CA数字认证系统为何要用NTP时钟服务器?
答:
1、CA系统各个设备众多,计算机网络中各主机和服务器等网络设备的时间基本处于无序的状态。随着计算机网络应用的不断涌现,计算机的时间同步问题成为愈来愈重要的事情。以Unix系统为例,时间的准确性几乎影响到所有的文件操作。 如果一台机器时间不准确,例如在从时间超前的机器上建立一个文件,用ls查看一下,以当前时间减去所显示的文件修改时间会得一个负值,这一问题对于网络文件服务器是一场灾难,文件的可靠性将不复存在。为避免产生本机错误,可从网络上获取时间,这个命令就是rdate,这样系统时钟便可与公共源同步了。但是一旦这一公共时间源出现差错就将产生多米诺效应,与其同步的所有机器的时间因此全都错误。
2、另外当涉及到网络上的安全设备时,同步问题就更为重要了。这些设备所生成的日志必须要反映出准确的时间。尤其是在处理繁忙数据的时候,如果时间不同步,几乎不可能将来自不同源的日志关联起来。 一旦日志文件不相关连,安全相关工具就会毫无用处。不同步的网络意味着企业不得不花费大量时间手动跟踪安全事件。现在让我们来看看如何才能同步网络,并使得安全日志能呈现出准确地时间。
3、Internet的发展使得电子货币,网上购物,网上证券、金融交易成为可能,顾客可以坐在家里用个人电脑进行上述活动。要保证这些活动的正常进行就要有统一的时间。不能设想用户3点钟汇出一笔钱银行2点50分收到。个人电脑的时钟准确度很低,只有10-4、10-5,一天下来有可能差十几秒。
4、现在许多在线教学系统的许多功能都使用了时间记录,比如上网时间记录,递交作业时间和考试时间等等。通常在线教学系统记录的用户数据均以网站服务器时间为准。笔者以前就曾出现过因为应用服务器时间还在23点55分,而数据库服务器已跨过24点,导致正在进行的整个批处理日切或数据归档等重要处理失败或根本无法进行的情况,其实应用和数据库服务器时间也只是相差了几分钟而已。为了避免出现这种情况,系统管理员要经常关注服务器的时间,发现时间差距较大时可以手工调整,但由系统管理员手工调整既不准确、并且随着服务器数量的增加也会出现遗忘,因此有必要让系统自动完成同步多个服务器的时间。
网络系统上述问题的解决方法,就是需要一个能调整时钟抖动率,建立一个即时缓和、调整时间变化,并用一群受托服务器提供准确、稳定时间的时间管理协议,这就是网络时间协议(NTP)。如果你的局域网可以访问互联网,那么不必安装一台专门的NTP服务器,只需安装NTP的客户端软件到互联网上的公共NTP服务器自动修正时间即可,但是这样时间能同步但不精准还可能因为网络不稳定从而导致时间同步失败的结果,最佳方案则是在网络里安装一台属于自己的NTP服务器硬件设备,将各个计算机时间同步且统一起来,成本也不高即便高相对于大数据服务器来说孰轻孰重,作为网络工程师你更清楚。
CA安全认证系统(国家密码产品批号:SRT1313身份认证系统)是我公司基于公钥密码基础设施(PKI)技术,严格遵循国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》等标准,基于JAVA SQL技术平台,推出的密码身份认证产品。
CA认证系统采用双中心体系结构(证书认证中心、密钥管理中心),从而提高了用户加密密钥的安全性和可恢复性。系统设计结合了国内外同类产品的特点,能够支持SM1、SM2、SM3密码算法,支持双证书、双密钥,证书格式采用X.509 V3证书标准、国家制定的SM2证书格式规范,可以稳定的运行在Windows/Linux等平台上,实现了用户加密密钥对生成、存储、分发、归档等管理,提供数字证书的申请、审核、签发、下载、注销、更新、查询等综合管理功能。
CA认证系统采用模块化设计,各模块可灵活配置或裁减,以快速适应用户对网络安全的不同需求;系统通过分级管理员体系保障自身的管理安全,采用完整性验证、身份验证等措施来保障自身技术安全,切实保证系统内所有模块之间的通讯数据及模块本身能满足机密性、完整性、身份鉴别及不可抵赖性等要求。
CA认证系统采用B/S架构,使用方便灵活,能够与支持与第三方CA认证系统对接。系统设置管理CA、多级CA,可分布式部署,能够满足不同应用场景的证书管理需求。
详细描述
1、CA认证系统拓扑图
CA系统(图一) CA认证系统应用拓扑图
2、主要功能
功能类 | 功能点 | 功能描述 |
|---|---|---|
系统初始化 | 根CA初始化 | 使用密码设备生成CA根密钥,生成自签名的根证书。 |
管理体系初始化 | 初始化管理CA,签发超级管理员和审计管理员。 | |
配置管理初始化 | 配置数据库、目录服务LDAP等。 | |
多级CA管理 | 子CA创建 | 创建多级CA,指定上一级CA后可以签发子CA。 |
子CA编辑 | 超级管理员可以编辑CA的发布配置。 | |
子CA停用 | 超级管理员可以停用指定的子CA。 | |
子CA删除 | 对于未启用的子CA,超级管理员可以删除。 | |
操作员管理 | 超级管理员管理 | 系统初始化时生成超级管理员,支持门限方式,具有超级管理员权限后,可以对未登录的超级管理员进行删除、添加等管理。 |
业务管理员管理 | 具备超级管理权限可以进行业务管理员管理,包括添加、删除、权限分配等操作。 | |
业务操作员管理 | 具备业务管理员权限能够进行操作员管理,包括添加、删除、权限分配。操作员负责证书申请提交、审核、下载。 | |
审计管理员管理 | 系统初始化时生成审计管理员,负责系统日志的审计管理。 | |
模板管理 | 双证书模板支持 | 支持加密证书、签名证书模板,对于CA可以指定证书模板。 |
用户信息模板支持 | 支持定制用户基本信息,包括DN项,用户账号,指定证书模板类型等。管理员可以生成、修改、删除用户信息模板。 | |
证书模板支持 | 支持定制证书扩展的基本信息,包括密钥标示、密钥用途、CRL发布点、证书策略等。管理员可已生成、修改、删除证书模板。 | |
用户加密密钥管理 | 加密密钥预生成 | 密钥管理系统根据系统配置预生成指定数量的密钥对,支持预生成RSA-1024位、RSA-2048位、SM2密钥对。 |
加密密钥托管 | 用户可以选择把加密密钥对在密钥中心托管,在密钥损坏或者丢失时,可以进行密钥恢复。 | |
加密密钥恢复 | 用户可以通过身份认证系统提交加密密钥恢复申请,托管密钥可以恢复到用户的证书存储介质中。 | |
加密密钥注销 | 注销后的证书,要在密钥管理系统完成加密密钥的注销。 | |
加密密钥备份 | 提供用户加密密钥对的备份/恢复功能,加密密钥对采用加密设备的设备主密钥进行加密。 | |
证书管理 | 证书申请 | 用户提交证书申请材料给操作员,操作员录入证书申请,提交审核。 |
证书注销 | 用户提交证书注销申请给操作员,操作员录入证书注销申请,提交审核。 | |
证书更新 | 用户提交证书更新申请给操作员,操作员录入证书更新申请,提交审核。 | |
证书归档 | 为了提高证书管理效率,系统可以归档已过期证书,归档证书有单独的查询界面。 | |
证书下载 | 审核员审核完证书申请以后,操作员可以在证书下载页面下载证书到用户证书载体中。 | |
证书审核 | 审核员审核操作员录入的证书申请,同意或拒绝颁发证书,操作员可在审核信息查询界面查询审核结果。 | |
邮件通知 | 用户状态变更时,系统可根据策略配置,给用户发送邮件通知。 | |
证书到期提醒 | 根据系统配置的提醒时间,证书到期前会发送邮件给用户,提醒按时更新证书。 | |
用户自服务 | 用户可以登录自服务页面,完成根证书下载、CRL下载、用户证书查询等功能。 | |
证书黑名单管理 | CRL定时签发 | 系统根据配置的定时签发测略,定时签发CRL。 |
CRL手动签发 | 操作员可以手动触发CRL签发,签发最新的CRL。 | |
CRL发布点管理 | 支持设置CRL发布点,供用户或第三方系统下载使用。 | |
日志审计 | 日志生成 | 系统记录关键业务操作,以备审计。 |
日志审计 | 审计管理员审计业务日志,检查日志是否篡改,检查是否有违规操作或安全隐患。 | |
日志归档 | 系统提供日志归档功能,可以根据时间段归档早期的业务日志。 | |
日志查询 | 系统提供根据时间段查询日志的功能。 | |
备份恢复 | 数据库备份恢复 | 系统支持定时数据库备份及灾难恢复功能。 |
密码设备密钥备份恢复 | 密码设备密钥备份采用门限备份,恢复时需要满足门限规定的管理员同时登录密码设备。 | |
应用扩展 | OCSP证书状态查询 | 基于标准的OCSP协议提供证书状态在线查询,能够实时检验证书是否有效。 |
目录服务 | 支持LDAP、Active Directory等目录服务,按照DN结构发布CA证书、用户证书、CRL等公开信息。 | |
时间戳 | 提供基于标准时间源的时间戳服务,对用户请求数据添加时间戳。 | |
性能扩展 | 证书容量扩展 | 可支持多种数据库,用户证书可以平滑升级到1000万数量级,并提供自动、手动数据备份。 |
签名验证扩展 | 签名验证可以采用硬件密码卡,验证速度〉=1000次/秒,在多应用情况下支持硬件签名验证服务器,支持集群部署,验证速度〉=8000次/秒。 | |
底层设备扩展 | CA硬件支持 | 采用JCE接口调用加密设备,支持主流密码厂家的加密卡、密码机等加密设备。 |
用户证书载体 | 采用PKCS#11接口调用证书载体,支持主流厂家的Key、IC卡等证书载体 | |
第三方CA接入支持 | 第三方密钥中心接入支持 | 采用密码局标准接口,可以接入到第三方运营机构的密钥中心,为用户提供基于第三方的加密密钥托管服务。 |
第三方CA接入支持 | RA用户注册系统采用标准接口,可以接入到第三方运营机构的CA认证中心,为用户提供数字证书管理服务。 | |
应用开发支持 | C/S应用模式支持 | 提供C/S应用开发接口,包括C、Java、.net等,为应用开发提供证书应用、签名/验证、加密/解密、数字信封、身份认证等接口支持。 |
B/S应用模式支持 | 提供满足B/S应用的ActiveX/NP控件,后台支持C、Java等主流编程语言,支持IE系列、FireFox系列浏览器。 | |
移动应用支持 | 提供满足Ios或Android操作系统的接口支持,移动应用可以实现Pkcs#10证书申请、证书保存、证书解析、签名/验证、P7数字信封等安全应用。 | |
域证书支持 | 智能卡登录 | 可以签发域控制器证书、域用户证书,实现Windows系统的智能卡登录功能。 |
Scep证书应用支持 | 第三方应用证书管理支持 | 可以安全可靠的为网络设备、第三方应用系统在线提供数字证书申请、下载、更新、注销等服务。 |
3、产品特性
特性类 | 特性点 | 详细描述 |
|---|---|---|
证书策略支持 | 国家根策略 | 支持接入国家统一根,提供接入统一根的Pkcs#10证书请求,支持统一根发布。 |
交叉认证策略 | 支持与其他CA的交叉认证,提供交叉认证策略。 | |
证书服务策略 | 遵循国家安全标准提供证书管理的基线安全策略。 | |
身份鉴别策略 | 提供身份命名、身份验证、证书验证、密钥更新、恢复的相关策略。 | |
自定义证书策略 | 根据应用需求自定义证书管理、身份鉴别等证书策略。 | |
审批流定制 | 证书申请录入 | 支持用户远程录入、操作员本地录入申请人信息的定制服务。 |
证书审核 | 支持操作员权限定制,批量审核、权限下放等定制服务。 | |
证书下载 | 提供远程证书下载、本地操作员下载等定制服务。 | |
一证书多应用支持 | 支持主流ERP厂家、OA厂家 | 客户端可以通过UID、PID、DN、SN等模式标示用户身份,支持用友NC、金蝶KS、浪潮GS等主流厂家的ERP系统。 支持天卓OA等业界各种OA办公系统。 |
支持主流的VPN网关设备 | 提供基于CRL、OCSP证书验证策略,能够与安达通、网康等VPN厂家的设备无缝集成。 | |
支持云服务 | 支持VMware、Ctrix的云证书应用,同时支持国内基于VDI技术的虚拟应用。 |
4、性能指标
- 发证能力:支持数字证书规模500万级以上。
- 并行处理能力:并发线程支持500个以上。
- OCSP响应时间:小于0.2秒。
- 签发单证时间:小于0.5秒。
- 签发双证时间:小于0.8秒。
5、应用场景
在企事业单位信息化建设中,只要涉及到网络办公、在线交易、用户登录、文件传输、尤其需要在线进行资金业务(制单、付款等),从安全角度而言,都必须加强安全防护,而CA认证系统则是整个安全防护的基础。
采用CA认证系统,可以为每一个业务系统、每一个访问节点提供安全认证、业务签名、和日志审计服务等,确保各个环节的安全可靠。
