吉大正元电子证书认证系统SRQv.技术白皮书.doc

JIT SRQ05 v5.0 技术白皮书 Version 5.0 有意见请寄 ：info@ 中国·北京市海淀区知春路113号银网中心B座12层 电话：86-010传真：86-010吉大正元信息技术股份有限公司 内容目录 1 PKI技术介绍 1 1.1 PKI公钥体系 1 1.2 CA认证机构 1 1.3 数字证书 2 2 JIT SRQ05 5.0 概述 3 2.1 产品简介 3 2.2 产品组成 3 3 技术特点 5 3.1 丰富完备的功能 5 3.2 部署灵活、操作简单 6 3.3 完全基于PKI标准 6 3.4 系统平台的高安全性 7 3.5 稳定的性能保证系统的高可用性 8 3.6 广泛的平台兼容性 8 3.7 系统架构的可扩展性 8 3.8 良好的易用性与安全清晰的管理模式 9 3.9 应用平台的开放性 10 4 功能简介 10 4.1 认证中心（CAServer） 10 4.1.1 证书管理 10 4.1.2 模板管理 12 4.1.3 权限管理 14 4.1.4 审计管理 15 4.1.5 数据归档 15 4.2 注册中心（RAServer） 16 4.2.1 证书管理 16 4.2.2 证书审核 17 4.2.3 权限管理 18 4.2.4 系统管理 19 4.2.5 审计管理 19 4.2.6 证书统计 20 4.2.7 批量申请和制证 20 4.3 密钥管理中心（KMServer） 20 4.3.1 密钥管理 20 4.3.2 CA机构管理 21 4.3.3 权限管理 22 4.3.4 密钥恢复与司法取证 23 4.3.5 审计管理 24 4.4 在线证书状态查询系统（OCSPServer） 25 5 产品运行环境 25 5.1 硬件环境 25 5.2 软件环境 26 PKI技术介绍 PKI公钥体系 PKI公钥体系采用数字证书的方式管理公钥，通过第三方可信任机构－证书机构把用户的公钥和用户的其他标识信息（如名称、身份证号码、e-mail地址等）捆绑在一起，实现在网络虚拟空间对用户身份的可信管理。 通过采用PKI公钥体系实现对密钥的管理，可以建立一个安全可信的网络环境，实现针对用户身份的鉴别，满足对信息的必威体育官网网址性、完整性、不可抵赖性保护的需求。 CA认证机构 PKI公钥体系采用数字证书的方式管理公钥，通过第三方可信任机构－CA认证机构来管理证书，CA认证机构的作用类似于国家的护照签发中心。护照是由权威中心（护照签发中心）颁发的一种安全文件，它是护照持有者的一种纸质身份证明，任何信任该国护照签发中心的其他国家也会信任该国护照签发中心所签发的护照。任何信任该中心的也会信任该所签发的国际电话与电报咨询委员会 图表2-1 系统逻辑结构 认证中心（CAServer） JIT SRQ05 5.0的核心，负责数字证书、证书注销列表的管理。 注册中心（RAServer） 接收并审核用户的申请信息，审核完毕后提交CAServer；接收CAServer的返回信息并通知用户。 RA Toolkit：作为RAServer的开发工具包向外提供，允许用户根据业务系统的需要把证书业务功能集成到业务系统中，实现证书功能和业务系统的无缝集成。 密钥管理中心（KMServer） 负责用户加密密钥的生成、存储、归档、备份和恢复等管理功能，为CAServer签发加密数字证书提供所需密钥。 在线证书状态查询服务（OCSPServer） JIT SRQ05 5.0提供在线证书状态查询服务，用户可以实时查询指定证书的状态信息。 OCSP Toolkit：作为开发工具包向外提供，用户使用此OCSP Toolkit与OCSP Server建立连接，提交证书查询请求并接收解析响应结果。 技术特点 丰富完备的功能 丰富的证书业务功能 基于角色的授权管理 支持多级CA 强大的证书模板功能 所见即所得的自定义功能（自定义证书模板自定义证书扩展域） 支持汉字证书 支持签发微软智能卡登录(Smartcard Logon)证书 支持交叉认证 支持KMC（密钥管理中心） 支持OCSP（在线证书状态查询） 支持可替换的加密模块 以用户为中心的证书管理模式 部署灵活、操作简单 系统的设计采用B/S模式，安装部署工作只需要在服务端进行，部署工作方便灵活，客户端无需安装任何客户端软件，完全基于浏览器即可完成所有的管理操作，管理终端与服务器之间采用高强度SSL安全连接，采用数字证书对用户的身份实现管理。 另外系统可以根据实际的具体情况来选择对应的组合方式进行部署，比如：CA、CA+RA、CA+KMC、CA+KMC+RA+OCSP等。 完全基于PKI标准 JIT SRQ05系统完全遵循PKI及相关标准，这样有利于与其它厂商的产品实现，