吉大正元数字签名服务器安装部署管理守则COM版VCTKS接口

CA认证安全解决方案吉大正元信息技术股份有限公司2013年05月目录1方案背景 (3)2需求分析 (4)3系统框架设计 (6)4系统逻辑设计 (7)5产品介绍 (9)5.1CA认证系统 (9)5.1.1系统构架 (9)5.1.2系统功能 (10)5.1.3系统流程 (11)5.2身份认证网关 (12)5.2.1系统架构 (12)5.2.2系统功能 (13)5.2.3系统流程 (14)5.3数字签名服务器 (15)5.3.1系统架构 (15)5.3.2系统功能 (16)5.3.2.1数字签名服务器 (16)5.3.2.2数字签名客户端 (18)5.3.3系统流程 (18)5.3.3.1数字签名流程 (18)5.3.3.2签名验证流程 (19)6网络拓扑设计 (20)7产品配置清单 (21)1方案背景随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成为政府、企业提高工作效率，降低运营成本、提升客户体验、增加客户粘度，提升自身形象的重要手段。

信息化是架构在网络环境世界来展开，网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险，如何解决虚拟身份的真实有效，敏感信息在网络传输的安全保密且不被攻击者非法篡改，如何防止网络操作日后不被抵赖？同时，随着信息系统的不断增加，信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。

因此，安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战。

此外，国家安全管理部门发布了《信息安全等级保护管理办法》，提出了“计算机信息系统实行安全等级保护”的要求，等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。

鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求，本方案提出一套基于PKI密码技术的CA认证体系建设方案和基于数字证书的安全应用支撑解决方案，全面解决上述信息安全问题。

身份认证网关I系列用户手册V2.2.3吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1引言 (1)1.1编写目的 (1)2布署结构图 (1)3安装配置 (1)3.1介绍 (1)3.2W EB管理配置流程 (2)3.2.1安装管理员证书 (2)3.2.2系统管理员登录并配置 (5)3.2.3安全保密管理员登录并配置 (7)3.2.4审计管理员登录并配置 (12)4功能详解及使用方法 (14)4.1应用管理 (14)4.1.1添加应用 (14)4.1.2修改应用 (15)4.1.3删除应用 (16)4.2服务器管理 (16)4.2.1服务端口设置 (16)4.2.2申请站点证书 (17)4.2.3导入站点证书 (17)4.2.4导出站点证书 (18)4.2.5配置许可证 (19)4.2.6当前服务状态 (19)4.3认证管理 (20)4.3.1证书认证配置 (20)4.3.2口令认证配置 (23)4.4访问控制管理 (25)4.4.1访问控制设置 (25)4.4.2应用级访问控制 (25)4.4.3规则管理 (26)4.5P ORTAL页面定制 (29)4.5.1设置隐藏应用 (29)4.5.2设置默认Portal (30)4.5.3定制Portal页 (30)4.5.4定制登录页 (31)4.6相关产品设置 (31)4.6.1UMS配置 (31)4.6.2PMS配置 (32)4.6.4配置应用代码 (33)4.6.5配置默认权限 (33)4.7SSO管理 (34)4.7.1令牌设置 (34)4.7.2认证地址配置 (34)4.7.3应用从账号管理 (35)4.7.4模拟代填设置 (36)4.7.5在线用户 (37)4.8管理员配置 (37)4.8.1配置管理员证书 (37)4.8.2配置管理员根证书 (38)4.8.3管理员IP设置 (39)4.8.4管理员IP列表 (39)4.9日志管理 (39)4.9.1配置系统日志 (39)4.9.2查询系统日志 (40)4.9.3日志空间预警 (41)4.9.4日志打包下载 (42)4.10系统设置 (42)4.10.1网卡设置 (42)4.10.2配置DNS服务 (42)4.10.3本地HOSTS配置 (43)4.10.4静态路由设置 (43)4.10.5系统硬件信息 (43)4.10.6系统时间设置 (44)4.10.7可信时间源设置 (44)4.10.8手动同步设备时间 (44)4.10.9服务器启停 (45)4.11系统维护 (45)4.11.1恢复出厂默认值 (45)4.11.2备份恢复 (45)4.11.3系统升级 (46)4.12硬件管理 (46)4.12.1HA服务管理 (46)4.12.2网络诊断管理 (47)4.12.3SNMP服务管理 (50)4.12.4系统监控 (52)4.12.5网络监控 (53)5常见问题解答(FAQ) (55)5.1A GENT无法做重定向认证 (55)6附录模拟代填工具 (58)6.1.1CS模拟代填工具说明 (58)6.1.2CS模拟代替工具使用方法 (58)6.2附录2BS模拟代填 (61)6.2.1BS代填模板说明 (61)6.2.2BS代填工具使用方法 (62)1引言1.1 编写目的身份认证网关对外提供身份认证服务前需要对网关自身进行一系列的参数设置，为提高网关服务系统的易用性，我们提供专门的服务配置管理平台和WEB方式的操作界面，方便管理员对网关服务系统进行管理操作。

数字签名服务器v2.1.1安装部署手册（VSTK接口 COM版）V2.1.1长春吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1引言 (2)1.1概述 (2)1.2开发平台及编程语言 (2)1.3名词解释 (2)2程序部署 (3)2.1W INDOWS环境部署 (3)2.1.1安装 (3)2.1.2验证 (7)2.2示例说明（以A TTACH签名为例） (8)3接口说明 (9)4配置文件概述 (10)5示例代码 (10)6常见问题 (11)6.1编码转换 (11)6.2替换旧版VCTK (11)6.3过滤U KEY (11)6.4证书支持 (11)6.5CA发证 (11)6.6双证书过滤问题 (12)6.7非大文件接口的文件大小限制 (13)1引言1.1 概述该接口是以COM组件的形式提供签名服务。

主要完成以下功能接口：⏹签名、验签⏹加密、解密⏹打信封、解信封1.2 开发平台及编程语言⏹开发平台Windows 7 + sp1⏹编程语言C++⏹开发工具VC++ 2010 + sp11.3 名词解释●Digital Certificate（数字证书）Digital Certificate，是由国家认可的，具有权威性、可信性、公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。

数字证书包含公开密钥拥有者信息以及公开密钥的文件。

●IssuerDN数字证书颁发者的DN●Version数字证书的版本号●SN数字证书的序列号●Subjectdn数字证书主题●Digestalg摘要算法●数字签名被签发数据的哈希值经过私钥加密后的结果。

通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照，就能验证数字签名。

●带签名的数字信封带数字签名的加密数据●不带签名的数字信封没有数字签名的加密数据2程序部署2.1 Windows环境部署2.1.1安装安装有2种方式：安装包和网页。

吉大正元身份认证CA集中认证应用接入培训教材Version 2.7中国·北京市海淀区知春路113号银网中心B座2层电话：86-010-******** 传真：86-010-********吉大正元信息技术股份有限公司目录1 引言 (1)1.1 服务概述 (1)1.2 适用网关版本 (1)2 认证原理 (1)3 通信报文 (2)3.1 承载协议 (2)3.2 认证原文产生服务报文 (2)3.2.1 请求报文说明 (2)3.2.2 响应报文说明 (2)3.3 认证服务报文 (3)3.3.1 请求报文说明 (3)3.3.2 响应报文说明 (5)3.4 标准报文示例 (7)3.4.1 认证原文产生服务请求报文示例 (7)3.4.2 认证原文产生服务响应报文示例 (7)3.4.3 认证服务请求报文示例 (7)3.4.4 认证服务响应报文示例 (8)4 应用改造流程 (9)4.1 第一步：客户端请求认证原文 (9)4.2 第二步：服务端请求认证原文 (9)4.3 第三步：网关返回认证原文 (10)4.4 第四步：服务端返回认证原文 (10)4.5 第五步：客户端认证 (10)4.6 第六步：应用服务端认证 (10)4.7 第七步：网关返回认证响应 (10)4.8 第八步：服务端处理 (10)1引言1.1服务概述集中认证服务是吉大正元身份认证网关I（以下简称网关）面向各种应用系统提供的一种统一的、高强度的身份认证服务。

通过集中认证服务应用系统可以将用户的身份凭据（证书或用户名/口令）提交给网关，网关对用户的身份凭据进行认证，认证后将认证结果、用户的身份信息及用户的属性信息返回给应用系统。

集中认证服务保证了众多应用系统之间认证的权威性、安全性、用户身份的唯一性，避免了因在不同的应用系统中存在多重用户身份信息而难以管理的问题。

1.2适用网关版本本文档所描述的集中认证应用接入改造方法适用于I2.2.2版本。

数字签名服务器v2.1.1安装部署手册（VSTK接口 COM版）V2.1.1长春吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1引言 (2)1.1概述 (2)1.2开发平台及编程语言 (2)1.3名词解释 (2)2程序部署 (3)2.1W INDOWS环境部署 (3)2.1.1安装 (3)2.1.2验证 (7)2.2示例说明（以A TTACH签名为例） (8)3接口说明 (9)4配置文件概述 (10)5示例代码 (10)6常见问题 (11)6.1编码转换 (11)6.2替换旧版VCTK (11)6.3过滤U KEY (11)6.4证书支持 (11)6.5CA发证 (11)6.6双证书过滤问题 (12)6.7非大文件接口的文件大小限制 (13)1引言1.1 概述该接口是以COM组件的形式提供签名服务。

主要完成以下功能接口：⏹签名、验签⏹加密、解密⏹打信封、解信封1.2 开发平台及编程语言⏹开发平台Windows 7 + sp1⏹编程语言C++⏹开发工具VC++ 2010 + sp11.3 名词解释●Digital Certificate（数字证书）Digital Certificate，是由国家认可的，具有权威性、可信性、公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。

数字证书包含公开密钥拥有者信息以及公开密钥的文件。

●IssuerDN数字证书颁发者的DN●Version数字证书的版本号●SN数字证书的序列号●Subjectdn数字证书主题●Digestalg摘要算法●数字签名被签发数据的哈希值经过私钥加密后的结果。

通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照，就能验证数字签名。

●带签名的数字信封带数字签名的加密数据●不带签名的数字信封没有数字签名的加密数据2程序部署2.1 Windows环境部署2.1.1安装安装有2种方式：安装包和网页。

数字签名服务器财政行业版产品白皮书Version有意见请寄中国·北京市海淀区知春路113号银网中心B座12层电话：86-0 传真：86-0吉大正元信息技术股份有限公司目录1前言............................................................................................................. 错误!未定义书签。

背景概述 .................................................................................................. 错误!未定义书签。

术语和缩略语 .......................................................................................... 错误!未定义书签。

2产品概述 ..................................................................................................... 错误!未定义书签。

产品简介 .................................................................................................. 错误!未定义书签。

产品结构 .................................................................................................. 错误!未定义书签。

部署结构 .................................................................................................. 错误!未定义书签。

吉大正元时间戳服务器管理员手册V2.0.23_sp1长春吉大正元信息技术股份有限公司Jilin University Information TechnologiesCo., Ltd.目录1.引言31.1.概述31.2.定义32.安装配置42.1.介绍42.1.1.V200042.2.连接安装43.功能详解及使用方法63.1.可信时间戳管理63.1.1.管理可信时间源错误!未定义书签。

3.1.2.证书管理63.1.3.时间戳数据管理93.1.4.服务监控103.1.5.权限管理123.1.6.业务日志123.2.系统管理143.2.1.站点证书管理错误!未定义书签。

3.2.2.信任根证书管理错误!未定义书签。

3.2.3.权限管理183.2.4.数据库配置183.2.5.许可证配置193.3.设备管理193.3.1.网络设置193.3.2.HA服务管理223.3.3.网络诊断管理253.3.4.SNMP服务管理263.3.5.系统监控273.3.6.网络监控283.3.7.系统时间设置293.4.系统维护293.4.1.系统备份错误!未定义书签。

3.4.2.系统恢复错误!未定义书签。

3.4.3.系统升级错误!未定义书签。

3.5.审计管理303.5.1.查看审计信息错误!未定义书签。

3.5.2.更新安全审计员证书错误!未定义书签。

4.常见问题解答(FAQ)344.1.服务安装后无法启动344.2.服务启动后无法进入管理界面341.引言1.1. 概述随着互联网浪潮的到来，电子交易已逐渐进入我们的生活，电子购物将逐渐成为我们生活的一部分。

随着电子交易的普及，电子交易的安全逐渐成为人们关注的主题。

那么如何确保电子交易的交易安全呢？目前普遍采用的是公钥基础设施（PKI）。

PKI可以在电子化社会中建立人们之间的信任关系。

但是要保证交易的防抵赖，依靠单纯的数字签名技术是无法实现的。

因为要实现防抵赖，不仅需要对交易数据进行数字签名，还必须保证此交易数据在某一时间(之前)的存在性（Proof-of-Existence）。

以太网终端机操作指南（V3.2）浙江正元智慧科技有限公司二○○七年八月公司简介浙江正元智慧科技有限公司成立于1994年，注册资金3000万元，是一家集智能卡应用开发、设备制造和系统集成于一体的专业公司，是浙江省知名的IT企业，在省内是金卡工程领域的龙头企业，系统集成居于前列。

公司现有员工二百多名，是信息产业部认定的软件企业，浙江省唯一的“校园智能卡应用技术研究发展中心”，是浙江省科技厅认定的高新技术企业，拥有国家信息产业部计算机信息系统集成二级资质和国家建设部建筑智能化工程专业承包二级资质，通过了美国CMU/SEI的软件CMM2级评估，通过了银行卡检测中心的检测，取得ISO9001质量体系认证，并被中国人民银行浙江省分行连续五年授予AAA信用等级企业。

公司拥有直接用户近两千家，浙江省绝大部分高校和中学的校园一卡通均由我公司实施，我公司参与了杭州市民卡工程，承接了中国最高楼——上海环球金融大厦的楼宇一卡通及安防系统项目，研发并推广了解放军“士兵卡管理系统”。

此外，公司还研发了“行政执法IC卡管理系统”、“文明卡管理系统”、“海量数据处理平台”、“数字档案馆系统”等多行业的应用系统。

浙江正元智慧科技有限公司着力研发、推广IC卡技术在教育及其它行业的应用，拥有自主研发的软、硬件产品三十余种，部分主导产品曾获部级科技成果一等奖。

公司研发的“数字化园区一卡通”系统作为未来数字化园区环境下的一项基础工程，由一卡通数据中心、卡应用支撑平台、卡业务管理和卡应用系统等四个部分组成，具有安全性高、性能优越、扩展能力强等特点，包含商务收费系统、机房管理系统、门禁管理系统、考勤管理系统等15个子系统。

公司拥有自主生产的各类系统终端设备：射频IC/ID 卡的消费终端、智能控制器、门禁控制器、考勤终端、通用读卡器、智能控水器、智能控电柜、电开水器等系列产品。

公司在发展中形成了独特的经营理念和管理风格，一直把“正合奇胜，积贤培元；诚信为本，做人为先”作为公司基本理念，注重“知识分子革命化，革命分子知识化”培养，把科学化管理与军事化管理相结合，严谨缜密的科学作风与充满激情的战斗作风相融合。

JIT Cinas 身份认证网关使用手册Cinas-T 2.2.30吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.更新记录2JIT Cinas身份认证网关T系列使用手册目录1引言 (1)1.1编写目的 (1)2网络结构 (1)3安装配置 (1)3.1介绍 (1)3.1.1T100/T200 (1)3.1.2T600 (2)3.2配置流程 (2)3.2.1安装管理员证书 (2)3.2.2安全管理员登录并配置 (5)3.2.3系统管理员登录并配置 (8)3.2.4审计管理员登录并配置 (11)3.2.5配置应用 (12)3.2.6通过portal访问应用 (14)4其他功能详解及使用方法 (15)4.1应用管理 (16)4.1.1添加后台应用 (16)4.1.2修改后台应用 (19)4.1.3删除后台应用 (20)4.1.4单点登录配置 (20)4.2服务器管理 (23)4.2.1服务器监控 (23)4.2.2配置许可证 (23)4.2.3配置信任根证书 (24)4.2.4配置证书状态验证 (25)4.3访问控制管理 (27)4.3.1应用访问控制 (28)4.3.2资源访问控制 (28)4.4管理员管理 (29)4.4.1配置管理员证书 (29)4.4.2管理员IP设置 (30)4.4.3管理员IP列表 (30)4.5P ORTAL页面定制 (30)4.5.1设置隐藏应用 (30)4.5.2设置默认Portal (30)4.5.3定制Portal页 (31)4.6用户管理 (31)4.6.1管理从帐号 (31)4.7设备管理 (32)4.7.1设备注册 (32)4.7.2设备审核 (33)吉大正元信息技术股份有限公司 14.7.3设备维护 (33)4.8相关产品配置 (33)4.8.1配置UMS&PMS (33)4.8.2配置应用代码 (34)4.9客户端配置 (34)4.9.1客户端监听配置 (34)4.9.2客户端超时设置 (35)4.10日志管理 (35)4.10.1配置系统日志 (35)4.10.2查询系统日志 (36)4.10.3记录资源设置 (37)4.10.4日志空间预警 (37)4.10.5日志打包下载 (37)4.11系统设置 (38)4.11.1静态DNS设置 (38)4.11.2静态路由设置 (38)4.11.3系统硬件信息 (38)4.11.4系统时间设置 (38)4.11.5服务器启停 (39)4.12系统维护 (39)4.12.1恢复出厂默认值 (39)4.12.2备份恢复 (39)4.12.3数据升级 (39)5常见问题解答 (40)5.1无法登录到管理界面 (40)5.2用户证书已被吊销 (40)5.3用户无权访问该资源 (40)5.4在PORTAL页面看不到要访问的应用 (40)5.5控件没有生效 (40)2JIT Cinas 身份认证网关T 系列 使用手册吉大正元信息技术股份有限公司 11 引言1.1 编写目的JIT Cinas 身份认证网关是用于服务器端建立安全通信信道，进行身份认证的硬件设备，通过数字证书实现用户与服务器之间的通信与交易安全并验证用户身份，满足用户对于信息传输的安全性及身份认证的需要。

数字签名服务器v2.1.1安装部署手册（VSTK接口COM版）V2.1.1长春吉大正元信息技术股份有限公司JilinUniversityInformationTechnologiesCo.,Ltd.目录1引言1.1 概述该接口是以COM组件的形式提供签名服务。

主要完成以下功能接口：⏹签名、验签⏹加密、解密⏹打信封、解信封1.2 开发平台及编程语言⏹开发平台Windows7+sp1⏹编程语言C++⏹开发工具VC++2010+sp11.3 名词解释●DigitalCertificate（数字证书）DigitalCertificate，是由国家认可的，具有权威性、可信性、公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。

数字证书包含公开密钥拥有者信息以及公开密钥的文件。

●IssuerDN数字证书颁发者的DN●Version数字证书的版本号●SN数字证书的序列号●Subjectdn数字证书主题●Digestalg摘要算法●数字签名被签发数据的哈希值经过私钥加密后的结果。

通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照，就能验证数字签名。

●带签名的数字信封带数字签名的加密数据●不带签名的数字信封没有数字签名的加密数据2程序部署2.1 Windows环境部署2.1.1安装安装有2种方式：安装包和网页。

●安装包方式执行JITComVCTK_S.exe进行安装安装完成后，64位系统会把文件安装到C:\ProgramFiles(x86)\JIT\Client 目录下，32位系统会把文件安装到C:\ProgramFiles\JIT\Client目录下。

●网页方式（针对IE）把JITComVCTK_S.cab文件放到访问网页的目录下修改index.html内容，version=当前VCTK_S的版本号若系统中没有安装VCTK_S，访问该网页时会自动进行下载安装。

遇到该提示，选择“允许阻止的内容”选择【是】，系统会自动下载并执行安装，安装过程与使用安装包安装相同若系统中的VCTK_S的版本小于网页指定的版本，则会提示卸载执行完卸载之后再次刷新网页，会进行自动安装工作。

JIT SRQ05 V5.0.2吉大正元电子证书认证系统技术白皮书Version 1.2有意见请寄：************.cn中国·北京市海淀区知春路113号银网中心B座12层电话：86-010-******** 传真：86-010-********吉大正元信息技术股份有限公司声明本文档是吉大正元信息技术股份有限公司的机密文档，文档的版权属于吉大正元信息技术股份有限公司，任何使用、复制和公开此文档的行为都必须经过吉大正元信息技术股份有限公司的书面许可。

内部资料请注意保密版本、密级及修改记录目录1前言 (1)1.1应用场景描述 (1)1.2需求描述 (1)1.3术语和缩略语 (3)1.3.1术语 (3)1.3.2缩略语 (4)2产品概述 (5)2.1产品简介 (5)2.2产品实现原理 (5)2.3产品系统架构 (7)3功能流程 (8)3.1产品功能 (8)3.1.1认证中心（CA Server） (8)3.1.2注册中心（RA Server） (8)3.1.3密钥管理中心（KM Server） (8)3.1.4在线证书状态查询服务（OCSP Server） (8)3.2工作流程 (9)3.2.1认证中心（CA Server） (9)3.2.2注册中心（RA Server） (12)3.2.3密钥管理中心（KM Server） (16)3.2.4在线证书状态查询系统（OCSP Server） (20)4产品特点 (20)4.1丰富完备的功能 (20)4.2部署灵活、操作简单 (21)4.3完全符合国内、国际PKI建设标准 (21)4.4系统平台的高安全性 (22)4.5稳定的性能保证系统的高可用性 (23)4.6广泛的平台兼容性 (23)4.7系统架构的可扩展性 (24)4.8良好的易用性与安全清晰的管理模式 (24)4.9应用平台的开放性 (25)5运行部署 (25)5.1交付产品和系统配置 (25)5.1.1产品逻辑结构图 (25)5.1.2产品清单 (26)5.1.3推荐配置 (27)5.2产品规格和L ICENSE机制 (27)5.3系统组成 (27)5.3.1部署结构－全面型 (27)5.3.2部署结构－精简型 (29)5.3.3部署结构－密钥托管型 (30)6资质证书 (32)7典型案例 (32)图表目录图表1-1术语对照表 (4)图表1-2缩略语对照表 (4)图表2-1系统体系结构 (7)图表4-1SRQ05支持的标准 (22)图表5-1逻辑结构图 (25)图表5-2产品清单 (26)图表5-3推荐配置 (27)图表5-4部署结构图－全面型 (28)图表5-5系统组成清单－全面型 (29)图表5-6部署结构图－精简型 (29)图表5-7系统组成清单－精简型 (30)图表5-8部署结构图－密钥托管型 (31)图表5-9系统组成清单－密钥托管型 (31)1 前言1.1 应用场景描述在现实生活中，表达人身份的是居民身份证，而在当前信息化程度越来越高的网络环境中，证书越来越被广泛的用来代表人、设备、服务器等实体的身份；现实生活中，居民身份证是由公安局进行颁发和管理的，那么在网络环境中，用来颁发和管理身份证书就是公钥基础设施。

吉大正元服务器密码机技术白皮书SJY76White PaperVersion 1.0吉大正元信息技术股份有限公司2010年3月31日1.产品简介吉大正元SJY76密码机能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算，可以满足应用系统数据的签名/验证、加密/解密的要求，保证传输信息的机密性、完整性和有效性，同时提供安全、完善的密钥管理机制。

密码应用系统通过调用密码机提供的标准API函数来使用密码机的服务，密码机API与密码机之间的调用过程对上层应用透明，应用开发商能够快速的使用密码机所提供的安全功能。

密码机API接口符合《公钥密码基础设施应用技术体系密码设备应用接口规范（试行）》标准接口规范，通用性好，能够平滑接入各种系统平台，满足大多数应用系统的要求，在应用系统安全方面具有广泛的应用前景。

2.功能描述密钥生成与管理：可以生成1024/2048/3072/4096位RSA密钥对，采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。

⏹密钥的安全存储：设备内可存储50对RSA密钥对（包括签名密钥对和加密密钥对），并且私钥部分受设备保护密钥的加密保护。

⏹数据加密和解密：支持SSF33算法、SM1算法的ECB和CBC模式的数据加密和解密运算。

⏹消息鉴别码的产生和验证：支持基于SSF33算法、SM1算法的MAC产生及验证。

⏹数据摘要的产生和验证：支持SHA-1、SHA224、SHA256、SHA384、SHA512等杂凑算法。

⏹数字签名的产生和验证：可以根据需要利用内部存储的RSA密钥对或外部导入RSA私钥对请求数据进行数字签名。

⏹数字信封功能：支持基于RSA密码算法的数字信封功能，并支持由内部密钥保护到外部密钥保护的数字信封转换功能。

⏹物理随机数的产生：采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。

⏹用户访问权限控制：具有用户管理功能，提高了密码设备自身的安全性。

数字签名服务器v2. 1. 1安装部署手册（VSTK 接口COM 版）V2. 1. 1长春吉大正元信息技术股份有限公司Ji1inUn iversitylnformat i onTechno1og i e sCo.,Ltd. 目录1引言1.1概述该接口是以COM组件的形式提供签名服务。

主要完成以下功能接口：签名、验签加密、解密打信封、解信封1.2开发平台及编程语言开发平台Windows7+spl编程语言C++开发工具VC++2010+spl1.3名词解释DigitalCertificate （数字证书）DigitalCert辻icate,是由国家认可的，具有权威性、可信性、公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。

数字证书包含公开密钥拥有者信息以及公开密钥的文件。

IssuerDN数字证书颁发者的DNVersion数字证书的版本号SN数字证书的序列号Subjectdn数字证书主题Digestalg摘要算法数字签夕；被签发数据的哈希值经过私钥加密后的结果。

通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照，就能验证数字签名。

带签名的数字信封带数字签名的加密数据不带签名的数字信封没有数字签名的加密数据2程序部署2. 1 Windows环境部署2.1. 1安装安装有2种方式：安装包和网页。

安装包方式执行JITComVCTK_S. exe进行安装安装完成后，64位系统会把文件安装到C:\ProgramFiles (x86) \JIT\Client目录下，32位系统会把文件安装到C:\ProgramFiles\JIT\Client目录下。

网页方式(针对IE)把JITComVCTK_S. cab文件放到访问网页的目录下修改index, html内容, version=当前VCTK_S的版本号若系统中没有安装VCTK_S,访问该网页时会自动进行下载安装。

遇到该提示，选择“允许阻止的内容”选择【是】，系统会自动下载并执行安装，安装过程与使用安装包安装相同若系统中的VCTK_S的版本小于网页指定的版本，则会提示卸载执行完卸载之后再次刷新网页，会进行自动安装工作。

吉大正元安全管理平台V3.0 产品白皮书Version 1.0有意见请寄：info@中国·北京市海淀区知春路113号银网中心B座12层电话：86-010-******** 传真：86-010-********吉大正元信息技术股份有限公司目录1前言 (1)1.1应用场景描述 (1)1.2需求分析 (2)2产品概述 (2)3产品功能 (2)3.1实时的网络拓扑 (2)3.2自动事件分析引擎 (3)3.3特有增强型趋势分析能力的报表系统 (3)3.4预/自定义对象 (3)3.5向导式批量配置 (4)3.6基于角色的用户／设备组管理 (4)3.7工具 (5)3.8安全通讯 (5)3.9产品讯息 (5)4产品规格 (5)4.1交付产品 (5)4.2硬件要求 (5)4.3软件要求 (6)4.4可管理的设备 (6)5部署方式 (6)6资质证书 (7)6.1国密局资质 (7)6.2保密局资质 (8)6.3公安部销售许可 (8)1 前言1.1 应用场景描述21世纪，是个变革的时代。

信息技术迅猛发展，飞速普及，给企业的运作和管理带来了巨大的冲击，企业生存和竞争环境也由此发生了根本变化。

今天的信息系统已不单纯是企业的技术支撑，全球500强企业无一例外地通过先进的信息管理手段控制着从产品设计、生产、组织、销售到客户服务等一系列的业务拓展与业务流程，企业信息结构的设计与组织实施，直接影响到企业生存与可持续发展。

卓越的信息系统建设日渐成为企业核心竞争力之一，更是企业在制定策略时所必须考虑的重要依据。

吉大正元身份认证网关是提供内部网络的接入控制以及对接入用户进行强身份认证和审计服务的产品，解决用户使用应用系统时涉及的身份验证、信息保密、权限控制等安全问题。

为网络应用提供以下安全支撑服务：提供数字证书、用户名口令、硬件信息等多种认证方式基于角色的动态用户授权机制基于协议、端口或IP的应用系统保护针对应用系统资源进行细粒度的权限控制高强度的传输链路加密对用户接入应用系统的行为进行全方位监控、追踪和审计该产品基于开放的标准开发，具备良好的兼容性和可扩展性，全面支持PKI/CA（公钥基础设施）系统，实现边界接入网络安全的整体解决方案。