1.數字證書(shū)認證系統

CA管理(lǐ)系統模塊用于爲超級管理(lǐ)員(yuán)、業務管理(lǐ)員(yuán)、業務操作(zuò)員(yuán)、審計(jì)管理(lǐ)員(yuán)、審計(jì)操作(zuò)員(yuán)提供操作(zuò)界面，使其可(kě)以對權限内的功能進行管理(lǐ)，提供包括證書(shū)管理(lǐ)、管理(lǐ)員(yuán)及操作(zuò)員(yuán)管理(lǐ)、日(rì)志管理(lǐ)、CRL管理(lǐ)、根證書(shū)管理(lǐ)、子CA管理(lǐ)、模闆管理(lǐ)等功能。

數字證書(shū)認證系統支持雙算法支持最新國(guó)密SM2、SM3、SM4算法，支持RSA 1024、2048位長密鑰。支持多樣化的證書(shū)服務，支持簽發RSA證書(shū)和SM2證書(shū)；支持頒發個人(rén)證書(shū)、機(jī)構證書(shū)、設備證書(shū)；采用證書(shū)模闆技術(shù)，支持證書(shū)格式靈活定制。系統具有良好的系統兼容性，系統支持多級CA；靈活支持密碼設備。系統有完整的在線證書(shū)服務，可(kě)爲應用系統提供在線證書(shū)申請(qǐng)、發放(fàng)、更新、廢除、狀态查詢等服務。

RA系統是CA系統的功能的延伸，提供數字證書(shū)整個生(shēng)命周期的過程管理(lǐ)功能，RA管理(lǐ)系統模塊用于爲超級管理(lǐ)員(yuán)、業務管理(lǐ)員(yuán)、業務操作(zuò)員(yuán)、審計(jì)管理(lǐ)員(yuán)、審計(jì)操作(zuò)員(yuán)提供操作(zuò)界面，使其可(kě)以對權限内的功能進行管理(lǐ)。

數字證書(shū)認證系統技術(shù)原理(lǐ)圖

（1）支持CA－RA層次結構，支持多級CA體(tǐ)系、多級RA體(tǐ)系

建立一個功能完善、技術(shù)先進、安全可(kě)靠、服務領先的基于PKI架構的CA體(tǐ)系。

（2）建設完整的雙證書(shū)（加密證書(shū)和簽名證書(shū)）模式，兼容單證書(shū)模式。

（3）可(kě)靈活裁減的層次化、模塊化結構

可(kě)以根據應用系統的具體(tǐ)要求靈活組合系統中各個模塊，從(cóng)而構建滿足不同應用的證書(shū)認證系統。

（4）系統具有開放(fàng)性，支持二次開發，能夠适應内外部環境的變化

程序開發者可(kě)以根據接口标準，自(zì)行開發業務系統安全模塊。 

（5）證書(shū)模闆支持

證書(shū)标準擴展項，證書(shū)私有擴展項可(kě)自(zì)由定義。RA子系統根據證書(shū)模闆申請(qǐng)證書(shū)，支持每個用戶申請(qǐng)多個不同模闆的證書(shū)。

（6）證書(shū)版本及證書(shū)類型支持

系統生(shēng)成X.509v3标準的證書(shū)，根據兼容性原則，系統也可(kě)以識别X.509v1、X.509v2、X.509v4的證書(shū)。

支持多種證書(shū)類型包括：個人(rén)身(shēn)份證書(shū)、單位證書(shū)、設備證書(shū)、VPN證書(shū)、代碼簽名證書(shū)、安全電子郵件(jiàn)證書(shū)等。

（7）支持多廠(chǎng)商密碼設備。

（8）硬件(jiàn)支持

CA中心的根密鑰對以及各級CA密鑰對均由服務器密碼機(jī)産生(shēng)，且保存在硬件(jiàn)設備中。管理(lǐ)員(yuán)證書(shū)載體(tǐ)使用智能密碼鑰匙介質存放(fàng)。硬件(jiàn)設備支持國(guó)密局指定的加密算法。

（9）支持證書(shū)注銷列表機(jī)制

證書(shū)認證提供證書(shū)黑(hēi)名單服務，作(zuò)廢的證書(shū)能夠及時列入證書(shū)黑(hēi)名單。

（10）支持證書(shū)目錄服務機(jī)制

系統使用LDAP目錄服務器來(lái)管理(lǐ)和發布證書(shū)；系統能夠方便集成多個廠(chǎng)商LDAP服務器。

（11）支持OCSP機(jī)制

系統支持證書(shū)狀态在線查詢，OCSP子系統可(kě)以同時支持多個不同CA系統。系統提供符合國(guó)際标準的查詢接口，供用戶在應用程序中查詢證書(shū)的狀态，以便驗證證書(shū)的有效性。

2.密鑰管理(lǐ)系統

（1）密鑰生(shēng)成與保存

在使用雙密鑰對證書(shū)過程中，用戶的密鑰在兩個地方生(shēng)成：其中加密密鑰對在密鑰管理(lǐ)系統中生(shēng)成；而簽名密鑰對在用戶端生(shēng)成。密鑰的生(shēng)成過程完全是在密碼機(jī)中完成的，外界無法對其進行幹擾，充分(fēn)保證密鑰産生(shēng)的安全和密鑰的質量。産生(shēng)後的密鑰通過密碼機(jī)加密後存儲在數據庫中。

（2）密鑰分(fēn)發

用戶密鑰生(shēng)成後安全的存儲在預生(shēng)成密鑰庫中，在CA需要時發送密鑰給CA，密鑰傳輸過程符合《GMT 0014-2012 數字證書(shū)認證系統密碼協議(yì)規範》，隻有最終用戶才能取得(de)屬于自(zì)己的私鑰。

（3）密鑰的撤消

用戶密鑰由于某些原因（暫時不使用、懷疑洩密等）需要對密鑰進行撤消，用戶做密鑰更新操作(zuò)時原有的密鑰也被撤消。

（4）密鑰的恢複

密鑰管理(lǐ)系統支持密鑰的恢複功能，密鑰管理(lǐ)中心接到CA中心轉發的用戶密鑰恢複申請(qǐng)後，密鑰管理(lǐ)中心将密鑰從(cóng)數據庫中取出并以安全的方式發送給用戶。

（5）密鑰的更新

當證書(shū)到期或用戶需要時，密鑰管理(lǐ)系統根據CA請(qǐng)求爲用戶生(shēng)成新的非對稱密鑰。

（6）密鑰的備份

密鑰管理(lǐ)系統支持密鑰備份功能，對加密證書(shū)的私鑰進行備份。密鑰對生(shēng)成後，密鑰管理(lǐ)系統自(zì)動将密鑰對存入該系統的已使用數據庫，供以後恢複及查詢使用。

（7）密鑰庫管理(lǐ)

密鑰庫管理(lǐ)複雜密鑰的存儲管理(lǐ)，按照(zhào)其存儲的密鑰狀态，密鑰庫分(fēn)爲備用密鑰庫、在用密鑰庫和曆史密鑰庫，密鑰庫中的密鑰數據必須被加密存放(fàng)。其中備用密鑰庫存放(fàng)待使用的密鑰對；在用密鑰庫存放(fàng)當前使用的密鑰對；曆史密鑰庫存放(fàng)過期或已被撤銷的密鑰對。

（8）認證管理(lǐ)

維護能接入密鑰管理(lǐ)系統的CA機(jī)構，可(kě)以注冊、更新、凍結、解凍CA機(jī)構。隻有被注冊的CA機(jī)構才有權向密鑰管理(lǐ)系統申請(qǐng)密鑰，如(rú)果CA機(jī)構的信息發生(shēng)變更，可(kě)以更新CA機(jī)構。同時支持凍結或解凍該CA機(jī)構。

（9）安全審計(jì)

審計(jì)日(rì)志記錄管理(lǐ)人(rén)員(yuán)對于密鑰管理(lǐ)系統的所有操作(zuò)，包括：操作(zuò)時間、操作(zuò)人(rén)、操作(zuò)對象、操作(zuò)類型等詳細信息，并配有完善的審計(jì)查詢系統進行審計(jì)工(gōng)作(zuò)。審計(jì)日(rì)志隻有審計(jì)員(yuán)可(kě)以進行操作(zuò)，其它任何人(rén)員(yuán)無權進行管理(lǐ)，可(kě)以确保其審計(jì)功能的獨立性。

密鑰管理(lǐ)系統架構圖

密鑰管理(lǐ)系統主要由密鑰後台服務程序、密鑰管理(lǐ)終端、密鑰管理(lǐ)系統安全通訊接口組成。

密鑰管理(lǐ)中心KMC爲數字認證中心提供加密密鑰對，并提供對這些密鑰對的備份、歸檔、恢複、更新等相(xiàng)關服務，以保證能滿足認證中心和司法取證的需要。