广东CA数字证书安全应用平台设计方案.doc

数字证书安全平台 设计方案 广东数字证书认证中心有限公司 2009年8月 目 录 1. CA简介 4 1.1. 数字证书 4 1.2. CA中心 4 1.3. CA安全体系 5 1.4. CA认证体系在广州市的推广介绍 6 2. 需求分析 8 2.1. 应用层安全是整个信息系统安全体系的薄弱环节 8 2.2. 应用层安全的具体需求 8 2.2.1. 业务实体的身份鉴别——身份认证 9 2.2.2. 业务数据的保密——机密性 9 2.2.3. 业务数据的防篡改——完整性 9 2.2.4. 业务交往的防抵赖——防抵赖性 10 3. 数字证书安全应用平台建设 10 3.1. 系统架构 10 3.2. 使用简便性描述 12 3.3. 平台扩展性说明 12 3.4. 安全应用平台功能实现 13 3.4.1. 身份认证 13 3.4.2. 加密与解密 15 3.4.3. 签名与验签 17 3.5. 产品说明 18 3.5.1. 安全应用支撑服务器 18 3.5.2. PKI安全服务中间件 19 3.5.3. 数字证书载体 21 4. 应用系统与CA平台集成 22 4.1. 实施任务 22 4.2. 实施工作描述 22 4.2.1. 技术培训 23 4.2.2. 开发环境搭建 23 4.2.3. 应用系统二次开发 23 4.2.4. 设备安装调试 23 4.2.5. 技术支持 23 5. 电子印章系统 24 5.1. 系统概述 24 5.2. 系统组成 24 5.3. 电子印章系统与应用系统的接入 25 5.4. 电子印章系统与安全应用平台的接入 25 5.5. 产品特色 26 5.5.1. 独特核心技术、锁定文档安全 26 5.5.2. 多重功能扩展、满足随需应用 26 5.5.3. 人性化操作享受、一切轻松把握 26 5.6. 产品功能 26 6. 数字证书安全应用平台设备清单 27 7. 服务简介 29 7.1. 数字证书服务 29 7.2. 安全平台售后服务 30 8. 附录：广东省数字证书认证中心简介 32 8.1. 资质完善 32 8.2. 服务优质 34 8.3. 产品领先 34 8.4. 应用广泛 35 CA简介 数字证书 数字证书也称CA证书或电子密钥证书，俗称“网络身份证”，是以密码技术为核心，结合政策法规、安全管理于一体用于在互联网络信息世界中标志用户身份的电子身份凭证和电子签章载体。数字证书可以存放在IC卡或带有专用密码芯片的USB智能密码钥匙中，目前主要是采用USB智能密码钥匙作为证书存放介质，其外形就像普通的U盘一样。 数字证书的格式是严格规范的要求的，遵循国际和国家标准，一般会存放个人或机构的基本特征信息，比如身份证号、姓名、机构名称、组织机构代码等信息。 数字证书是由权威公正的第三方机构即CA中心签发的，通过CA中心的权威可信性、政策法规的规范性、管理的严密性和密码技术的安全可靠性，把现实生活中的人、机构身份唯一、真实、可靠地映射到互联网络世界中，为互联网络世界建立起安全可靠的信任体系。基于数字证书的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。 CA中心 数字证书认证中心（Certficate Authority, CA）就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。 认证中心主要有以下几种功能：证书的颁发中心接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后，发送到目录服务器供用户下载和查询。为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。证书的更新认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。 证书的查询证书的查询可以分为两类，其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。证书的作废当用户的私钥由于泄密等原因造成用户证书需要申请作废时，用户需要向认证中心提出证书作废的请求，认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表(Certificate Revocation