1、應(yīng)用背景
    近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的迅速發(fā)展使得企業(yè)信息化的程度不斷提高，互聯(lián)網(wǎng)上信息的交互必然存在風(fēng)險(xiǎn)，黑客、病毒、木馬程序、“網(wǎng)絡(luò)釣魚(yú)”頻頻得逞。而這些受到威脅的網(wǎng)站或遭受損失的用戶(hù)，除自身的安全防范意識(shí)薄弱造成安全隱患外，最重要的一點(diǎn)就是都沒(méi)有使用互聯(lián)網(wǎng)上信息安全保障措施----基于PKI技術(shù)的CA服務(wù)系統(tǒng)。

時(shí)代億信ETCA數(shù)字證書(shū)管理系統(tǒng)是公司在充分研究國(guó)內(nèi)CA應(yīng)用現(xiàn)狀，結(jié)合PKI實(shí)際應(yīng)用需求的基礎(chǔ)上，獨(dú)立研發(fā)的一套CA產(chǎn)品。

2、PKI技術(shù)介紹
    PKI公鑰體系采用數(shù)字證書(shū)的方式管理公鑰，通過(guò)第三方可信任機(jī)構(gòu)－證書(shū)機(jī)構(gòu)把用戶(hù)的公鑰和用戶(hù)的其他標(biāo)識(shí)信息（如名稱(chēng)、身份證號(hào)碼、e-mail地址等）捆綁在一起，實(shí)現(xiàn)在網(wǎng)絡(luò)虛擬空間對(duì)用戶(hù)身份的可信管理。

    通過(guò)采用PKI公鑰體系實(shí)現(xiàn)對(duì)密鑰的管理，可以建立一個(gè)安全可信的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)針對(duì)用戶(hù)身份的鑒別，滿(mǎn)足對(duì)信息的保密性、完整性、不可抵賴(lài)性保護(hù)的需求。

    PKI公鑰體系采用數(shù)字證書(shū)的方式管理公鑰，通過(guò)第三方可信任機(jī)構(gòu)－CA認(rèn)證機(jī)構(gòu)來(lái)管理證書(shū)，CA認(rèn)證機(jī)構(gòu)的作用類(lèi)似于國(guó)家的護(hù)照簽發(fā)中心。護(hù)照是由qw中心（護(hù)照簽發(fā)中心）頒發(fā)的一種安全文件，它是護(hù)照持有者的一種紙質(zhì)身份證明，任何信任該國(guó)護(hù)照簽發(fā)中心的其他國(guó)家也會(huì)信任該國(guó)護(hù)照簽發(fā)中心所簽發(fā)的護(hù)照。數(shù)字證書(shū)是由qw中心(CA認(rèn)證機(jī)構(gòu))簽發(fā)的一種電子安全文件，它是數(shù)字證書(shū)持有者的一種電子版身份證明，任何信任該CA中心的所有用戶(hù)也會(huì)信任該CA中心所簽發(fā)的數(shù)字證書(shū)，進(jìn)而確定證書(shū)持有者在網(wǎng)絡(luò)虛擬空間中的身份。
CA認(rèn)證機(jī)構(gòu)的職責(zé)歸納如下：
驗(yàn)證并標(biāo)識(shí)證書(shū)申請(qǐng)者的身份
確保CA用于簽發(fā)證書(shū)的非對(duì)稱(chēng)密鑰的質(zhì)量
確保整個(gè)簽證過(guò)程的安全性，確保簽名私鑰的安全性
證書(shū)資料的管理（包括公鑰證書(shū)序列號(hào)、CA標(biāo)識(shí)等）的管理
確定并驗(yàn)證證書(shū)的有效期限
確保證書(shū)主體標(biāo)識(shí)的{wy}性
發(fā)布并維護(hù)證書(shū)注銷(xiāo)列表（CRL）
對(duì)整個(gè)證書(shū)簽發(fā)過(guò)程作日志紀(jì)錄
向申請(qǐng)人發(fā)出通知
為用戶(hù)簽發(fā)數(shù)字證書(shū)

    數(shù)字證書(shū)是一種數(shù)字標(biāo)識(shí)，如同我們的身份證一樣，是網(wǎng)絡(luò)上的身份證明，它是由證書(shū)認(rèn)證機(jī)構(gòu)（CA）簽名頒發(fā)的數(shù)字文件，該簽名使得第三者不能偽造和篡改證書(shū)。

    ITU-T的X.509國(guó)際標(biāo)準(zhǔn)定義了數(shù)字證書(shū)的格式，目前X.509v3數(shù)字證書(shū)的主要內(nèi)容，如圖所示，主要包括證書(shū)的版本號(hào)、證書(shū)的序列號(hào)、證書(shū)的有效起止日期、證書(shū)頒發(fā)者的名字和{wy}標(biāo)識(shí)符、證書(shū)持有者的名字和{wy}標(biāo)識(shí)符、證書(shū)持有者的公鑰、證書(shū)擴(kuò)展項(xiàng)以及證書(shū)頒發(fā)者的簽名。其中，證書(shū)擴(kuò)展項(xiàng)可以根據(jù)證書(shū)的不同應(yīng)用而由證書(shū)的頒發(fā)者具體定義，因而具有較強(qiáng)的通用性和靈活性。
由于數(shù)字證書(shū)是由相對(duì)qw的授權(quán)機(jī)構(gòu)審核頒發(fā)的，因此，一方面可以用來(lái)向系統(tǒng)或者系統(tǒng)的其他實(shí)體證明自己的身份；另一方面，由于證書(shū)攜帶著其持有者的公鑰，也起著公鑰分發(fā)的作用。

3、產(chǎn)品概述
    時(shí)代億信公司以用戶(hù)的需求為導(dǎo)向,以雄厚的研發(fā)能力為基礎(chǔ),深入吸收國(guó)際、國(guó)內(nèi)的先進(jìn)技術(shù)、結(jié)合多個(gè)項(xiàng)目的實(shí)施經(jīng)驗(yàn)，研制開(kāi)發(fā)了ETCA數(shù)字證書(shū)管理系統(tǒng)。ETCA支持通過(guò)掛接密鑰管理中心（KMC）來(lái)管理用戶(hù)加密密鑰，從而提高了用戶(hù)加密密鑰的安全性和可恢復(fù)性。通過(guò)支持證書(shū)模板，提高了簽發(fā)各類(lèi)型證書(shū)的靈活性。此外ETCA還支持在線證書(shū)狀態(tài)查詢(xún)，支持硬件加密設(shè)備和多種數(shù)據(jù)庫(kù)平臺(tái)。ETCA數(shù)字證書(shū)認(rèn)證系統(tǒng)產(chǎn)品組件配置靈活，可以根據(jù)用戶(hù)的不同需求進(jìn)行選擇性配置，為用戶(hù)量身打造一套安全、穩(wěn)定、實(shí)用、快捷的數(shù)字證書(shū)管理平臺(tái)。

    ETCA是用于數(shù)字證書(shū)的申請(qǐng)、審核、簽發(fā)、注銷(xiāo)、更新、查詢(xún)的綜合管理系統(tǒng)，頒發(fā)的數(shù)字證書(shū)格式嚴(yán)格遵循X.509v3規(guī)范，具有廣泛適用性和良好的擴(kuò)展性。通過(guò)部署該系統(tǒng)，可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的認(rèn)證中心。通過(guò)使用ETCA發(fā)行的數(shù)字證書(shū)可以為用戶(hù)提供信息安全的全面服務(wù)：
保密性 — 保證信息是秘密的
完整性 — 能檢驗(yàn)信息未被篡改
身份鑒別 — 檢驗(yàn)個(gè)人或機(jī)構(gòu)的身份
不可否定性 — 確保信息或操作不能被否認(rèn)

    ETCA應(yīng)用國(guó)際先進(jìn)技術(shù)，采用高強(qiáng)度的加密算法、高可靠性的安全機(jī)制及完善的管理及配置策略來(lái)保障整個(gè)系統(tǒng)的安全、可靠的運(yùn)行。

4、產(chǎn)品組成
    時(shí)代億信ETCA 數(shù)字證書(shū)管理系統(tǒng)由以下幾個(gè)核心組件組成：
認(rèn)證中心（CAServer）
注冊(cè)中心（RAServer）
密鑰管理中心（KMServer）
在線證書(shū)狀態(tài)查詢(xún)服務(wù)（OCSPServer）

    其中認(rèn)證中心為產(chǎn)品的核心，其他組件圍繞認(rèn)證中心提供更完善的安全解決方案。

認(rèn)證中心（CAServer）
    ETCA的核心，負(fù)責(zé)數(shù)字證書(shū)、證書(shū)注銷(xiāo)列表的管理。

注冊(cè)中心（RAServer）
    接收并審核用戶(hù)的申請(qǐng)信息，審核完畢后提交CAServer；接收CAServer的返回信息并通知用戶(hù)。
RA Toolkit：作為RAServer的開(kāi)發(fā)工具包向外提供，允許用戶(hù)根據(jù)業(yè)務(wù)系統(tǒng)的需要把證書(shū)業(yè)務(wù)功能集成到業(yè)務(wù)系統(tǒng)中，實(shí)現(xiàn)證書(shū)功能和業(yè)務(wù)系統(tǒng)的無(wú)縫集成。

密鑰管理中心（KMServer）
    負(fù)責(zé)用戶(hù)加密密鑰的生成、存儲(chǔ)、歸檔、備份和恢復(fù)等管理功能，為CAServer簽發(fā)加密數(shù)字證書(shū)提供所需密鑰。

在線證書(shū)狀態(tài)查詢(xún)服務(wù)（OCSPServer）
    ETCA提供在線證書(shū)狀態(tài)查詢(xún)服務(wù)，用戶(hù)可以實(shí)時(shí)查詢(xún)指定證書(shū)的狀態(tài)信息。
OCSP Toolkit：作為開(kāi)發(fā)工具包向外提供，用戶(hù)使用此OCSP Toolkit與OCSP Server建立連接，提交證書(shū)查詢(xún)請(qǐng)求并接收解析響應(yīng)結(jié)果。

5. 技術(shù)特點(diǎn)
5.1 豐富完備的功能
豐富的證書(shū)業(yè)務(wù)功能
基于角色的授權(quán)管理
支持多級(jí)CA
強(qiáng)大的證書(shū)模板功能
所見(jiàn)即所得的自定義功能（自定義證書(shū)模板&自定義證書(shū)擴(kuò)展域）
支持漢字證書(shū)
支持簽發(fā)微軟智能卡登錄(Smartcard Logon)證書(shū)
支持交叉認(rèn)證
支持KMC（密鑰管理中心）
支持OCSP（在線證書(shū)狀態(tài)查詢(xún)）
支持可替換的加密模塊
以用戶(hù)為中心的證書(shū)管理模式

5.2 部署靈活、操作簡(jiǎn)單
    系統(tǒng)的設(shè)計(jì)采用B/S模式，安裝部署工作只需要在服務(wù)端進(jìn)行，部署工作方便靈活，客戶(hù)端無(wú)需安裝任何客戶(hù)端軟件，wq基于瀏覽器即可完成所有的管理操作，管理終端與服務(wù)器之間采用高強(qiáng)度SSL安全連接，采用數(shù)字證書(shū)對(duì)用戶(hù)的身份實(shí)現(xiàn)管理。

    另外系統(tǒng)可以根據(jù)實(shí)際的具體情況來(lái)選擇對(duì)應(yīng)的組合方式進(jìn)行部署，比如：CA、CA+RA、CA+KMC、CA+KMC+RA+OCSP等。

5.3 wq基于PKI標(biāo)準(zhǔn)
    ETCA系統(tǒng)wq遵循PKI及相關(guān)標(biāo)準(zhǔn)，這樣有利于與其它廠商的產(chǎn)品實(shí)現(xiàn)互連，增大證書(shū)的適用范圍。該系統(tǒng)支持的技術(shù)標(biāo)注列表如下：

5.4 系統(tǒng)平臺(tái)的高安全性
通訊安全
    系統(tǒng)采用高強(qiáng)度的SSL標(biāo)準(zhǔn)安全通信協(xié)議。

數(shù)據(jù)安全
    數(shù)據(jù)庫(kù)、配置文件中的敏感數(shù)據(jù)采用加密方式保存；提供完備的數(shù)據(jù)備份及恢復(fù)的手段。

人員安全
    采用基于數(shù)字證書(shū)的身份驗(yàn)證機(jī)制，管理員使用X.509證書(shū)進(jìn)行登錄管理、管理員的管理權(quán)限與其證書(shū)進(jìn)行綁定。
分布式權(quán)限管理，管理員間權(quán)限分離，某一管理員只管理某一部分功能并受其他管理員監(jiān)督。

完善的審計(jì)手段
    系統(tǒng)提供對(duì)所有業(yè)務(wù)情況的詳盡記錄和查詢(xún)手段。

5.5 穩(wěn)定的性能保證系統(tǒng)的高可用性
高性能
    整個(gè)系統(tǒng)采用先進(jìn)的設(shè)計(jì)架構(gòu)，整個(gè)系統(tǒng)的性能十分優(yōu)異，經(jīng)過(guò)測(cè)試，在普通硬件平臺(tái)上系統(tǒng)單機(jī)的并發(fā)請(qǐng)求處理能力達(dá)到300以上，在300并發(fā)壓力的情況下，處理能力能保持在每秒簽發(fā)70張以上的證書(shū)，并保持100％的成功率。

高可用性
    系統(tǒng)所有組件（CA、KMC、RA、OCSP）均支持集群部署和負(fù)載均衡技術(shù)，在正常運(yùn)行的情況下，可以通過(guò)增加負(fù)載均衡的服務(wù)器，平滑擴(kuò)展性能。

5.6 廣泛的平臺(tái)兼容性
靈活可配置的密碼模塊
    提供對(duì)加密機(jī)、加密卡、智能卡、USB等多種加密設(shè)備的支持。

支持多種數(shù)據(jù)庫(kù)產(chǎn)品
    系統(tǒng)數(shù)據(jù)中心模塊采用基于JDBC標(biāo)準(zhǔn)的數(shù)據(jù)操作服務(wù)，可掛接不同的數(shù)據(jù)庫(kù)產(chǎn)品，包括Oracle、SQL Server、DB2等數(shù)據(jù)庫(kù)產(chǎn)品。

支持多種目錄服務(wù)產(chǎn)品
    系統(tǒng)支持基于LDAPv3標(biāo)準(zhǔn)協(xié)議的目錄服務(wù)，符合此標(biāo)準(zhǔn)的目錄服務(wù)產(chǎn)品均可直接掛接到系統(tǒng)中。

支持多種操作系統(tǒng)平臺(tái)
    ETCA可以支持多種操作系統(tǒng)，包括Windows，Linux，AIX，Solaris，HP_UX。

5.7 系統(tǒng)架構(gòu)的可擴(kuò)展性
    作為實(shí)現(xiàn)用戶(hù)身份可信管理的支撐平臺(tái)，PKI系統(tǒng)必須具有良好的擴(kuò)展性，能夠滿(mǎn)足不斷呈現(xiàn)的各類(lèi)需求，實(shí)現(xiàn)與各類(lèi)應(yīng)用系統(tǒng)的整合和擴(kuò)展。ETCA在設(shè)計(jì)時(shí)充分考慮了系統(tǒng)的擴(kuò)展性，系統(tǒng)的擴(kuò)展性主要表現(xiàn)如下：

模塊化設(shè)計(jì)
    系統(tǒng)采用分布式、可拆裝的系統(tǒng)模塊化設(shè)計(jì)，可替換、可重組的系統(tǒng)構(gòu)架，支持與其它應(yīng)用系統(tǒng)互操作。
所有系統(tǒng)中只有核心服務(wù)器承擔(dān)著真正的運(yùn)行與管理任務(wù)，其它模塊可隨組織的發(fā)展需要逐步掛接到系統(tǒng)中。
通過(guò)提供API接口的手段為用戶(hù)提供二次開(kāi)發(fā)能力。

支持多級(jí)CA及交叉認(rèn)證
    可根據(jù)需要建立無(wú)限制多級(jí)的CA，并通過(guò)交叉認(rèn)證實(shí)現(xiàn)和其他CA系統(tǒng)之間的互聯(lián)互通。

支持用戶(hù)自定義項(xiàng)目
    CA Server系統(tǒng)內(nèi)置有十幾種標(biāo)準(zhǔn)證書(shū)模板及標(biāo)準(zhǔn)證書(shū)擴(kuò)展域，能夠滿(mǎn)足大多數(shù)的證書(shū)簽發(fā)需求。系統(tǒng)同時(shí)支持自定義證書(shū)模板和自定義擴(kuò)展域，可以滿(mǎn)足不同應(yīng)用的特殊需求，用戶(hù)可以定制出符合自己實(shí)際需求的證書(shū)簽發(fā)模板。

5.8 良好的易用性與安全清晰的管理模式
    客戶(hù)端基于瀏覽器進(jìn)行訪問(wèn)，通過(guò)簡(jiǎn)單的點(diǎn)擊即可完成一次業(yè)務(wù)操作，頁(yè)面內(nèi)容清晰簡(jiǎn)潔，操作人員易于使用。

系統(tǒng)采用安全清晰的管理模式：
基于角色進(jìn)行管理權(quán)限的定制和分配
管理權(quán)限與管理員證書(shū)進(jìn)行綁定，通過(guò)證書(shū)驗(yàn)證管理員身份
各產(chǎn)品組件采用風(fēng)格統(tǒng)一的管理界面和流程能顯著降低管理負(fù)擔(dān)

5.9 應(yīng)用平臺(tái)的開(kāi)放性
    在設(shè)計(jì)和開(kāi)發(fā)過(guò)程中wq遵循國(guó)際開(kāi)放標(biāo)準(zhǔn)，可很方便地與第三方產(chǎn)品進(jìn)行集成、與其它系統(tǒng)互操作。對(duì)外提供RAToolkit和OCSPToolkit等應(yīng)用開(kāi)發(fā)API，用戶(hù)可以使用這些API進(jìn)行二次開(kāi)發(fā)，分別實(shí)現(xiàn)與CAServer和OCSPServer的通信，將用戶(hù)需要的證書(shū)業(yè)務(wù)嵌入已有的應(yīng)用系統(tǒng)中。