南空司令部信息化PKI体系建设方案

南空司令部信息化PKI体系建设方案南空司令部信息化系统PKI体系建设方案中国金融认证中心2010年4月

目录1 综述 42 系统安全需求 52.1 身份认证（Authentication） 52.2 通信的保密性（Confidentiality） 52.3 数据完整性（Integrity） 62.4 文件的不可否认性（Non-Repudiation） 62.5 访问控制（AccessControl） 62.6 系统可用性（Availability） 62.7 数据备份与恢复（Recovery） 73 系统安全建设目标 73.1 总体建设目标 73.2 总体安全框架设计 74 PKI体系建设 94.1 PKI体系建设说明 94.1.1 数字认证信任管理模式 94.1.2 PKI系统基本组成 114.2 PKI体系主要建设内容 124.3 PKI基础安全服务体系建设 154.3.1 CA系统设计 154.3.2 RA系统设计 194.3.3 目录发布与查询服务系统设计 224.3.4 密钥管理中心设计 254.4 证书安全应用平台建设 274.4.1 证书安全应用平台分析 284.4.2 证书安全应用平台建设原则 294.4.3 证书应用安全平台框架 304.4.4 证书安全应用平台主要技术 314.4.5 SSL安全网关产品 334.4.6 应用开发包 394.5 系统运营安全管理建设 424.5.1 运营管理规范 424.5.2 安全应急处理管理规范 434.5.3 系统建设相关文档 444.5.4 人员管理安全 455 自建CA系统软硬件要求 465.1 南空司令部完全自建CA方案要求 465.2 报价 46综述在网络技术迅速发展的今天，企事业、政府机构面临着如何利用网络这一虚拟的环境为网内用户提供全面的、安全性的信息服务问题，在这一环境下应运如生，目前国内政府、企事业单位都纷纷推出了基于内网的服务要求。网络业务在蕴藏着强大功能的同时也带来了风险，对于开设内部网络服务的南空司令部来说，当务之急就是要解决信息交互的安全问题。南空司令部信息化系统如何为网内用户提供更加方便、稳定、安全的业务服务？南京翔晟信息技术有限公司和CFCA从南空司令部信息化系统应用实际出发，充分考虑到南空内部的管理机构设置、现有信息系统架构和业务对安全的具体需求，并总结多年的金融、政府信息安全建设经验，提出了基于PKI体系架构，以数字证书为媒介的系统安全解决方案。该方案采用国际通用的信息安全技术，在保证物理安全与网络安全的基础上，加强信息交互的安全管理，提供统一的身份认证、安全的数据传输机制、数字签名验证机制和访问控制机制，确保各种业务应用的数据完整性、保密性和行为的不可否认性；通过统一的身份信息及认证服务，为系统用户提供便捷高效的单点登陆解决方案；通过集中的授权及访问控制服务，为各业务应用系统提供集中的权限管理设计，在有效保护和节约系统建设投资的同时，提供用户权限的集中管理，保证系统运行的高效、安全和稳定。系统安全需求从应用的角度来看，安全体系建设的需求包括以下几个方面：身份认证（Authentication）由于南空司令部内部网络的特殊性，业务交互的双方可能彼此都无法确认对方的真实身份，因此迫切需要解决“你是谁”的问题。身份认证一般基于以下几种因素来进行身份的确认：你知道什么（somethingyouknow）：比如用户名/口令、个人识别码（PIN）等你拥有什么（somethingyouhave）：比如智能卡（smartcard）、USBkey等生理特征（somethingyouare,oraphysicalcharacteristic）：比如指纹、面部特征等口令可以被猜出，卡有可能丢失，指纹系统验证可能会有较高的误判率；很显然，如果结合两种以上的因素来进行身份的认证，认证可以获得更高的强度。公钥基础设施（PKI）通过物理身份（公民身份证）和数字身份（数字证书）的绑定，将数字证书保存到智能卡或者USBkey中的方式，很好的解决了“身份确认”的问题。通信的保密性（Confidentiality）用户通过网络访问Web应用服务器时，如果不采取特殊手段，在网络上的信息传输是明文方式，由此很容易导致用户帐户信息的泄露，为了弥补这个安全漏洞，有必要对通信信道进行加密。目前国际上通行的方法是通过标准的SSL协议，使用SSL安全网关保护Web通信的安全。通信双方通过数字证书实现了身份的认证，通过对称加密技术实现了传输数据的加密。SSL安全网关应能够信任多种证书体系（如自建CA系统），支持证书状态的验证，支持客户端IP地址获取，支持访问信息监控、审计，支持负载均衡等需求。数据完整性（Integrity）为了确保信息在存储、使用、传输过程中不被非授权用户篡改，同时也为了防止被授权用户不适当的篡改，保持信息内外部的一致性，需要通过数字签名技术来保证数据的完整性。文件的不可否认性（Non-Repudiation）在信息交互的过程中和信息交互完成后电子文件发送的双方可能会发生纠纷，为了防止任何一方对信息交互过程和交互后果的无理抵赖和否认，需要保存交易凭证或凭据，以备CA中心的权威认证和责任认定。访问控制（AccessControl）访问控制就是满足“最小授权”原则，防止未授权用户访问未授予其权限的资源，以确保信息的保密性和完整性。访问控制按照层次划分，可以分为：物理层的访问控制，如通过门禁系统来禁止某些人物理上接触某些系统或者设备。网络层的访问控制，如通过防火墙的策略，禁止开放某些资源或者服务。主机或系统层的访问控制，通过操作系统的授权机制来禁止或者允许对某些资源的访问。应用层的访问控制，如通过应用访问控制系统来禁止或者允许用户对某些业务资源的访问。系统可用性（Availability）所谓可用性就是要确保授权用户或者实体对信息或者资源的正常使用不会被拒绝，能够可靠而及时地访问信息和资源。简单的讲就是“业务服务不宕机，用户访问响应及时、快速”。数据备份与恢复（Recovery）为了防止可能发生的灾难（如地震、火灾、战争）或者操作不当引起的事故对数据的损害，需要及时地备份数据和恢复系统的正常运营，以尽可能地降低损失，需要对系统及数据库及时备份。系统安全建设目标总体建设目标本次南空司令部信息化系统CA建设的总体目标是：采用符合国际标准的公钥基础设施PKI技术来实现网上的身份认证，确保通信的保密性和交易数据的完整性及交易的不可否认性，以数字证书为媒介，通过使用先进的数字签名、SSL安全传输协议等安全技术为南空司令部业务平台提供一套功能完善、安全、可靠的应用安全保障体系，保证网上业务的正常交易。安全平台的设计应当致力于满足机构对统一身份、统一认证、统一授权和统一审计进行集中管理的需要，以及系统对认证服务、身份管理和授权管理的服务便捷接入的需要。根据南空司令部信息化系统产品为基础构架完整的网络层安全防御体系，保障设备和操作系统的整体安全。根据方案侧重点，方案重点提供对PKI基础设施及证书应用服务的建设，网络层安全暂不涉及。采用安全管理与审计系统来实现业务系统的日常运行监控、管理与审计，提高事故处理响应速度，提高业务服务水平，提升客户满意度。总体安全框架设计按照需求分析的要求，我们可以按照层次对安全体系建设做如下划分：业务层安全通过安全接入通道提供的用户身份信息，结合客户管理系统，实现业务系统的访问控制，实现业务层的安全。单点登陆服务系统提供单点登陆及用户信息统一管理服务权限管理及访问控制服务提供用户权限的统一管理及对用户行为的集中权限控制应用层安全证书认证系统CA提供核心的身份认证系统部分，通过数字证书实现用户物理身份与数字身份的绑定证书注册系统RA提供客户身份信息的管理，提供灵活的、完善的、可定制的证书管理功能证书发布与查询系统证书发布与查询系统主要提供LDAP服务、OCSP服务和注册服务密钥管理中心系统KMC为CA系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务，解决密钥管理问题。SSL安全通道接入(SSL安全网关)保护用户数据能够通过互联网安全的传输，并实现用户身份的确认及SSL安全接入的访问控制数字签名及验证系统业务系统通过调用数字签名验证接口，实现用户身份确认、保护数据完整性、保存交易凭据以实现事后审计及责任认定网络层安全通过防火墙、入侵检测系统等实现网络层的访问控制通过主机系统加固实现主机系统的安全通过采用负载均衡设备实现业务系统和安全接入系统的高可用性和较高的性能注：具体细节本方案暂不涉及物理层安全通过门禁系统、监控系统等防止未授权人员对物理设备、机房访问注：具体细节本方案暂不涉及系统安全管理建设PKI安全体系建设的目的是为应用系统提供安全保障，其本身的安全性是系统成功运行的保障。因此，必须建立完善的管理制度，以保证整个PKI体系在运营过程中正常运行。PKI体系建设PKI体系建设说明PKI是“PublicKeyInfrastructure”的缩写，意为“公钥基础设施”，是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI利用数字证书标识密钥持有人的身份，通过对密钥的规范化管理，为组织机构建立和维护一个可信赖的系统环境，透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障，满足各种应用系统的安全需求。数字认证信任管理模式信任是安全的基础，在缺乏信任的环境下，实现信息系统的安全是不可想象的。在X.509中，是如下定义信任的：“通常来讲，一个实体设想另一个实体的行为会是他所期望的，则可以称为第一个实体是信任第二个实体的。”（Generally,anentitycanbesaidto“trust”asecondentitywhenit(thefirstentity)makestheassumptionthatthesecondentitywillbehaveexactlyasthefirstentityexpects）。任何安全系统的建立都依赖于系统用户之间存在的各种信任形式，在信息系统中，要实现有效可靠的信任关系，主要是通过以下三种手段的结合：身份认证、数据秘密性和完整性、不可抵赖性。要建立信任，首先要确认信任参与者的身份。例如：两个人第一次见面，A就要把一个重要的信息传递给B，首先，A要确认B是这一信息所期望的接受者，而不能是其它人冒名顶替；B也要确认A确实是这一信息的传送者，而不是其它人假冒，因为如果A是假的，那么其传递的信息的可靠性就无法保证。其次，要保证数据秘密性和完整性。以上面的例子为例，如果A把信息传递给B的时候，如果有第三者C有可能通过窃听等手段获得该信息，那么，即使A可以信任B，认为B的行为会是A所期望的，但是A并不能保证C的行为同样会是A所期望的，在此情况下，信息传递的风险将非常大。因此，可以想像的结果是，由于担心C的窃听，A不敢或者无法把信息传递给B。所谓的“信任”也失去了意义。最后，“信任”的一个关键因素：不可抵赖性。在现实生活中，如果某人总是说话不算，事后赖帐，相信谁都不会“信任”他。在信息系统中，也是如此，但是与现实生活中不同的是，信息系统中对不可抵赖性的要求更高，由于参与信息交换的各方的不确定性，所造成的损失难以估量，因此，对不可抵赖性要求从“事后”提前到了“事先”，也就是说，在行为发生前，就必需对该行为的不可抵赖性作出约束。对信息系统中所采用的相关技术，可以由下表来作个比较：身份认证可靠性秘密性和完整性不可抵赖性用户名/口令低无低生物特征识别（如指纹，虹膜等）中～高（取决于现有技术水平）无中～高（取决于现有技术水平）动态口令高无中PKI高高高图表STYLEREF1\s4SEQ表格\*ARABIC\s11相关技术比较表从上面的对比可以看出，PKI技术在解决信息系统安全中有不可替代的优势。它不仅仅是一个简单的身份认证系统，事实上，它可以作为提供统一信任管理服务的有效平台，在系统与系统、用户与系统、用户与用户之间建立起一种信任关系，从而保证了系统的安全性，这种信任关系不是只通过身份认证就能够实现的，它包含了更加丰富的内容，如数字签名、信息加解密等。PKI体系不仅仅为建立这种信任关系提供了一个基础设施，其建立信任关系的最终目的就是为了通过这种信任关系保证应用系统安全。在本方案设计的南空司令部信息化系统认证中心（CA）系统将基于PKI技术进行合理的定制优化与拓展，使其最大限度的符合南空司令部信息系统中对安全应用的需求。PKI系统基本组成根据PKI体系架构设计，在通常情况下的PKI数字认证系统建设由密钥管理中心KMC、证书认证中心（CA）、证书注册审核中心（RA）、证书/CRL发布及查询系统以及和应用系统间的接口五部分组成，其功能结构如下图所示：图表STYLEREF1\s42CFCA数字认证中心功能结构密钥管理中心（KMC）：是公钥基础设施中的一个重要组成部分，负责为CA系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务，以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题。认证中心（CA）系统：CA认证中心是PKI公钥基础设施的核心，它主要完成生成/签发证书、生成/签发证书撤消列表（CRL）、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能。注册中心（RA）系统：RA注册中心是数字证书的申请、审核和注册的机构。它是CA认证中心的延伸，在逻辑上RA和CA是一个整体，主要负责提供证书注册、审核以及发证功能。证书发布与查询服务系统：证书发布与查询系统主要提供LDAP服务、OCSP服务和注册服务。LDAP提供证书和CRL的目录浏览服务；OCSP提供证书状态在线查询服务；注册服务为用户提供在线注册的功能。系统应用接口：系统应用接口为外界提供使用PKI安全服务的入口。系统应用接口一般采用API、JavaBean、COM等多种形式。以上五部分之间的配合协作，对外提供PKI信任基础设施的安全服务。PKI体系主要建设内容根据上面的证书安全应用平台建设分层逻辑结构及PKI系统的基本组成，针对于本次“南空司令部信息化系统项目”建设的重点，南京翔晟信息技术有限公司与CFCA提供如下的证书相关安全系统建设：PKI基础安全服务体系建设CA证书认证系统。CA认证机构是数字认证中心安全体系的核心，主要完成生成/签发证书、生成/签发证书撤消列表（CRL）、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能。对于一个大型的分布式军队信息应用系统，可根据应用系统的分布情况和组织结构设立一级CA机构，包括根CA、KMC和一级RA。本方案提供二级RA的部署结构，一方面满足南空司令部信息化系统扩充应用需求，另一方面，也便于该证书应用平台日后支持南空司令部其他业务应用提供扩展支持。RA证书注册服务系统。RA注册中心是连接应用系统/用户与CA中心的纽带，是数字证书的申请、审核和注册的机构。它是CA认证中心的延伸，在逻辑上RA和CA是一个整体，它向CA中心提交各种证书请求，接收来自CA的处理结果，主要负责提供证书注册、审核以及发证功能，并负责为管理员提供证书管理服务。证书发布与查询服务系统。证书发布与查询系统主要提供LDAP服务，即通过LDAP服务软件提供证书和CRL的目录浏览服务。本方案提供针对自建CA的LDAP证书及黑名单发布，同时，部署的LDAP服务器需要满足接入南空司令部所颁发证书、CRL列表的同步镜像支持，以便于使用证书的用户在登陆系统时可以快捷的进行证书验证应用。密钥管理服务系统。密钥管理中心服务系统是为整个CA系统提供密钥服务的关键系统，一般由密钥管理模块（包括密钥生成、存储、分发、备份、更新、废除、恢复等等）、密钥库管理、认证管理、安全审计系统、密码服务等模块组成。业务安全服务平台SSL安全通道系统。包括客户端CSP密码模块和SSL安全网关系统两部分。CSP密码模块镶嵌在浏览器中，提供符合国家密码部门要求的密码算法与服务器端SSL安全网关系统建立SSL安全连接，实现交易双方的身份认证、保证数据传输的安全性。CFCA安全通道系统支持多种硬件密钥载体，如USB-KEY、磁盘等。数字签名验证服务系统。包括签名客户端和签名验证服务器两部分。数字签名客户端控件负责对交易中的关键数据进行数字签名；签名验证服务器主要负责对交易过程中关键数据的签名进行验证，保证交易的不可否认性和数据的完整性。签名验证客户端是提供给应用程序调用的接口软件包，安装在业务应用服务器上，使应用方便地使用签名验证服务器。PKI体系建立整体架构根据我们对南空司令部信息化PKI体系建设的前期调研，我们建议下图南空司令部信息化PKICA系统，包括以下几个部分：密钥管理中心（KMC中心）；证书注册签发系统（CA中心、10个RA中心）；证书发布查询系统：包括证书发布系统、在线证书状态查询系（OCSP）；图证书管理系统总体设计结构系统安全管理建设建立完善的管理制度，以保证整个PKI体系在运营过程中正常运行。主要内容包括：人员管理规范：根据系统的需要，划分角色，配置人员，设置权限，制定相应的人员管理制度和管理策略，保证人员管理的安全性。CA运营管理规范：主要包括系统操作、安全策略、授权管理、证书管理、用户管理等各个方面的规范化、制度化。应急管理规范：解决PKI安全体系在正常工作中发生的各类异常情况、安全事件、安全事故。主要包括信息系统应急方案、电力系统故障、消防系统应急方案、病毒应急方案、系统备份应急方案、人员异动情况应急方案、安全事故处理方法、安全应急事件及事故处理的程序等等。机房的安全建设：全面规划机房，针对不同安全级别划分安全区域，建立完善的机房管理制度。标准化建设：包括系统建设标准化、系统管理标准化、运营管理标准化等等。通过建立完善的管理制度和标准化建设，为PKI安全体系创造一个安全可靠的运行环境，从管理上和技术上全面地保证系统的正常运营。PKI基础安全服务体系建设根据PKI体系的组成，本章针对南空司令部信息化PKI体系项目建设，提供包括CA认证服务中心（包括RA注册服务中心建设）、LDAP目录服务系统、KMC密钥管理中心系统在内的基础安全服务体系建设。CA系统设计在本次南空司令部内部数字认证中心（CA）系统建设中，南京翔晟信息技术有限公司与CFCA建议采用分级设计结构，即根CA和二级RA中心分开建设，这样设计有清晰、安全、可拓展的优势。下面分别对根CA和二级RA的详细设计进行说明。系统服务结构设计CA系统是南空司令部内部数字认证中心体系的核心服务设备，它接收来自RA中心的业务请求，主要完成所有证书的签发和管理功能。CA系统与注册中心（RA）系统间的通信采用通信证书来保证其安全性。在分级、分层次的体系架构设计中，通信证书上级根CA和下级注册中心（RA）系统进行通信时使用的计算机设备证书。CA中心服务区主要包括：CA服务器、数据库服务器等设备组成。图表STYLEREF1\s4SEQ图表\*ARABIC\s11认证中心（CA）系统服务结构CA中心设计CA中心的服务结构主要包括：CA服务器、CA数据库服务器等。CA服务器负责接收来自RA中心的证书请求，签发各种用户证书，包括设备证书、人员证书、机构证书等等；管理、制定南空司令部内部数字认证中心的安全策略，包括证书有效期、CRL发布时间等等，策略服务器利用数据库服务器保存策略信息。同时负责向目录服务系统发布证书、CRL等信息。CA数据库服务器CA中心的数据库服务器负责存储CA系统中的所有数据信息，包括各种证书的请求信息、证书信息、CRL信息、策略信息和系统日志信息等等。为了保证该数据库的安全，本方案设计将CA数据库服务器单独设立在CA服务区进行证书信息的集中存放，这样设计也保证了CA系统数据存取的高效性。CA系统控制台控制台提供给CA管理员使用，系统管理以B/S结构提供，管理员可通过WEB方式登录CA系统，完成系统管理和维护。LDAP服务器LDAP服务器负责接收CA服务器的证书发布及CRL发布请求。系统功能设计认证中心（CA）系统是南空司令部内部数字认证中心系统建设的关键，是核心基础设施，在根CA策略的统一指导下，CA认证中心可为整个系统内的证书用户和服务器签发证书，管理、维护所签发的证书，汇总全系统范围内的用户证书、设备证书和CRL，并进行统一发布和维护。CA系统的主要功能包含如下：证书服务功能，包括证书签发、证书延期、证书更新、证书的冻结和解冻、证书的挂起和解挂、证书恢复、证书废除等等。证书和CRL的在线服务功能，包括证书的在线发布、证书的在线查询、CRL的在线查询等等。CA管理功能，CA系统的初始化、CA的日常管理、管理其它运行的子系统、管理CA系统的管理员等等。OCSP服务功能，为用户提供在线证书状态查询服务。支持HTTP，CMP等国际标准的OCSP服务方式，OCSP协议支持OCSPv1及OCSPv2。证书策略服务功能，保存整个CA系统的证书及所有的证书策略。采用统一数据中心一方面可以对数据进行统一管理，另一方面也可以方便的数据进行备份。用户服务功能，包括个人证书管理服务、证书到期更新通知服务、用户证书统计报表服务、用户服务功能的扩展等等。日志服务功能，包括记录系统中所发生各种事件、实时统计和分析发卡数量、日志的查询和审计、统计报表输出、日志备份等等。报表统计功能，包括证书统计功能和RA统计功能。应用开发功能，提供丰富的应用开发接口，包括SPKMAPI、SDKAPI、CryptoAPI、OCSPAPI等等。CA系统设计特点安全性各子系统之间通讯采用SPKM的协议，安全性高人员管理采用分权的管理机制易用性采用向导式的系统部署方式采用友好的纯中文的WEB界面的管理方式，方便对系统进行管理兼容性支持第三方的密钥管理中心支持各种标准的第三方RA系统采用标准的OCSP协议，支持第三方的OCSP客户端应用证书采用标准的X.509v3格式，采用标准的LDAPv2目录访问协议，支持各种第三方的PKI应用支持标准的交叉认证协议，可以和第三方的信任体系实现互通。支持标准的时间戮服务协议，可以为所有应用（包括第三方应用）提供安全的时间戮服务。可扩展性系统采用组件化的设计，各子系统可以在不影响原有系统的前提下对其方便的扩展。体系结构的可扩展性，支持分步式、多层信任体系，支持多级CA，支持逻辑CA容量的可扩展性，目录服务支持一主多从的分步式结构支持多种数字证书支持个人用户证书、设备证书、机构证书、代码签名证书、服务器证书稳定性能够承受上百证书申请持续的并发访问而持续稳定运行支持多种发证形式支持批量发证和在线申请证书可维护性提供自动的管理功能，如系统的备份。备份和恢复过程支持系统恢复至故障点，出现故障或灾难时，目录、证书和策略库可以方便恢复至正常状态。高效性较快响应证书生成等证书服务请求可运行于众多平台之上IBMAIX、SUNSolaris、WindowsNT/2000、Linux、HPUnix、DEC等；RA系统设计RA系统服务结构设计注册中心（RA）系统的组成结构包括RA服务器、数据库服务器等，另外作为RA中心与外界的交互点，RA中心需要配置各种管理/控制操作终端，以完成注册、审核、发证、管理、审计等操作。图表STYLEREF1\s4SEQ图表\*ARABIC\s14注册中心（RA）系统结构图1、RA服务器是RA中心的核心服务系统，在整个CA系统中，起到承上启下的作用。主要提供证书信息注册服务、信息审核服务、证书下发服务、证书管理服务、RA管理服务。同时，还负责制定和管理RA策略，包括RA管理策略、RA流程制定等等。2、数据库服务器RA中心的数据库服务器负责存储RA系统中的所有数据信息，包括各种证书的请求信息、证书信息、用户信息、策略信息和系统日志信息等等。3、RA管理终端RA管理终端包括：注册终端、审核终端、发证终端、管理终端和审计终端等，各分管系统管理员利用各终端持卡登录系统进行管理，根据具体情况可合并上述管理终端，如审核/发证可以是一台终端，管理终端可以与其它终端共用。注册终端对应注册操作员。通过插入注册操作员USBKEY，服务器通过对操作员证书的认证后，注册操作员才有权进行注册操作。审核终端对应审核操作员。通过插入审核操作员USBKEY，服务器通过对操作员证书的认证后，审核操作员才有权进行审核操作。发证终端对应发证操作员。通过插入发证操作员USBKEY，服务器通过对操作员证书的认证后，发证操作员才有权进行发证操作。管理终端对应RA管理员。通过插入RA管理员USBKEY，服务器通过对管理员证书的认证后，RA管理员才有权进行管理操作。审计终端对应审计管理员。通过插入审计管理员USBKEY，服务器通过对管理员证书的认证后，审计管理员才有权进行管理操作。系统功能设计注册中心（RA）系统的功能主要是完成用户证书的注册申请等功能。此外，还可以对用户资料进行管理和维护，提供定义灵活的证书申请、审核流程。建立注册中心（RA）系统，除了可以满足数字证书系统网上应用的证书需求外，还可以提供对于操作员不同操作权限的控制及保证系统中要求的对未来系统结构的扩展支持。其功能设计如下：用户管理功能，包括用户注册、用户注销、用户更新、用户查看等等。证书管理功能，包括证书申请、证书签发、证书废除、证书冻结、证书解冻、证书更新、证书恢复、证书信息查看、证书审核等等。个人证书管理功能，包括自己证书废除、自己证书更新、自己证书挂起、自己证书解挂等等。RA人员管理功能，添加人员、删除人员、修改人员、查看人员、审核人员管理操作等等。系统管理功能，查看日志、查看统计信息、备份数据、恢复数据、设置RA策略等等。权限管理功能，为RA管理员和操作员分配权限，并提供权限维护功能，包括增加权限、修改权限、注销权限等等。“应需而变”的RA系统设计优势本方案设计中使用的RA系统具有如下特点：充分的用户化定制开发能力：根据项目建设需求和对今后应用前景的分析，本方案提供的RA系统具有强大的客户化定制开发能力，虽然客户化定制开发能力不是一项具体的业务功能，但对于用户来说，RA系统能否快速的适应用户的业务变化、能否显著的缩短建设周期，将是决定业务成败的关键；强大的RA管理功能：包括信息统计、机构管理、人员管理功能等；对物理分级和逻辑分级的灵活支持：可以支持多级的物理RA机构，在每个物理RA机构内部，又可以支持多级的逻辑RA机构。安装和部署过程的简化：全部安装自动进行，不需要人工干预；部署过程更加简单、安全；本方案中的RA系统架构设计充分考虑了南空司令部自建数字证书系统RA中心多样化的定制建设需求，从以下几个方面实现“应需而变”的目标：业务流程定义：RA系统的业务流程是完全通过配置文件进行定义的，在用户业务流程发生变更的情况下，可以通过调整配置文件迅速的适应业务流程变更。如：证书的废除原来可以直接执行，现在需要改为申请－>审核->执行的过程，这可以非常简单的通过修改两个配置文件（证书状态机配置文件和证书业务配置文件）来实现。业务数据项定义：RA系统的业务数据项在只需要在系统的两端进行定义，一个是最前端的页面，另一个是最后端的数据库。在业务数据项发生变化的情况下，只需要修改JSP页面和数据库字段，这类工作甚至系统管理员就可以完成。用户界面定制：RA系统的用户界面采用了商业化的成熟的WEB控件。用户界面的布局、风格等可以通过少量的定制开发快速变更，迅速适应用户要求。基本业务功能定制：RA系统的将基本业务功能分解为“原子业务”。通过组合这些“原子业务”可以快速实现新的基本业务，对于更特殊的业务也可以通过继承、重载原有的“原子业务”或增加新的“原子业务”来实现。目录发布与查询服务系统设计证书发布与查询服务系统是PKI体系的重要组成部分，在认证中心系统建设中必不可少，本章介绍完整的证书发布与查询服务系统设计的思路、结构、功能。基本定义证书发布与查询服务系统设计主要与LDAP和OCSP协议相关(本项目中业务系统不需要实时的证书状态查询，即OCSP查询方式；因此再下面将不做介绍)。LDAP（LightweightDirectoryAccessProtocol）轻量级目录访问协议，简化了笨重的X.500目录访问协议，并且在功能性、数据表示、编码和传输方面都进行了相应的修改。1993年7月，第一个LDAP规范是由密歇根大学开发的，也就是RFC1487。LDAP的开发者们简化了笨重的X.500目录访问协议，他们在功能性、数据表示、编码和传输方面做了改建。目前，LDAP的版本是第3版本，相对以前版本来说，3版本在国际化、提名、安全、扩展性和特性方面更加完善。1997年，第3版本成为因特网标准。目前，LDAPv3已经在PKI体系中被广泛应用于证书信息发布、CRL信息发布、CA政策以及与信息发布相关的各个方面。这里提到的证书发布与查询服务系统中的目录服务是软件、硬件、策论以及管理的集合体。系统功能设计本方案设计的证书发布与查询系统支持证书和CRL列表的在线发布及状态查询服务。具体包括：发布和更新认证中心中心签发的数字证书；发布和更新认证中心中心签发的证书作废列表CRL；向外提供公钥数字证书的在线查询认证服务；向外提供证书作废列表CRL的在线查询认证服务；证书和CRL在线服务功能证书和CRL在线服务功能如下：证书的在线发布；CA可以对证书进行在线发布。每当签发服务器在签发一个用户证书完成后，签发服务器会同时将证书放入目录服务器中，以供用户查询。因此，用户在下载证书时可以使用在线的方式获取自己的证书，同时可以在CA中心对外服务的目录服务器中查询其它用户的证书。证书的在线查询；CA的证书查询功能主要采用LDAP协议。CA系统签发证书后，将用户的证书发布到系统的主目录服务器中，然后利用目录服务器的自动映射功能，将用户的证书发布到从目录服务器中，以供用户在线查询证书。CRL的在线查询；CA在目录服务器系统中发布CRL，因此用户可以通过在线方式实现对CRL的查询。CFCA的系统中采用了CRL分布点技术，当用户选择下载CRL进行查询时，下载的信息并不是南空司令部业务系统应用CA中心CRL的全部，只是其中的一个子集，大大地减少了信息量，提高了查询的速度，降低了网络的负担。证书在线状态查询。由于CA注销表是周期性签发，并非是实时的，即使其周期特别短，在对证书状态实时性要求比较高的应用中，CRL验证并不能够满足需求。CA提供对证书在线状态查询协议的支持，用户可以通过标准的证书状态查询接口来获取证书有效性的检查结果，任何证书的作废能即时反映到OCSP中。OCSP服务功能OCSP服务子系统为用户提供在线证书状态查询服务。认证中心的OCSP服务子系统可以使用CA证书或拥有授权的专用OCSP证书为用户签发标准的OCSP响应。该响应对应唯一的OCSP请求并给出所请求证书的状态。本方案设计中，采用CFCA自主研发的OCSP服务子系统来实现南空司令部认证中心的证书在线状态查询。该产品支持HTTP、CMP等国际标准的OCSP服务方式，OCSP协议支持OCSPv1及OCSPv2。CFCA的OCSP服务子系统备有密码模块，可以对查询请求信息的签名进行验证，并负责对查询结果进行签名。具体功能说明如下：证书状态查询提供查询证书的状态，确认证书的权威性及目前的状态情况。支持大容量并发访问采用“调度－服务”模式、排队机制及负载均衡机制，支持多用户并发。分布式服务分布方式发布服务和同步数据，各个系统进行数据同步，更加快捷的为用户提供服务。日志记录在日志系统中记录相关请求和响应，内容包括请求者的身份、请求时间等，并且对响应状态进行监控，便于系统管理员日后查阅和统计。CFCAOCSP产品自带主机热备模块，支持双机热备。产品性能支持400个用户的请求并发处理，一次OCSP请求处理时间为20ms。系统安全性设计目录服务器负责用户与系统公用信息的发布，在安全性设计时主要达到以下目标：防止黑客的对数据的篡改、删除；防止未授权管理员对数据的篡改、删除；如果目录服务器的数据遭到侵害，可以及时、有效的恢复所有数据。密钥管理中心设计密钥管理中心是为整个CA系统提供密钥服务的关键系统，一般由密钥管理模块（包括密钥生成、存储、分发、备份、更新、废除、恢复等等）、密钥库管理、认证管理、安全审计系统、密码服务等模块组成。KMC的建设目标密钥按照算法类型可分为对称密钥、非对称密钥；按照应用类型可分为签名/验证密钥，加密/解密密钥；按照功能类型可分为：主密钥、会话密钥、数据加密密钥、密钥加密密钥等。KMC负责这些密钥从生成到销毁整个生命期中各个环节的安全性。在算法安全的基础上，攻击者获取密钥的办法通常是通过密钥管理中心的设计漏洞直接取得密钥。密钥管理中心（KMC）应该做到杜绝攻击者通过密钥系统获取密钥的可能，也就是说通过对密钥管理中心的严密设计，消除密钥管理上的漏洞和安全隐患。业务系统认证中心系统密钥管理中心（KMC）需要为业务系统业务系统提供统一的密钥管理服务，保证业务系统认证中心体系中密钥在生成、保存、备份、传递、分发、使用、更新、恢复、销毁等整个生命周期中的安全。具体包括：保证根密钥在生成、备份、保存、使用、更新、销毁等整个生命周期中的安全。保证CA密钥在生成、备份、保存、使用、更新、销毁等整个生命周期中的安全。保证各级CA系统管理员、操作员密钥的整个生命周期中的安全。保证业务系统认证中心系统内部服务器等设备密钥在整个生命周期的安全。对于证书，为用户加密密钥建立完善的密钥托管机制，保证用户密钥从开始生成、保存、备份更新、分发、恢复、销毁等整个生命周期的安全。保证业务系统认证中心系统业务应用中的所用用户密钥的生成、保存、备份、更新、销毁等整个生命周期的安全。服务结构设计本方案设计的KMC密钥管理中心将与CA中心分开单独建设，密钥管理中心服务结构如下图所示：图表STYLEREF1\s4SEQ图表\*ARABIC\s17密钥管理中心服务结构密钥管理中心系统组成包括：KMC服务器、数据库服务器和加密机，和可用于容灾备份的磁盘阵列设计（备选）。１、KMC服务器密钥管理服务器上运行了密钥管理中心的主要组件，包括密钥管理子系统（KMS）和密钥托管子系统（KES）。密钥管理子系统利用密钥服务器负责生成根密钥对、CA密钥对、用户密钥对，并与密钥托管区进行安全通信，可利用数据库系统和磁盘阵列完成对密钥的备份和保存。密钥管理终端通过访问密钥管理子系统实现对整个密钥管理系统进行管理和维护。密钥管理子系统具备密钥池服务功能，系统可根据策略预先生成一定数量的密钥对并加密保存在密钥池数据库中；当用户申请加密证书时，则KMC系统直接使用密钥池中的密钥对，以提高系统的服务处理速度。密钥托管子系统负责加密保存各种用户密钥，提供用户密钥的备份、恢复、销毁等服务。该子系统利用密码服务器生成用户加密主密钥，并利用数据库系统加密保存用户加密密钥。数据备份可采用磁盘阵列备份，需要定期的备份KMC的系统和数据，实现了KMC的冗灾备份。2、KMC数据库服务器KMC密钥管理中心的数据库服务器负责存储KMC中心的所有数据，包括各种密钥信息、密钥请求信息、系统日志信息等等。3、加密机加密机负责产生、保存和管理KMC系统中的各种密钥，同时，采用通信证书保证KMC与其它设备通信的安全性。4、KMC管理控制台控制台提供给KMC管理员使用，系统管理以B/S结构提供，管理员可通过WEB方式登录KMC系统，完成系统管理和维护。安全结构设计KMC密钥管理系统结构安全从以下三个方面保证：使用密码服务系统保证密钥的安全，CFCA密钥管理中心（KMC）中的加密模块，支持业界加密标准PKCS＃11，支持目前所有主流加密机（SJY36，SJY42，SJY15，SJY05等）。；采用防火墙将密钥管理中心隔离成一个单独的网段，设置访问控制策略，保证密钥管理中心的安全，所有的密钥服务必须通过密钥服务模块完成；在管理方面，所有重要的密钥管理操作，如密钥更新、销毁等，需要半数以上的管理员同时在场插入管理员卡才能完成。证书安全应用平台建设安全应用平台是使用（CA）系统签发的不同种类和类型证书的为各类应用提供安全支撑的集合服务平台，它为认证中心签发的证书提供多种应用模式支撑，以满足应用系统中不同的安全需求；通过对证书安全应用平台中的安全产品灵活组合和配置，可以实现不同安全等级、不同灵活程度对安全身份认证、私密性、不可否认性、CRL检查等安全方面的需求。全面的PKI理解应包括四个方面（如下图）：PKI技术支撑平台PKI基础部件平台PKI证书应用平台PKI的应用图表STYLEREF1\s4SEQ图表\*ARABIC\s18PKI平台示意图证书安全应用平台分析建立统一的证书安全应用平台，制定统一的应用安全策略，可以弥补系统中存在的安全漏洞，使不同的系统运行于一种统一的，标准的，安全的环境中，对用户屏蔽不同系统造成的差异，提供统一的安全服务，使整个系统更加协调，从而推进整个应用系统的进一步实施，使系统更好的发挥其作用，更好的为用户提供各种服务。统一证书安全应用平台不仅是一个运行平台、一个管理平台，而且还是一个开发平台。利用该平台，开发人员可以方便地完成安全应用的二次开发。从最终用户的角度看，应用层要实现高水准的信息安全，除了安全系统本身在常规安全功能，包括ISO7498-2中提出的五大安全功能（即身份认证、访问控制、数据机密性、数据完整性和抗否认），加上安全审计和安全管理，及这些功能的实现机制方面要达到一定安全水准外，安全系统与应用系统的结合风险必须考虑。为了把两者结合过程对安全水准的影响降到最低点，保证结合后的系统达到安全系统提供的最高安全水准。证书安全应用平台建设原则面对诸多应用系统中各种各样的应用服务、各种各样的服务架构、各种各样的服务平台，建设统一应用安全平台的目的就在于为这些不同的应用系统提供一个统一的、集成的安全平台，通过统一的策略管理为应用系统提供统一的安全服务，保证信息在传输过程中的保密性和完整性，让正确的人进入和访问被授权的应用和数据。建立这样一个安全平台必须遵循以下原则：安全平台的通用性统一应用安全平台作为一种平台必须能容纳不同的应用服务，为不同应用系统提供统一的安全服务，为用户提供统一的访问入口。安全服务的特殊性由于应用存在多样性，特殊性，不可能用一种安全技术实现所有应用的安全，安全应用平台除了提供通用的安全外，必须能够为提供符合应用的特殊安全保护。安全的标准性在统一应用安全平台的基础上，需制定出一系列应用安全建设的标准，统一规范和指导应用安全的建设。安全服务的立体性应用系统的安全保护是一个全方位的，立体性的，仅在一点或一个层面上实现安全只是局部的安全，不能满足真正安全的需要。安全应用平台必须能在多层面上为应用提供安全服务。系统的可扩展性任何安全系统都不可能提供一劳永逸的安全保障，随着技术的发展，安全问题也层出不穷，因此，安全应用平台必须具有可扩展性，可以动态的为应用提供安全保障。安全服务的透明性安全平台所提供的安全服务尽可能做到对应用是透明性的，无缝的提高原有应用系统的安全等级。安全服务的可配置性在应用系统中，不同的应用系统可能需要不同的安全服务，安全平台所提供的安全服务必须可以根据不同应用系统的需要进行动态配置。应用接口的规范化应用安全平台必须向应用系统提供规范化的应用接口，不同的应用系统通过这些规范化接口能够很容易地使用各种安全服务。该接口的定义必须经过规范化设计，今后在进行安全服务的升级或替换过程中，只要保证接口不变，就可以在不改变系统结构的同时，实现系统功能的动态升级。证书应用安全平台框架应用安全的两个核心问题是信任与授权。从具体来看，信任包含了以下的内容：实体鉴别：鉴别对等的实体是你所期望的实体；信息的私密性：信息内容不会被不期望的实体所获得；信息的完整性：信息内容被不期望的实体篡改是可以被发现和验证的；行为的不可抵赖性：实体事后不可否认其执行过的行为。CFCA在对应用系统安全现状的深入分析基础上，结合PKI基础设施提出了统一应用安全平台的解决方案，可以较好的解决目前国内各类信息系统的安全加固问题。统一的应用安全平台的“统一”体现在以下几个方面：不同的应用系统可以采用统一的模式进行安全加固；不同的应用系统可以使用统一的安全服务；不同的应用系统可以采用统一的用户管理和资源管理；统一的应用安全平台的“平台”体现在以下几个方面：是一个开发平台：可以在此基础上构建和使用可信的服务；是一个运行平台：各类应用的安全加固处理在此平台上运行；是一个管理平台：各类应用的安全管理可以在此平台上进行。本方案中主要结合CFCASSL证书认证网关、证书应用开发包等产品，提供证书应用平台的建设。证书安全应用平台主要技术加密技术加密技术是证书安全应用平台采取的主要安全措施,它可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。对称加密/对称密钥加密/专用密钥加密在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个信息交换方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行信息交换方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送摘要或散列值来实现。对称加密技术存在着在信息交换之间确保密钥安全交换的问题。此外,如当某一通信方有"n"个信息交换关系,那么他就要维护"n"个专用密钥(即每把密钥对应一通信方)。对称加密方式存在的另一个问题是无法鉴别信息交换发起方或信息交换最终方。因为信息交换双方共享同一把专用密钥,信息交换双方的任何信息都是通过这把密钥加密后传送给对方的。RC2/RC4/RC5方法是RSA数据安全公司的对称加密专利算法。RC2/RC4/RC5不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RC2/RC4/RC5能够提高或降低安全的程度。非对称加密/公开密钥加密 在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的通信方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的通信方。 通信方利用该方案实现机密信息交换的基本过程是:如模拟一个商务交易，贸易方产生成一对密钥并将其中的一把作为公开密钥向其它贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。 RSA(即Rivest,ShamirAdleman)算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢。因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。密钥管理技术对称密钥管理 对称加密是基于共同保守秘密来实现的。采用对称加密技术的信息交换双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。公开密钥管理/数字证书 在信息交换过程种可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509(即信息技术--开放系统互连--目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前广泛采用的技术之一。微软公司的InternetExplorer3.0和网景公司的Navigator3.0以上版本都提供了数字证书的功能来作为身份鉴别的手段。数字签名 数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。ISO/IECJTC1已在起草有关的国际标准规范。Internet主要的安全协议 SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Intrnet网络产品的公司已在使用该协议。SSL安全网关产品CFCA的安全认证网关（后面简称：CFCASSL网关）是一台网关型SSL硬件设备。在应用中，CFCASSL网关将应用服务器隔离在一个独立的安全应用网段，用户不通过CFCASSL网关认证，就无法访问其保护的应用系统。CFCASSL网关适用于B/S和C/S的网络架构，实现用户与应用服务器之间的安全传输和身份认证。CFCASSL网关支持的客户端软件包括：InternetExplorer(5.0以上版本)CFCASSL客户端代理软件（在C/S的网络架构中或者在客户端使用硬件证书设备时使用）CFCASSL网关为服务器端和用户客户端间建立基于数字证书的最高强度为128位加密安全链接，实现客户端和服务器之间数据传输安全和用户身份的有效认证。CFCASSL网关支持用户支持硬件证书介质（IC卡，USBKey等），通过IE和CFCASSL客户端软件来使用CFCASSL网关。产品架构CFCASSL网关产品支持标准的SSL2.0/3.0/TLS协议，通过对数字证书的验证实现用户身份认证和加密通信。产品基本功能产品基本功能说明模块名称功能描述备注SSL服务模块支持SSLv2.0/v3.0和TLS1.1支持多个SSL服务，每个SSL服务可以绑定不同的设备证书支持强制SSL通信加密强度支持第三方加密算法替换，需要SSL客户端代理同时支持证书管理支持标准X509v3数字证书支持CFCA属性证书支持多个证书信任链管理WEB管理模块支持加密的WEB管理支持管理员管理SSL服务进程的自动启动、停止、启动、重启绑定证书信息配置支持SSL协议端口配置支持受保护应用服务器IP地址和端口配置支持WEB重定向功能管理员权限控制网络直通，支持HTTP直接访问业务主机支持手工升级简单防火墙模块包过滤防火墙策略配置网络管理模块NAT功能网络基本信息（网卡）配置功能CRL管理模块CRL下载CRL验证日志管理模块访问日志信息管理访问日志实时显示设备证书请求模块设备证书请求，生成PKCS＃10数据格式的证书请求设备证书私钥安全存储双机热备模块支持双机热备功能支持硬件加密卡支持SSL加速卡限CFCASSL网关G系列产品系统备份模块系统配置信息备份系统配置备份信息导入接口模块支持CFCA信息安全审计中心（SAC）支持CFCA权限管理系统模块（PMS）产品特点高速度CFCASSL网关采用专门加密设备，连接过程中的加解密运算由专门的加密卡完成，并不消耗服务器的CPU，这样大大的提高了处理速度。CFCASSL网关独立于web服务器，极大的减少了web服务器的CPU消耗，这样会大量增加服务器所能承受的用户并发点击数。功能强大通过证书信息捆绑使WEB服务器上层应用能够方便地获取客户信息；支持绑定证书的扩展项信息；支持站点或连接的重定向；支持用户访问信息的审计接口；一台SSL网关能够启动多个SSL服务，这样可以为多个WEB服务实现安全连接和身份认证功能。一台SSL网关有多个网卡设备，可以实现网络隔离，将WEB服务置于专门的内部网络中，外部用户无法直接访问WEB服务，进一步的增加了WEB服务的安全性。备份/恢复功能，备份当前SSL的所有配置，保证系统瘫痪时的快速恢复。在实现网络隔离增强WEB服务器安全性的同时，提供网络直通模块，让WEB服务器和外界网络在某些端口进行必要的通讯；提供属性证书服务，能够实现一证通的功能，可使WEB应用获取访问者的用户证书对应属性证书的相关属性信息；可靠性设备本身平均故障间隔时间<30分钟/年，产品还提供双机热备的功能，保证产品从不停止运行。自身安全性采用硬件加密卡，自身站点证书密钥均保存在加密卡内部，无法导出；本身也内嵌了防火墙，充分考虑自身的安全。标准的SSL协议CFCASSL网关兼容标准的SSL协议。管理配置的方便性CFCASSL网关提供WEB方式的配置，操作方便。加密算法多样性既支持多种高强度通用加密算法，也支持国家密码管理机构认可加密算法。应用的透明性和兼容性对WEB应用来说，CFCASSL网关无缝的与WEB应用连接，并不需要WEB应用为CFCASSL网关做特别的定制。因为CFCASSL网关对应用透明，所以对各种Web服务器都兼容。拥有广泛的客户群体CFCASSL网关已成熟应用于国家政府部门、Internet服务供应商（ISP）、WEB站点、网上银行和网上证券等。客户端API接口开发包基本功能产品基本功能说明名称描述备注初始化接口是否要验证签名数据的证书验证证书的方式(CRL或者OCSP方式，可复选)服务接口验证数字签名身成数字签名使用环境提供JavaBean接口开发包提供C++接口开发包应用开发包 CFCA为便于用户的开发使用，还提供了多种应用产品的接口开发包：应用产品开发包 应用产品开发包，主要针对CFCA的应用安全产品进行的二次开发，所提供的API级的开发包。它包括：RA开发包 提供RA系统的开发包，提供RA证书管理和CA安全通信功能；使用该开发包可以定制基于南空司令部认证中心中RA系统的安全接入应用（如网上银行等）。SSL客户端开发包 提供SSLClient的通信功能和证书管理功能API。数字签名开发包 提供数字签名客户端和服务端产品调用接口API说明和数字签名客户端二次开发函数。OCSP客户端开发包 提供OCSPClient查询证书状态功能的API时间戳服务开发包 提供时间戳服务软件开发包安全邮件客户端开发包 提供安全邮件客户端的软件开发包。VPN客户端开发包 提供VPN客户端软件开发包 以上开发包工具和开发文档，将在中标后由CFCA提交南空司令部使用。证书开发包CFCA证书认证中心（CA）产品除了提供证书外，还提供不同的证书应用开发包。CFCAPKISDK(KPSDK)是基于PKI技术的证书开发包，为应用程序开发者提供一套完整的应用安全接口。应用软件开发者不需要了解安全实现具体细节，只需使用PKISDK就可以方便地为应用系统实现基于PKI技术的安全保障机制。CFCAPKISDK(KPSDK)中相关的证书开发包包括：证书SDK开发包证书有效期验证证书CRL验证证书签名验证证书链验证CRL下载开发包CRL的下载数字签名SDK开发包数字签名验证用户证书验证（有效期，证书签名，证书链验证）CRL验证应用系统通过使用上述开发包，可以实现完整的证书认证方式。产品架构CFCASDK完全按照PKCS#11标准开发。为上层应用提供了加密、证书管理、密钥管理和作废证书表管理的基本功能。支持USB智能密码钥匙等多种软硬件密码模块。密码模块能够实现密钥对的产生，私钥签名等功能，从而使得私钥永不离开硬件设备，更好地保护了私钥的安全。各种应用程序通过CFCASDK提供的PKCS#11标准接口使用不同的加密设备完成各种密码运算。各种信息安全产品，都可以基于该模块为应用提供安全服务。从而为安全系统的扩展提供了良好的基础，