CA管理系统及开发工具包申购经办人：黄金国
单据编号 ********00025 设备类型 软件
竞价名称 CA管理系统及开发工具包
币种 人民币(元) 是否公开信息 是
申购人 黄金国 申购人电话 139*****542
截标时间 2010-01-27 09:05 收货时间
收货地点 华中科技大学东一楼239号 430074 黄金国
竞价描述( 备注) （一）软件主要功能： 1.支持证书生申请、更新、吊销 2.支持证书策略管理（支持邮件证书、个人证书、企业证书） 3.支持审计及日志功能 4.支持吊销列表管理 6.RA SDK开发包 7.支持2个RA 8.系统有效证书容量2000-5000张 （二）开发工具包包括： 1.个人信任代理（PTA） 2.证书验证模块（CVM） 3.证书解析模块（CPM） 4.数据加解密模块（EDM） 5.数据签名验证模块（SVM）（三）免费系统安装调试（四）免费项目培训：管理员培训，培训内容包括：PKI/CA基础、系统管理操作等（五）免费系统软件年维护：解决CA软件系统本身的使用及反馈问题、CA软件系统迁移服务等

申购单中标商信息：
标单编号 jb********00068 竞标公司名称 北京天威诚信电子商务服务有限公司
竞标时间 2010-01-22 18:08:48 竞标人 天威诚信
竞标说明

《虚拟实验教学环境关键技术及应用示范》子课题六--《虚拟实验示范工程》强身份认证系统安全解决方案
(版本：1.0)

北京天威诚信电子商务服务有限公司
2009年11月

目 录
1 前言
2 应用安全需求概述
3 方案总体设计思想
4 CA认证系统设计
4.1 iTrusCA系统简介
4.2 认证体系设计
4.3 系统网络架构
4.4 证书存储介质
4.5 iTrusCA2.0系统功能介绍
4.5.1 证书处理
4.5.2 证书生命周期管理
4.5.3 证书服务
4.5.4 系统管理功能
4.5.5 账号管理
4.5.6 策略管理
4.5.7 统计、审计与日志
4.5.8 密钥管理
4.6 证书应用开发接口（API）
4.7 系统工作流程设计
5 应用系统安全集成方案
5.1 B/S架构系统安全原理
5.2 应用系统安全架构
5.3 应用系统身份认证流程
6 iTrusCA2.0系统特点
7 系统运行环境
7.1 系统模块组成
7.2 系统网络架构
7.3 系统运行软硬件环境（推荐）
附件一 关于天威诚信

1 前言
随着网上教育应用建设的逐步深入，已经建成的和将要建成的各种应用系统存在不同的身份认证方式，用户必须记忆不同的密码和身份。因此，要建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系，将组织信息、用户信息统一存储，进行分级授权和集中身份认证，规范应用系统的用户认证方式。
本文主要目的是旨在分析《虚拟实验教学环境关键技术及应用示范》子课题六--《虚拟实验示范工程》系统安全需求，然后阐明采用PKI/CA技术，来保障网上教学的信息系统安全。
2 应用安全需求概述
基本安全需求：
（1）身份认证
目前，应用系统是采用“用户名＋密码”的方式来验证访问用户的身份。采用“用户名＋密码”的方式登录应用系统时，用户输入的用户名和密码都是通过明文的方式，传输给系统服务器，系统服务器根据用户提交的用户名和密码，查询数据库，来判断用户的身份是否真实。这种方式存在巨大的安全隐患，非法用户可以通过口令攻击、猜测或窃取口令等方式，假冒合法用户的身份，登录系统进行非法操作或获取机密信息。因此，需要采用安全的手段，解决应用系统身份认证需求。
（2）访问控制
对于系统的不同用户，具有不同的访问操作权限。因此，应用系统在身份认证的基础上，需要给不同的身份授予不同的访问权限，使他们能够进行相应授权的操作。因此，需要采用有效的手段，解决应用系统访问控制的需求。

扩展安全需求：
（1）信息机密性和完整性
通过应用系统传输很多敏感资料，如通过应用系统，需要通过开放的互联网，非法用户很容易监听网络传输的数据甚至篡改相关数据，或者入侵到应用系统，窃取有关资料。因此，需要采用有效的方式保证应用系统传输数据的机密性和完整性。
（2）信息抗抵赖
信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。在应用系统中传输的很多信息，都需要实现信息抗抵赖。比如财务部进行财务汇报时，如果采用纸质的方式，可以在财务报表上签字盖章。但是通过电子数据共享和传输，不可能像纸质文件那样进行手写签字和盖章。而如果没有有效的手段保证电子数据共享和传输的抗抵赖，财务部可以否认自己共享和传输过的电子数据。一旦出现问题，将没有任何有效的证据，对肇事者进行追究。另外，对于通过应用系统进行网上申报与审批时，如果没有抗抵赖性，申报者将可以否认自己的申报数据和行为，审批者也可以否认自己的审批意见和行为，甚至出现假冒他人进行申报或审批的行为。这样，将导致整个应用系统不能正常工作，将给企业造成巨大的损失。
为此，根据网上教育的信息系统安全现状，采用PKI（Public Key Infrastructure，公钥基础设施）技术，为网上教育设计了基于数字证书的应用安全解决方案。
3 方案总体设计思想
天威诚信根据网上教育系统安全需求，基于自身在PKI/CA领域的技术优势，采用自主开发的PKI产品——iTrusCA系统，为网上教育提供了完善的安全解决方案，解决方案总体框架包含如下几个基本思想：
一、 采用天威诚信iTrusCA系统，为网上教育建设一套功能完善的CA认证系统，为网上教育各个应用系统的用户颁发数字证书，提供安全认证服务。
二、 网上教育应用系统集成数字证书的应用，用户登录系统时，必须提交CA认证系统颁发的用户证书，系统通过用户证书来实现身份认证和访问控制，同时通过加密技术和数字签名技术，实现信息传输的机密性和抗抵赖性等安全需求。
三、 用户证书保存在USB KEY中，USB KEY是一种安全的证书存储介质，可以设置口令，保证证书和私钥的安全，使用USB KEY也可以实现对移动办公的安全需求。
以下，将分别对方案总体框架描述中CA认证系统、应用系统安全集成方案等几部分分别进行描述，同时对天威诚信的情况进行了介绍。
4 CA认证系统设计
CA认证系统负责为网上教育提供安全认证服务，本方案采用天威诚信iTrusCA产品进行设计和建设。
4.1iTrusCA系统简介
天威诚信iTrusCA系统是参照国际领先的CA系统的设计思想，继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性，自主开发的、享有完全自主知识产权的数字证书服务系统。
iTrusCA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心（CA）又包含相应的模块，系统架构如下图：
图1 iTrusCA系统模块架构图
天威诚信iTrusCA系统能提供完善的功能，包括：证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。
天威诚信iTrusCA系统具有下列特点：
A. 符合国际和行标准；
B. 证书类型多样性及灵活配置。能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书；
C. 灵活的认证体系配置。系统支持树状的客户私有的认证体系，支持多级CA，支持交叉认证；
D. 高安全性和可靠性。使用高强度密码保护密钥，支持加密机、智能卡、USB KEY等硬件设备以及相应的网络产品（证书漫游产品）来保存用户的证书；
E. 高扩展性。根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA，支持交叉CA；系统支持多级RA。
F. 易于部署与使用。系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。
G. 高兼容性。支持各种加密机、多种数据库和支持多种证书存储介质。
4.2 认证体系设计
认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。证书的信任关系是一个树状结构，由自签名的根CA为起始，由它签发二级子CA，二级子CA又签发它的下级CA，以此递推，最后某一级子CA签发最终用户的证书。
认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好。层次越多，技术实现越复杂，管理的难度也增大。证书认证的速度也会变慢。一般的，国际上最大型的认证体系层次都不超过4层，并且浏览器等软件也不支持超过4层的认证体系。
本方案设计的网上教育的CA认证系统采用如下图所示的认证体系：
图2 网上教育CA认证体系图
如图所示，认证体系采用3层结构：
n 第一层是自签名的网上教育系统根CA，是处于离线状态的，具有网上教育的权威性和品牌特性。
n 第二层是由网上教育系统根CA签发的网上教育系统子CA，处于在线状态，它是签发系统用户证书的签名CA。
n 第三层为用户证书，由网上教育系统子CA签发，从用户证书的证书信任链中可以看出整个网上教育的CA认证体系结构，用户证书在网上教育的应用范围内受到信任。
采用这种认证体系具有下列特点：
（1） 体现网上教育的权威性
从认证体系上看，网上教育系统CA认证体系具有自己的统一的根CA，由网上教育进行统一管理，负责整个网上教育的认证体系、CA策略和证书策略的定制与管理，这样充分体现了网上教育的权威性。
（2） 具有很好的可扩展性
如图所示体系具有很好的可扩展性，采用三层结构为体系的扩展预留了空间（因为大多数应用都只支持四层以下），根据网上教育实际应用需求，将来可以在子CA下，签发下级子CA；或者针对别的应用再签发子CA这样，使得网上教育CA认证体系具有很好的可扩展性。
（3） 具有很好的可操作性
采用三层体系结构，相对比较简单，在CA的创建和管理上也相当比较容易。虽然从技术上认证体系支持无限扩展，但是层次越多，技术实现越复杂，管理的难度也增大。而采用三层结构是目前业界比较通用的、标准的做法。这样，使得网上教育CA认证体系具有很好的可操作性。
4.3 系统网络架构
采用iTrusCA系统将为网上教育建设一个CA中心和一个RA中心，iTrusCA系统的所有模块可以安装在同一台服务器上，也可以采用多台服务器分别安装各模块。系统网络架构如下图所示：
图3 CA系统网络架构示意图
如图所示，将iTrusCA系统的CA认证中心和RA注册中心各模块安装在CA服务器上，为了保证系统的安全，CA服务器必须位于安全的区域，即采用防火墙与外界进行隔离。最终用户使用浏览器，访问CA服务器，进行证书申请和管理。管理员（包括CA管理员和RA管理员，可以是同一个管理员担任）使用浏览器，访问CA服务器，进行证书管理和CA管理。
4.4 证书存储介质
本方案推荐使用USB KEY来保存用户的证书及私钥。USB KEY是以USB为接口的存储设备，它便于携带和使用，可以实现在所有的机器（具有USB接口）上的漫游，可以满足网上教育移动办公的需求。USB KEY可以设置用户口令保护，增强了证书及私钥的安全性。
为了在发生USB KEY丢失等情况时，私钥可以恢复或者还可以用私钥解密以前的加密邮件，在申请证书时，密钥对可以在系统中产生而不是在USB KEY中产生，当证书申请成功后，再将私钥和证书导入到USB KEY中；同时系统可以以文件的形式保留私钥和证书的备份，这就提供了在USB KEY丢失时对用户私钥和证书的保护措施。
4.5 iTrusCA2.0系统功能介绍
天威诚信iTrusCA2.0系统提供完善的功能，包括：证书处理功能、证书生命周期管理功能、证书服务功能、系统管理功能、帐号管理功能、策略管理功能、统计审计与日志功能和密钥管理功能等。
4.5.1 证书处理
系统使用XML描述X509证书格式和内容，可根据需要配置签发证书的证书类别、语言种类、证书格式和证书内容。
ü 支持证书版本，支持x509 v1/v3；
ü 多语种，支持用户DN采用各语种模式（目前实现中英文）；
ü 支持自定义证书扩展项，支持多个扩展项；
ü 根据需要可配置签发各种用途证书，包括：
n 邮件证书
n 个人身份证书
n 企业证书
n 服务器证书
n VPN证书
n 代码签名证书
4.5.2 证书生命周期管理
ü 证书申请
ü 证书批准
ü 证书查询
ü 证书下载
ü 证书吊销
ü 证书更新
4.5.3 证书服务
CRL证书吊销列表服务，配置指定RA的CRL下载地点及CRL发布时间；
LDAP目录查询服务，支持电子邮件、用户名和组织名的任意组合查询及模糊查询。
4.5.4 系统管理功能
ü RA管理员管理，包括初始化RA管理员申请、增加RA管理员、删除RA管理员；
ü CA管理员管理，包括初始化CA管理员申请、后续CA管理员证书申请、吊销CA管理员证书。
4.5.5 账号管理
ü 个人账号管理，包括注册信息，证书信息等管理；
ü RA账号管理，包括RA账号申请、批准、吊销、额外管理员证书申请等。
4.5.6 策略管理
证书策略配置管理，高度灵活和可扩展的配置CA所签发证书的有效期、证书主题、证书扩展、证书版本、密钥长度、证书类型等方面；
ü RA策略配置管理，包括语言、联系方法、证书类型、是否发布到LDAP等；
ü CA策略配置管理，包括证书DN重用性检查、CA别名设置等。
4.5.7 统计、审计与日志
ü 统计各CA、RA账号证书颁发情况；
ü 记录所有RA与CA的操作日志；
ü 对所有操作人员的操作行为进行审计。
4.5.8 密钥管理
ü CA密钥产生和存储（包括根CA和所有子CA密钥，支持软件与硬件）；
ü CA密钥管理、归档与备份；
ü CA证书的产生和管理；
ü 用户密钥的管理服务（KMC服务）。
4.6 证书应用开发接口（API）
为了实现基于数字证书的安全应用集成，天威诚信提供了完整的证书应用开发接口（API），提供C、JAVA和COM等多种接口，包括：
n 个人信任代理（PTA）
个人信任代理（PTA）是客户端的软件包，既包括安装在客户端的文件加密/解密程序，也包括用于数字签名和签名验证的ActiveX控件。文件加/解密模块可以产生随机数密钥对文件进行加密，以及使用输入的密钥对文件进行解密；ActiveX控件由用户访问相关网页时下载到客户端浏览器中，实现使用本地的证书（私钥）对文件进行数字签名，以及对签名进行验证。
n 证书解析模块（CPM）
证书解析模块是一系列平台下的动态链接库，用于解析DER或PEM编码的X.509数字证书，将证书中的信息，包括用户信息、证书有效期、证书公钥等信息分解为字符串。
n 数据签名验证模块（SVM）
数据签名及验证模块是一系列平台下的动态链接库或插件，可以应用于客户端和服务器端，实现对传输数据的数字签名，和对数字签名及其证书进行验证。证书的验证可使用CRL或OCSP来进行有效性验证。
4.7 系统工作流程设计
（1）证书发放流程
本方案设计的网上教育CA认证系统的证书发放采用集中发证的方式，即由管理员集中申请好证书，保存在USB KEY中，发放给用户使用。其工作流程如下图所示：
图4 证书发放流程图
(a) 管理员使用浏览器，访问网上教育CA认证系统，进入证书申请页面，替最终用户填写证书申请信息，向网上教育CA认证系统提交证书申请请求。在本地（本地的USB KEY上）产生证书的公私钥对，并将公钥和用户信息一起作为证书申请请求，提交给CA认证系统；
(b) CA认证系统根据管理员提交的证书申请请求，批准并签发用户证书，将用户证书发布到数据库中。同时，将用户证书返回到管理员端，保存到USB KEY中；
(c) 管理员将申请好证书的USB KEY发放给最终用户。
（2）证书吊销流程
在用户证书的私钥受到威胁、或者用户私钥丢失时，需要吊销用户的证书，根据网上教育信息系统的应用情况，本方案设计证书吊销由管理员进行，其工作流程如下：
(a) 管理员在发现用户违反使用规定，或者用户自己向管理员发送邮件，请求吊销自己的证书时，管理员访问CA认证系统管理员模块，进行用户证书吊销用户；
(b) 管理员通过证书管理功能页面，查询到需要吊销的用户证书；
(c) 管理员选择吊销操作，选择吊销用户证书的原因，向CA认证系统发送证书吊销请求；
(d) CA认证系统根据管理员的证书吊销请求，自动的吊销用户的证书，并将吊销的用户证书发布到证书吊销列表中，同时对数据库中保存的用户证书的最新状态进行更新；
(e) CA认证系统给管理员返回证书吊销成功信息，同时给用户发送电子邮件，告诉用户证书已经被吊销，不能再使用自己的证书。
（3）证书更新流程
最终用户在其证书即将过期之前，需要访问CA认证系统，更新自己的证书，其流程为：
(a) 最终用户在证书即将过期前（一般为一个月），访问网上教育CA认证系统，登录用户服务页面，点击“证书更新”选项；
(b) 系统自动识别用户是否具有网上教育CA认证系统颁发的数字证书，并且判断是否过期，如果即将过期，便提示进行更新；
(c) 用户选择需要更新的证书，点击提交，向CA认证系统提交证书更新请求。在提交证书更新请求时，在USB KEY中，重新产生更新证书的公私钥对，将公钥和即将过期的证书一起，作为证书更新请求，提交给CA认证系统；
(d) CA认证系统自动批准证书更新请求，自动更新用户证书，将更新的证书发布到目录服务器，同时将更新证书返回到用户端，自动保存到USB KEY中。
5 应用系统安全集成方案
本方案主要目的是解决网上教育应用系统的安全问题，天威诚信采用iTrusCA系统利用数字证书在不增加用户额外负担的情况下更好的保证了身份认证系统的安全性，以下将从安全原理、安全构架和具体应用流程分别介绍应用系统集成方案。
以下对B/S架构的系统安全原理、架构和应用流程进行规划。
5.1 B/S架构系统安全原理
（1）身份认证和访问控制实现原理
由于网上教育B/S架构的系统，利用Web服务器对SSL（Secure Socket Layer，安全套接字协议）技术的支持，可以实现系统的身份认证和访问控制安全需求。
目前，SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术，在用户使用浏览器访问Web服务器时，会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时：首先，服务器会传送它的服务器证书，客户端会自动的分析服务器证书，来验证服务器的身份。其次，服务器会要求用户出示客户端证书（即用户证书），服务器完成客户端证书的验证，来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效（即是否被窜改等）和客户端证书是否被吊销等。验证通过后，服务器会解析客户端证书，获取用户信息，并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成，对用户是透明的。
如下图所示，除了系统中已有的客户端浏览器、Web服务器外，要实现基于SSL的身份认证和访问控制安全原理，还需要增加下列模块：
图12 身份认证和访问控制原理图
l Web服务器证书
要利用SSL技术，在Web服务器上必需安装一个Web服务器证书，用来表明服务器的身份，并对Web服务器的安全性进行设置，使能SSL功能。服务器证书由CA认证中心颁发，在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效期，Web服务器需要使能SSL功能的前提是必须拥有服务器证书，利用服务器证书来协商、建立安全SSL安全通道。
这样，在用户使用浏览器访问Web服务器，发出SSL握手时，Web服务器将配置的服务器证书返回给客户端，通过验证服务器证书来验证他所访问的网站是否真实可靠。
l 用户证书
用户证书由CA认证中心颁发给企业内用户，在用户证书内标识了用户的身份信息、用户的公钥以及CA对证书相关域内容的数字签名，用户证书都有一个有效期。在建立SSL通道过程中，可以对服务器的SSL功能配置成必须要求用户证书，服务器验证用户证书来验证用户的真实身份。
l 证书解析模块
证书解析模块以动态库的方式提供给各种Web服务器，它可以解析证书中包含的信息，用于提取证书中的用户信息，根据获得的用户信息，查询访问控制列表（ACL），获取用户的访问权限，实现系统的访问控制。
l 访问控制列表（ACL）
访问控制列表是根据应用系统不同用户建设的访问授权列表，保存在数据库中，在用户使用数字证书访问应用系统时，应用系统根据从证书中解析得到的用户信息，查询访问控制列表，获取用户的访问权限，实现对用户的访问控制。
（2）信息机密性实现原理
信息机密性实现原理也是利用SSL技术来实现的，在用户使用浏览器访问Web服务器，完成双向身份认证，并完成对用户访问控制之后，在用户客户端和服务器之间建立安全的SSL通道，会在用户浏览器和Web服务器之间协商一个40位或128位的会话密钥。此时，在客户端和服务器之间传输的数据都是采用给会话密钥进行加密传输，从而保证了系统机密性安全需求。
（3）信息抗抵赖性实现原理
数字签名技术是实现信息抗抵赖性的有效技术，本方案利用数字签名技术，实现网上教育信息系统的信息抗抵赖性需求。
数字签名技术的实现是指使用数字证书的私钥，对被签名数据的摘要值进行加密，加密的结果就是数字签名。在进行签名验证时，是用数字证书（即公钥）来进行验证，用公钥解密数据，得到发送过来的摘要值，然后用相同的摘要算法对被签名数据做摘要运算，得到另一个摘要值，将两个摘要值进行比较，如果相等，则数字签名验证通过，否则验证无效。数字签名技术的实现依赖于下列两个事实：一是每一个信息的摘要值是唯一的，找不到两个摘要值相同的不同信息；二是证书的私钥只有数字证书的拥有者才拥有，其他人得不到拥有者的私钥。这样，通过数字签名和签名验证，可以确定数据的确是数字证书的拥有者发送的，发送者不能进行抵赖。数据在发送的过程中，没有被别人窜改过的，是完整的。
利用数字签名技术，可以对网上教育信息系统进行集成，用户在成功登录系统之后，系统已经完成了对用户的身份认证和访问控制，用户可以访问到请求的资源或页面，用户可以进行网上办公。此时，需要对用户在线提交的办公的敏感数据，如财务数据、征收信息等，进行数字签名，防止用户对提交的数据进行抵赖。采用数字签名技术，在用户提交重要数据时，客户端采用用户证书的私钥，对数据进行数字签名，然后将数据及其签名一起经过SSL通道发送给系统Web服务器。服务器接收到提交的信息，完成对签名的验证，将数据传输给后台处理，并将用户提交的数据及其签名保存到数据库中，以便将来用户进行抵赖时查询。
如下图所示，实现本方案的设计需求需要增加下列模块：
图13 信息抗抵赖实现原理图
l 客户端数据签名模块
客户端数据签名模块以控件的方式提供。用户使用浏览器访问Web服务器时，该模块作为控件进行下载，注册安装在用户浏览器中。数据签名模块的功能是使用用户选择的客户端证书的私钥对客户端发送的数据进行数字签名，保证数据传输的完整性，防止客户端对发送的数据进行抵赖。
l 服务端签名验证模块
服务端签名验证模块以插件或动态库方式提供，安装在服务器端，实现对客户端数据签名的验证，对客户端数据签名证书的有效性验证。同时，将通过验证的数据，传输给后台应用服务器，进行相关的业务处理，并将数据及其数字签名保存到数据库中。
5.2 应用系统安全架构
根据上述安全原理，采用天威诚信的证书应用开发产品，对网上教育B/S构架系统进行安全集成，系统安全架构如下图所示：
图14 系统安全集成框架图
如上图所示，系统安全集成的实现如下描述：
（1） 在网上教育B/S架构系统Web服务器上，配置服务器证书，配置SSL功能，用户必须使用HTTPs访问，并要求用户证书，配置服务器的可信CA为网上教育根CA，只有网上教育CA认证体系下的用户证书才能访问信息系统；
（2） 客户端（即用户使用的浏览器）必须从网上教育CA认证系统申请用户证书，才能进行信息系统登录。申请的用户证书代表了用户的身份，登录时必须提交用户证书；在用户向信息系统提交敏感数据，如财务数据、征收时，必须使用该用户证书的私钥进行数字签名；为了实现用户的移动办公，保证用户证书及其私有的安全，采用USB KEY来保存用户的证书和私钥；
（3） 信息系统服务器上配置服务端功能模块——CPM（证书解析模块），作为服务器的功能插件安装在信息系统服务器上，解析用户证书，获用户信息，根据用户信息查询信息系统配置的访问控制列表（ACL），获取用户的访问权限，实现系统的访问控制；
（4） 客户端配置功能模块——PTA（个人信任代理），以COM控件的方式提供，配置在需要保证数据安全的Web页面上，随Web页面下载并注册，它使用用户证书的私钥对提交的表单数据进行数字签名；
（5） 信息系统服务器上配置服务端功能模块——SVM（签名验证模块），以插件的方式提供给信息系统服务器，实现对用户提交的数字签名的验证；
（6） 客户端和信息系统服务器之间的所有数据通信都是通过SSL安全通道进行加密传输。
5.3 应用系统身份认证流程
B/S架构系统集成安全功能之后，用户登录信息系统的流程如下图所示：
图15 身份认证和访问控制流程图
① 用户在计算机中插入保存有用户证书的USB KEY，采用安全连接方式（HTTPs方式）访问信息系统，进行系统登录；
② 信息系统Web服务器发出回应，并出示服务器证书，显示Web服务器的真实身份。同时，要求用户提交用户证书；
③ 用户浏览器自动验证服务器证书，验证登录的信息系统的真实性；
④ 用户选择保存在USB KEY上的用户证书，进行提交；
⑤ 信息系统Web服务器验证用户提交的用户证书，判断用户的真实身份；
⑥ 用户身份验证通过后，Web服务器解析用户证书，获得用户信息，根据用户信息，查询信息系统的访问控制列表（ACL），获取用户的访问授权；
⑦ 获得用户的访问权限后，在用户浏览器和信息系统服务器之间建立SSL连接，用户可以访问到请求的资源，身份认证和访问控制流程结束，用户成功登录信息系统。
整个身份认证过程简单明了，所有最终用户在整个数字证书的申请－生成－发布－吊销－过期的全部生命周期当中不需要做什么特殊操作，申请、生成、发布、过期都由网上教育信息中心统一完成，在密钥发生丢失或是损坏的时候只需由管理员吊销证书，并重新发放证书，将不影响最终用户的实际应用；而对于使用来说，最终用户在使用数字证书完成身份认证时只需将保存有个人证书（私钥）的USB KEY插入本地计算机，其它的提交、认证、解析等过程完全由应用程序在后台完成，最终用户根本感觉不到，最大的程度上方便了用户的使用，在不增加最终用户额外负担的情况下更好的保证了网上教育信息系统的安全性。
6 iTrusCA2.0系统特点
iTrusCA2.0系统是天威诚信自主开发的、享有完全自主知识产权的数字证书管理系统，系统拥有如下特点。
(1)符合国密办规定，支持双证书、双中心，即加密证书/签名证书和CA认证中心/密钥管理中心；
(2)证书类型多样性及灵活配置：系统能够提供各种证书的签发功能，根据客户需要可以进行灵活配置，包括：邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等。
(3)灵活的认证体系配置：系统支持树状的客户私有的认证体系，支持多级CA，支持交叉认证，支持虚拟（托管）CA。
(4)注册机关（RA）建设方式多样化：系统支持管理不同类型证书的RA，单个RA也可以管理多种类型的证书；系统支持单级RA，也支持多级RA；RA界面风格可定制。
(5)高安全性和可靠性：使用高强度密码保护密钥，支持加密机、智能卡、USB Key等硬件设备，用户关键信息散列保存，以防遗失。
(6)高扩展性：根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA，支持交叉CA；系统支持多级RA。
(7)多语言支持：后台业务数据处理使用UTF－8格式，支持多语言数据。因此，系统能过通过配置实现对不同语言证书的签发，包括支持中英文证书。
(8)易于部署与使用：系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。
(9)高兼容性
ü 跨平台设计，支持Linux/Unix/Windows主流操作系统；
ü 支持多种加密设备：软加密库、山大加密机和天融信加密机等；
ü 支持多种数据库：Oracle和SQL server等；
ü 支持多种证书存储介质：硬盘、USB Key和智能卡等。
(10) 系统冗余设计，可靠性高、稳定性好符合国际和行业标准：系统在设计中遵循了相应的国际和工业标准，包括X.509标准、PKCS系列标准、IETF的PKIX工作组制定的PKI相关RFC标准，以及HTTP、SSL、LDAP等互联网通讯协议等。严格遵循这些标准，使得系统具有很好的开放性，能够与各种应用结合，成为真正的安全基础设施。
7 系统运行环境
iTrusCA2.0系统的系统模块、系统网络拓扑架构和系统运行环境如下：
7.1 系统模块组成
iTrusCA2.0系统
模块 功能 备注：
基本功能模块 RA基本模块包括：
RA用户服务模块
RA证书处理模块
RA管理模块
RA数据库系统
CA基本模块包括：
业务通讯模块
RA帐户注册模块
CRL发布模块
证书服务处理模块
CA管理模块
密码模块（软/硬件，缺省为软件加密模块） l 面向最终用户提供证书管理服务；
l 面向RA管理员提供RA管理服务；
l 面向CA管理员提供CA管理服务；
l 证书吊销列表（CRL）服务；
l 证书发布和LDAP目录查询服务。

可选功能模块 邮件证书模块 l 具有签发邮件证书的功能 　
个人身份证书模块 l 具有签发个人身份证书的功能
企业证书模块 l 具有签发企业证书的功能
服务器证书模块 l 具有签发服务器证书的功能
VPN证书模块 l 具有签发VPN设备证书的功能
代码签名证书模块 l 具有签发代码签名证书的功能

7.2 系统网络架构
iTrusCA2.0系统（证书数量在1000以内）建议安装在服务器上，建设的系统网络架构如下图所示：
7.3 系统运行软硬件环境（推荐）
根据建议的系统网络架构，系统运行软硬件环境需求如下：
系统运行环境
硬件环境
模块 数量 平台 配置 备注：
CA服务器 1 PC Server 硬件：
P4 1.5GHz， 2G RAM， HD 40G
软件：
Windows 2000 Server，IIS 5.0及以上
iPlanet Directory Server 4.1 安装iTrusCA2.0系统的所有功能模块
注1
注2
管理员终端 1 PC 硬件：
P4 1G 512M RAM
软件：
Windows 2000 Professional
IE5.0及以上浏览器
软件环境
数据库软件 1 Oracle 10g 　
Web服务器软件 1 Weblogic 　

注1：硬件与软件平台的版本为参考，系统升级不另通知。
注2：密码模块缺省配置为软件加密模块，可以使用硬件密码机。
附件一 关于天威诚信
n 公司简介
北京天威诚信电子商务服务有限公司（iTruschina）是经信息产业部批准的全国性PKI/CA企业，是专门从事数字信任服务、PKI/CA建设服务、PKI/CA应用服务、PKI/CA运营管理咨询服务和PKI/CA体系整体规划服务的专业化信息安全技术与服务公司。公司成立于2000年9月，注册资金5135万元，公司总部位于北京，在上海和广州等地设有办事机构。
天威诚信（iTruschina）致力于向企业、政府和大众客户提供全面的数字信任服务，矢志成为国内提供数字信任服务的领先者。依照我国国情和密码管理政策，借鉴国外先进技术及管理方法，建立中国自有品牌的信任服务体系，并研制了具有自主知识产权的PKI产品及应用。公司在开展自身业务的同时，参与了国家有关PKI/CA体系规划、建设和运营管理等方面的工作，并积极参与中国电子签名法立法。天威诚信正以其领先的技术、先进的管理方法和全面而精湛的产品与服务，为中国的信息安全服务。
作为政府认可的、权威、可信、公正的第三方认证中心，天威诚信在北京建有1000平米的国际一流水准的、安全的数据中心，配备了专业可靠的运营管理团队，采用ISO17799信息安全管理体系进行管理，制定了标准的认证业务声明（CPS），对外提供全球信任体系（VTN，Verisign Trust Network）、中国自有信任体系（CTN，China Trust Network）和客户私有信任体系等多种信任服务。
天威诚信通过提供数字证书服务、PKI/CA建设、PKI应用产品和PKI应用规划等多种方式，为网上业务系统的安全以及参与网上业务的各方的相互信任提供安全机制，为网上业务过程中身份认证和访问控制、信息保密性、信息完整性和业务操作的抗抵赖等安全需求提供了可靠的保证。公司的业务范围涉及电子政务、电子商务和企业信息化建设等各个领域，目前，包括政府、税务、工商、教育、邮政、银行、证券、期货、基金、保险、电信、移动、游戏、能源、烟草、钢铁、物流、制造业、IDC和ISP/ICP等行业领域以及需求数字信任服务的个人。
n 资质优势
天威诚信取得了国家有关管理部门的所有资质（详细见附件二描述），天威诚信认证中心是国家管理部门认可的认证中心。
n 技术优势
天威诚信从国外引进技术，技术体系符合国际规范，更容易与国际接轨，有利于在全球统一的CA认证体系中占有一席之地。通过实践证明，天威诚信采用的国际先进技术建设的平台具有高可靠性、先进性和高扩展性等优势。
同时，天威诚信培养了专业化的技术开发和应用开发团队，对PKI技术进行了深入的研究，掌握了有关PKI核心技术，并自主开发了PKI/CA产品及PKI/CA应用产品。
n 品牌优势
天威诚信依据国情，引进先进技术，自主建立的安全、可靠的PKI/CA系统是一个具有国际领先水平，是拥有自主加密核心技术的公钥基础设施平台。天威诚信提供CTN体系服务，建立了中国的信任网络，具有自主的品牌和享有自主知识产权。
同时，天威诚信开发了具有自主知识产权的PKI/CA产品和PKI/CA应用产品，能够提供全面的PKI/CA产品与服务。
n 政策优势
天威诚信是经信息产业部批准的第一家全国性PKI/CA企业，公司产品和服务是通过国家有关部门认证，获得了安全行业相关资质的。其次，天威诚信在开展自身业务的同时，也积极向国家提出了有关PKI/CA建设方面的意见和建议，并帮助国家有关部门建立了PKI/CA行业标准和运营管理规范。另外，天威诚信还作为唯一一家从事全国性PKI/CA服务的企业代表，被国务院法制办邀请，参加我国《电子签名法》的研讨工作，并为我国《电子签名法》提出了很多宝贵的建议和意见。
n 管理优势
天威诚信借鉴国外的先进管理经验，制定了完善的安全管理策略，对天威诚信认证中心进行安全管理，安全管理策略包括物理安全策略、信息安全策略、系统安全策略、通信安全策略、密钥管理策略和人员管理策略等，对认证中心的安全管理方面完全满足ISO17799的标准，并通过了ISO17799认证。
用户选择理由 该经销商的产品功能能满足本单位项目需求及报价方案基本合理。

申购单设备信息：
设备名称 设备型号 设备规格 数量
CA系统及开发工具 1