BJCA 數(shù)字簽名驗證服務(wù)器白皮書201103

數(shù)字簽名驗證服務(wù)器產(chǎn)品白皮書 二〇一一年三月北京數(shù)字證書認證中心有限公司北京市海淀區(qū)北四環(huán)西路68號雙橋大廈15層TEL：86-10-58045600FAX：86-10-58045678郵政編碼：100080聲明一、本白皮書是數(shù)字簽名驗證服務(wù)器（簡稱DSVS）的技術(shù)說明書。本資料版權(quán)歸北京數(shù)字證書認證中心有限公司所有。白皮書中的任何部分未經(jīng)本公司許可，不得轉(zhuǎn)印、影印或復(fù)印。?2010北京數(shù)字證書認證中心有限公司Allrightsreserved.二、本資料將定期更新，如欲獲取最新相關(guān)信息，請訪問北京數(shù)字證書認證中心有限公司網(wǎng)站。三、您的寶貴意見和建議請發(fā)送至：北京數(shù)字證書認證中心有限公司北京市海淀區(qū)北四環(huán)西路68號雙橋大廈15層（左岸工社）電話(TEL)真(FAX)政編碼：100080電子信箱：marketing@數(shù)字簽名驗證服務(wù)器DSVS產(chǎn)品白皮書PAGEI北京數(shù)字證書認證中心有限公司目錄1 產(chǎn)品概述 12 產(chǎn)品架構(gòu) 13 產(chǎn)品功能 24 產(chǎn)品部署與集成 25 產(chǎn)品規(guī)格 46 產(chǎn)品優(yōu)勢 47 產(chǎn)品資質(zhì) 58 應(yīng)用領(lǐng)域 5數(shù)字簽名驗證服務(wù)器DSVS產(chǎn)品白皮書PAGE6/SECTIONPAGES6北京數(shù)字證書認證中心有限公司產(chǎn)品概述數(shù)字簽名驗證服務(wù)器(以下簡稱DSVS)是由北京數(shù)證書認證中心自主研發(fā)，為應(yīng)用系統(tǒng)提供數(shù)字簽名及驗證服務(wù)的一款多安全功能、高穩(wěn)定性、高性能，并且具備跨平臺、可擴展和快速部署能力的軟硬件集成化安全設(shè)備。該產(chǎn)品可以廣泛應(yīng)用于網(wǎng)上審批、網(wǎng)上辦公、網(wǎng)上銀行、網(wǎng)上證券和網(wǎng)上支付等電子政務(wù)和電子商務(wù)活動中，為業(yè)務(wù)系統(tǒng)提供安全保護。產(chǎn)品架構(gòu)數(shù)字簽名驗證服務(wù)器主要包括簽名驗證核心服務(wù)模塊和安全管理模塊。簽名驗證核心服務(wù)通過應(yīng)用端部署的API，接收應(yīng)用端發(fā)送的簽名服務(wù)請求，并返回簽名或驗證服務(wù)結(jié)果。安全管理以B/S方式提供，管理員可以通過WEB瀏覽器直接對各種證書服務(wù)和系統(tǒng)進行集中管理和配置。圖1產(chǎn)品架構(gòu)圖產(chǎn)品功能數(shù)字簽名驗證服務(wù)器可以為應(yīng)用服務(wù)器提供數(shù)據(jù)簽名、簽名驗證、證書驗證等多種安全功能，具體功能如下：應(yīng)用功能詳細說明身份認證功能實現(xiàn)基于數(shù)字證書的身份認證，支持不同CA的證書驗證，提供CRL/OCSP等多種方式的證書有效性驗證。數(shù)據(jù)簽名與簽名驗證提供PKCS1/PKCS7attach/PKCS7detach/XMLSign等多種格式的數(shù)字簽名和數(shù)字簽名驗證功能文件簽名與驗證對文件提供數(shù)字簽名和數(shù)字簽名驗證功能動態(tài)黑名單功能可以自動更新黑名單，采用動態(tài)更新方式，無需重啟服務(wù)其他功能詳細說明系統(tǒng)備份恢復(fù)功能產(chǎn)品可以備份當前系統(tǒng)所有配置，保證系統(tǒng)癱瘓時的快速恢復(fù)日志記錄和發(fā)送功能DSVS可以自行記錄日志，也可以將日志以SYSLOG的方式發(fā)送到指定服務(wù)器產(chǎn)品部署與集成DSVS部署在業(yè)務(wù)系統(tǒng)服務(wù)端安全域中，配置相互獨立的核心服務(wù)網(wǎng)絡(luò)接口和WEB管理服務(wù)網(wǎng)絡(luò)接口，分別用于簽名驗證服務(wù)和后臺管理服務(wù)，可以有效避免外界攻擊。下圖為典型的產(chǎn)品部署網(wǎng)絡(luò)拓撲圖，DSVS可以同時為多個WEB應(yīng)用系統(tǒng)提供服務(wù)，如果采用雙機并行方式，簽名效率可以提升將近一倍。圖2典型部署區(qū)別于傳統(tǒng)的證書應(yīng)用中間件，數(shù)字簽名驗證服務(wù)器將安全組件、密碼運算庫統(tǒng)一封裝在硬件平臺內(nèi)，大幅降低了集成工作的復(fù)雜性，使產(chǎn)品具備了快速部署應(yīng)用的能力。DSVS實現(xiàn)安全應(yīng)用集成主要工作如下：BJCA提供產(chǎn)品和集成所需要的演示環(huán)境Demo、接口說明、測試證書等；根據(jù)業(yè)務(wù)需求，應(yīng)用系統(tǒng)開發(fā)商對相應(yīng)頁面進行改造，調(diào)用對應(yīng)的安全組件接口，實現(xiàn)簽名驗簽等功能。所涉及的改造工作主要體現(xiàn)在系統(tǒng)登錄、數(shù)據(jù)加密和數(shù)據(jù)簽名等常見應(yīng)用環(huán)節(jié)上。BJCA為應(yīng)用系統(tǒng)開發(fā)人員提供技術(shù)支持，協(xié)助完成系統(tǒng)的安全整合。應(yīng)用集成完成后，需要進行應(yīng)用系統(tǒng)測試，確保系統(tǒng)集成數(shù)字簽名驗證應(yīng)用功能的可用性和有效性。產(chǎn)品規(guī)格為滿足客戶不同的需求，數(shù)字簽名驗證服務(wù)器分為DSVS2000(低端)、DSVS4000（高端）兩款款硬件型號：型號DSVS2000DSVS4000設(shè)備高度2U2U尺寸規(guī)格427x380x86mm447x500x86mm網(wǎng)絡(luò)接口2x1000M2x1000M電源指標1個350W工控電源1個350W工控電源+1個400w冗余電源功耗230W230W簽名能力1600次/秒3000次/秒驗簽?zāi)芰?000次/秒8000次/秒運行環(huán)境Windowsserver;Linux；aix；Solaris；UnixWindowsserver;Linux；aix；Solaris；Unix支持應(yīng)用接口Java、COM、CJava、COM、C支持算法標準3DES、AES、RSA3DES、AES、RSA工作溫度0°C0°C工作濕度5%--95%RH，不凝結(jié)5%--95%RH，不凝結(jié)產(chǎn)品優(yōu)勢合法性：采用權(quán)威第三方認證機構(gòu)頒發(fā)的數(shù)字證書，符合《電子簽名法》高性能、高可用性：高端型號簽名能力≥3000次/秒，驗簽?zāi)芰Α?000次/秒；DSVS支持雙機并行，可大幅度提高簽名效率；簡單易用：DSVS所有管理操作均采用Web方式，操作簡單方便；具備備份和恢復(fù)功能，保證系統(tǒng)癱瘓后能夠快速恢復(fù)；強大的應(yīng)用支撐：面向應(yīng)用系統(tǒng)提供C開發(fā)API，COM開發(fā)API，Java開發(fā)API等主流開發(fā)API，方便開發(fā)者調(diào)用；支持原文數(shù)據(jù)簽名、文件簽名、哈希后簽名及PKCS#7、XML簽名等多種格式的數(shù)字簽名及驗證；產(chǎn)品資質(zhì)公安部信息安全產(chǎn)品檢測中心出具的檢測報告公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局出具的銷售許可證中華人民共和國國家版權(quán)局出具的計算機軟件著作權(quán)登記證應(yīng)用領(lǐng)域DSVS具有廣泛的應(yīng)用領(lǐng)域，適用于網(wǎng)上辦公、網(wǎng)上審批、網(wǎng)上銀行、網(wǎng)上證券交易、網(wǎng)上醫(yī)療、網(wǎng)上購物、電子報關(guān)、電子報