安元可信网络安全平台是一款基于内网安全和可信计算理论研发的安全管理产品，以密码技术为支撑，以数据安全为核心，以身份认证为基础，可灵活全面地定制并实施安全策略，实现对内网中用户、计算机和信息的安全管理，达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。

安元可信网络安全平台采用 C/S 模式，由三个系统组成，分别是安元可信网络认证系统、安元可信网络保密系统和安元可信网络监控系统。这三个系统既可以单独使用，也可以联合使用，非常方便，根据用户的需要进行灵活的组合。

安元可信网络安全平台三个系统的联合使用，通过主动加密、事前控制、事中监视、事后审计四种手段相结合，可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果，有效防止机密敏感信息的泄漏。

安元可信网络安全平台已经通过国家保密局和中办机要局等相关机构的评审认定，并在云南省玉溪市机要政务网等单位成功实施，效果良好。

可信网络认证系统

安元可信网络认证系统是一个基于 PKI 技术和公开密钥技术实现的网络资源认证系统统一，这里所指的网络资源包括计算机、 OA 服务器、 FTP 服务器和 Mail 服务器等内部的服务资源。

安元可信网络认证系统通过接管 Windows 操作系统的认证模块，对客户端登陆计算机进行强制性认证，使得只有合法的通过认证的用户才能使用计算机和访问网络内部的公共服务资源，达到对计算机和服务资源统一有效控制的目的。

安元可信网络认证系统由认证服务器、客户端认证代理、管理控制台、认证网关和 USB Key 令牌组成。

所有的用户通过管理员都会获得一个经过在认证服务器注册的 USB Key 硬件令牌，该令牌内置算法芯片，并且提供用户可修改的 PIN 码保护，从而实现了高强度的双因素身份认证。用户插入令牌的时候，认证代理会发起认证过程，当认证通过后，用户被允许进入操作系统，并获得其相应的访问各个资源提供服务器的权限，从而实现了单点登陆。认证过程简单描述如下：

◎ 认证代理产生一个随机数 Rap ，使用服务器的公钥 Psg 加密，得到加密的随机数 Rae ，并将 Rae 跟其它用户 USB Key 的 ID 信息一起发给服务器；

◎ 服务器使用自己的私钥 Pss 解密 Rae ，得到解密的随机数 Rad ，同时产生一个新的随机数 Rbp ，并使用用户发来的 USB Key ID 对应的公钥 Pcg 加密，得到加密随机数 Rbe ，然后将 Rad 和 Rbe 一起发回给客户端认证代理；

◎ 客户端认证代理对比 Rad 和 Rap ，如果不一致，证明服务器是非法的，认证失败；如果一致，客户端认证代理继续使用 USB Key 的私钥 Pcs 解密 Rbe ，得到 Rbd ，并将 Rbd 发回给服务器；

◎ 服务器接受到 Rbd ，对比 Rbd 和 Rbp ，如果不一致，认证失败；如果一致，认证通过，取得该客户 ID 的相关权限，并发回给客户端认证代理，完成认证过程，客户可以进入操作系统，并获得相应的服务器资源访问权限。

此外，每个用户还可以在本地创建一个或者多个安全保密磁盘，磁盘的操作跟普通磁盘一样，但是保存在磁盘中的文件都是加密的，而且只有该用户自己才能够打开，这主要是因为磁盘加密的主密钥是保存在硬件的 USB Key 里面，并且每个 Key 的密钥都是不同。为了保证因为 Key 丢失可能带来的数据丢失，每个 USB Key 在服务器还保留了可以恢复的备份数据。

总得来说，通过公开密钥算法、操作系统登陆认证系统的接管以及认证网关的相互作用，安元可信网络认证系统可以实现以下的功能：

◎ 基于硬件 USB 令牌提供用户的真实身份；

◎ 支持数字证书；

◎ 基于物理参数特征提供计算机的真实身份；

◎ 计算机和信息服务资源进行统一集中的授权；

◎ 基于 USB Key 令牌技术，用户只需登陆一次即可；

◎ 离机锁定，用户令牌拔出计算机即锁定；

◎ 按需创建虚拟的私人安全保密磁盘。

下一页