BJCA数字签名验证服务器白皮书201103详解.doc

数字签名验证服务器 产品白皮书 二〇一一年 三月 北京数字证书认证中心有限公司 北京市海淀区北四环西路68号双桥大厦15层 TEL：86-10 FAX：86-10邮政编码：100080 声明 一、本白皮书是数字签名验证服务器（简称DSVS）的技术说明书。本资料版权归北京数字证书认证中心有限公司所有。白皮书中的任何部分未经本公司许可，不得转印、影印或复印。 ? 2010 北京数字证书认证中心有限公司 All rights reserved. 二、本资料将定期更新，如欲获取最新相关信息，请访问北京数字证书认证中心有限公司网站 。 三、您的宝贵意见和建议请发送至： 北京数字证书认证中心有限公司 北京市海淀区北四环西路68号双桥大厦15层（左岸工社） 电话(TEL)：010传真(FAX)：010邮政编码：100080 电子信箱：marketing@ 目录 1 产品概述 1 2 产品架构 1 3 产品功能 2 4 产品部署与集成 2 5 产品规格 4 6 产品优势 4 7 产品资质 5 8 应用领域 5 产品概述 数字签名验证服务器(以下简称DSVS)是由北京数证书认证中心自主研发，为应用系统提供数字签名及验证服务的一款多安全功能、高稳定性、高性能，并且具备跨平台、可扩展和快速部署能力的软硬件集成化安全设备。该产品可以广泛应用于网上审批、网上办公、网上银行、网上证券和网上支付等电子政务和电子商务活动中，为业务系统提供安全保护。 产品架构 数字签名验证服务器主要包括签名验证核心服务模块和安全管理模块。签名验证核心服务通过应用端部署的API，接收应用端发送的签名服务请求，并返回签名或验证服务结果。安全管理以B/S方式提供，管理员可以通过WEB浏览器直接对各种证书服务和系统进行集中管理和配置。 图1 产品架构图 产品功能 数字签名验证服务器可以为应用服务器提供数据签名、签名验证、证书验证等多种安全功能，具体功能如下： 应用功能 详细说明 身份认证功能 实现基于数字证书的身份认证，支持不同CA的证书验证，提供CRL/OCSP等多种方式的证书有效性验证。 数据签名与签名验证 提供PKCS1/ PKCS7 attach/PKCS7 detach/XML Sign 等多种格式的数字签名和数字签名验证功能 文件签名与验证 对文件提供数字签名和数字签名验证功能 动态黑名单功能 可以自动更新黑名单，采用动态更新方式，无需重启服务 其他功能 详细说明 系统备份恢复功能 产品可以备份当前系统所有配置，保证系统瘫痪时的快速恢复 日志记录和发送功能 DSVS可以自行记录日志，也可以将日志以SYSLOG 的方式发送到指定服务器 产品部署与集成 DSVS部署在业务系统服务端安全域中，配置相互独立的核心服务网络接口和WEB管理服务网络接口，分别用于签名验证服务和后台管理服务，可以有效避免外界攻击。下图为典型的产品部署网络拓扑图， DSVS可以同时为多个WEB应用系统提供服务，如果采用双机并行方式，签名效率可以提升将近一倍。 图2典型部署 区别于传统的证书应用中间件，数字签名验证服务器将安全组件、密码运算库统一封装在硬件平台内，大幅降低了集成工作的复杂性，使产品具备了快速部署应用的能力。 DSVS实现安全应用集成主要工作如下： BJCA提供产品和集成所需要的演示环境Demo、接口说明、测试证书等； 根据业务需求，应用系统开发商对相应页面进行改造，调用对应的安全组件接口，实现签名验签等功能。所涉及的改造工作主要体现在系统登录、数据加密和数据签名等常见应用环节上。BJCA为应用系统开发人员提供技术支持，协助完成系统的安全整合。 应用集成完成后，需要进行应用系统测试，确保系统集成数字签名验证应用功能的可用性和有效性。 产品规格 为满足客户不同的需求，数字签名验证服务器分为DSVS2000(低端)、DSVS4000（高端）两款款硬件型号： 型号 DSVS2000 DSVS4000 设备高度 2U 2U 尺寸规格 427x380x86mm 447x500x86mm 网络接口 2x1000M 2x1000M 电源指标 1个350W工控电源 1个350W工控电源+1个400w冗余电源 功耗 230W 230W 签名能力 1600次/秒 3000次/秒 验签能力 5000次/秒 8000次/秒 运行环境 Windows server; Linux；aix；Solaris；Unix Windows server; Linux；aix；Solaris；Unix 支持应用接口 Java、COM、C Java、COM、C