吉大正元电子证书认证系统SRQ05技术白皮书.docx

《吉大正元电子证书认证系统SRQ05技术白皮书.docx》由会员分享，可在线阅读，更多相关《吉大正元电子证书认证系统SRQ05技术白皮书.docx（39页珍藏版）》请在三一办公上搜索。

1、JIT SRQ05 V5.0.2吉大正元电子证书认证系统 技术白皮书Version 1.2有意见请寄：.cnflB JIT Technologies中国北京市海淀区知春路113号银网中心B座12层电话：86-010-62618866 传真：86-010-82610068吉大正元信息技术股份有限公司声明本文档是吉大正元信息技术股份有限公司的机密文档， 文档的版权属于吉大正元信息技术股份有限公司，任何使 用、复制和公开此文档的行为都必须经过吉大正元信息技术股份有限公司的书面许可。内部资料请注意保密版本,密级及修改记录修改日期版本操作备注2008-12-051.0创建2009-2-91.1修改加入声

2、明2009-2-221.2修改部门内互评修改目录1 前言11.1 应用场景描述11.2 需求描述11.3 术语和缩略语31.3.1 术语31.3.2 缩略语42 产品概述52.1 产品简介52.2 产品实现原理52.3 产品系统架构73 功能流程83.1 产品功能83.1.1 认证中心(CA Server)83.1.2 注册中心彻 Server)83.1.3 密钥管理中心枷 Server)83.1.4 在线证书状态查询服务OCSP Server)83.2 工作流程93.2.1 认证中心(。4 Server)93.2.2 注册中心彻Server) 123.2.3 密钥管理中心枷 Server)

3、163.2.4 在线证书状态查询系统OCSP Server)204 产品特点204.1 丰富完备的功能204.2 部署灵活、操作简单214.3 完全符合国内、国际PKI建设标准214.4 系统平台的高安全性224.5 稳定的性能保证系统的高可用性234.6 广泛的平台兼容性234.7 系统架构的可扩展性244.8 良好的易用性与安全清晰的管理模式244.9 应用平台的开放性255 运行部署255.1 交付产品和系统配置255.1.1 产品逻辑结构图255.1.2 产品清单265.1.3 推荐配置275.2 产品规格和License机制275.3 系统组成275.3.1 部署结构一全面型275.

4、3.2 部署结构一精简型295.3.3 部署结构一密钥托管型306 资质证书327 典型案例32图表目录图表1-1术语对照表4图表1-2缩略语对照表4图表2-1系统体系结构7图表4-1SRQ05支持的标准22图表5-1逻辑结构图25图表5-2产品清单26图表5-3推荐配置27图表5-4部署结构图一全面型28图表5-5系统组成清单一全面型29图表5-6部署结构图一精简型29图表5-7系统组成清单一精简型30图表5-8部署结构图一密钥托管型31图表5-9系统组成清单一密钥托管型311前言1.1应用场景描述在现实生活中，表达人身份的是居民身份证，而在当前信息化程度越来越高 的网络环境中，证书越来越被

5、广泛的用来代表人、设备、服务器等实体的身份； 现实生活中，居民身份证是由公安局进行颁发和管理的，那么在网络环境中，用 来颁发和管理身份证书就是公钥基础设施。公钥基础设施(Public Key Infrastructure，简称PKI)是采用非对称密码算法 和技术，来实现并提供安全服务，并具有通用性的安全基础设施，是一种遵循标 准的密钥管理平台。它能够为所有网络应用透明地提供采用加密和数字签名等密 码服务所必需的密钥和证书管理。PKI体系实际上就是计算机软硬件、权威机构 及应用系统的结合。它采用数字证书的形式管理公钥，通过CA把用户的公钥和 用户的其他标识信息(如名称、身份证号码、e-mail地

6、址等)捆绑在一起，实现 对用户身份的验证；它将公钥密码和对称密码结合起来，通过网络和计算机技术 实现密钥的自动管理，保证机密数据的保密性和完整性。通过采用PKI体系管理密钥和证书，可以建立一个安全的网络环境，实现信 息的保密性、完整性，并完成身份鉴别以确保不可抵赖性。1.2需求描述建立一个安全的网络环境，并要解决如何使用安全的身份进行认证的问题、 如何保证敏感数据安全传输的问题、如何将机密数据安全保护存储的问题等等更 多的安全应用问题，这在当今信息化高度发展、高度普及的情况下，就变成了急 需和迫切要去解决的。而利用基于PKI技术基础的数字证书作为解决这些问题 的基石，利用数字证书的密钥和证书所

7、能实现的保密性、完整性和不可抵赖性， 构建一个与客户应用系统紧密结合的安全应用系统，彻底解决和防范安全风险。 那对于解决这一系列问题的基石一一数字证书，它是如何产生、如何管理、维护 的呢，这就需要在解决问题之初，建立一套完整的PKI体系，进而才能解决更 多、更棘手的安全问题。PKI的重要工作是管理密钥和证书。通过PKI对密钥和证书的管理，一个组 织可以建立并维护可信赖的网络环境。PKI使加密和数字签名服务得到广泛的应 用。就网络安全中实现有效的公钥基础设施而言，存在许多需求。概括地说，一 个有效的PKI是透明的。如果用户不能从应用中的加密和数字签名中获得益处， 那么PKI是没有价值的，而用户需

8、要PKI能为自己提供相应的安全服务，并对 服务的具体实现并不关心，这要求PKI具有透明性。透明性意味着用户不必知 道PKI是如何管理密钥和证书的，只从加密和数字签名中获得益处就足够了。CA(Certification Authority)认证机构是PKI的核心组成部分，通常被称为 认证中心，它是数字证书的签发机构。PKI服务系统的关键问题是如何实现密钥管理，目前较好的解决方案是引进 证书(Certificate)机制来实现。在公钥机制环境中，必须有一个可信的机构来 对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。 CA正是这样的机构，它的职责归纳起来有：验证并标识证书申请者

9、的身份确保CA用于签发证书的非对称密钥的质量确保整个签证过程的安全性，确保签名私钥的安全性证书资料的管理(包括公钥证书序列号、CA标识等)的管理确定并验证证书的有效期限确保证书主体标识的唯一性发布并维护证书注销列表(CRL) 对整个证书签发过程作日志纪录向申请人发出通知为用户签发数字证书我们可以把CA看成是一个国家的护照签发中心。护照是由权威中心（护照 签发中心）颁发的一种安全文件，它是护照持有者的一种纸质身份证明，任何信 任该国护照签发中心的其他国家也会信任该国护照签发中心所签发的护照。数字 证书是由权威中心（CA中心）签发的一种电子安全文件，它是数字证书持有者的 一种电子版身份证明，任何信

10、任该CA中心的所有用户也会信任该CA中心所签 发的数字证书，进而确定证书持有者的身份。1.3术语和缩略语1.3.1术语名词解释轻量级目录访问协议LDAP，即L ightweight Directory Access Protocol的 缩与，是一种 较为简单的轻量级目录访问协议。随着互联网成为网络的主流，LDAP 也成为一个具备目录的大部分服务的协议X.509证书标准国际电话与电报咨询委员会（CCITT）规定的一种行业标准。在这个标 准中提供了一个数字证书的标准格式，规定数字证书必须包含的一些 信息：如版本号、序列号、签名算法、有效期限等电子文档与传统的纸质文档相对应，指的是在计算机中处理的文

11、档。常见的电 子文档格式包括：Microsoft Word、Microsoft Excel、Adobe PDF、 HTML文件、文本文件（TXT）、金山WPS等加密/解密使用计算机密码技术，对数字信息进行转换保护，形成新的信息，称 为加密；把加密的信息还原成原文信息，成为解密。被加密的信息与 原信息完全不同，通过被加密的信息无法得知原文信息。加密的信息 只有通过加密时使用的密钥才能进行解密数字签名米用PKI技术，先对原文信息进行摘要（Hash），然后通过私钥进行 签名处理，生成签名信息，签名信息只有私钥才能产生，签名过程不 可逆,通过数字签名，可以保证明文数据的完整性和不可抵赖性名词解释数字信

12、封结合加密技术和数字签名技术，把明文信息进行加密打包，生成的信 息中包含被加密保护的明文信息和数字签名信息，形如一个信封，称 为数字信封。通过数字信封，可以在开放的网络环境中进行数据的安 全存储，既保证数据的安全性，又保证数据的完整性和准确性电子印章能够在信息环境中使用的印章，由硬件和软件构成不可抵赖性是指对行为的确认，确定行为必须是某人或某机构所为，不能否认， 数字签名通过非对称密码技术和PKI管理体制保证不可抵赖实现数据完整性表明数据没有遭受以非授权方式所作的篡改或破坏USB Key一种智能存储设备，内有cpu芯片，用于存放数字证书，可进行数字签名和签名验证的运算，可插在电脑的USB接口中

13、使用图表1-1术语对照表1.3.2缩略语缩略语英文中文CACertificate Authority数字证书中心。作为权威的第三方负责发放数字证书CRLCertificate Revoke List证书吊销列表KMKey Management密钥管理LDAPLightweight Directory Access Protocol轻量级目录访问协议OAOffice Automation办公自动化信息管理系统OCSPOnline Certificate Status Protocol在线证书状态协议PKIPublic Key Infrastructure公钥基础设施RARegister Auth

14、ority审核注册中心SSLSecure Socket Layer安全套接层协议层。它是网景（Netscape）公司提出的基于WEB应用的安全协议图表1-2缩略语对照表2产品概述2.1产品简介JIT SRQ05电子证书认证系统是在吉大正元原有产品基础上，结合国内外同 类产品的特点研制开发的。JIT SRQ05电子证书认证系统支持通过挂接密钥管 理中M（KM）来管理用户加密密钥，从而提高了用户加密密钥的安全性和可恢 复性。通过支持证书模板，提高了签发各类型证书的灵活性。此外JIT SRQ05 电子证书认证系统还支持在线证书状态查询，支持硬件加密设备和多种数据库平 台。JIT SRQ05电子证书认

15、证系统产品组件配置灵活，可以根据用户的不同需 求进行选择性配置，为用户量身打造一套安全、稳定、实用、快捷的数字证书管 理平台。JIT SRQ05电子证书认证系统是用于数字证书的申请、审核、签发、注销、 更新、查询的综合管理系统。由JIT CA Server颁发的数字证书遵循X.509v3 规范。在证书有效的情况下，保证公钥能与确定的实体唯一对应。该系统满足了 作为一个具有世界先进水平的CA认证中心系统软件的全部需求。通过使用CA Server发行的数字证书可以为用户提供信息安全的全面服务：保密性一保证信息是秘密的完整性一能检验信息未被篡改身份鉴别一检验个人或机构的身份不可否定性一确保信息或操作

16、不能被否认JIT SRQ05电子证书认证系统应用国际先进技术，拥有高强度的加密算法， 高可靠性的安全机制及完善的管理及配置策略。提供自动的密钥和证书管理服 务。2.2产品实现原理吉大正元提供了一系列安全产品，为用户提供了完备的安全解决方案。吉大正元的产品系列依照下列原则构造：高安全性和可靠性高强度加密支持模块化设计，保证系统的可扩展性开放标准灵活的配置策略JIT SRQ05电子证书认证系统产品遵循吉大正元产品的一贯产品开发原则， 为保证系统的高安全性和稳定性，采用分层的安全体系结构为系统提供多层次的 安全保障。整个安全体系分为：技术支撑层、服务层、应用访问层。1. 技术支撑层包括业务实现层、数

17、据持久层和操作系统。系统底层所使用的安全技术是建立在加密算法（主要是公钥加密体制），数 字签名，CA安全认证和密钥管理、安全应用协议，以及X.509数字证书等国际 标准基础上的。2. 服务框架层系统内部的服务框架层基于角色实现权限管理机制和访问控制策略。系统内 将权限管理点进行细致的拆分，并基于角色将相应的权限点与管理员公钥证书进 行绑定，可以方便的实现安全访问控制策略。3. Web访问层系统基于B/S模式开发，在Web访问层中，使用符合国际标准的SSL安全 通信层协议，基于X509证书实现双向认证的安全WEB访问，保证交互数据的 安全性和完整性。2.3产品系统架构JIT SRQ05电子证书认

18、证系统由以下几个核心组件组成:认证中M(CA Server)注册中M(RA Server) 密钥管理中M(KM Server)在线证书状态查询服务(OCSP Server)其中认证中心为产品的核心，其他组件围绕认证中心提供更完善的安全解决管理员(浏览器) 系统管理，业务管 理，审计管理管理员(浏览器) 系统管理，业务管 理，审计管理管理员(浏览器) 系统管理，业务管 理，审计管理图表2-1系统体系结构3功能流程3.1产品功能3.1.1 认证中心(CA Server)CA Server作为吉大正元电子证书认证系统的核心，负责所有证书的签发、 注销以及证书注销列表的签发等管理功能。3.1.2 注册

19、中心(RA Server)RA Server是吉大正元数字证书注册审批系统，是CA Server的证书发放、 管理等业务的延伸。它负责所有证书申请者的信息录入、审核等工作，同时对发 放的证书进行管理。3.1.3密钥管理中心(KM Server)KM Server是吉大正元密钥管理系统，为CA Server提供用户加密密钥的生 成及管理服务。系统支持符合PKCS#11标准的加密设备，支持高强度的密钥及 加密算法。通过PKCS#11接口直接硬件加密，实现了黑盒管理，系统密钥不出 主机加密服务器，拥有高强度的安全性和保密性。3.1.4在线证书状态查询服务(OCSP Server)OCSP Serve

20、r是吉大正元在线证书状态查询系统，为证书应用提供实时的证 书状态查询服务。3.2工作流程3.2.1 认证中心(CA Server)3.2.1.1证书管理在CA Server系统中，只有拥有证书管理角色的管理员才能进行证书管理的 操作。证书管理主要包括证书的申请、下载、更新、冻结，解冻，注销、授权码 更新和证书实体查询等操作。证书申请系统提供基于WEB的申请方式，简单易用，帮助用户方便、安全、快捷的 进行证书申请。用户可以根据自己的需要选择相应的证书模板进行证书申请操 作，如果申请成功，系统将返回下载证书所需的凭证。 证书下载证书申请通过审核之后，用户可以通过下载凭证安全的下载证书。系统提供 基

21、于WEB的下载方式，支持多种加密算法和密钥长度，支持智能卡、USB-KEY 等多种存储介质，或直接下载成p7b和pfx格式的文件证书。 证书更新系统提供证书更新功能，用户可以根据需要对正在使用中的证书进行有效期 的更改，更新成功后，用户可以下载新的证书。 证书冻结用户可以对一些短期内不会使用的证书进行冻结操作，在冻结期间内证书被 限制不可使用。被冻结的证书可以通过解冻操作恢复使用。 证书解冻证书解冻操作是相对于证书冻结操作的，此操作将冻结的证书解冻，使得证 书可以重新使用。证书注销用户可以对一些不再使用的证书进行注销操作，注销后的证书不可恢复。系统对于有下列情况之一的用户进行证书注销：密钥泄密

22、 CA泄密从属关系变更证书被取代操作终止授权码更新对一些申请成功但是没有下载的证书，在出现客户的授权码丢失或过期情况 时，可以通过授权码更新来重新生成下载凭证，用户使用新的授权码进行证书下 载。证书实体查询系统支持证书实体查询功能，用户可以通过查询条件可以查询出符合条件的 证书，并可将证书实体（公钥证书）保存到本地。3.2.1.2系统管理3.212.1证书模板管理系统引入了证书模板概念，极大的增强了签发不同类型证书的灵活性。系统 内置有十几种标准证书模板及标准证书扩展域，能够满足大多数的证书签发需 求。系统同时支持自定义证书模板和自定义扩展域，用户可以灵活定制各种证书 模板，可以签发出各种不同

23、需要的证书（如代码签名证书、智能卡登录证书等）。证书模板用于定义证书的类别，每一个证书模板定义这一类证书的共同特 点。包括证书的有效期限制、密钥类型和密钥长度、是否需要发布及发布的方式 以及证书中该包含的扩展域及其扩展域的值等信息。可以自定义各种类型的证书模板，并对其加以管理。对模板的管理操作包括 新增、修改、删除和注销，其中只有未使用的模板可以删除，己使用的模板只能 注销才能停止被使用。3.2122自定义扩展域管理用户可以根据自己的实际需要自定义证书扩展域，并应用于证书模板之中。 对自定义扩展的管理包括新增、修改、删除和注销自定义扩展，其中只有未被模 板使用的自定义扩展可以删除，已使用的自定

24、义扩展只能注销才能停止被新的模 板进行使用。3.2.1.2.3权限管理在CA Server系统中，对管理员采用基于数字证书的身份验证机制，管理 员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理，管理 员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。每个管理员的权限信息都包含两部分内容，一部分是管理角色权限，指定 管理员可以进行哪些操作，在CA Server中，系统包含的管理角色有：证书管理 角色、模板管理角色和权限管理角色。一个管理员可以被授予一个或多个管理角 色，以分权的形式对整个系统进行有效管理。另一部分是管理范围权限，指定管 理员可以对哪些证书进行管理。只有

25、具有权限管理角色的管理员才能进行权限管理的操作，才能有权限进 行授权管理操作。可以做的操作包括对未被授权的管理员证书进行授权，对已授 权的管理员证书进行修改权限或删除其对应的权限。3.2.1.2.4归档证书允许管理员对已过期的证书按照一定的条件进行归档，归档后将过期证书移 至归档证书表，可以降低证书表的数据量提高整体性能。3.2.1.2.5归档证书查询允许管理员对已归档的证书信息进行查询。3.2.1.3审计管理JIT SRQ05电子证书认证系统采取业务管理和审计管理分开的管理策略，只 有审计管理员才能进行审计管理操作，审计管理包括业务审计和日志审计。32131业务审计系统可以根据操作员信息、证

26、书模板信息、证书状态信息等多种条件统计证 书签发数量，给管理员提供针对在CA Server内不同对象的数量统计结果。3.2.1.3.2日志审计系统提供日志信息查询、归档日志查询，归档业务日志的日志审计功能，管 理员通过这几个功能可以对CA Server的业务日志实现完整的管理功能。3.2.2 注册中心(RA Server)3.2.2.1用户管理RA Server在CA Server基础上延伸出的主要功能就是用户管理，可以建立 起与用户组织结构相同的用户信息组，且在RA Server端管理的全部证书都必须 与一个用户对应起来。RA Server预置两个用户信息组：个人用户和企业用户，每一组均对应

27、一系 列的用户信息项。在RA建设规划阶段，可以根据用户需要定制用户信息和企业 信息中包含的信息项，更贴近用户应用环境。3.2.2.2证书管理RA Server的证书管理与CA Server的证书管理比较相似，但又在CA Server 的基础上有了一定上的功能扩展，目的仍然是更好的为用户管理证书业务进行服 务。首先，RA Server的证书管理可以设置为手动审核或自动审核。当具备“录 入员”权限的管理员进行操作证书时，如果该证书对应的审核状态为手动审核， 则录入员提交相应的证书操作申请后，需要具备“审核员”权限的管理员进行审 核，审核成功后才会提交至CA进行实际的证书操作；如果证书对应的审核状态

28、 为自动审核，则录入员即可提交此证书操作申请至CA。此外，在具备CA的证书管理功能以外，RA还具备以下证书操作：批量证书操作可以对多个证书集中做证书业务操作。包括申请、下载操作，其中批量申请 必须使用符合一定格式规定的批量申请文件来进行申请。批量操作也受证书审核 策略的作用。授权码操作对于申请成功的证书，CA Server会将下载该证书的凭证-授权码返回给RA Server，管理员可以将授权码进行打印或发送给相应的邮箱，用户使用授权码可 以自主下载证书。 延迟冻结、解冻、注销证书允许管理员提交延后一定时间后再提交到CA Server进行实际的证书操作。322.3权限管理在RA Server系统

29、中的权限管理与CA Server类似，也是基于角色对管理员 进行授权，且对能管理的哪些证书范围进行授权。3.2.2.4系统管理模板管理RA Server定时与CA Server模板保持同步，下载CA Server中模板信息， 也可以通过手动方式进行与CA Server的模板同步操作。对RA Server中的模板统一配置审核策略，即RA Server中的所有用户根据 模板的不同采用不同的审核策略，并且不同的业务采取不同的审核策略。主题规则管理系统支持定义一些主题规则，通过用户信息或企业信息中的某些特定项来自 动产生用户所申请的证书的证书主题，免去用户掌握证书主题规则的专业性，降 低用户使用系统的

30、难度。3.2.2.5审计管理RA Server与CA Server 一样，采取业务管理和审计管理分开的管理策略， 只有审计管理员才能进行审计管理操作，审计管理包括业务审计和日志审计。3.2.2.5.1业务审计系统可以根据操作操作员信息、操作时间、证书模板信息、证书状态信息等 多种条件条件形成符合要求的业务数据报表，给管理员提供针对在RA Server 内不同对象的数量统计结果3.2.2.5.2日志审计系统提供日志信息查询、归档日志查询，归档业务日志的日志审计功能，管 理员通过这几个功能可以对RA Server的业务日志实现完整的管理功能。3.2.2.6用户自主服务RA Server为了更好的为

31、客户服务，提供用户自主服务，供最终用户无需管 理员配合可以进行一些证书相关操作，并提供良好的扩展机制进行设置策略。3.2.2.6.1功能点自主下载最终用户根据下载凭证-授权码进行自主下载证书。自主更新最终用户对自己未过期的证书进行自主更新并下载。 下载根证书最终用户通过此功能下载该系统的根证书。下载CRL文件最终用户通过此功能将本系统发布的CRL文件下载到本地。3.2.2.6.2扩展机制由于用户自主服务不强制校验用户的身份，所以用户在使用这些功能时，有 些根据实际需要对用户的身份进行校验，而此时用户不一定拥有证书。另外，一 些操作还允许设置一些具体参数，这些的实现都依赖于此处的扩展机制来实现。

32、RA Server的扩展机制允许自主操作与用户的一些应用结合起来进行验证用 户的身份，例如自主录入申请时，将输入的Email地址以及另一页面输入的口令 一起发至用户邮件系统中做校验，校验通过则让该用户申请通过，校验不通过则 不允许提交该申请；再例如，用户自主更新时，将用户要更新的证书通过用户提 供的信息表中进行检查，校验是否允许其进行自主更新，并且得到新证书的失效 时间是多少等信息。这些都在RA Server的自主服务中很好进行客户应用结合。3.2.3密钥管理中心(KM Server)3.2.3.1密钥管理在KM Server系统中，只有拥有密钥管理角色的管理员才能进行密钥管理的 操作。密钥管

33、理包括密钥产生，在用密钥的查询、统计与备份、密钥归档、密钥 归档查询。密钥产生密钥产生分为定时预产生密钥和即时产生密钥两种方式。定时预产生密钥管理员可以通过此功能管理密钥产生计划，用于在系统运行不繁忙的时 候预先产生密钥以作备用，在CA Server申请密钥的时候可以提高KM Server的工作效率。计划根据执行时间和在数据库中保存的最大数量来决定 是否每天执行。管理员可以执行添加、删除、停止计划的操作。即时产生密钥管理员可以通过即时产生密钥功能随时产生所需要的一定数量的密钥 对。管理员可以设置需要产生的密钥的类型和长度，以及产生数量和计划执 行时间等参数。 查询在用密钥CA Server向K

34、M Server申请密钥并为用户签发证书成功后，申请的密钥对 保存在KM Server的在用密钥库中。设置输入某些查询条件可以查询出符合条 件的在用密钥的详细信息。 统计备用密钥对系统中所有的备用密钥进行统计。根据统计条件，统计备用密钥的数量。 查询归档密钥查询由CA发起密钥归档后，KM进行手动密钥归后档密钥信息。归档密钥CA发起密钥归档消息在KM端将待归档密钥对标注为待归档状态，而后由 KM端进行手工归档。司法取证KM Server可以通过密钥恢复操作来提供司法取证服务。在KM Server系 统中，只有拥有密钥管理角色的管理员才能进行密钥恢复操作。司法取证员多方 到后，密钥管理员启动密钥恢

35、复操作进行司法取证过程，分别验证每个司法取证 员的身份是否和系统中设定的司法取证员相符，验证通过后选择密钥恢复方式， 进行密钥的保存。司法验证过程中，KM Server根据在系统初始化阶段设定的M/N值（N个 人中最少M个人到场）进行司法取证员的身份验证，需要选择每个司法取证人 员证书进行签名，在M个司法取证人员的签名操作完成后，系统验证司法取证 人员的合法性（司法取证员必须为系统中注册过的司法取证人员），验证通过后 进行密钥恢复。密钥恢复密钥恢复可以从KM Server的数据库中提取出欲恢复密钥（私钥）并进 行保存，KM Server提供了 2种密钥保存方式，基于文件的保存方式和基于智 能卡

36、的保存方式。如果选择基于文件的保存方式，KM Server可以提供2种文件格式： PKCS#1格式和PKCS#12格式。PKCS#1格式只保存私钥，PKCS#12格式采 取将私钥与证书用保护口令加密的方式保存。基于智能卡的保存方式可以将欲恢 复的密钥保存在智能卡内。3.2.3.2系统管理3.2.3.2.1签发机构管理KM Server可以对多个CA机构提供密钥管理服务，并可以对多个CA机构 进行统一的管理。CA机构管理分为CA机构注册、CA机构查询、CA机构冻结、 CA机构解冻、CA机构更新五部分。只有具有CA机构管理角色的管理员才能 进行CA机构管理的操作。 CA机构注册CA Server向

37、KM Server申请密钥前必须先在KM Server中注册并得到KM Server的授权，否则CA Server无权向KM Server申请密钥。 CA机构冻结管理员可以根据需要将某些已经在KM Server中注册的CA机构进行冻结， 冻结后的CA机构将不能再向KM Server申请密钥，直至被解冻为止。 CA机构解冻管理员可以将已冻结的CA机构解冻从而恢复其申请密钥的权限。 CA机构更新管理员可以更新已经在KM Server中注册的CA机构的注册信息。 CA机构密钥设置CA机构密钥设置功能，可以设置各个注册的CA机构申请的密钥数量。3.2.3.2.2司法取证员管理司法取证员是为进行密钥恢复

38、操作而设置的人员。在进行密钥恢复时，需要 由几位特定的司法取证员共同到场，依次验证权限才能进行操作。司法取证员权限管理主要包括司法取证员注册、查询和删除等。司法取证员注册只有注册后的司法取证员才能进行司法取证操作，注册的司法取证员人数不 能超过系统允许的司法取证人员总数，不能重复注册同一司法取证员。司法取证员删除管理员可以删除已经在系统中注册的司法取证员，被删除的司法取证员不能 再进行司法取证操作。3.2.3.2.3权限管理在KM Server系统中，对管理员采用基于数字证书的身份验证机制，管理员 的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理，管理员 间权限分离，某一管理员只

39、管理某一部分功能并受其他管理员监督。KM Server通过为管理员分配管理角色来指定管理员可以进行哪些操作， KMC Server系统中包含的管理角色有：密钥管理角色、CA机构管理角色、权 限管理角色和审计管理角色。一个管理员可以被授予一个或多个管理角色，以分 权的形式对整个系统进行有效管理。只有具有授权管理角色的管理员才能进行以下的授权管理操作。 注册管理员注册后的管理员具有被赋予的管理角色，可以进行相应的操作。 授权管理员注册后的管理员的权限可以被修改或删除。3.2.3.3审计管理KM Server与CA Server 一样，采取业务管理和审计管理分开的管理策略， 只有审计管理员才能进行审

40、计管理操作，审计管理包括业务审计和日志审计。3.2.3.3.1业务审计系统提供备用密钥统计、签发机构密钥查询、签发机构密钥统计、签名机构 业务量统计、归档密钥查询和归档密钥统计的业务审计功能，给管理员提供针对 在KM Server对密钥数量不同方式的统计结果。3.2.3.3.2日志审计系统提供日志信息查询、归档日志查询，归档业务日志的日志审计功能，管 理员通过这几个功能可以对KM Server的业务日志实现完整的管理功能。3.2.4在线证书状态查询系统(OCSP Server)OCSP Server通过CA的镜像数据库查询证书状态，这样比查询CRL (证书 注销列表)更可靠、更及时，提供给证书

41、应用的信息更丰富。OCSP Server可以支持查询多个不同CA颁发的证书，证书应用向OCSP Server查询证书状态时，可以一次查询不同CA颁发的证书状态。OCSPToolkit封装证书应用的证书状态查询请求，然后发送给OCSP Server， 并将从OCSP Server响应中解析的证书状态，返回给证书应用。OCSPToolkit 为证书应用提供简单、易用的用户接口。减轻了证书应用开发者的工作量。4产品特点4.1丰富完备的功能丰富的证书业务功能基于角色的授权管理支持多级CA强大的证书模板功能支持自定义项目（自定义证书模板&自定义证书扩展域）支持汉字证书支持签发微软智能卡登录（Smartc

42、ard Logon）证书支持交叉认证支持KM （密钥管理中心）支持OCSP （在线证书状态查询）支持可替换的加密模块4.2部署灵活、操作简单采用B/S服务模式，安装部署工作只需要在服务端进行，部署工作方便灵活。 客户端无需安装任何客户端软件，完全基于浏览器即可完成所有的管理操作，管 理终端与服务器之间采用SSL安全连接。4.3完全符合国内、国际PKI建设标准JIT SRQ05系统完全遵循国内、国际PKI建设及相关标准，这样有利于与其 它厂商的产品实现网际互连，支持更多的应用。SRQ05产品支持的标准类别标准标准内容1、密码算法和标准加密SSF33分组密码算法数字签名RSA数字签名，符合PKCS

43、#1 V2.0DSA，符合数字签名标准、美国FIPS PUB186 和 ANSIX9.30 （第一部分）散列函数SHA1,符合美国 FIPS PUB 180-1 和 ANSI X9.30 （第二部分）MD5报文摘要算法，符合因特网RFC1321密钥管理RSA密钥传输符合因特网RFC 1421和 1423 （PEM）和 PKCS#1 V2.0伪随机数生成符合ANSIX9.1对称技术的完整 性报文验证码（MAC），符合美国FIPSPUB113、ANSIX9.9 和 X9.19伪随机数生成符合 ANSIX9.172、数据格式和协议证书和证书注销 列表格式第3版证书和证书扩展，符合 ITU - Tre

44、c.X.509 (1997)和公用标准 ISO/IEC 9594-8 (1997)证书注销表和证书注销表扩展，符合IETF PKIX-1概况表技术规范RSA算法标识符和公开密钥格式，符合PEM 和 PKCS #1 V2.0文件包封格式基于因特网RFC 1421 (PEM)的标准文件包封格式安全文件包封技术，符合PKCS#7和S/MIME目录协议轻量目录存取协议(LDAP)，符合RFC1777PKI操作协议符合PKIX-2图表4-1SRQ05支持的标准4.4系统平台的高安全性通讯安全系统采用SSL标准安全通信协议。数据安全数据库、配置文件中的敏感数据采用加密方式保存；提供完备的数据备份及 恢复的

45、手段。人员安全采用基于数字证书的身份验证机制，管理员使用X.509证书进行登录管理、 管理员的管理权限与其证书进行绑定。分布式权限管理，管理员间权限分离，某一管理员只管理某一部分功能并受 其他管理员监督。完善的审计手段系统提供对所有业务情况的详尽记录和查询手段。4.5稳定的性能保证系统的高可用性高性能合理的系统设计以及软件能够为用户提供高性能的服务，核心服务接口设计 先进，使系统每分钟能支持几万个事务处理；支持高容错，大批量业务操作与数 据查寻，同时满足实时性要求。经过测试，在普通硬件平台上系统单机的并发请求处理能力达到300以上， 在300并发压力的情况下，处理能力能保持在每秒签发10张以上

46、的证书，并保 持100%的成功率。高可用性系统的所有组件（CA、KM、RA、OCSP）均支持集群部署和负载均衡技术， 在正常运行的情况下，可以通过增加负载均衡的服务器，平滑扩展性能。4.6广泛的平台兼容性灵活可配置的密码模块通过标准接口对密码机、加密卡、智能卡等多种加密设备进行支持。支持多种数据库产品系统数据中心模块采用基于JDBC标准的数据操作服务，可挂接不同的数据 库产品，包括Oracle （9i、10g）、SQL Server （2000、2005、2008）等数据库 产品。支持多种目录服务产品系统支持基于LDAPv3标准协议的目录服务，符合此标准的目录服务产品均 可直接挂接到系统中。特别对微软的Active Directory （活动目录）提供专门的 支持。支持多种操作系统平台：JIT SRQ05电子证书认证系统可以支持多种操作系统，包括Windows,Linux, AIX，Solaris，HP