GemSAFE是Gemalto公司(原Gemplus)公司的PKI解决方案 ,这个解决方案包括:
1.支持Javacard标准和Global Platform的智能卡产品;
2.支持512bits到2048bitsRSA密钥长度I的Javacard Applet;
3.支持PKCS#11接口,CSP (Microsoft Crypto Service Provider)接口,Mini-Driver (Microsoft Base Smart Card Crypto Provider)接口,Apple CSDA 接口的中间件软件
4.支持USB协议,ISO7816协议,CCID规范的智能卡读卡器产品和USB Token产品(读卡器与卡片一体);
5.通用的PKI管理软件。
*****************************************************************************************************************
下面我们来看一下GemSAFE的一些典型应用:
1.Windows域登陆
GemSAFE支持Windows Server内建的CA服务器以及第三方CA服务器,可以支持CA服务器将智能卡登陆用证书(Smart Card Logon)签发到智能卡或者USB Token中,Windows域用户可以通过插入智能卡或者USB Token登陆计算机和企业域,从而避免由于用户密码泄露造成的企业信息安全危机。相较传统的用户名密码的识别方式,显然基于PKI证书的智能卡登陆机制更为安全;相较生物识别技术,显然Windows内置的智能卡登陆技术更为容易部署和维护,总体拥有成本更低,且不与某些隐私保护条例相违背。在使用智能卡登陆系统时,智能卡会要求最终用户键入智能卡的PIN码(个人识别码),在数次尝试失败后,智能卡将闭锁,需要企业管理员进行解锁并重置PIN码方能继续使用,从而保证智能卡的遗失不会造成安全危机。
2.电子邮件签名和加密
GemSAFE支持主流邮件客户端的安全电子邮件特性,最终用户可以将自己的邮件证书存储或者签发到智能卡或USB Token上,来实现安全电子邮件。
在对邮件进行签名时,发送方的邮件客户端首先使用安全电子邮件的私钥对邮件进行签名,邮件的接受者可以使用发送者的证书公钥或者证书颁发CA的证书链来验证受到的电子邮件签名,从而保证了收到的邮件不是伪造或者已被篡改。
在对邮件进行加密时,发送方的客户端首先使用接受者的安全电子邮件公钥加密电子邮件,邮件的接受者使用本身持有的安全电子邮件证书私钥对邮件进行解密。由于PKI的特性,使用公钥是无法解密使用公钥加密的信息的,从而保证了第三者无法窃取加密邮件中的信息。
智能卡和USB Token在保护邮件证书的私钥无法被导出和窃取,一切使用到私钥的运算都在智能卡和USB Token内部完成。同时在使用到私钥时,用户需要输入智能卡或USB Token的PIN码(个人识别码),如果用户连续多次尝试失败,PIN码将自动闭锁,需要管理员进行解锁和重置PIN方能继续使用。相比将安全电子邮件证书存储在计算机上,智能卡和USB Token显然更为安全。攻击者可以通过远程登录来窃取存储在计算机上的安全电子邮件证书来伪造具有法律效力的签名电子邮件,却无法窃取智能卡和USB Token上的证书,同时,智能卡的PIN码对于攻击者来说也是一道无法逾越的城墙。
3.SSL客户端认证
SSL的一个用途是用来确认远端的服务器的身份,证明其守信且不是第三者伪造的,同时也被用来加密客户端和服务器端的数据通信。
SSL的另一个用途是客户端认证,使用SSL客户端证书来认证客户端的访问远端服务器的身份,即客户端需要持有可用的SSL客户端证书才能访问SSL服务器。这种认证方式相较于传统的用户名密码方式来说更为安全和可靠。
使用GemSAFE智能卡和USB Token来存储SSL客户端证书及保证了证书本身的安全性,又为需要在不同终端上访问远程SSL站点的用户提供了灵活性。
4.在线交易签名
在线交易签名是PKI技术使用的最广泛的领域之一,其基本流程如下:
a.客户端生成交易报文,并计算出交易报文的哈希值;
b.客户端使用RSA私钥对交易报文的哈希值进行加密;
c.客户端将交易报文和加密后的哈希值发送至服务器;
d.服务器使用客户公钥解密获得交易报文哈希值,并于收到的交易报文相比较,相同则表明交易报文未被篡改。
业界长期以来对将PKI证书存储在计算机上还是智能卡上存在着争议,但是当攻击者远程窃取最终用户存储在计算机上的证书私钥并伪造交易的案件屡见不鲜后,大多数在线银行和在线交易机构都选择了智能卡或者USB Token。
5.VPN证书
GemSAFE支持VPN软件使用智能卡或USB Token上的VPN证书来登录远端的企业网络,并使用VPN证书来保护本地与远端的通信。
6.加密文件系统
GemSAFE亦支持Microsoft EFS (Encrypting File System),EFS可以使用GemSAFE智能卡和USB Token上的EFS证书来加解密计算机文件系统上的文件和目录,从而保证了机密数字信息的安全性。使用智能卡或USB Token可以保证在计算机被物理攻破后,机密数字信息仍然安全,因为攻击者无法获得智能卡上的EFS证书。相比传统的存储在计算机上的EFS文件证书,在计算机被物理攻破后,EFS证书本身和机密数字信息都成了攻击者的囊中之物。
*****************************************************************************************************************
GemSAFE解决方案支持众多的操作系统和软件平台:
1.操作系统:Microsoft Windows 98SE/2000/XP/2003/Vista操作系统的工作站版本和服务器版本,Apple Mac OS 10.4以上操作系统,多种Linux发行版本(包括Federa、Debian和SuSE等等);
2.浏览器:支持Microsoft Internet Exploerer 5.5以上版本,Mozilla Firefox 1.5以上版本(以及其他Mozilla内核的浏览器),Netscape Navigator 7.0以上版本;
3.邮件客户端:支持Microsoft Outlook 2000以上版本,Microsoft Outlook Express,Netscape Messenger以及Mozilla Thuder Bird;
4.VPN软件:支持Microsoft ISA (Internet Security and Acceleration )服务器VPN和Identrus VPN软件;
5.支持语言:支持英语,法语,简体中文,繁体中文,日语,捷克语,荷兰语,德语,匈牙利语,波兰语,意大利语,葡萄牙语,西班牙语,瑞典语和土耳其语。
*****************************************************************************************************************
GemSAFE支持的行业标准:
1.支持ISO 7816-4-6-8-9-15
2.支持PKCS#15
3.与Identrus Key Management and Generation Policy 3.0相容
*****************************************************************************************************************
GemSAFE相容的电子签名法律:
1.GemSAFE v1模块符合CWA-14890文件中关于卡片终端认证的部分;
2.GemSAFE v2模块完全符合CWA-14890文件;
3.GemSAFE v2模块和GXP3.2 E64PK平台通过欧洲CWA-14169文件规范认证;
4.GemSAFE PIV模块与美国PIV文件相容。
(注:CWA系列文件是欧盟电子签名法律的技术附件,PIV文件是美国联邦政府雇员身份识别法规中的关于本土安全法规的文件。)
*****************************************************************************************************************
GemSAFE的技术特性:
1.支持在智能卡上进行如下操作:数字签名,密钥对生成,会话密钥保护,卡片/终端认证;
2.支持从512bits到2048bits长度RSA密钥长度;
3.在典型硬件配置情况下,1024bits长度RSA密钥签名操作,卡片响应时间为0.25秒,2048bits长度RSA密钥签名操作,卡片响应时间为1.4秒;
4.支持存储额外的用户信息;
5.支持在同一张智能卡上的多个应用实例;
6.在空间许可的情况下,可以搭载额外的Javacard应用,如EMV应用,PBOC应用,门禁应用等。
*****************************************************************************************************************
8919
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
