PKI應(yīng)用服務(wù)器技術(shù)白皮書

PKI應(yīng)用服務(wù)器技術(shù)白皮書TOC\o"1-5"\h\z\o"CurrentDocument"系統(tǒng)概述 3\o"CurrentDocument"系統(tǒng)原理 4系統(tǒng)組成結(jié)構(gòu) 5\o"CurrentDocument"系統(tǒng)功能 7\o"CurrentDocument"系統(tǒng)特點 8\o"CurrentDocument"典型應(yīng)用簡介 101系統(tǒng)概述以往的應(yīng)用系統(tǒng)對于自身安全與系統(tǒng)性能之間的矛盾有兩種處理方式：?不考慮安全問題，只重視系統(tǒng)的性能。這種方式在今天看來無疑是不可取的。沒有安全保障的應(yīng)用系統(tǒng)可以說不是一套完整的應(yīng)用系統(tǒng)。?以犧牲大量的系統(tǒng)性能來實現(xiàn)系統(tǒng)的安全。應(yīng)該說兩種方式并沒有很好地解決系統(tǒng)性能與安全需求之間的矛盾。凱特PKI應(yīng)用服務(wù)器（以下簡稱“PKI應(yīng)用服務(wù)器”）是福建凱特信息安全技術(shù)有限公司基于PKI技術(shù)開發(fā)的網(wǎng)絡(luò)應(yīng)用產(chǎn)品。PKI應(yīng)用服務(wù)器能夠利用數(shù)字證書為應(yīng)用系統(tǒng)的服務(wù)端提供數(shù)字簽名、數(shù)字簽名驗證、數(shù)字信封制作、加密數(shù)據(jù)、解密數(shù)據(jù)、數(shù)字證書驗證等一系列證書應(yīng)用服務(wù)功能，完全滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的安全應(yīng)用需求，為網(wǎng)絡(luò)應(yīng)用提供一個安全服務(wù)的統(tǒng)一平臺。PKI應(yīng)用服務(wù)器作為單獨的服務(wù)器，與前臺應(yīng)用的環(huán)境無關(guān)，且自身的安全性、穩(wěn)定性、高效性得到了保證。2系統(tǒng)原理PKI公鑰密碼體制在實際應(yīng)用中包含數(shù)字簽名和數(shù)字信封兩種方式。2.1數(shù)字簽名技術(shù)數(shù)字簽名是指用戶用自己的私鑰對原始數(shù)據(jù)的哈希摘要進行加密所得的數(shù)據(jù)。信息接收者使用信息發(fā)送者的公鑰對附在原始信息后的數(shù)字簽名進行解密后獲得哈希摘要，并通過與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希哈希摘要對照，便可確信原始信息是否被篡改。這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J性。2.2數(shù)字信封技術(shù)數(shù)字信封的功能類似于普通信封。普通信封在法律的約束下保證只有收信人才能閱讀信的內(nèi)容；數(shù)字信封則采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機產(chǎn)生的對稱密碼加密信息，再利用接收方的公鑰加密對稱密碼，被公鑰加密后的對稱密碼被稱之為數(shù)字信封。在傳遞信息時，信息接收方要解密信息時，必須先用自己的私鑰解密數(shù)字信封，得到對稱密碼，才能利用對稱密碼解密所得到的信息。這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸嵭院屯暾浴?主模塊本模塊為證書服務(wù)器的主模塊，負責正確讀取用戶配置信息，根據(jù)用戶的策略創(chuàng)建相關(guān)的模塊。?請求處理模塊本模塊是具體處理用戶請求，實現(xiàn)用戶與服務(wù)器連接，真正向用戶提供服務(wù)的模塊。其他模塊都是為它提供服務(wù)的。?證書管理模塊本模塊負責獲取信任證書鏈，負責從本地文件中獲取黑名單及OCSP在線證書狀態(tài)查詢功能實現(xiàn)。?日志管理模塊本模塊以類庫形式提供，記錄程序運行過程中用戶訪問信息。?簽名處理模塊本模塊是數(shù)字簽名驗證的有效性的具體實現(xiàn)。?證書驗證模塊本模塊是對數(shù)據(jù)簽名時所用的電子證書，檢查其有效性的具體實現(xiàn)，包括證書鏈驗證、證書有效期驗證、黑名單驗證。?數(shù)字信封模塊本模塊是證書服務(wù)器提供數(shù)字信封制作服務(wù)的具體實現(xiàn)。?XML模塊本模塊以類庫形式提供，主要功能是對XML格式的配置文件進行解析，獲取用戶的具體配置，為程序提供參數(shù)。除了以上模塊外，本系統(tǒng)還提供黑名單下載模塊和數(shù)字時間戳模塊。黑名單下載模塊負責從異地黑名單服務(wù)器上下載黑名單，為證書服務(wù)器的服務(wù)提供黑名單信息；數(shù)字時間戳模塊負責將特定的數(shù)據(jù)加蓋數(shù)字時間戳，以被將來取證時提供時間信息。4系統(tǒng)功能?數(shù)字證書有效性驗證服務(wù)PKI應(yīng)用服務(wù)器能夠驗證用數(shù)字證書是否有效。?數(shù)字簽名服務(wù)PKI應(yīng)用服務(wù)器能夠?qū)⒅付ǖ臄?shù)據(jù)進行簽名，并返回應(yīng)用服務(wù)器簽名數(shù)據(jù)。?數(shù)字簽名有效性驗證服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)簽名相關(guān)信息以及原始信息判斷該段簽名值是否為簽名用戶對原始信息的簽名值。?數(shù)字信封服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)應(yīng)用需求制作數(shù)字信封。?數(shù)據(jù)加密服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)應(yīng)用需求將明文數(shù)據(jù)加密。?數(shù)據(jù)解密服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)應(yīng)用需求將密文數(shù)據(jù)解密。?日志記錄功能PKI應(yīng)用服務(wù)器能夠根據(jù)用戶需求定時將工作情況以日志方式保存。?數(shù)字時間戳服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)應(yīng)用需求給某段數(shù)據(jù)加蓋時間戳信息以備將來對某操作進行時間信息的獲取。5系統(tǒng)特點?通用性支持業(yè)界標準的高強度加密算法(如：RSA、RC4、SHA-1等)符合國家對密碼產(chǎn)品的有關(guān)政策支持國密辦認可的加密算法X.509Version3,X.500,PKCS系列，證書的DER和PEM格式支持LDAP目錄服務(wù)和OCSP在線證書狀態(tài)查詢?高效性采用先進的預先并發(fā)進程(PREFORKING)機制，具有強大的并發(fā)處理能力從應(yīng)用服務(wù)器中獨立出來，使得大量的數(shù)據(jù)運算工作從應(yīng)用服務(wù)中脫離出來。不但加速了加解密的速度，同時也減輕了前臺應(yīng)用服務(wù)器的工作壓力使用通過國密辦認可的高性能硬件加密卡，能夠大大增強其運算能力和處理能力?高強度支持對數(shù)據(jù)高強度的加解密，加密強度不低于128位?可靠性產(chǎn)品經(jīng)過嚴格的壓力測試。測試期間證書服務(wù)器對于客戶端發(fā)出的200次/秒的服務(wù)請求能夠正確提供服務(wù)?安全性PKI應(yīng)用服務(wù)器使用Linux操作系統(tǒng)，并根據(jù)PKI應(yīng)用服務(wù)器自身特點進行了Linux的定制開發(fā)，保證了PKI應(yīng)用服務(wù)器的操作環(huán)境安全PKI應(yīng)用服務(wù)器為凱特信安獨立開發(fā)，并享有自主知識產(chǎn)權(quán)的安全產(chǎn)品，獲得了國家相關(guān)部門的資質(zhì)認證?靈活性PKI應(yīng)用服務(wù)器的證書驗證同時能夠支持OCSP查詢方式和CRL查詢方式?？蛻舳颂峁┒喾N接口：COM接口、LIB接口和JavaBean接口，滿足用戶的不同需求。能夠客戶需求替換加解密算法?兼容性PKI應(yīng)用服務(wù)器能夠支持多種證書運營商頒發(fā)的數(shù)字證書（如福建CA,CFCA,SHECA等證書），還能夠支持驗證第三方的簽名信息?擴展性構(gòu)件化設(shè)計，未來的安全產(chǎn)品可以通過增加功能模塊方式，方便地加入到PKI應(yīng)用服務(wù)系統(tǒng)中

6典型應(yīng)用簡介下圖為PKI應(yīng)用服務(wù)器的典型應(yīng)用的網(wǎng)絡(luò)拓撲簡圖:數(shù)據(jù)庠應(yīng)用服務(wù)器PKI應(yīng)用服務(wù)藉證書發(fā)布1在線證書狀戀服務(wù)器鴦詢服務(wù)器敬字福建專網(wǎng)路由器I數(shù)據(jù)庠應(yīng)用服務(wù)器PKI應(yīng)用服務(wù)藉證書發(fā)布1在線證書狀戀服務(wù)器鴦詢服務(wù)器敬字福建專網(wǎng)路由器Internet/Intranet客戶端〔專用安全控制）以驗證客戶端數(shù)字簽名為例，其應(yīng)用流程如下：應(yīng)用客戶端將關(guān)鍵數(shù)據(jù)簽名后發(fā)送到應(yīng)用服務(wù)器應(yīng)用服務(wù)器利用簽名驗證客戶端的接口，將簽名數(shù)據(jù)和關(guān)鍵數(shù)據(jù)原文發(fā)送到PKI應(yīng)用服務(wù)器上進行數(shù)字簽名驗證通過對客戶端用戶的數(shù)字證書有效性檢驗通過后，PKI應(yīng)用服務(wù)器對簽名數(shù)據(jù)進行驗證，然后