格尔OCSP产品白皮书

上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:(86-021)62327010Fax:(86-021)62327015URL:保密事宜：本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息，接受方不向格尔公司承担保密责任：1)接受方在接收该文档前，已经掌握的信息。2)可以通过与接受方无关的其它渠道公开获得的信息。3)可以从第三方，以无附加保密要求方式获得的信息。上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:(86-021)62327010Fax:(86-021)62327015URL:系统的一部分，是格尔CA系统的子系统。格尔CA系统是上海格尔软件股份有限公司自行研制开发的数字证书认证系统，通过了国家密码管理委员会办公室的系统安全性认证，获得国家公安部安全专用销售许可证，并通过国家信息安全测评认证中心的测评认证。1.2产品作用格尔OCSP服务器是格尔CA系统的重要成员。它为其他应用提供实时的在线证书状态查询服务。为系统提供比CRL方式更高的安全性。1.3产品技术规范格尔OCSP服务器为用户提供在线证书状态查询服务。CA中心的OCSP服务器可以使用CA证书或拥有授权的专用OCSP证书为用户签发标准的OCSP响应。该响应对应唯一的OCSP请求并给出所请求证书的状态。格尔OCSP服务器支持HTTP、CMP等国际标准的OCSP服务方式，OCSP协议支持OCSPv2。1.4产品支持平台格尔OCSP服务器为格尔公司提供的专用网络硬件设备，采用标准配置，操作系统选用Linux。上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:产品线产品系列产品型号处理能力（次/秒）并发用户数E系列OCSP-E-201070300G系列OCSP-G-40202001000图表1格尔OCSP产品列表2.2OCSP工作原理典型工作流程图(通讯协议采用HTTP)上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:产品功能在线接受证书状态查询请求，完成证书状态查询操作，将证书状态信息封装在OCSP响应中签发给用户。上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:协议，支持第三方的OCSP客户端应用。证书采用标准的X.509v3格式，采用标准的LDAPv2目录访问协议，支持各种第三方的PKI应用。通讯协议支持HTTP1.1。通讯协议支持CMP。可扩展性系统采用组件化的设计，各子系统可以在不影响原有系统的前提下对其方便的扩展。支持多种数字证书支持个人用户证书、设备证书、机构证书、代码签名证书、IPSec证书、S/MIME证书、无线证书（遵循WPKI规范）。稳定性能够承受上百并发用户持续的并发访问而持续稳定运行。可维护性提供自动的管理功能，如系统的备份。备份和恢复过程支持系统恢复至故障点，出现故障或灾难时，可以方便恢复至正常状态。高效性较快响应在线证书状态查询请求。5性能指标性能参数如下：1．E型号可以并发处理300个用户请求2．G型号可以并发处理1000个用户请求3．E型号一次OCSP请求处理时间：15ms4．G型号一次OCSP请求处理时间：5ms上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:服务器，以守护进程方式运行于一台专用的网络设备上，这个网络专用设备不配备显卡和显示器，也不配备常规硬盘，为了最大提高网络性能和运行性能，配置了4个百兆网卡，一个存储效率更高的CF卡，运行经过精简的linux内核平台，另外由于在系统内核中内嵌一个网络防火墙，安全性也得到极大的提高。并且由于精简了不必要的硬件和操作系统不必要的软件，稳定性得到很大的提高。产品本身具有自监控功能，时刻监控自身的运行状态，在服务器运行异常情况下可以尽快恢复，保证服务的不间断提供。7遵循标准遵循OCSPv1、OCSPv2标准协议遵循标准的高强度非对称加密算法遵循X.509V3证书标准遵循HTTP1.1协议标准遵循XML标准遵循国际电联ASN.1编码规则遵循CMP标准8安装部署本系统安装和使用相当简单，只需要把OCSP服务器接入到用户网络环境中，作为一个服务让其他应用访问即可。安装部署图如下：上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:服务器（）应用程序调用OCSP客户端（）应用程序调用OCSP客户端（）应用程序调用OCSP客户端CA服务器图表3格尔OCSP产品安装部署图9附录9.1名词解释OCSP：OnlineCertificateStatusProtocol在线证书状态查询协议9.2符合的相关RFCRFC2560：OnlineCertificateStatusProtocol(OCSP)RFC2510：TheCertificateManagementProtocol(CMP)RFC2797：CertificateManagementMessagesoverCMSRFC2585：UseofFTPandHTTPfortransportofPKIoperationsRFC3161：InternetX.509PublicKeyInfrastructureTimeStampProtocols