PKI應(yīng)用服務(wù)器技術(shù)白皮書_第1頁
PKI應(yīng)用服務(wù)器技術(shù)白皮書_第2頁
PKI應(yīng)用服務(wù)器技術(shù)白皮書_第3頁
PKI應(yīng)用服務(wù)器技術(shù)白皮書_第4頁
PKI應(yīng)用服務(wù)器技術(shù)白皮書_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

PKI應(yīng)用服務(wù)器技術(shù)白皮書TOC\o"1-5"\h\z\o"CurrentDocument"系統(tǒng)概述 3\o"CurrentDocument"系統(tǒng)原理 4系統(tǒng)組成結(jié)構(gòu) 5\o"CurrentDocument"系統(tǒng)功能 7\o"CurrentDocument"系統(tǒng)特點(diǎn) 8\o"CurrentDocument"典型應(yīng)用簡(jiǎn)介 101系統(tǒng)概述以往的應(yīng)用系統(tǒng)對(duì)于自身安全與系統(tǒng)性能之間的矛盾有兩種處理方式:?不考慮安全問題,只重視系統(tǒng)的性能。這種方式在今天看來無疑是不可取的。沒有安全保障的應(yīng)用系統(tǒng)可以說不是一套完整的應(yīng)用系統(tǒng)。?以犧牲大量的系統(tǒng)性能來實(shí)現(xiàn)系統(tǒng)的安全。應(yīng)該說兩種方式并沒有很好地解決系統(tǒng)性能與安全需求之間的矛盾。凱特PKI應(yīng)用服務(wù)器(以下簡(jiǎn)稱“PKI應(yīng)用服務(wù)器”)是福建凱特信息安全技術(shù)有限公司基于PKI技術(shù)開發(fā)的網(wǎng)絡(luò)應(yīng)用產(chǎn)品。PKI應(yīng)用服務(wù)器能夠利用數(shù)字證書為應(yīng)用系統(tǒng)的服務(wù)端提供數(shù)字簽名、數(shù)字簽名驗(yàn)證、數(shù)字信封制作、加密數(shù)據(jù)、解密數(shù)據(jù)、數(shù)字證書驗(yàn)證等一系列證書應(yīng)用服務(wù)功能,完全滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的安全應(yīng)用需求,為網(wǎng)絡(luò)應(yīng)用提供一個(gè)安全服務(wù)的統(tǒng)一平臺(tái)。PKI應(yīng)用服務(wù)器作為單獨(dú)的服務(wù)器,與前臺(tái)應(yīng)用的環(huán)境無關(guān),且自身的安全性、穩(wěn)定性、高效性得到了保證。2系統(tǒng)原理PKI公鑰密碼體制在實(shí)際應(yīng)用中包含數(shù)字簽名和數(shù)字信封兩種方式。2.1數(shù)字簽名技術(shù)數(shù)字簽名是指用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)。信息接收者使用信息發(fā)送者的公鑰對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得哈希摘要,并通過與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希哈希摘要對(duì)照,便可確信原始信息是否被篡改。這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。2.2數(shù)字信封技術(shù)數(shù)字信封的功能類似于普通信封。普通信封在法律的約束下保證只有收信人才能閱讀信的內(nèi)容;數(shù)字信封則采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對(duì)稱密碼加密信息,再利用接收方的公鑰加密對(duì)稱密碼,被公鑰加密后的對(duì)稱密碼被稱之為數(shù)字信封。在傳遞信息時(shí),信息接收方要解密信息時(shí),必須先用自己的私鑰解密數(shù)字信封,得到對(duì)稱密碼,才能利用對(duì)稱密碼解密所得到的信息。這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸?shí)性和完整性。?主模塊本模塊為證書服務(wù)器的主模塊,負(fù)責(zé)正確讀取用戶配置信息,根據(jù)用戶的策略創(chuàng)建相關(guān)的模塊。?請(qǐng)求處理模塊本模塊是具體處理用戶請(qǐng)求,實(shí)現(xiàn)用戶與服務(wù)器連接,真正向用戶提供服務(wù)的模塊。其他模塊都是為它提供服務(wù)的。?證書管理模塊本模塊負(fù)責(zé)獲取信任證書鏈,負(fù)責(zé)從本地文件中獲取黑名單及OCSP在線證書狀態(tài)查詢功能實(shí)現(xiàn)。?日志管理模塊本模塊以類庫形式提供,記錄程序運(yùn)行過程中用戶訪問信息。?簽名處理模塊本模塊是數(shù)字簽名驗(yàn)證的有效性的具體實(shí)現(xiàn)。?證書驗(yàn)證模塊本模塊是對(duì)數(shù)據(jù)簽名時(shí)所用的電子證書,檢查其有效性的具體實(shí)現(xiàn),包括證書鏈驗(yàn)證、證書有效期驗(yàn)證、黑名單驗(yàn)證。?數(shù)字信封模塊本模塊是證書服務(wù)器提供數(shù)字信封制作服務(wù)的具體實(shí)現(xiàn)。?XML模塊本模塊以類庫形式提供,主要功能是對(duì)XML格式的配置文件進(jìn)行解析,獲取用戶的具體配置,為程序提供參數(shù)。除了以上模塊外,本系統(tǒng)還提供黑名單下載模塊和數(shù)字時(shí)間戳模塊。黑名單下載模塊負(fù)責(zé)從異地黑名單服務(wù)器上下載黑名單,為證書服務(wù)器的服務(wù)提供黑名單信息;數(shù)字時(shí)間戳模塊負(fù)責(zé)將特定的數(shù)據(jù)加蓋數(shù)字時(shí)間戳,以被將來取證時(shí)提供時(shí)間信息。4系統(tǒng)功能?數(shù)字證書有效性驗(yàn)證服務(wù)PKI應(yīng)用服務(wù)器能夠驗(yàn)證用數(shù)字證書是否有效。?數(shù)字簽名服務(wù)PKI應(yīng)用服務(wù)器能夠?qū)⒅付ǖ臄?shù)據(jù)進(jìn)行簽名,并返回應(yīng)用服務(wù)器簽名數(shù)據(jù)。?數(shù)字簽名有效性驗(yàn)證服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)簽名相關(guān)信息以及原始信息判斷該段簽名值是否為簽名用戶對(duì)原始信息的簽名值。?數(shù)字信封服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)應(yīng)用需求制作數(shù)字信封。?數(shù)據(jù)加密服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)應(yīng)用需求將明文數(shù)據(jù)加密。?數(shù)據(jù)解密服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)應(yīng)用需求將密文數(shù)據(jù)解密。?日志記錄功能PKI應(yīng)用服務(wù)器能夠根據(jù)用戶需求定時(shí)將工作情況以日志方式保存。?數(shù)字時(shí)間戳服務(wù)PKI應(yīng)用服務(wù)器能夠根據(jù)應(yīng)用需求給某段數(shù)據(jù)加蓋時(shí)間戳信息以備將來對(duì)某操作進(jìn)行時(shí)間信息的獲取。5系統(tǒng)特點(diǎn)?通用性支持業(yè)界標(biāo)準(zhǔn)的高強(qiáng)度加密算法(如:RSA、RC4、SHA-1等)符合國(guó)家對(duì)密碼產(chǎn)品的有關(guān)政策支持國(guó)密辦認(rèn)可的加密算法X.509Version3,X.500,PKCS系列,證書的DER和PEM格式支持LDAP目錄服務(wù)和OCSP在線證書狀態(tài)查詢?高效性采用先進(jìn)的預(yù)先并發(fā)進(jìn)程(PREFORKING)機(jī)制,具有強(qiáng)大的并發(fā)處理能力從應(yīng)用服務(wù)器中獨(dú)立出來,使得大量的數(shù)據(jù)運(yùn)算工作從應(yīng)用服務(wù)中脫離出來。不但加速了加解密的速度,同時(shí)也減輕了前臺(tái)應(yīng)用服務(wù)器的工作壓力使用通過國(guó)密辦認(rèn)可的高性能硬件加密卡,能夠大大增強(qiáng)其運(yùn)算能力和處理能力?高強(qiáng)度支持對(duì)數(shù)據(jù)高強(qiáng)度的加解密,加密強(qiáng)度不低于128位?可靠性產(chǎn)品經(jīng)過嚴(yán)格的壓力測(cè)試。測(cè)試期間證書服務(wù)器對(duì)于客戶端發(fā)出的200次/秒的服務(wù)請(qǐng)求能夠正確提供服務(wù)?安全性PKI應(yīng)用服務(wù)器使用Linux操作系統(tǒng),并根據(jù)PKI應(yīng)用服務(wù)器自身特點(diǎn)進(jìn)行了Linux的定制開發(fā),保證了PKI應(yīng)用服務(wù)器的操作環(huán)境安全PKI應(yīng)用服務(wù)器為凱特信安獨(dú)立開發(fā),并享有自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)品,獲得了國(guó)家相關(guān)部門的資質(zhì)認(rèn)證?靈活性PKI應(yīng)用服務(wù)器的證書驗(yàn)證同時(shí)能夠支持OCSP查詢方式和CRL查詢方式。客戶端提供多種接口:COM接口、LIB接口和JavaBean接口,滿足用戶的不同需求。能夠客戶需求替換加解密算法?兼容性PKI應(yīng)用服務(wù)器能夠支持多種證書運(yùn)營(yíng)商頒發(fā)的數(shù)字證書(如福建CA,CFCA,SHECA等證書),還能夠支持驗(yàn)證第三方的簽名信息?擴(kuò)展性構(gòu)件化設(shè)計(jì),未來的安全產(chǎn)品可以通過增加功能模塊方式,方便地加入到PKI應(yīng)用服務(wù)系統(tǒng)中

6典型應(yīng)用簡(jiǎn)介下圖為PKI應(yīng)用服務(wù)器的典型應(yīng)用的網(wǎng)絡(luò)拓?fù)浜?jiǎn)圖:數(shù)據(jù)庠應(yīng)用服務(wù)器PKI應(yīng)用服務(wù)藉證書發(fā)布1在線證書狀戀服務(wù)器鴦詢服務(wù)器敬字福建專網(wǎng)路由器I數(shù)據(jù)庠應(yīng)用服務(wù)器PKI應(yīng)用服務(wù)藉證書發(fā)布1在線證書狀戀服務(wù)器鴦詢服務(wù)器敬字福建專網(wǎng)路由器Internet/Intranet客戶端〔專用安全控制)以驗(yàn)證客戶端數(shù)字簽名為例,其應(yīng)用流程如下:應(yīng)用客戶端將關(guān)鍵數(shù)據(jù)簽名后發(fā)送到應(yīng)用服務(wù)器應(yīng)用服務(wù)器利用簽名驗(yàn)證客戶端的接口,將簽名數(shù)據(jù)和關(guān)鍵數(shù)據(jù)原文發(fā)送到PKI應(yīng)用服務(wù)器上進(jìn)行數(shù)字簽名驗(yàn)證通過對(duì)客戶端用戶的數(shù)字證書有效性檢驗(yàn)通過后,PKI應(yīng)用服務(wù)器對(duì)簽名數(shù)據(jù)進(jìn)行驗(yàn)證,然后

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論