子CA解决方案

地址：广州市东风中路410—412号健力宝大厦28楼邮编：510030网址：电话：8620—83487228传真：8620—83486610客户服务（热线）：800—820—1560子子子子CA解决解决解决解决方案方案方案方案广东省数字证书认证中心广东省数字证书认证中心广东省数字证书认证中心广东省数字证书认证中心2008年地址：广州市东风中路410—412号健力宝大厦28楼邮编：510030网址：电话：8620—83487228传真：8620—83486610客户服务（热线）：800—820—1560目录目录目录目录1概述.........................................................................32需求分析.....................................................................43系统架构.....................................................................43.1功能描述................................................................54关键产品简要描述及实现需求...................................................64.1安全应用支撑服务器......................................................64.1.1产品概述............................................................64.1.2功能介绍............................................................64.2签发服务器..............................................................74.2.1产品描述............................................................74.2.2功能介绍............................................................74.3CA管理终端.............................................................74.3.1产品描述............................................................74.3.2功能介绍............................................................84.4GDCA-PKI安全服务中间件V1.0.............................................84.4.1产品概述............................................................84.4.2功能介绍............................................................84.5运营管理系统............................................................94.5.1产品概述............................................................94.5.2功能介绍............................................................94.6数字证书载体...........................................................104.6.1产品概述...........................................................104.6.2功能描述...........................................................114.7产品的实现环境需求.....................................................115设备配置清单................................................................12地址：广州市东风中路410—412号健力宝大厦28楼邮编：510030网址：电话：8620—83487228传真：8620—83486610客户服务（热线）：800—830—15601概述概述概述概述以INTERNET为代表的全球性信息化浪潮迅猛发展，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，从典型的如金融业务系统、网上证券交易业务系统逐渐扩展到政府办公系统、教育行业政务系统以及其他的企业商务应用。伴随网络的普及，越来越多的政府机构、企业、个人通过互联网进行重要数据的传输、资金的交割,完成各种政务活动和商务活动。目前，政府机构或企业建设的业务系统大多是基于互联网的、采用B/S结构的应用系统，需要通过广泛的、开放的互联网进行数据通信。因此，不可避免地存在着由于互联网的广泛、开放所带来的信息安全隐患，存在很多信息安全需求，包括身份认证、访问控制和信息的机密性、完整性和不可抵赖性。因此，需要采用一种有效的手段和技术，保证基于互联网应用的安全需求。目前，一种叫做PKI（PublicKeyInfrastructure，公钥基础设施）的技术，它使用成熟的公开密钥机制，综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务，通过建设CA（CertificationAuthority，证书认证中心）认证中心为用户签发数字证书，用户在业务系统中使用证书，完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性。PKI技术已经被广泛应用于电子政务和电子商务，被证明是保证基于互联网的电子政务和电子商务安全的最佳解决方案。地址：广州市东风中路410—412号健力宝大厦28楼邮编：510030网址：电话：8620—83487228传真：8620—83486610客户服务（热线）：800—830—15602需求需求需求需求分析分析分析分析子CA是基于CA认证中心的远程CA，适合于一个行业或者一个区域的应用。从子CA的建设适应特点可知，子CA是满足用户方需要拥有证书的签发权，并需要实现所签发的证书在密钥标识中显示该组织或机构单位，其颁发者也是该组织单位，即除了根证书是GDCA外，其他的业务证书的签发者都必须为该单位。另外，从CA的建设资格和投资费用来考虑，CA的建设需要国家相关部门的审核，并需要取得国家信息产业部颁发的《电子认证服务许可证》后，建立的CA系统提供的认证服务才具有法律的意义。同时，建立CA体系的投资费用非常高，作为一个企业，这样高投入来建立一个CA认证系统，其投入产出比使得不是一个普通的企业所能承受的。因此，通过合法权威的CA中心，建立子CA的方式来实现相同的功能不妨是一个很好的解决方式。3系统架构系统架构系统架构系统架构目前，GDCA提供的子CA的解决方案中，主要是通过签发服务器和安全应用支持服务器结合GDCAPKI安全中间件来实现，具体的系统架构如下所示：地址：广州市东风中路410—412号健力宝大厦28楼邮编：510030网址：电话：8620—83487228传真：8620—83486610客户服务（热线）：800—830—1560KMCARACAVPNVPNCA从上图可以看出，构建子CA是在构建异地RA的基础上加入了证书的签发功能，实现了在异地包括证书签发在内的一系列证书管理和制作等服务功能。3.1功能描述功能描述功能描述功能描述子CA功能实现简要描述如下：
证书签发功能地址：广州市东风中路410—412号健力宝大厦28楼邮编：510030网址：电话：8620—83487228传真：8620—83486610客户服务（热线）：800—830—1560
证书制作与发放功能
证书统计管理和控制功能
证书的应用开通和终止功能
······4关键关键关键关键产品产品产品产品简要描述简要描述简要描述简要描述及实现需求及实现需求及实现需求及实现需求4.1安全应用支撑服务器安全应用支撑服务器安全应用支撑服务器安全应用支撑服务器4.1.1产品概述产品概述产品概述产品概述安全应用支撑服务器是PKI安全应用的运行支撑平台，以硬件方式为应用系统提供服务器端数据机密性、数据完整性、身份认证、防抵赖等服务，符合国密办《证书认证系统密码及其相关安全技术规范》，具有稳定、可靠、高效、易管理的特点，其图形化的配置管理工具使用户维护变得简单方便。4.1.2功能介绍功能介绍功能介绍功能介绍
基于数字证书的身份认证与可信授权
高速数据加解密能力，支持国密办算法，10MBps加密数据通道
高速数字签名能力，数字签名速度20次/秒-200次/秒
设备双机热备份支持
图形化的设备管理地址：广州市东风中路410—412号健力宝大厦28楼邮编：510030网址：电话：8620—83487228传真：8620—83486610客户服务（热线）：800—830—1560
设备的授权访问控制
7×24服务高可靠性
可与基于所有流行的操作系统的应用服务器配套使用
可支持所有运行平台构建的C/S和B/S应用系统4.2签发服务器签发服务器签发服务器签发服务器4.2.1产品描述产品描述产品描述产品描述签发服务器主要是子CA系统中用来对本地密钥的管理和签发的服务器，该服务器通过CA后台服务程序连接CA数据库进行证书相关操作流的处理。4.2.2功能介绍功能介绍功能介绍功能介绍
签发证书
同步CA数据库
密钥管理
······4.3CA管理终端管理终端管理终端管理终端4.3.1产品描述产品描述产品描述产品描述CA管理终端主要是用来实现对CA签发服务器的一次策略配置，通过配置来实现签发服务器对CA数据库的数据交流关系，从而实现签发可视化管理的效果。地址：广州市东风中路410—412号健力宝大厦28楼邮编：510030网址：电话：8620—83487228传真：8620—83486610客户服务（热线）：800—830—15604.3.2功能介绍功能介绍功能介绍功能介绍
同步策略配置
签发策略的配置
可视化的签发和操作界面
······4.4GDCA-PKI安全服务中间件安全服务中间件安全服务中间件安全服务中间件V1.04.4.1产品概述产品概述产品概述产品概述PKI安全服务中间件是基于PKI公钥基础设施，构建安全应用的开发环境与运行支撑环境，遵循国密办《证书认证系统密码及其相关安全技术规范》，兼容PKCS＃11、WindowsCSP、JCE等国际信息安全应用标准。PKI安全服务中间件采用中间件技术、以及J2EE、XML、WebService、CORBA、COM组件等多种先进技术，能够屏蔽底层安全设备的硬件差异和复杂的密码实现逻辑，使用户只需在特定业务逻辑中嵌入所需安全功能，然后再进行简单的部署和配置，即可实现基于PKI的安全应用，可极大程度的降低应用系