基于PKI技術(shù)的數(shù)據(jù)加密解密解決方案

1、.基于 pki 技術(shù)的數(shù)據(jù)加密解密解決方案目錄1背景 . 1.11.2應(yīng)用背景 . - 1 -pki 理論 . - 1 -.1.2.1公鑰基礎(chǔ)設(shè)施pki.1.2.2對(duì)稱加密算法 .1.2.3哈希算法 .1.2.4公鑰加密體系 .2產(chǎn)品概述 . 3產(chǎn)品功能 . 3.1產(chǎn)品功能架構(gòu) .-5 -3.2產(chǎn)品功能組件 .-6 -3.2.1密鑰管理中心（kmc ） .3.2.2簽發(fā)中心（ca ） .3.2.3注冊(cè)中心（ra ） .3.2.4存儲(chǔ)發(fā)布系統(tǒng)（crl ） .3.2.5在線證書狀態(tài)查詢系統(tǒng)（ocsp ）.3.2.6目錄服務(wù)系統(tǒng)（ldap ） .3.2.7數(shù)據(jù)加密/解密、簽名/驗(yàn)簽中間件 .3.3產(chǎn)

2、品技術(shù)特點(diǎn) . 19 -3.3.1部署靈活、操作簡(jiǎn)單 .3.3.2系統(tǒng)平臺(tái)的高安全性 .3.3.3廣泛的平臺(tái)兼容性 .3.3.4支持多級(jí) ca.3.3.5支持國(guó)密算法 .3.3.6支持 ldap 發(fā)布證書 .3.3.7支持動(dòng)態(tài)擴(kuò)展屬性 .3.3.8支持自定義證書模板 .3.3.9支持管理員三員分立 .4數(shù)據(jù)傳輸安全解決方案 .- 23 -.4.14.24.2.14.2.2.數(shù)據(jù)傳輸安全要求 .- 23 -數(shù)據(jù)傳輸安全方案 .- 23 -用戶身份鑒別. - 23 -數(shù)據(jù)加密傳輸. - 23 -5某即時(shí)通信平臺(tái)數(shù)據(jù)加密傳輸方案實(shí)現(xiàn) .- 25 -5.15.25.35.3.15.3.25.3.35.

3、3.45.3.55.45.4.15.4.25.4.3需求總體描述 .- 25 -方案總體描述 .- 26 -方案接口描述 .- 27 -證書檢測(cè)接口. - 27 -證書申請(qǐng)接口. - 28 -證書下載接口. - 28 -數(shù)據(jù)加密接口. - 28 -數(shù)據(jù)解密接口. - 28 -方案具體業(yè)務(wù)流程 .- 28 -p2p 在線和離線消息. - 29 -p2s 在線消息 . - 30 -s2p 在線和離線消息. - 31 -67產(chǎn)品規(guī)格 . - 32 -案例介紹 . - 34 -7.17.27.3黑龍江移動(dòng) .- 34 -首創(chuàng)集團(tuán) .- 35 -北京人民廣播電臺(tái) .- 36 -.1背景1.1 應(yīng)用背景近

4、年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的迅速發(fā)展，公司、大型企業(yè)及政府單位逐步上線了許多基于信息技術(shù)的應(yīng)用系統(tǒng)，內(nèi)部辦公、信息傳遞、工作效率、企業(yè)管理、商務(wù)運(yùn)營(yíng)等涉及到企業(yè)發(fā)展的方方面面，都因信息化而得到了飛速發(fā)展。同時(shí)，移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，越來(lái)越多的應(yīng)用正通過智能手機(jī)、平板電腦等移動(dòng)終端進(jìn)行交易和數(shù)據(jù)交換，豐富了人們的生活。信息技術(shù)在給我們的工作及生活帶來(lái)許多便利的同時(shí)，也面臨種種安全挑戰(zhàn)，如用戶的身份合法性、傳輸 數(shù)據(jù)的保密性、數(shù)據(jù)的完整性及不可抵賴性等問題變得迫在眉睫。如何保護(hù)個(gè)人及企業(yè)信息的安全？如何構(gòu)筑更加安全可靠的內(nèi)部網(wǎng)絡(luò)以阻止黑客的入侵？除自身的安全防范意識(shí)需要提高外，更重要的一點(diǎn)是，

5、互聯(lián)網(wǎng)信息安全保障的基礎(chǔ)設(shè)施基于 pki 技術(shù)的 ca 服務(wù)系統(tǒng)成為了眾多公司企業(yè)及 政府單位構(gòu)建安全網(wǎng)絡(luò)的必要組成。1.2 pki 理論1.2.1公鑰基礎(chǔ)設(shè)施 pki提供公鑰加密和數(shù)字簽名服務(wù)的綜合系統(tǒng)稱做一個(gè)公鑰基礎(chǔ)設(shè)施 ( 簡(jiǎn)稱pki)。建立公鑰基礎(chǔ)設(shè)施的目的是管理密鑰和證書。通過 pki 對(duì)密鑰和證書的管理，一個(gè)組織可以建立并維護(hù)可信賴的網(wǎng)絡(luò)環(huán)境。pki 能夠使加密和數(shù)字簽名服 務(wù)得到廣泛應(yīng)用。.1.2.2對(duì)稱加密算法對(duì)稱算法使用相同的密鑰進(jìn)行加密和解密。一個(gè)好的對(duì)稱算法的安全性在于 密鑰的安全性，對(duì)稱算法通常使用 40256 位的密鑰。在對(duì)稱加密算法中數(shù)據(jù)發(fā)信方將明文（原始數(shù)據(jù)）和加

6、密密鑰一起經(jīng)過特殊加密算法處理后使其變成復(fù)雜的加密密文發(fā)送出去。收信方收到密文后，若想解讀原文，則需要使用加密用過的密鑰及相同算法的逆算法對(duì)密文進(jìn)行解密，才能使其恢復(fù)成可讀明文。在對(duì)稱加密算法中使用的密鑰只有一個(gè)，發(fā)收信雙方都使用這個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密，這就要求解密方事先必須知道加密密鑰。對(duì)稱加密算法的特點(diǎn)是算法公開、計(jì)算量小、加密速度快、加密效率高。不足之處是交易雙方都使用同樣鑰匙安全性得不到保證，此外每對(duì)用戶每次使用對(duì)稱加密算法時(shí)都需要使用其他人不知道的惟一鑰匙，這會(huì)使得發(fā)收信雙方所擁有的鑰匙 數(shù)量成幾何級(jí)數(shù)增長(zhǎng)，密鑰管理成為用戶的負(fù)擔(dān)。常用的對(duì)稱加密算法包括：3des、aes、國(guó)密

7、 sm1 、sm4 等。1.2.3哈希算法哈希算法又稱摘要算法，是一段數(shù)據(jù)的數(shù)學(xué)上的概要，它有一定的長(zhǎng)度，是數(shù)據(jù)的唯一的“數(shù)字指紋”。即使數(shù)據(jù)的一個(gè) bit 變了，它的哈希碼會(huì)發(fā)生巨大的變化。哈希函數(shù)的強(qiáng)度在于它是一個(gè)單向函數(shù)。換句話說如果我們有一個(gè)輸入文件，可以很容易地得到它的哈希碼，但反過來(lái)如果我們有一個(gè)哈希碼，要得到 它原來(lái)的輸入文件非常困難。常用的哈希算法包括：md5、sha1、國(guó)密 sm3 等。.1.2.4公鑰加密體系u 公鑰加密體系加解密過程非對(duì)稱加解密（即公鑰加密體系）使用兩把完全不同但又是相互匹配的密鑰公鑰和私鑰。發(fā)信方和接受方接收方相互通訊，發(fā)信方必須首先得到收信方的公鑰 ,

8、然后利用收信方的公鑰對(duì)明文加密，收信方收到加密密文以后使用自己的私鑰解密密文。顯然采用不對(duì)稱加密算法，收發(fā)信雙方在通信之前，收信方 必須將自己早已隨機(jī)生成的公鑰送給發(fā)信方，而自己保留私鑰。常用的非對(duì)稱加密算法有：rsa、ecc、國(guó)密 sm2 。u 對(duì)稱加密與公鑰加密體系結(jié)合 數(shù)字信封把對(duì)稱加密和公鑰加密體系結(jié)合起來(lái)，即數(shù)字信封加密。我們可以用對(duì)稱加密來(lái)加密海量數(shù)據(jù)，然后用公鑰加密算法把對(duì)稱加密密鑰加密起來(lái)。這樣就兼具有了對(duì)稱加密和公鑰加密二者的長(zhǎng)處。如果想給多個(gè)人發(fā)送我們只須把一個(gè)對(duì)稱 密鑰為每個(gè)人加密一下。u 哈希函數(shù)與公鑰加密體系結(jié)合 數(shù)字簽名把哈希函數(shù)和公鑰加密算法結(jié)合起來(lái)，即數(shù)字簽名，

9、能提供一個(gè)方法來(lái)保證數(shù)據(jù)的完整性和真實(shí)性。完整性檢查保證數(shù)據(jù)沒有被改變，真實(shí)性檢查保證數(shù)據(jù) 真是由產(chǎn)生這個(gè)哈希值的人發(fā)出的。數(shù)字簽名的過程的第一步是產(chǎn)生一個(gè)我們想簽名的數(shù)據(jù)的哈希值。第二步是把這個(gè)哈希值用我們的私鑰加密。這個(gè)被加密的哈希結(jié)果被添加到數(shù)據(jù)后，能夠保護(hù)哈希結(jié)果的完整性。并且由于用的是公鑰加密算法，用不著給檢查這段哈希 .結(jié)果的人一個(gè)密鑰。數(shù)據(jù)的接收者能夠有你的公鑰解密這段哈希值，同時(shí)能從接到的數(shù)據(jù)產(chǎn)生一段哈希值。兩者相比，如果相同則可以肯定他所接到的數(shù)據(jù)沒有被更改。同時(shí)接收者也知道，只有你才能發(fā)出這段數(shù)據(jù)，因?yàn)橹挥心悴艜?huì)有這個(gè)在哈希上簽名的 私鑰。2 產(chǎn)品概述時(shí)代億信 etca 數(shù)

10、字證書認(rèn)證系統(tǒng)是在充分研究國(guó)內(nèi) ca 應(yīng)用現(xiàn)狀，多年調(diào)研客戶實(shí)際網(wǎng)絡(luò)應(yīng)用安全狀況，結(jié)合 pki 實(shí)際應(yīng)用需求的基礎(chǔ)上，獨(dú)立研發(fā)的一套用于數(shù)字證書的申請(qǐng)、審核、簽發(fā)、注銷、更新、查詢的綜合管理系統(tǒng)，頒發(fā) 的數(shù)字證書格式嚴(yán)格遵循 x.509 v3 規(guī)范。時(shí)代億信 etca 數(shù)字證書認(rèn)證系統(tǒng)由 ca、ra、證書發(fā)布系統(tǒng)、證書 crl查詢系統(tǒng)、ldap 目錄服務(wù)幾個(gè)部分組成，可在服務(wù)器配備加密卡以及在客戶端配備智能密碼鑰匙。etca 支持通過掛接密鑰管理中心（kmc）來(lái)管理用戶加密密鑰，從而提高了用戶密鑰的安全性和可靠性。etca 同時(shí)為應(yīng)用系統(tǒng)提供中間 件，實(shí)現(xiàn)數(shù)據(jù)加密/解密、簽名/驗(yàn)簽服務(wù)。etc

11、a 數(shù)字證書認(rèn)證系統(tǒng)可提供對(duì)數(shù)字證書進(jìn)行全生命周期管理的功能，包括證書/證書撤銷列表的生成與簽發(fā)、證書/證書撤銷列表的存儲(chǔ)與發(fā)布、證書狀 態(tài)的查詢和密鑰的生成與管理以及安全管理等。etca 數(shù)字證書認(rèn)證系統(tǒng)及中間件可集成于企事業(yè)單位的應(yīng)用系統(tǒng)中，保證ll傳輸數(shù)據(jù)的保密性傳輸數(shù)據(jù)的完整性.ll交易者身份的真實(shí)性交易信息的不可否認(rèn)性3 產(chǎn)品功能3.1 產(chǎn)品功能架構(gòu)時(shí)代億信 etca 數(shù)字證書認(rèn)證系統(tǒng)主要由密鑰管理中心（kmc）、ca、ra、 證書存儲(chǔ)發(fā)布和狀態(tài)查詢系統(tǒng)等幾個(gè)部分組成，如下圖所示：l圖 3-1 etca 數(shù)字證書認(rèn)證系統(tǒng)功能組成密鑰管理系統(tǒng)（kmc）可為多個(gè) ca 系統(tǒng)產(chǎn)生用戶加密密

12、鑰，滿足 ca系統(tǒng)簽發(fā)用戶加密證書的需要。通過在線的方式滿足 ca 系統(tǒng)對(duì)密鑰的.lll.需求，實(shí)時(shí)響應(yīng)各 ca 系統(tǒng)提取密鑰對(duì)的請(qǐng)求。證書簽發(fā)系統(tǒng)（ca）負(fù)責(zé)生成、簽發(fā)數(shù)字證書和證書撤銷列表。證書管理系統(tǒng)（ra）是證書認(rèn)證系統(tǒng)中實(shí)現(xiàn)證書的申請(qǐng)、審核、生成、 簽發(fā)、存儲(chǔ)、發(fā)布、注銷、歸檔等功能的管理控制系統(tǒng)。證書/crl 存儲(chǔ)發(fā)布系統(tǒng)負(fù)責(zé)數(shù)字證書、證書撤銷列表的存儲(chǔ)和發(fā)布。根據(jù)應(yīng)用環(huán)境的不同，證書/crl 存儲(chǔ)發(fā)布系統(tǒng)采用數(shù)據(jù)庫(kù)或目錄服務(wù)方式，實(shí)現(xiàn)數(shù)字證書/證書撤銷列表的存儲(chǔ)、備份和恢復(fù)等功能，并提供查詢服務(wù)。etca 使用 ldap 目錄服務(wù)方式，采用主、從目錄服務(wù)器的結(jié)構(gòu)以保證主目 錄服務(wù)

13、器的可靠性。3.2 產(chǎn)品功能組件3.2.1密鑰管理中心（kmc）密鑰管理中心，簡(jiǎn)稱 kmc，是 etca 數(shù)字證書認(rèn)證系統(tǒng)的基礎(chǔ)組成部分。主要負(fù)責(zé)密鑰的管理：包括密鑰的產(chǎn)生、分發(fā)、更新、備份 /恢復(fù)、歸檔、銷毀等的管理。etca 采用國(guó)家密碼管理局規(guī)定的主機(jī)加密服務(wù)器實(shí)現(xiàn)密鑰對(duì)的生成。 采用 spkm 安全通信協(xié)議與證書簽發(fā)中心進(jìn)行數(shù)據(jù)通信。密鑰管理主要負(fù)責(zé)接收、審核來(lái)自證書簽發(fā)中心的密鑰申請(qǐng)，調(diào)用備用密鑰庫(kù)中的密鑰發(fā)送給證書簽發(fā)中心。同時(shí)，監(jiān)控備用庫(kù)中密鑰的數(shù)量，根據(jù)策略生成一定數(shù)量的密鑰進(jìn)行補(bǔ)充，并且在密鑰生成、分發(fā)、更新、廢除等操作時(shí)，負(fù) 責(zé)對(duì)各種密鑰庫(kù)進(jìn)行相應(yīng)的維護(hù)。密鑰管理類型包括密

14、鑰管理中心主密鑰管理、證書簽發(fā)中心密鑰管理和用戶 密鑰管理。.密鑰管理相關(guān)功能如下：1) 密鑰的生成批量生成高強(qiáng)度的用戶加密密鑰對(duì)，生成后的密鑰以密文保存在數(shù)據(jù)庫(kù)中。2) 密鑰的分發(fā)證書是密鑰分發(fā)的一種有效方式，用戶密鑰生成后發(fā)送給證書簽發(fā)中心，由證書簽發(fā)中心完成對(duì)包含密鑰的證書的簽發(fā)和管理。kmc 可以保證用戶密鑰從密鑰的生成到將證書的簽發(fā)，并與用戶私鑰一起存儲(chǔ)到用戶證書存儲(chǔ)介質(zhì)中整個(gè) 過程的安全性。3) 密鑰備份與恢復(fù)kmc 提供對(duì)各系統(tǒng)管理員密鑰和用戶加密密鑰的安全備份和恢復(fù)功能，可以將各種密鑰通過加密手段安全保存到密鑰備份庫(kù)，當(dāng)需要時(shí)可以從備份庫(kù)中將 所需密鑰恢復(fù)出來(lái)，防止由于密鑰丟失

15、或損壞等原因造成損失。4) 密鑰更新密鑰的更新包括根密鑰的更新、各級(jí)證書簽發(fā)中心密鑰的更新、服務(wù)器密鑰的更新和用戶密鑰的更新等。在根密鑰和各級(jí)證書簽發(fā)中心密鑰的更新設(shè)計(jì)中需要考慮到舊密鑰到新密鑰的過渡中對(duì)已簽發(fā)證書的影響，保證在密鑰更新過程 中，舊密鑰簽發(fā)的、未到期用戶密鑰的有效性。5) 密鑰歸檔密鑰更新時(shí)需將舊密鑰歸檔，形成用戶密鑰的歷史信息。發(fā)生糾紛時(shí)，可以 根據(jù)系統(tǒng)提供的信息進(jìn)行處理。歸檔的密鑰也可以進(jìn)行恢復(fù)。6) 密鑰查詢.設(shè)置好相關(guān)查詢條件，查詢符合條件的在用密鑰相關(guān)信息。7) 密鑰銷毀密鑰管理中心對(duì)已經(jīng)失去作用的密鑰提供銷毀功能，徹底將這些密鑰從密鑰 庫(kù)中刪除，并保證被刪除密鑰的不

16、可恢復(fù)，保證整個(gè)體系的安全。8) 密鑰池密鑰管理系統(tǒng)具備密鑰池服務(wù)功能。系統(tǒng)預(yù)先生成一批密鑰對(duì)并通過安全機(jī)制存放在密鑰數(shù)據(jù)庫(kù)系統(tǒng)中，當(dāng)證書簽發(fā)中心申請(qǐng)密鑰時(shí)，系統(tǒng)從密鑰數(shù)據(jù)庫(kù)系 統(tǒng)中獲取密鑰解密后交給證書簽發(fā)中心，以提高系統(tǒng)的服務(wù)效率。3.2.2簽發(fā)中心（ca）證書簽發(fā)中心，簡(jiǎn)稱 ca，是 pki/ca 體系的核心。提供證書的簽發(fā)和管理功能，代表用戶向密鑰管理中心發(fā)出密鑰產(chǎn)生、恢復(fù)請(qǐng)求，為用戶簽發(fā)證書。3.2.2.1.證書管理證書管理主要包括證書的簽發(fā)、延期、更新、凍結(jié)、解凍、證書廢除、證書 恢復(fù)、證書查詢、證書實(shí)體查詢及證書撤銷列表的發(fā)布等操作。1) 證書簽發(fā)系統(tǒng)可簽發(fā)各種實(shí)體證書。2) 證

17、書延期能夠根據(jù)要求延期證書。包括由證書注冊(cè)審核中心系統(tǒng)發(fā)起的證書延期功 能；由用戶發(fā)起的在線證書延期申請(qǐng)功能.3) 證書更新能夠根據(jù)要求，實(shí)現(xiàn)證書的更新。包括證書用戶信息更新，用戶的密鑰的更 新等。4) 證書的凍結(jié)和解凍該功能主要由管理方（證書注冊(cè)審核中心系統(tǒng)操作員、證書簽發(fā)中心管理員等）發(fā)起，對(duì)證書進(jìn)行凍結(jié)，使證書列入黑名單，暫時(shí)因?yàn)槭Ф鵁o(wú)法使用；同時(shí)，管理方也可對(duì)被凍結(jié)的證書進(jìn)行解凍操作，使該證書恢復(fù)正常的使用功能。5) 證書廢除吊銷實(shí)體證書，分為證書簽發(fā)中心強(qiáng)制廢除和用戶申請(qǐng)廢除。由于以下原因， 證書應(yīng)該被作廢：u 密鑰泄密。證書的私鑰泄密，或者懷疑泄密。為防止錯(cuò)誤使用或被盜用，其對(duì)應(yīng)

18、的證書應(yīng)該被作廢。系統(tǒng)簽發(fā)的 crl 將指出證書未泄密的最后日 期。u 從屬變更。某些關(guān)于證書的信息變更，但不懷疑泄密。u 密鑰已被取代。舊密鑰對(duì)已被新密鑰對(duì)取代，但不懷疑泄密。u 終止使用。該密鑰對(duì)已不再用于原來(lái)的用途，但不懷疑泄密。u 暫時(shí)不使用。證書持有者由于某種原因短期內(nèi)無(wú)法使用證書。u 未說明的原因。因?yàn)椴煌谏鲜龇诸愔械娜魏卧?，該密鑰對(duì)不再需要。 u 當(dāng)一個(gè)證書作廢時(shí)，必須有上述六個(gè)原因之一。6) 證書恢復(fù).證書簽發(fā)中心根據(jù)系統(tǒng)策略，由證書注冊(cè)審核中心系統(tǒng)管理員將廢除原因?yàn)?“暫時(shí)不使用”的已廢除的用戶證書進(jìn)行恢復(fù)操作。注：實(shí)體證書包括個(gè)人用戶證書，設(shè)備證書，站點(diǎn)證書、代碼簽名證

19、書等。 7) 證書實(shí)體查詢系統(tǒng)支持證書實(shí)體查詢功能，用戶可以通過查詢條件可以查詢出符合條件的 證書，并可將證書(公鑰證書)保存到本地。8) 證書注銷列表發(fā)布ca 服務(wù)器可以根據(jù)發(fā)布策略定期簽發(fā)標(biāo)準(zhǔn)格式的證書注銷列表，發(fā)布方式可以為文件方式或者目錄服務(wù)方式，發(fā)布周期可以由管理員靈活定制。證書注銷列表的發(fā)布采用分布點(diǎn)策略，保證證書注銷列表的大小在指定的范 圍內(nèi)，方便用戶查詢和下載。3.2.2.2.模板管理etca 自帶十幾種標(biāo)準(zhǔn)證書模板及標(biāo)準(zhǔn)證書擴(kuò)展域，滿足大多數(shù)的證書簽發(fā)需求。同時(shí)系統(tǒng)支持自定義證書模板和自定義擴(kuò)展域，用戶可以靈活定制各種證 書模板，從而簽發(fā)出滿足不同需求的數(shù)字證書。證書模板管理

20、證書模板用于定義證書的有效期、密鑰類型、密鑰長(zhǎng)度、是否需要發(fā)布、發(fā) 布的方式、擴(kuò)展域及擴(kuò)展域的值等信息。用戶可以根據(jù)實(shí)際情況自由組合證書相關(guān)內(nèi)容，自定義各種類型的證書模 板，并對(duì)其加以管理。主要功能有：1) 瀏覽模板.列出當(dāng)前系統(tǒng)中定義的所有證書模板的詳細(xì)信息。2) 添加模板為系統(tǒng)增加一個(gè)證書模板的定義。3) 修改模板修改系統(tǒng)中已經(jīng)存在的一個(gè)證書模板。4) 刪除模板刪除一個(gè)已經(jīng)定義好的但是還沒有被使用的證書模板。5) 注銷模板注銷已經(jīng)被使用過的一個(gè)證書模板，該證書模板以后將不能再使用。 自定義擴(kuò)展域管理用戶可以根據(jù)自己的實(shí)際需要自定義證書擴(kuò)展域，并應(yīng)用于證書模板之中。 1) 瀏覽自定義擴(kuò)展列出

21、當(dāng)前系統(tǒng)中定義的所有自定義擴(kuò)展域，并可以查看詳細(xì)信息。2) 添加自定義擴(kuò)展為系統(tǒng)增加一個(gè)自定義擴(kuò)展域的定義。3) 修改自定義擴(kuò)展修改已經(jīng)存在的一個(gè)自定義擴(kuò)展域。4) 刪除自定義擴(kuò)展刪除一個(gè)已經(jīng)定義好的但是還沒有被某個(gè)證書模板使用的自定義擴(kuò)展域。 5) 注銷自定義擴(kuò)展注銷已經(jīng)被使用過的一個(gè)自定義擴(kuò)展域，以后創(chuàng)建證書模板的時(shí)候?qū)⒉辉偈?用該擴(kuò)展。.3.2.2.3.用戶服務(wù)u 個(gè)人證書管理服務(wù)簽發(fā)中心可面向用戶提供用于個(gè)人證書管理的客戶端軟件，能幫助用戶管理和維護(hù)自己的數(shù)字證書，同時(shí)能提供個(gè)人證書定制服務(wù)；軟件的管理界面友好、 操作簡(jiǎn)單，方便用戶使用。u 用戶證書統(tǒng)計(jì)報(bào)表服務(wù)簽發(fā)中心可自動(dòng)搜集關(guān)于證

22、書的請(qǐng)求、狀態(tài)等信息，并加以必要的分析和統(tǒng) 計(jì)，形成可視報(bào)表，以便響應(yīng)用戶的服務(wù)請(qǐng)求。u 用戶證書查詢服務(wù)可對(duì)用戶證書基本信息、附加信息、自定義擴(kuò)展項(xiàng)信息等進(jìn)行查詢，查詢支 持海量數(shù)據(jù)分頁(yè)處理。u 用戶服務(wù)功能的擴(kuò)展簽發(fā)中心可根據(jù)用戶業(yè)務(wù)需求及個(gè)性化需求，方便的增加新的服務(wù)功能模 塊。3.2.3注冊(cè)中心（ra）證書注冊(cè)審核中心，簡(jiǎn)稱 ra，負(fù)責(zé)證書申請(qǐng)、審核、注銷、更新、下載等服務(wù)，是簽發(fā)系統(tǒng)的對(duì)外服務(wù)窗口，是簽發(fā)中心的證書發(fā)放、管理等業(yè)務(wù)的延伸。主要負(fù)責(zé)所有證書申請(qǐng)者的信息錄入、審核等工作，同時(shí)對(duì)發(fā)放的證書完成相對(duì) 應(yīng)的管理功能。.3.2.3.1.用戶管理u 注冊(cè)用戶用戶可以在線地進(jìn)行注冊(cè)，

23、注冊(cè)中心系統(tǒng)操作員也可以代用戶進(jìn)行注冊(cè)操 作。注冊(cè)用戶時(shí)須提供必要的用戶信息。u 批量注冊(cè)用戶注冊(cè)中心系統(tǒng)操作員可以將準(zhǔn)備好的一批用戶信息注冊(cè)到系統(tǒng)中去。這一功 能適用于將現(xiàn)有的用戶信息導(dǎo)入到系統(tǒng)中。u 注銷用戶用戶可以在線地將自己從系統(tǒng)中注銷，注冊(cè)中心系統(tǒng)操作員也可以代普通用 戶進(jìn)行注銷操作。u 更新用戶用戶可以在線地更新自己的注冊(cè)信息，注冊(cè)中心系統(tǒng)操作員也可以代用戶進(jìn) 行更新操作。u 用戶歸檔系統(tǒng)可對(duì)用戶信息進(jìn)行歸檔處理。u 審核用戶管理操作根據(jù)應(yīng)用場(chǎng)合的要求，需要對(duì)注冊(cè)用戶、批量注冊(cè)用戶、注銷用戶、更新用戶操作進(jìn)行審核，以判斷所提供的用戶信息及操作本身的正確性和合法性。審核 工作由證書注

24、冊(cè)審核中心系統(tǒng)審核員完成。3.2.3.2.u 證書申請(qǐng)證書管理.ra 提供基于 web 的申請(qǐng)方式，簡(jiǎn)單易用，幫助用戶方便、安全、快捷的進(jìn)行證書申請(qǐng)。用戶可以根據(jù)自己的需要選擇相應(yīng)的證書模板進(jìn)行證書申請(qǐng)操作，如果申請(qǐng)通過審核，系統(tǒng)將返回下載證書所需的憑證（參考號(hào)和授權(quán)碼）。ra 提供在線和離線兩種證書申請(qǐng)方式。在線方式允許申請(qǐng)者通過網(wǎng)絡(luò)登錄到注冊(cè)系統(tǒng)申請(qǐng)證書；離線方式要求申請(qǐng)者到指定的注冊(cè)機(jī)構(gòu)申請(qǐng)證書。申請(qǐng)者注冊(cè)成功后可以在線地向系統(tǒng)提出證書申請(qǐng)，以請(qǐng)求注冊(cè)審核中心系統(tǒng)為其簽發(fā)證書。證書注冊(cè)審核中心系統(tǒng)操作員也可以代用戶發(fā)出這樣的證書申請(qǐng)操作。 u 用戶身份審核系統(tǒng)提供在線和離線兩種申請(qǐng)者身份

25、審核方式。在線方式允許審核員通過證書注冊(cè)審核中心系統(tǒng)與相關(guān)權(quán)威機(jī)構(gòu)的應(yīng)用系統(tǒng)互聯(lián)，對(duì)證書申請(qǐng)者進(jìn)行身份審核；離線方式要求審核員根據(jù)證書申請(qǐng)用戶所提供的證明材料對(duì)用戶的身份進(jìn)行現(xiàn)場(chǎng)審核，并通過證書注冊(cè)審核中心系統(tǒng)進(jìn)行相關(guān)的驗(yàn)證。審核過程中，可根據(jù)實(shí)際的需求，采取自動(dòng)審核或手動(dòng)審核兩方式：自動(dòng)審核，是指當(dāng)用戶申請(qǐng)證書時(shí)，錄入用戶信息后，即認(rèn)定申請(qǐng)信息審核通過；手工審核則要求審核員對(duì)申請(qǐng) 證書的用戶進(jìn)行申請(qǐng)信息的核對(duì)。u 簽發(fā)證書根據(jù)用戶提出的證書申請(qǐng)，證書注冊(cè)審核中心系統(tǒng)操作員可以為該用戶簽發(fā)證書。系統(tǒng)需要同證書簽發(fā)中心交互實(shí)現(xiàn)用戶證書的簽發(fā)；系統(tǒng)也需要通過證書 設(shè)備將簽發(fā)的證書和加密密鑰寫入安全

26、介質(zhì)（如 usb key、ic 卡）。u 證書凍結(jié)用戶可以對(duì)一些短期內(nèi)不會(huì)使用的證書進(jìn)行凍結(jié)操作，在凍結(jié)期間內(nèi)證書被 限制不可使用。被凍結(jié)的證書可以通過解凍操作恢復(fù)使用。.u 證書解凍證書解凍操作是相對(duì)于證書凍結(jié)操作的，此操作將凍結(jié)的證書解凍，使得證 書可以重新使用。u 證書更新系統(tǒng)提供證書更新功能，用戶可以根據(jù)需要遠(yuǎn)程對(duì)正在使用中的證書進(jìn)行有 效期的更改，更新成功后，用戶可以下載新的證書。u 證書注銷用戶可以對(duì)一些不再使用的證書進(jìn)行注銷操作，注銷后的證書不可恢復(fù)。 系統(tǒng)對(duì)于有下列情況之一的用戶進(jìn)行證書注銷：1) 密鑰泄密2) ca 泄密3) 從屬關(guān)系變更4) 證書被取代5) 操作終止6) 證

27、書下載憑證（授權(quán)碼）更新對(duì)一些申請(qǐng)成功但是沒有下載的證書，ra 服務(wù)器可以為用戶重新生成下載 憑證（授權(quán)碼），用戶使用新的下載憑證進(jìn)行證書下載。u 證書制證證書申請(qǐng)通過審核之后，用戶可以通過下載憑證安全的下載證書。系統(tǒng)提供基于 web 的下載方式，支持多種加密算法和密鑰長(zhǎng)度，支持文件、智能卡、 usb-key 等多種存儲(chǔ)介質(zhì)。u 證書查詢.系統(tǒng)提供證書信息查詢功能，用戶可以通過查詢條件查詢出符合條件的證書 信息，支持精確查詢。系統(tǒng)還提供申請(qǐng)信息查詢功能，用戶可以通過查詢條件查詢出符合條件的申 請(qǐng)信息，支持精確查詢。u 用戶信息維護(hù)系統(tǒng)提供按照用戶自定義的格式產(chǎn)生用戶信息，并可以對(duì)用戶信息進(jìn)行添

28、 加、刪除、修改等維護(hù)方式。u 企業(yè)信息維護(hù)系統(tǒng)提供按照用戶自定義的格式產(chǎn)生企業(yè)信息，并可以對(duì)企業(yè)信息進(jìn)行添 加、刪除、修改等維護(hù)方式。3.2.4存儲(chǔ)發(fā)布系統(tǒng)（crl）存儲(chǔ)發(fā)布系統(tǒng)與簽發(fā)中心、注冊(cè)中心連通。實(shí)現(xiàn)數(shù)字證書的實(shí)時(shí)發(fā)布，并對(duì) 發(fā)布后的證書進(jìn)行存儲(chǔ)，以備隨時(shí)查閱與調(diào)取。存儲(chǔ)發(fā)布系統(tǒng)還負(fù)責(zé)證書撤銷列表（crl）的發(fā)布與存儲(chǔ)。每個(gè)證書都被指定了一個(gè)有效期，當(dāng)使用的證書到了使用期限時(shí)，系統(tǒng)會(huì)將該證書的序列號(hào)列入 crl 里。同時(shí)也有其他原因可做為證書撤銷的理由：u 證書密鑰被泄露u 證書遭泄露u 證書與其他證書的從屬關(guān)系改變u 證書被其他證書取代u 證書所關(guān)聯(lián)業(yè)務(wù)中止.存儲(chǔ)發(fā)布系統(tǒng)提供對(duì)證書

29、在線狀態(tài)的查詢接口，用戶可以通過該接口獲取證書有效性的詳細(xì)信息。每個(gè)證書的撤銷都能即時(shí)反應(yīng)到存儲(chǔ)發(fā)布系統(tǒng)中。3.2.5在線證書狀態(tài)查詢系統(tǒng)（ocsp）在線證書狀態(tài)查詢系統(tǒng)，為證書應(yīng)用提供實(shí)時(shí)的證書狀態(tài)查詢服務(wù)。ocsp服務(wù)系統(tǒng)完全遵照 rfc2560 標(biāo)準(zhǔn)實(shí)現(xiàn)，保證了標(biāo)準(zhǔn)性，任何符合 rfc2560 的 產(chǎn)品都可以方便的連接 ocsp 服務(wù)進(jìn)行證書狀態(tài)查詢。ocsp 服務(wù)通過 ca 的鏡像數(shù)據(jù)庫(kù)查詢證書狀態(tài)，這樣比查詢 crl（證書注 銷列表）更可靠、更及時(shí)，提供給證書應(yīng)用的信息更豐富。ocsp 服務(wù)支持為多個(gè)不同的 ca 系統(tǒng)向用戶提供統(tǒng)一的數(shù)字證書狀態(tài)驗(yàn)證服務(wù)，證書應(yīng)用向 ocsp 服務(wù)查

30、詢證書狀態(tài)時(shí)，可以查詢不同 ca 頒發(fā)的證書 狀態(tài)。ocsp toolkit 封裝證書應(yīng)用的證書狀態(tài)查詢請(qǐng)求，然后發(fā)送給 ocsp 服務(wù)，并將從 ocsp 服務(wù)響應(yīng)中解析的證書狀態(tài)，返回給證書應(yīng)用。ocsp toolkit 為證書應(yīng)用提供簡(jiǎn)單、易用的用戶接口。減輕了證書應(yīng)用開發(fā)者的工作量。3.2.6目錄服務(wù)系統(tǒng)（ldap）目錄服務(wù)是一種專門的數(shù)據(jù)庫(kù)，它服務(wù)于各種應(yīng)用程序，包括 ldap（輕量級(jí)目錄訪問協(xié)議）目錄和基于 x.500 的目錄。這些目錄都是通用的標(biāo)準(zhǔn)的目錄。目錄服務(wù)系統(tǒng)主要負(fù)責(zé)對(duì)外發(fā)布證書服務(wù)，對(duì)外發(fā)布證書信息，證書撤消列表 crl，為應(yīng)用系統(tǒng)提供在線的查詢服務(wù)等功能。etca 數(shù)字

31、證書認(rèn)證系統(tǒng)支持國(guó)內(nèi)外主流的各種目錄服務(wù)產(chǎn)品，包括 ibm tivoli directory server 、novell.directory server、open ldap 軟件、iplanet directory server、微軟 ad 系 統(tǒng)等。etca 數(shù)字證書認(rèn)證系統(tǒng)目錄服務(wù)組件的主要參數(shù)如下：u 支持樹狀信任模式，能夠滿足使用統(tǒng)一離線根 ca 中心的需要，能夠滿 足獨(dú)立部署二級(jí)目錄的要求；u 遵循目錄訪問協(xié)議 ldapv2 和 v3 國(guó)際標(biāo)準(zhǔn)，符合 x.500 規(guī)范，并支持與 ibm tivoli directory server 、novell directory serve

32、r 、openldap 軟件、iplanet directory server 、微軟 ad 系統(tǒng)進(jìn)行數(shù)據(jù)同步；u 支持主從服務(wù)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)同步和周期性同步；u 支持 sun solaris、ibm aix、hp-unix、linux、sco unix 以及各 種 windows 操作系統(tǒng)平臺(tái)；u 精確查詢（10 萬(wàn)條目）：?jiǎn)尉€程響應(yīng)時(shí)間達(dá)到毫秒級(jí)，50 線程響應(yīng)時(shí)間 達(dá)到秒級(jí)；u 模糊查詢（10 萬(wàn)條目）：?jiǎn)尉€程響應(yīng)時(shí)間達(dá)到秒級(jí)，50 線程響應(yīng)時(shí)間達(dá) 到秒級(jí)u 最大并發(fā)連接數(shù)1000。目錄服務(wù)是軟件、硬件、策論以及管理的集合體。目錄服務(wù)至少包括以下幾 個(gè)方面：u 包含在目錄中的

33、信息；u 保存信息的軟件服務(wù)端；u 扮演存取信息的軟件客戶端；u 運(yùn)行服務(wù)端，客戶端軟件的硬件；.u 支撐系統(tǒng)，像操作系統(tǒng)、設(shè)備驅(qū)動(dòng)等；u 連接客戶端到服務(wù)端以及各個(gè)服務(wù)端之間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施策略； u 規(guī)定誰(shuí)能訪問，誰(shuí)能更新，誰(shuí)能存取等；u 維護(hù)和監(jiān)視目錄服務(wù)的軟件；u 術(shù)語(yǔ)目錄和目錄服務(wù)經(jīng)常可換用。3.2.7數(shù)據(jù)加密/解密、簽名/驗(yàn)簽中間件etca 數(shù)字證書認(rèn)證系統(tǒng)為主流平臺(tái)、異構(gòu)應(yīng)用系統(tǒng)提供應(yīng)用集成中間件， 為應(yīng)用系統(tǒng)提供數(shù)據(jù)加密解密、簽名驗(yàn)簽服務(wù)。lll支持 windows 、linux 等 pc 操作系統(tǒng)支持 android、ios 等移動(dòng)終端操作系統(tǒng)支持 ie、firefox、chr

34、ome 等不同內(nèi)核的瀏覽器3.3 產(chǎn)品技術(shù)特點(diǎn)時(shí)代億信 etca 數(shù)字證書認(rèn)證系統(tǒng)擁有以下特點(diǎn)3.3.1部署靈活、操作簡(jiǎn)單系統(tǒng)的設(shè)計(jì)采用 b/s 模式，安裝部署工作只需要在服務(wù)端進(jìn)行，部署工作方便靈活，客戶端無(wú)需安裝任何客戶端軟件，完全基于瀏覽器即可完成所有的管理操作，管理終端與服務(wù)器之間采用高強(qiáng)度 ssl 安全連接，采用數(shù)字證書對(duì)用戶 的身份實(shí)現(xiàn)管理。另外系統(tǒng)可以根據(jù)實(shí)際的具體情況來(lái)選擇對(duì)應(yīng)的組合方式進(jìn)行部署，比如： ca、ca+ra、ca+kmc 、ca+kmc+ra+ocsp 等。.3.3.2系統(tǒng)平臺(tái)的高安全性u(píng) 通訊安全系統(tǒng)采用高強(qiáng)度的 ssl 標(biāo)準(zhǔn)安全通信協(xié)議。u 數(shù)據(jù)安全數(shù)據(jù)庫(kù)、配

35、置文件中的敏感數(shù)據(jù)采用加密方式保存；提供完備的數(shù)據(jù)備份及 恢復(fù)的手段。u 人員安全采用基于數(shù)字證書的身份驗(yàn)證機(jī)制，管理員使用 x.509 證書進(jìn)行登錄管理、 管理員的管理權(quán)限與其證書進(jìn)行綁定。分布式權(quán)限管理，管理員間權(quán)限分離，某一管理員只管理某一部分功能并受 其他管理員監(jiān)督。u 完善的審計(jì)手段系統(tǒng)提供對(duì)所有業(yè)務(wù)情況的詳盡記錄和查詢手段。3.3.3廣泛的平臺(tái)兼容性u(píng) 靈活可配置的密碼模塊提供對(duì)加密機(jī)、加密卡、智能卡、usb 等多種加密設(shè)備的支持。u 支持多種數(shù)據(jù)庫(kù)產(chǎn)品系統(tǒng)數(shù)據(jù)中心模塊采用基于 jdbc 標(biāo)準(zhǔn)的數(shù)據(jù)操作服務(wù)，可掛接不同的數(shù)據(jù) 庫(kù)產(chǎn)品，包括 oracle、sql server 、db2 等數(shù)據(jù)庫(kù)產(chǎn)品。u 支持多種目錄服務(wù)產(chǎn)品系統(tǒng)支持基于 ldapv3 標(biāo)準(zhǔn)協(xié)議的目錄服務(wù)，符合此標(biāo)準(zhǔn)的目錄服務(wù)產(chǎn)品均.可直接掛接到系統(tǒng)中。u 支持多種操作系統(tǒng)平臺(tái)etca 可以支持多種操作系統(tǒng)，包括 windows ，linux ，aix，solaris，hp_ux。3.3.4支持多級(jí) ca可根據(jù)需要建立無(wú)限制多級(jí)的 ca，并通過交叉認(rèn)證實(shí)現(xiàn)