时代亿信证书管理系统白皮书.docVIP

时代亿信证书管理系统 应用背景 近年来，计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高，互联网上信息的交互必然存在风险，黑客、病毒、木马程序、“网络钓鱼”频频得逞。而这些受到威胁的网站或遭受损失的用户，除自身的安全防范意识薄弱造成安全隐患外，最重要的一点就是都没有使用互联网上信息安全保障措施----基于PKI技术的CA服务系统。 时代亿信ETCA数字证书管理系统是公司在充分研究国内CA应用现状，结合PKI实际应用需求的基础上，独立研发的一套CA产品。 PKI技术介绍 PKI公钥体系采用数字证书的方式管理公钥，通过第三方可信任机构－证书机构把用户的公钥和用户的其他标识信息（如名称、身份证号码、e-mail地址等）捆绑在一起，实现在网络虚拟空间对用户身份的可信管理。 通过采用PKI公钥体系实现对密钥的管理，可以建立一个安全可信的网络环境，实现针对用户身份的鉴别，满足对信息的保密性、完整性、不可抵赖性保护的需求。 PKI公钥体系采用数字证书的方式管理公钥，通过第三方可信任机构－CA认证机构来管理证书，CA认证机构的作用类似于国家的护照签发中心。护照是由权威中心（护照签发中心）颁发的一种安全文件，它是护照持有者的一种纸质身份证明，任何信任该国护照签发中心的其他国家也会信任该国护照签发中心所签发的护照。数字证书是由权威中心(CA认证机构)签发的一种电子安全文件，它是数字证书持有者的一种电子版身份证明，任何信任该CA中心的所有用户也会信任该CA中心所签发的数字证书，进而确定证书持有者在网络虚拟空间中的身份。 CA认证机构的职责归纳如下： 验证并标识证书申请者的身份 确保CA用于签发证书的非对称密钥的质量 确保整个签证过程的安全性，确保签名私钥的安全性 证书资料的管理（包括公钥证书序列号、CA标识等）的管理 确定并验证证书的有效期限 确保证书主体标识的唯一性 发布并维护证书注销列表（CRL） 对整个证书签发过程作日志纪录 向申请人发出通知 为用户签发数字证书 数字证书是一种数字标识，如同我们的身份证一样，是网络上的身份证明，它是由证书认证机构（CA）签名颁发的数字文件，该签名使得第三者不能伪造和篡改证书。 ITU-T的X.509国际标准定义了数字证书的格式，目前X.509v3数字证书的主要内容，如图所示，主要包括证书的版本号、证书的序列号、证书的有效起止日期、证书颁发者的名字和唯一标识符、证书持有者的名字和唯一标识符、证书持有者的公钥、证书扩展项以及证书颁发者的签名。其中，证书扩展项可以根据证书的不同应用而由证书的颁发者具体定义，因而具有较强的通用性和灵活性。 由于数字证书是由相对权威的授权机构审核颁发的，因此，一方面可以用来向系统或者系统的其他实体证明自己的身份；另一方面，由于证书携带着其持有者的公钥，也起着公钥分发的作用。 图 X.509v3数字证书的主要格式  产品概述 时代亿信公司以用户的需求为导向,以雄厚的研发能力为基础,深入吸收国际、国内的先进技术、结合多个项目的实施经验，研制开发了ETCA数字证书管理系统。ETCA支持通过挂接密钥管理中心（KMC）来管理用户加密密钥，从而提高了用户加密密钥的安全性和可恢复性。通过支持证书模板，提高了签发各类型证书的灵活性。此外ETCA还支持在线证书状态查询，支持硬件加密设备和多种数据库平台。ETCA数字证书认证系统产品组件配置灵活，可以根据用户的不同需求进行选择性配置，为用户量身打造一套安全、稳定、实用、快捷的数字证书管理平台。 ETCA是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统，颁发的数字证书格式严格遵循X.509v3规范，具有广泛适用性和良好的扩展性。通过部署该系统，可以搭建出符合政府、行业、第三方、企业需求的认证中心。通过使用ETCA发行的数字证书可以为用户提供信息安全的全面服务： 保密性 — 保证信息是秘密的 完整性 — 能检验信息未被篡改 身份鉴别 — 检验个人或机构的身份 不可否定性 — 确保信息或操作不能被否认 ETCA应用国际先进技术，采用高强度的加密算法、高可靠性的安全机制及完善的管理及配置策略来保障整个系统的安全、可靠的运行。 产品组成 时代亿信ETCA 数字证书管理系统由以下几个核心组件组成： 认证中心（CAServer） 注册中心（RAServer） 密钥管理中心（KMServer） 在线证书状态查询服务（OCSPServer） 其中认证中心为产品的核心，其他组件围绕认证中心提供更完善的安全解决方案。 图 系统逻辑结构 认证中心（CAServer） ETCA的核心，负责数字证书、证书注销列表的管理。 注册中心（RAServer） 接收并审核用户的申请信息，审核完毕后提交CAServer；接收CAServer的返回信息并通知用户。 R