包括身份的真实性、不可抵赖性、信息的机密性、完整性等。

GemSafe的基本原理GemSafe是基于智能6GemSafe基本构组成1）硬件介质（两种）其一：Geme－Seal——即USBKEY的电子印章，它集成智能卡、读卡器在USB设备中；其二：GXPJAVA卡和读卡器

2）软件中间件产品-GemSafeLibraries一、在客户端使用的符合PKI标准的软件模块二、支持客户端使用智能卡三、提供客户端工具软件四、可以根据客户要求提供函数接口Geme-Seal

＝GemPCKey＋GXPJAVA卡工行U盾GemSafe基本构组成1）硬件介质（两种）Geme-Se7GemSafe提供的功能配合PKI环境，可以实现以下功能：存储数字证书在Key/卡内生成RSA密钥对数字签名（实现不可否认性）数字证书身份认证重要信息加密、解密（安全电子邮件）客户端管理工具客户需要的定制的接口函数……GemSafe提供的功能配合PKI环境，可以实现以下功能：8GemSafe应用领域网上银行电子政务安全电子邮件企业网络证书登录VPN登录其它行业需要高安全登录和数字签名的网上应用GemSafe应用领域网上银行9安全

e-mail模式使用保存在用户智能卡中的PKI密钥和数字证书，进行签名和加密

用户只需要输入PIN码进行签名和加密e-mail已整合到

Outlook2000/2003,OutlookExpress,NetscapeMessenger安全e-mail模式使用保存在用户智能卡中的PKI密10强安全网络访问方式模式传统方式登录强安全登录模式使用智能卡登录网络插入卡片并输入PIN取走卡片，PC会锁定强安全网络访问方式模式传统方式登录强安全登录模式使用智能卡登11GemSafe的特性和优势（一）一、高性能芯片确保更高级别的安全性双因子认证（PIN码＋USBKey）实现信息存储和加密运算是基于智能卡技术的PKI解决方案的重要安全特性，GemSafe同样具备这两个特征：首先：每一个Geme-seal/GXPJAVA卡都具有硬件PIN码保护，PIN码和硬件构成了用户使用Geme-seal的两个必要因素，用户只有同时取得了Geme-seal/GXPJAVA卡和PIN码，才可以登录系统。其次：基于PKI（公钥基础设施）技术的Geme-seal/GXPJAVA卡内置智能卡芯片，不仅有足够的空间储存密钥和数字证书，同时实现PKI体系中使用的数据摘要、数据加解密和数字签名的各种算法，加解密运算在USBKey内进行，保证了用户私有密钥不会出现在计算机内存中，完全杜绝了用户密钥被黑客截取的可能性。GemSafe的特性和优势（一）一、高性能芯片确保更高级别的12二、由于GemSafe的硬件Geme-seal/GXPJAVA卡率先在国内升级到JAVA卡，高能的卡片芯片带来更高级别的安全性能：首先：最高支持2048位RSA密钥对；众所周知：RSA密钥越长安全性越高。行业测试证明，在目前的计算机运算速度下，1024位的RSA密钥是安全的，很多CA的根证书都使用1024位的RSA密钥。其次：更大的存储空间；32KBEEPROM空间(可定制64KB)，可存储更多数据；同时，先进的内存管理支持删除Applet和Package功能，释放内存空间，保证最大的可用空间；再次：支持更多的证书与密钥；最大可支持10个RSA密钥对和证书(32KB容量时)，并且可根据客户需要和卡片容量调整；最后：更高的通讯速度；默认通讯速度高达57600bps，最高可达115200bps（普通卡片的默认通讯速度多为9600bps）。二、由于GemSafe的硬件Geme-seal/GXPJ13三、开放式技术平台实现灵活、广阔的多应用基于最新的JavaCard技术，开放式OS架构将平台与应用分开，可下载第三方Applet，即使在卡片发行之后，也能够方便和快速地更新及增加卡上的应用；也可预装/定制应(Applet)，可根据客户需求将Applet(如PBOC2.0applet)预装在ROM中，为客户预留更大的EEPROM空间；Geme-seal/GXPJAVA卡与标准版GemSafeLibraries配合，不仅能支持网银项目，更能提供更多的功能，如企业网登录，文件签名，安全电子邮件等。并支持十几种操作系统语言，不再需要本地化处理，使用无国界。三、开放式技术平台实现灵活、广阔的多应用14

四、最高级别的技术标准GemSafeapplet通过许多权威机构和官方的认证，符合行业内的最高级别的安全标准。最新的GemSafeapplet以GemXpresso为平台，GemXpresso已取得CommonCriteria安全认证级别EAL+4，CommonCriteria是国际认可的、最高级别的IT产品安全评估标准。四、最高级别的技术标准15GemSafe组件技术规范一、GemSafe之硬件Geme-seal/GXPJAVA卡遵循技术标准：符合ISO78161/2/3/4标准符合PC/SC标准MicrosoftWindows®硬件质量实验室（WHQL）USB2.0全速(12Mbps,即插即用)CCID——芯片卡接口设备1.0驱动程序支持的操作系统:Windows98,2000和XPWindows2000Server,WindowsServer2003WindowsXP64bits和Server64bitsLinuxRedHatWS3.0,WS4.0,SuseProfessional9.2WinCE4.1,4.2,5.0GemSafe组件技术规范一、GemSafe之硬件Geme16二、GemSafe之客户端软件GemSafeLibraries性能：

GemSafeLibraries是一套基于智能卡的加密库软件，是一个符合PKI标准的通用中间件(middleware)产品。客户端软件与智能卡/USBKey是一一对应的，按照国际标准对访问智能卡的指令进行封装，在上层提供统一的接口。◆标准PKI应用程序接口：

PKCS#11v2.01MicrosoftCryptoAPI◆证书管理功能证书格式：X.509v3

支持多个证书的管理证书查看，注册(自动&手动)

证书导入证书删除◆密码管理功能用户密码验证、修改密码解锁定制密码策略◆客户化定制开发安装程序界面、路径等客户端软件界面客户端软件功能基于GemSafeLibraries的二次开发二、GemSafe之客户端软件GemSafeLibrar17让我们为客户做得更好!

Ourclientsdoitbetter!E-mail:goldpac@金邦达宝嘉控股有限公司让我们为客户做得更好!E-mail:goldpac@go18GemSafe——

基于JAVA卡技术的PKI网络安全解决方案二00八年金邦达宝嘉控股有限公司★网络安全产品GemSafe——

基于JAVA卡技术的PKI网络安全解决方19网络信息传输的安全需求私密性只有合法的授权人员方可读取传输的数据.身份识别信息的发送者和接收者必须被确认为事先声明的双方.完整性网络中传输的信息数据必须保持初始状态，没有第三方能够修改数据内容.不可否认性信息的发送方和接收方都无法抵赖电子交易信息的传送事件.

网络信息传输的安全需求私密性20开放的网络世界可能遭遇的信息安全问题：因此，在开放的国际互联网上防止可能出现的安全隐患，保证信息的高度安全性是至关重要的。PKI/CA技术可以为互联网上的信息安全提供保障。1）信息在由发送方向接收方传送的过程中被第三方篡改.2）信息被第三方机构或个人窃取.3）发送方否认发送的信息(否认发送/否认发送人).4）接收方否认已收到信息.开放的网络世界可能遭遇的信息安全问题：因此，在开放的国际互联21PKI/CA－支撑网络信息安全的基石

为解决网络的安全问题，世界各国经过多年研究，初步形成了一套完整的解决方案，即公钥基础设施（PublicKeyInfrastructure，PKI）。它是一种遵循标准的利用公钥加密（非对称密钥）技术提供一套安全基础平台的技术和规范。

PKI的核心组成部分CA(CertificationAuthority)，即认证中心，它是数字证书的签发机构。而数字证书是PKI中最基本的元素，是个人或实体在网络上的数字身份证，所有安全操作都通过证书及非对称密钥对来实现。具有权威的认证机构CA正是在公钥加密技术基础上，对数字证书进行产生、管理、存档、发放以及作废等方面的管理，，来实现相关的网络安全服务。

PKI/CA－支撑网络信息安全的基石为解决网22PKI的主要服务内容PKI的主要内容包括：认证机构CA——PKI的核心执行机构、证书库(目录服务器LDAP、CRL）、密钥备份及恢复、密钥和证书的更新、证书历史档案、客户端软件、交叉认证。PKI的基础技术包括非对称密钥加密、解密，数字签名、签名验证、HASH（摘要）运算等。PKI提供的主要服务有：身份认证：身份识别与鉴别，确认实体是他自己所申明的数据完整性服务：防篡改，确认没有被修改、防丢失、缺损、防伪造数据保密性服务：确保数据的保密，非授权没法读出不可否认性服务：保证实体对其行为的诚实，防抵赖公证性服务：证明数据是有效的或正确的时间戳服务：一个可信任的时间权威PKI的主要服务内容PKI的主要内容包括：认证机构CA——23GemSafe的基本原理GemSafe是基于智能卡技术实现PKI应用的终端网络安全解决方案。它通过带微处理器的IC卡或者是USBKEY，配合符合PKI标准的客户端软件，来完成密钥生成、数字证书储存、数据加密、数字签名等技术，以实现在网上银行、企业内部网络、电子商务、电子政务等信息传输的过程中安全性——包括身份的真实性、不可抵赖性、信息的机密性、完整性等。

GemSafe的基本原理GemSafe是基于智能24GemSafe基本构组成1）硬件介质（两种）其一：Geme－Seal——即USBKEY的电子印章，它集成智能卡、读卡器在USB设备中；其二：GXPJAVA卡和读卡器

2）软件中间件产品-GemSafeLibraries一、在客户端使用的符合PKI标准的软件模块二、支持客户端使用智能卡三、提供客户端工具软件四、可以根据客户要求提供函数接口Geme-Seal

＝GemPCKey＋GXPJAVA卡工行U盾GemSafe基本构组成1）硬件介质（两种）Geme-Se25GemSafe提供的功能配合PKI环境，可以实现以下功能：存储数字证书在Key/卡内生成RSA密钥对数字签名（实现不可否认性）数字证书身份认证重要信息加密、解密（安全电子邮件）客户端管理工具客户需要的定制的接口函数……GemSafe提供的功能配合PKI环境，可以实现以下功能：26GemSafe应用领域网上银行电子政务安全电子邮件企业网络证书登录VPN登录其它行业需要高安全登录和数字签名的网上应用GemSafe应用领域网上银行27安全

e-mail模式使用保存在用户智能卡中的PKI密钥和数字证书，进行签名和加密

用户只需要输入PIN码进行签名和加密e-mail已整合到

Outlook2000/2003,OutlookExpress,NetscapeMessenger安全e-mail模式使用保存在用户智能卡中的PKI密28强安全网络访问方式模式传统方式登录强安全登录模式使用智能卡登录网络插入卡片并输入PIN取走卡片，PC会锁定强安全网络访问方式模式传统方式登录强安全登录模式使用智能卡登29GemSafe的特性和优势（一）一、高性能芯片确保更高级别的安全性双因子认证（PIN码＋USBKey）实现信息存储和加密运算是基于智能卡技术的PKI解决方案的重要安全特性，GemSafe同样具备这两个特征：首先：每一个Geme-seal/GXPJAVA卡都具有硬件PIN码保护，PIN码和硬件构成了用户使用Geme-seal的两个必要因素，用户只有同时取得了Geme-seal/GXPJAVA卡和PIN码，才可以登录系统。其次：基于PKI（公钥基础设施）技术的Geme-seal/GXPJAVA卡内置智能卡芯片，不仅有足够的空间储存密钥和数字证书，同时实现PKI体系中使用的数据摘要、数据加解密和数字签名的各种算法，加解密运算在USBKey内进行，保证了用户私有密钥不会出现在计算机内存中，完全杜绝了用户密钥被黑客截取的可能性。GemSafe的特性和优势（一）一、高性能芯片确保更高级别的30二、由于GemSafe的硬件Geme-seal/GXPJAVA卡率先在国内升级到JAVA卡，高能的卡片芯片带来更高级别的安全性能：首先：最高支持2048位RSA密钥对；众所周知：RSA密钥越长安全性越高。行业测试证明，在目前的计算机运算速度下，1024位的RSA密钥是安全的，很多CA的根证书都使用1024位的RSA密钥。其次：更大的存储空间；32KBEEPROM空间(可定制64KB)，可存储更多数据；同时，先进的内存管理支持删除Applet和Package功能，释放内存空间，保证最大的可用空间；再次：支持更多的证书与密钥；最大可支持10个RSA密钥对和证书(32KB容量时)，并且可根据客户需要和卡片容量调整；最后：更高的通讯速度；默认通讯速度高达57600bps，最高可达115200bps（普通卡片的默认通讯速度多为9600bps）。二、由于GemSafe的硬件Geme-seal/GXPJ31三、开放式技术平台实现灵活、广阔的多应用基于最新的JavaCard技术，开放式OS架构将平台与应用分开，可下载第三方Applet，即使在卡片发行之后，也能够方便和快速地更新及增加卡上的应用；也可预装/定制应(Applet)，可根据客户需求将Applet(如PBOC2.0applet)预装在ROM中，为客户预留更大的EEPROM空间；Geme-seal/GXPJAVA卡与标准版GemSafeLibraries配合，不仅能支持网银项目，更能提供更多的功能，如企业网登录，文件签名，安全电子邮件等。并支持十几种操作系统语言，不再需要本地化处理，使用无国界。三、开放式技术平台实现灵活、广阔的多应用32

四、最高级别的技术标准GemSafeapplet通过许多权威机构和官方的认证，符合行业内的最高级别的安全标准。最新的GemSafeapplet以GemXpresso为平台，GemXpresso已取得CommonCriteria安全认证级别EAL+4，CommonCriteria是国际认可的、最高级别的IT产品安全评估标准。四、最高级别的技术标准33GemSafe组件技术规范一、GemSafe之硬件Geme-seal/GXPJAVA卡遵循技术标准：符合ISO78161/2/3/4标准符合PC/SC标准MicrosoftWindows®硬件质量实验室（WHQL）USB2.0全速(12