数字签名服务器 财政行业版 产品白皮书Word下载.docx
《数字签名服务器 财政行业版 产品白皮书Word下载.docx》由会员分享,可在线阅读,更多相关《数字签名服务器 财政行业版 产品白皮书Word下载.docx(10页珍藏版)》请在冰点文库上搜索。
吉大正元数字签名服务器正是一款以《电子签名法》为指导,以数字证书技术为核心的具有全部自主知识产权的产品,对外提供数字签名和数字信封功能。
其主要应用领域包括企业信息系统、网上政府采购、金融、财会、保险行业、食品、医药、教育、科学研究以及文件管理等方面,尤其突出的是在金融行业中的应用。
目前国内的网上银行业务基本上都采用了数字签名技术。
通过数字签名,银行可以很好的审核网银用户身份的真实性,保证网银业务数据交易的完整性和不可否认性。
总之,数字签名服务器在保障电子商务、电子政务信息安全,提供公正、可信认证服务上正发挥着重要作用。
1.2术语和缩略语
●术语
名词
解释
数字签名
采用PKI技术,先对原文信息进行摘要(Hash),然后通过私钥进行签名处理,生成签名信息,签名信息只有私钥才能产生,签名过程不可逆,通过数字签名,可以保证明文数据的完整性和不可抵赖性
数字信封
结合加密技术和数字签名技术,把明文信息进行加密打包,生成的信息中包含被加密保护的明文信息和数字签名信息,形如一个信封,称为数字信封。
通过数字信封,可以在开放的网络环境中进行数据的安全存储,既保证数据的安全性,又保证数据的完整性和准确性
不可抵赖性
是指对行为的确认,确定行为必须是某人或某机构所为,不能否认,数字签名通过非对称密码技术和PKI管理体制保证不可抵赖实现
数据完整性
表明数据没有遭受以非授权方式所作的篡改或破坏
轻量级目录访问协议
LDAP,即LightweightDirectoryAccessProtocol的缩写,是一种较为简单的轻量级目录访问协议。
随着互联网成为网络的主流,LDAP也成为一个具备目录的大部分服务的协议。
证书标准
国际电话与电报咨询委员会(CCITT)规定的一种行业标准。
在这个标准中提供了一个数字证书的标准格式,规定数字证书必须包含的一些信息:
如版本号、序列号、签名算法、有效期限等
●缩略语
缩略语
英文
中文
CA
CertificateAuthority
数字证书中心。
作为权威的第三方负责发放数字证书
CRL
CertificateRevokeList
证书吊销列表
LDAP
LightweightDirectoryAccessProtocol
OCSP
OnlineCertificateStatusProtocol
在线证书状态协议
PKI
PublicKeyInfrastructure
公钥基础设施
2产品概述
2.1产品简介
吉大正元数字签名服务器是一套基于开放的公钥密码标准(PKCS)开发,提供数字签名、数字信封等服务的硬件安全产品,满足用户在网络交易中行为不可抵赖,信息完整性、私密性等需求。
2.2产品结构
吉大正元数字签名服务器由数字签名服务器和数字签名客户端组成,均可独立提供数字签名、数字信封等服务。
图21吉大正元数字签名服务器体系架构
数字签名服务器包括签名服务器和服务器接口(V-STK):
对外提供服务时,应用数据通过V-STK传入签名服务器,处理后再经由V-STK传出供应用系统获取;
管理员可通过WEB方式登陆控制台,对证书及其相关参数进行配置,以提高服务管理效率。
V-STK提供Java接口、COM接口、C接口,方便用户应用系统的调用。
数字签名客户端为独立运行的组件(V-CTK):
对外提供服务时,应用系统通过V-CTK提供的接口函数将数据传入,处理后再经由接口函数传出。
V-CTK支持标准CSP技术,支持标准软证书、硬证书。
有ActiveX控件开发包、Jar包、DLL链接库等多种方式,供用户选择。
2.3部署结构
2.3.1用户签名
图22数字签名服务器用户签名部署结构图
吉大正元数字签名服务器支持嵌入B/S或C/S系统中,应用系统客户端调用数字签名客户端,保证了用户作为单一个体,身份的正确性和不可否认性。
应用系统服务器端调用数字签名服务器的服务器接口,充分发挥了数字签名服务器证书验证的功能优势和并发处理的性能优势。
2.3.2系统结构
图23数字签名服务器系统签名部署结构图
吉大正元数字签名服务器在系统间的数据传输上发挥着重要的作用,应用系统调用数字签名服务器的服务器接口,保证了作为应用系统唯一标识的身份正确性和不可否认性,同时充分发挥了数字签名服务器并发处理的性能优势,保证了应用的顺利、稳定运行。
3功能特点
3.1产品功能
3.1.1数字签名服务器
3.1.1.1数字签名
数字签名服务器支持对数据、文件制作数字签名,签名结构符合PKCS#7标准;
支持验证符合PKCS#7标准的签名结果。
数字签名服务器支持对数据制作数字签名,签名结构符合PKCS#1标准;
支持通过证书导入、证书配置方式验证符合PKCS#1标准的签名结果。
-身份验证
使用证书进行数字签名,接收者可验证签名,而其他任何人都不能伪造签名。
-事后验证
使用证书进行完整数字签名,签名结果中包含签名时的全部证书状态信息,接收者可在生成后的任意时间验证,而其他任何人都不能伪造。
-数据完整性
对重要数据、文件制作数字签名,如果验证签名失败,说明数据的完整性遭到破坏。
-行为抗抵赖
对操作行为(数据形式)制作数字签名,签名者事后不能否认自己的签名。
3.1.1.2数字信封
数字签名服务器支持对数据、文件制作数字信封,信封结构符合PKCS#7标准;
支持解密符合PKCS#7标准的信封结果。
-数据私密性
对重要数据、文件制作数字信封,通过双层加密技术来保障数据的私密性。
3.1.1.3证书验证
数字签名服务器支持对签名、加密证书进行全面验证。
可根据配置不同CA签发的根证书,验证证书的信任域;
根据系统时间,验证证书的有效期;
根据CRL或OCSP验证证书状态。
证书状态验证方式包括,标准OCSP协议验证证书,连接LDAP服务器更新CRL验证,连接WEB服务器更新CRL验证。
3.1.1.4交叉验证
通过数字签名服务器制作的数字签名、数字信封,结构严格遵循PKCS#7标准,可供其他CA机构验证。
数字签名服务器支持配置多信任CA签发的根证书,可验证不同CA机构签发的符合PKCS#7标准的签名、信封结果。
3.1.1.5双机热备
数字签名服务器内置双机热备系统,采用主备机模式,主机(处于工作状态的机器)与备机之间通过网口连接心跳线,用于监听对方机器是否处于正常工作状态,当备机发现工作机停止工作时,通过自己的双机功能将主机的服务切换到备机,由备机继续提供服务。
当主机恢复正常后,服务自动切回到主机。
双机热备功能用于解决数字签名服务器的单点故障问题,为应用系统提供更可靠的签名、信封等服务。
3.1.1.6配置管理
数字签名服务器支持串口管理、WEB管理两种方式。
串口管理采用命令行管理模式,管理员通过串口线登录到数字签名服务器,通过命令行交互界面执行相关的命令。
WEB管理是指管理员通过浏览器登录到数字签名服务器,通过管理界面进行相关配置工作。
3.1.2数字签名客户端
3.1.2.1数字签名
数字签名客户端支持对数据、文件制作数字签名,签名结构符合PKCS#7标准;
3.1.2.2数字信封
数字签名客户端支持对数据、文件制作数字信封,信封结构符合PKCS#7标准;
3.1.2.3证书扩展
证书作为用户身份标识,其中可以记载很多用户信息,如姓名、联系方式、工作单位、职务等等,也可以在CA机构定义扩展信息。
数字签名客户端支持获取证书标准信息及其扩展信息,供应用系统使用。
3.2产品特点
3.2.1标准化设计
吉大正元数字签名服务器的设计、开发严格遵循《中华人民共和国电子签名法》,对外提供的数字签名、数字信封服务,结构符合PKCS#7标准。
同时支持多家CA机构证书,证书符合X509v3标准。
客户端支持CSP标准的硬件产品。
3.2.2易用性设计
吉大正元数字签名服务器支持多样的数据传入方式,可直接传入数据或传入数据存储的路径;
支持多平台、多开发语言调用:
提供JAVA、COM、C等多种类型的接口函数。
3.2.3安全性设计
基于高强度的双向身份认证,确保了管理者的合法身份。
专为数字签名服务器剪裁的操作系统,封闭了管理端口和业务端口以外的所有端口,加强了产品的抗攻击性。
3.2.4高可靠性设计
吉大正元数字签名服务器支持双机热备功能,避免单机故障;
支持联合当今市场主流负载均衡设备,满足大压力、大并发下确保产品稳定性的需求。
4产品特性
吉大正元数字签名服务器采用专用网络硬件设备生产,产品配置如下:
参数\型号
V2000-N
设备高度
1U
物理参数
390*430*44
电源
标准配置1个300W电源
工作电压
220~240V
功率
300W
网口
1000M*2
工作温度
0C--45C
相对湿度
5--95RH,不凝结
重量
15
350次/秒
签名验证
1400次/秒
图表41数字签名服务器配置表
5典型客户
中国人民银行
财政部
中国银行
国家投资中心
中国电子科技集团
中国移动浙江公司
解放军报社
6联系方式
北京公司:
地址:
北京市海淀区知春路113号银网中心B座12层
邮编:
100086
长春公司:
吉林省长春市前进大街2266号
130012
华南公司:
深圳市南山区科技园高新南一道中国科技开发院孵化楼905
518057
华中公司:
武汉市建设大道538号同城广场A栋4单元2301室
430015
西南公司:
成都市红星路肆段9号建银大厦2-14-6
610041
西北公司:
西安市南二环西段202号九座花园2402室
710068
Copyright@2008吉大正元信息技术股份有限公司版权所有
非经本公司书面许可,任何单位与个人不得擅自摘抄、复制本文档的部分或全部内容,并不得以任何形式传播
本手册以提供信息为目的,所含信息可随时更改,恕不另行通知
升级会员 