1、應用背景
    近年來，計算機網(wǎng)絡和信息技術(shù)的迅速發(fā)展使得企業(yè)信息化的程度不斷提高，互聯(lián)網(wǎng)上信息的交互必然存在風險，黑客、病毒、木馬程序、“網(wǎng)絡釣魚”頻頻得逞。而這些受到威脅的網(wǎng)站或遭受損失的用戶，除自身的安全防范意識薄弱造成安全隱患外，最重要的一點就是都沒有使用互聯(lián)網(wǎng)上信息安全保障措施----基于PKI技術(shù)的CA服務系統(tǒng)。

時代億信ETCA數(shù)字證書管理系統(tǒng)是公司在充分研究國內(nèi)CA應用現(xiàn)狀，結(jié)合PKI實際應用需求的基礎(chǔ)上，獨立研發(fā)的一套CA產(chǎn)品。

2、PKI技術(shù)介紹
    PKI公鑰體系采用數(shù)字證書的方式管理公鑰，通過第三方可信任機構(gòu)－證書機構(gòu)把用戶的公鑰和用戶的其他標識信息（如名稱、身份證號碼、e-mail地址等）捆綁在一起，實現(xiàn)在網(wǎng)絡虛擬空間對用戶身份的可信管理。

    通過采用PKI公鑰體系實現(xiàn)對密鑰的管理，可以建立一個安全可信的網(wǎng)絡環(huán)境，實現(xiàn)針對用戶身份的鑒別，滿足對信息的保密性、完整性、不可抵賴性保護的需求。

    PKI公鑰體系采用數(shù)字證書的方式管理公鑰，通過第三方可信任機構(gòu)－CA認證機構(gòu)來管理證書，CA認證機構(gòu)的作用類似于國家的護照簽發(fā)中心。護照是由qw中心（護照簽發(fā)中心）頒發(fā)的一種安全文件，它是護照持有者的一種紙質(zhì)身份證明，任何信任該國護照簽發(fā)中心的其他國家也會信任該國護照簽發(fā)中心所簽發(fā)的護照。數(shù)字證書是由qw中心(CA認證機構(gòu))簽發(fā)的一種電子安全文件，它是數(shù)字證書持有者的一種電子版身份證明，任何信任該CA中心的所有用戶也會信任該CA中心所簽發(fā)的數(shù)字證書，進而確定證書持有者在網(wǎng)絡虛擬空間中的身份。
CA認證機構(gòu)的職責歸納如下：
驗證并標識證書申請者的身份
確保CA用于簽發(fā)證書的非對稱密鑰的質(zhì)量
確保整個簽證過程的安全性，確保簽名私鑰的安全性
證書資料的管理（包括公鑰證書序列號、CA標識等）的管理
確定并驗證證書的有效期限
確保證書主體標識的{wy}性
發(fā)布并維護證書注銷列表（CRL）
對整個證書簽發(fā)過程作日志紀錄
向申請人發(fā)出通知
為用戶簽發(fā)數(shù)字證書

    數(shù)字證書是一種數(shù)字標識，如同我們的身份證一樣，是網(wǎng)絡上的身份證明，它是由證書認證機構(gòu)（CA）簽名頒發(fā)的數(shù)字文件，該簽名使得第三者不能偽造和篡改證書。

    ITU-T的X.509國際標準定義了數(shù)字證書的格式，目前X.509v3數(shù)字證書的主要內(nèi)容，如圖所示，主要包括證書的版本號、證書的序列號、證書的有效起止日期、證書頒發(fā)者的名字和{wy}標識符、證書持有者的名字和{wy}標識符、證書持有者的公鑰、證書擴展項以及證書頒發(fā)者的簽名。其中，證書擴展項可以根據(jù)證書的不同應用而由證書的頒發(fā)者具體定義，因而具有較強的通用性和靈活性。
由于數(shù)字證書是由相對qw的授權(quán)機構(gòu)審核頒發(fā)的，因此，一方面可以用來向系統(tǒng)或者系統(tǒng)的其他實體證明自己的身份；另一方面，由于證書攜帶著其持有者的公鑰，也起著公鑰分發(fā)的作用。

3、產(chǎn)品概述
    時代億信公司以用戶的需求為導向,以雄厚的研發(fā)能力為基礎(chǔ),深入吸收國際、國內(nèi)的先進技術(shù)、結(jié)合多個項目的實施經(jīng)驗，研制開發(fā)了ETCA數(shù)字證書管理系統(tǒng)。ETCA支持通過掛接密鑰管理中心（KMC）來管理用戶加密密鑰，從而提高了用戶加密密鑰的安全性和可恢復性。通過支持證書模板，提高了簽發(fā)各類型證書的靈活性。此外ETCA還支持在線證書狀態(tài)查詢，支持硬件加密設(shè)備和多種數(shù)據(jù)庫平臺。ETCA數(shù)字證書認證系統(tǒng)產(chǎn)品組件配置靈活，可以根據(jù)用戶的不同需求進行選擇性配置，為用戶量身打造一套安全、穩(wěn)定、實用、快捷的數(shù)字證書管理平臺。

    ETCA是用于數(shù)字證書的申請、審核、簽發(fā)、注銷、更新、查詢的綜合管理系統(tǒng)，頒發(fā)的數(shù)字證書格式嚴格遵循X.509v3規(guī)范，具有廣泛適用性和良好的擴展性。通過部署該系統(tǒng)，可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的認證中心。通過使用ETCA發(fā)行的數(shù)字證書可以為用戶提供信息安全的全面服務：
保密性 — 保證信息是秘密的
完整性 — 能檢驗信息未被篡改
身份鑒別 — 檢驗個人或機構(gòu)的身份
不可否定性 — 確保信息或操作不能被否認

    ETCA應用國際先進技術(shù)，采用高強度的加密算法、高可靠性的安全機制及完善的管理及配置策略來保障整個系統(tǒng)的安全、可靠的運行。

4、產(chǎn)品組成
    時代億信ETCA 數(shù)字證書管理系統(tǒng)由以下幾個核心組件組成：
認證中心（CAServer）
注冊中心（RAServer）
密鑰管理中心（KMServer）
在線證書狀態(tài)查詢服務（OCSPServer）

    其中認證中心為產(chǎn)品的核心，其他組件圍繞認證中心提供更完善的安全解決方案。

認證中心（CAServer）
    ETCA的核心，負責數(shù)字證書、證書注銷列表的管理。

注冊中心（RAServer）
    接收并審核用戶的申請信息，審核完畢后提交CAServer；接收CAServer的返回信息并通知用戶。
RA Toolkit：作為RAServer的開發(fā)工具包向外提供，允許用戶根據(jù)業(yè)務系統(tǒng)的需要把證書業(yè)務功能集成到業(yè)務系統(tǒng)中，實現(xiàn)證書功能和業(yè)務系統(tǒng)的無縫集成。

密鑰管理中心（KMServer）
    負責用戶加密密鑰的生成、存儲、歸檔、備份和恢復等管理功能，為CAServer簽發(fā)加密數(shù)字證書提供所需密鑰。

在線證書狀態(tài)查詢服務（OCSPServer）
    ETCA提供在線證書狀態(tài)查詢服務，用戶可以實時查詢指定證書的狀態(tài)信息。
OCSP Toolkit：作為開發(fā)工具包向外提供，用戶使用此OCSP Toolkit與OCSP Server建立連接，提交證書查詢請求并接收解析響應結(jié)果。

5. 技術(shù)特點
5.1 豐富完備的功能
豐富的證書業(yè)務功能
基于角色的授權(quán)管理
支持多級CA
強大的證書模板功能
所見即所得的自定義功能（自定義證書模板&自定義證書擴展域）
支持漢字證書
支持簽發(fā)微軟智能卡登錄(Smartcard Logon)證書
支持交叉認證
支持KMC（密鑰管理中心）
支持OCSP（在線證書狀態(tài)查詢）
支持可替換的加密模塊
以用戶為中心的證書管理模式

5.2 部署靈活、操作簡單
    系統(tǒng)的設(shè)計采用B/S模式，安裝部署工作只需要在服務端進行，部署工作方便靈活，客戶端無需安裝任何客戶端軟件，wq基于瀏覽器即可完成所有的管理操作，管理終端與服務器之間采用高強度SSL安全連接，采用數(shù)字證書對用戶的身份實現(xiàn)管理。

    另外系統(tǒng)可以根據(jù)實際的具體情況來選擇對應的組合方式進行部署，比如：CA、CA+RA、CA+KMC、CA+KMC+RA+OCSP等。

5.3 wq基于PKI標準
    ETCA系統(tǒng)wq遵循PKI及相關(guān)標準，這樣有利于與其它廠商的產(chǎn)品實現(xiàn)互連，增大證書的適用范圍。該系統(tǒng)支持的技術(shù)標注列表如下：

5.4 系統(tǒng)平臺的高安全性
通訊安全
    系統(tǒng)采用高強度的SSL標準安全通信協(xié)議。

數(shù)據(jù)安全
    數(shù)據(jù)庫、配置文件中的敏感數(shù)據(jù)采用加密方式保存；提供完備的數(shù)據(jù)備份及恢復的手段。

人員安全
    采用基于數(shù)字證書的身份驗證機制，管理員使用X.509證書進行登錄管理、管理員的管理權(quán)限與其證書進行綁定。
分布式權(quán)限管理，管理員間權(quán)限分離，某一管理員只管理某一部分功能并受其他管理員監(jiān)督。

完善的審計手段
    系統(tǒng)提供對所有業(yè)務情況的詳盡記錄和查詢手段。

5.5 穩(wěn)定的性能保證系統(tǒng)的高可用性
高性能
    整個系統(tǒng)采用先進的設(shè)計架構(gòu)，整個系統(tǒng)的性能十分優(yōu)異，經(jīng)過測試，在普通硬件平臺上系統(tǒng)單機的并發(fā)請求處理能力達到300以上，在300并發(fā)壓力的情況下，處理能力能保持在每秒簽發(fā)70張以上的證書，并保持100％的成功率。

高可用性
    系統(tǒng)所有組件（CA、KMC、RA、OCSP）均支持集群部署和負載均衡技術(shù)，在正常運行的情況下，可以通過增加負載均衡的服務器，平滑擴展性能。

5.6 廣泛的平臺兼容性
靈活可配置的密碼模塊
    提供對加密機、加密卡、智能卡、USB等多種加密設(shè)備的支持。

支持多種數(shù)據(jù)庫產(chǎn)品
    系統(tǒng)數(shù)據(jù)中心模塊采用基于JDBC標準的數(shù)據(jù)操作服務，可掛接不同的數(shù)據(jù)庫產(chǎn)品，包括Oracle、SQL Server、DB2等數(shù)據(jù)庫產(chǎn)品。

支持多種目錄服務產(chǎn)品
    系統(tǒng)支持基于LDAPv3標準協(xié)議的目錄服務，符合此標準的目錄服務產(chǎn)品均可直接掛接到系統(tǒng)中。

支持多種操作系統(tǒng)平臺
    ETCA可以支持多種操作系統(tǒng)，包括Windows，Linux，AIX，Solaris，HP_UX。

5.7 系統(tǒng)架構(gòu)的可擴展性
    作為實現(xiàn)用戶身份可信管理的支撐平臺，PKI系統(tǒng)必須具有良好的擴展性，能夠滿足不斷呈現(xiàn)的各類需求，實現(xiàn)與各類應用系統(tǒng)的整合和擴展。ETCA在設(shè)計時充分考慮了系統(tǒng)的擴展性，系統(tǒng)的擴展性主要表現(xiàn)如下：

模塊化設(shè)計
    系統(tǒng)采用分布式、可拆裝的系統(tǒng)模塊化設(shè)計，可替換、可重組的系統(tǒng)構(gòu)架，支持與其它應用系統(tǒng)互操作。
所有系統(tǒng)中只有核心服務器承擔著真正的運行與管理任務，其它模塊可隨組織的發(fā)展需要逐步掛接到系統(tǒng)中。
通過提供API接口的手段為用戶提供二次開發(fā)能力。

支持多級CA及交叉認證
    可根據(jù)需要建立無限制多級的CA，并通過交叉認證實現(xiàn)和其他CA系統(tǒng)之間的互聯(lián)互通。

支持用戶自定義項目
    CA Server系統(tǒng)內(nèi)置有十幾種標準證書模板及標準證書擴展域，能夠滿足大多數(shù)的證書簽發(fā)需求。系統(tǒng)同時支持自定義證書模板和自定義擴展域，可以滿足不同應用的特殊需求，用戶可以定制出符合自己實際需求的證書簽發(fā)模板。

5.8 良好的易用性與安全清晰的管理模式
    客戶端基于瀏覽器進行訪問，通過簡單的點擊即可完成一次業(yè)務操作，頁面內(nèi)容清晰簡潔，操作人員易于使用。

系統(tǒng)采用安全清晰的管理模式：
基于角色進行管理權(quán)限的定制和分配
管理權(quán)限與管理員證書進行綁定，通過證書驗證管理員身份
各產(chǎn)品組件采用風格統(tǒng)一的管理界面和流程能顯著降低管理負擔

5.9 應用平臺的開放性
    在設(shè)計和開發(fā)過程中wq遵循國際開放標準，可很方便地與第三方產(chǎn)品進行集成、與其它系統(tǒng)互操作。對外提供RAToolkit和OCSPToolkit等應用開發(fā)API，用戶可以使用這些API進行二次開發(fā)，分別實現(xiàn)與CAServer和OCSPServer的通信，將用戶需要的證書業(yè)務嵌入已有的應用系統(tǒng)中。