一、产品介绍
渔翁签名验签服务器严格按照国家密码管理局GM/T 0029-2014《签名验签服务器技术规范》等技术规范进行设计,产品已取得国家密码管理局商用密码检测中心颁发的商用密码产品认证证书,支持SM1、SM2、SM3、SM4等密码算法,能够为各类信息系统提供数字签名和验签、基于数字证书的身份认证、基于数字证书的加解密等安全保护,保证关键业务信息的真实性、完整性和不可否认性。
产品可应用于电子商务、CA认证、网上银行、证券交易、司法公证等信息系统的服务端,提供高安全强度、高效率、高可靠性的密码服务。
二、产品特点
1.高安全性
遵循国家密码管理局签名验签服务器相关设计标准规范,采用严格的密钥管理和权限管理机制,以硬件密码安全模块实现密码算法,密钥由真随机数发生器(硬件密码模块)产生,并以密文的形式存储在签名验签服务器内置密码卡中。即使签名验签服务器被盗取,也因没有权限无法从中获取到任何机密信息,有效保证签名验签服务器自身的数据安全。
2.高可靠性
采用工业控制级硬件平台、合理的结构设计,能够在恶劣的环境下稳定高效的运行。支持断链修复,即当签名验签服务器网络断开后,签名验签服务器会不断尝试修复连接,当网络恢复正常时,自动恢复链路,不用重新启动业务服务。
3.高适应性
产品通过网络提供密码服务,不受业务服务器硬件设备的限制,不会存在硬件兼容性问题。
4.良好的用户体验
通过WEB浏览器进行设备配置管理,提供可视化的操作界面,设备配置操作全部可以在操作界面上完成。
5.灵活多样的API接口
支持多种API接口,包括基本接口FMAPI以及标准的PKCS#1、PKCS#7、PKCS#11、CSP、JCE等接口。同时可以根据用户需求定制接口。
6.安全的密钥管理体系
严格按照国家签名验签服务器相关设计规范设计,采用三级密钥结构设计,包括设备主密钥、密钥加密密钥和应用密钥。设备主密钥用来保护密钥加密密钥,密钥加密密钥用来保护应用密钥。密钥在签名验签服务器内部是以密文的方式存储,不能以明文的形式从签名验签服务器导出。
三、产品优势
1.数字签名和验证签名功能
支持SM2算法数字签名,为应用系统提供数字签名、验证签名核心功能,实现对数据、消息、文件等多种格式的密码运算服务。
2.证书有效性验证
提供对证书的有效性进行验证,包括验证证书有效期、CA证书链、OCSP验证、CRL验证和LDAP验证等多种验证方式和组合。
3.支持多CA证书管理
支持导入多个CA根证书或证书链,并对其进行管理,支持多CA证书同步验证。
4.数字信封
支持PKCS#7模式的数字信封产生和解密。
5.用户证书管理
提供对用户证书进行管理功能,包括用户证书的导入导出、存储、验证、查询等,实现用户证书统一管理和维护,同时提供了多种证书验证策略,实现对用户证书不同的验证方式的自由组合。
6.证书解析
提供证书基本信息的解析功能,可以获取证书颁发者、数字签名算法、签名值、主题及有效期等。
7.数据备份恢复
支持签名验签服务器内部密钥以及配置信息的备份与恢复。
8.真随机数生成
真随机数可以用作密钥。采用由国家密码局审批的WNG-9随机数发生器产生时间的真随机数,随机数质量符合GM/T 0005-2012 《随机性检测规范》等国家密码标准要求。
9.访问权限控制
采用强身份认证机制实现访问控制,系统分为管理员和审计员两种角色管理,管理员负责系统相关配置管理,审计员负责日志管理。
10.运行监控功能
主要对CPU和内存的利用率、磁盘占用率、网络状态、用户登录状态等对象进行实时监控。
11.安全审计管理
提供全面的安全日志记录功能,含日志记录、查看、审计和导出功能。
12.系统管理
提供对系统进行维护和管理的功能,便于系统管理员进行日常维护。
13.时间同步
支持NTP时钟同步功能协议。
14.应用开发接口
遵循GM/T 0029 《签名验签服务器技术规范》的消息协议要求,提供功能丰富的应用接口,包括导出证书、解析证书,解析获取证书信息、验证证书有效性、数字签名与验证、消息签名与验证。
15.接口库
提供签名验签服务器基本接口FMAPI和标准密码算法接口,如:PKCS#11、JCE、PKCS#7等,并支持Linux、银河麒麟、中标麒麟、统信UOS、Win7/Win8/Win10/XP/2003/2008/2012等操作系统。可以根据用户需求进行定制开发。
16.双机热备
双机热备是指一台签名验签服务器作为备机,为另一台签名验签服务器提供保护的功能,当主机发生故障时,备机可以自动代替主机提供密码服务,确保密码服务的可靠性。
17.多机并行
支持多台签名验签服务器同时为业务服务器提供密码服务。
18.断链修复功能
断链修复就是在签名验签服务器网络断开后,会不断尝试修复连接。当网络恢复正常时,业务数据会继续发送,不用重新启动业务服务,提高密码服务可靠性。
