《2022年子CA解决方案知识 .pdf》由会员分享,可在线阅读,更多相关《2022年子CA解决方案知识 .pdf(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008201560 子 CA 解决解决方案方案广东省数字证书认证中心2008 年名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 12 页 - - - - - - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真:
2、 8620 83486610 客户服务(热线) : 8008201560 目录1概述 .32需求分析.43系统架构.43.1功能描述 .54关键产品简要描述及实现需求.64.1安全应用支撑服务器 .64.1.1产品概述.64.1.2功能介绍.64.2签发服务器 .74.2.1产品描述.74.2.2功能介绍.74.3CA管理终端.74.3.1产品描述.74.3.2功能介绍.84.4GDCA-PKI安全服务中间件V1.0.84.4.1产品概述.84.4.2功能介绍.84.5运营管理系统 .94.5.1产品概述.94.5.2功能介绍.94.6数字证书载体 .104.6.1产品概述.104.6.2功能
3、描述.114.7产品的实现环境需求 .115设备配置清单.12名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 12 页 - - - - - - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 1 概述以 INTERNET 为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用
4、领域也从传统的、小型业务系统逐渐向大型、 关键业务系统扩展,从典型的如金融业务系统、网上证券交易业务系统逐渐扩展到政府办公系统、教育行业政务系统以及其他的企业商务应用。伴随网络的普及,越来越多的政府机构、企业、个人通过互联网进行重要数据的传输、资金的交割 , 完成各种政务活动和商务活动。 目前,政府机构或企业建设的业务系统大多是基于互联网的、采用 B/S 结构的应用系统,需要通过广泛的、开放的互联网进行数据通信。因此,不可避免地存在着由于互联网的广泛、开放所带来的信息安全隐患,存在很多信息安全需求,包括身份认证、访问控制和信息的机密性、完整性和不可抵赖性。 因此,需要采用一种有效的手段和技术,
5、保证基于互联网应用的安全需求。目前,一种叫做 PKI ( Public Key Infrastructure ,公钥基础设施)的技术,它使用成熟的公开密钥机制,综合了密码技术、数字摘要技术、 数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务,通过建设 CA ( Certification Authority ,证书认证中心)认证中心为用户签发数字证书,用户在业务系统中使用证书,完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性。 PKI 技术已经被广泛应用于电子政务和电子商务,被证明是保证基于互联网的电子政务和电子商务安全的最佳解决方案。 名师资料总结
6、- - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 12 页 - - - - - - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 2 需求需求分析分析子 CA是基于 CA认证中心的远程CA ,适合于一个行业或者一个区域的应用。从子 CA的建设适应特点可知,子CA是满足用户方需要拥有证书的签发权,并需要实现所签发的证书在密钥标识
7、中显示该组织或机构单位,其颁发者也是该组织单位, 即除了根证书是GDCA 外,其他的业务证书的签发者都必须为该单位。另外,从 CA的建设资格和投资费用来考虑,CA的建设需要国家相关部门的审核,并需要取得国家信息产业部颁发的电子认证服务许可证后,建立的CA系统提供的认证服务才具有法律的意义。同时,建立CA体系的投资费用非常高,作为一个企业,这样高投入来建立一个CA认证系统,其投入产出比使得不是一个普通的企业所能承受的。因此, 通过合法权威的CA中心, 建立子 CA的方式来实现相同的功能不妨是一个很好的解决方式。 3 系统架构目前,GDCA提供的子 CA的解决方案中,主要是通过签发服务器和安全应用
8、支持服务器结合GDCA PKI安全中间件来实现,具体的系统架构如下所示: 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 12 页 - - - - - - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 KM名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -
9、- - 名师精心整理 - - - - - - - 第 5 页,共 12 页 - - - - - - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 证书制作与发放功能 证书统计管理和控制功能 证书的应用开通和终止功能 4 关键关键产品产品产品简要描述简要描述简要描述及实现需求及实现需求4.1 安全应用支撑服务器4.1.1 产品概述安全应用支撑服务器是PKI 安全应用的运行支撑平台,以硬件方式为应用系统提供服务器端数据机密性、数据完整性
10、、身份认证、防抵赖等服务,符合国密办证书认证系统密码及其相关安全技术规范,具有稳定、可靠、高效、易管理的特点,其图形化的配置管理工具使用户维护变得简单方便。 4.1.2 功能介绍基于数字证书的身份认证与可信授权 高速数据加解密能力,支持国密办算法,10M Bps加密数据通道 高速数字签名能力,数字签名速度20 次 / 秒 -200次 / 秒 设备双机热备份支持 图形化的设备管理 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 12 页 - - - - - - - - -
11、地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 设备的授权访问控制 7 24服务高可靠性 可与基于所有流行的操作系统的应用服务器配套使用 可支持所有运行平台构建的C/S 和 B/S 应用系统 4.2 签发服务器4.2.1 产品描述签发服务器主要是子CA系统中用来对本地密钥的管理和签发的服务器,该服务器通过CA后台服务程序连接CA数据库进行证书相关操作流的处理。 4.2.2 功能介绍签发证书 同步 CA数据库 密钥管理 4.3 CA 管理终端4.3
12、.1 产品描述CA管理终端主要是用来实现对CA签发服务器的一次策略配置,通过配置来实现签发服务器对CA数据库的数据交流关系,从而实现签发可视化管理的效果。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 12 页 - - - - - - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 4.3.2 功能介绍同步策略配
13、置 签发策略的配置 可视化的签发和操作界面 4.4 GDCA-PKI安全服务中间件V1.0 4.4.1 产品概述PKI 安全服务中间件是基于PKI 公钥基础设施, 构建安全应用的开发环境与运行支撑环境,遵循国密办证书认证系统密码及其相关安全技术规范,兼容 PKCS 11、Windows CSP 、JCE 等国际信息安全应用标准。PKI 安全服务中间件采用中间件技术、以及 J2EE、XML 、Web Service 、CORBA、COM 组件等多种先进技术,能够屏蔽底层安全设备的硬件差异和复杂的密码实现逻辑,使用户只需在特定业务逻辑中嵌入所需安全功能,然后再进行简单的部署和配置,即可实现基于 P
14、KI 的安全应用,可极大程度的降低应用系统的开发成本,提高开发效率。 4.4.2 功能功能介绍介绍PKI 安全中间件中符合各种标准规范的组件功能,下面重点介绍自定义规范的组件功能: 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 12 页 - - - - - - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 数
15、据的对称加密、解密 消息的完整性鉴别码 MAC 随机密钥的生成 支持 MD5 、 SHA1 散列运算算法 BASE64编码和解码 证书验证和解析 PKCS#7数字信封 4.5 运营管理系统4.5.1 产品概述GDCA 运营管理系统是基于GDCA CA 安全认证平台的基础上开发的,融合了RA并结合了对数字证书的管理和控制,真正实现了对数字证书的申请、制作、发放、 管理和控制一体化。同时结合权限的控制,为各种不同权限的用户提供不同的功能操作界面,真正实现了可控、可管的灵活数字证书运营模式。 运营管理系统主要包括了证书服务和管理模块、策略控制服务模块和客户服务模块、网办业务模块和自定义业务流模块。
16、4.5.2 功能介绍实现对数字证书的申请、制作和发放功能 实现对数字证书应用的开通以及对证书的管理和控制功能 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 12 页 - - - - - - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 实现日志的保存可追溯、可审计功能 实现对证书的查询统计功能 实现网办功能
17、实现权限控制,业务流程定制功能 实现客户服务在线配套功能 4.6 数字证书载体4.6.1 产品概述安全客户端是通过客户端软硬件向用户提供安全服务的支撑,包括密码服务和信任服务, 安全客户端包括数字证书载体和客户端安全中间件等部分。下面详细介绍数字证书载体的功能设计。 为了满足安全应用系统平台在实体可鉴别、可管理方面的需求, 信任服务(签名/ 签名验证)方面的需求,以及证书的存储管理方面的要求,数字证书载体是对使用电子政务安全平台的终端实体(包括用户和终端设备)进行身份识别的便携式硬件设备。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -
18、 - - 名师精心整理 - - - - - - - 第 10 页,共 12 页 - - - - - - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 4.6.2 功能描述密钥管理和证书存储 硬件密码算法 证书管理 用户身份认证功能 数据加密解功能 数字签名功能 支持终端桌面安全应用 4.7 产品的实现环境需求应用操作系统环境应用操作系统环境 Windows NT ,Windows 2000/2003,Turbo Linux6.5,R
19、edHat Linux 7.X ,IBM AIX 5.2等。 应用运行系统环境应用运行系统环境 Tomcat,Jboss,WebLogic ,WebSphere ,InfoWeb,TongWeb ,VS.NET等 硬件接口硬件接口 10/100BASET RJ45 网络接口 软件接口软件接口 C,C+ ,Delphi ,VB ,VS.NET ,JAVA ,Com ,XPCom等多种标准应用开发接口名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 12 页 - - - -
20、- - - - - 地址:广州市东风中路410412 号健力宝大厦28 楼邮编:510030 网址: 电话: 8620 83487228 传真: 8620 83486610 客户服务(热线) : 8008301560 5 设备配置清单序号序号 名称名称 功能说明功能说明 主要技术指标主要技术指标 1 安全应用支撑服务器 提供身份认证、签名 /验证、对称加解密功 能 , 支 持RSA 算 法 , 支 持 3DES,RC4,SSF33算法 支持大于80 次/秒的签名速度, 以及大于8Mbps的对称加解密速度;并发用户 50500 2 签发服务器 提供签发证书功能,实现和CA数据库的同步和数据的处理
21、。 硬件最低要求:志强3.0CPU 、2G内存 80G硬盘;或同档次机器。 软件要求:Linux3 CA管理端 提供签发策略的配置和其他基础数据的配置,提供可视化管理功能。 硬件要求:普通PC ,建议参数: CPU :P41.6、内存512B 、硬盘 40 4 运营管理系统 实现 RA , 进行对数字证书的应用管理和控制等功能。 支持 Windows NT ,Windows 2000/2003 5 数字证书载体 支持标准的API 接口;支持Windows CSP接 口 ; 证 书 格 式 标 准 化 ; 支 持RSA,3DES,RC4,SSF33等密码算法;支持Windows 2000/XP,
22、以及Linux 操作系统。RSA(1024bits) 签名速度小于260ms/次;RSA(1024bits) 验证速度小于80ms/次;大于 8Mbps的对称加解密速度 ;单用户 6 PKI 安全中间件 提供基于数字证书的身份认证、签名/验证、对称加解密功能,支持标准Windows CSP 应用,支持多种证书存储介质 支持 Java、 C/C+/C#;支持 Windows系列、UNIX 、Linux等主流操作系统; 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 12 页 - - - - - - - - -