企業(yè)級CA系統(ETCA)是時(shí)代億信在充分研究國內CA現狀、結合PKI實(shí)際應用需求的基礎上,獨立研發(fā)的一套CA產(chǎn)品。
企業(yè)級CA系統采用國家密碼局批準的國密算法,可掛接密鑰管理中心(KMC)來(lái)管理用戶(hù)密鑰,提高用戶(hù)密鑰的安全性和可恢復性。系統也支持國際通用的對稱(chēng)算法和非對稱(chēng)算法,符合PKI/CA標準,密碼長(cháng)度支持RSA512、1024、2048位,SM2 256位。系統遵循X.509V3證書(shū)及相關(guān)標準,能直接嵌入到現有環(huán)境中,實(shí)現與現有資源的整合。同時(shí),系統支持多種硬件加密設備,提高了密鑰簽發(fā)的安全性。
ETCA采用B/S架構,實(shí)現基于Web方式的數字證書(shū)申請、審核、下載制作和作廢功能,同時(shí)支持多種存儲介質(zhì),為基于數字證書(shū)的企業(yè)級安全應用提供便捷、高效的支持,是實(shí)現各種安全應用的重要基礎設施,通過(guò)部署該系統,可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的認證中心。
產(chǎn)品組成:
· 認證中心(CAServer)
CAServer是時(shí)代億信數字證書(shū)認證系統的核心,負責所有證書(shū)的簽發(fā)、注銷(xiāo)以及證書(shū)注銷(xiāo)列表的簽發(fā)等管理功能。
· 注冊中心(RAServer)
RA Server是時(shí)代億信數字證書(shū)注冊審批系統,是CA Server的證書(shū)發(fā)放、管理等業(yè)務(wù)的延伸。它負責所有證書(shū)申請者的信息錄入、審核等工作,同時(shí)對發(fā)放的證書(shū)進(jìn)行管理。
· 密鑰管理中心(KMServer)
KM Server是時(shí)代億信密鑰管理系統,為CA Server提供用戶(hù)加密密鑰的生成及管理服務(wù)。系統支持符合PKCS#11標準的加密設備,支持高強度的密鑰及加密算法。通過(guò)PKCS#11接口直接調用硬件密碼服務(wù),密鑰不出主機加密服務(wù)器,擁有高強度的安全性和保密性。
· 在線(xiàn)證書(shū)狀態(tài)查詢(xún)系統(OCSPServer)
OCSP Server是時(shí)代億信在線(xiàn)證書(shū)狀態(tài)查詢(xún)系統,為證書(shū)應用提供實(shí)時(shí)的證書(shū)狀態(tài)查詢(xún)服務(wù)。OCSP Server系統完全遵照RFC2560標準實(shí)現,保證了標準性,任何符合RFC2560的產(chǎn)品都可以方便的連接OCSP Server進(jìn)行證書(shū)狀態(tài)查詢(xún)。
OCSP Serve通過(guò)CA的鏡像數據庫查詢(xún)證書(shū)狀態(tài),這樣比查詢(xún)CRL(證書(shū)注銷(xiāo)列表)更可靠、更及時(shí),提供給證書(shū)應用的信息更豐富。
OCSP Server支持為多個(gè)不同的CA系統向用戶(hù)提供統一的數字證書(shū)狀態(tài)驗證服務(wù),證書(shū)應用向OCSP Server查詢(xún)證書(shū)狀態(tài)時(shí),可以查詢(xún)不同CA頒發(fā)的證書(shū)狀態(tài)。
OCSP Toolkit封裝證書(shū)應用的證書(shū)狀態(tài)查詢(xún)請求,然后發(fā)送給OCSP Server,并將從OCSP Server響應中解析的證書(shū)狀態(tài),返回給證書(shū)應用。OCSP Toolkit為證書(shū)應用提供簡(jiǎn)單、易用的用戶(hù)接口。減輕了證書(shū)應用開(kāi)發(fā)者的工作量。
遵循標準:
· 數字證書(shū)格式遵循的標準
GB/T 20518-2006 信息安全技術(shù) 公鑰基礎設施 數字證書(shū)格式
ITU-T X.509 V3(數字證書(shū))
ITU-T X.509 V2(CRL)
證書(shū)注銷(xiāo)表和證書(shū)注銷(xiāo)表擴展,符合 IETF PKIX-1概況表技術(shù)規范
證書(shū)注銷(xiāo)表和證書(shū)注銷(xiāo)表擴展,符合 IETF PKIX-1概況表技術(shù)規范
RSA 算法標識符和公開(kāi)密鑰格式,符合PEM 和 PKCS #1 V2.0
基于因特網(wǎng) RFC 1421 (PEM) 的標準文件包封格式
安全文件包封技術(shù),符合 PKCS#7和S/MIME
· 數字證書(shū)應用接口遵循的標準
公鑰密碼基礎設施應用技術(shù)體系 證書(shū)應用綜合服務(wù)接口規范
公鑰密碼基礎設施應用技術(shù)體系 框架規范
公鑰密碼基礎設施應用技術(shù)體系 密碼設備應用接口規范
公鑰密碼基礎設施應用技術(shù)體系 通用密碼服務(wù)接口規范
智能IC卡及智能密碼鑰匙密碼應用接口規范
CSP規范
PKCS#11規范
· 支持的密碼算法
公鑰密碼算法:RSA、SM2。其中RSA密鑰長(cháng)度1024/2048/4096比特可選。SM2支持256比特;
哈希函數算法:支持SHA1、SHA256、SM3;
對稱(chēng)密碼算法:SSF33、SM1、DES、3DES、AES等。
· LDAP目錄協(xié)議
支持輕量型目錄協(xié)議第三版 (LDAPv3),具體如下:
RFC 2251:輕型目錄服務(wù)訪(fǎng)問(wèn)協(xié)議
RFC 2252:屬性語(yǔ)法定義
RFC 2253:分辨名的UTF-8字符串表示
RFC 2254:查詢(xún)過(guò)濾器的字符串表示
RFC 2255:LDAP URL格式
RFC 2256:X.500用戶(hù)Schema匯總
RFC 2829:LDAP認證方法
RFC 2830:傳輸層安全(TLS)擴展
OCSP協(xié)議:RFC2560
CA 服務(wù)系統產(chǎn)品功能
· CA服務(wù):
支持國家密碼管理局規定的相關(guān)算法,CA接受來(lái)自RA的業(yè)務(wù)請求,提供證書(shū)的簽發(fā)和管理功能,代表用戶(hù)向密鑰管理中心發(fā)出密鑰產(chǎn)生、恢復請求;為用戶(hù)簽發(fā)用戶(hù)證書(shū)。證書(shū)簽發(fā)中心系統與密鑰管理系統間通訊采用通訊證書(shū)來(lái)保證安全性。通訊證書(shū)是證書(shū)簽發(fā)中心與密鑰管理中心、上級和下級認證機構進(jìn)行通訊時(shí)使用的計算機設備證書(shū)。
· RA服務(wù):
RAR服務(wù)支持SUN Solaris、IBM AIX、HP-UNIX、LINUX、SCO UNIX以及各種WINDOWS等操作系統平臺,方案設計采用LINUX操作系統,是ETCA為用戶(hù)服務(wù)的對外窗口,為用戶(hù)提供證書(shū)申請、下載、注銷(xiāo)、更新等各項業(yè)務(wù)的服務(wù),系統支持國家密碼管理局規定的相關(guān)算法。
RA總體的功能如下:
(1)進(jìn)行用戶(hù)身份信息的審核,確保其真實(shí)性;
(2)本區域用戶(hù)身份信息管理和維護;
(3)數字證書(shū)的簽發(fā)和管理。
· KMC服務(wù):
主要負責密鑰的管理,包括密鑰的產(chǎn)生、分發(fā)、更新、備份/恢復、歸檔、銷(xiāo)毀等的管理。KMC中密鑰的產(chǎn)生采用國家密碼管理局規定的主機加密服務(wù)器來(lái)完成。同時(shí),由于KMC需要與證書(shū)簽發(fā)中心的進(jìn)行通信,在通信的過(guò)程中應該是安全的,因此KMC采用了SPKM安全通信協(xié)議與證書(shū)簽發(fā)中心進(jìn)行數據通信。
KMC要為多個(gè)證書(shū)簽發(fā)中心產(chǎn)生用戶(hù)加密密鑰,滿(mǎn)足CA簽發(fā)用戶(hù)加密證書(shū)的需要。通過(guò)在線(xiàn)的方式滿(mǎn)足CA對密鑰的需求,實(shí)時(shí)響應各CA提取密鑰對的請求。KMC的設計遵循國家密碼管理局《密鑰管理中心基礎設施建設意見(jiàn)指導書(shū)》中密鑰管理系統設計的要求。
· 證書(shū)發(fā)布服務(wù):
基于目錄服務(wù)系統對外發(fā)布證書(shū)服務(wù),對外發(fā)布證書(shū)信息,證書(shū)撤消列表CRL,為應用系統提供在線(xiàn)的查詢(xún)服務(wù)。ETCA證書(shū)服務(wù)系統支持國內外主流的各種目錄服務(wù)產(chǎn)品,包括IBM Tivoli Directory Server、Novell Directory Server、OPEN LDAP軟件、iPlanet Directory Server、微軟AD系統等,可以在線(xiàn)向目錄服務(wù)系統發(fā)布數據信息。
CA 服務(wù)系統產(chǎn)品規格
密鑰長(cháng)度支持1024、2048、4096位RSA密鑰
支持國密局規定的相關(guān)算法
可管理1萬(wàn)張以上證書(shū)
簽發(fā)證書(shū):不低于1000張/小時(shí)
最大簽發(fā)性能不低于10張/秒
可管理1萬(wàn)對以上密鑰
產(chǎn)生密鑰:不低于1000對/小時(shí)
單次請求處理時(shí)間(用戶(hù)管理、證書(shū)管理等功能)<0.3秒
每小時(shí)查詢(xún)處理能力:20000次/小時(shí)
單個(gè)查詢(xún)應答時(shí)間:小于0.5秒。
CA 服務(wù)系統產(chǎn)品方案
數字證書(shū)認證服務(wù)系統能為您解決哪些問(wèn)題?
數字證書(shū)認證服務(wù)系統 為您解決以下問(wèn)題:
· 解決日益增強的互聯(lián)網(wǎng)上信息的交互的風(fēng)險性;
· 自建企業(yè)級 CA ,獨立管理企業(yè)的 CA 系統,免去紛雜的經(jīng)費問(wèn)題;
· 符合 Windows 的標準操作,操作簡(jiǎn)單;
· 很好的嵌入企業(yè)現有環(huán)境,實(shí)施時(shí)間短;
近年來(lái),計算機網(wǎng)絡(luò )和信息技術(shù)的迅速發(fā)展使得企業(yè)信息化的程度不斷提高,互聯(lián)網(wǎng)上信息的交互必然存在風(fēng)險,黑客、病毒、木馬程序、“網(wǎng)絡(luò )釣魚(yú)”頻頻得逞。而這些受到威脅的網(wǎng)站或遭受損失的用戶(hù),除自身的安全防范意識薄弱造成安全隱患外,最重要的一點(diǎn)就是都沒(méi)有使用互聯(lián)網(wǎng)上信息安全保障措施 ---- 基于 PKI 技術(shù)的 CA 服務(wù)系統。
如何選擇數字證書(shū)認證服務(wù)系統?
選擇適合自身業(yè)務(wù)和網(wǎng)絡(luò )需求的認證產(chǎn)品,并綜合考慮產(chǎn)品的性能、特點(diǎn)和整體投資,是企事業(yè)高層決策的根本出發(fā)點(diǎn)。有以下幾點(diǎn)是用戶(hù)在選擇 CA 產(chǎn)品時(shí)都必須考慮的問(wèn)題。
· 技術(shù)的先進(jìn)性:
數字證書(shū)的格式必須遵循 X.509 國際標準,使用數字證書(shū)并利用數字信封、數字簽名等非對稱(chēng)密鑰加密技術(shù),可以實(shí)現對用戶(hù)身份的認證以及網(wǎng)上信息傳送的保密性、完整性、真實(shí)性和不可否認性。
· 可擴展性:
CA 系統開(kāi)放程度直接影響到系統的生命周期。
北京時(shí)代億信數字證書(shū)認證服務(wù)系統 (ETCA) 是公司在充分研究國內 CA 應用現狀,結合 PKI 實(shí)際應用需求的基礎上,獨立研發(fā)的一套 CA 產(chǎn)品。
產(chǎn)品功能
時(shí)代億信數字證書(shū)認證服務(wù)系統( ETCA )可以為企業(yè)迅速建立擁有自己的 CA 系統,為企業(yè)級安全應用提供數字證書(shū)。其主要功能如下:
· CA 策略管理
管理員可以指定 CA 管理策略,包括:根證書(shū)、個(gè)人證書(shū)、企業(yè)證書(shū)、服務(wù)器證書(shū)的密鑰長(cháng)度、有效期、是否備份等策略。
· 自定義根 CA (初始化)
管理員在系統初始化時(shí),可根據需要,自己指定根 CA 的名稱(chēng),并填寫(xiě)相關(guān)的信息。
· 證書(shū)申請、批量申請
可以在線(xiàn)申請個(gè)人、企業(yè)、服務(wù)器三類(lèi)證書(shū),并支持個(gè)人證書(shū)的批量申請。
· 密鑰產(chǎn)生和證書(shū)簽發(fā)
證書(shū)服務(wù)器支持軟件和硬件產(chǎn)生密鑰對,并簽發(fā)證書(shū)請求,生成證書(shū)。
· 證書(shū)下載和 SecureKey 制作
管理員可以通過(guò) Web 方式直接查詢(xún)下載用戶(hù)證書(shū)和私鑰,并由系統自動(dòng)將用戶(hù)證書(shū)和私鑰灌制到 USB 接口的 SecureKey 中。
· 證書(shū)信息導出
管理員可以將指定范圍的用戶(hù)證書(shū)信息導出到文件中,以備其它系統使用。
· 證書(shū)業(yè)務(wù)統計
管理員可以對某個(gè)時(shí)間段內證書(shū)的發(fā)放情況進(jìn)行統計。
· 證書(shū)定制
可靈活定制,可以按照以月為單位。
產(chǎn)品組成
數字證書(shū)認證服務(wù)系統由證書(shū)受理系統,數據庫和 RA 服務(wù)器以及 CA 服務(wù)器, USB 智能卡組成,管理員通過(guò) USB 智能卡登錄證書(shū)受理系統,完成用戶(hù)對證書(shū)申請信息的管理,并將用戶(hù)信息存入數據庫,由 RA 服務(wù)器對用戶(hù)申請信息驗證通過(guò)后提交給 CA 服務(wù)器, CA 服務(wù)器在接收到 RA 服務(wù)證書(shū)請求后,產(chǎn)生數字證書(shū)和密鑰并且對證書(shū)簽名,然后提交給 RA 服務(wù)器,由 RA 服務(wù)器把證書(shū)存入數據庫中,證書(shū)受理系統會(huì )查詢(xún)提取頒發(fā)的證書(shū)并且灌制到指定的密鑰智能卡中。
ETCA 服務(wù)系統邏輯圖
· 證書(shū)受理系統
提供 WEB 方式的證書(shū)申請、證書(shū)管理(審核、下載、作廢)、存儲介質(zhì)管理等功能。
· 數據庫
數據庫主要完成存儲用戶(hù)的證書(shū)申請信息,和已經(jīng)簽發(fā)的證書(shū)信息。
· RA 服務(wù)器
RA 服務(wù)器主要頒發(fā)用戶(hù)證書(shū)和證書(shū)撤銷(xiāo)列表( CRL ),并且接收用戶(hù)證書(shū)申請,并提交到 CA 服務(wù)器。
· CA 服務(wù)器
CA 服務(wù)器主要的作用是產(chǎn)生密鑰對和簽發(fā)數字證書(shū)。
產(chǎn)品特點(diǎn)
時(shí)代億信數字證書(shū)認證服務(wù)系統( ETCA )具有流程簡(jiǎn)捷高效,易于管理,可定制,易于與具體應用系統相結合。靈活配置、方便易用的 CA 認證系統軟件,提供多重策略支持。
系統采用的對稱(chēng)算法和非對稱(chēng)算法都是國際上通用的算法,符合 PKI/CA 國際標準,所選擇的加密模塊也符合開(kāi)放標準,例如: DES , RSA 等,密鑰長(cháng)度支持 512 、 1024 、 2048 位。系統遵從 X.509 證書(shū)及相關(guān)標準,能直接嵌入到現有環(huán)境中,實(shí)現與現有資源的整合,而且采用的都是 Windows 的標準操作,易學(xué)、易用,而且 ETCA 界面上是全中文的,在操作習慣的引導上也充分考慮了中國用戶(hù)的習慣。
應用范圍
時(shí)代億信數字證書(shū)認證服務(wù)系統能夠保證發(fā)放數字證書(shū)的權威性、有效性和可信性,解決偽造、假冒身份等安全問(wèn)題。
目前企業(yè)級 CA 系統 (ETCA) 廣泛用于企業(yè),政府,軍隊的日常安全辦公,同時(shí)也是電信,媒介,金融,保險等行業(yè)網(wǎng)上業(yè)務(wù)的安全保障平臺。企業(yè)級 CA 服務(wù)系統還可以方便、快捷地與伙伴行業(yè)核心業(yè)務(wù)系統集成,形成優(yōu)勢互補的行業(yè)整體解決方案,如財務(wù)、工作流軟件、 ERP 系統、 EIP 系統。
