吉大正元电子证书认证系统SRQ05技术白皮书

JITSRQ05V5.0.2吉大正元电子证书认证系统技术白皮书Version1.2有意见请寄：.cnflBJITTechnologies中国•北京市海淀区知春路113号银网中心B座12层电话：86真：86大正元信息技术股份有限公司声明本文档是吉大正元信息技术股份有限公司的机密文档，文档的版权属于吉大正元信息技术股份有限公司，任何使用、复制和公开此文档的行为都必须经过吉大正元信息技术股份有限公司的书面许可。内部资料请注意保密版本,密级及修改记录修改日期版本操作备注2008-12-051.0创建2009-2-91.1修改加入声明2009-2-221.2修改部门内互评修改目录TOC\o"1-5"\h\z\o"CurrentDocument"前言 1\o"CurrentDocument"应用场景描述 1\o"CurrentDocument"需求描述 1\o"CurrentDocument"术语和缩略语 3\o"CurrentDocument"术语 3\o"CurrentDocument"缩略语 4\o"CurrentDocument"产品概述 5\o"CurrentDocument"产品简介 5\o"CurrentDocument"产品实现原理 5\o"CurrentDocument"产品系统架构 7\o"CurrentDocument"功能流程 8\o"CurrentDocument"产品功能 8\o"CurrentDocument"认证中心(CAServer) 8\o"CurrentDocument"注册中心彻Server) 8\o"CurrentDocument"密钥管理中心枷Server) 8\o"CurrentDocument"在线证书状态查询服务 OCSPServer) 8\o"CurrentDocument"工作流程 9\o"CurrentDocument"认证中心(。4Server) 9\o"CurrentDocument"注册中心彻Server) 12\o"CurrentDocument"密钥管理中心枷Server) 16\o"CurrentDocument"在线证书状态查询系统 OCSPServer) 20\o"CurrentDocument"产品特点 20\o"CurrentDocument"丰富完备的功能 20\o"CurrentDocument"部署灵活、操作简单 21\o"CurrentDocument"完全符合国内、国际PKI建设标准 21\o"CurrentDocument"系统平台的高安全性 22\o"CurrentDocument"稳定的性能保证系统的高可用性 23\o"CurrentDocument"广泛的平台兼容性 23\o"CurrentDocument"系统架构的可扩展性 24\o"CurrentDocument"良好的易用性与安全清晰的管理模式 24\o"CurrentDocument"应用平台的开放性 25\o"CurrentDocument"运行部署 25交付产品和系统配置 25产品逻辑结构图 25\o"CurrentDocument"产品清单 26\o"CurrentDocument"推荐配置 27\o"CurrentDocument"产品规格和License机制 27系统组成 27部署结构一全面型 27\o"CurrentDocument"部署结构一精简型 29\o"CurrentDocument"部署结构一密钥托管型 30\o"CurrentDocument"资质证书 32\o"CurrentDocument"典型案例 32图表目录图表1-1术语对照表 4图表1-2缩略语对照表 4图表2-1系统体系结构 7图表4-1 SRQ05支持的标准 22图表5-1逻辑结构图 25图表5-2产品清单 26图表5-3推荐配置 27图表5-4部署结构图一全面型 28图表5-5系统组成清单一全面型 29图表5-6部署结构图一精简型 29图表5-7系统组成清单一精简型 30图表5-8部署结构图一密钥托管型 31图表5-9系统组成清单一密钥托管型 311前言1.1应用场景描述在现实生活中，表达人身份的是居民身份证，而在当前信息化程度越来越高的网络环境中，证书越来越被广泛的用来代表人、设备、服务器等实体的身份；现实生活中，居民身份证是由公安局进行颁发和管理的，那么在网络环境中，用来颁发和管理身份证书就是公钥基础设施。公钥基础设施(PublicKeyInfrastructure，简称PKI)是采用非对称密码算法和技术，来实现并提供安全服务，并具有通用性的安全基础设施，是一种遵循标准的密钥管理平台。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI体系实际上就是计算机软硬件、权威机构及应用系统的结合。它采用数字证书的形式管理公钥，通过CA把用户的公钥和用户的其他标识信息(如名称、身份证号码、e-mail地址等)捆绑在一起，实现对用户身份的验证；它将公钥密码和对称密码结合起来，通过网络和计算机技术实现密钥的自动管理，保证机密数据的保密性和完整性。通过采用PKI体系管理密钥和证书，可以建立一个安全的网络环境，实现信息的保密性、完整性，并完成身份鉴别以确保不可抵赖性。1.2需求描述建立一个安全的网络环境，并要解决如何使用安全的身份进行认证的问题、如何保证敏感数据安全传输的问题、如何将机密数据安全保护存储的问题等等更多的安全应用问题，这在当今信息化高度发展、高度普及的情况下，就变成了急需和迫切要去解决的。而利用基于PKI技术基础的数字证书作为解决这些问题的基石，利用数字证书的密钥和证书所能实现的保密性、完整性和不可抵赖性，构建一个与客户应用系统紧密结合的安全应用系统，彻底解决和防范安全风险。那对于解决这一系列问题的基石一一数字证书，它是如何产生、如何管理、维护的呢，这就需要在解决问题之初，建立一套完整的PKI体系，进而才能解决更多、更棘手的安全问题。PKI的重要工作是管理密钥和证书。通过PKI对密钥和证书的管理，一个组织可以建立并维护可信赖的网络环境。PKI使加密和数字签名服务得到广泛的应用。就网络安全中实现有效的公钥基础设施而言，存在许多需求。概括地说，一个有效的PKI是透明的。如果用户不能从应用中的加密和数字签名中获得益处，那么PKI是没有价值的，而用户需要PKI能为自己提供相应的安全服务，并对服务的具体实现并不关心，这要求PKI具有透明性。透明性意味着用户不必知道PKI是如何管理密钥和证书的，只从加密和数字签名中获得益处就足够了。CA(CertificationAuthority)认证机构是PKI的核心组成部分，通常被称为认证中心，它是数字证书的签发机构。PKI服务系统的关键问题是如何实现密钥管理，目前较好的解决方案是引进证书(Certificate)机制来实现。在公钥机制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。CA正是这样的机构，它的职责归纳起来有：♦验证并标识证书申请者的身份♦确保CA用于签发证书的非对称密钥的质量♦确保整个签证过程的安全性，确保签名私钥的安全性♦证书资料的管理(包括公钥证书序列号、CA标识等)的管理♦确定并验证证书的有效期限♦确保证书主体标识的唯一性♦发布并维护证书注销列表(CRL)♦对整个证书签发过程作日志纪录♦向申请人发出通知为用户签发数字证书我们可以把CA看成是一个国家的护照签发中心。护照是由权威中心（护照签发中心）颁发的一种安全文件，它是护照持有者的一种纸质身份证明，任何信任该国护照签发中心的其他国家也会信任该国护照签发中心所签发的护照。数字证书是由权威中心（CA中心）签发的一种电子安全文件，它是数字证书持有者的一种电子版身份证明，任何信任该CA中心的所有用户也会信任该CA中心所签发的数字证书，进而确定证书持有者的身份。1.3术语和缩略语1.3.1术语名词解释轻量级目录访问协议LDAP，即LightweightDirectoryAccessProtocol的缩与，是一种较为简单的轻量级目录访问协议。随着互联网成为网络的主流，LDAP也成为一个具备目录的大部分服务的协议X.509证书标准国际电话与电报咨询委员会（CCITT）规定的一种行业标准。在这个标准中提供了一个数字证书的标准格式，规定数字证书必须包含的一些信息：如版本号、序列号、签名算法、有效期限等电子文档与传统的纸质文档相对应，指的是在计算机中处理的文档。常见的电子文档格式包括：MicrosoftWord、MicrosoftExcel、AdobePDF、HTML文件、文本文件（TXT）、金山WPS等加密/解密使用计算机密码技术，对数字信息进行转换保护，形成新的信息，称为加密；把加密的信息还原成原文信息，成为解密。被加密的信息与原信息完全不同，通过被加密的信息无法得知原文信息。加密的信息只有通过加密时使用的密钥才能进行解密数字签名米用PKI技术，先对原文信息进行摘要（Hash），然后通过私钥进行签名处理，生成签名信息，签名信息只有私钥才能产生，签名过程不可逆,通过数字签名，可以保证明文数据的完整性和不可抵赖性

名词解释数字信封结合加密技术和数字签名技术，把明文信息进行加密打包，生成的信息中包含被加密保护的明文信息和数字签名信息，形如一个信封，称为数字信封。通过数字信封，可以在开放的网络环境中进行数据的安全存储，既保证数据的安全性，又保证数据的完整性和准确性电子印章能够在信息环境中使用的印章，由硬件和软件构成不可抵赖性是指对行为的确认，确定行为必须是某人或某机构所为，不能否认，数字签名通过非对称密码技术和PKI管理体制保证不可抵赖实现数据完整性表明数据没有遭受以非授权方式所作的篡改或破坏USBKey一种智能存储设备，内有cpu芯片，用于存放数字证书，可进行数字签名和签名验证的运算，可插在电脑的USB接口中使用图表1-1术语对照表1.3.2缩略语缩略语英文中文CACertificateAuthority数字证书中心。作为权威的第三方负责发放数字证书CRLCertificateRevokeList证书吊销列表KMKeyManagement密钥管理LDAPLightweightDirectoryAccessProtocol轻量级目录访问协议OAOfficeAutomation办公自动化信息管理系统OCSPOnlineCertificateStatusProtocol在线证书状态协议PKIPublicKeyInfrastructure公钥基础设施RARegisterAuthority审核注册中心SSLSecureSocketLayer安全套接层协议层。它是网景（Netscape）公司提出的基于WEB应用的安全协议图表1-2缩略语对照表2产品概述2.1产品简介JITSRQ05电子证书认证系统是在吉大正元原有产品基础上，结合国内外同类产品的特点研制开发的。JITSRQ05电子证书认证系统支持通过挂接密钥管理中M（KM）来管理用户加密密钥，从而提高了用户加密密钥的安全性和可恢复性。通过支持证书模板，提高了签发各类型证书的灵活性。此外JITSRQ05电子证书认证系统还支持在线证书状态查询，支持硬件加密设备和多种数据库平台。JITSRQ05电子证书认证系统产品组件配置灵活，可以根据用户的不同需求进行选择性配置，为用户量身打造一套安全、稳定、实用、快捷的数字证书管理平台。JITSRQ05电子证书认证系统是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统。由JITCAServer颁发的数字证书遵循X.509v3规范。在证书有效的情况下，保证公钥能与确定的实体唯一对应。该系统满足了作为一个具有世界先进水平的CA认证中心系统软件的全部需求。通过使用CAServer发行的数字证书可以为用户提供信息安全的全面服务：♦保密性一保证信息是秘密的♦完整性一能检验信息未被篡改♦身份鉴别一检验个人或机构的身份♦不可否定性一确保信息或操作不能被否认JITSRQ05电子证书认证系统应用国际先进技术，拥有高强度的加密算法，高可靠性的安全机制及完善的管理及配置策略。提供自动的密钥和证书管理服务。2.2产品实现原理吉大正元提供了一系列安全产品，为用户提供了完备的安全解决方案。吉大正元的产品系列依照下列原则构造：♦高安全性和可靠性♦高强度加密支持♦模块化设计，保证系统的可扩展性♦开放标准♦灵活的配置策略JITSRQ05电子证书认证系统产品遵循吉大正元产品的一贯产品开发原则，为保证系统的高安全性和稳定性，采用分层的安全体系结构为系统提供多层次的安全保障。整个安全体系分为：技术支撑层、服务层、应用访问层。技术支撑层包括业务实现层、数据持久层和操作系统。系统底层所使用的安全技术是建立在加密算法（主要是公钥加密体制），数字签名，CA安全认证和密钥管理、安全应用协议，以及X.509数字证书等国际标准基础上的。服务框架层系统内部的服务框架层基于角色实现权限管理机制和访问控制策略。系统内将权限管理点进行细致的拆分，并基于角色将相应的权限点与管理员公钥证书进行绑定，可以方便的实现安全访问控制策略。Web访问层系统基于B/S模式开发，在Web访问层中，使用符合国际标准的SSL安全通信层协议，基于X509证书实现双向认证的安全WEB访问，保证交互数据的安全性和完整性。

2.3产品系统架构JITSRQ05电子证书认证系统由以下几个核心组件组成:♦认证中M(CAServer)♦注册中M(RAServer)♦密钥管理中M(KMServer)♦在线证书状态查询服务(OCSPServer)其中认证中心为产品的核心，其他组件围绕认证中心提供更完善的安全解决管理员(浏览器)系统管理，业务管理，审计管理管理员(浏览器)系统管理，业务管理，审计管理管理员(浏览器)系统管理，业务管理，审计管理管理员(浏览器)系统管理，业务管理，审计管理管理员(浏览器)系统管理，业务管理，审计管理管理员(浏览器)系统管理，业务管理，审计管理图表2-1系统体系结构3功能流程3.1产品功能认证中心(CAServer)CAServer作为吉大正元电子证书认证系统的核心，负责所有证书的签发、注销以及证书注销列表的签发等管理功能。注册中心(RAServer)RAServer是吉大正元数字证书注册审批系统，是CAServer的证书发放、管理等业务的延伸。它负责所有证书申请者的信息录入、审核等工作，同时对发放的证书进行管理。3.1.3密钥管理中心(KMServer)KMServer是吉大正元密钥管理系统，为CAServer提供用户加密密钥的生成及管理服务。系统支持符合PKCS#11标准的加密设备，支持高强度的密钥及加密算法。通过PKCS#11接口直接硬件加密，实现了黑盒管理，系统密钥不出主机加密服务器，拥有高强度的安全性和保密性。3.1.4在线证书状态查询服务(OCSPServer)OCSPServer是吉大正元在线证书状态查询系统，为证书应用提供实时的证书状态查询服务。3.2工作流程3.2.1认证中心(CAServer)证书管理在CAServer系统中，只有拥有证书管理角色的管理员才能进行证书管理的操作。证书管理主要包括证书的申请、下载、更新、冻结，解冻，注销、授权码更新和证书实体查询等操作。♦证书申请系统提供基于WEB的申请方式，简单易用，帮助用户方便、安全、快捷的进行证书申请。用户可以根据自己的需要选择相应的证书模板进行证书申请操作，如果申请成功，系统将返回下载证书所需的凭证。证书下载证书申请通过审核之后，用户可以通过下载凭证安全的下载证书。系统提供基于WEB的下载方式，支持多种加密算法和密钥长度，支持智能卡、USB-KEY等多种存储介质，或直接下载成p7b和pfx格式的文件证书。证书更新系统提供证书更新功能，用户可以根据需要对正在使用中的证书进行有效期的更改，更新成功后，用户可以下载新的证书。证书冻结用户可以对一些短期内不会使用的证书进行冻结操作，在冻结期间内证书被限制不可使用。被冻结的证书可以通过解冻操作恢复使用。证书解冻证书解冻操作是相对于证书冻结操作的，此操作将冻结的证书解冻，使得证书可以重新使用。♦证书注销用户可以对一些不再使用的证书进行注销操作，注销后的证书不可恢复。系统对于有下列情况之一的用户进行证书注销：◊密钥泄密◊CA泄密◊从属关系变更◊证书被取代◊操作终止♦授权码更新对一些申请成功但是没有下载的证书，在出现客户的授权码丢失或过期情况时，可以通过授权码更新来重新生成下载凭证，用户使用新的授权码进行证书下载。♦证书实体查询系统支持证书实体查询功能，用户可以通过查询条件可以查询出符合条件的证书，并可将证书实体（公钥证书）保存到本地。系统管理3.2・1・2.1证书模板管理系统引入了证书模板概念，极大的增强了签发不同类型证书的灵活性。系统内置有十几种标准证书模板及标准证书扩展域，能够满足大多数的证书签发需求。系统同时支持自定义证书模板和自定义扩展域，用户可以灵活定制各种证书模板，可以签发出各种不同需要的证书（如代码签名证书、智能卡登录证书等）。证书模板用于定义证书的类别，每一个证书模板定义这一类证书的共同特点。包括证书的有效期限制、密钥类型和密钥长度、是否需要发布及发布的方式以及证书中该包含的扩展域及其扩展域的值等信息。可以自定义各种类型的证书模板，并对其加以管理。对模板的管理操作包括新增、修改、删除和注销，其中只有未使用的模板可以删除，己使用的模板只能注销才能停止被使用。3.2・1・2・2自定义扩展域管理用户可以根据自己的实际需要自定义证书扩展域，并应用于证书模板之中。对自定义扩展的管理包括新增、修改、删除和注销自定义扩展，其中只有未被模板使用的自定义扩展可以删除，已使用的自定义扩展只能注销才能停止被新的模板进行使用。.3权限管理在CAServer系统中，对管理员采用基于数字证书的身份验证机制，管理员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理，管理员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。每个管理员的权限信息都包含两部分内容，一部分是管理角色权限，指定管理员可以进行哪些操作，在CAServer中，系统包含的管理角色有：证书管理角色、模板管理角色和权限管理角色。一个管理员可以被授予一个或多个管理角色，以分权的形式对整个系统进行有效管理。另一部分是管理范围权限，指定管理员可以对哪些证书进行管理。只有具有权限管理角色的管理员才能进行权限管理的操作，才能有权限进行授权管理操作。可以做的操作包括对未被授权的管理员证书进行授权，对已授权的管理员证书进行修改权限或删除其对应的权限。.4归档证书允许管理员对已过期的证书按照一定的条件进行归档，归档后将过期证书移至归档证书表，可以降低证书表的数据量提高整体性能。.5归档证书查询允许管理员对已归档的证书信息进行查询。审计管理JITSRQ05电子证书认证系统采取业务管理和审计管理分开的管理策略，只有审计管理员才能进行审计管理操作，审计管理包括业务审计和日志审计。3・2・1・3・1业务审计系统可以根据操作员信息、证书模板信息、证书状态信息等多种条件统计证书签发数量，给管理员提供针对在CAServer内不同对象的数量统计结果。.2日志审计系统提供日志信息查询、归档日志查询，归档业务日志的日志审计功能，管理员通过这几个功能可以对CAServer的业务日志实现完整的管理功能。注册中心(RAServer)用户管理RAServer在CAServer基础上延伸出的主要功能就是用户管理，可以建立起与用户组织结构相同的用户信息组，且在RAServer端管理的全部证书都必须与一个用户对应起来。RAServer预置两个用户信息组：个人用户和企业用户，每一组均对应一系列的用户信息项。在RA建设规划阶段，可以根据用户需要定制用户信息和企业信息中包含的信息项，更贴近用户应用环境。证书管理RAServer的证书管理与CAServer的证书管理比较相似，但又在CAServer的基础上有了一定上的功能扩展，目的仍然是更好的为用户管理证书业务进行服务。首先，RAServer的证书管理可以设置为手动审核或自动审核。当具备“录入员”权限的管理员进行操作证书时，如果该证书对应的审核状态为手动审核，则录入员提交相应的证书操作申请后，需要具备“审核员”权限的管理员进行审核，审核成功后才会提交至CA进行实际的证书操作；如果证书对应的审核状态为自动审核，则录入员即可提交此证书操作申请至CA。此外，在具备CA的证书管理功能以外，RA还具备以下证书操作：♦批量证书操作可以对多个证书集中做证书业务操作。包括申请、下载操作，其中批量申请必须使用符合一定格式规定的批量申请文件来进行申请。批量操作也受证书审核策略的作用。♦授权码操作对于申请成功的证书，CAServer会将下载该证书的凭证-授权码返回给RAServer，管理员可以将授权码进行打印或发送给相应的邮箱，用户使用授权码可以自主下载证书。♦延迟冻结、解冻、注销证书允许管理员提交延后一定时间后再提交到CAServer进行实际的证书操作。3・2・2.3权限管理在RAServer系统中的权限管理与CAServer类似，也是基于角色对管理员进行授权，且对能管理的哪些证书范围进行授权。系统管理♦模板管理RAServer定时与CAServer模板保持同步，下载CAServer中模板信息，也可以通过手动方式进行与CAServer的模板同步操作。对RAServer中的模板统一配置审核策略，即RAServer中的所有用户根据模板的不同采用不同的审核策略，并且不同的业务采取不同的审核策略。♦主题规则管理系统支持定义一些主题规则，通过用户信息或企业信息中的某些特定项来自动产生用户所申请的证书的证书主题，免去用户掌握证书主题规则的专业性，降低用户使用系统的难度。审计管理RAServer与CAServer一样，采取业务管理和审计管理分开的管理策略，只有审计管理员才能进行审计管理操作，审计管理包括业务审计和日志审计。.1业务审计系统可以根据操作操作员信息、操作时间、证书模板信息、证书状态信息等多种条件条件形成符合要求的业务数据报表，给管理员提供针对在RAServer内不同对象的数量统计结果.2日志审计系统提供日志信息查询、归档日志查询，归档业务日志的日志审计功能，管理员通过这几个功能可以对RAServer的业务日志实现完整的管理功能。用户自主服务RAServer为了更好的为客户服务，提供用户自主服务，供最终用户无需管理员配合可以进行一些证书相关操作，并提供良好的扩展机制进行设置策略。.1功能点♦自主下载最终用户根据下载凭证-授权码进行自主下载证书。♦自主更新最终用户对自己未过期的证书进行自主更新并下载。♦下载根证书最终用户通过此功能下载该系统的根证书。♦下载CRL文件最终用户通过此功能将本系统发布的CRL文件下载到本地。.2扩展机制由于用户自主服务不强制校验用户的身份，所以用户在使用这些功能时，有些根据实际需要对用户的身份进行校验，而此时用户不一定拥有证书。另外，一些操作还允许设置一些具体参数，这些的实现都依赖于此处的扩展机制来实现。RAServer的扩展机制允许自主操作与用户的一些应用结合起来进行验证用户的身份，例如自主录入申请时，将输入的Email地址以及另一页面输入的口令一起发至用户邮件系统中做校验，校验通过则让该用户申请通过，校验不通过则不允许提交该申请；再例如，用户自主更新时，将用户要更新的证书通过用户提供的信息表中进行检查，校验是否允许其进行自主更新，并且得到新证书的失效时间是多少等信息。这些都在RAServer的自主服务中很好进行客户应用结合。3.2.3密钥管理中心(KMServer)密钥管理在KMServer系统中，只有拥有密钥管理角色的管理员才能进行密钥管理的操作。密钥管理包括密钥产生，在用密钥的查询、统计与备份、密钥归档、密钥归档查询。♦密钥产生密钥产生分为定时预产生密钥和即时产生密钥两种方式。◊定时预产生密钥管理员可以通过此功能管理密钥产生计划，用于在系统运行不繁忙的时候预先产生密钥以作备用，在CAServer申请密钥的时候可以提高KMServer的工作效率。计划根据执行时间和在数据库中保存的最大数量来决定是否每天执行。管理员可以执行添加、删除、停止计划的操作。◊即时产生密钥管理员可以通过即时产生密钥功能随时产生所需要的一定数量的密钥对。管理员可以设置需要产生的密钥的类型和长度，以及产生数量和计划执行时间等参数。查询在用密钥CAServer向KMServer申请密钥并为用户签发证书成功后，申请的密钥对保存在KMServer的在用密钥库中。设置输入某些查询条件可以查询出符合条件的在用密钥的详细信息。统计备用密钥对系统中所有的备用密钥进行统计。根据统计条件，统计备用密钥的数量。查询归档密钥查询由CA发起密钥归档后，KM进行手动密钥归后档密钥信息。♦归档密钥CA发起密钥归档消息在KM端将待归档密钥对标注为待归档状态，而后由KM端进行手工归档。♦司法取证KMServer可以通过密钥恢复操作来提供司法取证服务。在KMServer系统中，只有拥有密钥管理角色的管理员才能进行密钥恢复操作。司法取证员多方到后，密钥管理员启动密钥恢复操作进行司法取证过程，分别验证每个司法取证员的身份是否和系统中设定的司法取证员相符，验证通过后选择密钥恢复方式，进行密钥的保存。司法验证过程中，KMServer根据在系统初始化阶段设定的M/N值（N个人中最少M个人到场）进行司法取证员的身份验证，需要选择每个司法取证人员证书进行签名，在M个司法取证人员的签名操作完成后，系统验证司法取证人员的合法性（司法取证员必须为系统中注册过的司法取证人员），验证通过后进行密钥恢复。◊密钥恢复密钥恢复可以从KMServer的数据库中提取出欲恢复密钥（私钥）并进行保存，KMServer提供了2种密钥保存方式，基于文件的保存方式和基于智能卡的保存方式。如果选择基于文件的保存方式，KMServer可以提供2种文件格式：PKCS#1格式和PKCS#12格式。PKCS#1格式只保存私钥，PKCS#12格式采取将私钥与证书用保护口令加密的方式保存。基于智能卡的保存方式可以将欲恢复的密钥保存在智能卡内。系统管理.1签发机构管理KMServer可以对多个CA机构提供密钥管理服务，并可以对多个CA机构进行统一的管理。CA机构管理分为CA机构注册、CA机构查询、CA机构冻结、CA机构解冻、CA机构更新五部分。只有具有CA机构管理角色的管理员才能进行CA机构管理的操作。CA机构注册CAServer向KMServer申请密钥前必须先在KMServer中注册并得到KMServer的授权，否则CAServer无权向KMServer申请密钥。CA机构冻结管理员可以根据需要将某些已经在KMServer中注册的CA机构进行冻结，冻结后的CA机构将不能再向KMServer申请密钥，直至被解冻为止。CA机构解冻管理员可以将已冻结的CA机构解冻从而恢复其申请密钥的权限。CA机构更新管理员可以更新已经在KMServer中注册的CA机构的注册信息。CA机构密钥设置CA机构密钥设置功能，可以设置各个注册的CA机构申请的密钥数量。.2司法取证员管理司法取证员是为进行密钥恢复操作而设置的人员。在进行密钥恢复时，需要由几位特定的司法取证员共同到场，依次验证权限才能进行操作。司法取证员权限管理主要包括司法取证员注册、查询和删除等。♦司法取证员注册只有注册后的司法取证员才能进行司法取证操作，注册的司法取证员人数不能超过系统允许的司法取证人员总数，不能重复注册同一司法取证员。♦司法取证员删除管理员可以删除已经在系统中注册的司法取证员，被删除的司法取证员不能再进行司法取证操作。.3权限管理在KMServer系统中，对管理员采用基于数字证书的身份验证机制，管理员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理，管理员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。KMServer通过为管理员分配管理角色来指定管理员可以进行哪些操作，KMCServer系统中包含的管理角色有：密钥管理角色、CA机构管理角色、权限管理角色和审计管理角色。一个管理员可以被授予一个或多个管理角色，以分权的形式对整个系统进行有效管理。只有具有授权管理角色的管理员才能进行以下的授权管理操作。注册管理员注册后的管理员具有被赋予的管理角色，可以进行相应的操作。授权管理员注册后的管理员的权限可以被修改或删除。审计管理KMServer与CAServer一样，采取业务管理和审计管理分开的管理策略，只有审计管理员才能进行审计管理操作，审计管理包括业务审计和日志审计。.1业务审计系统提供备用密钥统计、签发机构密钥查询、签发机构密钥统计、签名机构业务量统计、归档密钥查询和归档密钥统计的业务审计功能，给管理员提供针对在KMServer对密钥数量不同方式的统计结果。.2日志审计系统提供日志信息查询、归档日志查询，归档业务日志的日志审计功能，管理员通过这几个功能可以对KMServer的业务日志实现完整的管理功能。3.2.4在线证书状态查询系统(OCSPServer)OCSPServer通过CA的镜像数据库查询证书状态，这样比查询CRL(证书注销列表)更可靠、更及时，提供给证书应用的信息更丰富。OCSPServer可以支持查询多个不同CA颁发的证书，证书应用向OCSPServer查询证书状态时，可以一次查询不同CA颁发的证书状态。OCSPToolkit封装证书应用的证书状态查询请求，然后发送给OCSPServer，并将从OCSPServer响应中解析的证书状态，返回给证书应用。OCSPToolkit为证书应用提供简单、易用的用户接口。减轻了证书应用开发者的工作量。4产品特点4.1丰富完备的功能♦丰富的证书业务功能♦基于角色的授权管理♦支持多级CA♦强大的证书模板功能♦支持自定义项目（自定义证书模板&自定义证书扩展域）♦支持汉字证书♦支持签发微软智能卡登录（SmartcardLogon）证书♦支持交叉认证♦支持KM（密钥管理中心）♦支持OCSP（在线证书状态查询）♦支持可替换的加密模块4.2部署灵活、操作简单采用B/S服务模式，安装部署工作只需要在服务端进行，部署工作方便灵活。客户端无需安装任何客户端软件，完全基于浏览器即可完成所有的管理操作，管理终端与服务器之间采用SSL安全连接。4.3完全符合国内、国际PKI建设标准JITSRQ05系统完全遵循国内、国际PKI建设及相关标准，这样有利于与其它厂商的产品实现网际互连，支持更多的应用。SRQ05产品支持的标准类别标准标准内容1、密码算法和标准加密SSF33分组密码算法数字签名RSA数字签名，符合PKCS#1V2.0DSA，符合数字签名标准、美国FIPSPUB186和ANSIX9.30（第一部分）散列函数SHA—1,符合美国FIPSPUB180-1和ANSIX9.30（第二部分）MD5报文摘要算法，符合因特网 RFC1321密钥管理RSA密钥传输符合因特网RFC1421和1423（PEM）和PKCS#1V2.0伪随机数生成符合ANSIX9.1对称技术的完整性报文验证码（MAC），符合美国FIPSPUB113、ANSIX9.9和X9.19伪随机数生成符合ANSIX9.172、数据格式和协议证书和证书注销列表格式第3版证书和证书扩展，符合ITU-Trec.X.509(1997)和公用标准ISO/IEC9594-8(1997)证书注销表和证书注销表扩展，符合IETFPKIX-1概况表技术规范RSA算法标识符和公开密钥格式，符合PEM和PKCS#1V2.0文件包封格式基于因特网RFC1421(PEM)的标准文件包封格式安全文件包封技术，符合 PKCS#7和S/MIME目录协议轻量目录存取协议(LDAP)，符合RFC1777PKI操作协议符合PKIX-2图表4-1SRQ05支持的标准4.4系统平台的高安全性♦通讯安全系统采用SSL标准安全通信协议。♦数据安全数据库、配置文件中的敏感数据采用加密方式保存；提供完备的数据备份及恢复的手段。♦人员安全采用基于数字证书的身份验证机制，管理员使用X.509证书进行登录管理、管理员的管理权限与其证书进行绑定。分布式权限管理，管理员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。♦完善的审计手段系统提供对所有业务情况的详尽记录和查询手段。4.5稳定的性能保证系统的高可用性♦高性能合理的系统设计以及软件能够为用户提供高性能的服务，核心服务接口设计先进，使系统每分钟能支持几万个事务处理；支持高容错，大批量业务操作与数据查寻，同时满足实时性要求。经过测试，在普通硬件平台上系统单机的并发请求处理能力达到300以上，在300并发压力的情况下，处理能力能保持在每秒签发10张以上的证书，并保持100%的成功率。♦高可用性系统的所有组件（CA、KM、RA、OCSP）均支持集群部署和负载均衡技术，在正常运行的情况下，可以通过增加负载均衡的服务器，平滑扩展性能。4.6广泛的平台兼容性♦灵活可配置的密码模块通过标准接口对密码机、加密卡、智能卡等多种加密设备进行支持。♦支持多种数据库产品系统数据中心模块采用基于JDBC标准的数据操作服务，可挂接不同的数据库产品，包括Oracle（9i、10g）、SQLServer（2000、2005、2008）等数据库产品。♦支持多种目录服务产品系统支持基于LDAPv3标准协议的目录服务，符合此标准的目录服务产品均可直接挂接到系统中。特别对微软的ActiveDirectory（活动目录）提供专门的支持。♦支持多种操作系统平台：JITSRQ05电子证书认证系统可以支持多种操作系统，包括Windows,Linux,AIX，Solaris，HP_UX。4.7系统架构的可扩展性作为建立信用的支撑平台，PKI系统必须具有可扩展功能，随组织的发展而发展，同时，能够满足不断呈现的各类需求，实现与各类应用系统的整合和扩展。JITSRQ05电子证书认证系统在设计时充分考虑了以上现实情况：♦模块化设计分布式、可拆装的系统模块化设计，可替换、可重组的系统构架，支持与其它应用系统互操作。所有系统中只有核心服务器承担着真正的运行与管理任务，其它模块可随组织的发展需要逐步挂接到系统中。通过提供API接口的手段为用户提供二次开发能力。♦支持多级CA及交叉认证可根据需要建立无限制多级的CA，并通过交叉认证与外界建立广泛的联系。♦支持用户自定义项目CAServer系统内置有十几种标准证书模板及标准证书扩展域，能够满足大多数的证书签发需求。系统同时支持自定义证书模板和自定义扩展域，可以满足不同应用的特殊需求，用户可以定制出符合自己实际需求的证书签发模板。4.8良好的易用性与安全清晰的管理模式客户端基于浏览器进行访问，通过简单的点击即可完成一次业务操作，页面内容清晰简洁，操作人员易于使用。系统采用安全清晰的管理模式：♦基于角色进行管理权限的定制和分配♦管理权限与管理员证书进行绑定，通过证书验证管理员身份♦各产品组件采用风格统一的管理界面和流程能显著降低管理负担4.9应用平台的开放性在设计和开发过程中完全遵循国际开放标准，够很方便地与第三方产品进行集成、与其它系统互操作。对外提供RAToolkit和OCSPToolkit等应用开发API，用户可以使用这些API进行二次开发，分别实现与CAServer和OCSPServer的通信，将用户需要的证书业务嵌入已有的应用系统中。5运行部署5.1交付产品和系统配置5.1.1产品逻辑结构图OCSPToolkit图表5-1逻辑结构图

5.1.2产品清单序号产品名称形态支持的操作系统第三方产品依赖1CA签发管理系统/SRQ05CAServer软件X86架构平台：Windows2000.20003、2008Server版、Solaris10X86版、Redhat、Turbo、红旗等主流LinuxIBM架构平台：AIX5.2及以上HP架构平台：HP_UX11.11i数据库：Oracle9i、10gMicrosoftSQLServer2000、2005、2008目录服务器：JITGalaxyiPlanetITEC-iDSIBMTivoliDirectoryMicrosoftActiveDirectory加密机：得安加密机56所加密机30所加密机正元加密机2RA注册管理系统/SRQ05RAServer软件3KM密钥管理中心/SRQ05KMServer软件4OCSP在线证书查询系统/SRQ05OCSPServer软件5RAX具包/RAToolKitJAVA版SDKRAToolkit为纯java程序，理论上讲可以在任何支持Java的环境下部署。目前测试过的环境为：Windows环境下的Jdk1.4,1.5无6OCSP工具包/OCSPToolKitJAVA版SDKOCSPToolkit为纯java程序，理论上讲可以在任何支持Java的环境下部署。目前测试过的环境为：Windows环境下的Jdk1.4,1.5无图表5-2产品清单5.1.3推荐配置项目推荐配置最低配置CPU双核或四核3.0GCore2Duo2.4GRAM4G1G磁盘空间1G500M图表5-3推荐配置5.2产品规格和License机制JITSRQ05电子证书认证系统根据不同行业分为两种不同的产品规格：SRQ05-A和SMG01主要面对第三方运营CA，其中SRQ05-A包括CAServer、RAServer和OCSPServer，SMG01包括KMServerSRQ05-B面对除第三方运营CA以外的其它行业，其中包括CAServer、KMServer>RAServer和OCSPSe