产品概述
格尔签名验证服务器是一款提供数字签名/验证签名服务的硬件产品,该产品可以被广泛地应用在网上银行/证券/保险等电子商务和电子政务活动中,用于确认用户身份、保障信息完整性、保证交易的不可否认性(抗抵赖)。在国家陆续发布SM2,SM3,SM4等算法及相关规范后,该产品于2013年获得最新的商用密码型号为SRJ1312(高性能签名验签服务器)。
签名验证系统由签名验证服务器(硬件),服务端API和客户端签名控件组成,典型的使用场景如下:
- 客户端(浏览器端)签名,服务端验签——比如网银的客户在进行转账时,在浏览器端调用USBKey进行签名,由网页将签名结果提交到应用后台后,应用调用签名验证服务端API进行验证签名。
- 不同的服务之间的签名和验证——适用于多个大型机构不同应用之间进行相互的数据签名和验证。
产品功能
| 分类 | 功能 | 说明 |
|---|---|---|
| 签名验签 | 普通签名功能 | 提供RSA(PKCS#1)及SM2格式的签名及验签 |
| 裸签名功能 | 提供直接针对已摘要数据的RSA/SM2签名及验签 | |
| PKCS#7签名功能 | 提供符合 GM/T 0010-2012《SM2加密签名消息语法规范》的签名及验签 | |
| 提供PKCS#7 Attach/Detach格式的签名及验签 | ||
| 支持在PKCS#7签名中嵌入PKCS#9 Signing Time | ||
| 文件签名功能 | 对文件提供RSA/SM2数字签名及验证 | |
| 数字信封功能 | 提供符合 GM/T 0010-2012《SM2加密签名消息语法规范》的数字信封加密和解密 | |
| 提供PKCS#7格式的数字信封加密和解密功能 | ||
| XML签名功能 | 提供Enveloping/Enveloped/Detached类型的XML签名及验证功能(支持RSA/SM2) | |
| 证书验证 | 证书有效性验证功能 | 提供黑名单/在线证书验证等多种方式的证书有效性验证 |
| 业务流水号功能 | 支持业务系统在调用时传入相关的业务流水号,并记入日志,便于业务系统后期对账、维护使用。 | |
| 动态黑名单功能 | 系统可以自动更新黑名单、动态更新,不需要重新启动服务 | |
| 多签名证书功能 | 可根据不同的签名证书创建多个服务实例,由调用者选择使用。 | |
| 多证书链功能 | 可同时配置多条证书链,验证不同CA的用户证书 | |
| 获取证书信息功能 | 提供证书解析功能,获取证书中的任意主题信息以及扩展项信息 | |
| 多种证书支持功能 | 支持CFCA、BJCA,SHECA及符合国家密码管理局相关规范的CA中心数字证书 | |
| 系统功能 | 系统备份恢复功能 | 系统可以备份当前所有配置,保证系统瘫痪时的快速恢复 |
| 日志发送功能 | 系统将日志以SYSLOG的方式发送到指定服务器。 | |
| 双机热备功能 | 提供高可靠性 | |
| 自负载功能 | 支持在无外部负载均衡器的情况下,使用2台及以上的签名验证服务器组成一个自管理的集群。 | |
| 网卡冗余功能 | 支持将两个网络接口聚合为一个,实现链路聚合 |
- 客户端签名控件开发接口:
- Windows COM API
- Java API(封装COM API)
- 服务端开发接口:
- Windows COM API
- Java API
- 语言无关的HTTP接口(以HTTP报文形式调用)
产品部署
- 简单部署:签名验证服务器一般采用与应用服务器并联部署的方式,可以同时为多个应用服务器提供服务。
- 热备部署:热备部署模式与简单部署方式类似,将主备机的业务网口都连接到业务网段交换机,然后再采用一根心跳线连接主备机的热备口即可。
- 自负载部署:2台及以上签名验证服务器可以组成一个自负载的集群,此时部署方式如上图所示,除了每台签名验证服务器的业务网口需要与应用系统相连之外,各台签名验证服务器的热备口应该能通过一个单独的交换机(或者VLAN)进行相互通讯,进行集群所需的节点协商。
