网上证券应用安全解决方案

金融证券保险

1 网上证券现状剖析
　　网上证券营业具有用户量大、用户操作频发的特点，而且营业操作的实时性要求极高，对系统运行效率、系统运行稳固性有很高的要求。同时，证券生意业务操作直接关系着用户的资产，因此其生意业务操作的宁静也很是要害，因此必须在生意业务操作中确保用户身份的准确真实性，确保用户操作数据的准确真实性，因此需要有高性能、高稳固性的应用宁静系统来保证用户登录宁静，以及用户生意业务数据防伪造、防窜改等宁静要求。

2 信安世纪应用宁静PKI系统架构
　　信安世纪公司在多年金融行业手艺服务历程当中，为金融行业提供的优异高科技产物，信安世纪依附在PKI、OPT、ADN三大领域的手艺领先职位，乐成的资助金融客户在多个系统中实现应用宁静需求。

网上证券应用宁静PKI解决方案包罗证书签发服务系统（CA）、数字署名系统、SSL加密通讯系统、客户端USBKEY等部门制作软件

。其中CA服务系统包罗CA服务器、RA（用户注册）服务器。

证券事情职员通过RA系统举行用户的挂号和审核，并由RA毗连CA系统举行制证，并分发给客户。
客户端接纳USBKEY存储数字证书，以确保证书自身的宁静。
客户端证券软件与服务器之间通讯由宁静署理网关NSAE提供SSL加密通讯。
用户登录和生意业务通过数字署名和验签的方式实现对用户证书的验证，并通过证书与用户的绑定关系获得用户身份。

2.1 身份认证中央

NetCert系统具备周全的数字证书/密钥治理功效，包罗以下组成部门：
证书认证中央服务器（CA Server，Certificate Authority Server）,实现数字证书的注册、申请、签发、作废、注销等治理事情，公布证书和证书的CRL列表。

 RA服务器（RA Server）,RA服务器完成CA系统用户和最终用户的证书注册、申请、审核、发放、作废、更新等证书生命周期中的各项逻辑治理功效。

加密机（第三方、可选）,生存/治理NetCert认证中央系统私钥的硬件加密机，卖力NetCert服务器的私钥天生，使用，更新，恢复，销毁等功效。

LDAP服务器（第三方、可选）,存储证书/证书作废列表（CRL）的目录服务器。证书应用系统从LDAP上获取CRL文件。

NetCertCA系统通过以上系统组成，提供了数字证书的签发、作废、冻结、解冻、更新、查询、制作等所有治理功效，而且可通过加密机硬件保证根密钥宁静。CA系统支持大用户容量，知足证券系统对大量用户的支持。

2.2 NSAE提供SSL加密通讯

信安世纪NSAE装备提供SSL加密通讯功效，并能对用户证书举行有用性验证，杜绝没有有用证书的会见者对后台系统的会见。

建设SSL宁静传输信道，且支持单双向SSL认证选择功效

证书有用性验证，支持多CA证书链，支持动态黑名单CRL验证机制

算法与协议支持,NASE支持尺度的SSL2.0/SSL3.0/TLS1.0协议，支持通用的加密算法，支持国产的加密算法。

细粒度的用户授权与资源会见控制

证书信息剖析与传输，可在SSL通道实现对客户端证书的验证，并将验证信息通报到应用，保持身份一致性。

计信息NSAE应用宁静网关记载多种宁静日志，包罗会见日志、操作日志、系统日志、诊断日志 。

错误重定向，用户在会见中发生的错误，NSAE重定向到设置好的错误提醒页面，提供越发人性化的使用感受。

NSAE应用宁静网关产物支持国际尺度或者业界尺度，兼容性好，与周边软硬件系统可很好的集成
2.3 数字署名NetSign提供数据完整性掩护和防狡辩

NetSign署名服务器产物包罗三个组成部门，以NetSign Server服务器为焦点，还包罗提供应应用开发的NetSign API，以及提供应最终用户使用的NetSign客户端。将这三个部门举行有用的无缝整合后，组成署名、应用、用户三为一体的署名/验署名系统。
信安世纪NetSign系统可支持高营业量，知足证券行业大量用户和频仍生意业务的要求。
1) 提供双向的加密/署名功效，保证营业系统的宁静交互。
2) 支持时间戳服务，保证事务、生意业务在时间上的不行否认性。
3) 提供证书的OSCP验证，与CRL验证。
4) 服务端组件之间实现加密通讯，保证信息在内部传输的宁静性。

 1/2    1 2 下一页 尾页