鷹眼安全網(wǎng)關(guān)白皮書

鷹眼安全網(wǎng)關(guān)鷹眼安全網(wǎng)關(guān)技術(shù)白皮書目錄TOC\o"1-3"\h\z1 前言 32 基于web的應(yīng)用的安全需求分析 33 SSL安全通信 44 鷹眼安全網(wǎng)關(guān)解決的安全問題 55 適用范圍 56 產(chǎn)品特點(diǎn)及優(yōu)勢 66.1 安全性： 66.2 對設(shè)備的管理 66.3 性能 66.4 可擴(kuò)展性 66.5 易用性 76.6 部署 76.7 應(yīng)用性 77 產(chǎn)品典型接入模式 77.1 隔離模式。 77.2 共享模式。 88 網(wǎng)關(guān)設(shè)備使用流程 98.1 安裝設(shè)備。 98.2 連接管理控制臺。 98.3 配置后臺Web服務(wù)器 99 產(chǎn)品配置 109.1 配置及功能 109.2 能夠代理的服務(wù)器類型： 1010 主要技術(shù)指標(biāo) 1110.1 支持國際通用標(biāo)準(zhǔn) 1110.2 系統(tǒng)運(yùn)行環(huán)境 1111 典型案例 1112 鷹眼安全網(wǎng)關(guān)的安全性的評估 1113 鷹眼安全網(wǎng)關(guān)用戶管理中心技術(shù)白皮書 1213.1 前言 1213.2 公開密鑰基礎(chǔ)設(shè)施（PKI） 1313.3 鷹眼安全網(wǎng)關(guān)用戶管理中心 1413.3.1 產(chǎn)品簡介 1413.3.2 產(chǎn)品組成和結(jié)構(gòu) 1413.3.3 產(chǎn)品技術(shù)特點(diǎn) 1513.3.4 產(chǎn)品功能描述 1613.4 系統(tǒng)性能指標(biāo) 2113.5 應(yīng)用案例 21

容易被猜測、可以被共享、口令以明文的方式經(jīng)過網(wǎng)絡(luò)傳輸，容易被截獲。身份認(rèn)證是首要的安全措施，其它的安全措施都是在經(jīng)過認(rèn)證的用戶的真實(shí)身份的基礎(chǔ)上實(shí)施的。數(shù)據(jù)保密：為了防止未經(jīng)授權(quán)的用戶截取網(wǎng)絡(luò)上的數(shù)據(jù)，需要一種手段來對數(shù)據(jù)進(jìn)行保密。數(shù)據(jù)加密就是用來實(shí)現(xiàn)這一目標(biāo)的。數(shù)據(jù)完整性：需要一種方法來確認(rèn)送到網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。數(shù)據(jù)加密和校驗被用來實(shí)現(xiàn)這一目標(biāo)。審計記錄：所有信息訪問活動應(yīng)該有記錄，這種記錄要針對用戶來進(jìn)行，可以實(shí)現(xiàn)統(tǒng)計、跟蹤等功能。SSL安全通信SSL協(xié)議是由Netscape公司首先提出的一種安全協(xié)議，SSL采用TCP作為傳輸協(xié)議，從而為數(shù)據(jù)的傳送和接收提供了可靠性；它工作在Socket層上，因此獨(dú)立于更高層的應(yīng)用，可為更高層的協(xié)議，如TELNET、FTP和HTTP等提供安全服務(wù)。SSL利用公鑰和單鑰密碼體制，為服務(wù)器和客戶機(jī)之間的通信提供保密性、數(shù)據(jù)完整性和可認(rèn)證性等安全服務(wù)。SSL安全通信流程如下：ClientServerClientHello>ServerHelloCertificate*ServerKeyExchange*CertificateRequest*<ServerHelloDoneCertificate*ClientKeyExchangeCertificateVerify*[ChangeCipherSpec]Finished>[ChangeCipherSpec]<FinishedApplicationData<>ApplicationDataSSL協(xié)議使用公鑰密碼體制實(shí)現(xiàn)客戶端和服務(wù)器之間的雙向身份認(rèn)證和數(shù)據(jù)加密密鑰的協(xié)商，使用單鑰密碼體制和哈希密碼實(shí)現(xiàn)通信數(shù)據(jù)的加密和完整性保護(hù)。鷹眼安全網(wǎng)關(guān)解決的安全問題Web遠(yuǎn)程用戶使用USBKey（數(shù)字證書憑證）硬件介質(zhì)的雙因子（憑證及口令）安全身份認(rèn)證。Web遠(yuǎn)程用戶到代理設(shè)備的通信進(jìn)行SSL全程加密。對訪問企業(yè)/政府/軍事部門內(nèi)部所有web應(yīng)用程序及資源的遠(yuǎn)程用戶進(jìn)行集中認(rèn)證/授權(quán)管理。對訪問敏感資源的用戶行為的審計。屏蔽對web應(yīng)用服務(wù)器的攻擊。適用范圍企業(yè)或政府/軍事部門的內(nèi)部網(wǎng)/外部網(wǎng)：確保核心資源的安全管理和訪問。企業(yè)對客戶（B2C）和企業(yè)對企業(yè)（B2B）的基于Web的應(yīng)用系統(tǒng)：確?？蛻魯?shù)據(jù)、企業(yè)間共享數(shù)據(jù)等遠(yuǎn)程安全訪問。產(chǎn)品特點(diǎn)及優(yōu)勢安全性：消除了企業(yè)或政府/軍事部門內(nèi)部局域網(wǎng)和外部用戶之間的網(wǎng)絡(luò)通信的安全因素。USBKey（數(shù)字證書憑證）硬件介質(zhì)進(jìn)行雙因子（憑證及口令）安全身份認(rèn)證。所有的Web服務(wù)器都可以實(shí)現(xiàn)SSL安全通信。通過審計跟蹤用戶對敏感信息的訪問。通過上傳服務(wù)器證書及連接證書吊銷列表保證數(shù)字證書憑證的有效性。通過在鷹眼安全網(wǎng)關(guān)上關(guān)閉除443和80以外的所有端口，阻止對web應(yīng)用服務(wù)器的遠(yuǎn)程攻擊。對設(shè)備的管理基于Web的管理。管理員管理網(wǎng)關(guān)設(shè)備時需出示數(shù)字證書憑證。性能高端系列具有SSL加速性能，每秒鐘能同時建立200個以上HTTPS連接。目前網(wǎng)絡(luò)支持10M/100M。高端系列將支持1000M?？蓴U(kuò)展性可選擇安裝防火墻功能模塊。即本設(shè)備可進(jìn)行端口轉(zhuǎn)發(fā)。易用性只需在防火墻開通80及443端口?？蛻舳丝芍苯影惭b使用，不需額外的配置。簡單的配置SSL。不會和已經(jīng)存在的體系結(jié)構(gòu)發(fā)生沖突。部署可根據(jù)不同的網(wǎng)絡(luò)環(huán)境進(jìn)行多種接入。通過單個Internet地址訪問多個服務(wù)器。應(yīng)用性將來可擴(kuò)展對SMTP、POP3、IMAP等的代理。將來可擴(kuò)展應(yīng)用程序WEB化：在不改變原有的C/S模式下，加入本產(chǎn)品，能自動將其轉(zhuǎn)化成B/S模式。產(chǎn)品典型接入模式隔離模式。如圖1。圖1共享模式。如圖2。圖2網(wǎng)關(guān)設(shè)備使用流程安裝設(shè)備。按具體網(wǎng)絡(luò)環(huán)境進(jìn)行網(wǎng)絡(luò)接線。連接管理控制臺。需要：一個有網(wǎng)卡的PC機(jī)。PC機(jī)需要安裝IE5.5及以上版本的瀏覽器。有八根線的帶有RJ45連接頭的交叉電纜。利用該線把代理設(shè)備與管理控制臺PC機(jī)連接起來。把交叉電纜的一端連接到管理控制臺的網(wǎng)卡接口上，另一端接到代理設(shè)備的LAN端口。修改管理控制臺PC機(jī)的IP地址為。子網(wǎng)掩碼為。通過管理界面修改代理設(shè)備的WAN的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)。修改LAN的IP地址以適應(yīng)局域網(wǎng)。修改了LAN的IP地址后，管理控制臺PC機(jī)可接入到LAN所在的網(wǎng)絡(luò)，且其IP地址也要修改成對應(yīng)的網(wǎng)段。配置后臺Web服務(wù)器管理控制臺通過新的代理設(shè)備LAN的IP地址進(jìn)入管理界面配置后臺需代理的Web服務(wù)器。代理設(shè)備以三種模式代理后臺的Web服務(wù)器：普通Web服務(wù)器。即代理設(shè)備與外部客戶端的連接是名問方式，缺省是80端口。有用戶認(rèn)證、傳輸加密但無訪問控制的Web服務(wù)器。缺省是443端口。有用戶認(rèn)證、傳輸加密有訪問控制功能作為一個將來的擴(kuò)展功能。產(chǎn)品配置配置及功能有客戶程序。在實(shí)際使用中如果不需要專用加密設(shè)備及USBKey硬件身份設(shè)備，則可以不需要客戶程序。代理設(shè)備具有以下功能：對代理設(shè)備主機(jī)網(wǎng)關(guān)、對內(nèi)、對外IP地址的修改。服務(wù)停止、啟動。系統(tǒng)關(guān)閉。添加、刪除、修改后臺被代理的服務(wù)器。代理設(shè)備的證書、私鑰的上傳。私鑰保護(hù)口令的更改。自動或手動加載證書吊銷列表。用戶訪問及管理員管理操作的審計。本設(shè)備只針對HTTP/HTTPS端口的簡單防火墻設(shè)置管理。能夠代理的服務(wù)器類型：普通Web服務(wù)器。即代理設(shè)備與外部客戶端的連接是名問方式，缺省是80端口。有用戶認(rèn)證、傳輸加密但無基于角色的訪問控制的Web服務(wù)器。缺省是443端口。主要技術(shù)指標(biāo)

支持國際通用標(biāo)準(zhǔn)本系統(tǒng)遵循X.509、PKCS、PKIx、SSL/TLS和HTTP/1.1等標(biāo)準(zhǔn)，可以接收任何基于上述標(biāo)準(zhǔn)的數(shù)字證書和數(shù)字簽名。它支持的RSA簽名算法密鑰長度可達(dá)2048位以上。系統(tǒng)運(yùn)行環(huán)境配合使用的鷹眼安全網(wǎng)關(guān)客戶程序支持Win2000/XP。典型案例某單位因其工作性質(zhì)，其辦公信息系統(tǒng)的用戶既有國內(nèi)內(nèi)部用戶（在一個大院內(nèi)），又有國內(nèi)外地用戶（分布在國內(nèi)其它城市的分部），還有國外的分部用戶。其需求是：保證國外分社用戶訪問辦公信息系統(tǒng)時，信息加密傳輸，強(qiáng)制性使用https協(xié)議；國內(nèi)分社用戶、本部用戶明文訪問辦公信息系統(tǒng)，使用http協(xié)議。這樣，鷹眼安全網(wǎng)關(guān)保護(hù)的重點(diǎn)是國外的用戶：1）必須認(rèn)證國內(nèi)服務(wù)器，同時使用數(shù)字證書（存儲在USBKey上）向經(jīng)過認(rèn)證的服務(wù)器證明自己的身份。2）數(shù)據(jù)傳輸必須是加密的。3）對用戶的操作進(jìn)行審計。同時鷹眼安全網(wǎng)關(guān)還有以下功能：攔截所有到來請求，只處理HTTP請求，對指定的網(wǎng)址強(qiáng)制進(jìn)行HTTPS轉(zhuǎn)發(fā)，對后臺其它應(yīng)用進(jìn)行端口轉(zhuǎn)發(fā)。這樣，既能滿足當(dāng)前的安全需求，也能在將來進(jìn)行安全擴(kuò)充。鷹眼安全網(wǎng)關(guān)的安全性的評估鷹眼安全網(wǎng)關(guān)提供了一個安全性很強(qiáng)的基于嚴(yán)格認(rèn)證的用戶身份進(jìn)行授權(quán)，而不是簡單的基于IP地址。同時具有以下特點(diǎn)：鷹眼安全網(wǎng)關(guān)十分適合于當(dāng)前Intranet/Extranet發(fā)展的主流技術(shù)，即基于Web的應(yīng)用。鷹眼安全網(wǎng)關(guān)是專用的中間設(shè)備，很容易與各種應(yīng)用服務(wù)器整合。鷹眼安全網(wǎng)關(guān)支持基于對稱密鑰和公開密鑰加密機(jī)制。鷹眼安全網(wǎng)關(guān)管理控制臺對地域分布很廣的眾多Web安全配置、管理十分方便。鷹眼安全網(wǎng)關(guān)安全性采用集中式控制，同時可進(jìn)行遠(yuǎn)程管理。因而，鷹眼安全網(wǎng)關(guān)為用戶提供了易于使用、方便訪問、安全的網(wǎng)絡(luò)環(huán)境及較為完善的安全I(xiàn)nternet/Intranet解決方案。鷹眼安全網(wǎng)關(guān)用戶管理中心技術(shù)白皮書前言隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，許多傳統(tǒng)的工作模式逐漸實(shí)現(xiàn)了電子化，利用先進(jìn)的網(wǎng)絡(luò)技術(shù)不僅可以跨越時間和空間的障礙，還可以帶來提高效率、節(jié)約開支等優(yōu)勢。電子商務(wù)和電子政務(wù)已逐漸成為現(xiàn)代網(wǎng)絡(luò)技術(shù)應(yīng)用的熱點(diǎn)。電子商務(wù)通過大幅度降低交易成本，增加貿(mào)易機(jī)會，簡化貿(mào)易流程，提高貿(mào)易效率，推動著企業(yè)和國民經(jīng)濟(jì)結(jié)構(gòu)的改革。電子商務(wù)是一個新興市場，而且是一種替代傳統(tǒng)商務(wù)活動的新形式。由于電子政務(wù)具有提高行政效率，節(jié)約財政開支，增強(qiáng)政府透明度，拉動信息化投資與消費(fèi)需求，促進(jìn)對外開放，促進(jìn)政府和百姓實(shí)時溝通等優(yōu)點(diǎn)，因此，電子政務(wù)得到了各國政府的響應(yīng)。在Internet上實(shí)現(xiàn)電子商務(wù)交易過程和電子政務(wù)辦公過程，最核心和最關(guān)鍵的問題是保證交易和辦公的安全性。所有依賴于計算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用，就不可避免地存在著由Internet的自由、開放所帶來的信息安全隱患。這些信息安全隱患主要有：身份認(rèn)證

由于非法用戶可以偽造、假冒政府網(wǎng)站、社會團(tuán)體、企業(yè)和個人身份，因此登錄到網(wǎng)上政務(wù)站點(diǎn)的政府內(nèi)部人員、社會團(tuán)體、企業(yè)、個人無法知道他們所登錄的網(wǎng)站是否是可信的政府網(wǎng)站，政府網(wǎng)站也無法驗證登錄到網(wǎng)站上的客戶是否是經(jīng)過政府部門認(rèn)證的合法用戶，非法用戶可以借機(jī)進(jìn)行破壞。"用戶名＋口令"的傳統(tǒng)認(rèn)證方式安全性較弱，用戶口令易被竊取而導(dǎo)致?lián)p失。信息的機(jī)密性

傳輸在各政府部門間、政府與企業(yè)間、外出的領(lǐng)導(dǎo)與辦公室之間的敏感、機(jī)密信息和數(shù)據(jù)有可能在傳輸過程中被非法用戶截取。信息的完整性

敏感、機(jī)密信息和數(shù)據(jù)在傳輸過程中有可能被惡意篡改。信息的不可抵賴性

網(wǎng)上行為一旦被否認(rèn)，政府部門、機(jī)構(gòu)或個人沒有已簽名的記錄來作為仲裁的依據(jù)。如何建立一個安全、便捷的電子商務(wù)和電子政務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護(hù)，已經(jīng)成為當(dāng)前制約電子商務(wù)和電子政務(wù)發(fā)展的主要問題。公開密鑰基礎(chǔ)設(shè)施（PKI）為解決Internet的安全問題，世界各國對其進(jìn)行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI技術(shù)(PublicKeyInfrastructure——公鑰基礎(chǔ)設(shè)施)。PKI（公鑰基礎(chǔ)設(shè)施）技術(shù)采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)——認(rèn)證中心CA(CertificateAuthority)，把用戶的公鑰和用戶的其他標(biāo)識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網(wǎng)上驗證用戶的身份。目前，通用的辦法是采用建立在PKI基礎(chǔ)之上的數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名，保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性，從而保證信息的安全傳輸。身份認(rèn)證Internet上的身份認(rèn)證主要通過數(shù)字證書及其應(yīng)用完成：什么是數(shù)字證書？數(shù)字證書是各類實(shí)體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的身份證明，在電子交易的各個環(huán)節(jié)，交易的各方都需驗證對方證書的有效性，從而解決相互間的信任問題。證書是一個經(jīng)證書認(rèn)證中心數(shù)字簽名的包含公開密鑰從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性；加密證書主要用于對用戶傳送信息進(jìn)行加簡單的說，數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗證機(jī)構(gòu)的數(shù)字簽名可以確保證書信息的真實(shí)性。證書格式及證書現(xiàn)有持證人甲向持證人乙傳送數(shù)字信息，為了保證信息傳送的真實(shí)性、完整性和不可否認(rèn)性，需要對要傳送的信息進(jìn)行數(shù)字加密和數(shù)字簽名，其傳送過程如下：（1）甲準(zhǔn)備好要傳送的數(shù)字信息（明文）（2）甲對數(shù)字信息進(jìn)行哈希（hash）運(yùn)算，得到一個信息摘要。（3）甲用自己的私鑰（SK）對信息摘要進(jìn)行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上。（4）甲隨機(jī)產(chǎn)生一個加密密鑰（DES密鑰），并用此密鑰對要發(fā)送的信息進(jìn)行加密，形成密文。（5）甲用乙的公鑰（PK）對剛才隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的DES密鑰連同密文一起傳送給乙。（6）乙收到甲傳送過來的密文和加過密的DES密鑰，先用自己的私鑰（SK）對加密的DES密鑰進(jìn)行解密，得到DES密鑰。（7）乙然后用DES密鑰對收到的密文進(jìn)行解密，得到明文的數(shù)字信息，然后將DES密鑰拋棄（即DES密鑰作廢）。（8）乙用甲的公鑰（PK）對甲的數(shù)字簽名進(jìn)行解密，得到信息摘要。（9）乙用相同的hash算法對收到的明文再進(jìn)行一次hash運(yùn)算，得到一個新的信息摘要。（10）乙將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說明收到的信息沒有被修改過。鷹眼安全網(wǎng)關(guān)用戶管理中心產(chǎn)品簡介成都三零盛安信息系統(tǒng)有限公司自主研發(fā)的鷹眼安全網(wǎng)關(guān)用戶管理中心是一套基于PKI技術(shù)實(shí)現(xiàn)的，用于在網(wǎng)絡(luò)中建立安全基礎(chǔ)設(shè)施的軟件系統(tǒng)。可以為網(wǎng)絡(luò)中各類用戶和服務(wù)器發(fā)放不同類型的數(shù)字證書，提供集中的用戶管理，為應(yīng)用系統(tǒng)實(shí)現(xiàn)身份認(rèn)證、數(shù)字簽名等安全應(yīng)用提供統(tǒng)一的編程接口。產(chǎn)品組成和結(jié)構(gòu)鷹眼安全網(wǎng)關(guān)用戶管理中心由三部分組成：證書生成中心證書存儲數(shù)據(jù)庫證書發(fā)布數(shù)據(jù)庫三部分結(jié)構(gòu)關(guān)系如下圖所示。證書生成中心（CA）：系統(tǒng)的核心部分。負(fù)責(zé)簽發(fā)和管理用戶、服務(wù)器各類證書及證書吊銷列表CRL，把簽發(fā)的所有證書及CRL發(fā)布到證書存儲數(shù)據(jù)庫和證書發(fā)布數(shù)據(jù)庫。證書存儲數(shù)據(jù)庫：保存證書生成中心簽發(fā)的所有證書及CRL，為證書生成中心提供查詢、下載等證書管理。證書發(fā)布數(shù)據(jù)庫：保存證書生成中心簽發(fā)的所有證書及CRL，使用LDAP協(xié)議為網(wǎng)絡(luò)中其它所有應(yīng)用系統(tǒng)提供證書的查詢、下載服務(wù)。產(chǎn)品技術(shù)特點(diǎn)自身安全性鷹眼安全網(wǎng)關(guān)用戶管理中心在設(shè)計和開發(fā)時充分考慮了自身系統(tǒng)的安全，結(jié)構(gòu)化的設(shè)計可以使證書簽發(fā)和證書存儲相互獨(dú)立；證書生成中心和證書存儲數(shù)據(jù)庫之間的數(shù)據(jù)傳輸使用了加密保護(hù)，確保數(shù)據(jù)在傳輸過程中的安全；除了進(jìn)行簽發(fā)證書時，其它時間里證書發(fā)布數(shù)據(jù)庫和證書生成中心是物理斷開的。實(shí)現(xiàn)標(biāo)準(zhǔn)化鷹眼安全網(wǎng)關(guān)用戶管理中心完全基于PKI技術(shù)實(shí)現(xiàn)，支持和遵循以下PKI標(biāo)準(zhǔn)：X509V3標(biāo)準(zhǔn)PKCS#1RSA加密標(biāo)準(zhǔn)PKCS#6可擴(kuò)展證書語法標(biāo)準(zhǔn)PKCS#7消息封裝標(biāo)準(zhǔn)PKCS#8私鑰信息語法標(biāo)準(zhǔn)PKCS#10證書請求語法標(biāo)準(zhǔn)PKCS#12證書封裝格式LDAP標(biāo)準(zhǔn)多種密碼算法鷹眼安全網(wǎng)關(guān)用戶管理中心支持多種對稱和非對稱密碼算法，用于產(chǎn)生非對稱密鑰對的密碼算法有RSA和DSA；用于數(shù)據(jù)加密的密碼算法有DES、3DES和IDEA。多種證書格式鷹眼安全網(wǎng)關(guān)用戶管理中心可以為服務(wù)器和用戶簽發(fā)多種編碼格式和封裝格式的數(shù)字證書，支持的編碼格式有PEM格式和DER格式，支持的封裝格式有CRT和P12等。多種證書存儲介質(zhì)由證書生成中心簽發(fā)的用戶證書可以寫入多種存儲介質(zhì)中，支持的存儲介質(zhì)有本地硬盤、USB-key和IC卡?？蓴U(kuò)展性支持使用第三方密碼算法和密碼設(shè)備（如密鑰生成設(shè)備）。易用性基于windows平臺的純圖形化操作界面，使系統(tǒng)的管理和使用簡單易用。豐富的編程開發(fā)接口應(yīng)用程序使用開發(fā)接口可以使用系統(tǒng)中的用戶信息和證書信息。產(chǎn)品功能描述鷹眼安全網(wǎng)關(guān)用戶管理中心提供的主要功能如下：1．證書簽發(fā)證書簽發(fā)功能包括創(chuàng)建根CA證書、簽署證書、申請證書、發(fā)布證書和發(fā)布吊銷列表。創(chuàng)建根CA證書使用證書生成功能創(chuàng)建一個自簽名的根證書，作為鷹眼安全網(wǎng)關(guān)用戶管理中心的信任權(quán)威。簽署證書接收證書簽署請求，用根CA私鑰對證書簽署請求中的公鑰信息做簽名，并生成證書。申請證書由鷹眼安全網(wǎng)關(guān)用戶管理中心生成密鑰對，用根CA對公鑰簽名，生成新的證書。發(fā)布證書把證書發(fā)布到證書存儲數(shù)據(jù)庫和證書發(fā)布數(shù)據(jù)庫。發(fā)布吊銷列表把新的證書吊銷列表發(fā)布到證書存儲數(shù)據(jù)庫和證書發(fā)布數(shù)據(jù)庫。證書簽發(fā)操作創(chuàng)建根CA證書簽署證書申請證書2．證書管理證書管理功能包括：證書查詢、證書吊銷、證書恢復(fù)和證書驗證。證書查詢支持多種條件查詢和模糊查詢，可以從證書存儲