渔翁信创数字证书认证系统是渔翁信息技术股份有限公司独立自主研发的PKI密码基础支撑系列产品。产品由证书认证系统(CA)、证书注册系统(RA)、在线证书状态查询系统(OCSP)、目录服务器(LDAP)、用户证书自助服务系统(User-Service,简称US)等相关软件组成,可提供基于SM2密码算法的数字证书全生命周期管理服务,已通过国家密码管理局鉴定,商用密码产品型号为SZT1910-G。
1.系统采用B/S架构,具有较好的可移植性,支持银河麒麟、中标麒麟、UOS等国内主流操作系统,支持达梦、南大通用、人大金仓等国内主流数据库。
2.采用层次化、模块化结构设计,系统可扩展性较好,可根据建设规模灵活部署和裁剪;
3.采用富客户端技术,操作界面满足用户在多种主流操作系统下的操作习惯,界面操作简单、易用;
4.系统具有较高的处理性能,在多用户并发业务请求时具有更好的适用性,产品性能国内领先;
5.系统基于国产密码算法技术,确保CA-KMS,RA-CA间通信安全以及各自系统数据安全存储;
6.系统从底层密码设备到上层软件均为渔翁自主研发,加密机、加密卡、智能密码钥匙钥匙等均通过国家密码管理局的鉴定,系统整体的兼容性、稳定性较高。
1.符合国密规范的PKI应用体系
证书格式遵循X.509 V3/V1标准,全面支持国产SM1/2/3/4密码算法;
支持CA树状信任模式,支持CA多级扩展、多级认证和交叉认证;
2.支持双证书、双密钥机制
双证书包括签名证书和加密证书,系统支持签发双证书,也支持签发单证书,即仅签发签名证书,或仅签发加密证书;
双密钥为用户加密密钥对、用户签名密钥对;
3.完善的证书生命周期管理
系统提供证书申请、更新、查询、挂失、注销、续期、证书归档等数字证书全生命周期管理功能,可满足人员、设备、应用、机构、服务器等各类型数字证书的管理需求。
4.灵活可定制的证书模板
支持证书模板的查询、新增、修改、删除、导入、导出、复制、授权及自定义扩展的管理。可根据应用需求灵活定制证书模板,如自定义证书主题项、扩展项、有效期等。
5.弹性的证书管理策略
可灵活设置证书管理策略,包括证书有效期设置、CRL发布周期、证书手工或自动签发、证书密钥备份策略等管理功能。
6.基于角色的权限管理
支持超级管理员、业务管理员、业务操作员、日志管理员、日志审计员的权限管理,管理员的所有操作记录都应用数字签名进行抗抵赖校验。
7.完备的用户管理功能
支持用户的注册、审核、更新、查询、删除等操作,支持用户批量导入、证书批量注册和批量签发等操作。
8.支持CRL发布和下载
支持基于LDAP的证书和CRL发布方式,支持增量CRL发布。
系统支持CRL下载与更新服务,用户或应用系统能够利用数字证书中标识的CRL地址下载CRL,支持自行设置CRL更新周期。
9.安全的日志管理和审计
提供日志管理和审计功能,包括系统日志查询、操作日志查询、操作日志审计、操作归档。
可按照级别、类别、操作日期等进行日志查询和审计;
操作日志采用数字签名、访问权限控制等手段,加强系统的安全性。
10.可视化的业务统计
提供多种可视化统计报表,支持对证书状态的查询和统计。
11.支持证书实时在线查询
通过OCSP提供对证书及证书状态的实时在线查询,用户通过证书状态查询接口来获取证书有效性的状态;所有证书一旦作废,其证书状态即可实时同步到OCSP中。
12.数据备份与恢复
支持数据实时和定期备份与恢复,提供人工备份和自动备份功能。
四.应用场景
数字证书认证系统的应用领域:适用于建设区域CA,以及为政府、金融、教育、税务等企事业单位建立自己的数字证书管理系统,为内部员工、客户、合作伙伴发放数字证书。具体应用如下:
1.为政府、银行、证券等机构,以及企业应用系统的操作管理人员发放数字证书,用于生成带加密和签名的安全电子邮件、公文的安全存储和传递、以及应用系统中的身份认证和访问控制。
2.为网上银行、网上证券的用户发放数字证书,保证网上交易的安全。
3.为纳税企业和个人发放数字证书,保证网上报税业务的安全。
4.为企事业单位部署的VPN系统提供证书认证服务。
5.为视频监控系统提供证书认证服务。
延伸阅读
数字证书认证系统组成包括
数字证书认证系统由证书认证系统(CA)、证书注册系统(RA)、在线证书状态查询系统(OCSP)、目录服务器(LDAP)、用户证书自助服务系统(User-Service,简称US)等相关软件组成。
1.证书认证系统(CA)是数字证书认证系统的核心部分,通过安全通讯协议与密钥管理系统相连。为用户提供证书签发、证书模板配置、签发策略配置、人员权限管理、CRL生成、证书的查询与统计、业务与日志的安全审计等功能。
2. 证书注册系统(RA)通过安全通讯协议与证书认证系统通信,提供用户身份审核、申请信息录入、申请信息审核、证书申请、证书下载、权限管理、证书模板下载、用户密钥恢复、业务统计、日志的安全审计等功能。
3.在线证书状态查询系统(OCSP)可实现对证书状态实时查询。
4. 目录服务系统(LDAP)是证书和证书作废列表的存储体,同时也可以查询证书签发状态。
5. 用户自助服务系统(US)用于为用户提供证书自助更新服务,包括证书自助更新安装和证书查询安装。