人口基础数据库身份认证系统采购要求

1、人口基础数据库身份认证系统采购要求、采购清单序号名称采购要求数量1数字证书签发系统（LRA）详见采购产品技术要求（数字证书签发系统（LRA）1套2统认证网关详见采购产品技术要求（统一认证网关）2台3USB-key详见采购产品技术要求（USB-key）500支4数字证书开发接口详见采购产品技术要求（数字证书开发接口）1套5数字证书详见采购产品技术要求（数字证书）500个6其他要求1、交货时间：采购结果公告后15个工作日。2、要求中标供应商完成投标产品的供货、安装 调试工作。3、服务响应：服务范围覆盖宁波全区，售后响 应速度快，合理配备车辆；有系统完善的本地 化服务体系。二、采购产品技术要求一、投

2、标人资质要求在中华人民共和国境内注册，具有独立承担民事责任能力的生产厂家；具备本地化服务能力。具有电子认证服务许可证。（或有合法的资质厂家授权）具有电子认证服务使用密码许可证。（或有合法的资质厂家授权）具有商用密码产品销售许可证。（或有合法的资质厂家授权）产品厂家的授权书。二、产品技术参数1、数字证书签发系统（LRA）1）符合国家规范，CA机构具备电子政务电子认证服务许可：2）发证体系：西部安全认证中心宁波RA3）支持双证书、双中心，即加密证书/签名证书和CA认证中心/密钥管理中 心；4）支持多证书：系统能够提供多种安全等级证书的签发功能，根据客户需 要可以进行灵活配置；5）注册机关（RA）建

3、设方式多样化：系统支持多级RA满足人口基础数据库 需求；6）高扩展性：系统配置和扩展性强，能够发放各种类型的证书;系统支持多 级RA；7）支持多种证书存储介质：USB Key和智能卡等；同时支持多种加密设备;8）系统设计中遵循国家密码管理局的规范;9）系统具有很好的开放性，能够与各种应用结合，能够为人口基础数据库 用户提供规范标准接口标准；例如：提供对人社、卫生、教育等行业应 用的标准规范10）高安全性和可靠性：使用高强度密码保护密钥，支持加密机、USB Key 等硬件设备，用户关键信息散列保存；11）易于部署与使用：系统用户、管理员界面都是B/S模式，CA/RA策略配 置和定制以及用户证书管

4、理等都是通过浏览器进行，并具有详细的操作 说明；2、身份认证网关序号指标项技术参数要求1设备型号先安NetONE网关2设备硬件及性 能指标网络接口：不少于5个千兆以太网电口设备机架高度为标准1U机架式设备设备具有可扩展LCD或LED液晶显示模块，显示CPU、内 存、IP等实时信息功能条件。加密效率：不低于350Mbps最大并发用户数：不低于5000每秒新建用户数：不彳氐于5003协议和加密算 法支持支持 SSL V2、V3、TLS1.11.2产品应支持主流的冏业加密算法，包括：AES、DES、3DES、 RSA、RC4、MD5、SHA1 等。产品应同时支持国家密码管理局认可的SM2及RSA非对

5、称 加密算法。4应用支持基于模块化的架构设计，可按需在单台设备中进行PKI安 全功能扩展。支持单向、双向认证服务功能，可创建多个认证服务，保 护不同的应用服务。可拥有多个站点证书，不同的服务可以拥有不同的站点证 书支持CA信任链访问控制列表功能，可自动过滤显示客户 端用户证书。可自动更新黑名单（CRL）、动态更新，不需要重新启动服 务。支持透明代理模式，认证访问时源地址为客户端地址而不 是安全网关的地址支持参数映射的功能，可自定义将证书扩展项或主题项信 息按自定义的参数名进行HTTP Header或HTTP Cookies的 注入向后台应用传递。支持虚拟主机设置功能。支持认证错误页面定制功能，

6、可按错误类型反馈对应错误 描述信息。支持握手认证后的隧道防火墙技术，可通过基于角色的证 书访问控制，实现对访问应用资源的保护，通过对证书属性进行提取和鉴别，将角色的访问用户同系统保护的资源 联系起来，便于用户灵活管理策略规则需具备：a）通过； b）拒绝；c） http header证书信息注入；d） cookie证书信 息注入；e）内容信息替换（路径、文字等均为内容）；f）连 接重定向等功能。支持证书防火墙技术，可以对均由同一个CA证书签发的 用户证书，进行细粒度访问控制如A部门的证书应该不能 访问B部门的应用，在数字证书验证这个环节上，需要提 供更细粒度的验证服务，通过证书防火墙技术，可以根

7、据客 户端证书的特定信息（例如签发者，证书项，序列号，证书 指纹等）将证书划分应用范围，对不同的应用范围,采取不 同的证书认证机制。支持证书导航功能，可通过对象仓库或Radius进行双因子 身份认证，匹配内容需具备证书序列号、证书指纹、证书 内容、证书主题、HOST、URL和HOST+URL等方式。5用户认证支持USB-KEY介质的证书用户认证。支持证书认证之后再次进行Radius权限服务认证服务功 能。支持用户作废列表（CRL）无差别认证功能，通常情况下，在 匹配CRL的时候，会首先匹配CRL的签发者和待验证证书 的签发者是否一致，仅仅在签发者一致的情况下，才会进 步匹配证书的序列号.设置本

8、选项将跳过签发者匹配，而是在所有可用CRL中搜索是否该证书序列号已经被废 除。提供四种等级认证功能，可具备“不认证用户证书”、“用 户证书有则认证，无则不认证”、“强制用户必须认证”、 “认证用户必须存在信任列表内”四种等级认证策略。支持HOST验证功能，如果用户访问来源非指定HOST域名 或IP即使证书有效也一样拒绝访问。单个认证服务中可同时支持RSA证书及SM2证书的兼容认 证。6访问控制支持基于用户角色、资源的访问控制规则。支持基于URL级的资源访问控制规则。支持基于HTTP协议头级的资源访问控制规则。支持服务器真是地址保护，对访问者显示的仅有VPN服务 地址及端口，防止服务器真实IP地

9、址泄露。支持Radius权限管理服务联合验证访问控制。7管理监控支持一键系统自检功能，可快速对设备中的网络、证书、 认证服务、双机热备等情况进行快速的健康检查和问题定 位功能。支持SNMP监控管理远程集成。支持SVG图形化历史状态报表统计功能，可分析出历史流 量、连接数、用户数等项目的最大、最小及平均值等关键信息数据。8高可用性具备VVRP冗余协议的热备功能，保证业务高可能性。产品内建集群负载均衡功能，可灵活组建服务集群。具备备份当前产品的所有配置，保证系统瘫痪时的快速恢 复。9日志和审计支持管理员认证信息、登入、登出、系统操作日志；支持用户认证信息、登入、登出、访问服务日志；支持日志本地、远

10、程日志审计服务器SYSLOG格式发送；10产品资质公安部计算机信息系统安全专用产品销售许可证 国家密码管理局商用密码产品型号证书 国家密码管理局商用密码产品生产定点单位 国家密码管理局商用密码产品销售许可证软件著作权证书质量管理体系认证证书3、 USB-key1硬件特性8/32位高性能智能安全芯片自主知识产权的芯片操作系统32K/64K/128K安全存储空间支持 SSF33/RSA(1024/2048)/SM1/SM2/SM3/SM4 以 及国产分组算法等硬件生成1024位RSA密钥对硬件实现数字签名，私钥永不出Key2软件特性支持多种操作系统提供标准的安全中间件(PKCS#11和CSP)以及

11、API 接口提供 Win32 DLL 和 ActiveX 控件软件开发包(SDK)模块化、配置化、可定制化，易于 开发和升级3功能特性双因子身份认证，认证时需同时提供证书和PIN码，安全性高支持同时存储多组密钥和证书可同时提供身份认证、数据加解密、安全存储等功能4支持的操作系统：Windows98SE/Me/2000/XP/2003 Server/Vista/Win7、Linux5证书和标准：PKCS#11， CSP， X.509v3， SSLv3， IPSec6USB2.0 接口：全速71024位RSA公私 钥对生成：平均714ms/对81024位RSA解密/签名：平均 15ms/次9102

12、4位RSA加密/验签：平均1.4ms/次10SM1加密/解密：平均 1.5Mbps11SSF33加密/解密：平均 1.5Mbps12数据存储年限：至少10年13写次数：至少30万次4、数字证书开发接口1、要求开发接口支持SM2。2、开发接口分为：客户端浏览器ActiveX控件。服务端CWCA.jar应用包。3、能够对一下三个层面进行开发Microsoft KeyStore 及 USBKey CSP、Microsoft CryptoAPI、应用 API 层 （JAVA/COM）。现实功能应包括：1）数字证书应用接口实现证书验证、证书解析、数字签名、密钥分割、密钥还 原等功能，2）实现对各类证书介质的透明支持。3）数字证书应用接口通过开发集成方式集成进入各个应用系统中，通过接口调 用来实现系统登录