数字证书认证系统(CA系统)是我公司研制的公钥基础设施解决方案的基础平台,该系统支持证书在线服务,可实现 对证书的制作、撤销、延期、冻结、解冻、更新、恢复的全生命周期管理,为应用系统的身份认证和管理提供的服 务支撑。数字证书认证系统主要包括:证书签发子系统、证书发布子系统、证书注册子系统、密钥管理子系统以及 根CA 系统等。
数字认证证书系统可广泛应用于政府、石化、电力、税务、公安,金融机构等领域行业CA建设,也可应用于企业 级的CA建设。
包括管理员身份认证、
管理员权限划分、
密码机参数配置、
日志管理、
口令修改。
密钥生成:通过加密机预生成所需的非对称密钥;
密钥发送:采用安全加密通道把密钥对传送给用户;
密钥存储:密钥管理系统的各类密钥均需安全加密存储;
密钥归档:对使用的密钥进行归档;
密钥恢复:个人要求密钥恢复,通过RA管理员,访问密钥管理中心进行密钥恢复。
证书在线发布:当签发完证书后,将证书放入目录服务器中,通过LDAP提供在线证书查询下载服务功能;
CRL 在线发布:系统定时生成CRL列表,支持Web和LDAP发布,供用户查询下载;
OCSP在线查询:为保证实时证书状态验证的需要,用户可以通过标准OCSP接口来获取证书有效性的检查结果。
证书签发:签发各种证书(个人、设备及服务器证书等);
完整证书生命周期管理(证书申请、更新、注销等);
证书查询:通过Web以特定条件查询证书和CRL;
证书归档:保留所有已签发的证书。
系统初始化:系统内部证书的生成等;
入根管理:接入上级根CA系统;
系统管理:证书策略的制定、各类管理员的管理等;
系统日志与监控:系统运行、管理日志记录及管理;
数据备份与恢复管理:提供完全备份、恢复功能,能够灵活定制备份策略。
系统证书的管理:管理系统中所有的服务器证书;
权限分配:设置系统中所有管理员和操作员权限;
访问控制服务:提供所有的软件模块实时的访问控制服务;
日志管理:实时接收并保存系统中所有软件模块事件日志;
审计:统计分析并管理各类安全事件日志,对其进行安全审计。
设计符合国际相关标准及规范:
《X.509公开密钥和属性证书框架》、《公钥密码标准PKCS》等;
设计符合国家相关标准及规范:
《数字证书认证系统密码协议规范》、《SM2密码算法加密签名消息语法规范》、《证书认证系统密码及其相关安全技术规范》等。
密码设备安全:采用的密码设备均通过国家主管部门的鉴定和批准;
通讯安全:系统间通信采用安全通信协议进行保护;
数据安全:提供系统数据归档、备份和恢复功能,关键数据进行加密或签名保护;
人员安全:系统管理员采用三权分立原则管理并进行权限控制,采用数字证书进行身份认证。
支持灵活的证书模板制定,包括证书主题项、扩展项、有效期内容定制;
支持多种非对称密码算法;
支持多种CSP接口、国密接口的证书介。
密系统可接入上级信任体系,可与其他认证体系实现交叉认证;
支持多级CA、RA结构部署;
LDAP支持一主多从结构部。
CA数字证书认证系统是信息系统安全基础设施,在企业内部建设CA数字证书认证系统后,签发的数字证书可作为业务系统用户的身份认证凭证,并能对关键交易进行签名,实现防抵赖和防篡改。同时制定统一的安全规范和安全策略,使建设的CA系统能够满足未来各业务系统统一安全入口和统一账户管理的扩展需要。
