数字签名验证服务器产品白皮书二〇一一年三月北京数字证书认证中心有限公司北京市海淀区北四环西路68号双桥大厦15层TEL:86-10-58045600FAX:86-10-58045678邮政编码:100080声明一、本白皮书是数字签名验证服务器(简称DSVS)的技术说明书。本资料版权归北京数字证书认证中心有限公司所有。白皮书中的任何部分未经本公司许可,不得转印、影印或复印。©2010北京数字证书认证中心有限公司Allrightsreserved.二、本资料将定期更新,如欲获取最新相关信息,请访问北京数字证书认证中心有限公司网站。三、您的宝贵意见和建议请发送至:北京数字证书认证中心有限公司北京市海淀区北四环西路68号双桥大厦15层(左岸工社)电话(TEL):010-58045600传真(FAX):010-58045678邮政编码:100080电子信箱:marketing@bjca.org.cn数字签名验证服务器DSVS产品白皮书I北京数字证书认证中心有限公司目录1产品概述.....................................................................12产品架构.....................................................................13产品功能.....................................................................24产品部署与集成...........................................................25产品规格.....................................................................46产品优势.....................................................................47产品资质.....................................................................58应用领域.....................................................................5数字签名验证服务器DSVS产品白皮书1/5北京数字证书认证中心有限公司1产品概述数字签名验证服务器(以下简称DSVS)是由北京数证书认证中心自主研发,为应用系统提供数字签名及验证服务的一款多安全功能、高稳定性、高性能,并且具备跨平台、可扩展和快速部署能力的软硬件集成化安全设备。该产品可以广泛应用于网上审批、网上办公、网上银行、网上证券和网上支付等电子政务和电子商务活动中,为业务系统提供安全保护。2产品架构数字签名验证服务器主要包括签名验证核心服务模块和安全管理模块。签名验证核心服务通过应用端部署的API,接收应用端发送的签名服务请求,并返回签名或验证服务结果。安全管理以B/S方式提供,管理员可以通过WEB浏览器直接对各种证书服务和系统进行集中管理和配置。图1产品架构图数字签名验证服务器DSVS产品白皮书2/5北京数字证书认证中心有限公司3产品功能数字签名验证服务器可以为应用服务器提供数据签名、签名验证、证书验证等多种安全功能,具体功能如下:应用功能详细说明身份认证功能实现基于数字证书的身份认证,支持不同CA的证书验证,提供CRL/OCSP等多种方式的证书有效性验证。数据签名与签名验证提供PKCS1/PKCS7attach/PKCS7detach/XMLSign等多种格式的数字签名和数字签名验证功能文件签名与验证对文件提供数字签名和数字签名验证功能动态黑名单功能可以自动更新黑名单,采用动态更新方式,无需重启服务其他功能详细说明系统备份恢复功能产品可以备份当前系统所有配置,保证系统瘫痪时的快速恢复日志记录和发送功能DSVS可以自行记录日志,也可以将日志以SYSLOG的方式发送到指定服务器4产品部署与集成DSVS部署在业务系统服务端安全域中,配置相互独立的核心服务网络接口和WEB管理服务网络接口,分别用于签名验证服务和后台管理服务,可以有效避免外界攻击。下图为典型的产品部署网络拓扑图,DSVS可以同时为多个WEB应用系统提供服务,如果采用双机并行方式,签名效率可以提升将近一倍。数字签名验证服务器DSVS产品白皮书3/5北京数字证书认证中心有限公司图2典型部署区别于传统的证书应用中间件,数字签名验证服务器将安全组件、密码运算库统一封装在硬件平台内,大幅降低了集成工作的复杂性,使产品具备了快速部署应用的能力。DSVS实现安全应用集成主要工作如下:(1)BJCA提供产品和集成所需要的演示环境Demo、接口说明、测试证书等;(2)根据业务需求,应用系统开发商对相应页面进行改造,调用对应的安全组件接口,实现签名验签等功能。所涉及的改造工作主要体现在系统登录、数据加密和数据签名等常见应用环节上。BJCA为应用系统开发人员提供技术支持,协助完成系统的安全整合。(3)应用集成完成后,需要进行应用系统测试,确保系统集成数字签名验证应用功能的可用性和有效性。数字签名验证服务器DSVS产品白皮书4/5北京数字证书认证中心有限公司5产品规格为满足客户不同的需求,数字签名验证服务器分为DSVS2000(低端)、DSVS4000(高端)两款款硬件型号:型号DSVS2000DSVS4000设备高度2U2U尺寸规格427x380x86mm447x500x86mm网络接口2x1000M2x1000M电源指标1个350W工控电源1个350W工控电源+1个400w冗余电源功耗230W230W签名能力1600次/秒3000次/秒验签能力5000次/秒8000次/秒运行环境Windowsserver;Linux;aix;Solaris;UnixWindowsserver;Linux;aix;Solaris;Unix支持应用接口Java、COM、CJava、COM、C支持算法标准3DES、AES、RSA3DES、AES、RSA工作温度0°C--40°C0°C--40°C工作湿度5%--95%RH,不凝结5%--95%RH,不凝结6产品优势合法性:采用权威第三方认证机构颁发的数字证书,符合《电子签名法》高性能、高可用性:高端型号签名能力≥3000次/秒,验签能力≥8000次/秒;DSVS支持双机并行,可大幅度提高签名效率;简单易用:DSVS所有管理操作均采用Web方式,操作简单方便;具备备份和恢复功能,保证系统瘫痪后能够快速恢复;数字签名验证服务器DSVS产品白皮书5/5北京数字证书认证中心有限公司强大的应用支撑:面向应用系统提供C开发API,COM开发API,Java开发API等主流开发API,方便开发者调用;支持原文数据签名、文件签名、哈希后签名及PKCS#7、XML签名等多种格式的数字签名及验证;7产品资质公安部信息安全产品检测中心出具的检测报告公安部公共信息网络安全监察局出具的销售许可证中华人民共和国国家版权局出具的计算机软件著作权登记证8应用领域DSVS具有广泛的应用领域,适用于网上办公、网上审批、网上银行、网上证券交易、网上医疗、网上购物、电子报关、电子报税等B/S和C/S应用系统的应用安全保障。具体如下:电子政务系统:如政府机关的网上申报、办公审批等电子商务系统:如网上银行、网上交易、网上缴费、网上证券等办公自动化系统:如公司OA、财务、人力资源等网上远程教育系统:如课程注册与费用缴纳等医疗信息化:如电子病历、电子处方、卫生信息平台、网上药品采购等等等……