广州天卓软件科技有限公司
电 话:020-87568789
手 机:18028592966(微信同号)
传 真:020-87568789-999
Email:tianzhuo168@gq.com
网 址:www.gztzsoft.com
地 址:广州市朱村大道东178号威华国际商务楼S2栋66号(客户中心)
广州市天河区棠东官育路22号棠丰商业大厦(总部)
微信公众号:tianzhuo8
CA安全认证系统(国家密码产品批号:SRT1313身份认证系统)是我公司基于公钥密码基础设施(PKI)技术,严格遵循国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》等标准,基于JAVA+SQL技术平台,推出的密码身份认证产品。
CA认证系统采用双中心体系结构(证书认证中心、密钥管理中心),从而提高了用户加密密钥的安全性和可恢复性。系统设计结合了国内外同类产品的特点,能够支持SM1、SM2、SM3密码算法,支持双证书、双密钥,证书格式采用X.509 V3证书标准、国家制定的SM2证书格式规范,可以稳定的运行在Windows/Linux等平台上,实现了用户加密密钥对生成、存储、分发、归档等管理,提供数字证书的申请、审核、签发、下载、注销、更新、查询等综合管理功能。
CA认证系统采用模块化设计,各模块可灵活配置或裁减,以快速适应用户对网络安全的不同需求;系统通过分级管理员体系保障自身的管理安全,采用完整性验证、身份验证等措施来保障自身技术安全,切实保证系统内所有模块之间的通讯数据及模块本身能满足机密性、完整性、身份鉴别及不可抵赖性等要求。
CA认证系统采用B/S架构,使用方便灵活,能够与支持与第三方CA认证系统对接。系统设置管理CA、多级CA,可分布式部署,能够满足不同应用场景的证书管理需求。
1、CA认证系统拓扑图
2、主要功能
功能类
|
功能点
|
功能描述
|
系统初始化
|
根CA初始化
|
使用密码设备生成CA根密钥,生成自签名的根证书。
|
管理体系初始化
|
初始化管理CA,签发超级管理员和审计管理员。
|
|
配置管理初始化
|
配置数据库、目录服务LDAP等。
|
|
多级CA管理
|
子CA创建
|
创建多级CA,指定上一级CA后可以签发子CA。
|
子CA编辑
|
超级管理员可以编辑CA的发布配置。
|
|
子CA停用
|
超级管理员可以停用指定的子CA。
|
|
子CA删除
|
对于未启用的子CA,超级管理员可以删除。
|
|
操作员管理
|
超级管理员管理
|
系统初始化时生成超级管理员,支持门限方式,具有超级管理员权限后,可以对未登录的超级管理员进行删除、添加等管理。
|
业务管理员管理
|
具备超级管理权限可以进行业务管理员管理,包括添加、删除、权限分配等操作。
|
|
业务操作员管理
|
具备业务管理员权限能够进行操作员管理,包括添加、删除、权限分配。操作员负责证书申请提交、审核、下载。
|
|
审计管理员管理
|
系统初始化时生成审计管理员,负责系统日志的审计管理。
|
|
模板管理
|
双证书模板支持
|
支持加密证书、签名证书模板,对于CA可以指定证书模板。
|
用户信息模板支持
|
支持定制用户基本信息,包括DN项,用户账号,指定证书模板类型等。管理员可以生成、修改、删除用户信息模板。
|
|
证书模板支持
|
支持定制证书扩展的基本信息,包括密钥标示、密钥用途、CRL发布点、证书策略等。管理员可已生成、修改、删除证书模板。
|
|
用户加密密钥管理
|
加密密钥预生成
|
密钥管理系统根据系统配置预生成指定数量的密钥对,支持预生成RSA-1024位、RSA-2048位、SM2密钥对。
|
加密密钥托管
|
用户可以选择把加密密钥对在密钥中心托管,在密钥损坏或者丢失时,可以进行密钥恢复。
|
|
加密密钥恢复
|
用户可以通过身份认证系统提交加密密钥恢复申请,托管密钥可以恢复到用户的证书存储介质中。
|
|
加密密钥注销
|
注销后的证书,要在密钥管理系统完成加密密钥的注销。
|
|
加密密钥备份
|
提供用户加密密钥对的备份/恢复功能,加密密钥对采用加密设备的设备主密钥进行加密。
|
|
证书管理
|
证书申请
|
用户提交证书申请材料给操作员,操作员录入证书申请,提交审核。
|
证书注销
|
用户提交证书注销申请给操作员,操作员录入证书注销申请,提交审核。
|
|
证书更新
|
用户提交证书更新申请给操作员,操作员录入证书更新申请,提交审核。
|
|
证书归档
|
为了提高证书管理效率,系统可以归档已过期证书,归档证书有单独的查询界面。
|
|
证书下载
|
审核员审核完证书申请以后,操作员可以在证书下载页面下载证书到用户证书载体中。
|
|
证书审核
|
审核员审核操作员录入的证书申请,同意或拒绝颁发证书,操作员可在审核信息查询界面查询审核结果。
|
|
邮件通知
|
用户状态变更时,系统可根据策略配置,给用户发送邮件通知。
|
|
证书到期提醒
|
根据系统配置的提醒时间,证书到期前会发送邮件给用户,提醒按时更新证书。
|
|
用户自服务
|
用户可以登录自服务页面,完成根证书下载、CRL下载、用户证书查询等功能。
|
|
证书黑名单管理
|
CRL定时签发
|
系统根据配置的定时签发测略,定时签发CRL。
|
CRL手动签发
|
操作员可以手动触发CRL签发,签发最新的CRL。
|
|
CRL发布点管理
|
支持设置CRL发布点,供用户或第三方系统下载使用。
|
|
日志审计
|
日志生成
|
系统记录关键业务操作,以备审计。
|
日志审计
|
审计管理员审计业务日志,检查日志是否篡改,检查是否有违规操作或安全隐患。
|
|
日志归档
|
系统提供日志归档功能,可以根据时间段归档早期的业务日志。
|
|
日志查询
|
系统提供根据时间段查询日志的功能。
|
|
备份恢复
|
数据库备份恢复
|
系统支持定时数据库备份及灾难恢复功能。
|
密码设备密钥备份恢复
|
密码设备密钥备份采用门限备份,恢复时需要满足门限规定的管理员同时登录密码设备。
|
|
应用扩展
|
OCSP证书状态查询
|
基于标准的OCSP协议提供证书状态在线查询,能够实时检验证书是否有效。
|
目录服务
|
支持LDAP、Active Directory等目录服务,按照DN结构发布CA证书、用户证书、CRL等公开信息。
|
|
时间戳
|
提供基于标准时间源的时间戳服务,对用户请求数据添加时间戳。
|
|
性能扩展
|
证书容量扩展
|
可支持多种数据库,用户证书可以平滑升级到1000万数量级,并提供自动、手动数据备份。
|
签名验证扩展
|
签名验证可以采用硬件密码卡,验证速度〉=1000次/秒,在多应用情况下支持硬件签名验证服务器,支持集群部署,验证速度〉=8000次/秒。
|
|
底层设备扩展
|
CA硬件支持
|
采用JCE接口调用加密设备,支持主流密码厂家的加密卡、密码机等加密设备。
|
用户证书载体
|
采用PKCS#11接口调用证书载体,支持主流厂家的Key、IC卡等证书载体
|
|
第三方CA接入支持
|
第三方密钥中心接入支持
|
采用密码局标准接口,可以接入到第三方运营机构的密钥中心,为用户提供基于第三方的加密密钥托管服务。
|
第三方CA接入支持
|
RA用户注册系统采用标准接口,可以接入到第三方运营机构的CA认证中心,为用户提供数字证书管理服务。
|
|
应用开发支持
|
C/S应用模式支持
|
提供C/S应用开发接口,包括C、Java、.net等,为应用开发提供证书应用、签名/验证、加密/解密、数字信封、身份认证等接口支持。
|
B/S应用模式支持
|
提供满足B/S应用的ActiveX/NP控件,后台支持C、Java等主流编程语言,支持IE系列、FireFox系列浏览器。
|
|
移动应用支持
|
提供满足Ios或Android操作系统的接口支持,移动应用可以实现Pkcs#10证书申请、证书保存、证书解析、签名/验证、P7数字信封等安全应用。
|
|
域证书支持
|
智能卡登录
|
可以签发域控制器证书、域用户证书,实现Windows系统的智能卡登录功能。
|
Scep证书应用支持
|
第三方应用证书管理支持
|
可以安全可靠的为网络设备、第三方应用系统在线提供数字证书申请、下载、更新、注销等服务。
|
3、产品特性
特性类
|
特性点
|
详细描述
|
证书策略支持
|
国家根策略
|
支持接入国家统一根,提供接入统一根的Pkcs#10证书请求,支持统一根发布。
|
交叉认证策略
|
支持与其他CA的交叉认证,提供交叉认证策略。
|
|
证书服务策略
|
遵循国家安全标准提供证书管理的基线安全策略。
|
|
身份鉴别策略
|
提供身份命名、身份验证、证书验证、密钥更新、恢复的相关策略。
|
|
自定义证书策略
|
根据应用需求自定义证书管理、身份鉴别等证书策略。
|
|
审批流定制
|
证书申请录入
|
支持用户远程录入、操作员本地录入申请人信息的定制服务。
|
证书审核
|
支持操作员权限定制,批量审核、权限下放等定制服务。
|
|
证书下载
|
提供远程证书下载、本地操作员下载等定制服务。
|
|
一证书多应用支持
|
支持主流ERP厂家、OA厂家
|
客户端可以通过UID、PID、DN、SN等模式标示用户身份,支持用友NC、金蝶KS、浪潮GS等主流厂家的ERP系统。 支持天卓OA等业界各种OA办公系统。
|
支持主流的VPN网关设备
|
提供基于CRL、OCSP证书验证策略,能够与安达通、网康等VPN厂家的设备无缝集成。
|
|
支持云服务
|
支持VMware、Ctrix的云证书应用,同时支持国内基于VDI技术的虚拟应用。
|
4、性能指标
在企事业单位信息化建设中,只要涉及到网络办公、在线交易、用户登录、文件传输、尤其需要在线进行资金业务(制单、付款等),从安全角度而言,都必须加强安全防护,而CA认证系统则是整个安全防护的基础。