深圳CA安全中间件

深圳CA安全中间件

1 PKI安全中间件介绍

SZCA PKI安全中间件是一套基于PKI公钥基础设施技术的中间件，主要用来协助用户保障网络信息的完整性、私密性以及不可否认性。

SZCA PKI安全中间件通过在对于典型的C/S类应用，SZCA PKI安全中间件可以以COM / ActiveX的形式内嵌入应用程序，提供数字签名、数字信封、证书解析等服务。

2 功能介绍

1) 全面支持X509数字证书及PKI公钥体系

2) 轻松实现数字签名、数字信封、数字证书解析等功能

3) 运用COM技术、JavaBean组件、Activex控件，适用于各类型开发语言

4) 支持CSP规范，兼容各类型硬件（USBKEY、加密机等）

5) 有良好的扩展功能，可根据应用需要，定制对应的实现方法。

3 PKI安全中间件架构

数字签名系统由浏览器端和服务器端两部分组成。

浏览器端

采用ActiveX控件，自动下载，无需干预。

服务器端

提供服务器端数字签名认证的API接口。

4 主要功能

PKI安全中间件可在无需外加客户端软件的情况下，同浏览器自身的功能紧密结合，在客户端实现对HTML表单或者文件的数字签名,也提供API作为数字签名开发工具，也可为非Web应用程序提供数字签名。主要有以下功能:

1）数字签名、验证签名

数字签名，就是对一段原文先作Hash摘要，然后使用指定用户证书对应的私钥对其摘要结果进行加密的过程，PKI安全中间件中所产生的签名包是PKCS7SignedData格式的标准签名包。

数字签名包含两种类型,一种叫Attach数字签名,一种叫Detach数字签名,它们的区别在于Attach数字签名结果中将签名的数据包含在其中,Detach数字签名则不包括。

验证签名就是对一段签名结果先使用用户证书的公钥作解密，然后取出解密的结果与签名的原文作的Hash摘要结果进行比较的过程。PKI安全中间件中所进行的验签是对PKCS7SignedData格式的标准签名包进行验签，包含以下的过程：验签、验证书签名、验证书CRL、验证书有效期、验证书证书链。

同样验证签名也包含两种类型,一种叫Attach验证签名,一种叫Detach验证签名, 它们的区别在于Attach验证签名时不需要将签名的原始数据传入，而Detach验证签名需要将签名的原始数据传入，因为在Detach签名结果中不包含原始数据。

2）制作数字信封、解密数字信封

制作数字信封就是对一段原文先作对称密钥加密，然后使用指定用户证书的公钥对其对称密钥结果进行加密的过程。PKI安全中间件中所产生的数字信封包是PKCS7EnvelopedData 格式的标准数字信封包。

解密数字信封就是使用指定的用户证书对应的私钥将一段密文解密得到一个对称密钥，

然后使用该密钥对另一段密文进行对称解密的过程。

3）对单个或者多个原文进行操作

PKI安全中间件可以对单个原文进行签名，加密操作，也可以对多个原文进行签名，加密操作，便于在用户方案中灵活运用。

4）对单个或者多个文件进行操作

PKI安全中间件不但可以对原文数据进行签名，加密操作，也可以对一个文件或是多个文进行签名，加密操作。

5）解析加密、签名证书，获取证书项

在做完签名验证或解密后可以取得证书主题，证书序列号，证书颁发者主题，证书有效期的开始时间，证书有效期的结束时间等

6）支持对原文进行编码、摘要等操作

可以对原文进行Base64编码及hash并Base64编码操作，支持Base64解码

5 技术特点

1）安装简单

对于IE浏览器，客户只需一次下载即可使用，控件下载及注册的整个过程自动完成。

2）安全发布

对于IE浏览器，客户下载的ActiveX控件是经过发布者数字签名。

3）使用方便

对于IE浏览器，控件的认证、下载及注册过程自动完成，无需用户干预。

4）通用性好

客户端支持目前流行的IE浏览器。

服务器端支持MS IIS、Weblogic、Websphere、Netscape 及Apache等通用Web服务器。

服务器端API支持ASP、PHP、C、Java等开发语言。

5）可移植性高

服务器端API提供两种形式的接口：Java类、COM接口。其中Java接口支持Windows 平台、Unix平台和Linux平台，具有良好的跨平台特征。

6）支持标准CSP

客户端支持标准的CSP,可以连接多种USBKey或者智能卡。