欢迎您来到北京密安
欢迎您来到北京密安
当前位置: 首页 > 产品介绍 > 技术白皮书 > CA白皮书
MAPKI-密安CA认证中心产品技术白皮书

三、数字认证系统平台及应用环境:

    系统选择高性能服务器,数据库系统采用ORACLE数据库,开发语言选用标准C++、JAVA和XML,协议采用S/MIME、LDAP和OCSP。

    通过OCSP、LDAPCRL验证交易,为文档、文件和交易加时间戳。应用程序可以通过使用XML格式和S/MIME格式来签名/校验,加/解密文档和文件。

四、数字认证中心的软件构成与实现:

    数字认证中心的应用软件由证书注册、证书管理、证书和黑名单发布、在线证书状态查询、数字认证系统人员管理、安全审计、密钥管理、数据库管理等功能模块组成。数字认证系统的功能模块图如下:

(1) 证书注册

    *接收业务受理点注册申请,下发注册表。

    *接收业务受理点的初始注册信息,并存入证书注册受理信息表。

    *将初始信息提交管理终端,进行离线方式二级审核,并将审核结果存入注册验证信息表。

    *通过审核的信息存入信息注册表。

(2) 证书管理

    *对于证书申请请求,查询证书注册服务器,并将合法的证书申请请求通知证书签名服务器进行证书制作。

    *对于证书作废请求,通知OCSP服务器更新数据。

    *根据CRL发布政策,定时通知CRL服务器制作新的CRL。

    *更新和维护CRL服务器及其镜像站点上的数据。

    *保存所有用户的证书记录和CRL记录。

    *保存证书管理服务器所有操作的操作日志。

(3) 证书签名

    *接收证书管理服务器发来的证书签发请求,根据要求生成对证书的数字签名。

    *维护所有签发证书的记录。

    *接收证书管理服务器发来的CRL签发请求,根据要求生成对CRL的数字签名。

    *维护所有签发CRL的记录。

(4) 证书查询

    *接收证书管理服务器的作废证书更新数据。

    *接收证书管理服务器的过期证书更新数据。

    *按OCSP协议接收Internet客户的证书状态查询请求,并返回查询结果。

(5) 证书和CRL发布

    *接收证书管理服务器的定时CRL更新数据。

    *接收证书管理服务器的定时证书更新数据。

    *利用WEB服务和LDAP服务发布证书作废表。

    *利用WEB服务和LDAP服务发布证书。

(6) 密钥管理

    *维护和管理数据认证系统的各类密钥及用户证书的加密密钥。即对数据认证中心的签名密钥,数据加*密密钥等进行管理,对用户的加密私钥进行归挡处理。

    *密钥生成

    *密钥分发

    *密钥备份

    *密钥更新

    *密钥恢复

    *密钥销毁

    *密钥查询

(7) 数据认证中心人员管理

    *数据认证中心系统管理员和操作员的设置,可根据具体的应用情况,由系统提供相应的操作界面进行配置。数据认证中心人员管理应具有如下功能:

    *数据认证中心人员设置的最小特权原则

    *数据认证中心系统管理员和操作员的信息查询

    *数据认证中心系统管理员和操作员的人员变更

    *数据认证操作员的人员增加

    *数据认证操作员的人员删除

(8) 安全审计

    安全审计是指对与安全有关的事件进行审查、记录,写入审计文件中,便于进行核对。当出现安全问题时,通过对审计记录的分析查处原因,弥补安全漏洞。审计文件加密存贮,任何人不得修改和删除审计文件。系统提供相应的查看审计文件的应用程序界面,由数据认证系统管理员起动程序运行,数据认证系统审计员可查看审计文件。当审计文件很大时,为了节约硬盘资源,审计文件可由数据认证系统自动进行覆盖处理。按照审计的客体,审计的主要事件有:

    *数据认证内部密钥事件

    *用户证书发放、更新、作废等事件

    *用户密钥的生成、更新、销毁等事件

    *数据认证系统管理员及操作员事件的安全审计

(9) 数据认证中心数据库管理

    基于数据认证系统的安全性考虑,数据认证系统的证书注册、证书管理、证书签名、OCSP证书查询应设立相应的数据库系统。数据认证系统设有如下数据库表:

    *证书注册受理信息表:记录证书注册受理时的信息

    *证书注册信息表:记录用户信息、签名公开密钥、申请序列号、证书序列号和证书状态

    *注册验证信息表:记录对客户注册信息的验证结果

    *证书信息表:记录已被签发的证书

    *证书状态信息表:记录证书的状态信息

    *作废证书信息表:记录作废证书的信息列表

    *数据认证系统人员信息表:数据认证系统管理员、安全员、审计员及操作员的身份识别信息

    *数据认证系统人员命令信息表:数据认证系统管理员、安全员、审计员及操作员的命令信息

    *数据库操作信息表:记录对数据库的操作日志信息

(10) 制卡系统

    *制作用户卡,保存用户的私钥和证书。

(11) 统计报表

    *生成各种统计报表

欢迎您来到北京密安

地址:北京市海淀区上地信息路华成大厦            电话:正在变更            邮编:100085

E-Mail:intrust@onets.com.cn        网址:http://www.onets.com.cn         传真:正在变更

Copyright@2013北京密安网络技术股份有限公司    京ICP备17034799号