时代亿信证书管理系统白皮书

时代亿信证书管理系统
1. 应用背景
近年来，计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高，互联网上信息的交互必然存在风险，黑客、病毒、木马程序、“网络钓鱼”频频得逞。

而这些受到威胁的网站或遭受损失的用户，除自身的安全防范意识薄弱造成安全隐患外，最重要的一点就是都没有使用互联网上信息安全保障措施----基于PKI技术的CA服务系统。

时代亿信ETCA数字证书管理系统是公司在充分研究国内CA应用现状，结合PKI实际应用需求的基础上，独立研发的一套CA产品。

2. PKI技术介绍
PKI公钥体系采用数字证书的方式管理公钥，通过第三方可信任机构－证书机构把用户的公钥和用户的其他标识信息（如名称、身份证号码、e-mail地址等）捆绑在一起，实现在网络虚拟空间对用户身份的可信管理。

通过采用PKI公钥体系实现对密钥的管理，可以建立一个安全可信的网络环境，实现针对用户身份的鉴别，满足对信息的保密性、完整性、不可抵赖性保护的需求。

PKI公钥体系采用数字证书的方式管理公钥，通过第三方可信任机构－CA认证机构来管理证书，CA认证机构的作用类似于国家的护照签发中心。

护照是由权威中心（护照签发中心）颁发的一种安全文件，它是护照持有者的一种纸质身份证明，任何信任该国护照签发中心的其他国家也会信任该国护照签发中心所签发的护照。

数字证书是由权威中心(CA认证机构)签发的一种电子安全文件，它是数字证书持有者的一种电子版身份证明，任何信任该CA 中心的所有用户也会信任该CA中心所签发的数字证书，进而确定证书持有者在网络虚拟空间中的身份。

CA认证机构的职责归纳如下：
✓验证并标识证书申请者的身份
✓确保CA用于签发证书的非对称密钥的质量
✓确保整个签证过程的安全性，确保签名私钥的安全性
✓证书资料的管理（包括公钥证书序列号、CA标识等）的管理
✓确定并验证证书的有效期限
✓确保证书主体标识的唯一性
✓发布并维护证书注销列表（CRL）
✓对整个证书签发过程作日志纪录
✓向申请人发出通知
✓为用户签发数字证书
数字证书是一种数字标识，如同我们的身份证一样，是网络上的身份证明，它是由证书认证机构（CA）签名颁发的数字文件，该签名使得第三者不能伪造和篡改证书。

ITU-T的X.509国际标准定义了数字证书的格式，目前X.509v3数字证书的主要内容，如图所示，主要包括证书的版本号、证书的序列号、证书的有效起止日期、证书颁发者的名字和唯一标识符、证书持有者的名字和唯一标识符、证书持有者的公钥、证书扩展项以及证书颁发者的签名。

其中，证书扩展项可以根据证书的不同应用而由证书的颁发者具体定义，因而具有较强的通用性和灵活性。

由于数字证书是由相对权威的授权机构审核颁发的，因此，一方面可以用来向系统或者系统的其他实体证明自己的身份；另一方面，由于证书携带着其持有者的公钥，也起着公钥分发的作用。

证书版本号
证书序列号
有效起始日期
有效终止日期
证书颁发者名
颁发者唯一ID
证书持有者名
持有者唯一ID
持有者公钥
扩展
颁发者签名
图 X.509v3数字证书的主要格式
3. 产品概述
时代亿信公司以用户的需求为导向,以雄厚的研发能力为基础,深入吸收国际、国内的先进技术、结合多个项目的实施经验，研制开发了ETCA数字证书管理系统。

ETCA支持通过挂接密钥管理中心（KMC）来管理用户加密密钥，从而提高了用户加密密钥的安全性和可恢复性。

通过支持证书模板，提高了签发各类型证书的灵活性。

此外ETCA还支持在线证书状态查询，支持硬件加密设备和多种数据库平台。

ETCA数字证书认证系统产品组件配置灵活，可以根据用户的不同需求进行选择性配置，为用户量身打造一套安全、稳定、实用、快捷的数字证书管理平台。

ETCA是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统，颁发的数字证书格式严格遵循X.509v3规范，具有广泛适用性和良好的扩展性。

通过部署该系统，可以搭建出符合政府、行业、第三方、企业需求的认证中心。

通过使用ETCA发行的数字证书可以为用户提供信息安全的全面服务：
✓保密性—保证信息是秘密的
✓完整性—能检验信息未被篡改
✓身份鉴别—检验个人或机构的身份
✓不可否定性—确保信息或操作不能被否认
ETCA应用国际先进技术，采用高强度的加密算法、高可靠性的安全机制及完善的管理及配置策略来保障整个系统的安全、可靠的运行。

4. 产品组成
时代亿信ETCA 数字证书管理系统由以下几个核心组件组成：
✓认证中心（CAServer）
✓注册中心（RAServer）
✓密钥管理中心（KMServer）
✓在线证书状态查询服务（OCSPServer）
其中认证中心为产品的核心，其他组件围绕认证中心提供更完善的安全解决方案。

RA Server 管理员（浏览器）
系统管理，业务管
理，审计管理
数据库CA Server
数据库LDAP
KMC Server 管理员（浏览器）系统管理，业务管理，审计管理
管理员（浏览器）系统管理，业务管
理，审计管理
数据库RAToolkit
OCSP Server 证书应用
（证书状态查询）
OCSP
Toolkit
图 系统逻辑结构
✓ 认证中心（CAServer ）
ETCA 的核心，负责数字证书、证书注销列表的管理。

✓ 注册中心（RAServer ）
接收并审核用户的申请信息，审核完毕后提交CAServer ；接收CAServer 的返回信息并通知用户。

RA Toolkit ：作为RAServer 的开发工具包向外提供，允许用户根据业务系统的需要把证书业务功能集成到业务系统中，实现证书功能和业务系统的无缝集成。

✓ 密钥管理中心（KMServer ）
负责用户加密密钥的生成、存储、归档、备份和恢复等管理功能，为CAServer 签发加密数字证书提供所需密钥。

✓ 在线证书状态查询服务（OCSPServer ）
ETCA 提供在线证书状态查询服务，用户可以实时查询指定证书的状态信息。

OCSP Toolkit ：作为开发工具包向外提供，用户使用此OCSP Toolkit 与OCSP Server 建立连接，提交证书查询请求并接收解析响应结果。

5. 技术特点
5.1 丰富完备的功能
✓丰富的证书业务功能
✓基于角色的授权管理
✓支持多级CA
✓强大的证书模板功能
✓所见即所得的自定义功能（自定义证书模板&自定义证书扩展域）
✓支持汉字证书
✓支持签发微软智能卡登录(Smartcard Logon)证书
✓支持交叉认证
✓支持KMC（密钥管理中心）
✓支持OCSP（在线证书状态查询）
✓支持可替换的加密模块
✓以用户为中心的证书管理模式
5.2 部署灵活、操作简单
系统的设计采用B/S模式，安装部署工作只需要在服务端进行，部署工作方便灵活，客户端无需安装任何客户端软件，完全基于浏览器即可完成所有的管理操作，管理终端与服务器之间采用高强度SSL安全连接，采用数字证书对用户的身份实现管理。

另外系统可以根据实际的具体情况来选择对应的组合方式进行部署，比如：CA、CA+RA、CA+KMC、CA+KMC+RA+OCSP等。

5.3 完全基于PKI标准
ETCA系统完全遵循PKI及相关标准，这样有利于与其它厂商的产品实现互连，增大证书的适用范围。

该系统支持的技术标注列表如下：
ETCA产品支持的标准
类别标准标准内容
1、密码算法和标准加密SSF33分组密码算法
数字签名RSA 数字签名，符合PKCS#1 V2.0
DSA，符合数字签名标准、美国 FIPS PUB 186 和
ANSIX9.30 （第一部分）
散列函数SHA－1，符合美国 FIPS PUB 180－1 和 ANSI
X9.30（第二部分）
MD5 报文摘要算法，符合因特网 RFC 1321
密钥管理RSA 密钥传输符合因特网RFC 1421 和 1423 (PEM)
和 PKCS#1 V2.0
伪随机数生成符合 ANSIX9.1
对称技术的完整性报文验证码 (MAC)，符合美国 FIPSPUB 113、
ANSIX9.9 和 X9.19
伪随机数生成符合 ANSIX9.17
2、数据格式和协议证书和证书注销列
表格式第3版证书和证书扩展，符合 ITU－Trec.X.509 (1997) 和公用标准 ISO/IEC 9594-8 (1997)
证书注销表和证书注销表扩展，符合 IETF PKIX －1概况表技术规范
证书注销表和证书注销表扩展，符合 IETF PKIX －1概况表技术规范
RSA 算法标识符和公开密钥格式，符合PEM 和PKCS #1 V2.0
文件包封格式基于因特网 RFC 1421 (PEM) 的标准文件包封格式
安全文件包封技术，符合 PKCS#7和S/MIME
目录协议轻量目录存取协议 (LDAP)，符合 RFC 1777
PKI 操作协议符合 PKIX－2
图技术标准表
5.4 系统平台的高安全性
通讯安全
系统采用高强度的SSL标准安全通信协议。

✓数据安全
数据库、配置文件中的敏感数据采用加密方式保存；提供完备的数据备份及恢复的手段。

✓人员安全
采用基于数字证书的身份验证机制，管理员使用X.509证书进行登录管理、管理员的管理权限与其证书进行绑定。

分布式权限管理，管理员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。

✓完善的审计手段
系统提供对所有业务情况的详尽记录和查询手段。

5.5 稳定的性能保证系统的高可用性
✓高性能
整个系统采用先进的设计架构，整个系统的性能十分优异，经过测试，在普通硬件平台上系统单机的并发请求处理能力达到300以上，在300并发压力的情况下，处理能力能保持在每秒签发70张以上的证书，并保持100％的成功率。

✓高可用性
系统所有组件（CA、KMC、RA、OCSP）均支持集群部署和负载均衡技术，在正常运行的情况下，可以通过增加负载均衡的服务器，平滑扩展性能。

5.6 广泛的平台兼容性
✓灵活可配置的密码模块
提供对加密机、加密卡、智能卡、USB等多种加密设备的支持。

✓支持多种数据库产品
系统数据中心模块采用基于JDBC标准的数据操作服务，可挂接不同的数据库产品，包括Oracle、SQL Server、DB2等数据库产品。

✓支持多种目录服务产品
系统支持基于LDAPv3标准协议的目录服务，符合此标准的目录服务产品均可直接挂接到系统中。

✓支持多种操作系统平台
ETCA可以支持多种操作系统，包括Windows，Linux，AIX，Solaris，HP_UX。

5.7 系统架构的可扩展性
作为实现用户身份可信管理的支撑平台，PKI系统必须具有良好的扩展性，能够满足不断呈现的各类需求，实现与各类应用系统的整合和扩展。

ETCA在设计时充分考虑了系统的扩展性，系统的扩展性主要表现如下：
✓模块化设计
系统采用分布式、可拆装的系统模块化设计，可替换、可重组的系统构架，支持与其它应用系统互操作。

所有系统中只有核心服务器承担着真正的运行与管理任务，其它模块可随组织的发展需要逐步挂接到系统中。

通过提供API接口的手段为用户提供二次开发能力。

✓支持多级CA及交叉认证
可根据需要建立无限制多级的CA，并通过交叉认证实现和其他CA系统之间的互联互通。

✓支持用户自定义项目
CA Server系统内置有十几种标准证书模板及标准证书扩展域，能够满足大多数的证书签发需求。

系统同时支持自定义证书模板和自定义扩展域，可以满足不同应用的特殊需求，用户可以定制出符合自己实际需求的证书签发模板。

5.8 良好的易用性与安全清晰的管理模式
客户端基于浏览器进行访问，通过简单的点击即可完成一次业务操作，页面内容清晰简洁，操作人员易于使用。

系统采用安全清晰的管理模式：
✓基于角色进行管理权限的定制和分配
✓管理权限与管理员证书进行绑定，通过证书验证管理员身份
✓各产品组件采用风格统一的管理界面和流程能显著降低管理负担
5.9 应用平台的开放性
在设计和开发过程中完全遵循国际开放标准，可很方便地与第三方产品进行集成、与其它系统互操作。

对外提供RAToolkit和OCSPToolkit等应用开发API，用户可以使用这些API
进行二次开发，分别实现与CAServer和OCSPServer的通信，将用户需要的证书业务嵌入已有的应用系统中。