PKI应用服务器技术白皮书.docx
- 文档编号:5851196
- 上传时间:2023-01-01
- 格式:DOCX
- 页数:6
- 大小:167.03KB
PKI应用服务器技术白皮书.docx
《PKI应用服务器技术白皮书.docx》由会员分享,可在线阅读,更多相关《PKI应用服务器技术白皮书.docx(6页珍藏版)》请在冰豆网上搜索。
PKI应用服务器技术白皮书
PKI应用服务器
技术白皮书
目录
1系统概述3
2系统原理4
3系统组成结构5
4系统功能7
5系统特点8
6典型应用简介10
1系统概述
以往的应用系统对于自身安全与系统性能之间的矛盾有两种处理方式:
∙不考虑安全问题,只重视系统的性能。
这种方式在今天看来无疑是不可取的。
没有安全保障的应用系统可以说不是一套完整的应用系统。
∙以牺牲大量的系统性能来实现系统的安全。
应该说两种方式并没有很好地解决系统性能与安全需求之间的矛盾。
凯特PKI应用服务器(以下简称“PKI应用服务器”)是福建凯特信息安全技术有限公司基于PKI技术开发的网络应用产品。
PKI应用服务器能够利用数字证书为应用系统的服务端提供数字签名、数字签名验证、数字信封制作、加密数据、解密数据、数字证书验证等一系列证书应用服务功能,完全满足现有网络应用的安全应用需求,为网络应用提供一个安全服务的统一平台。
PKI应用服务器作为单独的服务器,与前台应用的环境无关,且自身的安全性、稳定性、高效性得到了保证。
2系统原理
PKI公钥密码体制在实际应用中包含数字签名和数字信封两种方式。
2.1数字签名技术
数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。
信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要,并通过与自己用收到的原始数据产生的哈希哈希摘要对照,便可确信原始信息是否被篡改。
这样就保证了数据传输的不可否认性。
2.2数字信封技术
数字信封的功能类似于普通信封。
普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。
数字信封中采用了单钥密码体制和公钥密码体制。
信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。
在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。
这样就保证了数据传输的真实性和完整性。
3系统组成结构
●主模块
本模块为证书服务器的主模块,负责正确读取用户配置信息,根据用户的策略创建相关的模块。
●请求处理模块
本模块是具体处理用户请求,实现用户与服务器连接,真正向用户提供服务的模块。
其他模块都是为它提供服务的。
●证书管理模块
本模块负责获取信任证书链,负责从本地文件中获取黑名单及OCSP在线证书状态查询功能实现。
●日志管理模块
本模块以类库形式提供,记录程序运行过程中用户访问信息。
●签名处理模块
本模块是数字签名验证的有效性的具体实现。
●证书验证模块
本模块是对数据签名时所用的电子证书,检查其有效性的具体实现,包括证书链验证、证书有效期验证、黑名单验证。
●数字信封模块
本模块是证书服务器提供数字信封制作服务的具体实现。
●XML模块
本模块以类库形式提供,主要功能是对XML格式的配置文件进行解析,获取用户的具体配置,为程序提供参数。
除了以上模块外,本系统还提供黑名单下载模块和数字时间戳模块。
黑名单下载模块负责从异地黑名单服务器上下载黑名单,为证书服务器的服务提供黑名单信息;数字时间戳模块负责将特定的数据加盖数字时间戳,以被将来取证时提供时间信息。
4系统功能
◆数字证书有效性验证服务
PKI应用服务器能够验证用数字证书是否有效。
◆数字签名服务
PKI应用服务器能够将指定的数据进行签名,并返回应用服务器签名数据。
◆数字签名有效性验证服务
PKI应用服务器能够根据签名相关信息以及原始信息判断该段签名值是否为签名用户对原始信息的签名值。
◆数字信封服务
PKI应用服务器能够根据应用需求制作数字信封。
◆数据加密服务
PKI应用服务器能够根据应用需求将明文数据加密。
◆数据解密服务
PKI应用服务器能够根据应用需求将密文数据解密。
◆日志记录功能
PKI应用服务器能够根据用户需求定时将工作情况以日志方式保存。
◆数字时间戳服务
PKI应用服务器能够根据应用需求给某段数据加盖时间戳信息以备将来对某操作进行时间信息的获取。
5
系统特点
●通用性
1.支持业界标准的高强度加密算法(如:
RSA、RC4、SHA-1等)
2.符合国家对密码产品的有关政策
3.支持国密办认可的加密算法
4.X.509Version3,X.500,PKCS系列,证书的DER和PEM格式
5.支持LDAP目录服务和OCSP在线证书状态查询
●高效性
1.采用先进的预先并发进程(PREFORKING)机制,具有强大的并发处理能力
2.从应用服务器中独立出来,使得大量的数据运算工作从应用服务中脱离出来。
不但加速了加解密的速度,同时也减轻了前台应用服务器的工作压力
3.使用通过国密办认可的高性能硬件加密卡,能够大大增强其运算能力和处理能力
●高强度
支持对数据高强度的加解密,加密强度不低于128位
●可靠性
产品经过严格的压力测试。
测试期间证书服务器对于客户端发出的200次/秒的服务请求能够正确提供服务
●安全性
1.PKI应用服务器使用Linux操作系统,并根据PKI应用服务器自身特点进行了Linux的定制开发,保证了PKI应用服务器的操作环境安全
2.PKI应用服务器为凯特信安独立开发,并享有自主知识产权的安全产品,获得了国家相关部门的资质认证
●灵活性
1.PKI应用服务器的证书验证同时能够支持OCSP查询方式和CRL查询方式。
2.客户端提供多种接口:
COM接口、LIB接口和JavaBean接口,满足用户的不同需求。
3.能够客户需求替换加解密算法
●兼容性
PKI应用服务器能够支持多种证书运营商颁发的数字证书(如福建CA,CFCA,SHECA等证书),还能够支持验证第三方的签名信息
●扩展性
构件化设计,未来的安全产品可以通过增加功能模块方式,方便地加入到PKI应用服务系统中
6
典型应用简介
下图为PKI应用服务器的典型应用的网络拓扑简图:
以验证客户端数字签名为例,其应用流程如下:
1.应用客户端将关键数据签名后发送到应用服务器
2.应用服务器利用签名验证客户端的接口,将签名数据和关键数据原文发送到PKI应用服务器上进行数字签名验证
3.通过对客户端用户的数字证书有效性检验通过后,PKI应用服务器对签名数据进行验证,然后将验证结果返回给应用服务器。
同理,应用服务的数字签名、数字信封制作、数字证书验证、数字时间戳等服务也以同样的流程实现。
LDAP服务器为黑名单服务器为PKI应用服务器提供黑名单信息;OCSP服务器为PKI应用服务器提供实时证书状态查询服务。
PKI应用服务器支持CRL和OCSP两种方式对用户证书进行验证。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PKI 应用 服务器 技术 白皮书