 |
|
Hitachi IFG - Systemy e-government: Certificate Validation Server |
Hitachi Certificate Validation Server - Najlepsze Rozwiązanie dla Walidacji Certyfikatów PKI!
Certyfikaty cyfrowe są wydawane przez instytucje/firmy zaufania publicznego znane jako Urzędy Certyfkacji CA (z ang. Certificate Authority), w celu umożliwienia indywidualnym użytkownikom udowodnienia ich tożsamości, podczas używania różnego rodzaju usług on-line. Hitachi dostarcza system zwany "Certificate Validation Server" (CVS), który weryfikuje ważność (poprawność) i integralność certyfikatów X.509. To rozwiązanie znacznie upraszcza implementację i utrzymanie pracy na oprogramowaniu klienta, a także oszczędza czas i koszty stworzenia systemu infrastuktury klucza publicznego PKI (z ang. Public Key Infrastructure).
Wbudowany inteligenty mechanizm cache (cachowania) ścieżki ulepsza proces walidacji w taki sposób, że staje się on znacząco szybszy niż jakiekolwiek inne istniejące rozwiązania (Nr patentu:. EP1185027B1, EP1523126B1). CVS zapewnia usługi walidacji wysokiego zaufania poprzez periodyczne odświeżanie najnowszej listy CRL (listy odwołanych certyfikatów),
Hitachi CVS posiada ponad 90% udziału w rynku japońskim w projektach e-government.
Konfiguracja Ścieżki + Walidacja |
Kontrola Dostępu |
||
CVS waliduje (zatwierdza) nie tylko pojedynczy certyfikat, ale także "ścieżkę certyfikacji" (seria certyfikatów, które są są sekwencyjnie certyfikowane przez następne), zgodnie z RFC5280. Poprzez tą koncepcję certyfikat który został certyfikowany niebezpośrednio przez wydawcę certyfikatów (CA) może również być weryfikowany. |
CVS posiada mechanizm kontroli dostępu aby akceptować tylko autoryzowany dostęp (prośbę o walidację). Jest kilka opcji określających warunki oceny - Poprzez żądanie CertID od klienta - Poprzez certyfikat klienta przez certyfikat celu - Client Certificate By Target Certificate (tryp CVS) - Poprzez certyfikat punktu zaufania - Trust Anchor (Root) Certificate (tryb CVS) |
||
Sprawdzanie Unieważnień |
Zarządzanie Kilkoma Kluczami |
||
| CVS bezpiecznie potwierdza czy każdy certyfikat w łańcuchu nie został unieważniony. Informację na temat unieważnienia może być uzyskana ze zdalnego LDAP lub serwera WWW w formie CRL (z ang. Certificate Revocation List - lista odwołanych certyfikatów), a w innym przypadaku stosuje się weryfikację certyfikatów on-line (OCSP). | CVS potrafi zarządzać równocześnie kilkoma kluczami podpisującymi i odpowiadającymi im certyfikatami oraz przełącza te pary zgodnie z wymaganiami klienta. | ||
Generowanie Pary Kluczy |
Automatyczna Aktualizacja Cache |
||
Istnieje w CVS wbudowany mouduł programowy do generacji pary kluczy RSA (kryptograficznych), która jest używana do wydawania podpisu elektronicznego w ramach odpowiedzi. Dodatkowo może być dodany sprzętowy moduł bezpieczeństwa dla kluczy. CVS obsługuje nShield, netHSM, Luna CA3(tylko wersja Solaris), i Luna SA.
|
Unieważnione dane i certyfikaty w cache są automatycznie aktualizowane (pobrane ponownie z LDAP lub serwera WWW) przed ich wygaśnięciem. | ||
Podpisywanie Logów |
Użycie jako specjalny ośrodek odpowiadający - OCSP Responder |
||
CVS może podpisywać swoje logi przy użyciu kluczy prywatnych CVS aby dać możliwość audytowania operacji CVS.
|
CVS może także pracować jako specjalny ośrodek odpowiadający OCSP (Online Certificate Status Protocol; RFC2560) i odpowiadać na temat ważności certyfikatu do klienta. |
Kluczowe cechy CVS:
Dramatycznie Szybszy |
Aplikowalny do Wielu Struktur PKI |
||
| Dzięki użyciu mechanizmu cache (cachowania), najnowsza informacja jest zawsze trzymana w lokalnej pamięci, dlatego szybkość przetwarzania is dramatycznie szybsza niż istniejących klientów typu stand alone. | Ścieżka certyfikacji może być poprawnie skomponowana nawet w środowisku klucza publicznego (PKI) o bardzo skomplikowanej strukturze. Wszystkie modele: Single Trust (pojedyńczego zaufania), Hierarchical CA (hierarchiczny model centrum certyfikacji), Multi Trust, Cross Certified (certyfikatu krzyżowego urzędu certyfikacji) Kross-Certyfikacja), Mesh CA i Bridge CA (pomostu zaufania między różnymi strukturami PKI) mogą być obsługiwane. |
Kompatybilne standardy:
IETF RFC5280 |
LDAP / HTTP(S) dla CRL |
||
| Certyfikat X.509 i profile CRL (list odwołanych certyfikatów) | Odzyskuje CRL (listy odwołanych certyfikatów) ze zdalnych repozytoriów (magazynów) | ||
IPv4 / IPv6 |
IETF RFC2560 |
||
| Także dostępny w sieci IPv6 | Online Certificate Status Protocol - OCSP (standard opisujący protokół kounikacyjny pomiędzy systemem informatycznym odbiorcy usług certyfikacyjnych a serwerem usługowym) | ||
Japoński Rządowy Standard Interoperacyjności PKI (Japanese Governmental PKI Interoperability Standard) |
HTTP(S) do usług CV (Walidacji Certyfikatów) |
||
| Rządowy (łącznie z Samorządami) standard w Japonii dla interoperacyjności GPKI/LGPKI | Serwis walidacji certyfikatów poprzez HTTP/HTTPS |
Wymagania systemowe:
CVS |
Klient CVS |
||
System Operacyjny (Jeden z poniższych):
|
System Operacyjny (Jeden z poniższych): ):
J2SE 5.0 / Java SE 6 |
Opcje licencjonowania:
Licencja Serwera |
Licencja Biblioteki |
||
| Dostarczenie CVS jako oprogramowanie serwera. | Dostarczanie silnika (ang.engine) CVS jako bilbioteki C (dla komponentu serwera) i biblioteki Java (dla komponentu klienta) co jest dostępne w formie SDK (Software Development Kit). Używając tego zestawu narzędzi jest możliwe stworzenie oryginalne serwera walidacji (agenta CV) z niezbędnymi funkcjami, które są wymagane dla specyficznych implementacji. |
Aby uzyskać więcej informacji na temat Hitachi CVS prosimy zapoznać się z prezentacją, którą można pobrać tutaj.
