签名及认证服务器白皮书-ER500A.docxVIP

PAGE 4 PAGE 2 SRJ1104签名认证服务器 技术白皮书 2016年5月 目录 TOC \o 1-3 \h \z 第一章产品概述 3 第二章产品功能 3 第三章技术特性 4 第四章对外接口 5 第五章内部结构 6 第六章性能指标 8 第七章应用模式及部署方案 8 第八章运行环境 9 8.1.网络环境 9 8.2.硬件配置 10 8.3.软件配置 10 8.4.安装运行 10 第九章应用案例 11 应用安全支撑平台 签名认证服务器技术白皮书 产品概述 签名认证服务器是自主研发的应用安全支撑平台核心产品，具备全面的密码安全服务功能和很高的使用性能。便于将应用层软件与密码设备和PKI基础设施互相结合，使得应用程序可以方便地接入PKI技术设施平台，使用各种密码设备，从而增加网络应用系统的安全特性。签名认证服务器是一个技术成熟、功能强大，用途广泛，性能稳定可靠，维护方便的跨平台通用型产品，可广泛应用于电子政务、电子商务及其它各种对网络信息安全存在认证和保护要求的系统中。 产品功能 签名认证服务器向上为应用系统提供开发接口，向下提供统一的密码算法接口并管理各种密码设备。 签名认证服务器的主要功能是： 为应用提供统一的、透明的API接口，接口形式可为Java Servelet、Com组件、ActiveX控件和动态连接库,支持C/C++，VB，C#，Java，Delphi等多种编程语言； 为应用提供各种安全服务，包括： 基于证书的单向或双向身份认证； PKCS#1、PKCS#7格式数字签名和签名验证； PKCS#7格式数字信封； 支持国产SM1\SM4对称加解密算法； 支持SM2和RSA非对称加解密算法； 数据摘要； 密钥生成管理； 密钥、证书存储； 支持与证书发布系统联动，自动完成证书的下载、证书状态查询、证书黑名单查询和对证书的解析等, 对证书进行合法性、有效性验证； 支持多个CA之间的交叉认证功能，通过内部建立可信任证书列表完成多个CA间的完全交叉认证和部分交叉认证； 采用并行处理技术和负载均衡技术，以适应大事务量的处理。根据业务系统的需求，通过增加签名认证服务器的数量，系统处理能力可平滑地进行扩展。 对应用系统的安全事件和安全行为进行记录和审计，对失败事件，确定安全事故等级，并简单描述失败的原因。 提供远程管理与监控工具。用户可以在远程计算机上进行对签名认证服务器进行设置、监视和管理。 具有邮件报警、短信报警功能。 技术特性 签名认证服务器技术特性主要包括： (1) 专用服务器，一体化主机系统，专用操作系统。 (2) 专用linux操作系统和应用软件固化，系统稳定可靠，抗病毒攻击。 (3) 高速硬件RSA加密，支持1024和2048位密钥长度。 (4) 高速硬件国密局标准SM1、SM2、SSF33(可选)算法。 (5) 支持国密局标准SM3、SM4加密算法。 (6) 支持DES\DES3\SHA-1\MD5等通用算法。 签名认证服务器采用中间件技术及以PKI为核心的安全技术，兼容Windows、UNIX、LINUX等多种操作系统及其支持的TCP/IP 网络环境，面向各种应用，提供应用安全开发平台和运行环境。签名认证服务器具备分布式事务处理能力和跨平台的应用通讯功能，通过提供完善的安全服务来建立、运行和管理关键任务。无论面对大量的用户、大的数据吞吐量，或是多进程/多线程数据处理，签名认证服务器都能够快速提供各种安全服务。 签名认证服务器为应用提供一个透明的、一致的安全服务框架，通过签名认证服务器，用户可以选择密码算法、密钥长度和密码设备，如对称密码算法、消息摘要算法、RSA\SM2非对称密码算法等。 签名认证服务器提供的接口定义了一个相对稳定抽象的高层应用环境，不管底层的密码设备和安全支撑平台的硬件和软件怎样更新换代，只要将签名认证服务器升级更新，并保持对外的接口定义不变，应用软件几乎不需任何修改，从而保护了企业在应用软件开发和维护中的投资。 签名认证服务器区别于其它安全产品，具有高性能、高可靠性、可管理性、可扩充性、广泛的兼容性、会话管理、易于应用开发、易于与现有系统集成等鲜明的特点。 采用签名认证服务器技术最大的优点是密码模块对应用透明，应用开发过程不需要去了解加密机或密码卡等密码设备的的接口类型、处理能力和功能等等，可以不知道证书认证系统（简称CA）的原理或位置，所有密码功能或认证功能的应用都从签名认证服务器获得。当签名认证服务器在系统中系统化之后，不需要每个服务器都安装密码模块，以安全服务平台的形式为局域环境提供统一的安全或密码应用。今后密码设备的升级、更换等对应用软件完全透明，不需要应用软件做任何改动。 签名认证服务器既可以外挂其