数据安全

您当前所在的位置:网站首页 > 安全产品> 终端安全> 安全基础设施>

800-8861133 028-85155264 1389653232

产品名称:电子认证基础设施

  • 产品概述
  • 功能介绍
  • 技术优势
  • 应用部署
  • 案例与资源

      公钥基础设施PKI(Public Key Infrastructure)是利用公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。公钥基础设施能为各种不同安全需求的用户提供各种不同的网上安全服务,主要有身份识别与鉴别(认证)、数据保密性、数据完整性、不可否认性及时间戳服务等。用户利用PKI所提供的这些安全服务进行安全通信,以及不可否认的安全交互活动。无论是国内还是国外,PKI都已得到广泛的应用,如安全电子邮件、Web访问、虚拟专用网络VPN和本地简单登录认证,以及电子商务、电子政务、网上银行和网上证券交易等各种强认证系统都普遍应用了PKI技术。


      电子认证基础设施是我们提供的一套公钥基础设施解决方案,实现了身份认证、数据保护和责任认定等网络信任服务,是维护有关各方在网络中的合法权益、提高网络与信息安全保障能力的重要手段。


      电子认证基础设施不仅能够提供用户注册、审核,密钥产生、分发,证书签发、制证及发布等基本功能,还能为其它应用系统提供证书下载,在线证书状态查询、可信时间等服务,使其它系统能够更方便的利用电子认证基础设施实现安全应用;同时,系统还包含一套电子认证管理系统,能够对各电子认证系统状态、证书状态、证书应用情况等信息进行全面监管。


  • 根证书签发系统(RootCA)


根证书签发系统是整个信任体系的信任源点,负责签发RootCA机构证书、签发并管理CA机构证书、制定证书策略规范(CPS)。RootCA以离线方式部署。


  • 证书签发系统(WorkCA)

    

证书签发系统负责管理下级机构和用户的证书及证书撤销列表(CRL),主要包括用户证书的签发、更新、冻结、解冻、撤销、备份、恢复、归档以及证书撤销列表(CRL)的签发、发布和更新等功能。


  • 注册审核系统(RA)
注册审核系统是CA的代理机构,负责用户注册请求资料的审核,向WorkCA提交用户证书的申请、更新、冻结、解冻、撤销与恢复请求,以及证书下载、制作等业务。


  • 非对称密钥管理系统(KM)

非对称密钥管理系统为证书签发系统提供非对称密钥服务,主要负责产生非对称密钥对,接收证书签发系统的非对称密钥对申请并根据申请分发密钥对,系统还实现了非对称密钥对的更新、冻结、解冻、撤销、恢复、备份和归档等管理功能。


  • 目录服务系统(LDAP)


目录服务系统负责存储证书及证书撤销列表,证书包含RootCA机构证书、CA机构证书、RA机构证书和用户证书,证书撤销列表包含机构证书撤销列表(ARL)和用户证书撤销列表(CRL)。


  • 在线证书状态查询系统(OCSP)


在线证书状态查询系统采用标准协议设计,为其它系统提供可信的证书状态查询服务,保证了各系统对证书状态验证的统一性、实时性和权威性,防止各系统自行验证证书状态不全面、时效性差等问题发生,并且还简化各系统对证书状态验证处理难度。


  •  可信时间服务系统(TSA)


可信时间服务系统采用标准协议设计,为网络中各业务系统提供全网统一可信的时间戳服务,保证处理数据在某一时间的存在性及相关操作的相对时间顺序,证明网络中相关信息的时间特征,防止利用时间差异进行伪造数据的欺诈行为,为业务处理的不可抵赖性和可审计性提供有效支持。


  • 电子认证管理系统(在线监管)


电子认证管理系统是电子认证基础设施的在线监管系统,主要功能是管理电子认证机构的基本信息,监管各个电子认证系统信息、实时状态和运行日志,监管签发的证书和证书使用情况,实现对电子认证基础设施整体运行情况的监管。


  • 标准性


系统设计符合国际相关标准及规范;


系统设计符合国家相关标准及规范;


  • 扩展性


系统可平滑接入上级信任体系;


可与其他认证体系实现交叉认证;


支持多工作CA部署;


支持多RA部署;


LDAP支持一主多从结构部署;


  • 安全性


设备安全:采用的密码设备均通过国家主管部门的鉴定和批准;


密钥安全:密钥以密文形式存储与分发;


通讯安全:系统间通信可采用应用层和网络层双重保护技术;


数据安全:提供密钥和证书的归档、备份和恢复功能;


日志安全:提供对系统日志和操作日志的审核功能,对重要操作提供签名和验证功能;


人员安全:系统角色支持三权分立原则,系统用户权限采用基于角色的控制管理。


  • 灵活性


支持多种密码设备及算法;


支持多种证书载体:卫士通公司、天喻公司、海泰公司等;


支持多种目录服务系统:南开创元LDAP、OpenLDAP、iPlanet等;


支持灵活部署:可根据用户实际需求情况对相关系统和设备进行灵活组合部署。


电子认证基础设施按照各子系统对安全性的要求不同,实行分区部署,分别为离线区、密钥核心区、认证核心区、认证服务区、注册审核服务区、管理区,除离线区之外,各区之间逻辑隔离。


离线区:部署根证书签发系统(RootCA),包括根证书签发服务器和相应的服务器密码机,通过物理隔离充分保证信任源点的安全;


密钥核心区:部署非对称密钥管理系统(KM),包括非对称密钥管理服务器、数据库服务器和相应的服务器密码机;


认证核心区:部署证书签发系统(WorkCA)和主目录服务系统(主LDAP),包括证书签发服务器、数据库服务器、服务器密码机和主目录服务器;


认证服务区:部署电子认证基础设施的各个服务系统,包括在线证书状态查询服务器(OCSP)、可信时间服务器(TSA)、从目录服务器(从LDAP)、电子认证管理(在线监管)服务器和相应的服务器密码机;


注册审核服务区:部署注册审核系统(RA),包括注册审核服务器、数据库服务器和相应的服务器密码机;


管理区:主要部署电子认证基础设施各个系统的管理终端,包括非对称密钥管理系统管理/审计终端、证书签发系统管理/审计终端、注册审核系统管理/审计终端和电子认证管理系统终端;


远程RA及远程认证服务:根据实际需要,扩展部署远程注册审核系统及相应的服务器密码机。同时,可根据实际需要,扩展建设远程证书状态查询服务、时间戳服务系统和从目录服务系统。



网站地图|投资者关系|联系我们|售后服务 卫士通保留一切权利版权所有