1、應用背景
    近年來，計算機網絡和信息技術的迅速發展使得企業信息化的程度不斷提高，互聯網上信息的交互必然存在風險，黑客、病毒、木馬程序、“網絡釣魚”頻頻得逞。而這些受到威脅的網站或遭受損失的用戶，除自身的安全防范意識薄弱造成安全隱患外，最重要的一點就是都沒有使用互聯網上信息安全保障措施----基于PKI技術的CA服務系統。

時代億信ETCA數字證書管理系統是公司在充分研究國內CA應用現狀，結合PKI實際應用需求的基礎上，獨立研發的一套CA產品。

2、PKI技術介紹
    PKI公鑰體系采用數字證書的方式管理公鑰，通過第三方可信任機構－證書機構把用戶的公鑰和用戶的其他標識信息（如名稱、身份證號碼、e-mail地址等）捆綁在一起，實現在網絡虛擬空間對用戶身份的可信管理。

    通過采用PKI公鑰體系實現對密鑰的管理，可以建立一個安全可信的網絡環境，實現針對用戶身份的鑒別，滿足對信息的保密性、完整性、不可抵賴性保護的需求。

    PKI公鑰體系采用數字證書的方式管理公鑰，通過第三方可信任機構－CA認證機構來管理證書，CA認證機構的作用類似于國家的護照簽發中心。護照是由qw中心（護照簽發中心）頒發的一種安全文件，它是護照持有者的一種紙質身份證明，任何信任該國護照簽發中心的其他國家也會信任該國護照簽發中心所簽發的護照。數字證書是由qw中心(CA認證機構)簽發的一種電子安全文件，它是數字證書持有者的一種電子版身份證明，任何信任該CA中心的所有用戶也會信任該CA中心所簽發的數字證書，進而確定證書持有者在網絡虛擬空間中的身份。
CA認證機構的職責歸納如下：
驗證并標識證書申請者的身份
確保CA用于簽發證書的非對稱密鑰的質量
確保整個簽證過程的安全性，確保簽名私鑰的安全性
證書資料的管理（包括公鑰證書序列號、CA標識等）的管理
確定并驗證證書的有效期限
確保證書主體標識的{wy}性
發布并維護證書注銷列表（CRL）
對整個證書簽發過程作日志紀錄
向申請人發出通知
為用戶簽發數字證書

    數字證書是一種數字標識，如同我們的身份證一樣，是網絡上的身份證明，它是由證書認證機構（CA）簽名頒發的數字文件，該簽名使得第三者不能偽造和篡改證書。

    ITU-T的X.509國際標準定義了數字證書的格式，目前X.509v3數字證書的主要內容，如圖所示，主要包括證書的版本號、證書的序列號、證書的有效起止日期、證書頒發者的名字和{wy}標識符、證書持有者的名字和{wy}標識符、證書持有者的公鑰、證書擴展項以及證書頒發者的簽名。其中，證書擴展項可以根據證書的不同應用而由證書的頒發者具體定義，因而具有較強的通用性和靈活性。
由于數字證書是由相對qw的授權機構審核頒發的，因此，一方面可以用來向系統或者系統的其他實體證明自己的身份；另一方面，由于證書攜帶著其持有者的公鑰，也起著公鑰分發的作用。

3、產品概述
    時代億信公司以用戶的需求為導向,以雄厚的研發能力為基礎,深入吸收國際、國內的先進技術、結合多個項目的實施經驗，研制開發了ETCA數字證書管理系統。ETCA支持通過掛接密鑰管理中心（KMC）來管理用戶加密密鑰，從而提高了用戶加密密鑰的安全性和可恢復性。通過支持證書模板，提高了簽發各類型證書的靈活性。此外ETCA還支持在線證書狀態查詢，支持硬件加密設備和多種數據庫平臺。ETCA數字證書認證系統產品組件配置靈活，可以根據用戶的不同需求進行選擇性配置，為用戶量身打造一套安全、穩定、實用、快捷的數字證書管理平臺。

    ETCA是用于數字證書的申請、審核、簽發、注銷、更新、查詢的綜合管理系統，頒發的數字證書格式嚴格遵循X.509v3規范，具有廣泛適用性和良好的擴展性。通過部署該系統，可以搭建出符合政府、行業、第三方、企業需求的認證中心。通過使用ETCA發行的數字證書可以為用戶提供信息安全的全面服務：
保密性 — 保證信息是秘密的
完整性 — 能檢驗信息未被篡改
身份鑒別 — 檢驗個人或機構的身份
不可否定性 — 確保信息或操作不能被否認

    ETCA應用國際先進技術，采用高強度的加密算法、高可靠性的安全機制及完善的管理及配置策略來保障整個系統的安全、可靠的運行。

4、產品組成
    時代億信ETCA 數字證書管理系統由以下幾個核心組件組成：
認證中心（CAServer）
注冊中心（RAServer）
密鑰管理中心（KMServer）
在線證書狀態查詢服務（OCSPServer）

    其中認證中心為產品的核心，其他組件圍繞認證中心提供更完善的安全解決方案。

認證中心（CAServer）
    ETCA的核心，負責數字證書、證書注銷列表的管理。

注冊中心（RAServer）
    接收并審核用戶的申請信息，審核完畢后提交CAServer；接收CAServer的返回信息并通知用戶。
RA Toolkit：作為RAServer的開發工具包向外提供，允許用戶根據業務系統的需要把證書業務功能集成到業務系統中，實現證書功能和業務系統的無縫集成。

密鑰管理中心（KMServer）
    負責用戶加密密鑰的生成、存儲、歸檔、備份和恢復等管理功能，為CAServer簽發加密數字證書提供所需密鑰。

在線證書狀態查詢服務（OCSPServer）
    ETCA提供在線證書狀態查詢服務，用戶可以實時查詢指定證書的狀態信息。
OCSP Toolkit：作為開發工具包向外提供，用戶使用此OCSP Toolkit與OCSP Server建立連接，提交證書查詢請求并接收解析響應結果。

5. 技術特點
5.1 豐富完備的功能
豐富的證書業務功能
基于角色的授權管理
支持多級CA
強大的證書模板功能
所見即所得的自定義功能（自定義證書模板&自定義證書擴展域）
支持漢字證書
支持簽發微軟智能卡登錄(Smartcard Logon)證書
支持交叉認證
支持KMC（密鑰管理中心）
支持OCSP（在線證書狀態查詢）
支持可替換的加密模塊
以用戶為中心的證書管理模式

5.2 部署靈活、操作簡單
    系統的設計采用B/S模式，安裝部署工作只需要在服務端進行，部署工作方便靈活，客戶端無需安裝任何客戶端軟件，wq基于瀏覽器即可完成所有的管理操作，管理終端與服務器之間采用高強度SSL安全連接，采用數字證書對用戶的身份實現管理。

    另外系統可以根據實際的具體情況來選擇對應的組合方式進行部署，比如：CA、CA+RA、CA+KMC、CA+KMC+RA+OCSP等。

5.3 wq基于PKI標準
    ETCA系統wq遵循PKI及相關標準，這樣有利于與其它廠商的產品實現互連，增大證書的適用范圍。該系統支持的技術標注列表如下：

5.4 系統平臺的高安全性
通訊安全
    系統采用高強度的SSL標準安全通信協議。

數據安全
    數據庫、配置文件中的敏感數據采用加密方式保存；提供完備的數據備份及恢復的手段。

人員安全
    采用基于數字證書的身份驗證機制，管理員使用X.509證書進行登錄管理、管理員的管理權限與其證書進行綁定。
分布式權限管理，管理員間權限分離，某一管理員只管理某一部分功能并受其他管理員監督。

完善的審計手段
    系統提供對所有業務情況的詳盡記錄和查詢手段。

5.5 穩定的性能保證系統的高可用性
高性能
    整個系統采用先進的設計架構，整個系統的性能十分優異，經過測試，在普通硬件平臺上系統單機的并發請求處理能力達到300以上，在300并發壓力的情況下，處理能力能保持在每秒簽發70張以上的證書，并保持100％的成功率。

高可用性
    系統所有組件（CA、KMC、RA、OCSP）均支持集群部署和負載均衡技術，在正常運行的情況下，可以通過增加負載均衡的服務器，平滑擴展性能。

5.6 廣泛的平臺兼容性
靈活可配置的密碼模塊
    提供對加密機、加密卡、智能卡、USB等多種加密設備的支持。

支持多種數據庫產品
    系統數據中心模塊采用基于JDBC標準的數據操作服務，可掛接不同的數據庫產品，包括Oracle、SQL Server、DB2等數據庫產品。

支持多種目錄服務產品
    系統支持基于LDAPv3標準協議的目錄服務，符合此標準的目錄服務產品均可直接掛接到系統中。

支持多種操作系統平臺
    ETCA可以支持多種操作系統，包括Windows，Linux，AIX，Solaris，HP_UX。

5.7 系統架構的可擴展性
    作為實現用戶身份可信管理的支撐平臺，PKI系統必須具有良好的擴展性，能夠滿足不斷呈現的各類需求，實現與各類應用系統的整合和擴展。ETCA在設計時充分考慮了系統的擴展性，系統的擴展性主要表現如下：

模塊化設計
    系統采用分布式、可拆裝的系統模塊化設計，可替換、可重組的系統構架，支持與其它應用系統互操作。
所有系統中只有核心服務器承擔著真正的運行與管理任務，其它模塊可隨組織的發展需要逐步掛接到系統中。
通過提供API接口的手段為用戶提供二次開發能力。

支持多級CA及交叉認證
    可根據需要建立無限制多級的CA，并通過交叉認證實現和其他CA系統之間的互聯互通。

支持用戶自定義項目
    CA Server系統內置有十幾種標準證書模板及標準證書擴展域，能夠滿足大多數的證書簽發需求。系統同時支持自定義證書模板和自定義擴展域，可以滿足不同應用的特殊需求，用戶可以定制出符合自己實際需求的證書簽發模板。

5.8 良好的易用性與安全清晰的管理模式
    客戶端基于瀏覽器進行訪問，通過簡單的點擊即可完成一次業務操作，頁面內容清晰簡潔，操作人員易于使用。

系統采用安全清晰的管理模式：
基于角色進行管理權限的定制和分配
管理權限與管理員證書進行綁定，通過證書驗證管理員身份
各產品組件采用風格統一的管理界面和流程能顯著降低管理負擔

5.9 應用平臺的開放性
    在設計和開發過程中wq遵循國際開放標準，可很方便地與第三方產品進行集成、與其它系統互操作。對外提供RAToolkit和OCSPToolkit等應用開發API，用戶可以使用這些API進行二次開發，分別實現與CAServer和OCSPServer的通信，將用戶需要的證書業務嵌入已有的應用系統中。