ESVS签名验服务器技术白皮书-V1.1.doc

ESVS签名验签服务器 白皮书 Version 1. 中讯亚太科技有限公司 目录 1 1 2 产品概述 2 2.1 产品简介 2 2.2 组成框图 2 3 产品部署 3 4 产品功能 4 4.1 配置与管理 4 4.1.1 用户管理 4 4.1.2 配置管理 5 4.1.3 服务管理 7 4.1.4 日志管理 7 4.2 对外服务 8 4.2.1 签名验签 8 4.2.2 制作/拆解数字信封 8 4.2.3 证书校验 8 4.2.4 证书解析 8 4.2.5 安全通信 8 5 产品特点 9 6 产品型号及技术指标 9 前言 随着社会信息化的发展，大量传统业务逐渐过渡到以计算机、互联网为代表的“电子化”时代，为确保这些经过“电子化”后的商业或政务活动的有效性，电子签名应运而生。在“电子化”的业务活动中，各参与方通过对应用系统中关键业务信息进行签名，来确保这些业务活动或业务信息的完整性和不可抵赖性。PKI技术是实现电子签名的主要手段，随着电子签名需求的增多以及PKI技术的深入发展，将分散在各应用系统中实现电子签名的模块独立出来形成公用的电子签名服务平台，逐渐成为各级管理人员、开发人员的共识，签名验签系统就是这样一个针对业务数据进行签名验签的独立的服务平台。使用签名验签系统不但可以有效地保障业务数据的完整性和不可抵赖性，同时还能大大降低应用系统中实现电子签名的复杂度，因此签名验签系统被广泛应用在等中。 产品概述 产品简介 ESVS签名验签服务器支持主要应用在采用PKI安全体系的电子商务、电子政务系统和企业信息化中，为系统提供身份认证、解密等安全保护。 组成框图 签名验签服务器及应用系统组成框图如下： 各部分详细描述如下： ESVS服务器（签名验签服务器） ESVS服务器为一台为不同的应用系统同时提供签名验签服务的硬件服务器设备。它提供Web管理界面实现对自身的管理和审计。ESVS服务器通过请求OCSP服务器实时验证证书状态，或者自动下载CRL文件进行证书状态验证。ESVS服务器可以与TSA服务器结合实现带时间戳的数字签名。 从服务功能上划分，ESVS服务器可分为四个大模块： 配置与管理模块 由ESVS管理员使用，配置ESVS服务器参数和数据同步，并对相关帐户、权限、日志及服务进行管理。 ESVS主服务模块 初始化必要的共享资源，比如共享内存，日志服务等。 签名验签模块 接收来自应用服务器的签名验签请求，并将签名验签结果返回给应用服务器。 CRL下载模块 定期自动下载CRL，并更新到配置数据库中。 ESVS应用API ESVS应用 API为应用系统提供签名验签服务的调用接口，它通过将签名验签请求发送给ESVS服务器的方式实现对文件、表单数据的签名验签。 ESVS客户端套件 ESVS签名控件为一个ActiveX控件，为客户提供了基于浏览器的签名验签操作，同时，它也可以验证来自ESVS服务器的签名。签名控件也可以支持数据压缩功能。 产品部署 在产品的实际使用中，ESVS签名验签服务器与业务系统并行部署，可以采用内部CA系统所签发的证书，也支持第三方CA系统证书，产品部署示意图如下： 产品功能 配置与管理 用户管理 系统用户分为超级管理员、配置管理员、业务管理员、审计管理员。其中配置管理员、业务管理员和审计管理员由超级管理员创建和管理。配置管理员主要完成配置管理模块的功能配置，业务管理员主要是对应用服务的管理，审计管理员主要是对系统和应用的日志查询和审核。 管理员通过用户名、密码和证书联合认证成功才能登陆系统进行操作，证书存放在usbkey中保存。系统必须在插入操作员管理KEY才能进入系统。 配置管理 配置管理模块必须由配置管理员登陆才能进行操作，配置管理包括服务器证书配置、CA证书配置、CRL配置、应用信息设置、事件管理、配置信息导入导出等功能。 服务器证书配置 签名服务器可以设置多张签名证书，针对不同的应用可以配置使用相同或不同的签名证书。签名证书对应的私钥保存在服务器的加密卡上，通过keyid关联公钥、私钥以及对应的证书。 服务器证书配置包括生成P10证书请求、导入服务器证书、导出服务器证书、查看服务器证书及删除服务器证书。 CA证书配置 CA证书配置用来配置签名服务器的受信任CA证书（多张CA证书可能形成证书链），受信任CA证书是指签名服务器所能接受的CA证书，他表明了签名服务器对那些CA域是信任的，只有被签名服务器所信任的CA签发的客户证书，才能通过签名服务器的验签，签名服务器可以配置使用多条证书链，即使用签名服务器的应用系统可以同时使用多个CA签发的客户证书。 CA 证书配置支持对证书的查看、CA证书的导入导出、CA的CRL和OCSP站点的配置。 CRL配