唐桓动态口令身份认证技术白皮书v2.1

《唐桓动态口令身份认证技术白皮书v2.1》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

动态口令双向身份认证系统技术白皮书（Version2.1）北京唐桓科技发展有限公司 著作权声明动态口令双向身份认证系统已在国家版权局注册了著作权，受相应版权法保护，并在约束其使用、拷贝、发布及反编译的授权下发布。在未经北京唐桓科技发展有限公司事先书面授权的情况下，软件及文档的任何部分都不得以任何形式和途径进行复制、修改及分发。北京唐桓科技发展有限公司保留在任何时刻对此出版物介绍的产品和/或程序进行添加和/或修改的权利。本文档的最终解释权归:北京唐桓科技发展有限公司 目录1.引言11.1概述11.2文档主题21.3适用范围22.核心技术32.1技术背景32.2技术内容32.3防盗号和钓鱼网站的技术原理53.产品介绍83.1产品整体构架83.2产品的技术创新点103.3产品特点113.4产品运行环境123.5国内外同类技术与产品比较134.产品应用154.1主机强验证登录154.2集中登录安全门户164.3网络设施安全管理17 1.引言1.1概述随着互联网应用的普及，互联网给人们带来的便利也逐渐明显，人们在享受互联网便利的同时，互联网带来的网络安全问题也越来越突出。根据国家互联网应急中心（CNCERT）近年发布的报告指出，网络安全热点问题如下：一是网站信息失窃及其导致的问题可能更为严重。由于很多社交网站、论坛等安全性差，用户信息极易被盗，并可能导致更为严重的财产损失；二是智能终端将成为黑客攻击的重点目标；三是针对网上银行、证券机构和第三方支付的攻击将急剧增加，可能集网络钓鱼、网银恶意程序和信息窃取等多种攻击方式为一体，实施更具威胁的攻击；四是随着下一代互联网的应用，IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题将会越来越多地呈现出来。另外，在3G网络已趋向成熟、移动互联网业务得到广泛普及的当前，越来越多的网络和手机安全问题开始出现。有过账号或密码被盗经历的网民达到1.21亿人，占24.9%。为了保护信息安全，先后发展有身份认证、授权控制、日志审计、防火墙、VPN等安全技术。其中身份认证是授权控制、日志审计等技术的基础，如果用户的身份能被非法假冒，那么用户权限也就可能被非法使用，审计日志也失去了意义。因此身份认证是信息安全中最重要的环节。目前身份认证技术主要有静态口令、动态口令、USBkey、智能卡（IC卡）、短信、CA数字证书、生物识别等。这里需要特别说明的是，除了动态口令认证技术以外，其它所提到的认证技术都可以看作是静态口令认证的一种变体。传统的静态口令安全性差，非常容易受到各类盗号和钓鱼网站攻击；数字证书安全性较强，具有数字签名和防止抵赖等功能，但其投资较大，使用较复杂，管理费用较高，一般使用于必须要求具有数字签名功能的场合，例如电子政务和部分电子商务活动中；生物识别技术安全性虽然很高，而基于生物识别技术等的产品尚在发展之中，近几年内还无法占据市场主流。动态口令认证技术由于采用了动态技术，其口令一次一变，能抵抗各种攻击，具有极高的安全性，而且使用简单，管理方便，成本较低，适用于大量不需要数字签名的应用场合。通过研究可以发现，现有动态口令系统的身份认证多是服务器对用户的单向认证，用户没有安全易行的方式来对服务器的真假进行鉴别，造成木马病毒和钓鱼网站攻击泛滥。2011年1月至2月期间，中国银行的网上银行使用的动态口令e令牌身份认证系统被钓鱼网站盗号诈骗成功，造成上亿元的损失。中国银行使用的动态口令是基于时间同步机制的动态口令单向认证方式，其被钓鱼网站攻破原因来自两方面，一是基于时间同步机制的动态口令，会因时钟漂移不能认证以及认证窗口时间过长、被窃取的口令有一定的生命期因而能被窃取者非法使用；二是采用单向认证方式，客户端不能辨别登录的是黑客服务器还是正确的目标服务器。 北京唐桓科技发展有限公司研发的基于事件同步的动态口令双向身份认证系统是具有自主知识产权的专利技术（专利申请号：200710195695.3），利用高强度加密算法、应用事件激发和同步机制，实现用户端和服务器端的双向身份认证。该技术能够防止现有的各种攻击手段，并且能够兼容现有的基于静态口令认证的各种网络应用系统，具有系统升级改造成本低，所需时间短，用户使用习惯不需改变等优点。1.1文档主题本文档主要介绍了唐桓动态口令身份认证系统的核心技术、产品特点和产品应用等方面的内容，并对产品功能进行了详细的介绍，以帮助读者对唐桓动态口令身份认证系统达到快速和全面的了解。1.2适用范围本文档适用于需要对唐桓动态口令身份认证系统进行全面了解或以前接触过该系统并想做进一步了解的用户。如需要了解产品文档外的其他信息，请联系本公司的销售工程师，由他们对您提出的问题和疑问集中进行解答。 1.核心技术2.1技术背景动态口令也称一次性口令，其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子：其一，为用户的私有密钥。它是代表用户身份的识别码，是固定不变的。其二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子，形成了不同的动态口令认证技术：时间同步认证技术、事件同步认证技术和挑战/应答认证技术。本产品所采用的核心技术是在事件同步认证技术基础上实现客户端和认证服务器双向认证——基于事件同步的动态口令双向身份认证技术。2.2技术内容基于事件同步技术的动态口令身份认证过程，在系统设置的初始时刻，每一个系统用户都与认证服务器设置了共享密钥Ku和一个相同的状态计数器值Nu（起同步作用，也可称为同步计数器值）。动态口令Pn就是加密函数在输入为密钥Ku和状态计数器值Nu为n时的函数输出值。即：Pn=E(Ku,n)，其中：E（）为加密函数。如图1所示。图1基于事件同步的技术原理 采用认证服务器和客户端的双向认证技术，双向认证的流程分为三步，如图2所示。图2基于动态口令的双向认证过程示意图第1步：用户提交帐号和静态口令给认证服务器进行第一次身份认证；第2步：静态口令认证通过后将同步计数器值加1，服务器将生成的动态口令传送到用户端，供用户对服务器的身份进行认证；第3步：用户核对服务器显示的动态口令是否与自己令牌产生的动态口令相同，相同则认证通过，向服务器提交下一次的动态口令进行身份认证。为了防御并发多个认证请求连接之类的攻击方法，认证服务器需要在静态口令认证成功后记录下本次连接用户的IP地址。后续的动态口令认证中还要验证这两次连接的IP地址是否相同，确保用户与认证系统连接的唯一性。整个认证过程如图3所示。图3认证服务器的认证流程 2.1防盗号和钓鱼网站的技术原理网络盗号常用的技术手段如图4所示。图4网络盗号常用的技术手段网络盗号的技术模式如图5所示。图5网络盗号的技术模式 第1步：木马病毒修改数据包中的动态口令，并将用户帐号和正确的动态口令传送到后台攻击者；第2步：服务器返回动态口令错误的信息给用户；第3步：攻击者使用盗取的账号和动态口令成功登录服务器。本发明成功防止盗号的技术流程分解如图6所示。图6唐桓防盗号技术流程分解第1步：用户输入帐号和静态口令；木马病毒把用户帐号和静态口令传送给攻击者；第2步：服务器认证静态口令后，返回Ns=1的动态口令给用户；第3步：用户提交Nc=2的动态口令时，木马病毒截获用户提交给认证服务器的动态口令，同时修改用户认证数据包中的内容；第4步：服务器返回错误信息给用户，状态为Ns=2；第5步：攻击者输入用户帐号和窃取的静态口令；第6步：服务器返回Ns=3的动态口令给攻击者，攻击者不验证；第7步：攻击者将窃取到的Nc=2的动态口令传给服务器，而服务器状态已经变成Ns=4，故攻击者口令认证失败。 本发明成功防止钓鱼网站攻击的技术流程分解如图7所示。07图7唐桓防钓鱼网站攻击的技术原理 1.产品介绍3.1产品整体构架唐桓动态口令身份认证系统是以AAA（Authentication身份认证、Authorization授权、Administrator安全管理）技术为基础，采用国际公认的第三代动态口令技术、研制开发的基于多种形式令牌的新一代动态口令身份认证系统。整个系统由各式令牌、认证服务器、令牌账号管理服务器、外部调用接口和数据库等五个部分组成（如图8所示）。系统中的服务器软件可以安装到多台计算机上，各个部分之间通过网络进行通信，也可以安装在同一台服务器中。图8唐桓动态口令身份认证系统组成多种令牌形式如LCD硬件令牌、USB令牌、智能卡令牌、软件令牌和手机令牌等，可满足不同用户的需求。需要客户端程序的，可以在客户端绑定机器的硬件信息，如网卡MAC地址、CPU序列号等，增加令牌的安全性。不需要客户端程序的，更适合于移动且不安全的环境（如公共网吧）中使用。 各种形式令牌特点如下表：种类图片共同特点各自特点硬件令牌口令动态变化，保证一次一变。采用双因素的强身份认证技术。令牌码显示6-8位或以上；认证信息随身携带，安全放心；可更换电池软件令牌通过下载即可获得，分发方便，成本低廉USB令牌认证信息随身携带，安全放心；口令不可视，保密性好；可包含PKI数字证书智能卡令牌同USB令牌手机令牌通过手机获得，分发方便，成本低廉系统定位于企业级动态口令认证服务中心，即对于企业网络内的多个应用系统，只需安装一套认证服务软件即可对各应用系统的用户进行身份认证，且每个用户只需要拥有一个令牌就能进入多个应用系统。产品在企业内部应用的网络架构如图9所示。图9唐桓动态口令身份认证系统在企业内部应用架构 3.1产品的技术创新点1.基于事件同步的动态口令生成技术动态口令生成技术实现了服务器和终端之间的双向认证，能够防止现有的各种攻击手段，并且能够兼容现有的基于静态口令认证的各种网络应用系统，具有系统升级、改造成本低，所需时间短，用户使用习惯不需改变等优点。2.完全支持采用第三方独立认证服务器进行身份认证本系统技术完全支持采用第三方独立认证服务器进行身份认证，采用第三方独立认证服务器不仅可以提高认证效率，而且有利于企业对多个应用系统采用同一个认证服务器来进行身份认证，这将更有利于企业实现诸如身份管理、单点登录、内网审核等安全管理功能。采用第三方独立认证服务器进行身份认证时，客户端和接入服务器之间的通信过程和传送的数据方面是有所变化，增加了接入服务器和第三方独立认证服务器之间的通信过程。接入服务器传送给认证服务器的数据至少包括“用户账号”“用户口令”“口令属性”和“IP地址”四项，其中的口令属性表明了需要认证的口令是静态口令还是动态口令，认证服务器根据口令属性选择相应的认证方法。而认证服务器传送给接入服务器的数据主要包括认证结果（认证成功、认证失败、需要动态口令再认证）和发送给用户对接入服务器进行认证的动态口令P(Ns+1)。接入服务器主要起着信息转发的作用。需要指明的是，接入服务器与第三方独立认证服务器之间所采用的通信协议要具有数据完整性检验功能，如标准的Radius协议等，以确保认证服务器提供的认证结果是完整可信的。3.非输入隐式口令技术非输入隐式口令技术是指用户在登陆的时候，只要将口令令牌产生的口令用鼠标拖入输入框，提交到后台的认证服务器进行认证，用户勿需用手工麻烦地逐位输入很长的口令，也看不到具体的口令数字，所以用起来甚至比静态口令还简单，在使用的方便性和安全性上具有很大优点。4.终端形式灵活多样系统支持多种形式的令牌，包括：软件令牌、USB令牌、手机令牌、智能卡令牌等，适合不同用户的使用环境和安全要求。 3.1产品特点1.动态变化，安全可靠动态密码依据安全算法程序动态变化，且任何人都无法预知，保证一次一密。不断变化着的密码即使被泄露和截获也无法使用，所以可以完全公开，用户再也不用遮遮掩掩地当众输入密码了，彻底解除了密码失窃的顾虑。2.化繁为简，便于使用密码遗忘是令人头疼的问题。随着网络应用的普及，需要人们记忆的密码越来越多。动态密码卡使用户无需记忆多个密码，只要记住一个密码卡的开机PIN码即可，把人从密码的包围中解放出来，把繁杂的事情变得简单。3.双重保险，双重安全动态密码认证系统采用双因素认证机制。用户登录时，除开机PIN码外，还需输入动态生成的密码，提高了系统安全性。4.分级管理，易于维护系统采用分级授权管理，各级管理员只需通过浏览器访问总部的管理系统，即可分别完成对本级用户的信息录入、证书自动申请和令牌制作；数据库同步服务器则自动完成各级数据的同步。5.兼容性好，应用广泛可以在各类用户的互联网中局域网、城域网和广域网的各种管理软件应用平台或者服务平台中应用，通过公司搭建的统一的口令密码身份认证平台，广大互联网企业和中小企业不需单独建立自己的认证系统，而享有动态可变、安全可靠的密码认证服务；系统并且完全支持采用第三方独立认证服务器进行身份认证。6.双向认证，不可否认双向认证保证对话的唯一性和不可否认性。 3.1产品运行环境唐桓动态口令身份认证管理系统由服务器端的认证服务程序、管理员端的管理控制台程序、终端用户端的令牌客户程序、SDK开发包程序和辅助功能程序等五部分组成。服务器端和客户端的运行环境推荐如下：规格参数服务端产品标准组件动态口令认证服务端软件（一套）软硬件配置推荐配置Intel酷睿2双/4G/200GB/1000M*1操作系统，数据库Linux/Unix/Windows，Oracle/MySQL/SQLServer客户端产品标准组件动态口令认证服务端软件（一套）软硬件配置推荐配置Intel酷睿2双/4G/200GB/1000M*1操作系统，数据库Linux/Unix/Windows，Oracle/MySQL/SQLServer唐桓动态口令令牌客户端能够运行在Windows平台外，还可以运行在Android、Symbian、IPhone/IPAD、WindowsMobile等操作系统的手机。图10为手机令牌客户端登录界面和产生动态口令界面。图10手机令牌客户端登录界面和产生动态口令界面 3.1国内外同类技术与产品比较1.不同形式的身份认证技术比较目前除了静态口令和动态口令两大身份认证形式以外，还有其他几类较为常见的身份认证技术产品，如智能卡（IC卡）、数字证书、生物识别等等，现将其逐一比较。表1：不同形式身份认证技术的易用性比较对比项静态密码智能卡动态密码数字证书生物识别密码矩阵卡OTP短信动态密码安全性差一般一般一般好好好使用难易简单简单较复杂简单简单复杂简单终端成本无低廉很低廉无低廉一般较贵认证中心建设成本低高低低适中高高维护成本低中中中中高低表2：不同形式身份认证技术的安全性和应用性比较对比项唐桓动态口令RSA动态口令生物识别数字证书安全性防木马盗号可以一般情况下可以，特定的时间窗需要特别处理不可以可以防钓鱼网站可以（双向认证）不可以（单向认证）不可以可以防“肉鸡”可以可以可以有漏洞应用性现有系统兼容性容易（兼容静态口令认证）容易困难困难建设和使用成本低（认证中心建设成本低，令牌一次性投入）较低（2-3年更换一次令牌）较高高（CA认证中心建设成本高）易用性较容易较容易最容易较复杂 对比项时间同步硬件令牌事件同步硬件令牌事件同步USBkey令牌软件令牌备注安全性口令长度6位数字8位数字8-12位数字，甚至更长口令长度越长，越能对抗对口令的穷试攻击PIN码验证服务器验证（PIN码要在网上传送）I型：服务器验证II型：令牌内验证令牌内验证（PIN码不在网上传送）PIN码是认证双因素之一，在网上传送容易被窃取抗重发攻击在同步时间窗范围内，容易受到重发攻击能抵抗所有的重发攻击能抵抗所有的重发攻击重发攻击：用已使用过的口令再次登录系统口令生成算法未公开，不能更改采用公开的高强度加密算法，可根据用户需求进行定制采用公开的高强度加密算法，可根据用户需求进行定制时间同步令牌为了省电，倾向于采用简单的散列算法，容易被破解口令攻击的评价成功概率大于3*10-3大约10-8大约10-8～10-12按美国金融界的要求，至少要低于10-8，6位数字的口令达不到此要求与硬件信息绑定不支持不支持支持将口令令牌与使用的计算机硬件信息进行绑定，可以限制令牌的非法使用稳定性双向认证不支持支持支持只有支持双向认证的系统才能抵抗网络钓鱼和各式各样木马病毒的攻击系统失步容易发生不会发生不会发生系统失步：合法用户的令牌产生的动态口令被认证系统拒绝的现象易用性口令输入用户需用手逐位输入动态口令+PIN码用户需用手逐位输入动态口令用鼠标一次拖入动态口令用户手工输入容易造成输入错误口令输入时间有限制，要在令牌的口令变化以前输完没有限制，口令不随时间发生变化没有限制，口令不随时间发生变化时间同步令牌产生的口令每分钟变化一次，事件同步令牌每按一次产生一个口令2．事件同步与时间同步动态口令令牌产品比较 1.产品应用唐桓动态口令身份认证技术产品为信息安全产品，其应用范围广泛，主要适用于电子商务、移动支付、电子政务、企业、军队、海关、社保以及多种应用登录认证（如网络游戏、网上银行、即时通讯工具、电子邮箱、虚拟货币、宽带）等领域。4.1主机强验证登录Windows/Linux系统开机登录采用静态密码认证，存在非法进入系统的手段，不能保证主机安全。唐桓主机强验证登录系统是在操作系统内核层接管登录认证过程，采用一次一变的动态口令，提高主机登录安全；记录用户对敏感数据和应用的访问，审计有根据。u采用USB令牌+PIN码进行双因素认证uPIN码错误3次即芯片级锁死令牌u拔除USB令牌即锁定屏幕，防止他人使用或浏览u兼容性强，与动态口令认证服务器无缝集成 4.1集中登录安全门户针对单位/企业、或者互联网平台部署的多套应用系统或服务，提供统一身份管理、单点登录门户功能。如邮件系统、办公系统、ERP系统和其它内部应用系统，只需使用一套唐桓动态口令身份认证管理系统就能进行统一进行身份管理和身份认证。既方便用户使用（不需要记住每个系统中的口令，只需要一块令牌即可登录被授权的应用系统），也方便管理员进行管理（不需要在多套应用系统中分别管理用户的身份）。 4.1网络设施安全管理针对内外网络基础设施的设备和资源，提供登录账户的整体安全解决方案，保证用户远程接入、穿越防火墙、远程VPN登录、数据库系统，以及网络设备运维管理等多方面的统一身份管理和认证。以第三代的动态口令技术为核心，集中管理网络系统中的各种网络设备和应用系统的登录账户，从而确保整个网络系统的账户登录安全。1．网络安全接入对于支持网络接入认证（802.1x协议）的交换机，对于远程接入的用户首先要通过身份认证，交换机才会分配一个端口给用户使用。交换机通过标准Radius协议与认证服务器传送认证信息和认证结果。用户使用一次一密的动态口令能保证接入更加安全。2．防火墙认证在内外网之间，或者单位内部不同安全等级的子网之间，需要设置防火墙来进行网络隔离，进入另一个网络时需要对用户进行身份认证。防火墙与认证服务器之间通过标准的Radius协议来传送认证信息和认证结果。 1．远程VPN接入认证使用VPN具有节省成本、提供远程访问、扩展性强、便于管理和传输内容加密等优点。用户通过VPN拨号进入内部网后，就可访问内部网中的所有共享资源，所以保证远程访问的合法性非常重要，需要对远程拨号用户进行强认证。 1．数据库安全访问唐桓动态口令身份管理系统支持对各种主流数据库（如Oralce、MSSQL、MySQL、DB2等）进行管理账户的动态口令保护，并直接管理数据库的管理账户、管理角色、访问权限。可对访问数据库的应用程序和服务器进行授权，甚至可以对访问数据库的URL地址进行授权。从而使得数据库只能被授权的服务器上的授权应用程序使用一次一变的动态口令访问，保证了数据库的安全访问。第1步：设置数据库的访问策略；第2步：应用程序使用动态口令进行数据库接入认证；第3步：接入验证请求；第4步：允许接入应答；第5步：返回访问数据库的账号和动态口令；第6步：应用程序使用动态获取的数据库访问账号和动态口令连接并访问数据库。2．网络设备运维管理唐桓动态口令身份管理系统提供了一个基于集中管理、身份授权、访问控制、审计于一体的数据中心运维管理安全解决方案，从根上解决数据中心运维管理中的安全问题。在该方案中，采用动态口令技术对数据中心的管理人员和所有网络设备、服务器、应用系统等操作进行统一管理、动态口令认证和授权访问控制，确保了“谁”可以访问什么资源，有效的降低了未授权操作的安全风险。 第1步：运维操作员使用动态口令登录维护网络设备或服务器；第2步：网络设备或服务器使用RADIUS协议向唐桓认证服务器发起动态口令认证请求；第3步：认证服务对动态口令和运维授权进行验证；第4步：认证服务对登录进行授权应答。 关于公司唐桓科技北京唐桓科技发展有限公司成立于2007年4月11日，注册资金500万元人民币，地处中关村科技园区，为国家高新技术企业。公司致力于计算机软硬件产品的研究、开发、设计、生产和销售，在信息安全领域拥有自主创新关键技术，已获得3项发明专利技术和7项软件著作权。目前已开发核心产品——“唐桓一次性动态密码口令双向身份认证系统”，该产品属于第三代互联网动态密码口令身份识别技术，并获得军方、公安部、保密局相关证书，广泛应用于部队、金融、工业控制系统、电子商务、政府和企业内控安全。公司经营理念为“诚信、创新、专业、快乐”，“诚信”为立业之本，“创新”是发展的动力和源泉，“专业”是指向客户提供最优质的专业服务标准，“快乐”是为员工营造快乐的工作氛围，用快乐的心态去创造快乐。公司在自主研发信息安全技术的基础上，努力开发出更多更好更安全产品，为中国的信息安全做出贡献。唐密科技北京唐密科技发展有限公司成立于2012年12月，注册于清华科技园内，注册资金3000万元人民币,是北京唐桓科技发展有限公司控股子公司。唐密科技作为唐桓科技首席代理商，主要服务于银行、政府、军队、教育、广电系统、电网、医疗和高科技等领域的客户，并与清华大学、中科院、北京科技大学、中软等国内高等院校和研究所建立深度合作关系，与用友软件等国内知名公司建立了商业产品伙伴关系。公司汇集了大批安全领域尖端人才，建立了国内专业性最强的研究团队。公司首席科学家，作为国内知名密码领域专家，参加由清华大学王小云教授主持的国家973项目。形成了以北京为核心的“北京-西安-苏州”三地创新研发体系。公司总部设在北京，同时在西安、苏州设有分支结构，并建立了针对“部署-实施-运维-运营”的安全技术服务保障体系，能够为国内各行业用户提供快速、高效的技术支持和全方位的安全服务。 公司自主知识产权情况和资质荣誉1．发明专利基于事件的多变量动态口令身份认证识别方法（专利申请号：200710195695.3）基于动态变长码技术的自动加解密系统（专利号：200410025874.9）基于信源高阶熵的数据压缩算法（专利号：03114423.3）2．软件著作权唐桓动态口令终端安全登录系统V1.0（登记号：2012SR046146）唐桓动态口令单点登录系统V1.0（登记号：2012SR046252）唐桓动态口令网络接入管理系统V1.0（登记号：2012SR046253）唐桓动态口令软件令牌认证系统V1.0（登记号：2012SR046163）唐桓动态口令双向认证系统V1.0（登记号：2012SR046251）唐桓动态口令USB令牌认证系统V1.0（登记号：2012SR046247）唐桓动态口令身份认证管理系统软件V1.0（登记号：2010SR057725）3．荣誉资质2007年04月公司获得北京科委颁发的高新技术企业认定书2008年08月国家标准化管理委员会对唐桓科技公司提出制定的《一次性动态口令双向认证方法》国家技术标准进行立项公示，文件编号08080517564737502008年10月获得北京市知识产权局授予的“专利引擎试点单位”称号2009年02月获得第三届北京发明创新大赛银奖奖励证书和通信信息专项奖2009年07月获得由北京市科学技术委员会、北京市国家税务局、北京市地方税务局、北京市财政局联合颁发的国家级高新技术企业认定2010年01月被批准加入全国信息安全标准化技术委员会WG4工作组2010年11月获得计算机信息系统安全专用产品公安部销售许可证2010年12月获得双软认证证书2010年12月获得北京市第十一批自主创新产品证书2011年07月获得由中国人民解放军信息安全测评认证中心颁发的军Ｃ级军用信息安全产品认证证书2012年03月获得由国家保密科技测评中心颁发的涉密信息系统产品检测证书 资质证书 专利及软著