[计算机]GFACA产品白皮书.doc

产品白皮书 密级：公开版本号：V3.0.1国富安CA产品系列国富安电子证书安全认证系统产品白皮书White Paper公 司：北京国富安电子商务安全认证有限公司GFA E-commerce Security CA CO.,Ltd.地 址：中国北京经济技术开发区荣华中路11号Copyright 2010北京国富安电子商务安全认证有限公司版权所有All rights reserved.提要n 本白皮书介绍PKI的基本概念n 本白皮书介绍GFA CA产品的基本信息n 本白皮书阐述GFA CA产品的详细参数n GFA CA运营版产品参数n GFA CA企业版产品参数n GFA CA系统版产品参数声明l 未经北京国富安电子商务安全认证有限公司书面许可，本白皮书任何部分的内容不得被复制或者抄袭用于任何商业目的。l 本白皮书的内容在未经通知的情况下可能发生变化。l 如有任何意见或建议，请通过下述方式与本公司取得联系：公司网站 l 公司电话邮箱 n 本白皮书介绍国富安公司及服务体系的基本信息 产品白皮书目 录1PKI基本概念21.1什么是PKI21.2为什么需要PKI21.3PKI的构成32产品概述32.1产品概要32.2产品功能架构42.3产品线介绍53产品详细参数63.1GFA CA运营版63.1.1产品概述63.1.2技术规格63.1.3产品优势73.1.4运行环境71.1GFA CA企业版83.1.5产品概述83.1.6技术规格83.1.7产品优势93.1.8运行环境91.2GFA CA系统版103.1.9产品概述103.1.10技术规格103.1.11产品优势113.1.12运行环境11附录一 关于国富安公司12附录二 国富安服务体系131 PKI基本概念1.1 什么是PKIPKI是“Public Key Infrastructure”的缩写，即“公钥基础设施”，是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI利用数字证书 标识密钥持有人的身份，通过对密钥的规范化管理，为组织机构建立和维护一个可信赖的系统环境，透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障，满足各种应用系统的安全需求。1.2 为什么需要PKI随着网络技术的发展，特别是Internet的全球化，各种基于互联网技术的网上应用，如电子政务、电子商务等得到了迅猛发展。网络正已逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性，网上的所有信息对所有人都是公开的，因此应用系统对信息的安全性提出了更高的要求，具体包括：（1） 对身份合法性验证的要求 以明文方式存储、传送的用户名和口令存在着被截获、破译等诸多安全隐患。同时，还有维护不便的缺点。因此，需要一套安全、可靠并易于维护的用户身份管理和合法性验证机制来确保应用系统的安全性。（2）对数据保密性和完整性的要求 企业应用系统中的数据一般都是明文，在基于网络技术的系统中，这种明文数据很容易泄密或被篡改，必须采取有效的措施保证数据的保密性和完整性。（3）传输安全性要求 以明文方式在网上传输的数据，很容易被截获以至泄密，必须对通信通道进行加密保护。利用通信专线的传统方式由于成本高，使用不便等原因，已经远不能满足现代网络应用发展的需求，必须寻求一种新的方法来保证基于互联网技术的传输安全需求。（4）对数字签名和不可否认的要求 不可抵赖性为了防止事件发起者事后抵赖，对于规范业务，避免法律纠纷起着很大的作用。传统不可抵赖性是通过手工签名完成的，在网络应用中，需要一种具有同样功能的机制来保证不可抵赖性，那就是数字签名技术。1.3 PKI的构成标准PKI公钥基础设施体系主要由密钥管理中心、CA认证机构、RA注册审核机构和证书/CRL发布系统四部分组成.1密钥管理中心（KMC）：密钥管理中心向CA服务提供相关密钥服务，如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。 2CA认证机构：CA认证机构是PKI公钥基础设施的核心，它主要完成生成/签发证书、生成/签发证书撤销列表（CRL）、发布证书和CRL到目录服务器、 维护证书数据库和审计日志库等功能。 3RA注册审核机构：RA是数字证书的申请、审核和注册中心。它是CA认证机构的延伸。在逻辑上RA和CA是一个整体，主要负责提供证书注册、审核以及发证 功能。 4证书/CRL发布系统：证书/CRL发布系统主要提供LDAP和OCSP等服务功能；LDAP提供证书和CRL的目录浏览服务；OCSP提供证书状态在线查询服务。2 产品概述2.1 产品概要国富安电子证书安全认证系统（SRT0803身份认证系统），是国富安PKI解决方案的基础产品。根据PKI的组成要求，设计研发了国富安证书签发系统（CA系统）、国富安证书注册系统（RA系统）、国富安密钥管理系统（KMC系统）等三个核心子系统及国富安证书发布及验证系统等基础平台，以上系统构成完整的、高效的国富安证书认证体系架构，是处于国内领先地位的PKI基础设施产品。国富安CA系列产品在设计上符合国际通用标准，同时严格遵循国密办的各项规定，是一套开放式的安全产品。产品核心系统全部采用JAVA语言开发，具有良好的平台兼容性。系统设计灵活、可扩展性强，支持多级CA的分布式部署。2.2 产品功能架构国富安电子证书安全认证系统产品功能架构如下图所示。各子系统功能描述如下。1) 国富安根CA系统：国富安电子证书安全认证系统产品的初始化根系统，负责根密钥的初始化和国富安证书签发系统（CA系统）的证书的初始化功能，根CA与国富安电子证书安全认证系统产品的其它子产品不存在通信关系。2) 国富安证书签发系统（CA系统）：证书签发系统主要功能包括证书签发和证书管理功能。证书签发功能主要包括接收来自证书注册系统的证书请求，负责完成证书申请、签发、查询、下载、发布和撤销等服务，签发证书和证书注销列表。证书管理服务主要包括对各种数字证书、证书模版、内部管理员及操作员进行管理。3) 国富安密钥管理系统（KMC系统）：KMC系统基于公开密钥技术，负责提供密钥服务。主要包括密钥对的生成、密钥发送、密钥存储、密钥查询、密钥销毁、密钥恢复等管理服务。4) 国富安证书注册系统（RA系统）：负责用户的证书申请、身份审核和证书下载，通过与CA产品建立的安全通道向CA产品提出请求，接收CA签发下传的证书，并进行下载。5) 国富安证书发布及验证系统：包括LDAP、OCSP等系统为国富安证书认证系统提供证书查询验证等服务。2.3 产品线介绍国富安电子证书安全认证系统针对不同的客户需求，将产品划分为三种版本: 国富安电子证书安全认证系统运营版（下面均简称GFA CA运营版）运营版面向于省级政府机构或行业机构，证书设计容量为100万以上，提供完善的开发接口，可以应对客户的复杂需求。 国富安电子证书安全认证系统企业版（下面均简称GFA CA企业版）企业版的证书设计容量为10万以下，主要面向大型国有企业或跨国公司，可以根据客户需求进行系统定制，具有部署捷、管理简单等优点。 国富安电子证书安全认证系统版（下面均简称GFA CA系统版）精简版的证书设计容量在1万以下，系统以硬件服务器的形式提供，操作简单、维护方便，适用于发证量不大的中小企业用户。3 产品详细参数3.1 GFA CA运营版3.1.1 产品概述国富安电子证书安全认证系统运营版为国富安公司面向于省级政府机构或行业机构需求而设计，专门针对证书运营中心建设，系统证书设计容量为10万以上级别，产品通过国密局鉴定。产品由国富安证书签发系统(CA)、国富安证书注册系统(RA)、国富安密钥管理系统(KM)三个核心系统及国富安证书发布及验证系统等系统组成。3.1.2 技术规格 系统支持LINUX/UNIX等操作系统平台，支持ORACLE等大型数据库平台，保持系统运行的稳定性，支持多种密钥算法，支持多种商密、普密加密机。 KM系统与CA系统、RA系统独立部署。 系统具有双层根证书，支持 CA的树状信任模式，系统可以支持CA 多级扩展和多级认证，支持多RA系统接入。 RA证书注册系统，实现接收用户的证书申请、审核、制证等业务，可根据业务性质或地理位置以行业或地区为界设置多个RA。 系统支持南开创源(ITEC)的LDAP，支持基于LDAP的证书、CRL发布，支持基于HTTP 的CRL 发布，支持主从LDAP。 KM、CA、RA客户端互相独立，具备最高的安全措施，支持管理与审计互相独立的权限管理体系，支持内部管理人员权限的细分授权。 GFA CA系统为用户提供配置CA功能，采用严格的分级管理，使用数字证书进行强身份认证，详细定义了管理员和操作员的职责范围，使系统易于维护、管理和监控，从而保证其运营的安全性。 完备的证书服务管理功能。 支持P11和CSP两种模式签发证书，支持双证书的签发，实现无缝接入新的证书介质。3.1.3 产品优势 证书模板和应用类型多样，可以满足用户不同证书应用的需求。 支持多家厂商的电子钥匙存储介质，并且可以灵活扩展。 支持签发微软的智能卡登录证书、域控制证书、计算机证书，可以实现微软的智能卡登录，域登陆等。 支持签发电子邮件证书和对应的证书发布模式，可以使用OutLook Express，OutLook，Foxmail，Mozilla Thunderbird 等参电子邮件进行加密和签名。 支持签发普通用户证书， SSL 客户端证书，机构证书，设备证书，VPN 证书、服务器证书、代码签名证书等等。 完善的证书统计功能，管理人员可以时时的统计证书、用户、请求等各方面信息。 证书存储在电子钥匙内，安全易用，可以随时在不同的计算机上使用，不受地域、计算机的限制，可随身携带。 GFA CA中设有人机交互的管理界面，为提高可操作性，这些界面全部可运行在中文Windows2000 /Windows XP /Windows2003平台上，是图形化的友好界面，信息的输出全部支持中文，方便使用者的操作。3.1.4 运行环境l KM、CA、RA服务端系统运行环境（推荐）：操作系统：红旗 Linux DC 5.0数据库：oracle 数据库企业版 10g LDAP 发布系统：南开创元LDAP(一主2从无限制版)应用服务器：oracle IAS 企业版 10gWEB 服务器：Apache 5加密机：济南得安计算机技术有限公司的SJY05-B主机加密服务器。l 客户端环境（推荐）：操作系统：PC/Intel体系，任何可运行Windows 2000/XP的系统系统环境：操作系统支持JDK1.4.2以上版本证书存储介质：符合P11的接口标准或MS CryptoAPI CSP接口标准的USB Key，支持对称及非对称算法。1.1 GFA CA企业版3.1.5 产品概述企业版CA 主要面向大型国有企业或跨国公司，证书设计容量为1万-10 万，包括证书注册系统和证书认证系统（含密钥管理模块）两个核心系统组成，可以满足大型企业用户的复杂网络环境的需求。企业CA可签发企业所需要的各类型数字证书，系统符合国内、国际各项标准。另外，企业CA系统以其投资成本适中，操作方便，运营成本低、安全等级高、易升级易维护等优势，越来越广泛的应用于密级性较高又相当独立的各种企业内部应用。 3.1.6 技术规格 系统支持LINUX/UNIX等操作系统平台，支持ORACLE等大型数据库平台，支持多种密钥算法，支持多种商密、普密加密机、加密卡。 KM系统作为CA的一个内嵌模块集成于CA系统内部，支持单CA，多RA系统接入的部署模式。允许CA超级管理员不但可以管理CA签发模块，同时可以管理KM模块，不再另设立KM管理员。 系统支持南开创源(ITEC)、openLDAP等常见的目录服务器系统，支持基于LDAP的证书、CRL发布，支持基于HTTP 的CRL 发布。 支持管理与审计互相独立的权限管理体系，详细定义了管理员和操作员的职责范围，支持RA内部管理人员权限的细分授权。 为用户提供定制与配置CA功能，使用数字证书进行强身份认证，使系统易于维护、管理和监控，从而保证其安全性。 支持CSP模式签发证书，支持双证书的签发，实现无缝接入新的证书介质。 CA端采用C/S设计模式，RA端采用B/S设计模式。启用安全加密传输，客户端访问服务器的数据均通过SSL加密通道进行传输。3.1.7 产品优势 对企业部署环境有良好的适应性，支持多种数据库平台和操作系统平台，系统能够适应企业用户已有的数据库、中间件等软件资源。可以很好的与SSL VPN电子邮件等证书应用无缝集成，共同创建企业的信息安全。 具有完善的配套软件和开发接口，方便实现与企业应用系统的集成。为应用系统提供可供第三方应用开发的接口模块，如签名、加密、证书验证、安全登录等，可以应对客户的复杂需求。 可以根据用户需求灵活定制各类证书模板和证书应用类型，提供证书的灵活统计功能。 RA端采用基于B/S 结构的管理，内嵌Web Sever，采用https 安全远程管理机制进行安全登录，证书存储在电子钥匙内，安全易用，可以随时在不同的计算机上使用，不受地域、计算机的限制，可随身携带。 支持多家厂商的电子钥匙存储介质，并且可以自动扩展。 系统建设周期较短，投入人力、物力较小，减少管理成本，建设周期短，工作流程简单，收效快。 体系结构采用模块化设计，可在保证系统不间断运行的情况下方便的进行修复和维护。在软件设计中设置详细的系统日志和本地日志为系统维护人员提供足够信息进行故障排除。3.1.8 运行环境l CA(包含KM模块)服务端、RA服务端系统运行环境（推荐）：操作系统：红旗 Linux DC 5.0数据库：oracle 数据库企业版 10g LDAP 发布系统：南开创元（ITec）LDAP应用服务器：oracle IAS 企业版 10gWEB 服务器：Apache 5加密机：济南得安计算机技术有限公司的SJY05-B主机加密服务器。或加密卡：济南得安计算机技术有限公司的SJY03-B密码卡l 客户端环境（推荐）：操作系统：PC/Intel体系，任何可运行Windows 2000/XP/Windows2003的系统系统环境：操作系统支持JDK1.4.2以上版本，支持IE6.0证书存储介质：符合MS CryptoAPI CSP接口标准的USB Key，支持对称及非对称算法。1.2 GFA CA系统版3.1.9 产品概述GFA CA系统版的证书设计容量为1万张以下，发证量需求较小，设备成本投入低，安全与管理需求简单，主要面向中小企业用户，一般在企业内网里实施部署。系统版CA 是一套完整的CA 系统，在系统结构上和企业CA完全一致提供了完备的证书管理功能。3.1.10 技术规格 系统支持LINUX/UNIX、windows等多种操作系统平台，支持ORACLE、sqlserver、mysql等多种数据库平台，支持多种加密卡，提高了系统及平台的通用性及兼容性。 KM系统作为CA的一个内嵌模块集成于CA系统内部，支持单CA，单RA的部署模式。允许CA超级管理员不但可以管理CA签发模块，同时可以管理KM模块和RA系统管理模块，不再另设立KM管理员和RA超级管理员。 系统采用单层根证书体系，支持多个LA受理点对用户的管理。 支持CSP模式签发证书，支持双证书的签发，实现无缝接入新的证书介质。 支持CSP模式签发证书，实现无缝接入新的证书介质。 CA端采用C/S设计模式，RA端采用B/S设计模式。启用安全加密传输，客户端访问服务器的数据均通过SSL加密通道进行传输。3.1.11 产品优势 建设周期短，强大易用的部署向导帮助用户快速进行产品部署，使用简单，上手快。整个系统以轻量级容器为核心，实用性、可维护性强。 CA、RA服务端部署于一台服务器上，降低用户投入。 基于B/S 结构的管理界面，客户端与服务器端双向身份认证，内嵌Web Sever，采用https 安全远程管理机制进行安全登录，实现对合法用户的身份确认，对非法用户的过滤。 证书存储在电子钥匙内，安全易用，可以随时在不同的计算机上使用，不受地域、计算机的限制，可随身携带。 证书不仅适用于企业内部系统，供内部员工使用，还可提供企业外部的各类用户，极大提高了证书的权威度和适用范围。 为应用系统提供可供第三方应用开发的接口模块，如签名、加密、证书验证、安全登录等。 支持多家厂商的电子钥匙存储介质，并且可以自动扩展。3.1.12 运行环境l 服务端、RA服务端系统运行环境操作系统：Linux、unix、windows2003等。数据库：oracle、mysql、sqlserver等。应用服务器：oracle IAS、weblogic等。WEB 服务器：Apache 5等。加密卡：济南得安计算机技术有限公司的SJY03-B密码卡l 客户端环境：操作系统：PC/Intel体系，任何可运行Windows 2000/XP/Windows2003的系统系统环境：操作系统支持JDK1.4.2以上版本，支持IE6.0证书存储介质：符合MS CryptoAPI CSP接口标准的USB Key，支持对称及非对称算法。附录一 关于国富安公司北京国富安电子商务安全认证有限公司（简称北京国富安）成立于1998年12月，是商务部中国国际电子商务中心（CIECC）直属的专业提供数字证书认证服务与信息安全产品服务的高新技术企业，是经国家信息产业部批准的权威、可信、公正的专业提供电子认证服务的第三方电子认证服务机构，是国家部委唯一具有电子认证服务许可资质的国有企业。作为国内最早从事PKI/CA安全研究与应用研发的单位，北京国富安主要负责建设、管理、运营、维护国富安证书认证中心，通过制作、签发、管理电子签名认证证书，为电子签名人和电子签名依赖方提供电子认证服务。北京国富安拥有全国32个省市100家庞大业务受理服务机构，形成国内覆盖面最为广泛的证书服务网络体系，为用户就近提供最直接、最便利的面对面证书申请、制证与支持服务。北京国富安历经10年发展，拥有逾30万家优质企业用户，截止2008年数字证书发放量累计已超过100万份，处于国内领先水平。北京国富安建设有国际一流水平的安全数据中心，拥有中国唯一、世界一流的北京亦庄、东单、广州三地实时备份信息化基础网络环境，配备有专业技能的可靠技术人才与运营管理团队，制订了标准的认证业务声明（CPS），对外提供多种信任服务，最大程度保障了CA运营的可靠性、稳定性以及关键数据的安全性。北京国富安依据其雄厚的资金力量、完备的基础设施，优越的商务背景，顶尖的技术实力，同时致力于提供基于PKI/CA技术的安全应用解决方案，承担国家诸多课题研究与攻关项目，提供自主知识产权的商用密码产品，北京国富安依据其雄厚的资金力量、完备的基础设施，优越的商务背景，顶尖的技术实力，同时致力于提供基于PKI/CA技术的安全应用解决方案，承担国家诸多课题研究与攻关项目，提供自主知识产权的商用密码产品。国富安的安全产品与服务遍及政府以及各个行业各个领域，并获得中国公安部、中国科技部、中国商务部、中国密码管理委员会、各省市经贸主管部门、特派员办事处、六大进出口商会、驻外经商机构、海关总署、中共中央企业工作委员会、国务院经济体制改革办公室的高度评价，也深受了中国建设银行总行、中国国际电子商务中心、中国医药保健品进出口总公司、广交会（中国出口商品交易会）等单位的充分认可与好评。业务范围遍及全球各行业领域，确保电子政务、电子商务领域活动行为的真实性、安全性、完整性以及不可否认性，为网上业务系统的安全以及参与网上业务各方的相互