1.数字证书认证系统
确信数字证书认证系统已取得国家密码管理局商用密码产品认证证书,是确信信息股份有限公司自主研发的安全认证类产品,提供数字证书整个生命周期的过程管理功能。包括用户注册管理、证书/证书注销列表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理、过程安全审计等。
证书认证系统是采用双密钥类型(RSA算法密钥、国产SM2算法密钥)、双证书(加密证书、签名证书)、双中心机制(CA中心、密钥管理中心)的证书认证系统。系统具有超前的安全性和灵活性,支持各种通用的国际标准。该产品通过挂接密钥管理中心来管理用户的加密密钥,从而提高了用户加密密钥的安全性和可恢复性。通过支持证书模板,提高了签发各种类型证书的灵活性。系统可以很方便的同其它CA 建立交叉认证,还支持在线证书状态查询和目录服务,支持多种加密设备和数据库平台。
证书认证系统能够有效保障政府、银行、企业安全的使用信息资源,支持国家信息基础设施,对电子商务、电子政务的发展具有十分重要意义。
2.密钥管理系统
密钥管理系统已取得国家密码管理局商用密码产品认证证书,是确信信息股份有限公司自主开发的一套密钥管理系统。该系统结合了国内外同类产品的特点,提供了对生命周期内的加密证书密钥对进行全过程管理的功能,包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。
密钥管理系统使用经国家密码管理局鉴定通过的密码算法和加密设备,遵循国家密码管理局发布的《证书认证系统密码及其相关安全技术规范》的要求,采用国内外领先技术,与证书认证系统一同为PKI应用领域提供技术和策略方面的安全保障。
1.数字证书认证系统
CA管理系统模块用于为超级管理员、业务管理员、业务操作员、审计管理员、审计操作员提供操作界面,使其可以对权限内的功能进行管理,提供包括证书管理、管理员及操作员管理、日志管理、CRL管理、根证书管理、子CA管理、模板管理等功能。
数字证书认证系统支持双算法支持最新国密SM2、SM3、SM4算法,支持RSA 1024、2048位长密钥。支持多样化的证书服务,支持签发RSA证书和SM2证书;支持颁发个人证书、机构证书、设备证书;采用证书模板技术,支持证书格式灵活定制。系统具有良好的系统兼容性,系统支持多级CA;灵活支持密码设备。系统有完整的在线证书服务,可为应用系统提供在线证书申请、发放、更新、废除、状态查询等服务。
RA系统是CA系统的功能的延伸,提供数字证书整个生命周期的过程管理功能,RA管理系统模块用于为超级管理员、业务管理员、业务操作员、审计管理员、审计操作员提供操作界面,使其可以对权限内的功能进行管理。
数字证书认证系统技术原理图
(1)支持CA-RA层次结构,支持多级CA体系、多级RA体系
建立一个功能完善、技术先进、安全可靠、服务领先的基于PKI架构的CA体系。
(2)建设完整的双证书(加密证书和签名证书)模式,兼容单证书模式。
(3)可灵活裁减的层次化、模块化结构
可以根据应用系统的具体要求灵活组合系统中各个模块,从而构建满足不同应用的证书认证系统。
(4)系统具有开放性,支持二次开发,能够适应内外部环境的变化
程序开发者可以根据接口标准,自行开发业务系统安全模块。
(5)证书模板支持
证书标准扩展项,证书私有扩展项可自由定义。RA子系统根据证书模板申请证书,支持每个用户申请多个不同模板的证书。
(6)证书版本及证书类型支持
系统生成X.509v3标准的证书,根据兼容性原则,系统也可以识别X.509v1、X.509v2、X.509v4的证书。
支持多种证书类型包括:个人身份证书、单位证书、设备证书、VPN证书、代码签名证书、安全电子邮件证书等。
(7)支持多厂商密码设备。
(8)硬件支持
CA中心的根密钥对以及各级CA密钥对均由服务器密码机产生,且保存在硬件设备中。管理员证书载体使用智能密码钥匙介质存放。硬件设备支持国密局指定的加密算法。
(9)支持证书注销列表机制
证书认证提供证书黑名单服务,作废的证书能够及时列入证书黑名单。
(10)支持证书目录服务机制
系统使用LDAP目录服务器来管理和发布证书;系统能够方便集成多个厂商LDAP服务器。
(11)支持OCSP机制
系统支持证书状态在线查询,OCSP子系统可以同时支持多个不同CA系统。系统提供符合国际标准的查询接口,供用户在应用程序中查询证书的状态,以便验证证书的有效性。
2.密钥管理系统
(1)密钥生成与保存
在使用双密钥对证书过程中,用户的密钥在两个地方生成:其中加密密钥对在密钥管理系统中生成;而签名密钥对在用户端生成。密钥的生成过程完全是在密码机中完成的,外界无法对其进行干扰,充分保证密钥产生的安全和密钥的质量。产生后的密钥通过密码机加密后存储在数据库中。
(2)密钥分发
用户密钥生成后安全的存储在预生成密钥库中,在CA需要时发送密钥给CA,密钥传输过程符合《GMT 0014-2012 数字证书认证系统密码协议规范》,只有最终用户才能取得属于自己的私钥。
(3)密钥的撤消
用户密钥由于某些原因(暂时不使用、怀疑泄密等)需要对密钥进行撤消,用户做密钥更新操作时原有的密钥也被撤消。
(4)密钥的恢复
密钥管理系统支持密钥的恢复功能,密钥管理中心接到CA中心转发的用户密钥恢复申请后,密钥管理中心将密钥从数据库中取出并以安全的方式发送给用户。
(5)密钥的更新
当证书到期或用户需要时,密钥管理系统根据CA请求为用户生成新的非对称密钥。
(6)密钥的备份
密钥管理系统支持密钥备份功能,对加密证书的私钥进行备份。密钥对生成后,密钥管理系统自动将密钥对存入该系统的已使用数据库,供以后恢复及查询使用。
(7)密钥库管理
密钥库管理复杂密钥的存储管理,按照其存储的密钥状态,密钥库分为备用密钥库、在用密钥库和历史密钥库,密钥库中的密钥数据必须被加密存放。其中备用密钥库存放待使用的密钥对;在用密钥库存放当前使用的密钥对;历史密钥库存放过期或已被撤销的密钥对。
(8)认证管理
维护能接入密钥管理系统的CA机构,可以注册、更新、冻结、解冻CA机构。只有被注册的CA机构才有权向密钥管理系统申请密钥,如果CA机构的信息发生变更,可以更新CA机构。同时支持冻结或解冻该CA机构。
(9)安全审计
审计日志记录管理人员对于密钥管理系统的所有操作,包括:操作时间、操作人、操作对象、操作类型等详细信息,并配有完善的审计查询系统进行审计工作。审计日志只有审计员可以进行操作,其它任何人员无权进行管理,可以确保其审计功能的独立性。
密钥管理系统架构图
密钥管理系统主要由密钥后台服务程序、密钥管理终端、密钥管理系统安全通讯接口组成。
密钥管理中心KMC为数字认证中心提供加密密钥对,并提供对这些密钥对的备份、归档、恢复、更新等相关服务,以保证能满足认证中心和司法取证的需要。