数字签名服务器-产品白皮书

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

数字签名服务器财政行业版产品白皮书
Version
有意见请寄
中国·北京市海淀区知春路113号银网中心B座12层
电话:86-0 传真:86-0
吉大正元信息技术股份有限公司
目录
1前言............................................................................................................. 错误!未定义书签。

背景概述 .................................................................................................. 错误!未定义书签。

术语和缩略语 .......................................................................................... 错误!未定义书签。

2产品概述 ..................................................................................................... 错误!未定义书签。

产品简介 .................................................................................................. 错误!未定义书签。

产品结构 .................................................................................................. 错误!未定义书签。

部署结构 .................................................................................................. 错误!未定义书签。

用户签名 .......................................................................................... 错误!未定义书签。

系统结构 .......................................................................................... 错误!未定义书签。

3功能特点 ..................................................................................................... 错误!未定义书签。

产品功能 .................................................................................................. 错误!未定义书签。

数字签名服务器 .............................................................................. 错误!未定义书签。

数字签名客户端 .............................................................................. 错误!未定义书签。

产品特点 .................................................................................................. 错误!未定义书签。

标准化设计 ...................................................................................... 错误!未定义书签。

易用性设计 ...................................................................................... 错误!未定义书签。

安全性设计 ...................................................................................... 错误!未定义书签。

高可靠性设计 .................................................................................. 错误!未定义书签。

4产品特性 ..................................................................................................... 错误!未定义书签。

5典型客户 ..................................................................................................... 错误!未定义书签。

6联系方式 ..................................................................................................... 错误!未定义书签。

1前言
1.1背景概述
随着中国信息化建设的逐步深入,特别是电子商务、电子政务的普及,信息安全越发显得重要。

而互联网的虚拟性和匿名性,让信息安全问题日益加剧。

信息安全主要包括防止信息窃听、篡改、伪装等,确保电子信息的完整性、可用性,交易双方身份的确定性,交易行为的不可抵赖性等。

2005年4月1日,我国正式颁布实施《中华人民共和国电子签名法》(以下简称《电子签名法》)。

它的出台为我国电子商务、电子政务的发展提供了基本的法律保障,它解决了电子签名的法律效力这一基本问题,并对认证机构、电子签名的安全性、签名人的行为规范、电子交易中的纠纷认定等一系列问题做出了明确的规定。

数字签名是电子签名的一种特定形式,《电子签名法》中规定的“可靠电子签名”和“高级电子签名”实际上就是规定的数字签名的功能,这种规定使数字签名获得了更好的应用安全性和可操作性。

吉大正元数字签名服务器正是一款以《电子签名法》为指导,以数字证书技术为核心的具有全部自主知识产权的产品,对外提供数字签名和数字信封功能。

其主要应用领域包括企业信息系统、网上政府采购、金融、财会、保险行业、食品、医药、教育、科学研究以及文件管理等方面,尤其突出的是在金融行业中的应用。

目前国内的网上银行业务基本上都采用了数字签名技术。

通过数字签名,银行可以很好的审核网银用户身份的真实性,保证网银业务数据交易的完整性和不可否认性。

总之,数字签名服务器在保障电子商务、电子政务信息安全,提供公正、可信认证服务上正发挥着重要作用。

1.2术语和缩略语
术语
名词解释
数字签名采用PKI技术,先对原文信息进行摘要(Hash),然后通过私钥进行签名处理,生成签名信息,签名信息只有私钥才能产生,签名过程不可逆,通过数字签名,可以保证明文数据的完整性和不可抵赖性
数字信封结合加密技术和数字签名技术,把明文信息进行加密打包,生成的信息中包含被加密保护的明文信息和数字签名信息,形如一个信封,称为数字信封。

通过数字信封,可以在开放的网络环境中进行数据的安全存储,既保证数据的安全性,又保证数据的完整性和准确性
不可抵赖性
是指对行为的确认,确定行为必须是某人或某机构所为,不能否认,数
字签名通过非对称密码技术和PKI管理体制保证不可抵赖实现
数据完整性表明数据没有遭受以非授权方式所作的篡改或破坏
轻量级目录访问协议LDAP,即Lightweight Directory Access Protocol的缩写,是一种较为简单的轻量级目录访问协议。

随着互联网成为网络的主流,LDAP也成为一个具备目录的大部分服务的协议。

证书标准国际电话与电报咨询委员会(CCITT)规定的一种行业标准。

在这个标准中提供了一个数字证书的标准格式,规定数字证书必须包含的一些信息:如版本号、序列号、签名算法、有效期限等
缩略语
缩略语英文中文
CA Certificate Authority
数字证书中心。

作为权威的第
三方负责发放数字证书CRL Certificate Revoke List 证书吊销列表
LDAP Lightweight Directory Access Protocol轻量级目录访问协议OCSP Online Certificate Status Protocol 在线证书状态协议
PKI Public Key Infrastructure公钥基础设施
2产品概述
2.1产品简介
吉大正元数字签名服务器是一套基于开放的公钥密码标准(PKCS)开发,提供数字签名、数字信封等服务的硬件安全产品,满足用户在网络交易中行为不可抵赖,信息完整性、私密性等需求。

2.2产品结构
吉大正元数字签名服务器由数字签名服务器和数字签名客户端组成,均可独立提供数字签名、数字信封等服务。

图2-1 吉大正元数字签名服务器体系架构
数字签名服务器包括签名服务器和服务器接口(V-STK):对外提供服务时,应用数据通过V-STK传入签名服务器,处理后再经由V-STK传出供应用系统获取;管理员可通过WEB方式登陆控制台,对证书及其相关参数进行配置,以提高服务管理效率。

V-STK提供Java接口、COM接口、C接口,方便用户应用系统的调用。

数字签名客户端为独立运行的组件(V-CTK):对外提供服务时,应用系统通过V- CTK提供的接口函数将数据传入,处理后再经由接口函数传出。

V-CTK支持标准CSP技术,支持标准软证书、硬证书。

有ActiveX控件开发包、Jar包、DLL链接库等多种方式,供用户选择。

2.3部署结构
2.3.1用户签名
用户(使用数字证书)
图2-2 数字签名服务器用户签名部署结构图
吉大正元数字签名服务器支持嵌入B/S或C/S系统中,应用系统客户端调用数字签名客户端,保证了用户作为单一个体,身份的正确性和不可否认性。

应用系统服务器端调用数字签名服务器的服务器接口,充分发挥了数字签名服务器证书验证的功能优势和并发处理的性能优势。

2.3.2系统结构
图2-3 数字签名服务器系统签名部署结构图
吉大正元数字签名服务器在系统间的数据传输上发挥着重要的作用,应用系
统调用数字签名服务器的服务器接口,保证了作为应用系统唯一标识的身份正确性和不可否认性,同时充分发挥了数字签名服务器并发处理的性能优势,保证了应用的顺利、稳定运行。

3功能特点
3.1产品功能
3.1.1数字签名服务器
3.1.1.1数字签名
数字签名服务器支持对数据、文件制作数字签名,签名结构符合PKCS#7标准;支持验证符合PKCS#7标准的签名结果。

数字签名服务器支持对数据制作数字签名,签名结构符合PKCS#1标准;支持通过证书导入、证书配置方式验证符合PKCS#1标准的签名结果。

-身份验证
使用证书进行数字签名,接收者可验证签名,而其他任何人都不能伪造签名。

-事后验证
使用证书进行完整数字签名,签名结果中包含签名时的全部证书状态信
息,接收者可在生成后的任意时间验证,而其他任何人都不能伪造。

-数据完整性
对重要数据、文件制作数字签名,如果验证签名失败,说明数据的完整性遭到破坏。

-行为抗抵赖
对操作行为(数据形式)制作数字签名,签名者事后不能否认自己的签名。

3.1.1.2数字信封
数字签名服务器支持对数据、文件制作数字信封,信封结构符合PKCS#7标准;支持解密符合PKCS#7标准的信封结果。

-数据私密性
对重要数据、文件制作数字信封,通过双层加密技术来保障数据的私密性。

3.1.1.3证书验证
数字签名服务器支持对签名、加密证书进行全面验证。

可根据配置不同CA 签发的根证书,验证证书的信任域;根据系统时间,验证证书的有效期;根据CRL或OCSP验证证书状态。

证书状态验证方式包括,标准OCSP协议验证证书,连接LDAP服务器更新CRL验证,连接WEB服务器更新CRL验证。

3.1.1.4交叉验证
通过数字签名服务器制作的数字签名、数字信封,结构严格遵循PKCS#7标准,可供其他CA机构验证。

数字签名服务器支持配置多信任CA签发的根证书,可验证不同CA机构签发的符合PKCS#7标准的签名、信封结果。

3.1.1.5双机热备
数字签名服务器内置双机热备系统,采用主备机模式,主机(处于工作状态的机器)与备机之间通过网口连接心跳线,用于监听对方机器是否处于正常工作状态,当备机发现工作机停止工作时,通过自己的双机功能将主机的服务切换到备机,由备机继续提供服务。

当主机恢复正常后,服务自动切回到主机。

双机热备功能用于解决数字签名服务器的单点故障问题,为应用系统提供更可靠的签名、信封等服务。

3.1.1.6配置管理
数字签名服务器支持串口管理、WEB管理两种方式。

串口管理采用命令行管理模式,管理员通过串口线登录到数字签名服务器,通过命令行交互界面执行相关的命令。

WEB管理是指管理员通过浏览器登录到数字签名服务器,通过管理界面进行相关配置工作。

3.1.2数字签名客户端
3.1.2.1数字签名
数字签名客户端支持对数据、文件制作数字签名,签名结构符合PKCS#7标准;支持验证符合PKCS#7标准的签名结果。

3.1.2.2数字信封
数字签名客户端支持对数据、文件制作数字信封,信封结构符合PKCS#7标准;支持解密符合PKCS#7标准的信封结果。

3.1.2.3证书扩展
证书作为用户身份标识,其中可以记载很多用户信息,如姓名、联系方式、工作单位、职务等等,也可以在CA机构定义扩展信息。

数字签名客户端支持获取证书标准信息及其扩展信息,供应用系统使用。

3.2产品特点
3.2.1标准化设计
吉大正元数字签名服务器的设计、开发严格遵循《中华人民共和国电子签名法》,对外提供的数字签名、数字信封服务,结构符合PKCS#7标准。

同时支持多家CA机构证书,证书符合X509 v3标准。

客户端支持CSP标准的硬件产品。

3.2.2易用性设计
吉大正元数字签名服务器支持多样的数据传入方式,可直接传入数据或传入数据存储的路径;支持多平台、多开发语言调用:提供JAVA、COM、C等多种类型的接口函数。

3.2.3安全性设计
基于高强度的双向身份认证,确保了管理者的合法身份。

专为数字签名服务器剪裁的操作系统,封闭了管理端口和业务端口以外的所有端口,加强了产品的抗攻击性。

3.2.4高可靠性设计
吉大正元数字签名服务器支持双机热备功能,避免单机故障;支持联合当今市场主流负载均衡设备,满足大压力、大并发下确保产品稳定性的需求。

4产品特性
吉大正元数字签名服务器采用专用网络硬件设备生产,产品配置如下:
0 C--45 C
5 --95 RH,不凝结
图表4-1 数字签名服务器配置表
5典型客户
中国人民银行
财政部
中国银行
国家投资中心
中国电子科技集团
中国移动浙江公司
解放军报社
6联系方式
北京公司:
地址:北京市海淀区知春路113号银网中心B座12层
邮编:100086
电话:0
传真:0
长春公司:
地址:吉林省长春市前进大街2266号
邮编:130012
电话:3
传真:6
华南公司:
地址:深圳市南山区科技园高新南一道中国科技开发院孵化楼905邮编:518057
电话:1
传真:1
华中公司:
地址:武汉市建设大道538号同城广场A栋4单元2301室
邮编:430015
电话:
传真:
西南公司:
地址:成都市红星路肆段9号建银大厦2-14-6
邮编:610041
电话:
传真:
西北公司:
地址:西安市南二环西段202号九座花园2402室
邮编:710068
电话:
传真:
Copyright@2008吉大正元信息技术股份有限公司版权所有
非经本公司书面许可,任何单位与个人不得擅自摘抄、复制本文档的部分或全部内容,并不得以任何形式传播本手册以提供信息为目的,所含信息可随时更改,恕不另行通知。

相关文档
最新文档