吉大正元电子证书认证系统SRQ05技术白皮书

1、JIT SRQ05 V5.0.2 吉大正元电子证书认证系统吉大正元电子证书认证系统技术白皮书技术白皮书Version 1.2 有意见请寄有意见请寄 ：中国北京市海淀区知春路 113 号银网中心 B 座 12 层 电话：86传真：86大正元信息技术股份有限公司吉大正元信息技术股份有限公司声明声明本文档是吉大正元信息技术股份有限公司的机密文档，文档的版权属于吉大正元信息技术股份有限公司，任何使用、复制和公开此文档的行为都必须经过吉大正元信息技术股份有限公司的书面许可。内部资料内部资料 请注意保密请注意保密版本、密级及修改记录版本、密级及修改记

2、录修改日期版本操作备注2008-12-051.0创建2009-2-91.1修改加入声明2009-2-221.2修改部门内互评修改目录目录1前言前言.11.1应用场景描述.11.2需求描述.11.3术语和缩略语.31.3.1术语.31.3.2缩略语.42产品概述产品概述.52.1产品简介.52.2产品实现原理.52.3产品系统架构.73功能流程功能流程.83.1产品功能.83.1.1认证中心（CA Server）.83.1.2注册中心（RA Server）.83.1.3密钥管理中心（KM Server）.83.1.4在线证书状态查询服务（OCSP Server）.83.2工作流程.93.2.1认

3、证中心（CA Server）.93.2.2注册中心（RA Server）.123.2.3密钥管理中心（KM Server）.163.2.4在线证书状态查询系统（OCSP Server）.204产品特点产品特点.204.1丰富完备的功能 .204.2部署灵活、操作简单.214.3完全符合国内、国际 PKI 建设标准.214.4系统平台的高安全性.224.5稳定的性能保证系统的高可用性.234.6广泛的平台兼容性.234.7系统架构的可扩展性.244.8良好的易用性与安全清晰的管理模式.244.9应用平台的开放性.255运行部署运行部署.255.1交付产品和系统配置.255.1.1产品逻辑结构图.

4、255.1.2产品清单.265.1.3推荐配置.275.2产品规格和 LICENSE机制.275.3系统组成.275.3.1部署结构全面型.275.3.2部署结构精简型.295.3.3部署结构密钥托管型.306资质证书资质证书.327典型案例典型案例.32图表目录图表目录图表 1-1 术语对照表.4图表 1-2 缩略语对照表 .4图表 2-1 系统体系结构 .7图表 4-1 SRQ05 支持的标准 .22图表 5-1 逻辑结构图.25图表 5-2 产品清单.26图表 5-3 推荐配置.27图表 5-4 部署结构图全面型.28图表 5-5 系统组成清单全面型.29图表 5-6 部署结构图精简型.

5、29图表 5-7 系统组成清单精简型.30图表 5-8 部署结构图密钥托管型.31图表 5-9 系统组成清单密钥托管型.31JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 1 页 1 前言前言1.1 应用场景描述应用场景描述在现实生活中，表达人身份的是居民身份证，而在当前信息化程度越来越高的网络环境中，证书越来越被广泛的用来代表人、设备、服务器等实体的身份；现实生活中，居民身份证是由公安局进行颁发和管理的，那么在网络环境中，用来颁发和管理身份证书就是公钥基础设施。公钥基础设施(Public Key Infrastructure，简称 PKI)是采用非对称密码算法和技术，来实

6、现并提供安全服务，并具有通用性的安全基础设施，是一种遵循标准的密钥管理平台。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI 体系实际上就是计算机软硬件、权威机构及应用系统的结合。它采用数字证书的形式管理公钥，通过 CA 把用户的公钥和用户的其他标识信息（如名称、身份证号码、e-mail 地址等）捆绑在一起，实现对用户身份的验证；它将公钥密码和对称密码结合起来，通过网络和计算机技术实现密钥的自动管理，保证机密数据的保密性和完整性。通过采用 PKI 体系管理密钥和证书，可以建立一个安全的网络环境，实现信息的保密性、完整性，并完成身份鉴别以确保不可抵赖性。1

7、.2 需求描述需求描述建立一个安全的网络环境，并要解决如何使用安全的身份进行认证的问题、如何保证敏感数据安全传输的问题、如何将机密数据安全保护存储的问题等等更多的安全应用问题，这在当今信息化高度发展、高度普及的情况下，就变成了急需和迫切要去解决的。而利用基于 PKI 技术基础的数字证书作为解决这些问题的基石，利用数字证书的密钥和证书所能实现的保密性、完整性和不可抵赖性，构建一个与客户应用系统紧密结合的安全应用系统，彻底解决和防范安全风险。那对于解决这一系列问题的基石数字证书，它是如何产生、如何JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 2 页 管理、维护的呢，这就需要在

8、解决问题之初，建立一套完整的 PKI 体系，进而才能解决更多、更棘手的安全问题。PKI 的重要工作是管理密钥和证书。通过 PKI 对密钥和证书的管理，一个组织可以建立并维护可信赖的网络环境。PKI 使加密和数字签名服务得到广泛的应用。就网络安全中实现有效的公钥基础设施而言，存在许多需求。概括地说，一个有效的 PKI 是透明的。如果用户不能从应用中的加密和数字签名中获得益处，那么 PKI 是没有价值的，而用户需要 PKI 能为自己提供相应的安全服务，并对服务的具体实现并不关心，这要求 PKI 具有透明性。透明性意味着用户不必知道 PKI 是如何管理密钥和证书的，只从加密和数字签名中获得益处就足够

9、了。 CA（Certification Authority）认证机构是 PKI 的核心组成部分，通常被称为认证中心，它是数字证书的签发机构。PKI 服务系统的关键问题是如何实现密钥管理，目前较好的解决方案是引进证书（Certificate）机制来实现。在公钥机制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。CA 正是这样的机构，它的职责归纳起来有： 验证并标识证书申请者的身份 确保 CA 用于签发证书的非对称密钥的质量 确保整个签证过程的安全性，确保签名私钥的安全性 证书资料的管理（包括公钥证书序列号、CA 标识等）的管理 确定并验证证书的有

10、效期限 确保证书主体标识的唯一性 发布并维护证书注销列表（CRL） 对整个证书签发过程作日志纪录JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 3 页 向申请人发出通知 为用户签发数字证书我们可以把 CA 看成是一个国家的护照签发中心。护照是由权威中心（护照签发中心）颁发的一种安全文件，它是护照持有者的一种纸质身份证明，任何信任该国护照签发中心的其他国家也会信任该国护照签发中心所签发的护照。数字证书是由权威中心(CA 中心)签发的一种电子安全文件，它是数字证书持有者的一种电子版身份证明，任何信任该 CA 中心的所有用户也会信任该 CA 中心所签发的数字证书，进而确定证书持有

11、者的身份。1.3 术语和缩略语术语和缩略语1.3.1术语术语名词解释轻量级目录访问协议LDAP，即 Lightweight Directory Access Protocol 的缩写，是一种较为简单的轻量级目录访问协议。随着互联网成为网络的主流，LDAP 也成为一个具备目录的大部分服务的协议X.509 证书标准国际电话与电报咨询委员会(CCITT)规定的一种行业标准。在这个标准中提供了一个数字证书的标准格式，规定数字证书必须包含的一些信息：如版本号、序列号、签名算法、有效期限等电子文档与传统的纸质文档相对应，指的是在计算机中处理的文档。常见的电子文档格式包括：Microsoft Word、Mi

12、crosoft Excel、Adobe PDF、HTML 文件、文本文件（TXT）、金山 WPS 等加密/解密使用计算机密码技术，对数字信息进行转换保护，形成新的信息，称为加密；把加密的信息还原成原文信息，成为解密。被加密的信息与原信息完全不同，通过被加密的信息无法得知原文信息。加密的信息只有通过加密时使用的密钥才能进行解密数字签名采用 PKI 技术，先对原文信息进行摘要（Hash），然后通过私钥进行签名处理，生成签名信息，签名信息只有私钥才能产生，签名过JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 4 页 名词解释程不可逆,通过数字签名，可以保证明文数据的完整性和不可抵

13、赖性数字信封结合加密技术和数字签名技术，把明文信息进行加密打包,生成的信息中包含被加密保护的明文信息和数字签名信息，形如一个信封，称为数字信封。通过数字信封，可以在开放的网络环境中进行数据的安全存储，既保证数据的安全性，又保证数据的完整性和准确性电子印章能够在信息环境中使用的印章，由硬件和软件构成不可抵赖性 是指对行为的确认，确定行为必须是某人或某机构所为，不能否认，数字签名通过非对称密码技术和 PKI 管理体制保证不可抵赖实现数据完整性表明数据没有遭受以非授权方式所作的篡改或破坏USB Key一种智能存储设备，内有 cpu 芯片，用于存放数字证书，可进行数字签名和签名验证的运算，可插在电脑的

14、 USB 接口中使用图表 1-1 术语对照表1.3.2缩略语缩略语缩略语英文中文CACertificate Authority 数字证书中心。作为权威的第三方负责发放数字证书CRLCertificate Revoke List 证书吊销列表KMKey Management密钥管理LDAPLightweight Directory Access Protocol轻量级目录访问协议OAOffice Automation办公自动化信息管理系统OCSPOnline Certificate Status Protocol 在线证书状态协议PKIPublic Key Infrastructure公钥基础设

15、施RARegister Authority审核注册中心SSLSecure Socket Layer安全套接层协议层。它是网景（Netscape）公司提出的基于 WEB 应用的安全协议JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 5 页 图表 1-2 缩略语对照表2 产品概述产品概述2.1 产品简介产品简介JIT SRQ05 电子证书认证系统是在吉大正元原有产品基础上，结合国内外同类产品的特点研制开发的。JIT SRQ05 电子证书认证系统支持通过挂接密钥管理中心（KM）来管理用户加密密钥，从而提高了用户加密密钥的安全性和可恢复性。通过支持证书模板，提高了签发各类型证书的灵

16、活性。此外 JIT SRQ05 电子证书认证系统还支持在线证书状态查询，支持硬件加密设备和多种数据库平台。JIT SRQ05 电子证书认证系统产品组件配置灵活，可以根据用户的不同需求进行选择性配置，为用户量身打造一套安全、稳定、实用、快捷的数字证书管理平台。JIT SRQ05 电子证书认证系统是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统。 由 JIT CA Server 颁发的数字证书遵循 X.509v3规范。在证书有效的情况下，保证公钥能与确定的实体唯一对应。该系统满足了作为一个具有世界先进水平的 CA 认证中心系统软件的全部需求。通过使用CA Server 发行的数字证

17、书可以为用户提供信息安全的全面服务： 保密性 保证信息是秘密的 完整性 能检验信息未被篡改 身份鉴别 检验个人或机构的身份 不可否定性 确保信息或操作不能被否认JIT SRQ05 电子证书认证系统应用国际先进技术，拥有高强度的加密算法，高可靠性的安全机制及完善的管理及配置策略。提供自动的密钥和证书管理服务。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 6 页 2.2 产品实现原理产品实现原理吉大正元提供了一系列安全产品，为用户提供了完备的安全解决方案。吉大正元的产品系列依照下列原则构造： 高安全性和可靠性 高强度加密支持 模块化设计，保证系统的可扩展性 开放标准 灵活的配

18、置策略JIT SRQ05 电子证书认证系统产品遵循吉大正元产品的一贯产品开发原则，为保证系统的高安全性和稳定性，采用分层的安全体系结构为系统提供多层次的安全保障。整个安全体系分为：技术支撑层、服务层、应用访问层。1. 技术支撑层包括业务实现层、数据持久层和操作系统。系统底层所使用的安全技术是建立在加密算法（主要是公钥加密体制） ，数字签名，CA 安全认证和密钥管理、安全应用协议，以及 X.509 数字证书等国际标准基础上的。2. 服务框架层系统内部的服务框架层基于角色实现权限管理机制和访问控制策略。系统内将权限管理点进行细致的拆分，并基于角色将相应的权限点与管理员公钥证书进行绑定，可以方便的实

19、现安全访问控制策略。3. Web 访问层系统基于 B/S 模式开发，在 Web 访问层中，使用符合国际标准的 SSL 安全通信层协议，基于 X509 证书实现双向认证的安全 WEB 访问，保证交互数据的安全性和完整性。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 7 页 2.3 产品系统架构产品系统架构JIT SRQ05 电子证书认证系统由以下几个核心组件组成： 认证中心（CA Server） 注册中心（RA Server） 密钥管理中心（KM Server） 在线证书状态查询服务（OCSP Server）其中认证中心为产品的核心，其他组件围绕认证中心提供更完善的安全解决

20、方案。 RA Server管理员（浏览器）系统管理，业务管理，审计管理数据库CA Server数据库LDAPKM Server管理员（浏览器）系统管理，业务管理，审计管理管理员（浏览器）系统管理，业务管理，审计管理数据库RAToolkitOCSP Server证书应用（证书状态查询）OCSP Toolkit图表 2-1 系统体系结构JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 8 页 3 功能流程功能流程3.1 产品功能产品功能3.1.1认证中心（认证中心（CA Server）CA Server 作为吉大正元电子证书认证系统的核心，负责所有证书的签发、注销以及证书注销列表

21、的签发等管理功能。3.1.2注册中心（注册中心（RA Server）RA Server 是吉大正元数字证书注册审批系统，是 CA Server 的证书发放、管理等业务的延伸。它负责所有证书申请者的信息录入、审核等工作，同时对发放的证书进行管理。3.1.3密钥管理中心（密钥管理中心（KM Server）KM Server 是吉大正元密钥管理系统，为 CA Server 提供用户加密密钥的生成及管理服务。系统支持符合 PKCS#11 标准的加密设备，支持高强度的密钥及加密算法。通过 PKCS#11 接口直接硬件加密，实现了黑盒管理，系统密钥不出主机加密服务器，拥有高强度的安全性和保密性。3.1.4

22、在线证书状态查询服务（在线证书状态查询服务（OCSP Server）OCSP Server 是吉大正元在线证书状态查询系统，为证书应用提供实时的证书状态查询服务。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 9 页 3.2 工作流程工作流程3.2.1认证中心（认证中心（CA Server）3.2.1.1证书管理证书管理在 CA Server 系统中，只有拥有证书管理角色的管理员才能进行证书管理的操作。证书管理主要包括证书的申请、下载、更新、冻结，解冻，注销、授权码更新和证书实体查询等操作。 证书申请系统提供基于 WEB 的申请方式，简单易用，帮助用户方便、安全、快捷的进行

23、证书申请。用户可以根据自己的需要选择相应的证书模板进行证书申请操作，如果申请成功，系统将返回下载证书所需的凭证。 证书下载证书申请通过审核之后，用户可以通过下载凭证安全的下载证书。系统提供基于 WEB 的下载方式，支持多种加密算法和密钥长度，支持智能卡、USB-KEY 等多种存储介质，或直接下载成 p7b 和 pfx 格式的文件证书。 证书更新系统提供证书更新功能，用户可以根据需要对正在使用中的证书进行有效期的更改，更新成功后，用户可以下载新的证书。 证书冻结用户可以对一些短期内不会使用的证书进行冻结操作，在冻结期间内证书被限制不可使用。被冻结的证书可以通过解冻操作恢复使用。 证书解冻证书解冻

24、操作是相对于证书冻结操作的，此操作将冻结的证书解冻，使得证书可以重新使用。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 10 页 证书注销用户可以对一些不再使用的证书进行注销操作，注销后的证书不可恢复。系统对于有下列情况之一的用户进行证书注销：密钥泄密CA 泄密从属关系变更证书被取代操作终止 授权码更新对一些申请成功但是没有下载的证书，在出现客户的授权码丢失或过期情况时，可以通过授权码更新来重新生成下载凭证，用户使用新的授权码进行证书下载。 证书实体查询系统支持证书实体查询功能，用户可以通过查询条件可以查询出符合条件的证书，并可将证书实体(公钥证书)保存到本地。3.2.1

25、.2系统管理系统管理3.2.1.2.1 证书模板管理证书模板管理系统引入了证书模板概念，极大的增强了签发不同类型证书的灵活性。系统内置有十几种标准证书模板及标准证书扩展域，能够满足大多数的证书签发需求。系统同时支持自定义证书模板和自定义扩展域，用户可以灵活定制各种证书模板，可以签发出各种不同需要的证书（如代码签名证书、智能卡登录证书等） 。证书模板用于定义证书的类别，每一个证书模板定义这一类证书的共同特JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 11 页 点。包括证书的有效期限制、密钥类型和密钥长度、是否需要发布及发布的方式以及证书中该包含的扩展域及其扩展域的值等信息。

26、可以自定义各种类型的证书模板，并对其加以管理。对模板的管理操作包括新增、修改、删除和注销，其中只有未使用的模板可以删除，已使用的模板只能注销才能停止被使用。3.2.1.2.2 自定义扩展域管理自定义扩展域管理用户可以根据自己的实际需要自定义证书扩展域，并应用于证书模板之中。对自定义扩展的管理包括新增、修改、删除和注销自定义扩展，其中只有未被模板使用的自定义扩展可以删除，已使用的自定义扩展只能注销才能停止被新的模板进行使用。3.2.1.2.3 权限管理权限管理在 CA Server 系统中，对管理员采用基于数字证书的身份验证机制，管理员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管

27、理，管理员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。每个管理员的权限信息都包含两部分内容，一部分是管理角色权限，指定管理员可以进行哪些操作，在 CA Server 中，系统包含的管理角色有：证书管理角色、模板管理角色和权限管理角色。一个管理员可以被授予一个或多个管理角色，以分权的形式对整个系统进行有效管理。另一部分是管理范围权限，指定管理员可以对哪些证书进行管理。只有具有权限管理角色的管理员才能进行权限管理的操作，才能有权限进行授权管理操作。可以做的操作包括对未被授权的管理员证书进行授权，对已授权的管理员证书进行修改权限或删除其对应的权限。3.2.1.2.4 归档证书归档证书

28、允许管理员对已过期的证书按照一定的条件进行归档，归档后将过期证书JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 12 页 移至归档证书表，可以降低证书表的数据量提高整体性能。3.2.1.2.5 归档证书查询归档证书查询允许管理员对已归档的证书信息进行查询。3.2.1.3审计管理审计管理JIT SRQ05 电子证书认证系统采取业务管理和审计管理分开的管理策略，只有审计管理员才能进行审计管理操作，审计管理包括业务审计和日志审计。3.2.1.3.1 业务审计业务审计系统可以根据操作员信息、证书模板信息、证书状态信息等多种条件统计证书签发数量，给管理员提供针对在 CA Server

29、 内不同对象的数量统计结果。3.2.1.3.2 日志审计日志审计系统提供日志信息查询、归档日志查询，归档业务日志的日志审计功能，管理员通过这几个功能可以对 CA Server 的业务日志实现完整的管理功能。3.2.2注册中心（注册中心（RA Server）3.2.2.1用户管理用户管理RA Server 在 CA Server 基础上延伸出的主要功能就是用户管理，可以建立起与用户组织结构相同的用户信息组，且在 RA Server 端管理的全部证书都必须与一个用户对应起来。RA Server 预置两个用户信息组：个人用户和企业用户，每一组均对应一系列的用户信息项。在 RA 建设规划阶段，可以根据

30、用户需要定制用户信息和企业信息中包含的信息项，更贴近用户应用环境。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 13 页 3.2.2.2证书管理证书管理RA Server 的证书管理与 CA Server 的证书管理比较相似，但又在 CA Server 的基础上有了一定上的功能扩展，目的仍然是更好的为用户管理证书业务进行服务。首先，RA Server 的证书管理可以设置为手动审核或自动审核。当具备“录入员”权限的管理员进行操作证书时，如果该证书对应的审核状态为手动审核，则录入员提交相应的证书操作申请后，需要具备“审核员”权限的管理员进行审核，审核成功后才会提交至 CA 进

31、行实际的证书操作；如果证书对应的审核状态为自动审核，则录入员即可提交此证书操作申请至 CA。此外，在具备 CA 的证书管理功能以外，RA 还具备以下证书操作： 批量证书操作可以对多个证书集中做证书业务操作。包括申请、下载操作，其中批量申请必须使用符合一定格式规定的批量申请文件来进行申请。批量操作也受证书审核策略的作用。 授权码操作对于申请成功的证书，CA Server 会将下载该证书的凭证-授权码返回给RA Server，管理员可以将授权码进行打印或发送给相应的邮箱，用户使用授权码可以自主下载证书。 延迟冻结、解冻、注销证书允许管理员提交延后一定时间后再提交到 CA Server 进行实际的证

32、书操作。3.2.2.3权限管理权限管理在 RA Server 系统中的权限管理与 CA Server 类似，也是基于角色对管理员进行授权，且对能管理的哪些证书范围进行授权。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 14 页 3.2.2.4系统管理系统管理 模板管理RA Server 定时与 CA Server 模板保持同步，下载 CA Server 中模板信息，也可以通过手动方式进行与 CA Server 的模板同步操作。对 RA Server 中的模板统一配置审核策略，即 RA Server 中的所有用户根据模板的不同采用不同的审核策略，并且不同的业务采取不同的审核

33、策略。 主题规则管理系统支持定义一些主题规则，通过用户信息或企业信息中的某些特定项来自动产生用户所申请的证书的证书主题，免去用户掌握证书主题规则的专业性，降低用户使用系统的难度。3.2.2.5审计管理审计管理RA Server 与 CA Server 一样，采取业务管理和审计管理分开的管理策略，只有审计管理员才能进行审计管理操作，审计管理包括业务审计和日志审计。 3.2.2.5.1 业务审计业务审计系统可以根据操作操作员信息、操作时间、证书模板信息、证书状态信息等多种条件条件形成符合要求的业务数据报表，给管理员提供针对在 RA Server 内不同对象的数量统计结果3.2.2.5.2 日志审计

34、日志审计系统提供日志信息查询、归档日志查询，归档业务日志的日志审计功能，管理员通过这几个功能可以对 RA Server 的业务日志实现完整的管理功能。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 15 页 3.2.2.6用户自主服务用户自主服务RA Server 为了更好的为客户服务，提供用户自主服务，供最终用户无需管理员配合可以进行一些证书相关操作，并提供良好的扩展机制进行设置策略。3.2.2.6.1 功能点功能点 自主下载最终用户根据下载凭证-授权码进行自主下载证书。 自主更新最终用户对自己未过期的证书进行自主更新并下载。 下载根证书最终用户通过此功能下载该系统的根证

35、书。 下载 CRL 文件最终用户通过此功能将本系统发布的 CRL 文件下载到本地。3.2.2.6.2 扩展机制扩展机制由于用户自主服务不强制校验用户的身份，所以用户在使用这些功能时，有些根据实际需要对用户的身份进行校验，而此时用户不一定拥有证书。另外，一些操作还允许设置一些具体参数，这些的实现都依赖于此处的扩展机制来实现。RA Server 的扩展机制允许自主操作与用户的一些应用结合起来进行验证用户的身份，例如自主录入申请时，将输入的 Email 地址以及另一页面输入的口令一起发至用户邮件系统中做校验，校验通过则让该用户申请通过，校验不通过则不允许提交该申请；再例如，用户自主更新时，将用户要更

36、新的证书通过用户提供的信息表中进行检查，校验是否允许其进行自主更新，并且得到新证书的失效时间是多少等信息。这些都在 RA Server 的自主服务中很好进行客户JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 16 页 应用结合。3.2.3密钥管理中心（密钥管理中心（KM Server）3.2.3.1密钥管理密钥管理在 KM Server 系统中，只有拥有密钥管理角色的管理员才能进行密钥管理的操作。密钥管理包括密钥产生，在用密钥的查询、统计与备份、密钥归档、密钥归档查询。 密钥产生密钥产生分为定时预产生密钥和即时产生密钥两种方式。定时预产生密钥管理员可以通过此功能管理密钥产生

37、计划，用于在系统运行不繁忙的时候预先产生密钥以作备用，在 CA Server 申请密钥的时候可以提高 KM Server 的工作效率。计划根据执行时间和在数据库中保存的最大数量来决定是否每天执行。管理员可以执行添加、删除、停止计划的操作。即时产生密钥管理员可以通过即时产生密钥功能随时产生所需要的一定数量的密钥对。管理员可以设置需要产生的密钥的类型和长度，以及产生数量和计划执行时间等参数。 查询在用密钥CA Server 向 KM Server 申请密钥并为用户签发证书成功后，申请的密钥对保存在 KM Server 的在用密钥库中。设置输入某些查询条件可以查询出符合条件的在用密钥的详细信息。 统

38、计备用密钥对系统中所有的备用密钥进行统计。根据统计条件，统计备用密钥的数量。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 17 页 查询归档密钥查询由 CA 发起密钥归档后，KM 进行手动密钥归后档密钥信息。 归档密钥CA 发起密钥归档消息在 KM 端将待归档密钥对标注为待归档状态，而后由KM 端进行手工归档。 司法取证KM Server 可以通过密钥恢复操作来提供司法取证服务。在 KM Server 系统中，只有拥有密钥管理角色的管理员才能进行密钥恢复操作。司法取证员多方到后，密钥管理员启动密钥恢复操作进行司法取证过程，分别验证每个司法取证员的身份是否和系统中设定的司法

39、取证员相符，验证通过后选择密钥恢复方式，进行密钥的保存。司法验证过程中，KM Server 根据在系统初始化阶段设定的 M/N 值（N 个人中最少 M 个人到场）进行司法取证员的身份验证，需要选择每个司法取证人员证书进行签名，在 M 个司法取证人员的签名操作完成后，系统验证司法取证人员的合法性（司法取证员必须为系统中注册过的司法取证人员） ，验证通过后进行密钥恢复。密钥恢复密钥恢复可以从 KM Server 的数据库中提取出欲恢复密钥（私钥）并进行保存，KM Server 提供了 2 种密钥保存方式，基于文件的保存方式和基于智能卡的保存方式。如果选择基于文件的保存方式，KM Server 可以

40、提供 2 种文件格式：PKCS#1 格式和 PKCS#12 格式。PKCS#1 格式只保存私钥，PKCS#12 格式采取将私钥与证书用保护口令加密的方式保存。基于智能卡的保存方式可以将欲恢复的密钥保存在智能卡内。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 18 页 3.2.3.2系统管理系统管理3.2.3.2.1 签发机构管理签发机构管理KM Server 可以对多个 CA 机构提供密钥管理服务，并可以对多个 CA 机构进行统一的管理。CA 机构管理分为 CA 机构注册、CA 机构查询、CA 机构冻结、CA 机构解冻、CA 机构更新五部分。只有具有 CA 机构管理角色的

41、管理员才能进行 CA 机构管理的操作。 CA 机构注册CA Server 向 KM Server 申请密钥前必须先在 KM Server 中注册并得到KM Server 的授权，否则 CA Server 无权向 KM Server 申请密钥。 CA 机构冻结管理员可以根据需要将某些已经在 KM Server 中注册的 CA 机构进行冻结，冻结后的 CA 机构将不能再向 KM Server 申请密钥，直至被解冻为止。 CA 机构解冻管理员可以将已冻结的 CA 机构解冻从而恢复其申请密钥的权限。 CA 机构更新管理员可以更新已经在 KM Server 中注册的 CA 机构的注册信息。 CA 机构密

42、钥设置CA 机构密钥设置功能，可以设置各个注册的 CA 机构申请的密钥数量。3.2.3.2.2 司法取证员管理司法取证员管理司法取证员是为进行密钥恢复操作而设置的人员。在进行密钥恢复时，需要由几位特定的司法取证员共同到场，依次验证权限才能进行操作。司法取证员权限管理主要包括司法取证员注册、查询和删除等。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 19 页 司法取证员注册只有注册后的司法取证员才能进行司法取证操作，注册的司法取证员人数不能超过系统允许的司法取证人员总数，不能重复注册同一司法取证员。 司法取证员删除管理员可以删除已经在系统中注册的司法取证员，被删除的司法取证

43、员不能再进行司法取证操作。3.2.3.2.3 权限管理权限管理在 KM Server 系统中，对管理员采用基于数字证书的身份验证机制，管理员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理，管理员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。KM Server 通过为管理员分配管理角色来指定管理员可以进行哪些操作，KMC Server 系统中包含的管理角色有：密钥管理角色、CA 机构管理角色、权限管理角色和审计管理角色。一个管理员可以被授予一个或多个管理角色，以分权的形式对整个系统进行有效管理。只有具有授权管理角色的管理员才能进行以下的授权管理操作。 注册管理员注册

44、后的管理员具有被赋予的管理角色，可以进行相应的操作。 授权管理员注册后的管理员的权限可以被修改或删除。3.2.3.3审计管理审计管理KM Server 与 CA Server 一样，采取业务管理和审计管理分开的管理策略，只有审计管理员才能进行审计管理操作，审计管理包括业务审计和日志审计。 JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 20 页 3.2.3.3.1 业务审计业务审计系统提供备用密钥统计、签发机构密钥查询、签发机构密钥统计、签名机构业务量统计、归档密钥查询和归档密钥统计的业务审计功能，给管理员提供针对在 KM Server 对密钥数量不同方式的统计结果。3.2

45、.3.3.2 日志审计日志审计系统提供日志信息查询、归档日志查询，归档业务日志的日志审计功能，管理员通过这几个功能可以对 KM Server 的业务日志实现完整的管理功能。3.2.4在线证书状态查询系统（在线证书状态查询系统（OCSP Server）OCSP Server 通过 CA 的镜像数据库查询证书状态，这样比查询 CRL（证书注销列表）更可靠、更及时，提供给证书应用的信息更丰富。OCSP Server 可以支持查询多个不同 CA 颁发的证书，证书应用向 OCSP Server 查询证书状态时，可以一次查询不同 CA 颁发的证书状态。OCSPToolkit 封装证书应用的证书状态查询请求

46、，然后发送给 OCSP Server，并将从 OCSP Server 响应中解析的证书状态，返回给证书应用。OCSPToolkit 为证书应用提供简单、易用的用户接口。减轻了证书应用开发者的工作量。4 产品特点产品特点4.1 丰富完备的功能丰富完备的功能 丰富的证书业务功能 基于角色的授权管理 支持多级 CAJIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 21 页 强大的证书模板功能 支持自定义项目（自定义证书模板&自定义证书扩展域） 支持汉字证书 支持签发微软智能卡登录(Smartcard Logon)证书 支持交叉认证 支持 KM（密钥管理中心） 支持 OCSP

47、（在线证书状态查询） 支持可替换的加密模块4.2 部署部署灵活、操作简单灵活、操作简单采用 B/S 服务模式，安装部署工作只需要在服务端进行，部署工作方便灵活。客户端无需安装任何客户端软件，完全基于浏览器即可完成所有的管理操作，管理终端与服务器之间采用 SSL 安全连接。4.3 完全符合国内、国际完全符合国内、国际 PKI 建设标准建设标准JIT SRQ05 系统完全遵循国内、国际 PKI 建设及相关标准，这样有利于与其它厂商的产品实现网际互连，支持更多的应用。SRQ05 产品支持的标准产品支持的标准类别标准标准内容加密SSF33 分组密码算法数字签名RSA 数字签名，符合 PKCS#1 V2

48、.0DSA，符合数字签名标准、美国 FIPS PUB 186 和 ANSIX9.30 （第一部分）散列函数SHA1，符合美国 FIPS PUB 1801 和 ANSI X9.30（第二部分）MD5 报文摘要算法，符合因特网 RFC 13211、密码算法和标准密钥管理RSA 密钥传输符合因特网 RFC 1421 和 1423 (PEM) 和 PKCS#1 V2.0伪随机数生成符合 ANSIX9.1JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 22 页 对称技术的完整性报文验证码 (MAC)，符合美国 FIPSPUB 113、ANSIX9.9 和 X9.19伪随机数生成符合

49、ANSIX9.17证书和证书注销列表格式第 3 版证书和证书扩展，符合 ITUTrec.X.509 (1997) 和公用标准 ISO/IEC 9594-8 (1997)证书注销表和证书注销表扩展，符合 IETF PKIX1 概况表技术规范RSA 算法标识符和公开密钥格式，符合PEM 和 PKCS #1 V2.0文件包封格式基于因特网 RFC 1421 (PEM) 的标准文件包封格式安全文件包封技术，符合 PKCS#7 和S/MIME目录协议轻量目录存取协议 (LDAP)，符合 RFC 17772、数据格式和协议PKI 操作协议符合 PKIX2图表 4-1 SRQ05 支持的标准4.4 系统平台

50、的高安全性系统平台的高安全性 通讯安全通讯安全系统采用 SSL 标准安全通信协议。 数据安全数据安全数据库、配置文件中的敏感数据采用加密方式保存；提供完备的数据备份及恢复的手段。 人员安全人员安全采用基于数字证书的身份验证机制，管理员使用 X.509 证书进行登录管理、管理员的管理权限与其证书进行绑定。分布式权限管理，管理员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。完善的审计手段完善的审计手段系统提供对所有业务情况的详尽记录和查询手段。JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 23 页 4.5 稳定的性能保证系统的高可用性稳定的性能保证系统的高可用性

51、 高性能高性能合理的系统设计以及软件能够为用户提供高性能的服务，核心服务接口设计先进，使系统每分钟能支持几万个事务处理；支持高容错，大批量业务操作与数据查寻，同时满足实时性要求。经过测试，在普通硬件平台上系统单机的并发请求处理能力达到 300 以上，在 300 并发压力的情况下，处理能力能保持在每秒签发 10 张以上的证书，并保持 100的成功率。 高可用性高可用性系统的所有组件（CA、KM、RA、OCSP）均支持集群部署和负载均衡技术，在正常运行的情况下，可以通过增加负载均衡的服务器，平滑扩展性能。4.6 广泛的平台兼容性广泛的平台兼容性 灵活可配置的密码模块灵活可配置的密码模块通过标准接口

52、对密码机、加密卡、智能卡等多种加密设备进行支持。 支持多种数据库产品支持多种数据库产品系统数据中心模块采用基于 JDBC 标准的数据操作服务，可挂接不同的数据库产品，包括 Oracle（9i、10g） 、SQL Server（2000、2005、2008）等数据库产品。支持多种目录服务产品支持多种目录服务产品系统支持基于 LDAPv3 标准协议的目录服务，符合此标准的目录服务产品均可直接挂接到系统中。特别对微软的 Active Directory（活动目录）提供专门的支持。支持多种操作系统平台：支持多种操作系统平台：JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 24 页

53、JIT SRQ05 电子证书认证系统可以支持多种操作系统，包括Windows，Linux，AIX，Solaris，HP_UX。4.7 系统架构的可扩展性系统架构的可扩展性作为建立信用的支撑平台，PKI 系统必须具有可扩展功能，随组织的发展而发展，同时，能够满足不断呈现的各类需求，实现与各类应用系统的整合和扩展。JIT SRQ05 电子证书认证系统在设计时充分考虑了以上现实情况： 模块化设计模块化设计分布式、可拆装的系统模块化设计，可替换、可重组的系统构架，支持与其它应用系统互操作。所有系统中只有核心服务器承担着真正的运行与管理任务，其它模块可随组织的发展需要逐步挂接到系统中。通过提供 API

54、接口的手段为用户提供二次开发能力。 支持多级支持多级 CA 及交叉认证及交叉认证可根据需要建立无限制多级的 CA，并通过交叉认证与外界建立广泛的联系。支持用户自定义项目支持用户自定义项目CA Server 系统内置有十几种标准证书模板及标准证书扩展域，能够满足大多数的证书签发需求。系统同时支持自定义证书模板和自定义扩展域，可以满足不同应用的特殊需求，用户可以定制出符合自己实际需求的证书签发模板。4.8 良好的易用性良好的易用性与安全清晰的管理模式与安全清晰的管理模式客户端基于浏览器进行访问，通过简单的点击即可完成一次业务操作，页面内容清晰简洁，操作人员易于使用。系统采用安全清晰的管理模式：JI

55、T SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 25 页 基于角色进行管理权限的定制和分配 管理权限与管理员证书进行绑定，通过证书验证管理员身份 各产品组件采用风格统一的管理界面和流程能显著降低管理负担4.9 应用平台的开放性应用平台的开放性在设计和开发过程中完全遵循国际开放标准，够很方便地与第三方产品进行集成、与其它系统互操作。对外提供 RA Toolkit 和 OCSP Toolkit 等应用开发 API，用户可以使用这些 API 进行二次开发，分别实现与 CA Server 和OCSP Server 的通信，将用户需要的证书业务嵌入已有的应用系统中。JIT SRQO05

56、技术白皮书 吉大正元信息技术股份有限公司 第 26 页 5 运行部署运行部署5.1 交付产品和系统配置交付产品和系统配置5.1.1产品逻辑结构图产品逻辑结构图CA ServerOCSP ServerKM ServerRA ServerLDAP数数据据库库数数据据库库数数据据库库RAToolkitOCSPToolkit图表 5-1 逻辑结构图5.1.2产品清单产品清单序号产品名称形态支持的操作系统第三方产品依赖1CA 签发管理系统/SRQ05 CAServer软件X86X86 架构平台架构平台：Windows 2000、20003、2008 Server版、Solaris10 X86 版、Red

57、hat、Turbo、红旗等主数据库：数据库：Oracle9i、10gMicrosoft SQL Server2000、2005、2008目录服务器：目录服务器：JIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 27 页 序号产品名称形态支持的操作系统第三方产品依赖2RA 注册管理系统/SRQ05 RAServer软件3KM 密钥管理中心/SRQ05 KMServer软件4OCSP 在线证书查询系统/SRQ05 OCSPServer软件流 LinuxIBMIBM 架构平台架构平台：AIX5.2 及以上HPHP 架构平台架构平台：HP_UX 11.11iJIT GalaxyiPl

58、anet ITEC-iDS IBM Tivoli DirectoryMicrosoftActiveDirectory加密机：加密机：得安加密机56 所加密机30 所加密机正元加密机5RA 工具包/RAToolKitJAVA版SDKRAToolkit 为纯 java 程序，理论上讲可以在任何支持Java 的环境下部署。目前测试过的环境为：Windows环境下的 Jdk1.4,1.5无6OCSP 工具包/OCSPToolKitJAVA版SDKOCSPToolkit 为纯 java 程序，理论上讲可以在任何支持 Java 的环境下部署。目前测试过的环境为：Windows 环境下的Jdk1.4,1.5

59、无图表 5-2 产品清单5.1.3推荐配置推荐配置图表 5-3 推荐配置项目推荐配置最低配置CPU双核或四核 3.0GCore2 Duo 2.4GRAM4G1G磁盘空间1G500MJIT SRQO05 技术白皮书 吉大正元信息技术股份有限公司 第 28 页 5.2 产品规格和产品规格和 License 机制机制JIT SRQ05 电子证书认证系统根据不同行业分为两种不同的产品规格： SRQ05 A 和 SMG01主要面对第三方运营 CA，其中 SRQ05 A 包括 CA Server、RA Server 和 OCSP Server，SMG01 包括 KM Server SRQ05 B面对除第三方运营 CA 以外的其它行业，其中包括 CA Server、KM Server、RA Server 和 OCSP Server5.3 系统组成系统组成5.3.1部署结构全面型部署结构全面型 应用场景对 PKI 体系建设、管理要求严格的证书应用环境。方案特点：1.同时具有密钥