1、JIT SRQ05 V5.0.2 吉大正元電子證書認證系統吉大正元電子證書認證系統技術白皮書技術白皮書Version 1.2 有意見請寄有意見請寄 ：中國北京市海淀區知春路 113 號銀網中心 B 座 12 層 電話：86傳真：86大正元信息技術股份有限公司吉大正元信息技術股份有限公司聲明聲明本文檔是吉大正元信息技術股份有限公司的機密文檔，文檔的版權屬于吉大正元信息技術股份有限公司，任何使用、復制和公開此文檔的行為都必須經過吉大正元信息技術股份有限公司的書面許可。內部資料內部資料 請注意保密請注意保密版本、密級及修改記錄版本、密級及修改記

2、錄修改日期版本操作備注2008-12-051.0創建2009-2-91.1修改加入聲明2009-2-221.2修改部門內互評修改目錄目錄1前言前言.11.1應用場景描述.11.2需求描述.11.3術語和縮略語.31.3.1術語.31.3.2縮略語.42產品概述產品概述.52.1產品簡介.52.2產品實現原理.52.3產品系統架構.73功能流程功能流程.83.1產品功能.83.1.1認證中心（CA Server）.83.1.2注冊中心（RA Server）.83.1.3密鑰管理中心（KM Server）.83.1.4在線證書狀態查詢服務（OCSP Server）.83.2工作流程.93.2.1認

3、證中心（CA Server）.93.2.2注冊中心（RA Server）.123.2.3密鑰管理中心（KM Server）.163.2.4在線證書狀態查詢系統（OCSP Server）.204產品特點產品特點.204.1豐富完備的功能 .204.2部署靈活、操作簡單.214.3完全符合國內、國際 PKI 建設標準.214.4系統平臺的高安全性.224.5穩定的性能保證系統的高可用性.234.6廣泛的平臺兼容性.234.7系統架構的可擴展性.244.8良好的易用性與安全清晰的管理模式.244.9應用平臺的開放性.255運行部署運行部署.255.1交付產品和系統配置.255.1.1產品邏輯結構圖.

4、255.1.2產品清單.265.1.3推薦配置.275.2產品規格和 LICENSE機制.275.3系統組成.275.3.1部署結構全面型.275.3.2部署結構精簡型.295.3.3部署結構密鑰托管型.306資質證書資質證書.327典型案例典型案例.32圖表目錄圖表目錄圖表 1-1 術語對照表.4圖表 1-2 縮略語對照表 .4圖表 2-1 系統體系結構 .7圖表 4-1 SRQ05 支持的標準 .22圖表 5-1 邏輯結構圖.25圖表 5-2 產品清單.26圖表 5-3 推薦配置.27圖表 5-4 部署結構圖全面型.28圖表 5-5 系統組成清單全面型.29圖表 5-6 部署結構圖精簡型.

5、29圖表 5-7 系統組成清單精簡型.30圖表 5-8 部署結構圖密鑰托管型.31圖表 5-9 系統組成清單密鑰托管型.31JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 1 頁 1 前言前言1.1 應用場景描述應用場景描述在現實生活中，表達人身份的是居民身份證，而在當前信息化程度越來越高的網絡環境中，證書越來越被廣泛的用來代表人、設備、服務器等實體的身份；現實生活中，居民身份證是由公安局進行頒發和管理的，那么在網絡環境中，用來頒發和管理身份證書就是公鑰基礎設施。公鑰基礎設施(Public Key Infrastructure，簡稱 PKI)是采用非對稱密碼算法和技術，來實

6、現并提供安全服務，并具有通用性的安全基礎設施，是一種遵循標準的密鑰管理平臺。它能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理。PKI 體系實際上就是計算機軟硬件、權威機構及應用系統的結合。它采用數字證書的形式管理公鑰，通過 CA 把用戶的公鑰和用戶的其他標識信息（如名稱、身份證號碼、e-mail 地址等）捆綁在一起，實現對用戶身份的驗證；它將公鑰密碼和對稱密碼結合起來，通過網絡和計算機技術實現密鑰的自動管理，保證機密數據的保密性和完整性。通過采用 PKI 體系管理密鑰和證書，可以建立一個安全的網絡環境，實現信息的保密性、完整性，并完成身份鑒別以確保不可抵賴性。1

7、.2 需求描述需求描述建立一個安全的網絡環境，并要解決如何使用安全的身份進行認證的問題、如何保證敏感數據安全傳輸的問題、如何將機密數據安全保護存儲的問題等等更多的安全應用問題，這在當今信息化高度發展、高度普及的情況下，就變成了急需和迫切要去解決的。而利用基于 PKI 技術基礎的數字證書作為解決這些問題的基石，利用數字證書的密鑰和證書所能實現的保密性、完整性和不可抵賴性，構建一個與客戶應用系統緊密結合的安全應用系統，徹底解決和防范安全風險。那對于解決這一系列問題的基石數字證書，它是如何產生、如何JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 2 頁 管理、維護的呢，這就需要在

8、解決問題之初，建立一套完整的 PKI 體系，進而才能解決更多、更棘手的安全問題。PKI 的重要工作是管理密鑰和證書。通過 PKI 對密鑰和證書的管理，一個組織可以建立并維護可信賴的網絡環境。PKI 使加密和數字簽名服務得到廣泛的應用。就網絡安全中實現有效的公鑰基礎設施而言，存在許多需求。概括地說，一個有效的 PKI 是透明的。如果用戶不能從應用中的加密和數字簽名中獲得益處，那么 PKI 是沒有價值的，而用戶需要 PKI 能為自己提供相應的安全服務，并對服務的具體實現并不關心，這要求 PKI 具有透明性。透明性意味著用戶不必知道 PKI 是如何管理密鑰和證書的，只從加密和數字簽名中獲得益處就足夠

9、了。 CA（Certification Authority）認證機構是 PKI 的核心組成部分，通常被稱為認證中心，它是數字證書的簽發機構。PKI 服務系統的關鍵問題是如何實現密鑰管理，目前較好的解決方案是引進證書（Certificate）機制來實現。在公鑰機制環境中，必須有一個可信的機構來對任何一個主體的公鑰進行公證，證明主體的身份以及它與公鑰的匹配關系。CA 正是這樣的機構，它的職責歸納起來有： 驗證并標識證書申請者的身份 確保 CA 用于簽發證書的非對稱密鑰的質量 確保整個簽證過程的安全性，確保簽名私鑰的安全性 證書資料的管理（包括公鑰證書序列號、CA 標識等）的管理 確定并驗證證書的有

10、效期限 確保證書主體標識的唯一性 發布并維護證書注銷列表（CRL） 對整個證書簽發過程作日志紀錄JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 3 頁 向申請人發出通知 為用戶簽發數字證書我們可以把 CA 看成是一個國家的護照簽發中心。護照是由權威中心（護照簽發中心）頒發的一種安全文件，它是護照持有者的一種紙質身份證明，任何信任該國護照簽發中心的其他國家也會信任該國護照簽發中心所簽發的護照。數字證書是由權威中心(CA 中心)簽發的一種電子安全文件，它是數字證書持有者的一種電子版身份證明，任何信任該 CA 中心的所有用戶也會信任該 CA 中心所簽發的數字證書，進而確定證書持有

11、者的身份。1.3 術語和縮略語術語和縮略語1.3.1術語術語名詞解釋輕量級目錄訪問協議LDAP，即 Lightweight Directory Access Protocol 的縮寫，是一種較為簡單的輕量級目錄訪問協議。隨著互聯網成為網絡的主流，LDAP 也成為一個具備目錄的大部分服務的協議X.509 證書標準國際電話與電報咨詢委員會(CCITT)規定的一種行業標準。在這個標準中提供了一個數字證書的標準格式，規定數字證書必須包含的一些信息：如版本號、序列號、簽名算法、有效期限等電子文檔與傳統的紙質文檔相對應，指的是在計算機中處理的文檔。常見的電子文檔格式包括：Microsoft Word、Mi

12、crosoft Excel、Adobe PDF、HTML 文件、文本文件（TXT）、金山 WPS 等加密/解密使用計算機密碼技術，對數字信息進行轉換保護，形成新的信息，稱為加密；把加密的信息還原成原文信息，成為解密。被加密的信息與原信息完全不同，通過被加密的信息無法得知原文信息。加密的信息只有通過加密時使用的密鑰才能進行解密數字簽名采用 PKI 技術，先對原文信息進行摘要（Hash），然后通過私鑰進行簽名處理，生成簽名信息，簽名信息只有私鑰才能產生，簽名過JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 4 頁 名詞解釋程不可逆,通過數字簽名，可以保證明文數據的完整性和不可抵

13、賴性數字信封結合加密技術和數字簽名技術，把明文信息進行加密打包,生成的信息中包含被加密保護的明文信息和數字簽名信息，形如一個信封，稱為數字信封。通過數字信封，可以在開放的網絡環境中進行數據的安全存儲，既保證數據的安全性，又保證數據的完整性和準確性電子印章能夠在信息環境中使用的印章，由硬件和軟件構成不可抵賴性 是指對行為的確認，確定行為必須是某人或某機構所為，不能否認，數字簽名通過非對稱密碼技術和 PKI 管理體制保證不可抵賴實現數據完整性表明數據沒有遭受以非授權方式所作的篡改或破壞USB Key一種智能存儲設備，內有 cpu 芯片，用于存放數字證書，可進行數字簽名和簽名驗證的運算，可插在電腦的

14、 USB 接口中使用圖表 1-1 術語對照表1.3.2縮略語縮略語縮略語英文中文CACertificate Authority 數字證書中心。作為權威的第三方負責發放數字證書CRLCertificate Revoke List 證書吊銷列表KMKey Management密鑰管理LDAPLightweight Directory Access Protocol輕量級目錄訪問協議OAOffice Automation辦公自動化信息管理系統OCSPOnline Certificate Status Protocol 在線證書狀態協議PKIPublic Key Infrastructure公鑰基礎設

15、施RARegister Authority審核注冊中心SSLSecure Socket Layer安全套接層協議層。它是網景（Netscape）公司提出的基于 WEB 應用的安全協議JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 5 頁 圖表 1-2 縮略語對照表2 產品概述產品概述2.1 產品簡介產品簡介JIT SRQ05 電子證書認證系統是在吉大正元原有產品基礎上，結合國內外同類產品的特點研制開發的。JIT SRQ05 電子證書認證系統支持通過掛接密鑰管理中心（KM）來管理用戶加密密鑰，從而提高了用戶加密密鑰的安全性和可恢復性。通過支持證書模板，提高了簽發各類型證書的靈

16、活性。此外 JIT SRQ05 電子證書認證系統還支持在線證書狀態查詢，支持硬件加密設備和多種數據庫平臺。JIT SRQ05 電子證書認證系統產品組件配置靈活，可以根據用戶的不同需求進行選擇性配置，為用戶量身打造一套安全、穩定、實用、快捷的數字證書管理平臺。JIT SRQ05 電子證書認證系統是用于數字證書的申請、審核、簽發、注銷、更新、查詢的綜合管理系統。 由 JIT CA Server 頒發的數字證書遵循 X.509v3規范。在證書有效的情況下，保證公鑰能與確定的實體唯一對應。該系統滿足了作為一個具有世界先進水平的 CA 認證中心系統軟件的全部需求。通過使用CA Server 發行的數字證

17、書可以為用戶提供信息安全的全面服務： 保密性 保證信息是秘密的 完整性 能檢驗信息未被篡改 身份鑒別 檢驗個人或機構的身份 不可否定性 確保信息或操作不能被否認JIT SRQ05 電子證書認證系統應用國際先進技術，擁有高強度的加密算法，高可靠性的安全機制及完善的管理及配置策略。提供自動的密鑰和證書管理服務。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 6 頁 2.2 產品實現原理產品實現原理吉大正元提供了一系列安全產品，為用戶提供了完備的安全解決方案。吉大正元的產品系列依照下列原則構造： 高安全性和可靠性 高強度加密支持 模塊化設計，保證系統的可擴展性 開放標準 靈活的配

18、置策略JIT SRQ05 電子證書認證系統產品遵循吉大正元產品的一貫產品開發原則，為保證系統的高安全性和穩定性，采用分層的安全體系結構為系統提供多層次的安全保障。整個安全體系分為：技術支撐層、服務層、應用訪問層。1. 技術支撐層包括業務實現層、數據持久層和操作系統。系統底層所使用的安全技術是建立在加密算法（主要是公鑰加密體制） ，數字簽名，CA 安全認證和密鑰管理、安全應用協議，以及 X.509 數字證書等國際標準基礎上的。2. 服務框架層系統內部的服務框架層基于角色實現權限管理機制和訪問控制策略。系統內將權限管理點進行細致的拆分，并基于角色將相應的權限點與管理員公鑰證書進行綁定，可以方便的實

19、現安全訪問控制策略。3. Web 訪問層系統基于 B/S 模式開發，在 Web 訪問層中，使用符合國際標準的 SSL 安全通信層協議，基于 X509 證書實現雙向認證的安全 WEB 訪問，保證交互數據的安全性和完整性。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 7 頁 2.3 產品系統架構產品系統架構JIT SRQ05 電子證書認證系統由以下幾個核心組件組成： 認證中心（CA Server） 注冊中心（RA Server） 密鑰管理中心（KM Server） 在線證書狀態查詢服務（OCSP Server）其中認證中心為產品的核心，其他組件圍繞認證中心提供更完善的安全解決

20、方案。 圖表 2-1 系統體系結構RA Server管理員（瀏覽器）系統管理，業務管理，審計管理數據庫CA Server數據庫LDAPKM Server管理員（瀏覽器）系統管理，業務管理，審計管理管理員（瀏覽器）系統管理，業務管理，審計管理數據庫RAToolkitOCSP Server證書應用（證書狀態查詢）OCSP ToolkitJIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 8 頁 3 功能流程功能流程3.1 產品功能產品功能3.1.1認證中心（認證中心（CA Server）CA Server 作為吉大正元電子證書認證系統的核心，負責所有證書的簽發、注銷以及證書注銷列表

21、的簽發等管理功能。3.1.2注冊中心（注冊中心（RA Server）RA Server 是吉大正元數字證書注冊審批系統，是 CA Server 的證書發放、管理等業務的延伸。它負責所有證書申請者的信息錄入、審核等工作，同時對發放的證書進行管理。3.1.3密鑰管理中心（密鑰管理中心（KM Server）KM Server 是吉大正元密鑰管理系統，為 CA Server 提供用戶加密密鑰的生成及管理服務。系統支持符合 PKCS#11 標準的加密設備，支持高強度的密鑰及加密算法。通過 PKCS#11 接口直接硬件加密，實現了黑盒管理，系統密鑰不出主機加密服務器，擁有高強度的安全性和保密性。3.1.4

22、在線證書狀態查詢服務（在線證書狀態查詢服務（OCSP Server）OCSP Server 是吉大正元在線證書狀態查詢系統，為證書應用提供實時的證書狀態查詢服務。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 9 頁 3.2 工作流程工作流程3.2.1認證中心（認證中心（CA Server）3.2.1.1證書管理證書管理在 CA Server 系統中，只有擁有證書管理角色的管理員才能進行證書管理的操作。證書管理主要包括證書的申請、下載、更新、凍結，解凍，注銷、授權碼更新和證書實體查詢等操作。 證書申請系統提供基于 WEB 的申請方式，簡單易用，幫助用戶方便、安全、快捷的進行

23、證書申請。用戶可以根據自己的需要選擇相應的證書模板進行證書申請操作，如果申請成功，系統將返回下載證書所需的憑證。 證書下載證書申請通過審核之后，用戶可以通過下載憑證安全的下載證書。系統提供基于 WEB 的下載方式，支持多種加密算法和密鑰長度，支持智能卡、USB-KEY 等多種存儲介質，或直接下載成 p7b 和 pfx 格式的文件證書。 證書更新系統提供證書更新功能，用戶可以根據需要對正在使用中的證書進行有效期的更改，更新成功后，用戶可以下載新的證書。 證書凍結用戶可以對一些短期內不會使用的證書進行凍結操作，在凍結期間內證書被限制不可使用。被凍結的證書可以通過解凍操作恢復使用。 證書解凍證書解凍

24、操作是相對于證書凍結操作的，此操作將凍結的證書解凍，使得證書可以重新使用。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 10 頁 證書注銷用戶可以對一些不再使用的證書進行注銷操作，注銷后的證書不可恢復。系統對于有下列情況之一的用戶進行證書注銷：密鑰泄密CA 泄密從屬關系變更證書被取代操作終止 授權碼更新對一些申請成功但是沒有下載的證書，在出現客戶的授權碼丟失或過期情況時，可以通過授權碼更新來重新生成下載憑證，用戶使用新的授權碼進行證書下載。 證書實體查詢系統支持證書實體查詢功能，用戶可以通過查詢條件可以查詢出符合條件的證書，并可將證書實體(公鑰證書)保存到本地。3.2.1

25、.2系統管理系統管理3.2.1.2.1 證書模板管理證書模板管理系統引入了證書模板概念，極大的增強了簽發不同類型證書的靈活性。系統內置有十幾種標準證書模板及標準證書擴展域，能夠滿足大多數的證書簽發需求。系統同時支持自定義證書模板和自定義擴展域，用戶可以靈活定制各種證書模板，可以簽發出各種不同需要的證書（如代碼簽名證書、智能卡登錄證書等） 。證書模板用于定義證書的類別，每一個證書模板定義這一類證書的共同特JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 11 頁 點。包括證書的有效期限制、密鑰類型和密鑰長度、是否需要發布及發布的方式以及證書中該包含的擴展域及其擴展域的值等信息。

26、可以自定義各種類型的證書模板，并對其加以管理。對模板的管理操作包括新增、修改、刪除和注銷，其中只有未使用的模板可以刪除，已使用的模板只能注銷才能停止被使用。3.2.1.2.2 自定義擴展域管理自定義擴展域管理用戶可以根據自己的實際需要自定義證書擴展域，并應用于證書模板之中。對自定義擴展的管理包括新增、修改、刪除和注銷自定義擴展，其中只有未被模板使用的自定義擴展可以刪除，已使用的自定義擴展只能注銷才能停止被新的模板進行使用。3.2.1.2.3 權限管理權限管理在 CA Server 系統中，對管理員采用基于數字證書的身份驗證機制，管理員的管理權限與其證書進行綁定。系統采用分布式的基于角色的權限管

27、理，管理員間權限分離，某一管理員只管理某一部分功能并受其他管理員監督。每個管理員的權限信息都包含兩部分內容，一部分是管理角色權限，指定管理員可以進行哪些操作，在 CA Server 中，系統包含的管理角色有：證書管理角色、模板管理角色和權限管理角色。一個管理員可以被授予一個或多個管理角色，以分權的形式對整個系統進行有效管理。另一部分是管理范圍權限，指定管理員可以對哪些證書進行管理。只有具有權限管理角色的管理員才能進行權限管理的操作，才能有權限進行授權管理操作?？梢宰龅牟僮靼▽ξ幢皇跈嗟墓芾韱T證書進行授權，對已授權的管理員證書進行修改權限或刪除其對應的權限。3.2.1.2.4 歸檔證書歸檔證書

28、允許管理員對已過期的證書按照一定的條件進行歸檔，歸檔后將過期證書JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 12 頁 移至歸檔證書表，可以降低證書表的數據量提高整體性能。3.2.1.2.5 歸檔證書查詢歸檔證書查詢允許管理員對已歸檔的證書信息進行查詢。3.2.1.3審計管理審計管理JIT SRQ05 電子證書認證系統采取業務管理和審計管理分開的管理策略，只有審計管理員才能進行審計管理操作，審計管理包括業務審計和日志審計。3.2.1.3.1 業務審計業務審計系統可以根據操作員信息、證書模板信息、證書狀態信息等多種條件統計證書簽發數量，給管理員提供針對在 CA Server

29、 內不同對象的數量統計結果。3.2.1.3.2 日志審計日志審計系統提供日志信息查詢、歸檔日志查詢，歸檔業務日志的日志審計功能，管理員通過這幾個功能可以對 CA Server 的業務日志實現完整的管理功能。3.2.2注冊中心（注冊中心（RA Server）3.2.2.1用戶管理用戶管理RA Server 在 CA Server 基礎上延伸出的主要功能就是用戶管理，可以建立起與用戶組織結構相同的用戶信息組，且在 RA Server 端管理的全部證書都必須與一個用戶對應起來。RA Server 預置兩個用戶信息組：個人用戶和企業用戶，每一組均對應一系列的用戶信息項。在 RA 建設規劃階段，可以根據

30、用戶需要定制用戶信息和企業信息中包含的信息項，更貼近用戶應用環境。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 13 頁 3.2.2.2證書管理證書管理RA Server 的證書管理與 CA Server 的證書管理比較相似，但又在 CA Server 的基礎上有了一定上的功能擴展，目的仍然是更好的為用戶管理證書業務進行服務。首先，RA Server 的證書管理可以設置為手動審核或自動審核。當具備“錄入員”權限的管理員進行操作證書時，如果該證書對應的審核狀態為手動審核，則錄入員提交相應的證書操作申請后，需要具備“審核員”權限的管理員進行審核，審核成功后才會提交至 CA 進

31、行實際的證書操作；如果證書對應的審核狀態為自動審核，則錄入員即可提交此證書操作申請至 CA。此外，在具備 CA 的證書管理功能以外，RA 還具備以下證書操作： 批量證書操作可以對多個證書集中做證書業務操作。包括申請、下載操作，其中批量申請必須使用符合一定格式規定的批量申請文件來進行申請。批量操作也受證書審核策略的作用。 授權碼操作對于申請成功的證書，CA Server 會將下載該證書的憑證-授權碼返回給RA Server，管理員可以將授權碼進行打印或發送給相應的郵箱，用戶使用授權碼可以自主下載證書。 延遲凍結、解凍、注銷證書允許管理員提交延后一定時間后再提交到 CA Server 進行實際的證

32、書操作。3.2.2.3權限管理權限管理在 RA Server 系統中的權限管理與 CA Server 類似，也是基于角色對管理員進行授權，且對能管理的哪些證書范圍進行授權。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 14 頁 3.2.2.4系統管理系統管理 模板管理RA Server 定時與 CA Server 模板保持同步，下載 CA Server 中模板信息，也可以通過手動方式進行與 CA Server 的模板同步操作。對 RA Server 中的模板統一配置審核策略，即 RA Server 中的所有用戶根據模板的不同采用不同的審核策略，并且不同的業務采取不同的審核

33、策略。 主題規則管理系統支持定義一些主題規則，通過用戶信息或企業信息中的某些特定項來自動產生用戶所申請的證書的證書主題，免去用戶掌握證書主題規則的專業性，降低用戶使用系統的難度。3.2.2.5審計管理審計管理RA Server 與 CA Server 一樣，采取業務管理和審計管理分開的管理策略，只有審計管理員才能進行審計管理操作，審計管理包括業務審計和日志審計。 3.2.2.5.1 業務審計業務審計系統可以根據操作操作員信息、操作時間、證書模板信息、證書狀態信息等多種條件條件形成符合要求的業務數據報表，給管理員提供針對在 RA Server 內不同對象的數量統計結果3.2.2.5.2 日志審計

34、日志審計系統提供日志信息查詢、歸檔日志查詢，歸檔業務日志的日志審計功能，管理員通過這幾個功能可以對 RA Server 的業務日志實現完整的管理功能。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 15 頁 3.2.2.6用戶自主服務用戶自主服務RA Server 為了更好的為客戶服務，提供用戶自主服務，供最終用戶無需管理員配合可以進行一些證書相關操作，并提供良好的擴展機制進行設置策略。3.2.2.6.1 功能點功能點 自主下載最終用戶根據下載憑證-授權碼進行自主下載證書。 自主更新最終用戶對自己未過期的證書進行自主更新并下載。 下載根證書最終用戶通過此功能下載該系統的根證

35、書。 下載 CRL 文件最終用戶通過此功能將本系統發布的 CRL 文件下載到本地。3.2.2.6.2 擴展機制擴展機制由于用戶自主服務不強制校驗用戶的身份，所以用戶在使用這些功能時，有些根據實際需要對用戶的身份進行校驗，而此時用戶不一定擁有證書。另外，一些操作還允許設置一些具體參數，這些的實現都依賴于此處的擴展機制來實現。RA Server 的擴展機制允許自主操作與用戶的一些應用結合起來進行驗證用戶的身份，例如自主錄入申請時，將輸入的 Email 地址以及另一頁面輸入的口令一起發至用戶郵件系統中做校驗，校驗通過則讓該用戶申請通過，校驗不通過則不允許提交該申請；再例如，用戶自主更新時，將用戶要更

36、新的證書通過用戶提供的信息表中進行檢查，校驗是否允許其進行自主更新，并且得到新證書的失效時間是多少等信息。這些都在 RA Server 的自主服務中很好進行客戶JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 16 頁 應用結合。3.2.3密鑰管理中心（密鑰管理中心（KM Server）3.2.3.1密鑰管理密鑰管理在 KM Server 系統中，只有擁有密鑰管理角色的管理員才能進行密鑰管理的操作。密鑰管理包括密鑰產生，在用密鑰的查詢、統計與備份、密鑰歸檔、密鑰歸檔查詢。 密鑰產生密鑰產生分為定時預產生密鑰和即時產生密鑰兩種方式。定時預產生密鑰管理員可以通過此功能管理密鑰產生

37、計劃，用于在系統運行不繁忙的時候預先產生密鑰以作備用，在 CA Server 申請密鑰的時候可以提高 KM Server 的工作效率。計劃根據執行時間和在數據庫中保存的最大數量來決定是否每天執行。管理員可以執行添加、刪除、停止計劃的操作。即時產生密鑰管理員可以通過即時產生密鑰功能隨時產生所需要的一定數量的密鑰對。管理員可以設置需要產生的密鑰的類型和長度，以及產生數量和計劃執行時間等參數。 查詢在用密鑰CA Server 向 KM Server 申請密鑰并為用戶簽發證書成功后，申請的密鑰對保存在 KM Server 的在用密鑰庫中。設置輸入某些查詢條件可以查詢出符合條件的在用密鑰的詳細信息。 統

38、計備用密鑰對系統中所有的備用密鑰進行統計。根據統計條件，統計備用密鑰的數量。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 17 頁 查詢歸檔密鑰查詢由 CA 發起密鑰歸檔后，KM 進行手動密鑰歸后檔密鑰信息。 歸檔密鑰CA 發起密鑰歸檔消息在 KM 端將待歸檔密鑰對標注為待歸檔狀態，而后由KM 端進行手工歸檔。 司法取證KM Server 可以通過密鑰恢復操作來提供司法取證服務。在 KM Server 系統中，只有擁有密鑰管理角色的管理員才能進行密鑰恢復操作。司法取證員多方到后，密鑰管理員啟動密鑰恢復操作進行司法取證過程，分別驗證每個司法取證員的身份是否和系統中設定的司法

39、取證員相符，驗證通過后選擇密鑰恢復方式，進行密鑰的保存。司法驗證過程中，KM Server 根據在系統初始化階段設定的 M/N 值（N 個人中最少 M 個人到場）進行司法取證員的身份驗證，需要選擇每個司法取證人員證書進行簽名，在 M 個司法取證人員的簽名操作完成后，系統驗證司法取證人員的合法性（司法取證員必須為系統中注冊過的司法取證人員） ，驗證通過后進行密鑰恢復。密鑰恢復密鑰恢復可以從 KM Server 的數據庫中提取出欲恢復密鑰（私鑰）并進行保存，KM Server 提供了 2 種密鑰保存方式，基于文件的保存方式和基于智能卡的保存方式。如果選擇基于文件的保存方式，KM Server 可以

40、提供 2 種文件格式：PKCS#1 格式和 PKCS#12 格式。PKCS#1 格式只保存私鑰，PKCS#12 格式采取將私鑰與證書用保護口令加密的方式保存?；谥悄芸ǖ谋４娣绞娇梢詫⒂謴偷拿荑€保存在智能卡內。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 18 頁 3.2.3.2系統管理系統管理3.2.3.2.1 簽發機構管理簽發機構管理KM Server 可以對多個 CA 機構提供密鑰管理服務，并可以對多個 CA 機構進行統一的管理。CA 機構管理分為 CA 機構注冊、CA 機構查詢、CA 機構凍結、CA 機構解凍、CA 機構更新五部分。只有具有 CA 機構管理角色的

41、管理員才能進行 CA 機構管理的操作。 CA 機構注冊CA Server 向 KM Server 申請密鑰前必須先在 KM Server 中注冊并得到KM Server 的授權，否則 CA Server 無權向 KM Server 申請密鑰。 CA 機構凍結管理員可以根據需要將某些已經在 KM Server 中注冊的 CA 機構進行凍結，凍結后的 CA 機構將不能再向 KM Server 申請密鑰，直至被解凍為止。 CA 機構解凍管理員可以將已凍結的 CA 機構解凍從而恢復其申請密鑰的權限。 CA 機構更新管理員可以更新已經在 KM Server 中注冊的 CA 機構的注冊信息。 CA 機構密

42、鑰設置CA 機構密鑰設置功能，可以設置各個注冊的 CA 機構申請的密鑰數量。3.2.3.2.2 司法取證員管理司法取證員管理司法取證員是為進行密鑰恢復操作而設置的人員。在進行密鑰恢復時，需要由幾位特定的司法取證員共同到場，依次驗證權限才能進行操作。司法取證員權限管理主要包括司法取證員注冊、查詢和刪除等。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 19 頁 司法取證員注冊只有注冊后的司法取證員才能進行司法取證操作，注冊的司法取證員人數不能超過系統允許的司法取證人員總數，不能重復注冊同一司法取證員。 司法取證員刪除管理員可以刪除已經在系統中注冊的司法取證員，被刪除的司法取證

43、員不能再進行司法取證操作。3.2.3.2.3 權限管理權限管理在 KM Server 系統中，對管理員采用基于數字證書的身份驗證機制，管理員的管理權限與其證書進行綁定。系統采用分布式的基于角色的權限管理，管理員間權限分離，某一管理員只管理某一部分功能并受其他管理員監督。KM Server 通過為管理員分配管理角色來指定管理員可以進行哪些操作，KMC Server 系統中包含的管理角色有：密鑰管理角色、CA 機構管理角色、權限管理角色和審計管理角色。一個管理員可以被授予一個或多個管理角色，以分權的形式對整個系統進行有效管理。只有具有授權管理角色的管理員才能進行以下的授權管理操作。 注冊管理員注冊

44、后的管理員具有被賦予的管理角色，可以進行相應的操作。 授權管理員注冊后的管理員的權限可以被修改或刪除。3.2.3.3審計管理審計管理KM Server 與 CA Server 一樣，采取業務管理和審計管理分開的管理策略，只有審計管理員才能進行審計管理操作，審計管理包括業務審計和日志審計。 JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 20 頁 3.2.3.3.1 業務審計業務審計系統提供備用密鑰統計、簽發機構密鑰查詢、簽發機構密鑰統計、簽名機構業務量統計、歸檔密鑰查詢和歸檔密鑰統計的業務審計功能，給管理員提供針對在 KM Server 對密鑰數量不同方式的統計結果。3.2

45、.3.3.2 日志審計日志審計系統提供日志信息查詢、歸檔日志查詢，歸檔業務日志的日志審計功能，管理員通過這幾個功能可以對 KM Server 的業務日志實現完整的管理功能。3.2.4在線證書狀態查詢系統（在線證書狀態查詢系統（OCSP Server）OCSP Server 通過 CA 的鏡像數據庫查詢證書狀態，這樣比查詢 CRL（證書注銷列表）更可靠、更及時，提供給證書應用的信息更豐富。OCSP Server 可以支持查詢多個不同 CA 頒發的證書，證書應用向 OCSP Server 查詢證書狀態時，可以一次查詢不同 CA 頒發的證書狀態。OCSPToolkit 封裝證書應用的證書狀態查詢請求

46、，然后發送給 OCSP Server，并將從 OCSP Server 響應中解析的證書狀態，返回給證書應用。OCSPToolkit 為證書應用提供簡單、易用的用戶接口。減輕了證書應用開發者的工作量。4 產品特點產品特點4.1 豐富完備的功能豐富完備的功能 豐富的證書業務功能 基于角色的授權管理 支持多級 CAJIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 21 頁 強大的證書模板功能 支持自定義項目（自定義證書模板&自定義證書擴展域） 支持漢字證書 支持簽發微軟智能卡登錄(Smartcard Logon)證書 支持交叉認證 支持 KM（密鑰管理中心） 支持 OCSP

47、（在線證書狀態查詢） 支持可替換的加密模塊4.2 部署部署靈活、操作簡單靈活、操作簡單采用 B/S 服務模式，安裝部署工作只需要在服務端進行，部署工作方便靈活?？蛻舳藷o需安裝任何客戶端軟件，完全基于瀏覽器即可完成所有的管理操作，管理終端與服務器之間采用 SSL 安全連接。4.3 完全符合國內、國際完全符合國內、國際 PKI 建設標準建設標準JIT SRQ05 系統完全遵循國內、國際 PKI 建設及相關標準，這樣有利于與其它廠商的產品實現網際互連，支持更多的應用。SRQ05 產品支持的標準產品支持的標準類別標準標準內容加密SSF33 分組密碼算法數字簽名RSA 數字簽名，符合 PKCS#1 V2

48、.0DSA，符合數字簽名標準、美國 FIPS PUB 186 和 ANSIX9.30 （第一部分）散列函數SHA1，符合美國 FIPS PUB 1801 和 ANSI X9.30（第二部分）MD5 報文摘要算法，符合因特網 RFC 13211、密碼算法和標準密鑰管理RSA 密鑰傳輸符合因特網 RFC 1421 和 1423 (PEM) 和 PKCS#1 V2.0偽隨機數生成符合 ANSIX9.1JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 22 頁 對稱技術的完整性報文驗證碼 (MAC)，符合美國 FIPSPUB 113、ANSIX9.9 和 X9.19偽隨機數生成符合

49、ANSIX9.17證書和證書注銷列表格式第 3 版證書和證書擴展，符合 ITUTrec.X.509 (1997) 和公用標準 ISO/IEC 9594-8 (1997)證書注銷表和證書注銷表擴展，符合 IETF PKIX1 概況表技術規范RSA 算法標識符和公開密鑰格式，符合PEM 和 PKCS #1 V2.0文件包封格式基于因特網 RFC 1421 (PEM) 的標準文件包封格式安全文件包封技術，符合 PKCS#7 和S/MIME目錄協議輕量目錄存取協議 (LDAP)，符合 RFC 17772、數據格式和協議PKI 操作協議符合 PKIX2圖表 4-1 SRQ05 支持的標準4.4 系統平臺

50、的高安全性系統平臺的高安全性 通訊安全通訊安全系統采用 SSL 標準安全通信協議。 數據安全數據安全數據庫、配置文件中的敏感數據采用加密方式保存；提供完備的數據備份及恢復的手段。 人員安全人員安全采用基于數字證書的身份驗證機制，管理員使用 X.509 證書進行登錄管理、管理員的管理權限與其證書進行綁定。分布式權限管理，管理員間權限分離，某一管理員只管理某一部分功能并受其他管理員監督。完善的審計手段完善的審計手段系統提供對所有業務情況的詳盡記錄和查詢手段。JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 23 頁 4.5 穩定的性能保證系統的高可用性穩定的性能保證系統的高可用性

51、 高性能高性能合理的系統設計以及軟件能夠為用戶提供高性能的服務，核心服務接口設計先進，使系統每分鐘能支持幾萬個事務處理；支持高容錯，大批量業務操作與數據查尋，同時滿足實時性要求。經過測試，在普通硬件平臺上系統單機的并發請求處理能力達到 300 以上，在 300 并發壓力的情況下，處理能力能保持在每秒簽發 10 張以上的證書，并保持 100的成功率。 高可用性高可用性系統的所有組件（CA、KM、RA、OCSP）均支持集群部署和負載均衡技術，在正常運行的情況下，可以通過增加負載均衡的服務器，平滑擴展性能。4.6 廣泛的平臺兼容性廣泛的平臺兼容性 靈活可配置的密碼模塊靈活可配置的密碼模塊通過標準接口

52、對密碼機、加密卡、智能卡等多種加密設備進行支持。 支持多種數據庫產品支持多種數據庫產品系統數據中心模塊采用基于 JDBC 標準的數據操作服務，可掛接不同的數據庫產品，包括 Oracle（9i、10g） 、SQL Server（2000、2005、2008）等數據庫產品。支持多種目錄服務產品支持多種目錄服務產品系統支持基于 LDAPv3 標準協議的目錄服務，符合此標準的目錄服務產品均可直接掛接到系統中。特別對微軟的 Active Directory（活動目錄）提供專門的支持。支持多種操作系統平臺：支持多種操作系統平臺：JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 24 頁

53、JIT SRQ05 電子證書認證系統可以支持多種操作系統，包括Windows，Linux，AIX，Solaris，HP_UX。4.7 系統架構的可擴展性系統架構的可擴展性作為建立信用的支撐平臺，PKI 系統必須具有可擴展功能，隨組織的發展而發展，同時，能夠滿足不斷呈現的各類需求，實現與各類應用系統的整合和擴展。JIT SRQ05 電子證書認證系統在設計時充分考慮了以上現實情況： 模塊化設計模塊化設計分布式、可拆裝的系統模塊化設計，可替換、可重組的系統構架，支持與其它應用系統互操作。所有系統中只有核心服務器承擔著真正的運行與管理任務，其它模塊可隨組織的發展需要逐步掛接到系統中。通過提供 API

54、接口的手段為用戶提供二次開發能力。 支持多級支持多級 CA 及交叉認證及交叉認證可根據需要建立無限制多級的 CA，并通過交叉認證與外界建立廣泛的聯系。支持用戶自定義項目支持用戶自定義項目CA Server 系統內置有十幾種標準證書模板及標準證書擴展域，能夠滿足大多數的證書簽發需求。系統同時支持自定義證書模板和自定義擴展域，可以滿足不同應用的特殊需求，用戶可以定制出符合自己實際需求的證書簽發模板。4.8 良好的易用性良好的易用性與安全清晰的管理模式與安全清晰的管理模式客戶端基于瀏覽器進行訪問，通過簡單的點擊即可完成一次業務操作，頁面內容清晰簡潔，操作人員易于使用。系統采用安全清晰的管理模式：JI

55、T SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 25 頁 基于角色進行管理權限的定制和分配 管理權限與管理員證書進行綁定，通過證書驗證管理員身份 各產品組件采用風格統一的管理界面和流程能顯著降低管理負擔4.9 應用平臺的開放性應用平臺的開放性在設計和開發過程中完全遵循國際開放標準，夠很方便地與第三方產品進行集成、與其它系統互操作。對外提供 RA Toolkit 和 OCSP Toolkit 等應用開發 API，用戶可以使用這些 API 進行二次開發，分別實現與 CA Server 和OCSP Server 的通信，將用戶需要的證書業務嵌入已有的應用系統中。JIT SRQO05

56、技術白皮書 吉大正元信息技術股份有限公司 第 26 頁 5 運行部署運行部署5.1 交付產品和系統配置交付產品和系統配置5.1.1產品邏輯結構圖產品邏輯結構圖CA ServerOCSP ServerKM ServerRA ServerLDAP數數據據庫庫數數據據庫庫數數據據庫庫RAToolkitOCSPToolkit圖表 5-1 邏輯結構圖5.1.2產品清單產品清單序號產品名稱形態支持的操作系統第三方產品依賴1CA 簽發管理系統/SRQ05 CAServer軟件X86X86 架構平臺架構平臺：Windows 2000、20003、2008 Server版、Solaris10 X86 版、Red

57、hat、Turbo、紅旗等主數據庫：數據庫：Oracle9i、10gMicrosoft SQL Server2000、2005、2008目錄服務器：目錄服務器：JIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 27 頁 序號產品名稱形態支持的操作系統第三方產品依賴2RA 注冊管理系統/SRQ05 RAServer軟件3KM 密鑰管理中心/SRQ05 KMServer軟件4OCSP 在線證書查詢系統/SRQ05 OCSPServer軟件流 LinuxIBMIBM 架構平臺架構平臺：AIX5.2 及以上HPHP 架構平臺架構平臺：HP_UX 11.11iJIT GalaxyiPl

58、anet ITEC-iDS IBM Tivoli DirectoryMicrosoftActiveDirectory加密機：加密機：得安加密機56 所加密機30 所加密機正元加密機5RA 工具包/RAToolKitJAVA版SDKRAToolkit 為純 java 程序，理論上講可以在任何支持Java 的環境下部署。目前測試過的環境為：Windows環境下的 Jdk1.4,1.5無6OCSP 工具包/OCSPToolKitJAVA版SDKOCSPToolkit 為純 java 程序，理論上講可以在任何支持 Java 的環境下部署。目前測試過的環境為：Windows 環境下的Jdk1.4,1.5

59、無圖表 5-2 產品清單5.1.3推薦配置推薦配置圖表 5-3 推薦配置項目推薦配置最低配置CPU雙核或四核 3.0GCore2 Duo 2.4GRAM4G1G磁盤空間1G500MJIT SRQO05 技術白皮書 吉大正元信息技術股份有限公司 第 28 頁 5.2 產品規格和產品規格和 License 機制機制JIT SRQ05 電子證書認證系統根據不同行業分為兩種不同的產品規格： SRQ05 A 和 SMG01主要面對第三方運營 CA，其中 SRQ05 A 包括 CA Server、RA Server 和 OCSP Server，SMG01 包括 KM Server SRQ05 B面對除第三方運營 CA 以外的其它行業，其中包括 CA Server、KM Server、RA Server 和 OCSP Server5.3 系統組成系統組成5.3.1部署結構全面型部署結構全面型 應用場景對 PKI 體系建設、管理要求嚴格的證書應用環境。方案特點：1.同時具有密鑰