PKI应用服务器技术研究与应用白皮书.docVIP

PKI应用服务器 技术白皮书 目 录 1 系统概述 3 2 系统原理 4 3 系统组成结构 5 4 系统功能 7 5 系统特点 8 6 典型应用简介 10 系统概述 以往的应用系统对于自身安全与系统性能之间的矛盾有两种处理方式： 不考虑安全问题，只重视系统的性能。这种方式在今天看来无疑是不可取的。没有安全保障的应用系统可以说不是一套完整的应用系统。 以牺牲大量的系统性能来实现系统的安全。 应该说两种方式并没有很好地解决系统性能与安全需求之间的矛盾。 凯特PKI应用服务器(以下简称“PKI应用服务器”)是福建凯特信息安全技术有限公司基于PKI技术开发的网络应用产品。 PKI应用服务器能够利用数字证书为应用系统的服务端提供数字签名、数字签名验证、数字信封制作、加密数据、解密数据、数字证书验证等一系列证书应用服务功能，完全满足现有网络应用的安全应用需求，为网络应用提供一个安全服务的统一平台。 PKI应用服务器作为单独的服务器，与前台应用的环境无关，且自身的安全性、稳定性、高效性得到了保证。 系统原理 PKI公钥密码体制在实际应用中包含数字签名和数字信封两种方式。数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称之为数字信封。在传递信息时，信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。 主模块 本模块为证书服务器的主模块，负责正确读取用户配置信息，根据用户的策略创建相关的模块。 请求处理模块 本模块是具体处理用户请求，实现用户与服务器连接，真正向用户提供服务的模块。其他模块都是为它提供服务的。 证书管理模块 本模块负责获取信任证书链，负责从本地文件中获取黑名单及OCSP在线证书状态查询功能实现。 日志管理模块 本模块以类库形式提供，记录程序运行过程中用户访问信息。 签名处理模块 本模块是数字签名验证的有效性的具体实现。 证书验证模块 本模块是对数据签名时所用的电子证书，检查其有效性的具体实现，包括证书链验证、证书有效期验证、黑名单验证。 数字信封模块 本模块是证书服务器提供数字信封制作服务的具体实现。 XML模块 本模块以类库形式提供，主要功能是对XML格式的配置文件进行解析，获取用户的具体配置，为程序提供参数。 除了以上模块外，本系统还提供黑名单下载模块和数字时间戳模块。黑名单下载模块负责从异地黑名单服务器上下载黑名单，为证书服务器的服务提供黑名单信息；数字时间戳模块负责将特定的数据加盖数字时间戳，以被将来取证时提供时间信息。 系统功能 数字证书有效性验证服务 PKI应用服务器能够验证用数字证书是否有效。 数字签名服务 PKI应用服务器能够将指定的数据进行签名，并返回应用服务器签名数据。 数字签名有效性验证服务 PKI应用服务器能够根据签名相关信息以及原始信息判断该段签名值是否为签名用户对原始信息的签名值。 数字信封服务 PKI应用服务器能够根据应用需求制作数字信封。 数据加密服务 PKI应用服务器能够根据应用需求将明文数据加密。 数据解密服务 PKI应用服务器能够根据应用需求将密文数据解密。 日志记录功能 PKI应用服务器能够根据用户需求定时将工作情况以日志方式保存。 数字时间戳服务 PKI应用服务器能够根据应用需求给某段数据加盖时间戳信息以备将来对某操作进行时间信息的获取。 系统特点 通用性 支持业界标准的高强度加密算法（如：RSA、RC4、SHA-1等） 符合国家对密码产品的有关政策 支持国密办认可的加密算法 X.509 Version 3，X.500 ，PKCS系列，证书的DER和PEM格式 支持LDAP目录服务和OCSP在线证书状态查询 高效性 采用先进的预先并发进程（PREFORKING）机制，具有强大的并发处理能力 从应用服务器中独立出来，使得大量的数据运算工作从应用服务中脱离出来。不但加速了加解密的速度，同时也减轻了前台应用服务器的工作压力 使用通过国密办认可的高性能硬件加密卡，能够大大增强其运算能力和处理能力 高强度 支持对数据高强度的加解密，加密强度不低于128位 可靠性 产品经过严格的压力测试。测试期间证书服务