• • • 备用密钥库 在用密钥库 归档密钥库
注销
功能介绍－KM Server
机构管理
• 使用CA“通信证书”作为就证书注册 • 可限制CA机构能够提取的密钥类型和密钥数量
权限管理
• 超级管理员只能完成授权业务管理员操作 • 其他所有业务管理由业务管理员完成
审计管理
• 统计业务量 • 审计操作日志
• 两个基础设施：安全技术基础设施、安全管理基础设施
• 一个平台：应用安全支撑平台 • 五个统一服务：即统一的用户管理服务、统一的身份认 证服务、统一的授权服务、统一访问控制服务、统一的 安全审计服务。 保护原有用户投资、尽量避免调整应用
吉大正元产品体系介绍
安全 应用 应用 安全 支撑 平台 安全 管理 设施
功能介绍－RA Server
证书管理
• 证书申请、证书下载、证书查询、证书更新 • 证书冻结、证书解冻、证书注销 • 批量申请证书、批量下载证书
用户管理
• 用户组管理 • 添加用户、修改用户、删除用户 • 冻结用户、解冻用户、注销用户
功能介绍－RA Server
模板管理
• 获取已授权模板列表 • 设置审核策略：手动审核、自动审核
开发用API
JIT RA Toolkit JIT OCSP Toolkit
功能介绍－CA Server
CA Server的核心作用
• 签发、管理证书和CRL • 以证书为中心管理数据
业务管理员
证书管理 模板管理 超级管理 员 自定义扩展域管理 权限管理
系统初始化 系统管理 员 系统配置管理
功能介绍－OCSP Server
OCSP核心功能
• 提供在线证书状态查询服务 • 支持对多CA提供证书状态查询服务
系统初始化 系统管理 员 系统配置管理
OCSP标识证书状态
• 有效 Using • 注销 Revoked • 未知 Unknown
功能介绍－开发用API
RA Toolkit
功能介绍－特色功能
数字签名： • 事后验证：使用证书进行完整数字签名，签名结果中包含签名时的 全部证书状态信息，接收者可在生成后的任意时间验证，而其他任 何人都不能伪造。 • 监控功能：安全管理员可以对签名、验签业务进行实时的监控和统 计。 • 业务日志管理功能：内嵌数据库，安全管理员可以设置、查看日志 信息及状态。 数字信封： • 双证书体系：签名证书与加密证书完全独立，保障系统应用的安全 • 监控功能：安全管理员可以对加密、解密业务进行实时的监控和统 计。
管理员对各实体（用户、设备等）进行统一管理
系统实体之间建立可信、可控、可审计、可追查机制 业务应用和安全措施能独立运行、方便各自管理 应用与安全的集成简单而便捷 提升用户对信息系统的使用体验
产品介绍
CA产品（SQR05） 统一用户管理系统（UMS） 授权管理系统（PMS) 应用安全支撑系统（CINAS） 综合审计系统（AQS） 终端安全系统 文件传输系统 其他产品
JIT UMS
统一用户管理系统
安 全 硬 件 产 SZD34 品 智能
密码 钥匙
安全 技术 基础 设施
KMC Server OCSP Server OCSP Toolkit 时间戳 密钥管理中心 在线证书状态查询 OCSP开发工具包
SJY-76 证书 服务器 密码机
PKI/PMI
产品体系－－ 产品荣誉
主题规则管理
• 规范证书主题格式 • 定制用户信息与证书主题的对应关系 • 主题规则与证书模板绑定
权限管理
• 录入员 • 审核员 • 制证员
功能介绍－RA Server
用户自主服务
• • • • • • 自主下载证书 自主更新证书 下载根证书 下载CRL 可灵活控制的自主服务模式 可扩展的用户身份验证模式
证书模板的作用
• 证书模板的作用是根据证书应用需 要，规范和定制证书内大部分信息， 简化证书签发操作，并支持按证书 模板分类管理证书； • 用户证书签发必须依赖证书模板； • CA系统初始化后会预置一批常用证 书模板，能够满足绝大多数证书应 用；
使用中
未使用
注销
删除
自定义扩展域的作用
• 国家/国际标准表扩展域无法满足应 用要求时，可以使用自定义扩展域 • OID + 编码方式 + VALUE
产品定义
• 吉大正元数字签名服务器是基于数字证书和PKI技术自主研制的硬件 安全产品，提供数字签名和数字信封服务，满足用户在网络交易中行 为不可抵赖，信息完整性、私密性等需求。
解决问题
• 行为可追述，不可抵赖 • 数据防篡改 • 数据保密
产品概述－产品形态
IE 浏览器
V-CTK
应用服务端
应用客户端证书存储私钥储管理员功能介绍－数字签名服务器
数字签名 数字签名服务器支持对数据、文件制作数字签名，签名结构符合 PKCS#7标准；支持验证符合PKCS#7标准的签名结果。 数字签名服务器支持对数据制作数字签名，签名结构符合PKCS#1标 准；支持验证符合PKCS#1标准的签名结果。 数字信封 数字签名服务器支持对数据、文件制作数字信封，信封结构符合 PKCS#7标准；支持解密符合PKCS#7标准的信封结果。 证书验证 数字签名服务器支持对签名、加密证书进行全面验证。包括信任域、 有效期和证书状态。 交叉验证 数字签名服务器支持配置多信任CA签发的根证书，可验证不同CA 机构签发的符合PKCS#7标准的签名、信封结果。 双机热备 数字签名服务器内置双机热备系统，采用主备机模式，主机（处于 工作状态的机器）与备机之间通过网口连接心跳线，用于监听对方机 器是否处于正常工作状态。
吉大正元信息技术股份有限公司 产品简介
内容提要
产品体系介绍
产品介绍
产品体系－－产品定位
基于PKI/PMI技术 解决 认证、授权、管理、内容保护等 应用安全问题
产品体系－－产品设计理念
安全为应用服务，安全为管理服务
安全性与可用性、易用性结合 两个基础设施、一个平台，提供五个统一服务
数字签名系统
JIT AQS 统一审计监控系统 统一管理用户身份、账号、属性
JIT CSS 签名 服务 器
审计和监控相关行为内容
JIT SRQ05 数字证书认证系统 JIT PMS 授权管理系统 PMS TSA 证书、权限管理 授权管理系统 数字 RA Toolkit RA开发工具包 AA 属性证书系统 CA Server 签发系统 RA Server 注册审核系统
V-CTK
V-STK
签名服务器
数字签名客户端
数字签名服务器
CRL/OCSP
数字签名服务器
• 硬件签名服务器 • 服务器接口（V-STK）：C版/COM版/JAVA版
数字签名客户端
• 客户端接口（V-CTK）： COM版/JAVA版
产品概述－应用价值
完整性 数字签名：如果签名验证失败，说明数据的完整性 遭到了破坏 数字签名：接收者能验证签名，而任何其他人都不 能伪造签名 数字签名：签名者事后不能否认自己的签名
功能介绍－数字签名客户端
数字签名 数字签名客户端支持对数据、文件制作数字签名，签名结构符合 PKCS#7标准；支持验证符合PKCS#7标准的签名结果。 数字信封 数字签名客户端支持对数据、文件制作数字信封，信封结构符合 PKCS#7标准；支持解密符合PKCS#7标准的信封结果。 证书扩展 证书作为用户身份标识，其中可以记载很多用户信息，如姓名、联 系方式、工作单位、职务等等，也可以在CA机构定义扩展信息。数 字签名客户端支持获取证书标准信息及其扩展信息，供应用系统使用。
业务管理员
密钥管理 机构管理 超级管理 员 权限管理
系统初始化 系统管理 员 系统配置管理
统计业务量 审计管理 员 审计操作日志
功能介绍－KM Server
密钥管理
• • • • • • 定时产生密钥 即时产生密钥 备用密钥统计 在用密钥查询 司法取证 密钥归档
冻结
未使用
使用中
停用
同一机构下同一序列号的证书 只能申请使用一对密钥 “三库”要求
功能介绍－CA Server
权限管理
• 本系统管理员证书模板 • 证书管理授权：模板名称 + BaseDN
审计管理
• 统计签发证书数量 • 审计操作日志
功能介绍－KM Server
KM Server的核心作用
• • • • 为CA提供加密密钥 管理加密密钥生命周期 以密钥为中心管理数据 支持为多CA提供密钥服务
功能介绍－RA Server
RA Server的核心作用
• 实现证书申请录入、审核功能 • 管理证书对应的用户信息 • 以用户为中心管理数据
审核员 录入员 制证员
证书管理 用户管理 超级管理 员 系统初始化 系统管理 员 系统配置管理 模板管理 主题规则管理 权限管理
统计业务量 审计管理 员 审计操作日志
• CA签发管理系统（CA Server） • RA注册管理系统（RA Server） • KM密钥管理中心（KM Server） • OCSP在线证书状态查询系统（OCSP Server） 其中CA Server为产品的核心，其他组件围绕认证中心提供更 完善的安全解决方案。
功能介绍－系统结构
功能介绍－系统组成
身份认证
不可抵赖
机密性
数字信封：使用两层加密来获得公开密钥技术的灵 活性和秘密密钥技术高效性
功能介绍－数字签名服务器
制作数字签名，支持数据原文、 文件制作数字签名，签名结构符合 P7标准。 验证数字签名，支持验证标准的 P7签名结果，验证签名过程中，对 制作签名证书进行完整验证，包括 信任域、有效期、证书状态。