NSAE易安通产品技术白皮书

NSAE 易安通产品技术白皮书信安世纪科技有限公司信安世纪科技有限公司 第1 第2 MS 第3 第4 第5 第6 第7 第8 第9 PAGE1信安世纪做为业内资深的应用安全厂商，有多年的应用安全领域的经验积累和强大的管理和研发团队，不仅有成熟的安全产品为客户提供方便、快速的安全实现；同时针对大量的应用安全需求，提供优质的咨询服务、客户化开发和安全系统维护监控服务。信安公司现有一支由应用安全领域专业开发人员和另外还有专业、尽职的技术服务队伍，负责项目实施和售后技术服务，为客户提供专业的技术服务。（CAWeb应用，例如：PAGE5WebDDoS（分布式拒绝服务攻NSAEPKISSL/TLSWeb应用访问的安全议。SSL/TLS协议（SecureSocketsLayer）是在传输层和应用层之间建立一PKI是“PublicKeyInfrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认为网络应用提供可靠的安全保障。PKI的核心是要解决信息网络空间中的信任一个标准的PKI域一般包括数字证书认证中心CA、审核注册中心RA(RegistrationAuthority)KM(KeyManager)等关键组件。CA（CertificateAuthority）PKIPKI的主CACA接受公钥拥有者的（CRLKMC（KeyManagementCenter）完成加密证书的密钥管理非对称密钥算法采用两个不同的密钥进行加解密的操作，一个密钥公开只（通称为公钥（那么只有拥有私钥的接收人才能阅读经过公钥加密的消息。当然，如果发送的信息还要经过信息发送者的署名，只要需要用信息发送者的私钥做签名操作，则接收方只要用发送者的公钥进行验证，就可识别信息发布者的身份。常用的公钥算法有：SA、SA、feeman。ITUX.509V3里定义。根据这项标准，数字证书包括证书申请者的CA的信息。X.509数字证书内容：域SerialAlgorithmPeriodofSubject'sLDAPLDAP（LightweightDirectoryAccessProtocol，轻目录访问协议。它是TCP/IP来更新和搜索目录。LDAP允许通过访问其他任Internet用户。LDAP目录中，LDAP目录是一种数据库；UNIX文件系统非常相DN（Name；目录被进一步细分成组织单元（OrganizationUnitsOU；在这些OU中是包含数据的项。这种树-LDAP变得可扩展，而且当进行简单MSMSCryptoAPI是以PKIwindows操作系统实现安全加MSCryptoAPIwindows操作系统快速开发PKISSL连接、数字签名和加密、安全邮件服务。CSP（CryptographicServiceProvider）通常是一个动态连接库文件(DynamicLinkLibraryDLL文件)CryptoAPI调用CSP提供CPUUSBKey完成加密服务。SSL安全套接层协议（SSL，SecuritySocketLayer）是网景（Netscape）公SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来SSLSSL不对应用TLS\hSecurityPKCS(PublicKeyCryptographicStandard)标准是一套由RSA公司提出公的语法标准)S/MIME中密码书写功能实现的框架，详细说明了数据格式NSAEHTTPHTTPS连接的硬件服务器。它在后台的业务应用与用户之间构建起一个安全的Web通道，WEB界面的管理功能，为用2U上架机箱，有三个网口，分别为：内网口、LinkSafeVPN，使得Web用户通过IE浏览器访问https：//域名：端口/目的页面或者通过LinkSafe转发安全连接的请求；NSAE限SSLHTTP请求，NSAE解密请求数HTTP请求到后台的应用服务器；支持SSLCPUSSL加解密运算的工作，提高系统建立SSLIENetScape的浏览器访问资源，无须安装任何客户端程序，使用步HTTPNSAE可以同时作为普通资源和安全资源的代理服务器，使系统维护人员NSAEB/SSSLHTTPBHTTPHTTPS请求，NSAEHTTPSNSAEHTTP响应都HTTP请求则无须任何处理）B方。原有的业务系统进行NSAE进行配置即可，整个系统的升级可以安法性就要完成一系列的证书验证步骤。NSAE的证书验证体系可以确保非NSAE支持三种连接方式：HTTPSSL连接（客户不需要提供用户，NSAE提供的资源访问权限控制功能可以将杜绝低安全性的连接访重复操作也可以保持安全连接和业务操作的身份一致性。NSAE提供的证 为日志的记录周期，那么不同规模的应用的日志的信息量就差别很大。NSAE的系统管理员可以根据需要设定保存的日志量，避免硬件资源的不40位的算法的使用就降低了业务的安全性，NSAE产品提供进行加密强度的管理服务，系统可以通过简单设置完成加NSAE在运行时首先进入服务管理控制台，通过控制台命令启动、暂停和停止NSAE服务中加入维护日志记录或者停止的命令。NSAENSAE的管理员通过管理界面查看安全传输服务、签名服务和DownloadCRLNSAE的管理员通过管理界面进行服务器证书（P10请求）申请，并将支NSAE证书上传至设备上。P7bNSAE中作为服务器证书使NSAE做为安全代理入口，一般支持的都是关键应用，NSAE提供完善的NSAE可以与负载均衡的设备实现无缝结合，完成后台应用的负载均衡服性质的专用系统是绝对不允许外来部门人员的擅入。NSAE可以为专门机NSAENSAE的服务对象。管理员通过设置“连接数”灵活的CRLCRL注销。CRLCA发布在目录服务器上或者是网络链接DownloadCRLCRL文件的发布有两种方式：CRLNSAECRL验证，NSAECA证书。P10NSAECA签发的服务器证书。NSAE提NSAE管理员加密保存，私钥NSAE管理员的允许。证书是否在由证书认证中心（CA）CRLCFL文件中HTTPS协议认证客户端与服务端，通讯双方的身份得到认证，PKCS10证书请求、X509V3证书，所有符合该标准的证书系支持几乎全部主流国际标准算法，支持国密办认证的加密机及SSF33算Web应用透明：NSAEWeb应用完全透明，并且可以传递用户身份NSAEWeb应NSAE拥有内建的基本访问控制策略，可以对持证用户与匿名用户进行资强大的审计功能：NSAE对用户的操作进行审计记录，并且可以按照管理NSAE将NSAE合作伙伴、供应商和客户通过网页浏览器（IE浏览器）、分支机构的安全代理出口（例如：LinkSafe联安通产品）NSAEInternet建立成高速安LinkSafe联安通、NSAEPKCS10证书请求、X509V3LinkSafeNSAEHTTP/SSL/TLS/HTTPS等标准协议，WebWeb应用的核心内容与运作方式。使得业务的开发与CRLCA。LinkSafe联安通、NSAE易安通对用户的操作进行审计记录，并且可以按VPNLinkSafe联安通、NSAEHTTPS安全通道，向客户VPN服务。

对称算法：3DES128Bit，SSF-33128Bit（摘要算法：SHA-NetCert（信安通：PKI体系的技术实现，它心等基本部分。NetCert产品将为整个应用安全信任域内的所有用户签发有效：IE浏览器实现与WebSSL/TLSLinkSafeSSL/TLS安全连接。BiSafe可以主动发起SSLSSLLinkSafe（联安通：NSAE的WebSSL/TLS安全连接。：IE浏览器实现与Web应用的SSL/TLS安全连接；与企业用户、LinkSafeSSL/TLS安全连接。：发生通常会使服务器系统不可用的故障）的能力。HA服务意味着应用程序每RSA：适用于数字签名和密钥交换。Rivest-Shamir-Adleman(RSA)加密算法是目前应用最广泛的公钥加密算法，特别适用于通过Internet传送的数据。这种算法以它的三位发明者的名字命名：RonRivest、AdiShamir和理能力和处理时间而言。在常用的公钥算法中，RSA与众不同，它能够进行DSA：仅适用于数字签名。数字签名算法(DigitalSignatureAlgorithm,DSA)由美国国家安全署(UnitedStatesNationalSecurityAgency,NSA)发明，已经由美国国家标准与技术协会(NationalInstituteofStandardsandTechnologyNIST)(FederalInformationProcessingStandard,FIPS)之中，作为数字签名