GFACA产品白皮书.docx
《GFACA产品白皮书.docx》由会员分享,可在线阅读,更多相关《GFACA产品白皮书.docx(12页珍藏版)》请在冰豆网上搜索。
GFACA产品白皮书
密级:
公开
版本号:
V3.0.1
国富安CA产品系列
国富安电子证书安全认证系统
产品白皮书
WhitePaper
公司:
北京国富安电子商务安全认证有限公司
GFAE-commerceSecurityCACO.,Ltd.
地址:
中国北京经济技术开发区荣华中路11号
Copyright©2010北京国富安电子商务安全认证有限公司
版权所有
Allrightsreserved.
提要
⏹本白皮书介绍PKI的基本概念
⏹本白皮书介绍GFACA产品的基本信息
⏹本白皮书阐述GFACA产品的详细参数
⏹GFACA运营版产品参数
⏹GFACA企业版产品参数
⏹GFACA系统版产品参数
⏹
声明
未经北京国富安电子商务安全认证有限公司书面许可,本白皮书任何部分的内容不得被复制或者抄袭用于任何商业目的。
本白皮书的内容在未经通知的情况下可能发生变化。
如有任何意见或建议,请通过下述方式与本公司取得联系:
公司网站
公司电话010-67800429邮箱gfasupport@
本白皮书介绍国富安公司及服务体系的基本信息
PKI 基本概念
1.1什么是PKI
PKI是“PublicKeyInfrastructure”的缩写,即“公钥基础设施”,是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。
PKI利用数字证书标识密钥持有人的身份,通过对密钥的规范化管理,为组织机构建立和维护一个可信赖的系统环境,透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障,满足各种应用系统的安全需求。
1.2为什么需要PKI
随着网络技术的发展,特别是Internet的全球化,各种基于互联网技术的网上应用,如电子政务、电子商务等得到了迅猛发展。
网络正已逐步成为人们工作、生活中不可分割的一部分。
由于互联网的开放性和通用性,网上的所有信息对所有人都是公开的,因此应用系统对信息的安全性提出了更高的要求,具体包括:
(1)对身份合法性验证的要求
以明文方式存储、传送的用户名和口令存在着被截获、破译等诸多安全隐患。
同时,还有维护不便的缺点。
因此,需要一套安全、可靠并易于维护的用户身份管理和合法性验证机制来确保应用系统的安全性。
(2)对数据保密性和完整性的要求
企业应用系统中的数据一般都是明文,在基于网络技术的系统中,这种明文数据很容易泄密或被篡改,必须采取有效的措施保证数据的保密性和完整性。
(3)传输安全性要求
以明文方式在网上传输的数据,很容易被截获以至泄密,必须对通信通道进行加密保护。
利用通信专线的传统方式由于成本高,使用不便等原因,已经远不能满足现代网络应用发展的需求,必须寻求一种新的方法来保证基于互联网技术的传输安全需求。
(4)对数字签名和不可否认的要求
不可抵赖性为了防止事件发起者事后抵赖,对于规范业务,避免法律纠纷起着很大的作用。
传统不可抵赖性是通过手工签名完成的,在网络应用中,需要一种具有同样功能的机制来保证不可抵赖性,那就是数字签名技术。
1.3PKI的构成
标准PKI公钥基础设施体系主要由密钥管理中心、CA认证机构、RA注册审核机构和证书/CRL发布系统四部分组成.
1.密钥管理中心(KMC):
密钥管理中心向CA服务提供相关密钥服务,如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。
2.CA认证机构:
CA认证机构是PKI公钥基础设施的核心,它主要完成生成/签发证书、生成/签发证书撤销列表(CRL)、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能。
3.RA注册审核机构:
RA是数字证书的申请、审核和注册中心。
它是CA认证机构的延伸。
在逻辑上RA和CA是一个整体,主要负责提供证书注册、审核以及发证功能。
4.证书/CRL发布系统:
证书/CRL发布系统主要提供LDAP和OCSP等服务功能;LDAP提供证书和CRL的目录浏览服务;OCSP提供证书状态在线查询服务。
2产品概述
2.1产品概要
国富安电子证书安全认证系统(SRT0803身份认证系统),是国富安PKI解决方案的基础产品。
根据PKI的组成要求,设计研发了国富安证书签发系统(CA系统)、国富安证书注册系统(RA系统)、国富安密钥管理系统(KMC系统)等三个核心子系统及国富安证书发布及验证系统等基础平台,以上系统构成完整的、高效的国富安证书认证体系架构,是处于国内领先地位的PKI基础设施产品。
国富安CA系列产品在设计上符合国际通用标准,同时严格遵循国密办的各项规定,是一套开放式的安全产品。
产品核心系统全部采用JAVA语言开发,具有良好的平台兼容性。
系统设计灵活、可扩展性强,支持多级CA的分布式部署。
2.2产品功能架构
国富安电子证书安全认证系统产品功能架构如下图所示。
各子系统功能描述如下。
1)国富安根CA系统:
国富安电子证书安全认证系统产品的初始化根系统,负责根密钥的初始化和国富安证书签发系统(CA系统)的证书的初始化功能,根CA与国富安电子证书安全认证系统产品的其它子产品不存在通信关系。
2)国富安证书签发系统(CA系统):
证书签发系统主要功能包括证书签发和证书管理功能。
证书签发功能主要包括接收来自证书注册系统的证书请求,负责完成证书申请、签发、查询、下载、发布和撤销等服务,签发证书和证书注销列表。
证书管理服务主要包括对各种数字证书、证书模版、内部管理员及操作员进行管理。
3)国富安密钥管理系统(KMC系统):
KMC系统基于公开密钥技术,负责提供密钥服务。
主要包括密钥对的生成、密钥发送、密钥存储、密钥查询、密钥销毁、密钥恢复等管理服务。
4)国富安证书注册系统(RA系统):
负责用户的证书申请、身份审核和证书下载,通过与CA产品建立的安全通道向CA产品提出请求,接收CA签发下传的证书,并进行下载。
5)国富安证书发布及验证系统:
包括LDAP、OCSP等系统为国富安证书认证系统提供证书查询验证等服务。
2.3产品线介绍
国富安电子证书安全认证系统针对不同的客户需求,将产品划分为三种版本:
Ø国富安电子证书安全认证系统运营版(下面均简称GFACA运营版)
运营版面向于省级政府机构或行业机构,证书设计容量为100万以上,提供完善的开发接口,可以应对客户的复杂需求。
Ø国富安电子证书安全认证系统企业版(下面均简称GFACA企业版)
企业版的证书设计容量为10万以下,主要面向大型国有企业或跨国公司,可以根据客户需求进行系统定制,具有部署捷、管理简单等优点。
Ø国富安电子证书安全认证系统版(下面均简称GFACA系统版)
精简版的证书设计容量在1万以下,系统以硬件服务器的形式提供,操作简单、维护方便,适用于发证量不大的中小企业用户。
3产品详细参数
3.1GFACA运营版
3.1.1产品概述
国富安电子证书安全认证系统运营版为国富安公司面向于省级政府机构或行业机构需求而设计,专门针对证书运营中心建设,系统证书设计容量为10万以上级别,产品通过国密局鉴定。
产品由国富安证书签发系统(CA)、国富安证书注册系统(RA)、国富安密钥管理系统(KM)三个核心系统及国富安证书发布及验证系统等系统组成。
3.1.2技术规格
Ø系统支持LINUX/UNIX等操作系统平台,支持ORACLE等大型数据库平台,保持系统运行的稳定性,支持多种密钥算法,支持多种商密、普密加密机。
ØKM系统与CA系统、RA系统独立部署。
Ø系统具有双层根证书,支持CA的树状信任模式,系统可以支持CA多级扩展和多级认证,支持多RA系统接入。
ØRA证书注册系统,实现接收用户的证书申请、审核、制证等业务,可根据业务性质或地理位置以行业或地区为界设置多个RA。
Ø系统支持南开创源(ITEC)的LDAP,支持基于LDAP的证书、CRL发布,支持基于HTTP的CRL发布,支持主从LDAP。
ØKM、CA、RA客户端互相独立,具备最高的安全措施,支持管理与审计互相独立的权限管理体系,支持内部管理人员权限的细分授权。
ØGFACA系统为用户提供配置CA功能,采用严格的分级管理,使用数字证书进行强身份认证,详细定义了管理员和操作员的职责范围,使系统易于维护、管理和监控,从而保证其运营的安全性。
Ø完备的证书服务管理功能。
Ø支持P11和CSP两种模式签发证书,支持双证书的签发,实现无缝接入新的证书介质。
3.1.3产品优势
Ø证书模板和应用类型多样,可以满足用户不同证书应用的需求。
Ø支持多家厂商的电子钥匙存储介质,并且可以灵活扩展。
Ø支持签发微软的智能卡登录证书、域控制证书、计算机证书,可以实现微软的智能卡登录,域登陆等。
Ø支持签发电子邮件证书和对应的证书发布模式,可以使用OutLookExpress,OutLook,Foxmail,MozillaThunderbird等参电子邮件进行加密和签名。
Ø支持签发普通用户证书,SSL客户端证书,机构证书,设备证书,VPN证书、服务器证书、代码签名证书等等。
Ø完善的证书统计功能,管理人员可以时时的统计证书、用户、请求等各方面信息。
Ø证书存储在电子钥匙内,安全易用,可以随时在不同的计算机上使用,不受地域、计算机的限制,可随身携带。
ØGFACA中设有人机交互的管理界面,为提高可操作性,这些界面全部可运行在中文Windows2000/WindowsXP/Windows2003平台上,是图形化的友好界面,信息的输出全部支持中文,方便使用者的操作。
3.1.4运行环境
●KM、CA、RA服务端系统运行环境(推荐):
操作系统:
红旗LinuxDC5.0
数据库:
oracle数据库企业版10g
LDAP发布系统:
南开创元LDAP(一主2从无限制版)
应用服务器:
oracleIAS企业版10g
WEB服务器:
Apache5
加密机:
济南得安计算机技术有限公司的SJY05-B主机加密服务器。
●客户端环境(推荐):
操作系统:
PC/Intel体系,任何可运行Windows2000/XP的系统
系统环境:
操作系统支持JDK1.4.2以上版本
证书存储介质:
符合P11的接口标准或MSCryptoAPICSP接口标准的USBKey,支持对称及非对称算法。
1GFACA企业版
3.1.5产品概述
企业版CA主要面向大型国有企业或跨国公司,证书设计容量为1万-10万,包括证书注册系统和证书认证系统(含密钥管理模块)两个核心系统组成,可以满足大型企业用户的复杂网络环境的需求。
企业CA可签发企业所需要的各类型数字证书,系统符合国内、国际各项标准。
另外,企业CA系统以其投资成本适中,操作方便,运营成本低、安全等级高、易升级易维护等优势,越来越广泛的应用于密级性较高又相当独立的各种企业内部应用。
3.1.6技术规格
Ø系统支持LINUX/UNIX等操作系统平台,支持ORACLE等大型数据库平台,支持多种密钥算法,支持多种商密、普密加密机、加密卡。
ØKM系统作为CA的一个内嵌模块集成于CA系统内部,支持单CA,多RA系统接入的部署模式。
允许CA超级管理员不但可以管理CA签发模块,同时可以管理KM模块,不再另设立KM管理员。
Ø系统支持南开创源(ITEC)、openLDAP等常见的目录服务器系统,支持基于LDAP的证书、CRL发布,支持基于HTTP的CRL发布。
Ø支持管理与审计互相独立的权限管理体系,详细定义了管理员和操作员的职责范围,支持RA内部管理人员权限的细分授权。
Ø为用户提供定制与配置CA功能,使用数字证书进行强身份认证,使系统易于维护、管理和监控,从而
升级会员 