国内的PKI产品.docVIP

主流的PKI产品 随着网络应用的不断普及深入，PKI的市场正在不断扩大。现在，市场上涌现出了很多 PKI产品，在这里，我们选择了三家最具有代表性的PKI产品进行介绍。希望通过对它们的介绍，能够开阔我们的眼界与思路，促进我国PKI产品的发展。 Baltimore 公司的UniCERT UniCERT 是Baltimore Technologies公司推出的 PKI产品。这是一家跨国IT企业，总部设在爱尔兰首都都柏林，主要从事网络安全领域的产品开发。UniCERT是目前世界上最先进的PKI产品之一。 1． UniCERT的构成 由于可扩展性的需要，UniCERT的部件分成三个层次： 1 核心部件 核心部件包括CA、CAO、RA、RAO、UniCERT Gateway和Token Manager。CA是整个PKI的核心，它的主要功能是颁布证书或证书撤销信息（如证书撤销列表）；而CAO则是CA的操作客户端，也可以说是CA的图形界面，另外，CAO对整个PKI系统的管理员来说还是一个设计工具，管理员可以用CAO提供的编辑器来确定整个PKI系统的结构和安全策略。RA、RAO和UniCERT Gateway一起构成了注册机构，而用户注册的工作在RAO或UniCERT Gateway完成，其中RAO用于面对面的注册， Gateway用于远程注册。UniCERT Gateway包括Web Gateway、Email Gateway和VPN Gateway。相对而言，RA模块最小，主要起通信作用，相当于CA和RAO、Gateway之间的“路由器”，每一个RA及与其相连的多个RAO或Gateway一起构成了一个操作域，这个域通过RA与CA相连。Token Manager是一个独立的模块，用于管理令牌以及硬件安全模块（HSM）。 2 高级部件 高级部件包括Archive Server、Advanced Registration Module （ARM）、WebRAO和WebRAO Server。 Archive Server是一个数据安全管理模块，可以用于存储用户的私钥、管理证书及证书撤销信息。ARM是为系统集成商、软件商以及商业CA 提供的，用于开发PKI系统的应用并将它们集成在一起。WebRAO允许操作员通过浏览器来认可证书请求，而WebRAO Server则是WebRAO与RA之间的信息传递中介。 3 扩展部件 包括Timestamp Server（TS）和Attribute Certificate Server（ACS）。其中，TS可验证交易中的时间戳，它提供对时间戳的认证、完整性以及不可否认性要求的支持。ACS是属性证书服务器。属性证书是另外一种形式的证书，区别于普通的证书。 2． UniCERT的特点 总的来说，UniCERT是一个策略驱动、模块化的 PKI。依靠CAO上的策略编辑，UniCERT可以使整个PKI系统贯彻同一个安全策略。同时依靠模块化的设计，UniCERT实现了高度的灵活性和可扩展性。其主要特点体现在以下方面： 灵活： UniCERT可以有多种不同的注册方式，可以是面对面的，也可以是远程的，还可以是用户自定义的。它也支持多种格式的证书颁发和证书撤销机制，包括CRL v2 和OCSP。此外，它还支持第三方软件和加密硬件。 易用：全GUI界面，有PKI编辑器和策略编辑器。此外还有详细的报告、审计和备份机制。 策略支持：可以编辑整个PKI的安全策略，包括证书颁发条件、证书内容、证书目的以及管理证书生命周期的机制等。支持证书扩展，还可以支持与证书相关但不放在证书里的敏感数据，并保证其安全性。 可扩展：UniCERT是一个依规模划分的PKI系统，可以实现从小到大的扩展。它采用模块化的设计，并且能保证模块之间的通信是安全的。它也可以划分操作域，且操作域的大小只受数据库大小的限制。同时，它还支持无限的CA层次和任意的交叉认证，支持CA 克隆。 开放：支持所有相关的工业标准，实现了多数可行的商业协议，采用了多数流行的加密算法。 安全：支持硬件加密模块（HSM）、智能卡以及令牌等；支持灾难恢复，有非常强大的密钥加密存储功能。 Entrust/PKI 5.0 Entrust/PKI 5.0是Entrust公司的PKI产品。该公司总部设在美国得克萨斯州，其产品在电子商务安全产品市场中处于全球领先地位。最新的 IDC调查报告表明，Entrust公司在全球PKI市场中占据了35％的份额。Entrust的PKI 5.0 充分体现了可管理性和安全性，获得了Common Criteria Evaluation (CCE) EAL-3 and FIPS 140-1 level 1 to 3 的安全认证。 Entru