吉大正元数字签名服务器

电子印章

1.产品概述
1.1 产品简介
吉大正元数字签名服务器是一套基于开放的公钥密码标准（PKCS）开发，提供数字签名、数字信封等服务的硬件安全产品，满足用户在网络交易中行为不可抵赖，信息完整性、私密性等需求。
1.2 产品结构
吉大正元数字签名服务器由数字签名服务器和数字签名客户端组成，均可独立提供数字签名、数字信封等服务。
图 2－1 吉大正元数字签名服务器 体系架构
数字签名服务器包括签名服务器和服务器接口（V-STK）：对外提供服务时，应用数据通过V-STK传入签名服务器，处理后再经由V-STK传出供应用系统获取；管理员可通过WEB方式登陆控制台，对证书及其相关参数进行配置，以提高服务管理效率。
V-STK提供Java接口、COM接口、C接口，方便用户应用系统的调用。
数字签名客户端为独立运行的组件（V-CTK）：对外提供服务时，应用系统通过V- CTK提供的接口函数将数据传入，处理后再经由接口函数传出。
V-CTK支持标准CSP技术，支持标准软证书、硬证书。有ActiveX控件开发包、Jar包、DLL链接库等多种方式，供用户选择。
1.3 部署结构
1.3.1 用户签名
图2-2 数字签名服务器 用户签名部署结构图
吉大正元数字签名服务器支持嵌入B/S或C/S系统中，应用系统客户端调用数字签名客户端，保证了用户作为单一个体，身份的正确性和不可否认性。应用系统服务器端调用数字签名服务器的服务器接口，充分发挥了数字签名服务器证书验证的功能优势和并发处理的性能优势。
1.3.2 系统结构
图2-3 数字签名服务器 系统签名部署结构图
吉大正元数字签名服务器在系统间的数据传输上发挥着重要的作用，应用系统调用数字签名服务器的服务器接口，保证了作为应用系统唯一标识的身份正确性和不可否认性，同时充分发挥了数字签名服务器并发处理的性能优势，保证了应用的顺利、稳定运行。
2.功能特点
2.1 产品功能
2.1.1 数字签名服务器
2.1.1.1 数字签名
数字签名服务器支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验证符合PKCS#7标准的签名结果。
数字签名服务器支持对数据制作数字签名，签名结构符合PKCS#1标准；支持通过证书导入、证书配置方式验证符合PKCS#1标准的签名结果。
身份验证
使用证书进行数字签名，接收者可验证签名，而其他任何人都不能伪造签名。
事后验证
使用证书进行完整数字签名，签名结果中包含签名时的全部证书状态信息，接收者可在生成后的任意时间验证，而其他任何人都不能伪造。
数据完整性
对重要数据、文件制作数字签名，如果验证签名失败，说明数据的完整性遭到破坏。
行为抗抵赖
对操作行为（数据形式）制作数字签名，签名者事后不能否认自己的签名。
2.1.1.2 数字信封
数字签名服务器支持对数据、文件制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果。
－数据私密性
对重要数据、文件制作数字信封，通过双层加密技术来保障数据的私密性。
2.1.1.3 证书验证
数字签名服务器支持对签名、加密证书进行全面验证。可根据配置不同CA签发的根证书，验证证书的信任域；根据系统时间，验证证书的有效期；根据CRL或OCSP验证证书状态。证书状态验证方式包括，标准OCSP协议验证证书，连接LDAP服务器更新CRL验证，连接WEB服务器更新CRL验证。
2.1.1.4 交叉验证
通过数字签名服务器制作的数字签名、数字信封，结构严格遵循PKCS#7标准，可供其他CA机构验证。
数字签名服务器支持配置多信任CA签发的根证书，可验证不同CA机构签发的符合PKCS#7标准的签名、信封结果。
2.1.1.5沈阳软件设计

双机热备
数字签名服务器内置双机热备系统，采用主备机模式，主机（处于工作状态的机器）与备机之间通过网口连接心跳线，用于监听对方机器是否处于正常工作状态，当备机发现工作机停止工作时，通过自己的双机功能将主机的服务切换到备机，由备机继续提供服务。当主机恢复正常后，服务自动切回到主机。
双机热备功能用于解决数字签名服务器的单点故障问题，为应用系统提供更可靠的签名、信封等服务。
2.1.1.6 配置管理

 1/2    1 2 下一页 尾页