欢迎来到天天文库
浏览记录
ID:20090005
大小:57.50 KB
页数:9页
时间:2018-10-09
《ca证书管理系统 技术白皮书》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、北京安软天地科技有限公司www.scanywhere.com电子签名中间件技术白皮书CA证书管理系统技术白皮书第1章前言随着国内网络规模的扩大和用户群体的急剧增加,在中国开展大规模电子政务和电子商务应用和服务将会成为社会的潮流,而如何保证网上电子政务和电子商务的安全性将会成为制约其发展的关键技术问题。Internet给人们带来方便的同时,也带来了安全问题,安全问题是应用网络技术最担心的问题,而如何保障电子证书和电子商务活动的安全,将一直是核心研究领域。目前,保障电子商务安全比较成熟的技术方案是采用PKI认证框架体系,通过使用数字证书和加密、数字签名技术实现交易双方身份的确认和信息的加密传送
2、。加密技术中的公开钥加密技术最好地解决了密钥的管理和分发问题。而证书中心机构就是解决公钥体系中公钥的合法性认证问题。PKI/CA标准与协议的开发迄今已有15年的历史,目前的PKI/CA已完全可以向企业网络提供有效的安全保障。PKI/CA是一个以被广泛认可的一种成熟的安全整体解决方案。第2章产品介绍2.1产品概述SSPCA是企业级的CA系统,相对公共CA而言,企业证书管理系统适合于一个机构、一个企业的内部业务系统。企业级CA的用户之间的信任关系不是依赖于CA的可信性,而是依赖于技术以外的行政、上下级等关系。CA系统的主要目的是为这些用户在网络上进行业务活动时,提供更安全的保障。所以,我们认为
3、企业级CA与公共CA的最大不同点是如何与业务系统有机地结合,保证业务系统即安全又方便易用。SSPCA是一个与安全服务平台结合的企业CA。如果需要独立的CA系统,建议购买CA。由于不同机构、企业的业务应用的多样性,导致企业证书管理系统需要定制或客户化以满足客户的需求。企业级证书管理系统需要很好的结构和扩展性,可以方便地构建和实施不同需求的证书管理系统系统。这就是SSPCA遵循的产品策略。SSPCA有一个稳定的核心,一个良好的结构。提供多种接口,可以方便地扩展规模和功能。包括证书申请方式(手工、批量、在线、离线)、增加各种证书保存介质(IC卡、USBkey北京安软天地科技有限公司---专业的应
4、用安全服务提供商公司网站:www.scanywhere.com联系电话:010-67080263北京安软天地科技有限公司www.scanywhere.com电子签名中间件技术白皮书、软盘、文件)、选择证书发布方式(人工、WEB、目录服务器、邮件)、支持多种密钥生成方式(CA生成、客户生成)等。2.2证书管理系统体系SSPCA证书管理系统可以做为独立的CA系统运行,也可以做为其它CA系统的子CA运行。如果做为独立的CA系统,它有自己的根证书,并可以建立下级子CA。如果做为其它CA系统的子CA,则需要由其它CA为其签发一个CA证书。通过操作终端申请、注销和管理证书。-6-其它CACA操作终端操
5、作终端2.3证书管理系统组成SSPCA系统由CA服务器、目录服务器、数据库服务器、硬件密码机、操作终端组成。CA服务器负责证书的申请、签发、作废和管理。数据库服务器存放CA的数据、请求数据、证书和黑名单数据。操作终端提供证书申请的管理和日常操作,目录服务器用于发布证书和黑名单。CA服务器数据库服务器加密机/加密卡操作终端小型的企业证书管理系统CA服务器数据库服务器加密机/加密卡操作终端目录服务器防火墙防火墙路由器互联网内部网典型的企业证书管理系统§CA服务器CA服务器负责接收证书申请、证书作废、证书恢复等请求,进行处理,并回复相应的处理信息。§数据库服务器存放所有的用户信息和证书信息。包括
6、用户状态信息、证书信息、黑名单信息、CA和操作员信息以及日志信息等。§目录服务器接收CA服务器的证书和CRL信息,利用LDAP目录服务器发布证书和CRL。§操作终端北京安软天地科技有限公司---专业的应用安全服务提供商公司网站:www.scanywhere.com联系电话:010-67080263北京安软天地科技有限公司www.scanywhere.com电子签名中间件技术白皮书操作员通过管理终端进行证书的申请、作废、查询、统计、设置等等工作。§硬件密码机/卡保存CA的根密钥,对证书进行签名。2.4证书管理系统结构SSPCA证书管理系统主要包括2部分:CA模块HW接口加密机加密卡软件DBP
7、10接口P7导出P12导出通讯接口P12模块APPAPP文件方式批量发证目录接口LDAPIC卡USBkey文件密钥备份CAP12DB1.CA服务模块,即CA服务器,独立运行。2.P12模块,即操作终端,可以运行在CA服务器上,也可以单独运行。SSPCA为二次开发提供多个接口:1.HW接口:密码设备接口2.目录服务器接口:可以支持各种LDAP服务器3.P10请求生成证书接口:将不同方式生成的P10证书请求发给CA服务器4.
此文档下载收益归作者所有