应用背景
近年来,计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,互联网上信息的交互必然存在风险,黑客、病毒、木马程序、“网络钓鱼”频频得逞。而这些受到威胁的网站或遭受损失的用户,除自身的安全防范意识薄弱造成安全隐患外,最重要的一点就是都没有使用互联网上信息安全保障措施 ---- 基于 PKI 技术的 CA 服务系统。
北京时代亿信 数字证书认证服务系统 是公司在充分研究国内 CA 应用现状,结合 PKI 实际应用需求的基础上,独立研发的一套 CA 产品。
产品功能
时代亿信数字证书认证服务系统可以为企业迅速建立拥有自己的 CA 系统,为企业级安全应用提供数字证书。其主要功能如下:
• CA 策略管理
管理员可以指定 CA 管理策略,包括:根证书、个人证书、企业证书、服务器证书的密钥长度、有效期、是否备份等策略。
• 自定义根 CA (初始化)
管理员在系统初始化时,可根据需要,自己指定根 CA 的名称,并填写相关的信息。
• 证书申请、批量申请
可以在线申请个人、企业、服务器三类证书,并支持个人证书的批量申请。
• 密钥产生和证书签发
证书服务器支持软件和硬件产生密钥对,并签发证书请求,生成证书。
• 证书下载和 SecureKey 制作
管理员可以通过 Web 方式直接查询下载用户证书和私钥,并由系统自动将用户证书和私钥灌制到 USB 接口的 SecureKey 中。
• 证书信息导出
管理员可以将指定范围的用户证书信息导出到文件中,以备其它系统使用。
• 证书业务统计
管理员可以对某个时间段内证书的发放情况进行统计。
• 证书定制
可灵活定制,可以按照以月为单位。
产品组成
数字证书认证服务系统由证书受理系统,数据库和 RA 服务器以及 CA 服务器, USB 智能卡组成,管理员通过 USB 智能卡登录证书受理系统,完成用户对证书申请信息的管理,并将用户信息存入数据库,由 RA 服务器对用户申请信息验证通过后提交给 CA 服务器, CA 服务器在接收到 RA 服务证书请求后,产生数字证书和密钥并且对证书签名,然后提交给 RA 服务器,由 RA 服务器把证书存入数据库中,证书受理系统会查询提取颁发的证书并且灌制到指定的密钥智能卡中。
系统初始化系统的逻辑结构组成如下:
![]("http://www.eetrust.com/products/s3_1_0_whitebook_clip_image002.jpg")
ETCA 服务系统逻辑图
• 证书受理系统
提供 WEB 方式的证书申请、证书管理(审核、下载、作废)、存储介质管理等功能。
• 数据库
数据库主要完成存储用户的证书申请信息,和已经签发的证书信息。
• RA 服务器
RA 服务器主要颁发用户证书和证书撤销列表( CRL ),并且接收用户证书申请,并提交到 CA 服务器。
• CA 服务器
CA 服务器主要的作用是产生密钥对和签发数字证书。
产品特点
时代亿信数字证书认证服务系统具有流程简捷高效,易于管理,可定制,易于与具体应用系统相结合。灵活配置、方便易用的 CA 认证系统软件,提供多重策略支持。
系统采用的对称算法和非对称算法都是国际上通用的算法,符合 PKI/CA 国际标准,所选择的加密模块也符合开放标准,例如: DES , RSA 等,密钥长度支持 512 、 1024 、 2048 位。系统遵从 X.509 证书及相关标准,能直接嵌入到现有环境中,实现与现有资源的整合,而且采用的都是 Windows 的标准操作,易学、易用,而且 ETCA 界面上是全中文的,在操作习惯的引导上也充分考虑了中国用户的习惯。
应用范围
时代亿信数字证书认证服务系统能够保证发放数字证书的权威性、有效性和可信性,解决伪造、假冒身份等安全问题。
目前数字证书认证服务系统广泛用于企业,政府,军队的日常安全办公,同时也是电信,媒介,金融,保险等行业网上业务的安全保障平台。企业级 CA 服务系统还可以方便、快捷地与伙伴行业核心业务系统集成,形成优势互补的行业整体解决方案,如财务、工作流软件、 ERP 系统、 EIP 系统。
