凯特信安SecAgent技术白皮书v321.doc

下载文档 降价啦

70
0
约 21页
2017-10-04 发布于重庆
举报
版权申诉
保障服务

凯特信安SecAgent技术白皮书v321.doc

1、本文档共21页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

凯特信安SecAgent技术白皮书v321

凯特信安SecAgent安全代理器技术白皮书 V3.21 福建凯特信息安全技术有限公司 2006年06月必威体育官网网址事宜：本文档包含福建凯特信息安全技术有限公司(以下简称“凯特信安”)的专有商业信息和必威体育官网网址信息。接受方同意维护本文档所提供信息的必威体育官网网址性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息，接受方不向凯特信安承担必威体育官网网址责任： 1 ) 接受方在接收该文档前，已经掌握的信息。 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。 3 ) 可以从第三方，以无附加必威体育官网网址要求方式获得的信息。目录 1 系统简介 2 2 系统原理 3 2.1 SSL原理 3 2.1.1 SSL简介 3 2.1.2 普通SSL连接的局限性 3 2.2 系统原理 4 3 系统模块组成 5 4 系统功能 7 5 核心技术 8 5.1 对多种证书存储设备支持技术 8 5.2 配置方式符合XML规范 8 5.3 用户信息捆绑技术 8 5.4 证书管理和共享技术 8 5.5 多应用、多站点证书支持 8 5.6 多应用架构支持（GB和UTF8编码支持） 9 6 系统特点 10 产品性能指标 12 7 附录——典型应用简介 13 8 附录——产品资质 15 9 技术支持 19 系统简介网络安全在近几年中无疑成了人们关注的热点：银行账号被盗用、用户信息被人篡改、网站的核心应用被黑客攻陷……一系列的事件让人们对网络办公和电子商务等等的网络应用的发展前景充满了疑虑。因此一种能够保证数据在网络上传输的安全、必威体育官网网址、完整、不可抵赖以及拥有身份验证机制的需求越来越受到人们的关注。 SecAgent安全代理服务器是福建凯特信息安全技术有限公司基于PKI技术开发的网络安全应用产品。它能够提供网络应用高强度的身份认证、访问控制、信息加密以及审计跟踪等功能。 SecAgent安全代理服务器采用SSL技术，充分考虑广大用户的实际应用安全需求，成为能够真正满足用户的安全需求以及应用需求的安全产品。系统原理 SSL原理 SSL简介 ?SSL（Secure Sockets Layer，安全套接层）是由Netscape公司开发的网络安全传输协议，是目前INTERNET上点到点之间尤其是Web浏览器与服务器之间进行安全数据通讯所采用的最主要的协议。SSL提供以下功能：信息必威体育官网网址：对信息使用基于单一密钥的对称性算法进行加密。身份认证：对通迅一方或双方使用电子证书和公钥算法进行身份确认。信息保全：采用对称性信息完整性检验算法，实现信息保全。由于SSL具有应用面广、实施成本低、安全高效、操作简单等优点, 它在电子政务、银行、证券、电子商务系统等领域得到广泛的应用，成为保护网络数据的重要协议。普通SSL连接的局限性标准的SSL链接虽然能在用户的浏览器和WEB服务器之间建立一条安全的加密通道，来保证信息传输的安全。但是这种SSL连接由于其技术上的局限性和浏览器自身特性的制约仍存在着很多不足之处。证书存储设备的单一性、不安全性和方便性：普通SSL连接的用户证书只能存放在浏览器中，这种证书的存储方式很不安全，证书易被破坏、窃取；无法实现一次登录，全网漫游，必须多次输入用户口令才能同时进行多站点的访问，即无法实现证书共享。无数字签名功能：普通SSL连接没有数字签名功能，即没有抗否认服务，在安全上存在漏洞。不能在线进行CRL（黑名单）自动查询：这种透明的黑名单自动查询，对大多数网络应用是不可缺的。能够保证网上交易的可靠性及安全性。单一的针对HTTP的保护：由于SSL协议的局限性，普通的SSL只能将HTTP改造成HTTPS，而对其它的各种TCP/IP协议无效，也就是说，只能应用于B/S架构而无法应用于C/S架构的网络传输。性能的极限性：首先普通的SSL安全代理无法对Engine支持，即无法使用硬件加密设备来实现数据传输中对数据加密，只能使用软件加密，从而应用在数据传输中速度不能提高；其次目前大多数普通的SSL安全代理只能和应用在同一服务器上，和应用占用同一系统资源，从而使得各种性能不能得到提高，同时影响应用。系统原理如上图所示：应用客户端不能直接访问或登录Web服务器，只能利用用户数字证书，通过访问安全代理来访问Web服务器。当用户需要用浏览器的SSL与安全代理进行连接时，首先发出请求，先与安全代理服务器建立高位数加密强度（高于128位）的握手，安全代理服务器要求用户递交用户证书，从而验证用户的身份。身份验证通过后，安全代理服务器与客户端建立数据传输安全通道，然后将请求发送给Web服务器。数据传输时，客户端用户（一般位IE浏览器）先将数据加密，然后将密文发送给安全代理，安全代理收到密文后，将密文解密为明文，发送给Web服务器。同理，W