TYSecPKI信息安全平台

1.1 概述:
身份认证、数字签名、数字信封、数字指纹、对称算法、公私钥算法、PKI、PMI、CA、数字证书、PKCS、CSP等大量复杂的概念构成了信息安全，这些复杂的概念使应用和开发商对PKI产生反感。太复杂！难以理解。从而阻碍了PKI的应用和发展。能否避开这些复杂的东西，使应用开发商和用户轻松的架构PKI认证服务体系，现在有了，功能强大、安全机制完善、价格便宜、真正适合大面积普及的产品出现了。
一个集成了CA、身份认证、授权服务、访问控制、安全通信、数字签名、SSO（一次登陆）的完整工具，对已经在使用的系统，不需要对应用做复杂改动，就可以方便的将原来系统的用户名+口令登陆方式改为证书登陆方式，并可以根据需要建立加密安全通信。对于应用开发商，该产品能给应用提交登陆者的证书信息，准确的告诉应用谁在登陆。对于开发商而言而言，根本不需要了解任何PKI的知识，就可以成功的构架这个系统。可以肯定该系统是最方便、最完整的PKI应用平台。
1.2 产品功能模块：
 小型CA认证中心模块：支持证书的发放、管理、删除等。内置LDAP证书库以及CRL证书废止列表。
 多应用系统的访问控制网关模块：通过对应用层代理技术、SOCKET代理技术以及IP层包转发技术的集成，并根据认证和授权的结果对用户的访问行为进行控制。并提供客户端与应用服务器之间的安全隔离。确保只有通过认证，并获得授权的用户才能通过控制网关访问后台的应用系统。访问控制的依据是用户通过认证后获得的授权。访问控制网关模块最多可以控制20个应用系统。
 AAA服务器模块
基于PKI、PMI体系的身份认证、授权、审计服务：---AAA服务器
产品能对客户端提交的证书进行有效性、合法性验证；并对访问人进行身份认证。访问控制网关根据用户的权限，开放用户访问应用系统的通道。集中管理模块：集中统一的多用户管理、权限管理以及资源管理
 基于COOKIE的应用系统接口：平台能将通过认证的用户的信息传送给后台的应用系统，后台应用系统可以通过标准读COOKIE的方式，获取用户的属性证书或其他特定信息（如用户名+口令等）。平台最多可以对20个应用系统进行集中的认证、授权和访问控制！，每个应用系统都可以获得相应的用户信息！
 单点登陆模块：实现一次登陆，系统确认用户身份，并授权给用户后，用户可以登陆所有的权限内的应用系统。不再需要任何登陆。
 安全通信模块：构建SSL安全通道：可以根据客户的需求，建立SSL安全传输通道。
 防火墙模块：实现对数据包的过滤。
 安全授权文件分发模块：根据发放文件的对象，授权解密文件。
 数字签名模块：能对分发的文件实现数字签名。
内部结构如下：
 
1.3 产品特点：
基于PKI、PMI的强身份认证、授权以及多种访问控制技术的高度集成。将应用层的认证和IP层的访问控制结合起来，相互补充。事实上最安全的策略应该是：“应用层认证+IP层的控制”。对不同的用户进行集中的用户管理和权限管理。


平台能将通过认证的用户权限信息传送给后台应用系统，后台应用系统可以通过标准取COOKIE的方式获取用户信息，并根据用户信息做更细粒度的访问控制。

根据身份认证、以及授权的结果，控制用户对后台应用系统的访问。并能实现层次化的访问控制，平台控制用户能访问的应用系统，并将认证信息传递到应用系统，由应用系统在应用系统内做更细粒度的访问控制

轻松实现应用服务器与客户端之间的安全隔离。用户无法直接访问应用服务器。


从桌面到网络，桌面建立保险箱和授权分发，网络传输采用SSL/TLS加密协议。不但保证文件传输的机密性，还确保了文件存储的机密性。


对于B/S的应用，可以不需要对应用做任何修改，无缝的将原来的“用户名+口令”方式改变为“证书登陆方式”。


内置的防火墙可以有效防止外部对平台的攻击




采用1U机箱，直接将设备安装在内网中，简单方便。

1.4 产品应用：
产品可以为应用开发商提供完整的基于数字证书的身份认证平台，方便应用开发商将此产品集成到自己的应用平台中；也可以为已经建设好的应用平台提供基于数字证书的强身份认证。对于B/S模式，用户可以不做任何修改就直接使用。
1.4.1 网络结构
下图为天益TYSecPKI系统的典型网络拓扑简图：
 

如上图所示，TYSecPKI信息安全平台为用户提供安全代理服务；应用服务器、数据库等为要保护的应用系统。
通过以下机制来保证应用服务的安全：
1． 内部和外部用户只能通过TYSecPKI信息安全平台对其权限内的服务器进行访问。
2． 用户数据在客户端和TYSecPKI信息安全平台之间以128位高强度密钥加密的安全通道中传输。
3． 应用服务器和内部客户端以及外部客户端分别属于三个不同的域，通过TYSECPKI信息安全平台实现安全隔离和访问控制。
4． TYSecPKI信息安全平台定期更新黑名单信息。
5． 客户端用户和TYSecPKI信息安全平台端之间进行双向认证（包含数字签名认证、证书链认证、黑名单认证、证书有效期认证）。
6． 身份认证审核通过后用户就可以象平常一样正常使用该应用系统。
7． 平台将用户信息传递到应用系统，应用系统获得用户数字证书信息，根据用户身份信息向用户提供相应的应用信息。 
1.4.2 与用户名+口令方式登陆的比较：
功能   证书方式 用户名+口令方式 备注



身
份
认
证
的
安
全
性 服务器端管理员泄密 不可能，身份认证主要靠登陆者的私钥，服务器端不保存登陆用户的私钥。 可能，在服务器端保存有用户的密码。管理员可以轻松获得。
用户自己泄密 难，客户端采用USB KEY+PIN码的方式。硬件KEY和PIN码同时丢失的可能性小 可能，用户在输密码的时候被他人发现。
他人攻击 不可能，由于私钥保存在KEY中，而且永远不出KEY，所以他人除非同时拥有KEY和PIN码，否则永远得不到私钥。 可能，用户名+口令要在网上传输，容易被窃听。即使在传输过程中无法窃取，还可以通过对用户的了解（例如：生日、电话等）来分析；而且还可以通过对键盘的监视来获得。
数据的机密性 可以通过建立SSL通道，来保证数据的机密性。并通过桌面安全系统确保数据存储的机密性 不可能
数字签名 可以 不能
用户管理 可以建立基于数字证书的统一的管理，可以建立信任关系。 无法建立信任关系，不同的系统，无法统一
领先性、标准性 趋势、符合国际标准 淘汰
使用的便捷性 方便，可以实现一KEY登陆 需要记忆口令，有的需要多次输入口令


--------------------编程问答-------------------- 哇，人才! --------------------编程问答-------------------- 学习，帮楼主顶顶   --------------------编程问答--------------------

补充：移动开发 ,  超极本开发