應用背景
近年來,計算機網絡和信息技術的迅速發展使得企業信息化的程度不斷提高,互聯網上信息的交互必然存在風險,黑客、病毒、木馬程序、“網絡釣魚”頻頻得逞。而這些受到威脅的網站或遭受損失的用戶,除自身的安全防范意識薄弱造成安全隱患外,最重要的一點就是都沒有使用互聯網上信息安全保障措施 ---- 基于 PKI 技術的 CA 服務系統。
北京時代億信 數字證書認證服務系統 是公司在充分研究國內 CA 應用現狀,結合 PKI 實際應用需求的基礎上,獨立研發的一套 CA 產品。
產品功能
時代億信數字證書認證服務系統可以為企業迅速建立擁有自己的 CA 系統,為企業級安全應用提供數字證書。其主要功能如下:
• CA 策略管理
管理員可以指定 CA 管理策略,包括:根證書、個人證書、企業證書、服務器證書的密鑰長度、有效期、是否備份等策略。
• 自定義根 CA (初始化)
管理員在系統初始化時,可根據需要,自己指定根 CA 的名稱,并填寫相關的信息。
• 證書申請、批量申請
可以在線申請個人、企業、服務器三類證書,并支持個人證書的批量申請。
• 密鑰產生和證書簽發
證書服務器支持軟件和硬件產生密鑰對,并簽發證書請求,生成證書。
• 證書下載和 SecureKey 制作
管理員可以通過 Web 方式直接查詢下載用戶證書和私鑰,并由系統自動將用戶證書和私鑰灌制到 USB 接口的 SecureKey 中。
• 證書信息導出
管理員可以將指定范圍的用戶證書信息導出到文件中,以備其它系統使用。
• 證書業務統計
管理員可以對某個時間段內證書的發放情況進行統計。
• 證書定制
可靈活定制,可以按照以月為單位。
產品組成
數字證書認證服務系統由證書受理系統,數據庫和 RA 服務器以及 CA 服務器, USB 智能卡組成,管理員通過 USB 智能卡登錄證書受理系統,完成用戶對證書申請信息的管理,并將用戶信息存入數據庫,由 RA 服務器對用戶申請信息驗證通過后提交給 CA 服務器, CA 服務器在接收到 RA 服務證書請求后,產生數字證書和密鑰并且對證書簽名,然后提交給 RA 服務器,由 RA 服務器把證書存入數據庫中,證書受理系統會查詢提取頒發的證書并且灌制到指定的密鑰智能卡中。
系統初始化系統的邏輯結構組成如下:
ETCA 服務系統邏輯圖
• 證書受理系統
提供 WEB 方式的證書申請、證書管理(審核、下載、作廢)、存儲介質管理等功能。
• 數據庫
數據庫主要完成存儲用戶的證書申請信息,和已經簽發的證書信息。
• RA 服務器
RA 服務器主要頒發用戶證書和證書撤銷列表( CRL ),并且接收用戶證書申請,并提交到 CA 服務器。
• CA 服務器
CA 服務器主要的作用是產生密鑰對和簽發數字證書。
產品特點
時代億信數字證書認證服務系統具有流程簡捷高效,易于管理,可定制,易于與具體應用系統相結合。靈活配置、方便易用的 CA 認證系統軟件,提供多重策略支持。
系統采用的對稱算法和非對稱算法都是國際上通用的算法,符合 PKI/CA 國際標準,所選擇的加密模塊也符合開放標準,例如: DES , RSA 等,密鑰長度支持 512 、 1024 、 2048 位。系統遵從 X.509 證書及相關標準,能直接嵌入到現有環境中,實現與現有資源的整合,而且采用的都是 Windows 的標準操作,易學、易用,而且 ETCA 界面上是全中文的,在操作習慣的引導上也充分考慮了中國用戶的習慣。
應用范圍
時代億信數字證書認證服務系統能夠保證發放數字證書的權威性、有效性和可信性,解決偽造、假冒身份等安全問題。
目前數字證書認證服務系統廣泛用于企業,政府,軍隊的日常安全辦公,同時也是電信,媒介,金融,保險等行業網上業務的安全保障平臺。企業級 CA 服務系統還可以方便、快捷地與伙伴行業核心業務系統集成,形成優勢互補的行業整體解決方案,如財務、工作流軟件、 ERP 系統、 EIP 系統。