日前,曙光公司推出安全服务器产品SecServer750,产品整合TJCard加密卡、NiKey智能密钥,提供CA、文件加密、单机登录等安全加密和身份认证功能。为用户提供身份认证、数据加密、文件加密、单机登录等一体化的安全解决方案。
SecServer安全服务器系列产品不仅可用于政府、教育等传统网络环境,而且通过身份安全域和数据安全域的集成设计,以及与曙光集群管理系统GridView的完美结合,使得产品在云计算环境中也可以得到很好地应用,极大地提升云计算的安全等级。
一、NiKey+天机加密卡构建安全服务平台
1、NiKey智能密码钥匙
针对传统"用户名+密码"的份认证机制的安全问题,曙光SecServer750安全服务器标配了曙光USB智能密码钥匙NiKey。它采用国家密码管理局批准的安全芯片和曙光自主研发的COS(片上操作系统),支持RSA、SM1和SSF33算法,能够生成公私密钥对,私钥永不导出,而且受到PIN码保护,具有极高的安全性,再配合多种简便易用的软件接口,能够广泛应用于各种需要进行身份认证、数据加密的场合,例如远程登录、电子商务、网上银行、电子政务、网络游戏等等。
2、TJCard天机加密卡
曙光天机加密卡是基于PCIe总线技术实现的安全加密设备,提供数据加密、数据完整性、数字签名、访问控制等安全功能,可用于计算机文件保护、电子邮件系统安全保密、办公自动化安全保密、数据库保护、网络加密等。
SecServer750安全服务器采用曙光TJCard天机加密卡作为核心加解密硬件,极大地提高了服务器的安全等级,使得SecServer750安全服务器在PKI领域、数据存储加密领域等具有极为广泛的应用前景。
二、安全应用组件提供全面安全方案
SecServer750安全服务器不仅提供了高性能的服务器设备和高安全性的加密卡和智能密码钥匙硬件,还基于安全平台推出了基于安全硬件的安全应用组件,为用户提供一系列安全解决方案,使得用户可以很方便地获得身份认证、文件加密、单机登录、云计算安全域等一整套全面的服务器安全应用,构建安全可靠服务器运行基础环境,从而有效地提高服务器安全应用等级。
身份认证系统
信息化系统、电子政务系统、面向高性能计算或信息处理的集群系统等计算环境都可能存在身份安全隐患。如果非法内部用户或外部用户针对传统的"用户名+密码"的认证系统蓄意攻击,那么就有机会仿冒合法用户的身份登录应用系统进行各种非法操作。采用NiKey的身份认证过程的安全性主要体现在以下几个方面:
a)用户必须插入自己的NiKey才能登录,这样别人不拿到该用户的NiKey就无法冒充他登录;
b)用户在使用NiKey中的私钥进行签名时,必须先输入正确的PIN码,否则就无法完成签名操作,这样即使NiKey丢失,别人不知道PIN码也无法仿冒该用户身份;
c)用户需要用NiKey对服务器产生的随机数进行签名,由于每次登录时随机数都不相同,所以能有效防止"重放攻击"。
文件加密系统
基于TJCard天机加密卡实现的硬件文件加密系统,可对用户的数据文件进行加密存储。由于曙光TJCard天机加密卡不仅具有加解密速度快的优势,而且内置加密芯片,加、解密在卡内部完成,保证了用户私钥不出现在计算机内存中,从而确保加密信息不可逆,真正实现信息的安全保密。
单机登录系统
基于NiKey智能密码钥匙的安全模块认证与操作系统认证方式组合构成操作系统环境的安全登录控制系统,有效提高系统管理的安全性。
CA认证/签名系统
SecSever750安全服务器提供了一套功能完善的CA系统软件,完全采用Java编写,基于J2EE(Java2 Enterprise Edition,Java2 企业版)技术,提供了一个强大的、高性能的、平台独立的CA系统。DawningCA实现了注册中心(Registration Authority,RA)、认证中心(Certification Autohrity,CA)、证书撤销列表(Certification RemoveList,CRL)和证书存储数据库等PKI体系中最重要的部件。
三、云计算安全域解决方案
云计算环境下,身份安全问题日益严重:登录密码强度较低,容易被他人偷窥、猜中或破解;更容易被木马、钓鱼网站窃取;而且用户密码等信息从终端到云计算环境的传输过程中,可能被截获;还有内部用户对云资源滥用,甚至盗取其他用户的资源。
曙光身份安全方案可保证用户的身份一致和准确;采用CA服务器、签名服务器、身份标识等设备,基于PKI机制对云计算用户身份进行验证,同时支持USB KEY的安全登录认证。
此外,云计算环境用户的数据从终端到云计算环境的传输中,容易被截获;在云计算环境中存储的数据,也可能被盗取;即使在云计算环境中处理时,也有可能被非法或特权用户窃取。因此,曙光数据安全方案对传输的内容进行加密,密码放在用户自己的USBKEY中。数据存储采用文件加密系统,保证只有用户才能解开密钥。用户的系统处理环境是封闭的安全域。