吉大正元电子证书认证系统SRQ05v5.0技术白皮书.doc

JIT SRQ05 v5 0 技术白皮书 Version 5 0 有意见请寄 info 中国 北京市海淀区知春路 113 号银网中心 B 座 12 层 电话 86 010 62618866 传真 86 010 82610068 吉大正元信息技术股份有限公司 内容目录 1 PKI 技术介绍 1 1 1 PKI 公钥体系 1 1 2 CA 认证机构 1 1 3 数字证书 2 2 JIT SRQ05 5 0 概述 3 2 1 产品简介 3 2 2 产品组成 3 3 技术特点 5 3 1 丰富完备的功能 5 3 2 部署灵活 操作简单 6 3 3 完全基于 PKI 标准 6 3 4 系统平台的高安全性 7 3 5 稳定的性能保证系统的高可用性 8 3 6 广泛的平台兼容性 8 3 7 系统架构的可扩展性 8 3 8 良好的易用性与安全清晰的管理模式 9 3 9 应用平台的开放性 10 4 功能简介 10 4 1 认证中心 CASERVER 10 4 1 1 证书管理 10 4 1 2 模板管理 12 4 1 3 权限管理 14 4 1 4 审计管理 15 4 1 5 数据归档 15 4 2 注册中心 RASERVER 16 4 2 1 证书管理 16 4 2 2 证书审核 17 4 2 3 权限管理 18 4 2 4 系统管理 19 4 2 5 审计管理 19 4 2 6 证书统计 20 4 2 7 批量申请和制证 20 4 3 密钥管理中心 KMSERVER 20 4 3 1 密钥管理 20 4 3 2 CA 机构管理 21 4 3 3 权限管理 22 4 3 4 密钥恢复与司法取证 23 4 3 5 审计管理 24 4 4 在线证书状态查询系统 OCSPSERVER 25 5 产品运行环境 25 5 1 硬件环境 25 5 2 软件环境 26 1 PKI 技术介绍 1 1 PKI 公钥体系 PKI 公钥体系采用数字证书的方式管理公钥 通过第三方可信任机构 证书 机构把用户的公钥和用户的其他标识信息 如名称 身份证号码 e mail 地址 等 捆绑在一起 实现在网络虚拟空间对用户身份的可信管理 通过采用 PKI 公钥体系实现对密钥的管理 可以建立一个安全可信的网络 环境 实现针对用户身份的鉴别 满足对信息的保密性 完整性 不可抵赖性 保护的需求 1 2 CA 认证机构 PKI 公钥体系采用数字证书的方式管理公钥 通过第三方可信任机构 CA 认证机构来管理证书 CA 认证机构的作用类似于国家的护照签发中心 护照 是由权威中心 护照签发中心 颁发的一种安全文件 它是护照持有者的一种 纸质身份证明 任何信任该国护照签发中心的其他国家也会信任该国护照签发 中心所签发的护照 数字证书是由权威中心 CA 认证机构 签发的一种电子安全 文件 它是数字证书持有者的一种电子版身份证明 任何信任该 CA 中心的所 有用户也会信任该 CA 中心所签发的数字证书 进而确定证书持有者在网络虚 拟空间中的身份 CA 认证机构的职责归纳如下 验证并标识证书申请者的身份 确保 CA 用于签发证书的非对称密钥的质量 确保整个签证过程的安全性 确保签名私钥的安全性 证书资料的管理 包括公钥证书序列号 CA 标识等 的管理 确定并验证证书的有效期限 确保证书主体标识的唯一性 发布并维护证书注销列表 CRL 对整个证书签发过程作日志纪录 向申请人发出通知 为用户签发数字证书 1 3 数字证书 数字证书是表识网络用户身份信息的一系列数据 用来在网络通讯中识别 通讯各方的身份 即要在虚拟的网络空间中解决 我是谁 的问题 就如同现实 中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样 以表明 我们的身份或某种资格 数字证书通常包含有唯一标识证书所有者的名称 唯 一标识证书发布者的名称 证书所有者的公开密钥 证书发布者的数字签名 证书的有效期及证书的序列号等 数字证书是由权威公正的第三方机构即 CA 认证机构签发 以加密技术对网 络上传输的信息进行加密和解密 数字签名和签名验证 确保网上传递信息的 机密性 完整性 以及操作实体身份的真实性 签名信息的不可否认性 从而 保障网络应用的安全性 数字证书可用于 发送安全电子邮件 访问安全站点 网上证券 网上招标采购 网上签约 网上办公 网上缴费 网上税务等网上 安全电子事务处理和安全电子交易活动 数字证书的格式需要遵循国际电话与电报咨询委员会 CCITT 制定的的 X 509 标准 在这个标准规定数字证书必须包含的一些信息 如版本号 序列 号 签名算法 有效期限以及相关的扩展域信息等 2 JIT SRQ05 5 0 概述 2 1 产品简介 吉大正元公司以用户的需求为导向 以雄厚的研发能力为基础 深入吸收国际 国内的先进技术 结合多个项目的实施经验 研制开发了 JIT SRQ05 V5 0 数 字证书管理系统 JIT SRQ05 V5 0 支持通过挂接密钥管理中心 KMC 来管 理用户加密密钥 从而提高了用户加密密钥的安全性和可恢复性 通过支持证 书模板 提高了签发各类型证书的灵活性 此外 JIT SRQ05 5 0 还支持在线证 书状态查询 支持硬件加密设备和多种数据库平台 JIT SRQ05 5 0 数字证书 认证系统产品组件配置灵活 可以根据用户的不同需求进行选择性配置 为用 户量身打造一套安全 稳定 实用 快捷的数字证书管理平台 JIT SRQ05 5 0 吉大正元数字证书认证系统 5 0 是用于数字证书的申请 审核 签发 注销 更新 查询的综合管理系统 颁发的数字证书格式严格遵 循 X 509v3 规范 具有广泛适用性和良好的扩展性 通过部署该系统 可以搭 建出符合政府 行业 第三方 企业需求的认证中心 通过使用 CA Server 5 0 发行的数字证书可以为用户提供信息安全的全面服务 保密性 保证信息是秘密的 完整性 能检验信息未被篡改 身份鉴别 检验个人或机构的身份 不可否定性 确保信息或操作不能被否认 JIT SRQ05 5 0 应用国际先进技术 采用高强度的加密算法 高可靠性的安 全机制及完善的管理及配置策略来保障整个系统的安全 可靠的运行 2 2 产品组成 JIT SRQ05 5 0 吉大正元数字证书认证系统 5 0 由以下几个核心组件组 成 认证中心 CAServer 注册中心 RAServer 密钥管理中心 KMServer 在线证书状态查询服务 OCSPServer 其中认证中心为产品的核心 其他组件围绕认证中心提供更完善的安全解 决方案 R A S e r v e r 管理员 浏览器 系统管理 业务管 理 审计管理 数据库 C A S e r v e r 数据库 L D A P K M C S e r v e r 管理员 浏览器 系统管理 业务管 理 审计管理 管理员 浏览器 系统管理 业务管 理 审计管理 数据库 R A T o o l k i t O C S P S e r v e r 证书应用 证书状态查询 O C S P T o o l k i t 图表 2 1 系统逻辑结构 认证中心 CAServer JIT SRQ05 5 0 的核心 负责数字证书 证书注销列表的管理 注册中心 RAServer 接收并审核用户的申请信息 审核完毕后提交 CAServer 接收 CAServer 的返回信息并通知用户 RA Toolkit 作为 RAServer 的开发工具包向外提供 允许用户根据业务系 统的需要把证书业务功能集成到业务系统中 实现证书功能和业务系统的无缝 集成 密钥管理中心 KMServer 负责用户加密密钥的生成 存储 归档 备份和恢复等管理功能 为 CAServer 签发加密数字证书提供所需密钥 在线证书状态查询服务 OCSPServer JIT SRQ05 5 0 提供在线证书状态查询服务 用户可以实时查询指定证书的 状态信息 OCSP Toolkit 作为开发工具包向外提供 用户使用此 OCSP Toolkit 与 OCSP Server 建立连接 提交证书查询请求并接收解析响应结果 3 技术特点 3 1 丰富完备的功能 丰富的证书业务功能 基于角色的授权管理 支持多级 CA 强大的证书模板功能 所见即所得的自定义功能 自定义证书模板 自定义证书扩展域 支持汉字证书 支持签发微软智能卡登录 Smartcard Logon 证书 支持交叉认证 支持 KMC 密钥管理中心 支持 OCSP 在线证书状态查询 支持可替换的加密模块 以用户为中心的证书管理模式 3 2 部署 灵活 操作简单 系统的设计采用 B S 模式 安装部署工作只需要在服务端进行 部署工作 方便灵活 客户端无需安装任何客户端软件 完全基于浏览器即可完成所有的 管理操作 管理终端与服务器之间采用高强度 SSL 安全连接 采用数字证书对 用户的身份实现管理 另外系统可以根据实际的具体情况来选择对应的组合方式进行部署 比如 CA CA RA CA KMC CA KMC RA OCSP 等 3 3 完全基于 PKI 标准 JIT SRQ05 系统完全遵循 PKI 及相关标准 这样有利于与其它厂商的产品 实现互连 增大证书的适用范围 该系统支持的技术标注列表如下 SRQ05 产品支持的标准 类别 标准 标准内容 加密 SSF33 分组密码算法 数字签名 RSA 数字签名 符合 PKCS 1 V2 0 DSA 符合数字签名标准 美国 FIPS PUB 186 和 ANSIX9 30 第一部分 散列函数 SHA 1 符合美国 FIPS PUB 180 1 和 ANSI X9 30 第二部分 MD5 报文摘要算法 符合因特网 RFC 1321 密钥管理 RSA 密钥传输符合因特网 RFC 1421 和 1423 PEM 和 PKCS 1 V2 0 伪随机数生成符合 ANSIX9 1 对称技术的完整 性 报文验证码 MAC 符合美国 FIPSPUB 113 ANSIX9 9 和 X9 19 1 密码算法和标 准 伪随机数生成 符合 ANSIX9 17 证书和证书注销 列表格式 第 3 版证书和证书扩展 符合 ITU Trec X 509 1997 和公用标准 ISO IEC 9594 8 1997 证书注销表和证书注销表扩展 符合 IETF PKIX 1 概况表技术规范 证书注销表和证书注销表扩展 符合 IETF PKIX 1 概况表技术规范 RSA 算法标识符和公开密钥格式 符合 PEM 和 PKCS 1 V2 0 文件包封格式 基于因特网 RFC 1421 PEM 的标准文 件包封格式 安全文件包封技术 符合 PKCS 7 和 S MIME 目录协议 轻量目录存取协议 LDAP 符合 RFC 1777 2 数据格式和协 议 PKI 操作协议 符合 PKIX 2 图表 3 1 技术标准表 3 4 系统平台的高安全性 通讯安全 系统采用高强度的 SSL 标准安全通信协议 数据安全 数据库 配置文件中的敏感数据采用加密方式保存 提供完备的数据备份 及恢复的手段 人员安全 采用基于数字证书的身份验证机制 管理员使用 X 509 证书进行登录管理 管理员的管理权限与其证书进行绑定 分布式权限管理 管理员间权限分离 某一管理员只管理某一部分功能并 受其他管理员监督 完善的审计手段 系统提供对所有业务情况的详尽记录和查询手段 3 5 稳定的性能保证系统的高可用性 高性能 整个系统采用先进的设计架构 整个系统的性能十分优异 经过测试 在 普通硬件平台上系统单机的并发请求处理能力达到 300 以上 在 300 并发压力 的情况下 处理能力能保持在每秒签发 70 张以上的证书 并保持 100 的成功 率 高可用性 系统所有组件 CA KMC RA OCSP 均支持集群部署和负载均衡技术 在正常运行的情况下 可以通过增加负载均衡的服务器 平滑扩展性能 3 6 广泛的平台兼容性 灵活可配置的密码模块 提供对加密机 加密卡 智能卡 USB 等多种加密设备的支持 支持多种数据库产品 系统数据中心模块采用基于 JDBC 标准的数据操作服务 可挂接不同的数 据库产品 包括 Oracle SQL Server DB2 等数据库产品 支持多种目录服务产品 系统支持基于 LDAPv3 标准协议的目录服务 符合此标准的目录服务产品 均可直接挂接到系统中 支持多种操作系统平台 JIT SRQ05 5 0 可以支持多种操作系统 包括 Windows Linux AIX Solaris HP UX 3 7 系统架构的可扩展性 作为实现用户身份可信管理的支撑平台 PKI 系统必须具有良好的扩展性 能够满足不断呈现的各类需求 实现与各类应用系统的整合和扩展 JIT SRQ05 5 0 在设计时充分考虑了系统的扩展性 系统的扩展性主要表现如下 模块化设计 系统采用分布式 可拆装的系统模块化设计 可替换 可重组的系统构架 支持与其它应用系统互操作 所有系统中只有核心服务器承担着真正的运行与管理任务 其它模块可随 组织的发展需要逐步挂接到系统中 通过提供 API 接口的手段为用户提供二次开发能力 支持多级 CA 及交叉认证 可根据需要建立无限制多级的 CA 并通过交叉认证实现和其他 CA 系统之 间的互联互通 支持用户自定义项目 CA Server 系统内置有十几种标准证书模板及标准证书扩展域 能够满足大 多数的证书签发需求 系统同时支持自定义证书模板和自定义扩展域 可以满 足不同应用的特殊需求 用户可以定制出符合自己实际需求的证书签发模板 3 8 良好的易用性与安全清晰的管理模式 客户端基于浏览器进行访问 通过简单的点击即可完成一次业务操作 页 面内容清晰简洁 操作人员易于使用 系统采用安全清晰的管理模式 基于角色进行管理权限的定制和分配 管理权限与管理员证书进行绑定 通过证书验证管理员身份 各产品组件采用风格统一的管理界面和流程能显著降低管理负担 3 9 应用平台的开放性 在设计和开发过程中完全遵循国际开放标准 够很方便地与第三方产品进 行集成 与其它系统互操作 对外提供 RAToolkit 和 OCSPToolkit 等应用开发 API 用户可以使用这些 API 进行二次开发 分别实现与 CAServer 和 OCSPServer 的通信 将用户需要的证书业务嵌入已有的应用系统中 4 功能简介 4 1 认证中心 CAServer CAServer 是吉大正元数字证书认证系统的核心 负责所有证书的签发 注 销以及证书注销列表的签发等管理功能 4 1 1证书管理 在 CAServer 系统中 只有拥有证书管理角色的管理员才能进行证书管理的 操作 证书管理主要包括证书的申请 下载 发布 申请并下载 更新 更新 并下载 冻结 解冻 授权码更新 证书查询 证书实体查询及证书撤销列表 的发布等操作 证书申请 系统提供基于 WEB 的申请方式 简单易用 帮助用户方便 安全 快捷的 进行证书申请 用户可以根据自己的需要选择相应的证书模板进行证书申请操 作 如果申请成功 系统将返回下载证书所需的凭证 证书签发 对于通过审核的证书申请 CA Server 可以为其签发证书 签发的证书符 合相关标准 并且支持扩展 签发时使用的系统密钥得到高强度的安全保护 系统支持硬件主机加密服务器及 PKCS 11 接口 证书发布 对于签发好的证书 系统进行自动发布 发布方式可以为文件方式或者目 录服务方式 系统支持所有符合 LDAP V3 标准的目录服务 支持主 从目录服 务器机制 证书下载 证书申请通过审核之后 用户可以通过下载凭证安全的下载证书 系统提 供基于 WEB 的下载方式 支持多种加密算法和密钥长度 支持文件 智能卡 USB KEY 等多种存储介质 证书申请并下载 申请并下载证书是为了方便用户 将申请证书和下载证书两项操作一步完 成的功能 证书更新 系统提供证书更新功能 用户可以根据需要对正在使用中的证书进行有效 期的更改 更新成功后 用户可以下载新的证书 证书更新并下载 证书更新并下载是为了方便用户 将证书更新和下载更新后的证书两项操 作一步完成的功能 证书查询 系统提供证书查询功能 用户可以通过查询条件查询出符合条件的证书信 息 支持精确查询 证书下载凭证更新 对一些申请成功但是没有下载的证书 CAServer 可以为用户重新生成下载 凭证 用户使用新的下载凭证进行证书下载 证书注销 用户可以对一些不再使用的证书进行注销操作 注销后的证书不可恢复 系统对于有下列情况之一的用户进行证书注销 密钥泄密 CA 泄密 从属关系变更 证书被取代 操作终止 证书注销列表发布 CAServer 可以根据发布策略定期签发标准格式的证书注销列表 发布方式 可以为文件方式或者目录服务方式 发布周期可以由管理员灵活定制 证书注销列表的发布采用分布点策略 保证证书注销列表的大小在指定的 范围内 方便用户查询和下载 证书冻结 用户可以对一些短期内不会使用的证书进行冻结操作 在冻结期间内证书 被限制不可使用 被冻结的证书可以通过解冻操作恢复使用 证书解冻 证书解冻操作是相对于证书冻结操作的 此操作将冻结的证书解冻 使得 证书可以重新使用 证书实体查询 系统支持证书实体查询功能 用户可以通过查询条件可以查询出符合条件 的证书 并可将证书 公钥证书 保存到本地 4 1 2模板管理 系统引入了证书模板概念 极大的增强了签发不同类型证书的灵活性 系 统内置有十几种标准证书模板及标准证书扩展域 能够满足大多数的证书签发 需求 系统同时支持自定义证书模板和自定义扩展域 用户可以灵活定制各种 证书模板 从而签发出各种满足不同需求的数字证书 如代码签名证书 智能 卡登录证书等 4 1 2 1证书模板管理 证书模板用于定义证书的类别 每一个证书模板定义这一类证书的共同特 点 包括证书的有效期限制 密钥类型和密钥长度 是否需要发布及发布的方 式以及证书中该包含的扩展域及其扩展域的值等信息 可以自定义各种类型的证书模板 并对其加以管理 浏览模板 列出当前系统中定义的所有证书模板的详细信息 添加模板 为系统增加一个证书模板的定义 修改模板 修改系统中已经存在的一个证书模板 删除模板 删除一个已经定义好的但是还没有被使用的证书模板 注销模板 注销已经被使用过的一个证书模板 该证书模板以后将不能再使用 4 1 2 2自定义扩展域管理 用户可以根据自己的实际需要自定义证书扩展域 并应用于证书模板之中 浏览自定义扩展 列出当前系统中定义的所有自定义扩展域 并可以查看详细信息 添加自定义扩展 为系统增加一个自定义扩展域的定义 修改自定义扩展 修改已经存在的一个自定义扩展域 删除自定义扩展 删除一个已经定义好的但是还没有被某个证书模板使用的自定义扩展域 注销自定义扩展 注销已经被使用过的一个自定义扩展域 以后创建证书模板的时候将不再 使用该扩展 4 1 3权限管理 在 CAServer 系统中 对管理员采用基于数字证书的身份验证机制 管理 员的管理权限与其证书进行绑定 系统采用分布式的基于角色的权限管理 管 理员间权限分离 某一管理员只管理某一部分功能并受其他管理员监督 每个管理员的权限信息都包含两部分内容 一部分是管理角色权限 指定 管理员可以进行哪些操作 在 CAServer 中 系统包含的管理角色有 证书管 理角色 模板管理角色 权限管理角色和审计管理角色 一个管理员可以被授 予一个或多个管理角色 以分权的形式对整个系统进行有效管理 另一部分是 管理范围权限 指定管理员可以对哪些证书进行管理 只有具有权限管理角色的管理员才能进行权限管理的操作 才能有权限进 行下面三个 授权管理员权限 修改管理员权限和查询管理员权限 操作 授权管理员 只有未被授权的管理员证书才可以进行 授权管理员权限 操作 授权包 含管理角色权限和管理范围权限两方面的授权 当一个管理员证书进行 授权 管理员权限 操作成功后 就会成为系统的正式管理员 他的权限可以通过 修改管理员权限 操作进行修改 修改管理员 只有被成功授权的管理员才能进行 修改管理员权限 操作 修改管理员 权限时 可以修改管理员的管理角色权限 也可以修改管理员的管理范围权限 删除管理员 进行 查询管理员权限 操作查到的管理员包括已经成功授权的管理员和 未被授权的管理员 4 1 4审计管理 只有具有审计管理角色的管理员才能进行审计管理操作 审计管理包括查 询业务日志和统计证书 查询业务日志 系统支持查询业务日志功能 提供丰富的查询条件与简单易用的查询界面 支持多条件复合查询 查询结果支持按业务操作时间排序 证书统计 系统支持证书统计功能 提供丰富的统计条件与简单易用的统计界面 支 持多条件复合统计 4 1 5数据归档 证书归档 系统支持对已过期长期不用的证书进行归档 以减轻系统负荷 日志归档 系统支持对日志进行归档 以减轻系统负荷 4 2 注册中心 RAServer RAServer 是吉大正元数字证书注册审批系统 是 CAServer 的证书发放 管理等业务的延伸 它负责所有证书申请者的信息录入 审核等工作 同时对 发放的证书进行管理 4 2 1证书管理 证书申请 系统提供基于 WEB 的申请方式 简单易用 帮助用户方便 安全 快捷 的进行证书申请 用户可以根据自己的需要选择相应的证书模板进行证书申请 操作 如果申请通过审核 系统将返回下载证书所需的凭证 参考号和授权码 证书冻结 用户可以对一些短期内不会使用的证书进行冻结操作 在冻结期间内证书 被限制不可使用 被冻结的证书可以通过解冻操作恢复使用 证书解冻 证书解冻操作是相对于证书冻结操作的 此操作将冻结的证书解冻 使得 证书可以重新使用 证书更新 系统提供证书更新功能 用户可以根据需要远程对正在使用中的证书进行 有效期的更改 更新成功后 用户可以下载新的证书 证书注销 用户可以对一些不再使用的证书进行注销操作 注销后的证书不可恢复 系统对于有下列情况之一的用户进行证书注销 密钥泄密 CA 泄密 从属关系变更 证书被取代 操作终止 证书下载凭证 授权码 更新 对一些申请成功但是没有下载的证书 RAServer 可以为用户重新生成下载 凭证 授权码 用户使用新的下载凭证进行证书下载 证书制证 证书申请通过审核之后 用户可以通过下载凭证安全的下载证书 系统提 供基于 WEB 的下载方式 支持多种加密算法和密钥长度 支持文件 智能卡 USB KEY 等多种存储介质 证书查询 系统提供证书信息查询功能 用户可以通过查询条件查询出符合条件的证书 信息 支持精确查询 系统还提供申请信息查询功能 用户可以通过查询条件查询出符合条件的申 请信息 支持精确查询 用户信息维护 系统提供按照用户自定义的格式产生用户信息 并可以对用户信息进行添加 删除 修改等维护方式 企业信息维护 系统提供按照用户自定义的格式产生企业信息 并可以对企业信息进行添加 删除 修改等维护方式 4 2 2证书审核 证书申请审核 用户提交的证书申请只有经过审核之后才会被签发 管理员根据系统指定 的审核策略对录入的证书申请信息的有效性进行确认 审核通过后向 CAServer 提出证书申请的请求并返回下载证书所需要的凭证 证书冻结审核 管理员对用户提出的证书冻结请求进行确认 审核通过后方可进行证书冻 结操作 证书解冻审核 管理员对用户提出的证书解冻请求进行确认 审核通过后方可进行证书解 冻操作 证书更新审核 管理员对用户提出的证书更新申请进行确认 审核通过后方可进行证书更 新操作 证书注销审核 管理员对用户提出的证书注销请求进行确认 审核通过后方可进行证书注 销操作 证书下载凭证 授权码 更新审核 管理员对用户提出的下载凭证更新申请进行确认 审核通过后方可进行下 载凭证更新操作 4 2 3权限管理 在 RAServer 系统中 角色可以根据客户的需要自己订制 通过基于角色的 用户管理 可以实现更加灵活的权限管理 角色的创建是通过分配一组指定的权限点完成的 权限点是完成系统功能 的一组操作 只有对权限点具有一定操作权限的用户 才能进行 RA 的各种证 书业务操作 对于 RA 中的每个证书业务员都指定了相应的业务类型 模板类型 4 2 4系统管理 模板管理 RAServer 定时与 CAServer 模板保持同步 下载 CAServer 中模板信息 也可以通过手动方式进行与 CAServer 的模板同步操作 对 RAServer 中的模板统一配置审核策略 即 RAServer 中的所有用户根据 模板的不同采用不同的审核策略 并且不同的业务采取不同的审核策略 更新 CRL 信息 RAServer 定时与 CAServer 发布的 CRL 信息保持同步 也可以通过手动 方式进行与 CAServer 的 CRL 信息同步操作 获取的 CRL 信息 可以在 RA 端提供给最终用户 主题规则管理 系统支持定义一些主题规则 通过用户信息或企业信息中的某些特定项来 自动产生用户所申请的证书的证书主题 免去用户掌握证书主题规则的专业性 降低用户使用系统的难度 4 2 5审计管理 只有审计管理员才能进行审计管理操作 审计管理包括查询业务日志和归 档日志 查询业务日志 系统支持查询业务日志功能 提供丰富的查询条件与简单易用的查询界面 支持多条件复合查询 查询结果支持按业务操作时间排序 归档业务日志 系统支持对于记录的业务日志进行归档的功能 可以按时间段对日志进行 手动或自动的归档操作 归档后的日志在 查询业务日志 功能中无法再被查 询到 4 2 6证书统计 只有审计管理员才能进行证书统计操作 系统支持证书统计功能 提供丰富的统计条件与简单易用的统计界面 包 括证书签发量统计 证书月签发量统计和证书过期统计多种统计功能 4 2 7批量申请和制证 系统支持批量进行证书申请和制证的功能 以包含用户证书信息的 XML 格 式的文件作为批量申请文件 进行批量证书申请 批量证书申请成功后可以对 其进行批量制证的操作 4 3 密钥管理中心 KMServer KMServer 是吉大正元密钥管理系统 为 CAServer 提供用户加密密钥的生 成及管理服务 系统支持符合 PKCS 11 标准的加密设备 支持高强度的密钥 及加密算法 通过 PKCS 11 接口直接调用硬件密码服务 密钥不出主机加密 服务器 拥有高强度的安全性和保密性 4 3 1密钥管理 在 KM Server 系统中 只有拥有密钥管理角色的管理员才能进行密钥管理 的操作 密钥管理包括密钥产生 在用密钥的查询 统计与备份 密钥归档 密钥归档查询 密钥产生 密钥产生分为定时预产生密钥和即时产生密钥两种方式 定时预产生密钥 管理员可以通过此功能管理密钥产生计划 用于在系统运行不繁忙的时候 预先产生密钥以作备用 在 CAServer 申请密钥的时候可以提高 KMServer 的 工作效率 计划根据执行时间和在数据库中保存的最大数量来决定是否每天执 行 管理员可以执行添加 删除 停止计划的操作 即时产生密钥 管理员可以通过即时产生密钥功能随时产生所需要的一定数量的密钥对 管理员可以设置需要产生的密钥的类型和长度 以及产生数量和计划执行时间 等参数 在用密钥查询 CAServer 向 KMServer 申请密钥并为用户签发证书成功后 申请的密钥对 保存在 KMServer 的在用密钥库中 设置输入某些查询条件可以查询出符合条 件的在用密钥的详细信息 在用密钥统计 对系统中所有的在用密钥进行统计 根据统计条件 统计在用密钥的数量 备用密钥统计 对系统中所有的备用密钥进行统计 根据统计条件 统计备用密钥的数量 归档密钥查询 查询由 CA 发起密钥归档后 KM 进行手动密钥归后档密钥信息 密钥归档 CA 发起密钥归档消息在 KM 端将待归档密钥对标注为待归档状态 而后由 KM 端进行手工归档 4 3 2CA 机构管理 KMServer 可以对多个 CA 机构提供密钥管理服务 并可以对多个 CA 机构 进行统一的管理 CA 机构管理分为 CA 机构注册 CA 机构查询 CA 机构冻 结 CA 机构解冻 CA 机构更新五部分 只有具有 CA 机构管理角色的管理员 才能进行 CA 机构管理的操作 CA 机构注册 CAServer 向 KMServer 申请密钥前必须先在 KMServer 中注册并得到 KMServer 的授权 否则 CAServer 无权向 KMServer 申请密钥 CA 机构查询 管理员可以查询到当前 KMServer 已经注册的全部 CA 机构的详细信息 CA 机构冻结 管理员可以根据需要将某些已经在 KMServer 中注册的 CA 机构进行冻结 冻结后的 CA 机构将不能再向 KMServer 申请密钥 直至被解冻为止 CA 机构解冻 管理员可以将已冻结的 CA 机构解冻从而恢复其申请密钥的权限 CA 机构更新 管理员可以更新已经在 KMServer 中注册的 CA 机构的注册信息 CA 机构密钥设置 CA 机构密钥设置功能 可以设置各个注册的 CA 机构申请的密钥数量 4 3 3权限管理 在 KMServer 系统中 对管理员采用基于数字证书的身份验证机制 管理 员的管理权限与其证书进行绑定 系统采用分布式的基于角色的权限管理 管 理员间权限分离 某一管理员只管理某一部分功能并受其他管理员监督 KMServer 的权限管理包括对司法取证员的权限管理和对管理员的权限管理 两部分内容 司法取证员权限管理 司法取证员是为进行密钥恢复操作而设置的人员 在进行密钥恢复时 需 要由几位特定的司法取证员共同到场 依次验证权限才能进行操作 司法取证员权限管理主要包括司法取证员注册 查询和删除等 司法取证员注册 只有注册后的司法取证员才能进行司法取证操作 注册的司法取证员人数 不能超过系统允许的司法取证人员总数 不能重复注册同一司法取证员 司法取证员查询 管理员可以查询当前系统中已经注册的司法取证员的详细信息 司法取证员删除 管理员可以删除已经在系统中注册的司法取证员 被删除的司法取证员不 能再进行司法取证操作 管理员权限管理 KMServer 通过为管理员分配管理角色来指定管理员可以进行哪些操作 KMC Server 系统中包含的管理角色有 密钥管理角色 CA 机构管理角色 权 限管理角色和审计管理角色 一个管理员可以被授予一个或多个管理角色 以 分权的形式对整个系统进行有效管理 只有具有授权管理角色的管理员才能进行以下的授权管理操作 注册管理员 注册后的管理员具有被赋予的管理角色 可以进行相应的操作 授权管理员 注册后的管理员的权限可以被修改或删除 4 3 4密钥恢复与司法取证 KMServer 可以通过密钥恢复操作来提供司法取证服务 在 KMServer 系 统中 只有拥有密钥管理角色的管理员才能进行密钥恢复操作 司法取证员多 方到场后 密钥管理员启动密钥恢复操作进行司法取证过程 分别验证每个司 法取证员的身份是否和系统中设定的司法取证员相符 验证通过后选择密钥恢 复方式 进行密钥的保存 密钥恢复 密钥恢复可以从 KMServer 的数据库中提取出欲恢复密钥 私钥 并进行 保存 KMServer 提供了 2 种密钥保存方式 基于文件的保存方式和基于智能 卡的保存方式 文件方式 如果选择基于文件的保存方式 KMServer 可以提供 2 种文件格式 PKCS 1 格式和 PKCS 12 格式 PKCS 1 格式只保存私钥 PKCS 12 格式 采取将私钥与证书用保护口令加密的方式保存 智能卡方式 基于智能卡的保存方式可以将欲恢复的密钥保存在智能卡内 司法取证 司法验证过程中 KMServer 根据在系统初始化阶段设定的 M N 值 N 个 人中最少 M 个人到场 进行司法取证员的身份验证 需要选择每个司法取证人 员证书进行签名 在 M 个司法取证人员的签名操作完成后 系统验证司法取证 人员的合法性 司法取证员必须为系统中注册过的司法取证人员 验证通过后 进行密钥恢复 4 3 5审计管理 只有具有审计管理角色的管理员才能进行审计管理操作 KM 的审计管理 主要是对系统的业务日志进行查询 业务日志归档 业务归档日志查询 业务 日志查询条件包括操作者 操作对象证书主题 操作对象证书序列号 证书模 板名称 密钥类型 密钥长度 业务类型 业务结果 起始日期和时间 结束 日期和时间等 查询结果按业务操作时间排序 业务日志归档使用户可以按照 年度 月度 自定义时间段三种方式进行业务日志归档 业务归档日志查询条 件同业务日志查询 4 4 在线证书状态查询系统 OCSPServer OCSPServer 是吉大正元在线证书状态查询系统 为证书应用提供实时的 证书状态查询服务 OCSPServer 系统完全遵照 RFC2560 标准实现 保证了 标准性 任何符合 RFC2560 的产品都可以方便的连接 OCSPServer 进行证书 状态查询 OCSP Serve 通过 CA 的镜像数据库查询证书状态 这样比查询 CRL 证 书注销列表 更可靠 更及时 提供给证书应用的信息更丰富 OCSP Server 支持为多个不同的 CA 系统向用户提供统一的数字证书状态 验证服务 证书应用向 OCSP Server 查询证书状态时 可以查询不同 CA 颁发 的证书状态 OCSP Toolkit 封装证书应用的证书状态查询请求 然后发送给 OCSP Server 并将从 OCSPServer 响应中解析的证书状态 返回给证书应用 OCSPToolkit 为证书应用提供简单 易用的用户接口 减轻了证书应用开发者 的工作量 5 产品运行环境 5 1 硬件环境 支持多种硬件平台 UNIX 主机平台 SUN HP IBM 等 WINDOWS 主机平台 WIN2000 2003 以下配置以 WINDOWS 平台为例 5 2 软件环境 操作系统 Windows 2000 Server Windows Server 2003 RedHat Linux9 0 AS2 1 Turbo Linux 10 Solaris 8 9 10 AIX5 2 HP UX 11i 系统软件 IE5 0 及更高版本 数据库 Oracle9i MicroSoft SQL Server2000 项目 推荐配置 最低配置 CPU P4 2 4G PIII800 RAM 1G 256M 磁盘空间 1G 200M DB2v8 目录服务器 JIT Galaxy 3 0 iPlanet 5 1 ITEC iDS 3 3 Oracle Internet Directory 10g IBM Tivoli Directory 6 0