吉大正元产品简介
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
证书模板的作用
• 证书模板的作用是根据证书应用需 要,规范和定制证书内大部分信息, 简化证书签发操作,并支持按证书 模板分类管理证书; • 用户证书签发必须依赖证书模板; • CA系统初始化后会预置一批常用证 书模板,能够满足绝大多数证书应 用;
使用中
未使用
注销
删除
自定义扩展域的作用
• 国家/国际标准表扩展域无法满足应 用要求时,可以使用自定义扩展域 • OID + 编码方式 + VALUE
功能介绍-RA Server
证书管理
• 证书申请、证书下载、证书查询、证书更新 • 证书冻结、证书解冻、证书注销 • 批量申请证书、批量下载证书
用户管理
• 用户组管理 • 添加用户、修改用户、删除用户 • 冻结用户、解冻用户、注销用户
功能介绍-RA Server
模板管理
• 获取已授权模板列表 • 设置审核策略:手动审核、自动审核
功能介绍-RA Server
RA Server的核心作用
• 实现证书申请录入、审核功能 • 管理证书对应的用户信息 • 以用户为中心管理数据
审核员 录入员 制证员
证书管理 用户管理 超级管理 员 系统初始化 系统管理 员 系统配置管理 模板管理 主题规则管理 权限管理
统计业务量 审计管理 员 审计操作日志
V-CTK
V-STK
签名服务器
数字签名客户端
数字签名服务器
CRL/OCSP
数字签名服务器
• 硬件签名服务器 • 服务器接口(V-STK):C版/COM版/JAVA版
数字签名客户端
• 客户端接口(V-CTK): COM版/JAVA版
产品概述-应用价值
完整性 数字签名:如果签名验证失败,说明数据的完整性 遭到了破坏 数字签名:接收者能验证签名,而任何其他人都不 能伪造签名 数字签名:签名者事后不能否认自己的签名
身份认证
不可抵赖
机密性
数字信封:使用两层加密来获得公开密钥技术的灵 活性和秘密密钥技术高效性
功能介绍-数字签名服务器
制作数字签名,支持数据原文、 文件制作数字签名,签名结构符合 P7标准。 验证数字签名,支持验证标准的 P7签名结果,验证签名过程中,对 制作签名证书进行完整验证,包括 信任域、有效期、证书状态。
JIT SRQ05 -吉大正元电子证书认证系统 服务器
JIT SRQ05 CA Server -签发管理系统 JIT SRQ05 KM Server-密钥管理中心 JIT SRQ05 RA Server-注册管理系统 JIT SRQ05 OCSP Server -在线证书查询系统
• CA签发管理系统(CA Server) • RA注册管理系统(RA Server) • KM密钥管理中心(KM Server) • OCSP在线证书状态查询系统(OCSP Server) 其中CA Server为产品的核心,其他组件围绕认证中心提供更 完善的安全解决方案。
功能介绍-系统结构
功能介绍-系统组成
JIT UMS
统一用户管理系统
安 全 硬 件 产 SZD34 品 智能
密码 钥匙
安全 技术 基础 设施
KMC Server OCSP Server OCSP Toolkit 时间戳 密钥管理中心 在线证书状态查询 OCSP开发工具包
SJY-76 证书 服务器 密码机
PKI/PMI
产品体系-- 产品荣誉
吉大正元信息技术股份有限公司 产品简介
内容提要
产品体系介绍
产品介绍
产品体系--产品定位
基于PKI/PMI技术 解决 认证、授权、管理、内容保护等 应用安全问题
产品体系--产品设计理念
安全为应用服务,安全为管理服务
安全性与可用性、易用性结合 两个基础设施、一个平台,提供五个统一服务
• 两个基础设施:安全技术基础设施、安全管理基础设施
• 一个平台:应用安全支撑平台 • 五个统一服务:即统一的用户管理服务、统一的身份认 证服务、统一的授权服务、统一访问控制服务、统一的 安全审计服务。 保护原有用户投资、尽量避免调整应用
吉大正元产品体系介绍
安全 应用 应用 安全 支撑 平台 安全 管理 设施
功能介绍-OCSP Server
OCSP核心功能
• 提供在线证书状态查询服务 • 支持对多CA提供证书状态查询服务
系统初始化 系统管理 员 系统配置管理
OCSP标识证书状态
• 有效 Using • 注销 Revoked • 未知 Unknown
功能介绍-开发用API
RA Toolkit
产品定义
• 吉大正元数字签名服务器是基于数字证书和PKI技术自主研制的硬件 安全产品,提供数字签名和数字信封服务,满足用户在网络交易中行 为不可抵赖,信息完整性、私密性等需求。
解决问题
• 行为可追述,不可抵赖 • 数据防篡改 • 数据保密
产品概述-产品形态
IE 浏览器
V-CTK
应用服务端
应用客户端
功能介绍-特色功能
数字签名: • 事后验证:使用证书进行完整数字签名,签名结果中包含签名时的 全部证书状态信息,接收者可在生成后的任意时间验证,而其他任 何人都不能伪造。 • 监控功能:安全管理员可以对签名、验签业务进行实时的监控和统 计。 • 业务日志管理功能:内嵌数据库,安全管理员可以设置、查看日志 信息及状态。 数字信封: • 双证书体系:签名证书与加密证书完全独立,保障系统应用的安全 • 监控功能:安全管理员可以对加密、解密业务进行实时的监控和统 计。
• 连接CA,实现证书管理功能
OCSP Toolkit
• 连接OCSP,实现证书状态查询功能
提要
数字签名服务器产品
产品概述-产品背景
研制背景
• 需求:电子交易和网络业务,如何保证业务行为、时间不可否认和数 据安全 • 技术:PKI技术和数字证书应用,提供了技术保障和解决方案 • 保障:随着电子签名法颁布(2005年4月1日),电子签名具有法律 效力 • 历程:2004年研制,2006年推出硬件产品 2010年5月31日发布吉大正元数字签名服务器2.0.23
• • • 备用密钥库 在用密钥库 归档密钥库
注销
功能介绍-KM Server
机构管理
• 使用CA“通信证书”作为就证书注册 • 可限制CA机构能够提取的密钥类型和密钥数量
权限管理
• 超级管理员只能完成授权业务管理员操作 • 其他所有业务管理由业务管理员完成
审计管理
• 统计业务量 • 审计操作日志
电子文档管理系统 JIT DS 桌面安全系统 电子公文安全传输系统 终端安全、文档安全、办公安全 通用办公资源与业务管理系统 JIT 电子签章系统 JIT Galaxy 银河目录服务器
JIT SmartOffice
JIT 身份 认证 网关
身份验证系统
身份验证、单点登录、数据保密、
行为可控、可查 JIT Cinas
数字签名系统
JIT AQS 统一审计监控系统 统一管理用户身份、账号、属性
JIT CSS 签名 服务 器
审计和监控相关行为内容
JIT SRQ05 数字证书认证系统 JIT PMS 授权管理系统 PMS TSA 证书、权限管理 授权管理系统 数字 RA Toolkit RA开发工具包 AA 属性证书系统 CA Server 签发系统 RA Server 注册审核系统
业务管理员
密钥管理 机构管理 超级管理 员 权限管理
系统初始化 系统管理 员 系统配置管理
统计业务量 审计管理 员 审计操作日志
功能介绍-KM Server
Βιβλιοθήκη Baidu 密钥管理
• • • • • • 定时产生密钥 即时产生密钥 备用密钥统计 在用密钥查询 司法取证 密钥归档
冻结
未使用
使用中
停用
同一机构下同一序列号的证书 只能申请使用一对密钥 “三库”要求
• 目录服务器 • Ukey • 加密机
提要
CA产品
产品概述-产品介绍
JIT SRQ05电子证书认证系统是在吉大正元原有产 品基础上,结合国内外同类产品的特点研制而成。 是用于数字证书的申请、审核、签发、注销、更新、 查询的综合管理系统。
JIT SRQ05电子证书认证系统由以下几个核心组件 组成:
主题规则管理
• 规范证书主题格式 • 定制用户信息与证书主题的对应关系 • 主题规则与证书模板绑定
权限管理
• 录入员 • 审核员 • 制证员
功能介绍-RA Server
用户自主服务
• • • • • • 自主下载证书 自主更新证书 下载根证书 下载CRL 可灵活控制的自主服务模式 可扩展的用户身份验证模式
管理员对各实体(用户、设备等)进行统一管理
系统实体之间建立可信、可控、可审计、可追查机制 业务应用和安全措施能独立运行、方便各自管理 应用与安全的集成简单而便捷 提升用户对信息系统的使用体验
产品介绍
CA产品(SQR05) 统一用户管理系统(UMS) 授权管理系统(PMS) 应用安全支撑系统(CINAS) 综合审计系统(AQS) 终端安全系统 文件传输系统 其他产品
开发用API
JIT RA Toolkit JIT OCSP Toolkit
功能介绍-CA Server
CA Server的核心作用
• 签发、管理证书和CRL • 以证书为中心管理数据
业务管理员
证书管理 模板管理 超级管理 员 自定义扩展域管理 权限管理
系统初始化 系统管理 员 系统配置管理
统计业务量 审计管理 员 审计操作日志
功能介绍-CA Server
证书管理基本功能
• • • • • • • • 证书申请 证书下载 证书更新 证书注销 证书冻结 证书解冻 证书查询 证书归档
使用中
未下载
冻结
注销
同一模板下状态为“使用中” 的证书(DN)必须唯一
未下载 注销
功能介绍-CA Server
《SRQ05电子证书认证系统》 • 完全自主知识产权 • 第一个通过国家级鉴定 • 国家重点新产品 • 该领域内国家最高科技奖--科技进步一 等奖 《应用安全支撑平台》 • 第十界中国国际软件博览会金奖 《SmartOffice政府资源管理系统》 • 全国政务优秀软件(国务院办公厅)
产品体系--产品对用户的价值
功能介绍-CA Server
权限管理
• 本系统管理员证书模板 • 证书管理授权:模板名称 + BaseDN
审计管理
• 统计签发证书数量 • 审计操作日志
功能介绍-KM Server
KM Server的核心作用
• • • • 为CA提供加密密钥 管理加密密钥生命周期 以密钥为中心管理数据 支持为多CA提供密钥服务
验证签名
发送数据 发送数据 解密信封 证书状 态检索
用户
CRL/OCSP
数字签名服务器
制作数字信封,支持数据原文、 文件制作数字信封,信封结构符合 P7标准。 验证数字信封,支持验证标准 的P7信封结果,验证信封过程中, 对制作信封的证书进行完整验证, 包括信任域、有效期、证书状态。
通过WEB方式 管理服务器
功能介绍-数字签名客户端
数字签名 数字签名客户端支持对数据、文件制作数字签名,签名结构符合 PKCS#7标准;支持验证符合PKCS#7标准的签名结果。 数字信封 数字签名客户端支持对数据、文件制作数字信封,信封结构符合 PKCS#7标准;支持解密符合PKCS#7标准的信封结果。 证书扩展 证书作为用户身份标识,其中可以记载很多用户信息,如姓名、联 系方式、工作单位、职务等等,也可以在CA机构定义扩展信息。数 字签名客户端支持获取证书标准信息及其扩展信息,供应用系统使用。
证书存储
私钥存储
管理员
功能介绍-数字签名服务器
数字签名 数字签名服务器支持对数据、文件制作数字签名,签名结构符合 PKCS#7标准;支持验证符合PKCS#7标准的签名结果。 数字签名服务器支持对数据制作数字签名,签名结构符合PKCS#1标 准;支持验证符合PKCS#1标准的签名结果。 数字信封 数字签名服务器支持对数据、文件制作数字信封,信封结构符合 PKCS#7标准;支持解密符合PKCS#7标准的信封结果。 证书验证 数字签名服务器支持对签名、加密证书进行全面验证。包括信任域、 有效期和证书状态。 交叉验证 数字签名服务器支持配置多信任CA签发的根证书,可验证不同CA 机构签发的符合PKCS#7标准的签名、信封结果。 双机热备 数字签名服务器内置双机热备系统,采用主备机模式,主机(处于 工作状态的机器)与备机之间通过网口连接心跳线,用于监听对方机 器是否处于正常工作状态。
• 证书模板的作用是根据证书应用需 要,规范和定制证书内大部分信息, 简化证书签发操作,并支持按证书 模板分类管理证书; • 用户证书签发必须依赖证书模板; • CA系统初始化后会预置一批常用证 书模板,能够满足绝大多数证书应 用;
使用中
未使用
注销
删除
自定义扩展域的作用
• 国家/国际标准表扩展域无法满足应 用要求时,可以使用自定义扩展域 • OID + 编码方式 + VALUE
功能介绍-RA Server
证书管理
• 证书申请、证书下载、证书查询、证书更新 • 证书冻结、证书解冻、证书注销 • 批量申请证书、批量下载证书
用户管理
• 用户组管理 • 添加用户、修改用户、删除用户 • 冻结用户、解冻用户、注销用户
功能介绍-RA Server
模板管理
• 获取已授权模板列表 • 设置审核策略:手动审核、自动审核
功能介绍-RA Server
RA Server的核心作用
• 实现证书申请录入、审核功能 • 管理证书对应的用户信息 • 以用户为中心管理数据
审核员 录入员 制证员
证书管理 用户管理 超级管理 员 系统初始化 系统管理 员 系统配置管理 模板管理 主题规则管理 权限管理
统计业务量 审计管理 员 审计操作日志
V-CTK
V-STK
签名服务器
数字签名客户端
数字签名服务器
CRL/OCSP
数字签名服务器
• 硬件签名服务器 • 服务器接口(V-STK):C版/COM版/JAVA版
数字签名客户端
• 客户端接口(V-CTK): COM版/JAVA版
产品概述-应用价值
完整性 数字签名:如果签名验证失败,说明数据的完整性 遭到了破坏 数字签名:接收者能验证签名,而任何其他人都不 能伪造签名 数字签名:签名者事后不能否认自己的签名
身份认证
不可抵赖
机密性
数字信封:使用两层加密来获得公开密钥技术的灵 活性和秘密密钥技术高效性
功能介绍-数字签名服务器
制作数字签名,支持数据原文、 文件制作数字签名,签名结构符合 P7标准。 验证数字签名,支持验证标准的 P7签名结果,验证签名过程中,对 制作签名证书进行完整验证,包括 信任域、有效期、证书状态。
JIT SRQ05 -吉大正元电子证书认证系统 服务器
JIT SRQ05 CA Server -签发管理系统 JIT SRQ05 KM Server-密钥管理中心 JIT SRQ05 RA Server-注册管理系统 JIT SRQ05 OCSP Server -在线证书查询系统
• CA签发管理系统(CA Server) • RA注册管理系统(RA Server) • KM密钥管理中心(KM Server) • OCSP在线证书状态查询系统(OCSP Server) 其中CA Server为产品的核心,其他组件围绕认证中心提供更 完善的安全解决方案。
功能介绍-系统结构
功能介绍-系统组成
JIT UMS
统一用户管理系统
安 全 硬 件 产 SZD34 品 智能
密码 钥匙
安全 技术 基础 设施
KMC Server OCSP Server OCSP Toolkit 时间戳 密钥管理中心 在线证书状态查询 OCSP开发工具包
SJY-76 证书 服务器 密码机
PKI/PMI
产品体系-- 产品荣誉
吉大正元信息技术股份有限公司 产品简介
内容提要
产品体系介绍
产品介绍
产品体系--产品定位
基于PKI/PMI技术 解决 认证、授权、管理、内容保护等 应用安全问题
产品体系--产品设计理念
安全为应用服务,安全为管理服务
安全性与可用性、易用性结合 两个基础设施、一个平台,提供五个统一服务
• 两个基础设施:安全技术基础设施、安全管理基础设施
• 一个平台:应用安全支撑平台 • 五个统一服务:即统一的用户管理服务、统一的身份认 证服务、统一的授权服务、统一访问控制服务、统一的 安全审计服务。 保护原有用户投资、尽量避免调整应用
吉大正元产品体系介绍
安全 应用 应用 安全 支撑 平台 安全 管理 设施
功能介绍-OCSP Server
OCSP核心功能
• 提供在线证书状态查询服务 • 支持对多CA提供证书状态查询服务
系统初始化 系统管理 员 系统配置管理
OCSP标识证书状态
• 有效 Using • 注销 Revoked • 未知 Unknown
功能介绍-开发用API
RA Toolkit
产品定义
• 吉大正元数字签名服务器是基于数字证书和PKI技术自主研制的硬件 安全产品,提供数字签名和数字信封服务,满足用户在网络交易中行 为不可抵赖,信息完整性、私密性等需求。
解决问题
• 行为可追述,不可抵赖 • 数据防篡改 • 数据保密
产品概述-产品形态
IE 浏览器
V-CTK
应用服务端
应用客户端
功能介绍-特色功能
数字签名: • 事后验证:使用证书进行完整数字签名,签名结果中包含签名时的 全部证书状态信息,接收者可在生成后的任意时间验证,而其他任 何人都不能伪造。 • 监控功能:安全管理员可以对签名、验签业务进行实时的监控和统 计。 • 业务日志管理功能:内嵌数据库,安全管理员可以设置、查看日志 信息及状态。 数字信封: • 双证书体系:签名证书与加密证书完全独立,保障系统应用的安全 • 监控功能:安全管理员可以对加密、解密业务进行实时的监控和统 计。
• 连接CA,实现证书管理功能
OCSP Toolkit
• 连接OCSP,实现证书状态查询功能
提要
数字签名服务器产品
产品概述-产品背景
研制背景
• 需求:电子交易和网络业务,如何保证业务行为、时间不可否认和数 据安全 • 技术:PKI技术和数字证书应用,提供了技术保障和解决方案 • 保障:随着电子签名法颁布(2005年4月1日),电子签名具有法律 效力 • 历程:2004年研制,2006年推出硬件产品 2010年5月31日发布吉大正元数字签名服务器2.0.23
• • • 备用密钥库 在用密钥库 归档密钥库
注销
功能介绍-KM Server
机构管理
• 使用CA“通信证书”作为就证书注册 • 可限制CA机构能够提取的密钥类型和密钥数量
权限管理
• 超级管理员只能完成授权业务管理员操作 • 其他所有业务管理由业务管理员完成
审计管理
• 统计业务量 • 审计操作日志
电子文档管理系统 JIT DS 桌面安全系统 电子公文安全传输系统 终端安全、文档安全、办公安全 通用办公资源与业务管理系统 JIT 电子签章系统 JIT Galaxy 银河目录服务器
JIT SmartOffice
JIT 身份 认证 网关
身份验证系统
身份验证、单点登录、数据保密、
行为可控、可查 JIT Cinas
数字签名系统
JIT AQS 统一审计监控系统 统一管理用户身份、账号、属性
JIT CSS 签名 服务 器
审计和监控相关行为内容
JIT SRQ05 数字证书认证系统 JIT PMS 授权管理系统 PMS TSA 证书、权限管理 授权管理系统 数字 RA Toolkit RA开发工具包 AA 属性证书系统 CA Server 签发系统 RA Server 注册审核系统
业务管理员
密钥管理 机构管理 超级管理 员 权限管理
系统初始化 系统管理 员 系统配置管理
统计业务量 审计管理 员 审计操作日志
功能介绍-KM Server
Βιβλιοθήκη Baidu 密钥管理
• • • • • • 定时产生密钥 即时产生密钥 备用密钥统计 在用密钥查询 司法取证 密钥归档
冻结
未使用
使用中
停用
同一机构下同一序列号的证书 只能申请使用一对密钥 “三库”要求
• 目录服务器 • Ukey • 加密机
提要
CA产品
产品概述-产品介绍
JIT SRQ05电子证书认证系统是在吉大正元原有产 品基础上,结合国内外同类产品的特点研制而成。 是用于数字证书的申请、审核、签发、注销、更新、 查询的综合管理系统。
JIT SRQ05电子证书认证系统由以下几个核心组件 组成:
主题规则管理
• 规范证书主题格式 • 定制用户信息与证书主题的对应关系 • 主题规则与证书模板绑定
权限管理
• 录入员 • 审核员 • 制证员
功能介绍-RA Server
用户自主服务
• • • • • • 自主下载证书 自主更新证书 下载根证书 下载CRL 可灵活控制的自主服务模式 可扩展的用户身份验证模式
管理员对各实体(用户、设备等)进行统一管理
系统实体之间建立可信、可控、可审计、可追查机制 业务应用和安全措施能独立运行、方便各自管理 应用与安全的集成简单而便捷 提升用户对信息系统的使用体验
产品介绍
CA产品(SQR05) 统一用户管理系统(UMS) 授权管理系统(PMS) 应用安全支撑系统(CINAS) 综合审计系统(AQS) 终端安全系统 文件传输系统 其他产品
开发用API
JIT RA Toolkit JIT OCSP Toolkit
功能介绍-CA Server
CA Server的核心作用
• 签发、管理证书和CRL • 以证书为中心管理数据
业务管理员
证书管理 模板管理 超级管理 员 自定义扩展域管理 权限管理
系统初始化 系统管理 员 系统配置管理
统计业务量 审计管理 员 审计操作日志
功能介绍-CA Server
证书管理基本功能
• • • • • • • • 证书申请 证书下载 证书更新 证书注销 证书冻结 证书解冻 证书查询 证书归档
使用中
未下载
冻结
注销
同一模板下状态为“使用中” 的证书(DN)必须唯一
未下载 注销
功能介绍-CA Server
《SRQ05电子证书认证系统》 • 完全自主知识产权 • 第一个通过国家级鉴定 • 国家重点新产品 • 该领域内国家最高科技奖--科技进步一 等奖 《应用安全支撑平台》 • 第十界中国国际软件博览会金奖 《SmartOffice政府资源管理系统》 • 全国政务优秀软件(国务院办公厅)
产品体系--产品对用户的价值
功能介绍-CA Server
权限管理
• 本系统管理员证书模板 • 证书管理授权:模板名称 + BaseDN
审计管理
• 统计签发证书数量 • 审计操作日志
功能介绍-KM Server
KM Server的核心作用
• • • • 为CA提供加密密钥 管理加密密钥生命周期 以密钥为中心管理数据 支持为多CA提供密钥服务
验证签名
发送数据 发送数据 解密信封 证书状 态检索
用户
CRL/OCSP
数字签名服务器
制作数字信封,支持数据原文、 文件制作数字信封,信封结构符合 P7标准。 验证数字信封,支持验证标准 的P7信封结果,验证信封过程中, 对制作信封的证书进行完整验证, 包括信任域、有效期、证书状态。
通过WEB方式 管理服务器
功能介绍-数字签名客户端
数字签名 数字签名客户端支持对数据、文件制作数字签名,签名结构符合 PKCS#7标准;支持验证符合PKCS#7标准的签名结果。 数字信封 数字签名客户端支持对数据、文件制作数字信封,信封结构符合 PKCS#7标准;支持解密符合PKCS#7标准的信封结果。 证书扩展 证书作为用户身份标识,其中可以记载很多用户信息,如姓名、联 系方式、工作单位、职务等等,也可以在CA机构定义扩展信息。数 字签名客户端支持获取证书标准信息及其扩展信息,供应用系统使用。
证书存储
私钥存储
管理员
功能介绍-数字签名服务器
数字签名 数字签名服务器支持对数据、文件制作数字签名,签名结构符合 PKCS#7标准;支持验证符合PKCS#7标准的签名结果。 数字签名服务器支持对数据制作数字签名,签名结构符合PKCS#1标 准;支持验证符合PKCS#1标准的签名结果。 数字信封 数字签名服务器支持对数据、文件制作数字信封,信封结构符合 PKCS#7标准;支持解密符合PKCS#7标准的信封结果。 证书验证 数字签名服务器支持对签名、加密证书进行全面验证。包括信任域、 有效期和证书状态。 交叉验证 数字签名服务器支持配置多信任CA签发的根证书,可验证不同CA 机构签发的符合PKCS#7标准的签名、信封结果。 双机热备 数字签名服务器内置双机热备系统,采用主备机模式,主机(处于 工作状态的机器)与备机之间通过网口连接心跳线,用于监听对方机 器是否处于正常工作状态。