格尔公钥基础设施产品白皮书-格尔公钥基础设施SRQ15

格尔公钥基础设施SRQ15产品白皮书上海格尔软件股份有限公司2006年11月上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:保密事宜：本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息，接受方不向格尔公司承担保密责任：1）接受方在接收该文档前，已经掌握的信息。2）可以通过与接受方无关的其它渠道公开获得的信息。3）可以从第三方，以无附加保密要求方式获得的信息。上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:(86-021)62327010Fax:(86-021)62327015URL:前言随着网络技术的不断发展，企业联网的范围也不断扩大，从一个本地网络发展到跨地区、跨城市、跨国网络，这其中的各种网络应用在给企业带来便捷高效的收益，但同时也带来了安全管理和安全通讯的问题。为了解决网络安全应用问题，近年来，PKI（publickeyinfrastructure）安全体系开始被引入并越来越多地应用到企业、行业中，其运营管理机构一般又称为CA证书机构。自1998年中国已有多个不同规模的CA证书机构建成并运行，它们在电力、商务和电子政务安全应用中发挥着重要的作用。目前，我国CA证书机构大体按照应用环境/范围可分为区域类、行业类、商业类和内部自用（企业）类。区域类CA证书机构大多以地方政府为背景、以公司机制来运作，主要为本地行政区域内电子商务业务与面向公众服务的电子政务业务发放证书；行业类CA证书机构以部委或行业主管部门为背景，以非公司机制或公司机制运作，在本部委系统或行业内为电子政务业务和电子商务业务发放证书；商业类CA证书机构以公司机制运作，面向全国范围为电子商务业务发放证书；内部自用类CA证书机构，主要是企业事业单位自建的证书机构，为自身内部业务发放证书，不向公众提供证书服务。PKI体系概念在安全领域得到的广泛认同，使国内越来越多机构、企业在进行网络安全建设时将PKI应用建设列为重要的基础设施。目前，国内CA机构建设的特点表现为：投资规模大，建设规模大，管理范围大，这类CA机构一般都是建立在省、部委一级，同时还包括各大银行为保障网银业务安全所统一建设的CFCA和内部CA系统等。针对这样的情况国密办也适时推出了国内大型CA建设的标准。格尔软件股份有限公司积累了丰富的大规模PKI体系建设经验，并据此推出了系列PKI基础设施产品及应用产品。这里介绍的格尔公钥基础设施系统是PKI体系基础建设的组成部分之一，是面向政府、金融、证券、电力、企业、证书运营中心等进行PKI体系建设的专门化电子证书中心产品。上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:产品，是格尔公司数字证书解决方案的基础平台。它包括格尔证书认证系统、证书证书注册系统、格尔密钥管理系统三个核心系统及OCSP服务器、时间戳服务器、SPKM网关服务器等基础平台支持设施，三个核心系统和诸多平台支持设施构成完整的、高效的认证体系架构，是一套成熟的、可靠的数字证书基础设施产品。格尔公钥基础设施产品在设计上符合国际通用标准，同时严格遵循国密办的各项规定，是一套开放式的系统，产品支持第三方CA系统、第三方RA系统的接入。核心系统全部采用JAVA语言开发，具有良好的平台兼容性，可以支持AIX、Solaris、Linux、Windows等操作平台，支持Oracle、DB2、Sybase、MSSQL等主流数据库。系统设计灵活、可扩展性强，支持多级CA的分布式部署。格尔公钥基础设施产品针对不同的客户需求，将产品划分为四种型号:¾格尔公钥基础设施精简版¾格尔公钥基础设施企业版¾格尔公钥基础设施大客户版¾格尔公司基础设备运营中心版本精简版的证书设计容量在3000以下，系统以硬件服务器的形式提供，操作简单、维护方便，适用于发证量不大的中小企业用户。企业版的证书设计容量为3000~5万，主要面向大型国有企业或跨国公司，可以根据客户需求进行系统定制，由客户自行选择密码设备和数据库，具有部署快捷、管理简单等优点。大客户版面向于政府部门或银行机构，证书设计容量为5万~50万，提供完善的开发接口，可以应对客户的复杂需求，如接入其它第三方CA或RA系统等。运营中心版主要提供给省级CA，证书容量设计为200万以上。上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:体系结构格尔公钥基础设施由一系列软硬件实现模块组成，其核心包括三个模块：‹格尔证书认证系统——CA‹格尔证书注册系统——RA‹格尔密钥管理系统——KM图表1系统结构图上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:(86-021)62327010Fax:(86-021)62327015URL:产品型号根据用户的需求不同，格尔证书认证产品划分成四个不同的型号，每种型号提供不同级别的服务:产品系列系列名称CA-L格尔公钥基础设施精简版CA-E格尔公钥基础设施企业版CA-A格尔公钥基础设施大客户版CA-C格尔公钥基础设施运营中心版图表1格尔公钥基础设施产品线划分上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:(86-021)62327010Fax:(86-021)62327015URL:张以下，主要面向中小企业用户，系统以硬件服务器形式提供。精简版CA是完整的CA系统，在系统结构上和大型CA完全一致，包括有证书注册模块、证书签发模块、证书发布模块、密钥管理模块等四个部分，提供了完备的证书管理功能：¾用户信息注册/审核/签发¾用户信息更新/审核/更新¾证书恢复申请/审核/恢复¾证书废除申请/审核/废除¾证书冻结申请/审核/冻结¾证书解冻申请/审核/解冻¾证书重发申请/审核/重发¾微软智能卡证书/计算机证书/域控制器证书签发¾CRL证书下载¾系统备份/恢复¾系统在线升级¾系统日志查询/审计2.3.2企业版企业版CA主要面向大型国有企业或跨国公司，证书设计容量为3000~5万，证书注册系统、证书认证系统及密钥管理系统为独立的产品，可以满足大型企业用户的复杂网络环境。企业版CA涵盖精简版CA的所有证书功能，同时为适应大型企业用户的需要，企业版CA同时提供以下高级特性：¾分级CA管理¾证书策略管理¾CRL策略管理¾证书模板管理上海格尔软件股份有限公司上海市余姚路288号A楼4层T