【aTrust】aTrust产品常用小知识点分享

一、用户认证

1.TOTP认证原理是什么？控制中心怎么确认用户输入的TOTP口令是正确的？

答：使用TOTP算法，只要客户端（证明方）和服务端（校验方）保持时钟一致，且双方预先设置好一个共享密钥的前提下，在同一个时间片段内算出来的值是一样的。

正是基于这样的原理，在认证系统中先将用户身份和该共享密钥绑定，再将共享密钥置入物理设备，在认证过程中，物理设备和认证系统各自通过TOTP算法根据共享密钥和时间戳计算出访问码，只要访问码对比一致就能证明用户持有该物理设备，整个认证过程中物理设备和认证系统不需要有交互。

TOTP认证atrust控制中心和令牌接收器（小程序、app等）两边会采用相同的算法计算，只要保证两边时间和共享密钥一样，就能算出一样的口令，从而完成验证。

二、资源访问

三、UEM沙箱

8月29日

1.UEM沙箱的实现原理是什么？

（1）沙箱是一种数据重定向技术，通过Hook和内核驱动将指定程序的创建和修改的文件重定向至隔离的文件目录中，根据策略为指定程序的网络请求执行放行、转发、阻断、审计等动作，还可以为程序附加额外的安全能力如屏幕水印、防截屏、拷贝限制、外设限制等；与桌面虚拟化不同，沙箱程序运行在本地，使用的是终端的运算和存储资源，部署时只需要在终端安装一个客户端软件，不需要安装额外的操作系统

（2）系统重装，沙箱的数据不会丢失。用户安装沙箱组件时，会要求选择沙箱数据的保存盘符（默认为非系统盘），只要该盘符的数据未损坏就不会丢失，用户只需要重新登录即可

四、安全功能

五、系统功能

8月26日

1.如何发布综合网关的控制台或代理网关的控制台？

综合网关和代理网关控制台直接发布IP是无效的，需要以域名资源发布，下面以发布代理网关举例（发布综合网关控制方法相同）

（1）在系统管理-网络部署里面创建本地hosts，任意定义一个域名proxy.com解析到代理网关管理地址

（2）发布域名隧道资源，然后再把资源关联给对应用户即可，注意前后端访问资源都得是域名proxy.com。

（3）完成发布，用户使用https://proxy.com:4433访问代理网关控制台。

9月2日：

国际密码标准（俗称普密）：主要包含RSA、EDS、AES、MD5、SHA256等加密算法

中国商用密码标准（俗称国密、商密）：主要包含SM1、SM2、SM3、SM4等算法

感谢楼主的普及，楼主将atrust的基础进行了概述和罗列，其中一部分功能还未列全，包括认证、资源访问等等，希望楼主可以详细列出并附上截图！期待楼主的下次分享！