SecServer750安全服務器不僅提供了高性能的服務器設備和高安全性的加密卡和智能密碼鑰匙硬件,還基于安全平臺推出了基于安全硬件的安全應用組件,為用戶提供一系列安全解決方案,使得用戶可以很方便地獲得身份認證、文件加密、單機登錄、云計算安全域等一整套全面的服務器安全應用,構建安全可靠服務器運行基礎環(huán)境,從而有效地提高服務器安全應用等級。
身份認證系統
信息化系統、電子政務系統、面向高性能計算或信息處理的集群系統等計算環(huán)境都可能存在身份安全隱患。如果非法內部用戶或外部用戶針對傳統的"用戶名+密碼"的認證系統蓄意攻擊,那么就有機會仿冒合法用戶的身份登錄應用系統進行各種非法操作。采用NiKey的身份認證過程的安全性主要體現在以下幾個方面:
a)用戶必須插入自己的NiKey才能登錄,這樣別人不拿到該用戶的NiKey就無法冒充他登錄;
b)用戶在使用NiKey中的私鑰進行簽名時,必須先輸入正確的PIN碼,否則就無法完成簽名操作,這樣即使NiKey丟失,別人不知道PIN碼也無法仿冒該用戶身份;
c)用戶需要用NiKey對服務器產生的隨機數進行簽名,由于每次登錄時隨機數都不相同,所以能有效防止"重放攻擊"。
文件加密系統
基于TJCard天機加密卡實現的硬件文件加密系統,可對用戶的數據文件進行加密存儲。由于曙光TJCard天機加密卡不僅具有加解密速度快的優(yōu)勢,而且內置加密芯片,加、解密在卡內部完成,保證了用戶私鑰不出現在計算機內存中,從而確保加密信息不可逆,真正實現信息的安全保密。
單機登錄系統
基于NiKey智能密碼鑰匙的安全模塊認證與操作系統認證方式組合構成操作系統環(huán)境的安全登錄控制系統,有效提高系統管理的安全性。
CA認證/簽名系統
SecSever750安全服務器提供了一套功能完善的CA系統軟件,完全采用Java編寫,基于J2EE(Java2 Enterprise Edition,Java2 企業(yè)版)技術,提供了一個強大的、高性能的、平臺獨立的CA系統。DawningCA實現了注冊中心(Registration Authority,RA)、認證中心(Certification Autohrity,CA)、證書撤銷列表(Certification RemoveList,CRL)和證書存儲數據庫等PKI體系中最重要的部件。
三、云計算安全域解決方案
云計算環(huán)境下,身份安全問題日益嚴重:登錄密碼強度較低,容易被他人偷窺、猜中或破解;更容易被木馬、釣魚網站竊取;而且用戶密碼等信息從終端到云計算環(huán)境的傳輸過程中,可能被截獲;還有內部用戶對云資源濫用,甚至盜取其他用戶的資源。
曙光身份安全方案可保證用戶的身份一致和準確;采用CA服務器、簽名服務器、身份標識等設備,基于PKI機制對云計算用戶身份進行驗證,同時支持USB KEY的安全登錄認證。
此外,云計算環(huán)境用戶的數據從終端到云計算環(huán)境的傳輸中,容易被截獲;在云計算環(huán)境中存儲的數據,也可能被盜取;即使在云計算環(huán)境中處理時,也有可能被非法或特權用戶竊取。因此,曙光數據安全方案對傳輸的內容進行加密,密碼放在用戶自己的USBKEY中。數據存儲采用文件加密系統,保證只有用戶才能解開密鑰。用戶的系統處理環(huán)境是封閉的安全域。