1、應(yīng)用背景
    近年來，計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的迅速發(fā)展使得企業(yè)信息化的程度不斷提高，互聯(lián)網(wǎng)上信息的交互必然存在風(fēng)險(xiǎn)，黑客、病毒、木馬程序、“網(wǎng)絡(luò)釣魚”頻頻得逞。而這些受到威脅的網(wǎng)站或遭受損失的用戶，除自身的安全防范意識(shí)薄弱造成安全隱患外，最重要的一點(diǎn)就是都沒有使用互聯(lián)網(wǎng)上信息安全保障措施----基于PKI技術(shù)的CA服務(wù)系統(tǒng)。

時(shí)代億信ETCA數(shù)字證書管理系統(tǒng)是公司在充分研究國內(nèi)CA應(yīng)用現(xiàn)狀，結(jié)合PKI實(shí)際應(yīng)用需求的基礎(chǔ)上，獨(dú)立研發(fā)的一套CA產(chǎn)品。

2、PKI技術(shù)介紹
    PKI公鑰體系采用數(shù)字證書的方式管理公鑰，通過第三方可信任機(jī)構(gòu)－證書機(jī)構(gòu)把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（如名稱、身份證號碼、e-mail地址等）捆綁在一起，實(shí)現(xiàn)在網(wǎng)絡(luò)虛擬空間對用戶身份的可信管理。

    通過采用PKI公鑰體系實(shí)現(xiàn)對密鑰的管理，可以建立一個(gè)安全可信的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)針對用戶身份的鑒別，滿足對信息的保密性、完整性、不可抵賴性保護(hù)的需求。

    PKI公鑰體系采用數(shù)字證書的方式管理公鑰，通過第三方可信任機(jī)構(gòu)－CA認(rèn)證機(jī)構(gòu)來管理證書，CA認(rèn)證機(jī)構(gòu)的作用類似于國家的護(hù)照簽發(fā)中心。護(hù)照是由qw中心（護(hù)照簽發(fā)中心）頒發(fā)的一種安全文件，它是護(hù)照持有者的一種紙質(zhì)身份證明，任何信任該國護(hù)照簽發(fā)中心的其他國家也會(huì)信任該國護(hù)照簽發(fā)中心所簽發(fā)的護(hù)照。數(shù)字證書是由qw中心(CA認(rèn)證機(jī)構(gòu))簽發(fā)的一種電子安全文件，它是數(shù)字證書持有者的一種電子版身份證明，任何信任該CA中心的所有用戶也會(huì)信任該CA中心所簽發(fā)的數(shù)字證書，進(jìn)而確定證書持有者在網(wǎng)絡(luò)虛擬空間中的身份。
CA認(rèn)證機(jī)構(gòu)的職責(zé)歸納如下：
驗(yàn)證并標(biāo)識(shí)證書申請者的身份
確保CA用于簽發(fā)證書的非對稱密鑰的質(zhì)量
確保整個(gè)簽證過程的安全性，確保簽名私鑰的安全性
證書資料的管理（包括公鑰證書序列號、CA標(biāo)識(shí)等）的管理
確定并驗(yàn)證證書的有效期限
確保證書主體標(biāo)識(shí)的{wy}性
發(fā)布并維護(hù)證書注銷列表（CRL）
對整個(gè)證書簽發(fā)過程作日志紀(jì)錄
向申請人發(fā)出通知
為用戶簽發(fā)數(shù)字證書

    數(shù)字證書是一種數(shù)字標(biāo)識(shí)，如同我們的身份證一樣，是網(wǎng)絡(luò)上的身份證明，它是由證書認(rèn)證機(jī)構(gòu)（CA）簽名頒發(fā)的數(shù)字文件，該簽名使得第三者不能偽造和篡改證書。

    ITU-T的X.509國際標(biāo)準(zhǔn)定義了數(shù)字證書的格式，目前X.509v3數(shù)字證書的主要內(nèi)容，如圖所示，主要包括證書的版本號、證書的序列號、證書的有效起止日期、證書頒發(fā)者的名字和{wy}標(biāo)識(shí)符、證書持有者的名字和{wy}標(biāo)識(shí)符、證書持有者的公鑰、證書擴(kuò)展項(xiàng)以及證書頒發(fā)者的簽名。其中，證書擴(kuò)展項(xiàng)可以根據(jù)證書的不同應(yīng)用而由證書的頒發(fā)者具體定義，因而具有較強(qiáng)的通用性和靈活性。
由于數(shù)字證書是由相對qw的授權(quán)機(jī)構(gòu)審核頒發(fā)的，因此，一方面可以用來向系統(tǒng)或者系統(tǒng)的其他實(shí)體證明自己的身份；另一方面，由于證書攜帶著其持有者的公鑰，也起著公鑰分發(fā)的作用。

3、產(chǎn)品概述
    時(shí)代億信公司以用戶的需求為導(dǎo)向,以雄厚的研發(fā)能力為基礎(chǔ),深入吸收國際、國內(nèi)的先進(jìn)技術(shù)、結(jié)合多個(gè)項(xiàng)目的實(shí)施經(jīng)驗(yàn)，研制開發(fā)了ETCA數(shù)字證書管理系統(tǒng)。ETCA支持通過掛接密鑰管理中心（KMC）來管理用戶加密密鑰，從而提高了用戶加密密鑰的安全性和可恢復(fù)性。通過支持證書模板，提高了簽發(fā)各類型證書的靈活性。此外ETCA還支持在線證書狀態(tài)查詢，支持硬件加密設(shè)備和多種數(shù)據(jù)庫平臺(tái)。ETCA數(shù)字證書認(rèn)證系統(tǒng)產(chǎn)品組件配置靈活，可以根據(jù)用戶的不同需求進(jìn)行選擇性配置，為用戶量身打造一套安全、穩(wěn)定、實(shí)用、快捷的數(shù)字證書管理平臺(tái)。

    ETCA是用于數(shù)字證書的申請、審核、簽發(fā)、注銷、更新、查詢的綜合管理系統(tǒng)，頒發(fā)的數(shù)字證書格式嚴(yán)格遵循X.509v3規(guī)范，具有廣泛適用性和良好的擴(kuò)展性。通過部署該系統(tǒng)，可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的認(rèn)證中心。通過使用ETCA發(fā)行的數(shù)字證書可以為用戶提供信息安全的全面服務(wù)：
保密性 — 保證信息是秘密的
完整性 — 能檢驗(yàn)信息未被篡改
身份鑒別 — 檢驗(yàn)個(gè)人或機(jī)構(gòu)的身份
不可否定性 — 確保信息或操作不能被否認(rèn)

    ETCA應(yīng)用國際先進(jìn)技術(shù)，采用高強(qiáng)度的加密算法、高可靠性的安全機(jī)制及完善的管理及配置策略來保障整個(gè)系統(tǒng)的安全、可靠的運(yùn)行。

4、產(chǎn)品組成
    時(shí)代億信ETCA 數(shù)字證書管理系統(tǒng)由以下幾個(gè)核心組件組成：
認(rèn)證中心（CAServer）
注冊中心（RAServer）
密鑰管理中心（KMServer）
在線證書狀態(tài)查詢服務(wù)（OCSPServer）

    其中認(rèn)證中心為產(chǎn)品的核心，其他組件圍繞認(rèn)證中心提供更完善的安全解決方案。

認(rèn)證中心（CAServer）
    ETCA的核心，負(fù)責(zé)數(shù)字證書、證書注銷列表的管理。

注冊中心（RAServer）
    接收并審核用戶的申請信息，審核完畢后提交CAServer；接收CAServer的返回信息并通知用戶。
RA Toolkit：作為RAServer的開發(fā)工具包向外提供，允許用戶根據(jù)業(yè)務(wù)系統(tǒng)的需要把證書業(yè)務(wù)功能集成到業(yè)務(wù)系統(tǒng)中，實(shí)現(xiàn)證書功能和業(yè)務(wù)系統(tǒng)的無縫集成。

密鑰管理中心（KMServer）
    負(fù)責(zé)用戶加密密鑰的生成、存儲(chǔ)、歸檔、備份和恢復(fù)等管理功能，為CAServer簽發(fā)加密數(shù)字證書提供所需密鑰。

在線證書狀態(tài)查詢服務(wù)（OCSPServer）
    ETCA提供在線證書狀態(tài)查詢服務(wù)，用戶可以實(shí)時(shí)查詢指定證書的狀態(tài)信息。
OCSP Toolkit：作為開發(fā)工具包向外提供，用戶使用此OCSP Toolkit與OCSP Server建立連接，提交證書查詢請求并接收解析響應(yīng)結(jié)果。

5. 技術(shù)特點(diǎn)
5.1 豐富完備的功能
豐富的證書業(yè)務(wù)功能
基于角色的授權(quán)管理
支持多級CA
強(qiáng)大的證書模板功能
所見即所得的自定義功能（自定義證書模板&自定義證書擴(kuò)展域）
支持漢字證書
支持簽發(fā)微軟智能卡登錄(Smartcard Logon)證書
支持交叉認(rèn)證
支持KMC（密鑰管理中心）
支持OCSP（在線證書狀態(tài)查詢）
支持可替換的加密模塊
以用戶為中心的證書管理模式

5.2 部署靈活、操作簡單
    系統(tǒng)的設(shè)計(jì)采用B/S模式，安裝部署工作只需要在服務(wù)端進(jìn)行，部署工作方便靈活，客戶端無需安裝任何客戶端軟件，wq基于瀏覽器即可完成所有的管理操作，管理終端與服務(wù)器之間采用高強(qiáng)度SSL安全連接，采用數(shù)字證書對用戶的身份實(shí)現(xiàn)管理。

    另外系統(tǒng)可以根據(jù)實(shí)際的具體情況來選擇對應(yīng)的組合方式進(jìn)行部署，比如：CA、CA+RA、CA+KMC、CA+KMC+RA+OCSP等。

5.3 wq基于PKI標(biāo)準(zhǔn)
    ETCA系統(tǒng)wq遵循PKI及相關(guān)標(biāo)準(zhǔn)，這樣有利于與其它廠商的產(chǎn)品實(shí)現(xiàn)互連，增大證書的適用范圍。該系統(tǒng)支持的技術(shù)標(biāo)注列表如下：

5.4 系統(tǒng)平臺(tái)的高安全性
通訊安全
    系統(tǒng)采用高強(qiáng)度的SSL標(biāo)準(zhǔn)安全通信協(xié)議。

數(shù)據(jù)安全
    數(shù)據(jù)庫、配置文件中的敏感數(shù)據(jù)采用加密方式保存；提供完備的數(shù)據(jù)備份及恢復(fù)的手段。

人員安全
    采用基于數(shù)字證書的身份驗(yàn)證機(jī)制，管理員使用X.509證書進(jìn)行登錄管理、管理員的管理權(quán)限與其證書進(jìn)行綁定。
分布式權(quán)限管理，管理員間權(quán)限分離，某一管理員只管理某一部分功能并受其他管理員監(jiān)督。

完善的審計(jì)手段
    系統(tǒng)提供對所有業(yè)務(wù)情況的詳盡記錄和查詢手段。

5.5 穩(wěn)定的性能保證系統(tǒng)的高可用性
高性能
    整個(gè)系統(tǒng)采用先進(jìn)的設(shè)計(jì)架構(gòu)，整個(gè)系統(tǒng)的性能十分優(yōu)異，經(jīng)過測試，在普通硬件平臺(tái)上系統(tǒng)單機(jī)的并發(fā)請求處理能力達(dá)到300以上，在300并發(fā)壓力的情況下，處理能力能保持在每秒簽發(fā)70張以上的證書，并保持100％的成功率。

高可用性
    系統(tǒng)所有組件（CA、KMC、RA、OCSP）均支持集群部署和負(fù)載均衡技術(shù)，在正常運(yùn)行的情況下，可以通過增加負(fù)載均衡的服務(wù)器，平滑擴(kuò)展性能。

5.6 廣泛的平臺(tái)兼容性
靈活可配置的密碼模塊
    提供對加密機(jī)、加密卡、智能卡、USB等多種加密設(shè)備的支持。

支持多種數(shù)據(jù)庫產(chǎn)品
    系統(tǒng)數(shù)據(jù)中心模塊采用基于JDBC標(biāo)準(zhǔn)的數(shù)據(jù)操作服務(wù)，可掛接不同的數(shù)據(jù)庫產(chǎn)品，包括Oracle、SQL Server、DB2等數(shù)據(jù)庫產(chǎn)品。

支持多種目錄服務(wù)產(chǎn)品
    系統(tǒng)支持基于LDAPv3標(biāo)準(zhǔn)協(xié)議的目錄服務(wù)，符合此標(biāo)準(zhǔn)的目錄服務(wù)產(chǎn)品均可直接掛接到系統(tǒng)中。

支持多種操作系統(tǒng)平臺(tái)
    ETCA可以支持多種操作系統(tǒng)，包括Windows，Linux，AIX，Solaris，HP_UX。

5.7 系統(tǒng)架構(gòu)的可擴(kuò)展性
    作為實(shí)現(xiàn)用戶身份可信管理的支撐平臺(tái)，PKI系統(tǒng)必須具有良好的擴(kuò)展性，能夠滿足不斷呈現(xiàn)的各類需求，實(shí)現(xiàn)與各類應(yīng)用系統(tǒng)的整合和擴(kuò)展。ETCA在設(shè)計(jì)時(shí)充分考慮了系統(tǒng)的擴(kuò)展性，系統(tǒng)的擴(kuò)展性主要表現(xiàn)如下：

模塊化設(shè)計(jì)
    系統(tǒng)采用分布式、可拆裝的系統(tǒng)模塊化設(shè)計(jì)，可替換、可重組的系統(tǒng)構(gòu)架，支持與其它應(yīng)用系統(tǒng)互操作。
所有系統(tǒng)中只有核心服務(wù)器承擔(dān)著真正的運(yùn)行與管理任務(wù)，其它模塊可隨組織的發(fā)展需要逐步掛接到系統(tǒng)中。
通過提供API接口的手段為用戶提供二次開發(fā)能力。

支持多級CA及交叉認(rèn)證
    可根據(jù)需要建立無限制多級的CA，并通過交叉認(rèn)證實(shí)現(xiàn)和其他CA系統(tǒng)之間的互聯(lián)互通。

支持用戶自定義項(xiàng)目
    CA Server系統(tǒng)內(nèi)置有十幾種標(biāo)準(zhǔn)證書模板及標(biāo)準(zhǔn)證書擴(kuò)展域，能夠滿足大多數(shù)的證書簽發(fā)需求。系統(tǒng)同時(shí)支持自定義證書模板和自定義擴(kuò)展域，可以滿足不同應(yīng)用的特殊需求，用戶可以定制出符合自己實(shí)際需求的證書簽發(fā)模板。

5.8 良好的易用性與安全清晰的管理模式
    客戶端基于瀏覽器進(jìn)行訪問，通過簡單的點(diǎn)擊即可完成一次業(yè)務(wù)操作，頁面內(nèi)容清晰簡潔，操作人員易于使用。

系統(tǒng)采用安全清晰的管理模式：
基于角色進(jìn)行管理權(quán)限的定制和分配
管理權(quán)限與管理員證書進(jìn)行綁定，通過證書驗(yàn)證管理員身份
各產(chǎn)品組件采用風(fēng)格統(tǒng)一的管理界面和流程能顯著降低管理負(fù)擔(dān)

5.9 應(yīng)用平臺(tái)的開放性
    在設(shè)計(jì)和開發(fā)過程中wq遵循國際開放標(biāo)準(zhǔn)，可很方便地與第三方產(chǎn)品進(jìn)行集成、與其它系統(tǒng)互操作。對外提供RAToolkit和OCSPToolkit等應(yīng)用開發(fā)API，用戶可以使用這些API進(jìn)行二次開發(fā)，分別實(shí)現(xiàn)與CAServer和OCSPServer的通信，將用戶需要的證書業(yè)務(wù)嵌入已有的應(yīng)用系統(tǒng)中。