MPSecCMS面向设备的证书管理系统.DOC

MPSec CMS面向设备的证书管理系统 MPSec CMS(Certificate Management System)是四川迈普数据通信股份有限公司研制的面向设备的证书管理系统。主要为迈普公司研制的安全网关、安全路由器、安全VPN以及安全网络管理系统等软硬件提供公钥证书的申请、更新、撤销、查询等证书管理服务，同时也可以为各种网络应用提供标准的证书管理服务。即可作为迈普安全网络设备的配套产品，也可独立用于组件企业证书管理系统。 系统组成： MPSec CMS系统由八个组件组成。分别负责用户注册、证书签发、系统管理、数据备份、证书发布以及系统审计。 CA中心 对外接口 CA中心 对外接口 中间层 CA核心服务模块 客户端 证书/CRL 数据库 备份与恢复系统 LDAP服务器 其他CA 管理终端 注册权威RA 审计系统 CA中心 该组件是系统的核心部件，负责保存CA的签名密钥、签发用户证书和签发CRL列表。CA中心签名部件采用国密办批准的相关设备。 RA中心 在系统中登记用户，并认证用户身份。用户身份认证后，RA给用户分发一张智能卡，智能卡中存储了用户和系统共享的秘密以及系统的相关信息，如CA证书的Hash等。用户登记后就和系统建立了初始的信任关系。 审计系统 审计系统的行为的合法性，记录系统工作日志，对系统工作历史和现状进行即时监察和审计。 管理终端 负责对系统进行配置，包括系统策略配置、系统管理员管理、系统运行参数配置管理等。 LDAP服务器 为用户提供证书和CRL的查询服务。 密钥备份与恢复 对用户的信息进行备份，对用户的加密密钥对提供密钥托管服务。（密钥托管服务可选） 客户端 为用户使用PKI证书管理服务提供接口。迈普公司的安全设备中都包含客户端系统。客户端系统为使用者提供本地证书管理和在线证书管理服务。客户端通过PKIX协议与CA通信，获取证书管理服务。 网络模式： 主要功能： 证书签发 为在系统中注册了的用户签发公钥证书，一般为用户签发加密证书和签字证书两个证书。 证书更新 当用户的证书到期后，系统客户端可以通过CMP协议向CA中心发起证书更新请求，系统验证用户请求后根据用户原有的证书信息和新的请求信息为用户更新证书。 证书撤销 用户证书失效后，用户通过客户端（需要使用与系统的预共享秘密）或者RA向CA中心发起证书撤销请求，CA中心将相应的用户证书加入到证书撤销列表中。 证书/CRL查询 用户可以通过LDAP向系统查询证书和CRL。 交叉认证 签发交叉认证证书以便于与其他CA进行交叉认证，对交叉证书也可以进行更新、撤销管理。 定制服务 MPSECPKI公钥基础设施可以与具体应用结合为应用提供定制服务。例如：安全路由器要求将路由器的IP地址与证书绑定在一起，当路由器修改IP地址后必须同步修改路由器的证书，这样可以防止攻击者发起伪装IP地址的攻击方法。 相关技术标准： 支持WEB证书管理方式 证书格式 RFC2459 Internet X.509 Public Key Infrastructure Certificate and CRL Profile CRL格式 RFC2459 Internet X.509 Public Key Infrastructure Certificate and CRL Profile 证书管理协议 Internet X.509 Public Key Infrastructure Certificate Management Protocols 证书管理消息格式 RFC2511 Internet X.509 Certificate Request Message Format LDAP证书/CRL查询 RFC2559 Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2 在线证书验证 RFC2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP 支持PKCS系列标准 支持SCEP简单证书注册协议 支持GUI系统管理方式 特点： 支持网上用户证书申请服务，提供个人身份证书、服务器证书、安全邮件证书等。 支持为用户进行私钥的备份 与Maipu自主研发的安全路由器及VPN设备协同工作，发放证书，可为CISCO设备发放证书（SCEP协议，该模块可选）。 支持通过电子邮件进行证书申请 全中文支持 采用SSL安全通信协议，实现远程的安全管理； 提