菜单
 
菜单
  产品与方案
    > 证书类别
    > 应用产品
    > CA系统建设
    > 行业应用

  服务直通车
  ◆ 电子认证业务规则
  ◆ 根证书下载/安装
  ◆ 证书实体查询
  ◆ 老用户CRL下载
  ◆ 新用户CRL下载
  ◆ 责任书下载
  ◆ 下载专区

 当前位置:首页 - 产品与方案 - PKI支撑产品与服务
PKI支撑产品与服务

PKI支撑产品与服务
    湖北CA除提供数字证书认证的基本服务外,还提供与数字证书应用的相关PKI安全支撑产品和服务。所提供的产品和服务涉及到大多数网络信息安全关注点,包括身份认证、网络安全传输、数据信息安全等。
> 智能存储器
    数字证书为一种软件实体,湖北CA为其提供两种数字证书智能存储器,用于保证数字证书及其私钥的安全。
(1)USBKEY
    基于USB标准接口的智能钥匙,是目前使用最为广泛的证书存储器。
    
    USBKEY中采用国家标准的SSF33加密算法保护数字证书所对应的私钥,并使用PIN码安全机制,从而保证数字证书的使用安全。
湖北CA提供的USBKEY拥有以下特性:
【标准算法】
·支持RSA(1024/2048bit)、ECC(192bit)非对称算法;
·支持DES、3DES对称算法;
·支持SSF33等国密算法;
·支持SHA1、MD5等Hash算法;
【通用标准和规范】
·标准USB1.1接口;
·支持X.509 V3格式数字证书存储标准;
·支持PKCS相关协议;
·支持Microsoft CSP接口标准;
【功能】
·对PC/SC、BOT、HID、CCID四种USB协议提供支持;
·内置国产安全专用CPU智能芯片;
·存储空间有16K/32K/64K等,可根据不同需求存储数字证书、密钥、密码等信息;
·芯片采用SSF33密钥对,私钥不可导出,芯片内部实现签名/验签、加密/解密功能;
·标准的CSP接口,可实现与各类浏览器无缝集成;
·拥有PIN码二次安全防护功能,PIN码具有有效次数限制,防止恶意输入;

(2) 智能IC卡
    智能IC卡是一款结合PKI技术与标准IC卡技术的数字证书存储设备,可用于身份证件卡、门禁系统卡、金融服务卡。其内置微处理器,可存储X.509数字证书,并可生成公私密钥对,采用加密算法保护私钥不被导出,保证用户数字证书的使用安全。
    湖北CA提供的智能IC卡特性如下:
----符合《ISO/IEC 7816-1/2/3/4》标准规范;
----支持X.509 V3格式数字证书存储标准;
----采用1024位RSA算法协处理器;
----支持SSF33等国密算法;
----支持T=0和T=1的接触界面通讯协议;
----支持口令保护;
----存储容量有16K等级别。
> 证书管理工具
    客户端证书管理工具,可供自动检测和查阅证书信息,能协助用户完成更改 PIN 码,注册证书,导入 / 导出证书、注销证书等日常证书维护功能,极大地方便了用户的使用及管理证书。
   若配合 USBKey 同时使用,还可提供自定义关联站点。插 Key 后自动激活证书存储介质并引导至自定义站点,方便用户操作;拔 Key 后自动检测并关闭访问自定义站点的客户端浏览器,全程安全保证。

> 证书应用开发套件
    湖北CA提供一套符合PKI相关协议标准的证书应用开发套件,该应用套件实现基于数字证书的一系列安全应用领域的操作,其主体功能如下图所示:
    

    证书应用开发套件具有多语言接口标准(如JAVA、.NET、C、C++、Delphi、VB等多个版本),并依赖多种形式的开放接口(如JCE/JCA、Microsoft CryptoAPI、硬件设备的CSP标准等),提供包括服务器端和客户端在内的多种实现形态(如jar包、dll库文件、ActiveX控件等)。所支持的软件运行环境包括Windows98/2000/ XP / 2003/Vista、Unix(Solaris/Aix)、Linux等操作系统。

(1)数字证书解析
    湖北CA所提供的数字证书解析功能用于解析符合RFC2459规定的X.509标准格式的数字证书,解析内容如下:
a)X.509 V3版本数字证书
    V3版本是湖北CA对外提供的标准的数字证书格式版本。
解析内容包括:
X.509 V1基本属性域;
X.509 V3增添的基本属性域;
X.509 V3增添的标准扩展项域;
X.509 V3增添的自定义扩展项域。
b)X.509 V2版本数字证书
    V2版本证书是特殊的数字证书,用于标示证书废止列表(CRL)。
解析内容包括:
废止证书的序列号;
废止证书的废止原因;
CRL生效日期。
由于数字证书包含有用户的信息资料,因此解析数字证书在系统应用中具有重要意义,如可提取用户使用数字证书的相关信息用于权限校验等。
(2)CA认证
    开发套件通过数字证书的三个认证级别提供认证服务:
a)湖北CA根证书认证
    校验是否为湖北CA所签发的数字证书。
b)CRL校验
    校验用户所使用数字证书是否因废止写入CRL证书。
c)OCSP查询
    通过使用湖北CA提供的OCSP查询服务,应用系统可监测并获取系统用户所使用的数字证书的实时状态和有效期等证书基本信息,并可提供证书模糊搜索功能。CA认证在应用中适用于实现系统用户的身份认证。

(3)安全应用
    提供符合PKCS协议标准的开发接口,具备以下功能:
a)对数据信息进行Hash摘要计算可实现SHA1和MD5算法。
b)对数据信息(包括文件对象)进行数字签名和签名验签的操作签名所实现的格式、步骤及顺序完全遵照PKCS#7的Signed-data ContentInfo类型,支持常用非对称算法(SHA1/RSA、MD5/DSA),支持密钥长度为1024位。
c)对数据信息(包括文件对象)进行数字信封和解密数字信封的操作加密所实现的格式、步骤及顺序完全遵照PKCS#7的Enveloped-data ContentInfo类型,支持常用非对称算法(RSA、DSA),支持1024位密钥长度。
d)可实现带数字签名功能的数字信封操作此部分的开发接口在系统安全应用中具有普遍的适用性,如加密机要文件、领导指令性文件的签署、系统日志的不可抵赖性等多方面应用。
> 证书注销列表自动同步工具
      证书注销列表,即:通常所说的 CRL ( Certificate Revoke List ),因时间或者安全原因被废除的证书列表。
   数字证书是 CA 签发的一种具有有效性的数字产品。其公正的可靠性是由 CA 机构保证的,因此 CA 机构会记录所有被注销掉的数字证书。这些记录被 CA 存储在基于 X.509 的 V2 标准的 CRL 文件中。 CA 会定时的更新 CRL 文件,并向外界发布 CRL 。
   该工具部署在客户应用系统的服务器端。可根据客户需要,定制需跟踪同步的 CA 中心的 CRL 发布地址,以及同步的时间间隔、本地 CRL 文件存放地址等属性。自动定时触发将 CA 中心的 CRL 同步到本地,更新本地 CRL 文件,同时自动安装到本地证书库。
   客户应用系统可以直接访问本地 CRL 校验数字证书是否被注销,保证数字证书的有效性。免除了客户自行开发同步程序的工作,同时提高了证书使用的安全性。

> 电子签章
    电子签章利用电子签名技术对电子文件进行签名或加盖印章,使其具有法律效力。通过使用电子签章可辨别电子文件签署者的身份,确保文件的真实性、完整性和不可抵赖性。电子签章是数字签名的直观表现形式,在用户接受程度和使用方便性上拥有较大优势,使用范围广泛,如公司内部机密文件的流转、公司商务合同的签署、政府领导文件的签名等。涉及电子政务、电子商务、金融机构、医疗机构等众多领域。
电子签章示例图如下:

【特点】
·支持多种文件格式(如word、excel、IE表单、PDF、AutoCAD等),并可定制特殊文件格式;
·采用电子签章图片生成器,支持手写签名采集;
·进行过电子签章操作的文件,一旦绑定区域被篡改,电子签章将失效;
·支持多重印章及多重电子签名;
·签章时需输入USBKEY的PIN码进行校验签章者身份;
·经过签章加密的文件,打印时须校验打印密码,同时可对打印份数进行控制;
·通过安全的服务器进入在线签章流程,并享受服务器统一签章管理、授权。
·提供设置时间戳的接口,为高级用户提供公认有效的时间功能。
【标准规范】
·根据国家行政机关公文格式(GB/T9704-1999)生成位图图章;
·符合X.509 V3版本数字证书;
·采用标准DES算法;
·采用标准RSA算法;
·采用标准SHA-1Hash算法。

> 时间戳
    时间戳是利用可信任的第三方标准时间源(如国家授时中心时间源)进行精确时间认证的服务。
时间戳服务常用于高精确时间定位需求的电子商务领域,如招投标系统,股票交易系统等。时间戳是利用数字签名在交易过程中附加一个可信赖的时间标识,从而为交易双方提供有法律效力的凭证。由于时间信息来自具有公信力的标准时间源,故可被交易双方接受认可。
    湖北CA提供关于时间戳的完整的技术方案,包括系统架构、网络部署及相关技术接口文档,并负责现场实施,提供完善的售后服务。

> 安全电子邮件
    电子邮件已经成为互联网中最常用的信息交换方式,但由于电子邮件是基于开放协议标准(SMTP/POP3/IMAP)所实现,因此存在非常大的安全隐患。安全电子邮件通过使用数字证书并利用数字签名和数字信封技术实现S/MIME(the Secure Multipurpose Internet Mail Extensions,安全多用途因特网邮件扩展)标准,以签名邮件和加密邮件的形式确保电子邮件的安全性。
安全电子邮件关注以下安全盲点:
·保证邮件的传输完全;
·保证邮件的存储安全;
·邮件发送者身份确认;
·邮件接收者身份确认。
    湖北CA提供的安全电子邮件依据标准的S/MIME协议,可与各类常用的支持S/MIME的邮件客户端(如OutLook、FoxMail、Mozilla Mail)互发安全邮件,具有良好的通用性。
湖北CA提供两类安全电子邮件类产品:
(1)Security Webmail系统
    基于JAVA平台开发的webmail应用系统,拥有包括邮件收发、大容量附件发送、联系人管理、日志管理等基本邮件功能,同时实现S/MIME安全电子邮件的功能,支持湖北CA颁发的数字证书进行签名邮件和加密邮件的发送和接收,支持与常用邮件客户端互发邮件。
(2)Security Email 接口
    符合S/MIME协议标准的软件接口,目前提供JAVA版本,可与各类JAVA环境应用系统的集成,实现安全的电子邮件功能。
> 可信站点认证
    网站日益成为重要的信息展示平台,直接关乎建站者的利益。但一直以来网站的冒用情况屡见不鲜,包括域名的冒用、网站信息内容的冒用等。
    湖北CA提供可信站点认证服务,在网站上添加湖北CA可信站点图标。
    
    用户点击图标即可通过湖北CA提供的站点认证服务,查看认证信息,确认所访问站点的真实可靠性。
    下图为湖北CA(www.hbca.org.cn)站点认证信息。
    

> SSL通道
    SSL——安全套接层协议。建立在该协议基础之上的SSL通道是国际广泛应用的网络安全传输方式。包括各类电子商务网站、网上银行,都使用的是SSL通道。SSL在客户端和服务器端之间建立了一条安全信息传输通道,使所有传输的数据都是经过加密后进行交互的。使用https方式访问的域名地址都是使用的SSL协议。现行的绝大部分浏览器都默认支持SSL协议,因此对于B/S架构,不需要对客户端进行任何设置。
下图为SSL协议原理图:

湖北CA提供以下服务器的SSL通道搭建服务:
·IIS 4.0/5.0/6.0服务器
·Tomcat5.x/6.x服务器
·Apache1.x/2.x服务器
·WebLogic8.x/9.x服务器
·Websphere5.x/6.x服务器
·Domino7.x/8.x服务器

> SSL VPN
    VPN(虚拟专用网)已经发展成为成熟的技术。它通过一个公用网络(Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
    SSL VPN可以实现对多个系统的统一SSL配置,并控制各应用系统的安全连接。SSL VPN采用数字证书作为VPN连接认证方式。它在传输层和应用层之间建立远程访问连接,客户端只需要通过WEB浏览器即可远程访问企业内部网络及应用,并且SSL VPN提供端到端的分层安全,提高远程访问的安全性,从而防止信息泄露,非法用户访问等。

【功能】
·对使用VPN连接的可访问应用进行管理,包括应用查看、添加、删除、修改;
·对登录服务器的用户管理,包括用户的分组、添加、删除、修改及权限管理,使管理员可以因实际所需而对已存在用户及未有用户进行具体操作管理;
·对VPN服务器进行系统、网络、防火墙等参数的设置,从而实现满足用户需求的VPN连接;
·对VPN服务器的日常运作进行监控管理和日志查看,包括对服务器运行状态、用户登录服务器情况及对本管理配置系统的登录使用情况进行监控。
【特点】
·对多应用系统可进行统一SSL配置;
·更加安全的信息传输通道;
·支持多应用和分组访问控制;
·支持内置防火墙;
·更加适用于移动性办公。

> 硬件加密机
    硬件加密机又称主机加密服务器,它是利用数字签名和数字信封技术保证用户在网上传递信息的机密性、完整性、有效性。硬件加密机相对于加密软件而言,具有运算速度快,强度高,并发量大的优势,主要是为服务器、小型机、大型机提供加密服务,现已广泛应用于金融、证券、邮政、税务、电信、电子政务、电子商务等领域的大型网络安全项目中。
【功能】
·密钥生成:可以生成1024/2048位的RSA非对称密钥,亦可以生成对称密钥;
·密钥存储:可以存储99对非对称密钥和300个对称密钥,密钥存储安全,不可随意导出;
·密钥备份:可以根据需要在满足权限的情况下将硬件加密机内的密钥等重要信息进行加密后备份到其他存储介质中并可导入相同型号的硬件加密机中;
·数字信封:使用非对称密钥或对称密钥实现数据的加密和解密,加密速度快、可靠;
·数字签名:使用RSA非对称密钥对信息进行数字签名;
·权限管理:可以初始化管理员、操作员,负责管理员、操作员权限的判断。管理员口令采用分割权限的密钥管理机制。
【特点】
·支持主流操作系统:Win98/2000/NT、SCO Unix、SUN Solaris、Linux、AIX、FreeBSD、AS400、HP Unix等操作系统;
·支持PKI标准接口:PKCS#11、MS CSP、JCE、BASFE、CDSA;
·支持多种密码算法:包括非对称算法RSA算法,对称算法SSF33、DES、3DES;
·支持TCP/IP协议:可提供高效安全的加密服务;
·高可靠性:双机热备,具备高效的冗余处理机制;
·方便适用:提供友好的管理界面,更加容易方便的进行加密机密钥及服务管理操作。

 
顶部文件
                                     Copyright © 2010 HBca.org.cn All Rights Reserved. 湖北CA 版权所有 鄂ICP备05004056号
                                              地址:湖北省武汉市武昌区水果湖东一路19号  邮编:430071