卫士通证书密钥管理系统技术白皮书

卫士通证书密钥管理系统技术白皮书

公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]

证书及密钥管理系统技术白皮书

Westone Host Security Module Serial White Paper

卫士通信息产业股份有限公司

Westone Information Industry Inc.

目录

前言

随着信息保障要求的不断提高，我们迫切需要一种能产生高质量随机数的发生设备。众所周知，密钥、密表的随机质量直接影响加密结果的安全性，而随机数作为密钥、密表的原始素材也就显得尤为重要。为此，卫士通信息产业股份有限公司于2003年研制成功了证书及密钥管理系统。

目前，许多银行、企事业单位安全系统已经不止一种安全产品应用于系统中。为各种安全产品分发密钥时，密钥的载体不相同（常用的存储密钥设备有存储卡、USBkey、智能IC卡）；由于原有运行在PC机上的软件系统功能比较单一，一般是一种安全产品对应一套分发密钥的软件系统（发卡系统），这些已经越来越不适应发展的需要。为此，将不同设备分发密钥的软件系统制作成COM控件模块挂接到证书及密钥管理系统中，这样将大大提高设备本身的扩展性能和灵活性。

1产品概述

1.1产品简介

证书密钥管理系统（Manage System of Certificate & Key, 简称 MSCK）是卫士通信息产业股份有限公司自主研制的证书/密钥管理工具。该设备具有标准化、高安全、高可靠、高扩展性四大特性，其主要目是产生和分发密钥，及对用户信息和密钥进行管理，是专业的各类安全应用系统的密钥管理解决方案。

1.2产品组成

1.证书及密钥管理系统1台

2.智能IC卡4张

3.用户手册 1本

4.产品合格证1份

5.装箱清单 1份

1.3产品功能

证书及密钥管理系统主要功能如下：

系统管理

系统管理是MSCK的系统管理核心，包括系统用户和系统维护两大部分。系统用户是系统的管理者，负责和维护整个系统的正常运行。权限控制是主管对操

作员执行权限的控制。系统维护包括系统配置（系统备份和恢复）和日志管理

（登录日志和操作日志）两部分。

证书管理

证书管理是MSCK的证书管理核心，包括用户注册、注册审核、颁发证书、注销证书、证书发布和黑表发布六大部分。

密钥管理

密钥管理是MSCK的密钥管理核心，包括系统密钥和用户密钥两大部分。系统密钥包括主密钥、域密钥、主算法密表、主算法代码和保护算法密表。用户密

钥包括本地主密钥、RSA密钥对和保护算法密钥。

IC卡管理

IC卡管理是MSCK的IC卡管理核心，包括系统IC卡和设备IC两部分。系统IC卡是管理系统IC卡的核心。设备IC卡是管理发行密钥载体的核心部分。

1.4技术指标

随机数检验：5项检验（频数检验、序列检验、自相关检验、扑克检验和游

程检验）；

RSA密钥模长：1024bits；

支持对称密钥管理；

支持对密码设备的密钥管理；

支持证书密钥产生、保存、管理；

支持双证书结构，证书格式支持X509V3；

支持Windows域和智能卡登录扩展项；

支持LDAP作为证书和黑表（CRL）的发布服务器；采用LDAP V3协议版本；

系统配置灵活，易改动；

通过扩展支持第三方安全设备（USBKey、标准CSP接口）的密钥分发；

人机界面：符合流行风格，使用方便；

本地保护加密方式：分组加密；密钥长度128bits;

电源：输入电源220V±10％，50HZ±2％；功耗≤100W；

工作环境：工作温度0℃～40℃；工作湿度20%～80%；

机箱结构：标准1U平台，台式和上架兼容。

2技术特点

2.1系统自身

提供强大、完整的数据备份功能，数据备份操作简单，易使用；

提供强大、完整的查询功能，查询操作简单，易使用；

支持远程数据恢复和还原功能；

系统配置灵活，易改动；

系统操作简易、界面友好；

系统支持7×24小时正常运行。

2.2稳定性

证书及密钥管理系统的生产严格按照ISO9001质量管理体系的流程生产、测试、烤机、检验，每一台出厂的机器都经过长达200小时以上的考机和压力测试。

3关键技术/系统优势（与同类竞争产品的比对分析）

3.1基于角色的用户权限管理

系统满足三权分立管理要求，即安全员、审计员和系统管理员，满足保密局测评要求。

系统管理员用户很多，不可能所有用户权限一样。采用基于角色的用户权限划分和管理，从而增强了管理系统的安全性。

3.2COM技术的灵活运用

证书及密钥管理系统，支持安全设备密钥产生、分发功能。采用COM技术定义了一个控件接口，管理系统作为控件的容器而为设备分发密钥功能开发一个符合接口定义的控件，并且将这些控件都实现一个控件类别。解决了系统的不可预知的可扩展功能。

3.3IC卡统一平台技术

证书及密钥管理系统要支持多种安全设备密钥的分发。将国内常见的IC卡和USBKey 的相关操作封装成统一的操作平台，提高了证书及密钥管理系统对IC卡和USBKey的扩展性。

3.4标准化平台技术

证书及密钥管理系统基于平台的体系结构得益于先进性开发设计思想，证书及密钥管理系统采用面向对象的模块化的结构设计，形成证书及密钥管理系统独有的标准化平台，

使得系统的扩充、移植、升级简单易行。

3.5安全保护技术

证书及密钥管理系统采用的防拆、防撬结构设计，利用全密封机壳、物理锁控制开启面板等技术为密钥的管理提供了强有力的保护。

满足随意开关机的要求，可保证在出现意外掉电或人为随意关机的情况时，不会造成系统损坏，甚至崩溃等后果。

3.6数据备份

证书及密钥管理系统提供强大、完整的数据备份功能，数据备份操作简单，易使用。4联系方式

公司总部：

中国·成都高新创业路8号（邮编：610041）

电话：86-、800-8861133

传真：86-

：

北京分公司：

中国·北京西城区宣武门西大街127号大成大厦9层

电话：86-0（9502、8503）

传真：86-0

上海子公司：

中国·上海天目西路547号联通国际大厦2508室

电话：86-

传真：86-

上海卫士通浙江办事处：

电话：86-5

上海卫士通江苏办事处：

电话：86-