GFACA產(chǎn)品白皮書

1、密級(jí)：公開版本號(hào)：V3.0.1國富安CA產(chǎn)品系列國富安電子證書安全認(rèn)證系統(tǒng)產(chǎn)品白皮書White Paper公 司：北京國富安電子商務(wù)安全認(rèn)證有限公司GFA E-commerce Security CA CO.,Ltd.地 址：中國北京經(jīng)濟(jì)技術(shù)開發(fā)區(qū)榮華中路11號(hào)Copyright 2010北京國富安電子商務(wù)安全認(rèn)證有限公司版權(quán)所有All rights reserved.提要本白皮書介紹PKI的基本概念本白皮書介紹GFA CA產(chǎn)品的基本信息本白皮書闡述GFA CA產(chǎn)品的詳細(xì)參數(shù)GFA CA運(yùn)營版產(chǎn)品參數(shù)GFA CA企業(yè)版產(chǎn)品參數(shù)GFA CA系統(tǒng)版產(chǎn)品參數(shù)聲明未經(jīng)北京國富安電子商務(wù)安全認(rèn)證有限公司

2、書面許可，本白皮書任何部分的內(nèi)容不得被復(fù)制或者抄襲用于任何商業(yè)目的。本白皮書的內(nèi)容在未經(jīng)通知的情況下可能發(fā)生變化。如有任何意見或建議，請(qǐng)通過下述方式與本公司取得聯(lián)系：公司網(wǎng)站 HYPERLINK t _blank 公司電話郵箱 gfasupport本白皮書介紹國富安公司及服務(wù)體系的基本信息目 錄 TOC o 1-3 h z u HYPERLINK l _Toc274299440 1PKI基本概念 PAGEREF _Toc274299440 h 2 HYPERLINK l _Toc274299441 1.1什么是PKI PAGEREF _Toc274299441 h

3、2 HYPERLINK l _Toc274299442 1.2為什么需要PKI PAGEREF _Toc274299442 h 2 HYPERLINK l _Toc274299443 1.3PKI的構(gòu)成 PAGEREF _Toc274299443 h 3 HYPERLINK l _Toc274299444 2產(chǎn)品概述 PAGEREF _Toc274299444 h 3 HYPERLINK l _Toc274299445 2.1產(chǎn)品概要 PAGEREF _Toc274299445 h 3 HYPERLINK l _Toc274299446 2.2產(chǎn)品功能架構(gòu) PAGEREF _Toc274299

4、446 h 4 HYPERLINK l _Toc274299447 2.3產(chǎn)品線介紹 PAGEREF _Toc274299447 h 5 HYPERLINK l _Toc274299448 3產(chǎn)品詳細(xì)參數(shù) PAGEREF _Toc274299448 h 6 HYPERLINK l _Toc274299449 3.1GFA CA運(yùn)營版 PAGEREF _Toc274299449 h 6 HYPERLINK l _Toc274299450 3.1.1產(chǎn)品概述 PAGEREF _Toc274299450 h 6 HYPERLINK l _Toc274299451 3.1.2技術(shù)規(guī)格 PAGEREF

5、_Toc274299451 h 6 HYPERLINK l _Toc274299452 3.1.3產(chǎn)品優(yōu)勢(shì) PAGEREF _Toc274299452 h 7 HYPERLINK l _Toc274299453 3.1.4運(yùn)行環(huán)境 PAGEREF _Toc274299453 h 7 HYPERLINK l _Toc274299454 1.1GFA CA企業(yè)版 PAGEREF _Toc274299454 h 8 HYPERLINK l _Toc274299455 3.1.5產(chǎn)品概述 PAGEREF _Toc274299455 h 8 HYPERLINK l _Toc274299456 3.1.6

6、技術(shù)規(guī)格 PAGEREF _Toc274299456 h 8 HYPERLINK l _Toc274299457 3.1.7產(chǎn)品優(yōu)勢(shì) PAGEREF _Toc274299457 h 9 HYPERLINK l _Toc274299458 3.1.8運(yùn)行環(huán)境 PAGEREF _Toc274299458 h 9 HYPERLINK l _Toc274299459 1.2GFA CA系統(tǒng)版 PAGEREF _Toc274299459 h 10 HYPERLINK l _Toc274299460 3.1.9產(chǎn)品概述 PAGEREF _Toc274299460 h 10 HYPERLINK l _Toc

7、274299461 3.1.10技術(shù)規(guī)格 PAGEREF _Toc274299461 h 10 HYPERLINK l _Toc274299462 3.1.11產(chǎn)品優(yōu)勢(shì) PAGEREF _Toc274299462 h 11 HYPERLINK l _Toc274299463 3.1.12運(yùn)行環(huán)境 PAGEREF _Toc274299463 h 11 HYPERLINK l _Toc274299464 附錄一 關(guān)于國富安公司 PAGEREF _Toc274299464 h 12 HYPERLINK l _Toc274299465 附錄二 國富安服務(wù)體系 PAGEREF _Toc274299465

8、 h 13PKI基本概念 什么是PKIPKI是“Public Key Infrastructure”的縮寫，即“公鑰基礎(chǔ)設(shè)施”，是一個(gè)用非對(duì)稱密碼算法原理和技術(shù)實(shí)現(xiàn)的、具有通用性的安全基礎(chǔ)設(shè)施。PKI利用數(shù)字證書 標(biāo)識(shí)密鑰持有人的身份，通過對(duì)密鑰的規(guī)范化管理，為組織機(jī)構(gòu)建立和維護(hù)一個(gè)可信賴的系統(tǒng)環(huán)境，透明地為應(yīng)用系統(tǒng)提供身份認(rèn)證、數(shù)據(jù)保密性和完整性、抗抵賴等各種必要的安全保障，滿足各種應(yīng)用系統(tǒng)的安全需求。 為什么需要PKI隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是Internet的全球化，各種基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)上應(yīng)用，如電子政務(wù)、電子商務(wù)等得到了迅猛發(fā)展。網(wǎng)絡(luò)正已逐步成為人們工作、生活中不可分割的一部分。由于

9、互聯(lián)網(wǎng)的開放性和通用性，網(wǎng)上的所有信息對(duì)所有人都是公開的，因此應(yīng)用系統(tǒng)對(duì)信息的安全性提出了更高的要求，具體包括：（1） 對(duì)身份合法性驗(yàn)證的要求 以明文方式存儲(chǔ)、傳送的用戶名和口令存在著被截獲、破譯等諸多安全隱患。同時(shí)，還有維護(hù)不便的缺點(diǎn)。因此，需要一套安全、可靠并易于維護(hù)的用戶身份管理和合法性驗(yàn)證機(jī)制來確保應(yīng)用系統(tǒng)的安全性。（2）對(duì)數(shù)據(jù)保密性和完整性的要求 企業(yè)應(yīng)用系統(tǒng)中的數(shù)據(jù)一般都是明文，在基于網(wǎng)絡(luò)技術(shù)的系統(tǒng)中，這種明文數(shù)據(jù)很容易泄密或被篡改，必須采取有效的措施保證數(shù)據(jù)的保密性和完整性。（3）傳輸安全性要求 以明文方式在網(wǎng)上傳輸?shù)臄?shù)據(jù)，很容易被截獲以至泄密，必須對(duì)通信通道進(jìn)行加密保護(hù)。利用通

10、信專線的傳統(tǒng)方式由于成本高，使用不便等原因，已經(jīng)遠(yuǎn)不能滿足現(xiàn)代網(wǎng)絡(luò)應(yīng)用發(fā)展的需求，必須尋求一種新的方法來保證基于互聯(lián)網(wǎng)技術(shù)的傳輸安全需求。（4）對(duì)數(shù)字簽名和不可否認(rèn)的要求 不可抵賴性為了防止事件發(fā)起者事后抵賴，對(duì)于規(guī)范業(yè)務(wù)，避免法律糾紛起著很大的作用。傳統(tǒng)不可抵賴性是通過手工簽名完成的，在網(wǎng)絡(luò)應(yīng)用中，需要一種具有同樣功能的機(jī)制來保證不可抵賴性，那就是數(shù)字簽名技術(shù)。 PKI的構(gòu)成標(biāo)準(zhǔn)PKI公鑰基礎(chǔ)設(shè)施體系主要由密鑰管理中心、CA認(rèn)證機(jī)構(gòu)、RA注冊(cè)審核機(jī)構(gòu)和證書/CRL發(fā)布系統(tǒng)四部分組成.1密鑰管理中心（KMC）：密鑰管理中心向CA服務(wù)提供相關(guān)密鑰服務(wù)，如密鑰生成、密鑰存儲(chǔ)、密鑰備份、密鑰恢復(fù)、密

11、鑰托管和密鑰運(yùn)算等。 2CA認(rèn)證機(jī)構(gòu)：CA認(rèn)證機(jī)構(gòu)是PKI公鑰基礎(chǔ)設(shè)施的核心，它主要完成生成/簽發(fā)證書、生成/簽發(fā)證書撤銷列表（CRL）、發(fā)布證書和CRL到目錄服務(wù)器、 維護(hù)證書數(shù)據(jù)庫和審計(jì)日志庫等功能。 3RA注冊(cè)審核機(jī)構(gòu)：RA是數(shù)字證書的申請(qǐng)、審核和注冊(cè)中心。它是CA認(rèn)證機(jī)構(gòu)的延伸。在邏輯上RA和CA是一個(gè)整體，主要負(fù)責(zé)提供證書注冊(cè)、審核以及發(fā)證 功能。 4證書/CRL發(fā)布系統(tǒng)：證書/CRL發(fā)布系統(tǒng)主要提供LDAP和OCSP等服務(wù)功能；LDAP提供證書和CRL的目錄瀏覽服務(wù)；OCSP提供證書狀態(tài)在線查詢服務(wù)。產(chǎn)品概述產(chǎn)品概要國富安電子證書安全認(rèn)證系統(tǒng)（SRT0803身份認(rèn)證系統(tǒng)），是國富安

12、PKI解決方案的基礎(chǔ)產(chǎn)品。根據(jù)PKI的組成要求，設(shè)計(jì)研發(fā)了國富安證書簽發(fā)系統(tǒng)（CA系統(tǒng)）、國富安證書注冊(cè)系統(tǒng)（RA系統(tǒng)）、國富安密鑰管理系統(tǒng)（KMC系統(tǒng)）等三個(gè)核心子系統(tǒng)及國富安證書發(fā)布及驗(yàn)證系統(tǒng)等基礎(chǔ)平臺(tái)，以上系統(tǒng)構(gòu)成完整的、高效的國富安證書認(rèn)證體系架構(gòu)，是處于國內(nèi)領(lǐng)先地位的PKI基礎(chǔ)設(shè)施產(chǎn)品。國富安CA系列產(chǎn)品在設(shè)計(jì)上符合國際通用標(biāo)準(zhǔn)，同時(shí)嚴(yán)格遵循國密辦的各項(xiàng)規(guī)定，是一套開放式的安全產(chǎn)品。產(chǎn)品核心系統(tǒng)全部采用JAVA語言開發(fā)，具有良好的平臺(tái)兼容性。系統(tǒng)設(shè)計(jì)靈活、可擴(kuò)展性強(qiáng)，支持多級(jí)CA的分布式部署。產(chǎn)品功能架構(gòu)國富安電子證書安全認(rèn)證系統(tǒng)產(chǎn)品功能架構(gòu)如下圖所示。各子系統(tǒng)功能描述如下。國富安根

13、CA系統(tǒng)：國富安電子證書安全認(rèn)證系統(tǒng)產(chǎn)品的初始化根系統(tǒng)，負(fù)責(zé)根密鑰的初始化和國富安證書簽發(fā)系統(tǒng)（CA系統(tǒng)）的證書的初始化功能，根CA與國富安電子證書安全認(rèn)證系統(tǒng)產(chǎn)品的其它子產(chǎn)品不存在通信關(guān)系。國富安證書簽發(fā)系統(tǒng)（CA系統(tǒng)）：證書簽發(fā)系統(tǒng)主要功能包括證書簽發(fā)和證書管理功能。證書簽發(fā)功能主要包括接收來自證書注冊(cè)系統(tǒng)的證書請(qǐng)求，負(fù)責(zé)完成證書申請(qǐng)、簽發(fā)、查詢、下載、發(fā)布和撤銷等服務(wù)，簽發(fā)證書和證書注銷列表。證書管理服務(wù)主要包括對(duì)各種數(shù)字證書、證書模版、內(nèi)部管理員及操作員進(jìn)行管理。國富安密鑰管理系統(tǒng)（KMC系統(tǒng)）：KMC系統(tǒng)基于公開密鑰技術(shù)，負(fù)責(zé)提供密鑰服務(wù)。主要包括密鑰對(duì)的生成、密鑰發(fā)送、密鑰存儲(chǔ)、密

14、鑰查詢、密鑰銷毀、密鑰恢復(fù)等管理服務(wù)。國富安證書注冊(cè)系統(tǒng)（RA系統(tǒng)）：負(fù)責(zé)用戶的證書申請(qǐng)、身份審核和證書下載，通過與CA產(chǎn)品建立的安全通道向CA產(chǎn)品提出請(qǐng)求，接收CA簽發(fā)下傳的證書，并進(jìn)行下載。國富安證書發(fā)布及驗(yàn)證系統(tǒng)：包括LDAP、OCSP等系統(tǒng)為國富安證書認(rèn)證系統(tǒng)提供證書查詢驗(yàn)證等服務(wù)。產(chǎn)品線介紹國富安電子證書安全認(rèn)證系統(tǒng)針對(duì)不同的客戶需求，將產(chǎn)品劃分為三種版本:國富安電子證書安全認(rèn)證系統(tǒng)運(yùn)營版（下面均簡(jiǎn)稱GFA CA運(yùn)營版）運(yùn)營版面向于省級(jí)政府機(jī)構(gòu)或行業(yè)機(jī)構(gòu)，證書設(shè)計(jì)容量為100萬以上，提供完善的開發(fā)接口，可以應(yīng)對(duì)客戶的復(fù)雜需求。國富安電子證書安全認(rèn)證系統(tǒng)企業(yè)版（下面均簡(jiǎn)稱GFA CA企

15、業(yè)版）企業(yè)版的證書設(shè)計(jì)容量為10萬以下，主要面向大型國有企業(yè)或跨國公司，可以根據(jù)客戶需求進(jìn)行系統(tǒng)定制，具有部署捷、管理簡(jiǎn)單等優(yōu)點(diǎn)。 國富安電子證書安全認(rèn)證系統(tǒng)版（下面均簡(jiǎn)稱GFA CA系統(tǒng)版）精簡(jiǎn)版的證書設(shè)計(jì)容量在1萬以下，系統(tǒng)以硬件服務(wù)器的形式提供，操作簡(jiǎn)單、維護(hù)方便，適用于發(fā)證量不大的中小企業(yè)用戶。產(chǎn)品詳細(xì)參數(shù)GFA CA運(yùn)營版產(chǎn)品概述國富安電子證書安全認(rèn)證系統(tǒng)運(yùn)營版為國富安公司面向于省級(jí)政府機(jī)構(gòu)或行業(yè)機(jī)構(gòu)需求而設(shè)計(jì)，專門針對(duì)證書運(yùn)營中心建設(shè)，系統(tǒng)證書設(shè)計(jì)容量為10萬以上級(jí)別，產(chǎn)品通過國密局鑒定。產(chǎn)品由國富安證書簽發(fā)系統(tǒng)(CA)、國富安證書注冊(cè)系統(tǒng)(RA)、國富安密鑰管理系統(tǒng)(KM)三個(gè)核

16、心系統(tǒng)及國富安證書發(fā)布及驗(yàn)證系統(tǒng)等系統(tǒng)組成。技術(shù)規(guī)格系統(tǒng)支持LINUX/UNIX等操作系統(tǒng)平臺(tái)，支持ORACLE等大型數(shù)據(jù)庫平臺(tái)，保持系統(tǒng)運(yùn)行的穩(wěn)定性，支持多種密鑰算法，支持多種商密、普密加密機(jī)。KM系統(tǒng)與CA系統(tǒng)、RA系統(tǒng)獨(dú)立部署。系統(tǒng)具有雙層根證書，支持 CA的樹狀信任模式，系統(tǒng)可以支持CA 多級(jí)擴(kuò)展和多級(jí)認(rèn)證，支持多RA系統(tǒng)接入。RA證書注冊(cè)系統(tǒng)，實(shí)現(xiàn)接收用戶的證書申請(qǐng)、審核、制證等業(yè)務(wù)，可根據(jù)業(yè)務(wù)性質(zhì)或地理位置以行業(yè)或地區(qū)為界設(shè)置多個(gè)RA。系統(tǒng)支持南開創(chuàng)源(ITEC)的LDAP，支持基于LDAP的證書、CRL發(fā)布，支持基于HTTP 的CRL 發(fā)布，支持主從LDAP。KM、CA、RA客戶

17、端互相獨(dú)立，具備最高的安全措施，支持管理與審計(jì)互相獨(dú)立的權(quán)限管理體系，支持內(nèi)部管理人員權(quán)限的細(xì)分授權(quán)。GFA CA系統(tǒng)為用戶提供配置CA功能，采用嚴(yán)格的分級(jí)管理，使用數(shù)字證書進(jìn)行強(qiáng)身份認(rèn)證，詳細(xì)定義了管理員和操作員的職責(zé)范圍，使系統(tǒng)易于維護(hù)、管理和監(jiān)控，從而保證其運(yùn)營的安全性。完備的證書服務(wù)管理功能。支持P11和CSP兩種模式簽發(fā)證書，支持雙證書的簽發(fā)，實(shí)現(xiàn)無縫接入新的證書介質(zhì)。產(chǎn)品優(yōu)勢(shì)證書模板和應(yīng)用類型多樣，可以滿足用戶不同證書應(yīng)用的需求。支持多家廠商的電子鑰匙存儲(chǔ)介質(zhì)，并且可以靈活擴(kuò)展。支持簽發(fā)微軟的智能卡登錄證書、域控制證書、計(jì)算機(jī)證書，可以實(shí)現(xiàn)微軟的智能卡登錄，域登陸等。支持簽發(fā)電子郵

18、件證書和對(duì)應(yīng)的證書發(fā)布模式，可以使用OutLook Express，OutLook，F(xiàn)oxmail，Mozilla Thunderbird 等參電子郵件進(jìn)行加密和簽名。支持簽發(fā)普通用戶證書， SSL 客戶端證書，機(jī)構(gòu)證書，設(shè)備證書，VPN 證書、服務(wù)器證書、代碼簽名證書等等。完善的證書統(tǒng)計(jì)功能，管理人員可以時(shí)時(shí)的統(tǒng)計(jì)證書、用戶、請(qǐng)求等各方面信息。證書存儲(chǔ)在電子鑰匙內(nèi)，安全易用，可以隨時(shí)在不同的計(jì)算機(jī)上使用，不受地域、計(jì)算機(jī)的限制，可隨身攜帶。GFA CA中設(shè)有人機(jī)交互的管理界面，為提高可操作性，這些界面全部可運(yùn)行在中文Windows2000 /Windows XP /Windows2003平臺(tái)

19、上，是圖形化的友好界面，信息的輸出全部支持中文，方便使用者的操作。運(yùn)行環(huán)境KM、CA、RA服務(wù)端系統(tǒng)運(yùn)行環(huán)境（推薦）：操作系統(tǒng)：紅旗 Linux DC 5.0數(shù)據(jù)庫：oracle 數(shù)據(jù)庫企業(yè)版 10g LDAP 發(fā)布系統(tǒng)：南開創(chuàng)元LDAP(一主2從無限制版)應(yīng)用服務(wù)器：oracle IAS 企業(yè)版 10gWEB 服務(wù)器：Apache 5加密機(jī)：濟(jì)南得安計(jì)算機(jī)技術(shù)有限公司的SJY05-B主機(jī)加密服務(wù)器。客戶端環(huán)境（推薦）：操作系統(tǒng)：PC/Intel體系，任何可運(yùn)行Windows 2000/XP的系統(tǒng)系統(tǒng)環(huán)境：操作系統(tǒng)支持JDK1.4.2以上版本證書存儲(chǔ)介質(zhì)：符合P11的接口標(biāo)準(zhǔn)或MS Crypt

20、oAPI CSP接口標(biāo)準(zhǔn)的USB Key，支持對(duì)稱及非對(duì)稱算法。GFA CA企業(yè)版產(chǎn)品概述企業(yè)版CA 主要面向大型國有企業(yè)或跨國公司，證書設(shè)計(jì)容量為1萬-10 萬，包括證書注冊(cè)系統(tǒng)和證書認(rèn)證系統(tǒng)（含密鑰管理模塊）兩個(gè)核心系統(tǒng)組成，可以滿足大型企業(yè)用戶的復(fù)雜網(wǎng)絡(luò)環(huán)境的需求。企業(yè)CA可簽發(fā)企業(yè)所需要的各類型數(shù)字證書，系統(tǒng)符合國內(nèi)、國際各項(xiàng)標(biāo)準(zhǔn)。另外，企業(yè)CA系統(tǒng)以其投資成本適中，操作方便，運(yùn)營成本低、安全等級(jí)高、易升級(jí)易維護(hù)等優(yōu)勢(shì)，越來越廣泛的應(yīng)用于密級(jí)性較高又相當(dāng)獨(dú)立的各種企業(yè)內(nèi)部應(yīng)用。 技術(shù)規(guī)格系統(tǒng)支持LINUX/UNIX等操作系統(tǒng)平臺(tái)，支持ORACLE等大型數(shù)據(jù)庫平臺(tái)，支持多種密鑰算法，支持

21、多種商密、普密加密機(jī)、加密卡。KM系統(tǒng)作為CA的一個(gè)內(nèi)嵌模塊集成于CA系統(tǒng)內(nèi)部，支持單CA，多RA系統(tǒng)接入的部署模式。允許CA超級(jí)管理員不但可以管理CA簽發(fā)模塊，同時(shí)可以管理KM模塊，不再另設(shè)立KM管理員。系統(tǒng)支持南開創(chuàng)源(ITEC)、openLDAP等常見的目錄服務(wù)器系統(tǒng)，支持基于LDAP的證書、CRL發(fā)布，支持基于HTTP 的CRL 發(fā)布。支持管理與審計(jì)互相獨(dú)立的權(quán)限管理體系，詳細(xì)定義了管理員和操作員的職責(zé)范圍，支持RA內(nèi)部管理人員權(quán)限的細(xì)分授權(quán)。為用戶提供定制與配置CA功能，使用數(shù)字證書進(jìn)行強(qiáng)身份認(rèn)證，使系統(tǒng)易于維護(hù)、管理和監(jiān)控，從而保證其安全性。支持CSP模式簽發(fā)證書，支持雙證書的簽發(fā)

22、，實(shí)現(xiàn)無縫接入新的證書介質(zhì)。CA端采用C/S設(shè)計(jì)模式，RA端采用B/S設(shè)計(jì)模式。啟用安全加密傳輸，客戶端訪問服務(wù)器的數(shù)據(jù)均通過SSL加密通道進(jìn)行傳輸。產(chǎn)品優(yōu)勢(shì)對(duì)企業(yè)部署環(huán)境有良好的適應(yīng)性，支持多種數(shù)據(jù)庫平臺(tái)和操作系統(tǒng)平臺(tái)，系統(tǒng)能夠適應(yīng)企業(yè)用戶已有的數(shù)據(jù)庫、中間件等軟件資源?？梢院芎玫呐cSSL VPN電子郵件等證書應(yīng)用無縫集成，共同創(chuàng)建企業(yè)的信息安全。具有完善的配套軟件和開發(fā)接口，方便實(shí)現(xiàn)與企業(yè)應(yīng)用系統(tǒng)的集成。為應(yīng)用系統(tǒng)提供可供第三方應(yīng)用開發(fā)的接口模塊，如簽名、加密、證書驗(yàn)證、安全登錄等，可以應(yīng)對(duì)客戶的復(fù)雜需求?？梢愿鶕?jù)用戶需求靈活定制各類證書模板和證書應(yīng)用類型，提供證書的靈活統(tǒng)計(jì)功能。RA端采

23、用基于B/S 結(jié)構(gòu)的管理，內(nèi)嵌Web Sever，采用https 安全遠(yuǎn)程管理機(jī)制進(jìn)行安全登錄，證書存儲(chǔ)在電子鑰匙內(nèi)，安全易用，可以隨時(shí)在不同的計(jì)算機(jī)上使用，不受地域、計(jì)算機(jī)的限制，可隨身攜帶。支持多家廠商的電子鑰匙存儲(chǔ)介質(zhì)，并且可以自動(dòng)擴(kuò)展。系統(tǒng)建設(shè)周期較短，投入人力、物力較小，減少管理成本，建設(shè)周期短，工作流程簡(jiǎn)單，收效快。體系結(jié)構(gòu)采用模塊化設(shè)計(jì)，可在保證系統(tǒng)不間斷運(yùn)行的情況下方便的進(jìn)行修復(fù)和維護(hù)。在軟件設(shè)計(jì)中設(shè)置詳細(xì)的系統(tǒng)日志和本地日志為系統(tǒng)維護(hù)人員提供足夠信息進(jìn)行故障排除。運(yùn)行環(huán)境CA(包含KM模塊)服務(wù)端、RA服務(wù)端系統(tǒng)運(yùn)行環(huán)境（推薦）：操作系統(tǒng)：紅旗 Linux DC 5.0數(shù)據(jù)庫

24、：oracle 數(shù)據(jù)庫企業(yè)版 10g LDAP 發(fā)布系統(tǒng)：南開創(chuàng)元（ITec）LDAP應(yīng)用服務(wù)器：oracle IAS 企業(yè)版 10gWEB 服務(wù)器：Apache 5加密機(jī)：濟(jì)南得安計(jì)算機(jī)技術(shù)有限公司的SJY05-B主機(jī)加密服務(wù)器?；蚣用芸ǎ簼?jì)南得安計(jì)算機(jī)技術(shù)有限公司的SJY03-B密碼卡客戶端環(huán)境（推薦）：操作系統(tǒng)：PC/Intel體系，任何可運(yùn)行Windows 2000/XP/Windows2003的系統(tǒng)系統(tǒng)環(huán)境：操作系統(tǒng)支持JDK1.4.2以上版本，支持IE6.0證書存儲(chǔ)介質(zhì)：符合MS CryptoAPI CSP接口標(biāo)準(zhǔn)的USB Key，支持對(duì)稱及非對(duì)稱算法。GFA CA系統(tǒng)版產(chǎn)品概述G

25、FA CA系統(tǒng)版的證書設(shè)計(jì)容量為1萬張以下，發(fā)證量需求較小，設(shè)備成本投入低，安全與管理需求簡(jiǎn)單，主要面向中小企業(yè)用戶，一般在企業(yè)內(nèi)網(wǎng)里實(shí)施部署。系統(tǒng)版CA 是一套完整的CA 系統(tǒng)，在系統(tǒng)結(jié)構(gòu)上和企業(yè)CA完全一致提供了完備的證書管理功能。技術(shù)規(guī)格系統(tǒng)支持LINUX/UNIX、windows等多種操作系統(tǒng)平臺(tái)，支持ORACLE、sqlserver、mysql等多種數(shù)據(jù)庫平臺(tái)，支持多種加密卡，提高了系統(tǒng)及平臺(tái)的通用性及兼容性。KM系統(tǒng)作為CA的一個(gè)內(nèi)嵌模塊集成于CA系統(tǒng)內(nèi)部，支持單CA，單RA的部署模式。允許CA超級(jí)管理員不但可以管理CA簽發(fā)模塊，同時(shí)可以管理KM模塊和RA系統(tǒng)管理模塊，不再另設(shè)立K

26、M管理員和RA超級(jí)管理員。系統(tǒng)采用單層根證書體系，支持多個(gè)LA受理點(diǎn)對(duì)用戶的管理。支持CSP模式簽發(fā)證書，支持雙證書的簽發(fā)，實(shí)現(xiàn)無縫接入新的證書介質(zhì)。支持CSP模式簽發(fā)證書，實(shí)現(xiàn)無縫接入新的證書介質(zhì)。CA端采用C/S設(shè)計(jì)模式，RA端采用B/S設(shè)計(jì)模式。啟用安全加密傳輸，客戶端訪問服務(wù)器的數(shù)據(jù)均通過SSL加密通道進(jìn)行傳輸。產(chǎn)品優(yōu)勢(shì)建設(shè)周期短，強(qiáng)大易用的部署向?qū)椭脩艨焖龠M(jìn)行產(chǎn)品部署，使用簡(jiǎn)單，上手快。整個(gè)系統(tǒng)以輕量級(jí)容器為核心，實(shí)用性、可維護(hù)性強(qiáng)。CA、RA服務(wù)端部署于一臺(tái)服務(wù)器上，降低用戶投入?；贐/S 結(jié)構(gòu)的管理界面，客戶端與服務(wù)器端雙向身份認(rèn)證，內(nèi)嵌Web Sever，采用https

27、安全遠(yuǎn)程管理機(jī)制進(jìn)行安全登錄，實(shí)現(xiàn)對(duì)合法用戶的身份確認(rèn)，對(duì)非法用戶的過濾。證書存儲(chǔ)在電子鑰匙內(nèi)，安全易用，可以隨時(shí)在不同的計(jì)算機(jī)上使用，不受地域、計(jì)算機(jī)的限制，可隨身攜帶。證書不僅適用于企業(yè)內(nèi)部系統(tǒng)，供內(nèi)部員工使用，還可提供企業(yè)外部的各類用戶，極大提高了證書的權(quán)威度和適用范圍。為應(yīng)用系統(tǒng)提供可供第三方應(yīng)用開發(fā)的接口模塊，如簽名、加密、證書驗(yàn)證、安全登錄等。支持多家廠商的電子鑰匙存儲(chǔ)介質(zhì)，并且可以自動(dòng)擴(kuò)展。運(yùn)行環(huán)境服務(wù)端、RA服務(wù)端系統(tǒng)運(yùn)行環(huán)境操作系統(tǒng)：Linux、unix、windows2003等。數(shù)據(jù)庫：oracle、mysql、sqlserver等。應(yīng)用服務(wù)器：oracle IAS、web

28、logic等。WEB 服務(wù)器：Apache 5等。加密卡：濟(jì)南得安計(jì)算機(jī)技術(shù)有限公司的SJY03-B密碼卡客戶端環(huán)境：操作系統(tǒng)：PC/Intel體系，任何可運(yùn)行Windows 2000/XP/Windows2003的系統(tǒng)系統(tǒng)環(huán)境：操作系統(tǒng)支持JDK1.4.2以上版本，支持IE6.0證書存儲(chǔ)介質(zhì)：符合MS CryptoAPI CSP接口標(biāo)準(zhǔn)的USB Key，支持對(duì)稱及非對(duì)稱算法。附錄一 關(guān)于國富安公司北京國富安電子商務(wù)安全認(rèn)證有限公司（簡(jiǎn)稱北京國富安）成立于1998年12月，是商務(wù)部中國國際電子商務(wù)中心（CIECC）直屬的專業(yè)提供數(shù)字證書認(rèn)證服務(wù)與信息安全產(chǎn)品服務(wù)的高新技術(shù)企業(yè)，是經(jīng)國家信息產(chǎn)業(yè)

29、部批準(zhǔn)的權(quán)威、可信、公正的專業(yè)提供電子認(rèn)證服務(wù)的第三方電子認(rèn)證服務(wù)機(jī)構(gòu)，是國家部委唯一具有電子認(rèn)證服務(wù)許可資質(zhì)的國有企業(yè)。作為國內(nèi)最早從事PKI/CA安全研究與應(yīng)用研發(fā)的單位，北京國富安主要負(fù)責(zé)建設(shè)、管理、運(yùn)營、維護(hù)國富安證書認(rèn)證中心，通過制作、簽發(fā)、管理電子簽名認(rèn)證證書，為電子簽名人和電子簽名依賴方提供電子認(rèn)證服務(wù)。北京國富安擁有全國32個(gè)省市100家龐大業(yè)務(wù)受理服務(wù)機(jī)構(gòu)，形成國內(nèi)覆蓋面最為廣泛的證書服務(wù)網(wǎng)絡(luò)體系，為用戶就近提供最直接、最便利的面對(duì)面證書申請(qǐng)、制證與支持服務(wù)。北京國富安歷經(jīng)10年發(fā)展，擁有逾30萬家優(yōu)質(zhì)企業(yè)用戶，截止2008年數(shù)字證書發(fā)放量累計(jì)已超過100萬份，處于國內(nèi)領(lǐng)先水

30、平。北京國富安建設(shè)有國際一流水平的安全數(shù)據(jù)中心，擁有中國唯一、世界一流的北京亦莊、東單、廣州三地實(shí)時(shí)備份信息化基礎(chǔ)網(wǎng)絡(luò)環(huán)境，配備有專業(yè)技能的可靠技術(shù)人才與運(yùn)營管理團(tuán)隊(duì)，制訂了標(biāo)準(zhǔn)的認(rèn)證業(yè)務(wù)聲明（CPS），對(duì)外提供多種信任服務(wù)，最大程度保障了CA運(yùn)營的可靠性、穩(wěn)定性以及關(guān)鍵數(shù)據(jù)的安全性。北京國富安依據(jù)其雄厚的資金力量、完備的基礎(chǔ)設(shè)施，優(yōu)越的商務(wù)背景，頂尖的技術(shù)實(shí)力，同時(shí)致力于提供基于PKI/CA技術(shù)的安全應(yīng)用解決方案，承擔(dān)國家諸多課題研究與攻關(guān)項(xiàng)目，提供自主知識(shí)產(chǎn)權(quán)的商用密碼產(chǎn)品，北京國富安依據(jù)其雄厚的資金力量、完備的基礎(chǔ)設(shè)施，優(yōu)越的商務(wù)背景，頂尖的技術(shù)實(shí)力，同時(shí)致力于提供基于PKI/CA技術(shù)的安全應(yīng)用解決方案，承擔(dān)國家諸多課題研究與攻關(guān)項(xiàng)目，提供自主知識(shí)產(chǎn)權(quán)的商用密碼產(chǎn)品。國富安的安全產(chǎn)品與服務(wù)遍及政府以及各個(gè)行業(yè)各個(gè)領(lǐng)域，并獲得中國公安部、中國科技部、中國商務(wù)部、中國密碼管理委員會(huì)、各省市經(jīng)貿(mào)主管部門、特派員辦事處、六大進(jìn)出口商會(huì)、駐外經(jīng)商機(jī)構(gòu)、海關(guān)總署、中共中央企業(yè)工作委員會(huì)、國務(wù)院經(jīng)濟(jì)體制改革辦公室的高度評(píng)價(jià)，也深受了中國建設(shè)銀行總行、中國