吉大正元产品简介

吉大正元信息技术股份有限公司产品简介内容提要产品体系介绍产品介绍产品体系－－产品定位基于PKI/PMI技术解决认证、授权、管理、内容保护等应用安全问题产品体系－－产品设计理念安全为应用服务，安全为管理服务安全性与可用性、易用性结合两个基础设施、一个平台，提供五个统一服务•两个基础设施：安全技术基础设施、安全管理基础设施•一个平台：应用安全支撑平台•五个统一服务：即统一的用户管理服务、统一的身份认证服务、统一的授权服务、统一访问控制服务、统一的安全审计服务。保护原有用户投资、尽量避免调整应用吉大正元产品体系介绍安全技术基础设施PKI/PMI应用安全支撑平台JITCinas数字签名系统身份验证系统安全应用CAServer签发系统RAServer注册审核系统KMCServer密钥管理中心OCSPServer在线证书状态查询RAToolkitRA开发工具包OCSPToolkitOCSP开发工具包TSA数字时间戳AA属性证书系统PMS授权管理系统JITSRQ05数字证书认证系统JITPMS授权管理系统JITSmartOffice通用办公资源与业务管理系统JITDS桌面安全系统SZD34智能密码钥匙SJY-76证书服务器密码机JIT电子签章系统JITGalaxy银河目录服务器电子文档管理系统电子公文安全传输系统JITCSS签名服务器JIT身份认证网关终端安全、文档安全、办公安全安全硬件产品JITUMS统一用户管理系统证书、权限管理安全管理设施身份验证、单点登录、数据保密、行为可控、可查JITAQS统一审计监控系统统一管理用户身份、账号、属性审计和监控相关行为内容产品体系－－产品荣誉《SRQ05电子证书认证系统》•完全自主知识产权•第一个通过国家级鉴定•国家重点新产品•该领域内国家最高科技奖－－科技进步一等奖《应用安全支撑平台》•第十界中国国际软件博览会金奖《SmartOffice政府资源管理系统》•全国政务优秀软件（国务院办公厅）产品体系－－产品对用户的价值管理员对各实体（用户、设备等）进行统一管理系统实体之间建立可信、可控、可审计、可追查机制业务应用和安全措施能独立运行、方便各自管理应用与安全的集成简单而便捷提升用户对信息系统的使用体验产品介绍CA产品（SQR05）统一用户管理系统（UMS）授权管理系统（PMS)应用安全支撑系统（CINAS）综合审计系统（AQS）终端安全系统文件传输系统其他产品•目录服务器•Ukey•加密机提要CA产品产品概述－产品介绍JITSRQ05电子证书认证系统是在吉大正元原有产品基础上，结合国内外同类产品的特点研制而成。是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统。JITSRQ05电子证书认证系统由以下几个核心组件组成：•CA签发管理系统（CAServer）•RA注册管理系统（RAServer）•KM密钥管理中心（KMServer）•OCSP在线证书状态查询系统（OCSPServer）其中CAServer为产品的核心，其他组件围绕认证中心提供更完善的安全解决方案。功能介绍－系统结构功能介绍－系统组成JITSRQ05－吉大正元电子证书认证系统服务器JITSRQ05CAServer－签发管理系统JITSRQ05KMServer－密钥管理中心JITSRQ05RAServer－注册管理系统JITSRQ05OCSPServer－在线证书查询系统开发用APIJITRAToolkitJITOCSPToolkit功能介绍－CAServerCAServer的核心作用•签发、管理证书和CRL•以证书为中心管理数据系统初始化超级管理员审计管理员业务管理员证书管理模板管理自定义扩展域管理权限管理统计业务量审计操作日志系统管理员系统配置管理功能介绍－CAServer证书管理基本功能•证书申请•证书下载•证书更新•证书注销•证书冻结•证书解冻•证书查询•证书归档同一模板下状态为“使用中”的证书（DN）必须唯一使用中未下载注销未下载注销冻结功能介绍－CAServer证书模板的作用•证书模板的作用是根据证书应用需要，规范和定制证书内大部分信息，简化证书签发操作，并支持按证书模板分类管理证书；•用户证书签发必须依赖证书模板；•CA系统初始化后会预置一批常用证书模板，能够满足绝大多数证书应用；自定义扩展域的作用•国家/国际标准表扩展域无法满足应用要求时，可以使用自定义扩展域•OID+编码方式+VALUE使用中未使用注销删除功能介绍－CAServer权限管理•本系统管理员证书模板•证书管理授权：模板名称+BaseDN审计管理•统计签发证书数量•审计操作日志功能介绍－KMServerKMServer的核心作用•为CA提供加密密钥•管理加密密钥生命周期•以密钥为中心管理数据•支持为多CA提供密钥服务系统初始化超级管理员审计管理员业务管理员密钥管理机构管理权限管理统计业务量审计操作日志系统管理员系统配置管理功能介绍－KMServer密钥管理•定时产生密钥•即时产生密钥•备用密钥统计•在用密钥查询•司法取证•密钥归档同一机构下同一序列号的证书只能申请使用一对密钥“三库”要求•备用密钥库•在用密钥库•归档密钥库使用中未使用注销停用冻结功能介绍－KMServer机构管理•使用CA“通信证书”作为就证书注册•可限制CA机构能够提取的密钥类型和密钥数量权限管理•超级管理员只能完成授权业务管理员操作•其他所有业务管理由业务管理员完成审计管理•统计业务量•审计操作日志功能介绍－RAServerRAServer的核心作用•实现证书申请录入、审核功能•管理证书对应的用户信息•以用户为中心管理数据系统初始化制证员审计管理员证书管理用户管理模板管理主题规则管理统计业务量审计操作日志系统管理员系统配置管理权限管理录入员审核员超级管理员功能介绍－RAServer证书管理•证书申请、证书下载、证书查询、证书更新•证书冻结、证书解冻、证书注销•批量申请证书、批量下载证书用户管理•用户组管理•添加用户、修改用户、删除用户•冻结用户、解冻用户、注销用户功能介绍－RAServer模板管理•获取已授权模板列表•设置审核策略：手动审核、自动审核主题规则管理•规范证书主题格式•定制用户信息与证书主题的对应关系•主题规则与证书模板绑定权限管理•录入员•审核员•制证员功能介绍－RAServer用户自主服务•自主下载证书•自主更新证书•下载根证书•下载CRL•可灵活控制的自主服务模式•可扩展的用户身份验证模式功能介绍－OCSPServerOCSP核心功能•提供在线证书状态查询服务•支持对多CA提供证书状态查询服务OCSP标识证书状态•有效Using•注销Revoked•未知Unknown系统初始化系统管理员系统配置管理功能介绍－开发用APIRAToolkit•连接CA，实现证书管理功能OCSPToolkit•连接OCSP，实现证书状态查询功能提要数字签名服务器产品产品概述－产品背景研制背景•需求：电子交易和网络业务，如何保证业务行为、时间不可否认和数据安全•技术：PKI技术和数字证书应用，提供了技术保障和解决方案•保障：随着电子签名法颁布（2005年4月1日），电子签名具有法律效力•历程：2004年研制，2006年推出硬件产品2010年5月31日发布吉大正元数字签名服务器2.0.23产品定义•吉大正元数字签名服务器是基于数字证书和PKI技术自主研制的硬件安全产品，提供数字签名和数字信封服务，满足用户在网络交易中行为不可抵赖，信息完整性、私密性等需求。解决问题•行为可追述，不可抵赖•数据防篡改•数据保密产品概述－产品形态数字签名服务器•硬件签名服务器•服务器接口（V-STK）：C版/COM版/JAVA版数字签名客户端•客户端接口（V-CTK）：COM版/JAVA版应用服务端签名服务器V-STK应用客户端IE浏览器CRL/OCSPV-CTKV-CTK数字签名客户端数字签名服务器产品概述－应用价值完整性数字签名：如果签名验证失败，说明数据的完整性遭到了破坏机密性不可抵赖数字信封：使用两层加密来获得公开密钥技术的灵活性和秘密密钥技术高效性数字签名：签名者事后不能否认自己的签名身份认证数字签名：接收者能验证签名，而任何其他人都不能伪造签名功能介绍－数字签名服务器管理员用户发送数据验证签名通过WEB方式管理服务器证书存储私钥存储CRL/OCSP证书状态检索发送数据解密信封制作数字签名，支持数据原文、文件制作数字签名，签名结构符合P7标准。验证数字签名，支持验证标准的P7签名结果，验证签名过程中，对制作签名证书进行完整验证，包括信任域、有效期、证书状态。制作数字信封，支持数据原文、文件制作数字信封，信封结构符合P7标准。验证数字信封，支持验证标准的P7信封结果，验证信封过程中，对制作信封的证书进行完整验证，包括信任域、有效期、证书状态。数字签名服务器功能介绍－数字签名服务器数字签名数字签名服务器支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验证符合PKCS#7标准的签名结果。数字签名服务器支持对数据制作数字签名，签名结构符合PKCS#1标准；支持验证符合PKCS#1标准的签名结果。数字信封数字签名服务器支持对数据、文件制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果。证书验证数字签名服务器支持对签名、加密证书进行全面验证。包括信任域、有效期和证书状态。交叉验证数字签名服务器支持配置多信任CA签发的根证书，可验证不同CA机构签发的符合PKCS#7标准的签名、信封结果。双机热备数字签名服务器内置双机热备系统，采用主备机模式，主机（处于工作状态的机器）与备机之间通过网口连接心跳线，用于监听对方机器是否处于正常工作状态。功能介绍－数字签名客户端数字签名数字签名客户端支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验证符合PKCS#7标准的签名结果。数字信封数字签名客户端支持对数据、文件制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果。证书扩展证书作为用户身份标识，其中可以记载很多用户信息，如姓名、联系方式、工作单位、职务等等，也可以在CA机构定义扩展信息。数字签名客户端支持获取证书标准信息及其扩展信息，供应用系统使用。功能介绍－特色功能数字签名：•事后验证：使用证书进行完整数字签名，签名结果中包含签名时的全部证书状态信息，接收者可在生成后的任意时间验证，而其他任何人都不能伪造。•监控功能：安全管理员可以对签名、验签业务进行实时的监控和统计。•业务日志管理功能：内嵌数据库，安全管理员可以设置、查看日志信息及状态。数字信封：•双证书体系：签名证书与加密证书完全独立，保障系统应用的安全•监控功能：安全管理员可以对加密、解密业务进行实时的监控和统计。产品亮点－技术特点标准化设计产品遵循《中华人民共和国电子签名法》；证书符合X509v3标准；签名、信封结构符合PKCS#7、PKCS#1标准；客户端支持CSP标准的硬件产品。易用性设计支持多样的数据传入方式：可直接传入数据或传入数据存储的路径；支持多平台、多开发语言调用：提供JAVA、COM、C等多种类型的接口函数。安全性设计基于高强度的双向身份认证，确保了管理者的合法身份；专为数字签名服务器剪裁的操作系统，封闭了管理端口和业务端口以外的所有端口，加强了产品的抗攻击性。高可靠性设计持双机热备功能，避免单机故障；支持联合当今市场主流负载均衡设备，满足大压力、大并发下确保产品稳定性的需求。提要统一用户管理安全产品多应用环境下的用户管理问题OA系统MIS系统ERP系统对于管理员高成本：各系统相对独立，管理员需要维护多套用户信息低安全：人员变更、离职，帐号很难在多个系统及时变更对于单位领导难管理：管理者不知道哪些人在哪些系统中拥有帐号管理员领导……面对这些问题，我们该怎么办？解决思路－由分