核新ssl安全代理系统

2004-9-7　发布方：杭州核新软件　网友评论 0 条　点击进入论坛

系统简介

随着Internet 尤其是电子商务的迅速发展，网络信息安全得到人们的空前重视。由于受美国政府出口管理条例的限制，大多数Web 浏览器和服务器的国际版本存在加密强度底和安全"后门"等问题，网络用户的信息安全面临严重威胁。国内电子商务的发展迫切需要具有自主知识产权的数据安全增强软件，本系统就是为满足这一需求而开发的。

鉴于SSL （Secure Sockets Layer ）协议已成为Internet 上进行信息发布和电子商务活动所使用的最主要的安全通讯协议之一，本系统全面遵循SSL 规范，实现了多种高强度加密算法，对国内各主要ca 有良好的支持。系统以安全通讯代理(Proxy)的形式，为Web 浏览器、服务器和其它应用系统提供高强度安全数据通道，可作为电子商务系统信息安全支持平台。

系统应用

以下以核新SSL安全代理在网上证券交易中的应用为例，介绍两种应用方式。

应用一
基于WEB的委托，如下图所示。客户计算机通过核新SSL客户端，用客户数字证书对WEB数据进行加密并做数字签名。密文在高强度加密的形式下传输，通常为128位或168位强加密。在WEB服务器通过SSL服务器代理程序对客户证书进行校验，校验合法后解密，以明文形式传输给CGI委托等应用程序，最后，再由SSL代理程序对CGI的委托数据进行分拣加密（只加密委托所必需的数据，不加密其他WEB页面数据），以密文形式传给委托主站。

应用二
数据通讯加密采用具有自主知识产权的128位核新SSL安全代理确保数据传输过程中的安全性，整个系统可以支持PKIX.509标准的各种证书系统，对于整个网上交易系统的用户身份的安全识别采用了CFCA、CTca、SHEca或券商自建的ca所发放的证书和私钥进行身份识别。

其安全性设计充分保证数据传输的高度保密性、数据的完整性、用户和服务器之间的严格身份认证。

系统特性

§ 在全面实现SSL 协议的基础上，支持128 位以上强加密算法和国产算法，克服了国外同类产品存在的加密强度低、存在安全“后门”的问题；

§ SSL 协议本身不具有传统意义上的数字签名功能，为适应电子商务的需求，在保持与SSL 协议兼容的基础上，在SSL 协议的上层增加了数字签名功能；

§ 国内CA 通常具有自己的私钥存储格式和验证证书的接口，普通国外产品不能处理国内各CA发放的证书，鉴于这种实际情况，该系统从软件体系结构上给予了相应的支持，它具有统一的CA 访问接口，增加对一个CA的支持只需增加一个动态库即可，实现了系统的动态扩展。该系统对国内各主要CA（如SHECA 、CTCA 、CFCA）具有良好的支持，适合国内应用；

§ 该系统支持基于IC 卡的证书和私钥的存储方式，具有抗攻击、安全性高的特点；具有统一的IC 卡访问接口，可灵活支持各种品牌和型号的IC 卡；

§ 具有严格的在线认证机制，早期的SSL 安全产品缺乏有效的在线验证证书状态的手段，本系统支持OCSP 协议，支持国内各主要ca 的在线认证接口，可实时地验证证书的吊销状态；

§ 具有良好的开放性，该系统遵循SSL 规范，与各主要Web 服务器、浏览器、SSL 安全增强产品具有完全的互操作性；在证书管理方面，支持X.509 DER 编码、BASE64 编码、PKCS7 、PKCS12 、PKCS15 等标准；

§ 多数同类产品仅限于WEB 浏览器和服务器方面的应用，由于SSL 协议已成为电子商务领域最为流行的安全通讯协议，SSL 安全产品面临两个方面的迫切需求：一是支持更为广泛的应用协议和应用系统，二是提供开发平台以支持电子商务系统的快速构造。该系统同时支持HTTP 代理和SOCKS 代理协议，提供安全通讯、证书管理、数字签名等方面的高层接口，是一个适合各种应用的安全通讯支持平台；

§ 该系统可与核新CA 系统实现良好集成，该系统提供创建证书请求、发送证书请求、安装证书等一系列功能，可大大简化客户的操作。

人证证书

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表