吉大正元电子证书认证系统SRQ05技术白皮书.doc

JIT SRQ05 V5.0.2 吉大正元电子证书认证系统 技术白皮书 Version 1.2 有意见请寄 ：info@ 中国·北京市海淀区知春路113号银网中心B座12层 电话：86-010传真：86-010吉大正元信息技术股份有限公司 声明 本文档是吉大正元信息技术股份有限公司的机密文档，文档的版权属于吉大正元信息技术股份有限公司，任何使用、复制和公开此文档的行为都必须经过吉大正元信息技术股份有限公司的书面许可。 内部资料 请注意必威体育官网网址 版本、密级及修改记录 修改日期 版本 操作 备注 2008-12-05 1.0 创建 2009-2-9 1.1 修改 加入声明 2009-2-22 1.2 修改 部门内互评修改 目录 1 前言 1 1.1 应用场景描述 1 1.2 需求描述 1 1.3 术语和缩略语 3 1.3.1 术语 3 1.3.2 缩略语 4 2 产品概述 5 2.1 产品简介 5 2.2 产品实现原理 5 2.3 产品系统架构 7 3 功能流程 8 3.1 产品功能 8 3.1.1 认证中心（CA Server） 8 3.1.2 注册中心（RA Server） 8 3.1.3 密钥管理中心（KM Server） 8 3.1.4 在线证书状态查询服务（OCSP Server） 8 3.2 工作流程 9 3.2.1 认证中心（CA Server） 9 3.2.2 注册中心（RA Server） 12 3.2.3 密钥管理中心（KM Server） 16 3.2.4 在线证书状态查询系统（OCSP Server） 20 4 产品特点 20 4.1 丰富完备的功能 20 4.2 部署灵活、操作简单 21 4.3 完全符合国内、国际PKI建设标准 21 4.4 系统平台的高安全性 22 4.5 稳定的性能保证系统的高可用性 23 4.6 广泛的平台兼容性 23 4.7 系统架构的可扩展性 24 4.8 良好的易用性与安全清晰的管理模式 24 4.9 应用平台的开放性 25 5 运行部署 25 5.1 交付产品和系统配置 25 5.1.1 产品逻辑结构图 25 5.1.2 产品清单 26 5.1.3 推荐配置 27 5.2 产品规格和License机制 27 5.3 系统组成 27 5.3.1 部署结构－全面型 27 5.3.2 部署结构－精简型 29 5.3.3 部署结构－密钥托管型 30 6 资质证书 32 7 典型案例 32 图表目录 图表 11术语对照表 4 图表 12缩略语对照表 4 图表 21系统体系结构 7 图表 41 SRQ05支持的标准 22 图表 51逻辑结构图 25 图表 52产品清单 26 图表 53推荐配置 27 图表 54 部署结构图－全面型 28 图表 55系统组成清单－全面型 29 图表 56 部署结构图－精简型 29 图表 57系统组成清单－精简型 30 图表 58 部署结构图－密钥托管型 31 图表 59系统组成清单－密钥托管型 31 前言 应用场景描述 在现实生活中，表达人身份的是居民身份证，而在当前信息化程度越来越高的网络环境中，证书越来越被广泛的用来代表人、设备、服务器等实体的身份；现实生活中，居民身份证是由公安局进行颁发和管理的，那么在网络环境中，用来颁发和管理身份证书就是公钥基础设施。 公钥基础设施(Public Key Infrastructure，简称PKI)是采用非对称密码算法和技术，来实现并提供安全服务，并具有通用性的安全基础设施，是一种遵循标准的密钥管理平台。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI体系实际上就是计算机软硬件、权威机构及应用系统的结合。它采用数字证书的形式管理公钥，通过CA把用户的公钥和用户的其他标识信息（如名称、身份证号码、e-mail地址等）捆绑在一起，实现对用户身份的验证；它将公钥密码和对称密码结合起来，通过网络和计算机技术实现密钥的自动管理，保证机密数据的必威体育官网网址性和完整性。 通过采用PKI体系管理密钥和证书，可以建立一个安全的网络环境，实现信息的必威体育官网网址性、完整性，并完成身份鉴别以确保不可抵赖性。 需求描述 建立一个安全的网络环境，并要解决如何使用安全的身份进行认证的问题、如何保证敏感数据安全传输的问题、如何将机密数据安全保护存储的问题等等更多的安全应用问题，这在当今信息化高度发展、高度普及的情况下，就变成了急需和迫切要去解决的。而利用基于PKI技术基础的数字证书作为解决这些问题的基石，利用数字证书的密钥和证书所能实现的必威体育官网网址性、完整性和不可抵赖性，构建一个与客户应用系统紧密结合的安全应用系统，彻底解