科博安全认证平台.docxVIP

科博安全认证平台

（CopSap）

中铁信安（北京）信息安全技术有限公司

产品介绍

概述

CopSap安全认证平台是中铁信安公司自行研制、开发的集CA证书管理、身份认证、访问控制和权限管理于一体的安全基础平台。CopSap提供对使用者身份基于证书的安全鉴别机制，实现对应用的单点登录，提供对应用系统的电子签章、数字签名等多种安全化机制。

身份认证作为应用系统或网络访问的第一层的最基本安全机制，起到了至关重要的作用，它为后续的应用提供了可信的身份属性。做为身份认证的载体，证书及其管理体系在CopSap中提供了对用户的集中管理机制。

CopSap利用基于证书的身份认证机制保证认证主体的真实性，成功的解决了应用系统的安全认证要求。CopSap在对用户单一认证的基础上，研制了单点登录模块，专门解决多个应用集中认证、集中管理的情况。

一般的认证系统只解决用户身份认证问题，并不解决认证后用户的访问控制问题。CopSap通过基于角色的授权控制模块，成功解决了应用系统访问资源的授权控制。该功能通过CopSap提供的二次开发接口实现，对应用的改造很小，可以与应用无缝集成。

CopSap系统同时提供对使用者安全认证、单点登录及访问控制的全面审计功能，审计信息统一存储及展示，方便应用系统安全操作的集中监控。

CopSap还提供大量的应用安全化组件，这些组件完成对应用系统的多种安全防护功能。CopSap的安全组件包括电子签章、数字签名、加密解密、本机安全控制等。

利用CopSap平台，可以保证应用及网络环境的认证安全；可以保证系统有效的访问控制机制；可以提供安全、高效的单点登录机制；可以保证应用数据的保密性及不可篡改性。

体系结构

CopSap的体系结构如下图所示：

USB

USBKey

安全组件

签名验证

加密解密

电子签章

身份认证

证书管理子系统

密钥管理中心

（KMC）

密码机

证书管理中心

（CA）

USBKey

管理员

数据中心

认证及授权管理子系统

授权服务模块

系统数据库

管理中心

LDAP

认证服务模块

证书注册中心

（RA）

用户 用户

图2-1CopSap结构

从上图可以看出CopSap主要分为四个部分：一是证书管理子系统，二是认证及授权管理子系统，三是数据中心，四是安全组件。

其中证书管理子系统负责完成证书从申请、签发、下载、发布到撤销、暂停及恢复等一系列生命周期管理，证书管理子系统包括密码机、密钥管理中心、证书管理中心及证书注册中心等部分；认证及授权管理子系统负责完成基于证书的身份鉴别、单点登录及授权控制等功能，该子系统包括认证服务模块、授权服务模块及管理中心模块；数据中心是CopSap存储系统运行数据及发布数据的系统，数据中心包括系统内部数据库及目录服务（LDAP），系统内部数据库主要存储系统管理需要的各种配置信息及运行信息，LDAP分为主LDAP及从LDAP，负责存储已经发布的证书信息及CRL信息；安全组件是一系列提供给应用系统进行二次开发的组件或独立的基于证书实现的安全模块，安全组件包括身份认证组件、电子签章组件、加密解密组件及签名验证组件等。

系统所有的管理员将使用带有证书的USB小钥匙登录相应的管理平台进行后台管理。

功能性能指标

证书管理

CA私钥采用2048位的RSA密钥

用户私钥采用1024位的RSA密钥

用户证书采用X509V3格式

支持证书扩展

采用专业LDAP目录服务

支持中文证书

支持双证书

支持CRL

支持OCSP

证书支持PEM、PKCS＃7、PKCS＃8、PKCS#12、PKCS#15编码

支持多级CA

性能指标

支持用户数：500,000用户级

RA支持并发数3000以上

连续工作时间不小于7000小时

证书签发时间：80张证书/秒

OCSP响应时间：小于1秒

LDAP支持并发连接数：5000以上

身份认证相应时间：小于1秒

支持并发认证数：大于1000

API

身份认证API

加密解密API

签名验证API

USBKey管理API

可扩展性

模块化设计

基于Unicode的工作模式

使用XML

内核采用C++实现

基于标准TCP/IP工作模式

系统运行参数可配置