您好,欢迎访问山东渔翁信息技术股份有限公司官方网站!

渔翁信息微信号
免费咨询热线:
400-6686-188

企业级数字证书认证系统

渔翁信息企业级数字证书认证系统采用模块化结构设计,对用户数字证书进行全生命周期内的管理,是一套功能完善、稳定可靠的数字证书基础设施产品。
订购热线:400-6686-188
产品详情

  一、产品介绍

  渔翁信息企业级数字证书认证系统由山东渔翁信息技术股份有限公司独立自主研发,遵循国家密码管理局颁布的《证书认证系统密码及其相关安全技术规范》、《数字证书认证系统密码协议规范》等相关标准规范,采用模块化结构设计,包括证书签发系统(CA)、证书注册系统(RA)等子系统,对用户数字证书进行全生命周期内的管理,是一套功能完善、稳定可靠的数字证书基础设施产品。

  功能特点

  证书认证中心(CA)

  致力于对生命周期内的数字证书进行全过程管理,为用户提供安全、有效、规范、统一的证书签发管理服务,实现证书模板配置、签发策略配置、人员权限管理、证书/证书注销列表的生成与签发、证书/证书注销列表的存储与发布、证书的查询与统计、业务与日志的安全审计等功能。

  证书注册系统(RA)

  致力于处理用户的证书申请、身份审核和证书下载,实现的功能有人员权限管理、申请信息录入、申请信息审核、证书下载、证书模板更新、用户密钥恢复、业务与日志的安全审计等功能。

  产品优势

  高安全性

  系统采用严格的权限管理体制,可以有效阻止未经授权的非法访问,具有完善的日志功能,通过业务、系统日志的审计分析,可以及时发现潜在的安全隐患。

  各子系统之间的通信采用基于身份验证机制的安全通信协议,所有密码运算均在密码设备中完成,这样有效防止了信息泄密,提高了系统的安全性。

  高可靠性

  系统采用合理的结构设计,能够在恶劣的环境下稳定高效的运行,具有完善的数据备份恢复功能,通过定期备份可以预防因为硬件损坏等原因造成的系统和业务数据的丢失。

  高可移植性

  系统采用B/S结构设计,具有较好的可移植性,可部署在多种主流的操作系统上,系统对数据访问接口进行了封装,支持多种数据库的存取访问。

  高易用性

  系统初始化、参数配置、业务处理等功能均可在浏览器中进行,系统具有友好的界面提示,根据提示即可完成相关功能,操作直观、简单。

  丰富的算法支持

  支持SM2算法证书签发

  支持RSA1024、2048bit算法证书签发

  支持SM1对称密码算法

  支持SM3、SHA-1杂凑算法

  高性能

  支持百万级证书容量

  支持500个并发线程

  层次化、模块化设计,系统可扩展性较好

  可根据建设规模对系统进行灵活部署。

  采用富客户端技术, B/S架构

  界面操作简单、易用,为用户提供一个更高和更全方位的网络体验。

  完全自主研发

  系统中采用的加密机、加密卡、USBKEY、VPN等密码设备及系统软件均为渔翁自主研发,设备均通过国密局或公安部的鉴定。

  系统完全基于密码技术支撑

  CA-KM间采用VPN加密通道,保障数据传输的安全性 ;

  RA-CA、CA-KM间通信采用数据加密、数字签名技术,确保数据的保密性、完整性及操作行为的不可抵赖性。

二、企业级数字证书系统总体设计

从管理主体和服务对象分析,一般可把CA系统分为运营型CA和企业级数字证书认证系统。

运营型CA一般以第三方电子认证服务机构方式存在,并由它运营管理,提供有法律效力的第三方电子认证服务,并承担相应的法律责任;不仅要构建专业的CA机房和健全的法律文件,还要确保CA系统和认证业务的安全性,同时还要满足物理环境与设施、组织与人员和文档/记录与介质管理、业务连续性、审计与改进、认证服务性能等方面的多种要求。运营型CA可给多个行业的多种应用提供服务,通用性和独立性很强;证书规模至少在几十万以上,投资规模也比较庞大。

企业级数字证书认证系统通常由企业内部特定部门或团队维护与管理,只是作为一类安全系统对待,只为该企业自身的IT系统提供应用安全服务,证书规模一般在几万以内,投资规模较小。企业级数字证书认证系统系统不仅需同企业的各种应用深度融合,还需适应组织内部的行政管理模式,在灵活部署、易使用与扩展等方面要求较高。

以下主要介绍企业级数字证书认证系统系统总体设计的一种示例。

1.通用性技术路线

①管理U:采用B/S模式。

②运营平台:操作系统先用Linux,应支持多种操作系统;数据库先用MySQL,应支持多种数据库,通过JDBC访问数据库;应用中间件先用Tomcat。

③开发工具:前台模块优先使用C、C++或VC,如控件、客户端工具等;后台Web服务模块优先用JSP、Servlet或JDK。

2.专业性技术路线

(1)证书机制

①证书分类:分为个人、单位、Web、设备等,可扩展。

②证书状态:包括正常、作废、冻结、解冻、过期等。

③证书业务状态:分为证书申请、作废、冻结、解冻、更新等。其中,申请状态包括已录入、审核通过、失败、已制作;证书作废状态包括已录入、审核通过、失败;证书冻结状态包括已录入,审核通过、失败;证书解冻状态包括已录入、审核通过、失败;证书更新状态包括已录入、审核通过、失败、已更新。

④证书申请流程:分为三步和一步2种流程。三步流程由录入、审核、制作组成,,每步流程分别由不同业务员操作;一步流程由同一个业务员一次性完成。

⑤证书更新流程:分为三步、二步和一步3种流程。三步流程由录入、审核、更新组成;二步流程由审核(基于旧证书)、更新组成,每步流程分别由不同业务员操作;一步流程由同一个业务员一次性完成。证书制作时可通过旧证书对证书申请者进行身份认证。

⑥证书作废/冻结/解冻流程:分为二步和一步2种流程。二步流程由录入、审核、组成,每步流程分别由不同业务员操作;一步流程由同一个业务员一次性完成。

(2)管理机制

①三级管理:分为CA管理员、RA管理员、RA操作员3级。

②身份认证:支持证书模式和口令模式。

③访问控制:采用RBAC机制。

④CA管理员:主要职责是管理CA,含初始化、CA策略管理、RA管理、RA管理员管理、查询统计、强制业务功能等。

⑤RA管理员:主要职责是管理RA操作员。

⑥RA操作员:主要职责是操作具体业务,又分为3种角色:录入员、审核员、制作员。

(3)RA服务

①业务功能:主要包括证书申请、作废、更新、冻结、RA操作员管理、查询统计、RA策略管理等。

②RA管理员:主要职责包括操作员管理、查询统计、RA策略配置、强制业务功能等。

③RA录入员:主要职责有查询统计、录入等。

④RA审核员:主要职责有查询统计、审核等。

⑤RA制作员:主要职责有查询统计、制作等。

(4)证书服务

分为Web服务类和非Web服务类。

①web服务类:主要包括CA证书下载(支持证书链)、CRL下载、单证书下载更新、双证书下载/更新、Web证书下载、证书查询、申请/更新自助录入、作废/冻结/解冻自助录入等。

②非Web服务类:主要包括OCSP/SOCSP服务、LDAP证书服务、证书验证服务等。

(5)安全性

①License控制:通过证书数和RA数控制License。

②web方式管理:身份认证优先用证书认证方式(双向ssL或单向ssL+安全控件),也可支持口令方式。

③用户自助下载证书:用口令方式进行身份认证。

④口令存储安全性:数据库中应加密存储。

⑤关键数据存储完整性:用HMAC机制。

③关键数据传输机密性:在RA与CA间用对称加密机制。

三、企业级数字证书认证系统模块功能介绍

企业级数字证书认证系统模块组成中以w开头的模块表示以Web方式提供服务。

各模块主要功能如下。

1.rCASigner:主要功能包括产生根CA公私钥对、签发根CA证书、运营CA证书、CRL签名者证书、支持软件HSM和硬件HSM等。

2.KMCSEV:主要功能包括对外提供加密公私钥对产生服务、支持软件和硬件HSM等。

3.OCASignSry:主要功能包括产生运营CA公私钥对、对外提供证书签发服务,支持单证书和双证书签发、支持软件和硬件HSM、对外提供License验证服务等。

4.CRLSignSrv:主要功能包括产生CRL签名者公私钥对、对外提供CRL签发服务等。

5.wCAMgrSrv:主要功能包括配置CA参数、管理RA、管理CA管理员和RA管理员、证书管理高级功能(强制申请、作废、冻结、解冻、审核、强更新等)。

6.doCRL:主要功能包括定时从数据库提取证书,并提交CRLSignSrv签名后,保存到数据库或文件中。

7.dOL DAP:主要功能包括定时从数据库提取证书,发布到LDAP中。

8.DB:优先用MySQL。

9.wIsers:主要功能包括下载CA证书(根CA、运营CA)、下载CRL、根据条件查询并下载他人证书、自身证书申请(产生公私钥对、提交P10包、安装证书等)、自身证书更新(通过旧证书进行身份认证)等。

10.LDAP:优先用OpenLDAP。

11.OCSPSrv基于Ocsp协议提供在线证书状态查询服务。

12.SCVPSrv:基于SCvP协议提供在线证书验证服务。

13.wRASrV:主要功能包括管理RA操作员、证书管理普通功能(证书申请、作废、冻结、解冻、更新等)、证书管理高级功能(强制申请、作废、冻结、解冻、审核、更新等)等。

14.WRAAP1:对外提供AP方式,方便将RA功能与应用系统集成,主要有强制申请、作废、冻结、解冻、审核、更新等证书管理高级功能。

15.Cert Tool:主要功能包括查看证书信息、产生或拆分P12证书链、各种加密算法测试等。

联系渔翁信息
渔翁信息

服务热线:400-6686-188

公司电话:400-6686-188

市场合作:
孙经理:13806311977
颜经理:18663192218

营销中心:
孙经理 13806311977
马经理 18668972622

公司地址:山东省济南市高新区齐鲁软件园F座