数字证书认证系统

主要功能

数字证书认证系统属于商用密码产品,其主要功能是实现SM2和RSA算法数字证书的申请、审核、签发、发布、制证、更新、废除等数字证书全生命周期的管理。并通过向应用系统的各类网络设备、服务器、终端和用户等提供数字证书,以实现用户身份认证以及数据的完整性、机密性和不可抵赖性等安全功能。

数字证书认证系统一般分为三个功能区:

  • 核心操作区:包括根CA系统、密钥管理系统、证书签发系统、安全审计系统、数据库系统、证书主发布系统等。
  • 服务管理区:包括证书注册系统、证书从发布系统、OCSP系统等。
  • 远程注册区:包括远程注册系统。

技术标准

  • 《证书认证系统密码及其相关安全技术规范》(国家密码管理局,2005)
  • 《数字证书认证系统密码协议规范》(国家密码管理局,2007)
  • 《数字证书认证系统检测规范》(国家密码管理局,2007)
  • 《证书认证密钥管理系统检测规范》(国家密码管理局,2007)
  • 《信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架》(GB/T 16264.8-2005)
  • 《信息安全技术 公钥基础设施 数字证书格式》(GB/T 20518-2006)
  • 网络传输控制协议与网际协议(TCP/IP)
  • ITU X.509标准
  • PKCS系列标准
  • PKIX系统标准
  • LDAP V3协议
  • OCSP协议
  • SSL协议

系统特点

1、可扩展性

  • 体系结构具有可扩展性,可以很方便地构建新的CA中心、RA中心和二级RA中心等;
  • 软、硬件系统具有模块化结构,能够灵活配置设备,方便地进行在线扩容和升级,同时应用软件也具有模块化扩展能力,能适应扩大业务范围、增加多种应用的需要;
  • 证书容量能够随着业务的增长灵活扩容;
  • 适用于多种应用需求:所签发证书能够满足不同的业务需要。
  • 交叉认证:能方便地与第三方CA进行交叉认证。
  • 加密算法:加密算法符合相关法律、法规和有关规定内要求,并能对加密算法的种类和强度进行扩充和替换。

2、安全可靠性

系统设计与实现充分考虑了安全措施,按安全级别划分了不同的功能操作区,最大限度地保证了CA系统中核心模块的安全。密钥的产生与存储采用硬件密码设备来完成,保证了密钥的安全。系统内部服务器之间的通信都采用安全通道保证安全传输。系统管理员的身份是通过存储在USB Token的管理员证书来验证的。

3、兼容性

系统的兼容性表现在互操作能力方面,遵循相关的国际国内标准,支持多种数据库平台、硬件密码设备和存储介质,支持多种证书类型及证书应用协议,支持交叉认证。

4、易操作性

系统管理维护界面易操作。CA管理维护终端和RA管理维护终端提供图形化的操作界面;所有的管理维护均采用B/S模式实现。

5、可维护性

系统具备很强的灵活性。可以根据用户需求对系统进行灵活裁剪,为用户量身定制一套满足需求的CA系统。可以设立多级CA和RA中心;可以选择配置OCSP服务;可以选择配置LDAP服务器等。

6、支持智能卡登录

系统签发的证书除了支持通常安全电子邮件、SSL连接等外,还支持Windows2000/2003/win7智能卡域登录,代替明文账号和口令的弱认证机制的缺点,实现基于数字证书的Windows域用户的强认证机制。

7、支持虚拟CA

支持虚拟CA,即使用一套硬件设备和安装一套CA系统软件,可以构建不同的证书签发机构。

8、支持证书模板

支持证书模板,可以对批量的证书申请按照某一证书模板进行批量签发。

9、支持自定义扩展

支持证书标准扩展,还支持自定义扩展,操作员只需进行简单的配置就可在证书中实现自定义扩展的编码。

10、功能完备

  • 证书管理功能完备,流程简单、安全、实用
  • 完全基于B/S架构,系统建立、使用和后期维护简单
  • 支持多种证书介质(文件、IC卡、USB Token)
  • 支持OCSP
  • 支持多种证书编码格式
  • 支持多种证书发布方式(数据库、LDAP、WWW、FTP)
  • 支持中文证书