• تجهیزات زیرساخت کلید عمومی PKI
      • سری محصولات PKA
    • سری محصولات PKA مجموعه ای تجهیزات سخت افزاری می باشند که مرکز زیرساخت کلید عمومی یک سازمان را شکل می دهند.

      این محصولات از سازمان های کوچک تا عظیم را پوشش داده و تمام نیازمندی حوزه زیرساخت کلید عمومی را تامین می کنند.

      این سری شامل تجهیزات زیر می باشد که به تناسب نیاز سازمان استفاده می شوند.

      PKA-FA  -  PKA-CA  -  PKA-VA  -  PKA-SA  -  PKA-VASA



    تجهیز زیرساخت کلید عمومی، مجموعه ای از کلیه خدمات زیرساخت کلید عمومی (PKI) است که برروی بستر سخت افزاری مناسب با استفاده از HSM درونی و یا شبکه, با در نظر گرفتن پارامترهای مختلف امنیتی در یک واحد مجتمع ساخته شده است. این دستگاه خدمات مختلف اعم از صدور گواهینامه الکترونیکی (CA)، ثبت نام کاربران (RA)، اعتبارسنجی گواهینامه (VA)، مخزن یا دایرکتوری کلید عمومی (PKD)، صدور مهر زمانی مطمئن (TSA) و صدور مهر الکترونیکی (SA) را در یک دستگاه واحد ارائه می نماید و سازمان را از خرید تجهیزات گوناگون و هزینه مالی و زمانی و همچنین تخصص لازم جهت اتصال سامانه های مختلف به یکدیگر و نگهداری از آنها بی نیاز می نماید. در این دستگاه راه حل جامعی ارائه می شود که مدیریت کامل چرخه حیات گواهینامه الکترونیکی از لحظه صدور تا ابطال و پس از آنرا تحت مدیریت یکپارچه فراهم می آورد.این دستگاه به شکل مولفه ای (ماژولار) طراحی شده است و قابلیت انعطاف بالایی دارد، به طوری که در صورت نیاز می توان در آینده خدمات مختلف را از یکدیگر تفکیک نمود. با استفاده از این دستگاه می توان توان پردازشی مجموعه را افزایش داده و به ضریب اطمینان بیشتری از نظر مقابله با خرابی (Fault Tolerance) دست یافت.


    بطور خلاصه این تجهیز در حوزه اعتماد سازمانی و استنادپذیری اسناد و عملیات الکترونیکی مورد استفاده قرار می گیرد. بنابراین هرجا که لازم باشد به ساختار, فرآیند, افراد, نرم افزار کاربردی, بانک اطلاعات اطمینان نمود باید از اینگونه تجهیزات بهره برداری شود.

    امکان اتصال به سامانه های نرم افزاری براساس پیکربندی های استاندارد مثل لاگین دوعامله به ویندوز, شبکه خصوص امن, ایمیل امن و امثال هم دارای کتابخانه برنامه نویسی (SDK) اختصاصی برای تجهیز سامانه های نرم افزاری به زیرساخت کلید عمومی (PKI-Enabling) در محیط های .Net و Javaو یا بصورت وب سرویس کنترل چرخه حیات گواهینامه دیجیتال منطبق بر استاندارد X.509اطمینان بخشی به فرآیندهای کسب و کار دیجیتال کمک به حذف آرشیوهای کاغذی و آزادسازی منابع سازمان ارائه خدمات با سرعت زیاد و کارایی بالا در کنار قابلیت اطمینان


    این تجهیز در مدل های مختلفی طراحی و معماری شده که در جدول زیر قابل مشاهده می باشند:

    PKA-FA

    PKA-CA

    PKA-VA

    PKA-SA

    بطور کلی مشتریان این شرکت معمولا با مدل FA که تمامی سرویس های حوزه را پوشش می دهند شروع کرده و سپس نسبت به معماری اعتماد مورد نیاز سازمان, مقایس پذیری لازم نسب به تجهیزات تخصصی صورت خواهد پذیرفت.


    از اهداف اصلی در طراحی و معماری این تجهیز می توان به موارد زیر اشاره نمود:

    کاهش پیچیدگی ها در راه اندازی مراکز گواهی تسریع راه اندازی در زمانی حدود یک هفته ساده سازی عملیات و مشابه سازی با دیگر تجهیزات مستقر در شبکه سازمان کاهش هزینه های خدمات و پشتیبانی افزایش کارایی با استفاده از سخت افزار تخصصی امنیت بیشتر با سیستم عامل، نرمافزارها و سرویس های سفارشی شده و مناطق امنیتی از پیش تعریف شده حذف بسترهای ماشین مجازی و عدم اختصاص منابع مالی, انسانی سازمانی به آن دارای تاییدیه امنیتی از آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک دارای تاییدیه از مرکز صدور گواهی دولتی ریشه ذیل مرکز توسعه تجارت الکترونیک


    مرکز صدور گواهینامه الکترونیکی (Certification Authority)

    مرکز صدور گواهینامه یا به اختصار CA بخشی از زیرساخت کلید عمومی است که مسئولیت اعتباربخشی به گواهینامه های کاربران را برعهده دارد. مهمترین فعالیت مرکز صدور گواهینامه، صدور گواهینامه برای کاربران براساس استانداردها و سیاست های تعیین شده توسط سازمان است. این سامانه عملیات تعلیق و یا ابطال گواهینامه را نیز انجام می دهد. در چنین شرایطی گواهینامه صادر شده توسط این مرکز، باطل شده و غیر قابل استفاده می شود. جهت اطلاع سایر بخش های سیستم از گواهینامه های باطله، فهرستی از شماره سریال گواهینامه های باطل شده تحت عنوان لیست گواهینامه های باطله (Certificate Revocation List) یا به اختصار CRL توسط مرکز صدور گواهینامه تهیه و امضای دیجیتال شده و به اصطلاح صادر و یا منتشر می شود.

    مرکز ثبت نام (Registration Authority)

    مرکز ثبت نام یا به اختصار RA، مسئولیت ارتباط با کاربران و دریافت و پردازش درخواست آنها را برعهده دارد. این بخش با دریافت مدارک شناسایی کاربران در سازمان، و بررسی مدارک ارائه شده، اطلاعات کاربران را در سیستم ثبت نموده و درخواست گواهینامه آنها را برای مرکز صدور گواهینامه (CA) ارسال می نماید. در این فرآیند توکن کاربر نیز آماده شده و تحویل وی می گردد. همچنین در صورت مفقود یا سرقت شدن توکن کاربر، وی توسط این سامانه می تواند موضوع را اعلام کرده و از مرکز صدور گواهینامه (CA) تقاضای ابطال نماید.

    دایرکتوری کلید عمومی (Public Key Directory)

    این مرکز که عموماً مخزن گواهینامه (Certificate Repository) و یا دایرکتوری کلید عمومی (Public Key Directory) یا به اختصار PKD نامیده میشود، در واقع پایگاه داده ای استاندارد، حاوی تمامی گواهینامه های صادر شده برای کاربران و مراکز صدور گواهینامه (CA) می باشد. این مرکز دارای پایگاه داده ویژه ای است که کلیه گواهینامه ها را براساس ساختار درختواره (DIT) آدرسدهی کرده و می تواند با دریافت مشخصات عمومی کاربر، گواهینامه وی را بارگذاری نماید. این مرکز برروی پروتکل ارتباطی خاصی به نام Lightweight Directory Access Protocol یا به اختصار LDAP سرویس می دهد. بدین ترتیب نیازی به نگهداری گواهینامه کاربران توسط سیستم ها و سرورهای دیگر نیست و در هر نقطه از سامانه های نرم افزاری که نیاز به گواهینامه کاربری باشد، این گواهینامه در سرور دایرکتوری کلید عمومی (PKD) در دسترس است.

    مرکز اعتبارسنجی گواهینامه (Verification Authority)

    مرکز اعتبارسنجی گواهینامه یا به اختصار VA، عملیات بررسی اعتبار گواهینامه های صادر شده را برعهده دارد. در هنگام استفاده از گواهینامه الکترونیکی، با توجه به اینکه بعضی از گواهینامه ها فعال و بعضی دیگر باطل شده اند، باید آخرین وضعیت گواهینامه از مرکز اعتبارسنجی گواهینامه استعلام شود. بدین منظور از دو سرویس آفلاین (CRL) و آنلاین (OCSP) استفاده می شود. در سرویس آنلاین که به نام سرویس استعلام برخط وضعیت گواهینامه (Online Certificate Service Protocol) یا به اختصار OCSP شناخته می شود، شماره سریال گواهینامه برای مرکز اعتبارسنجی گواهینامه (VA) ارسال شده و در پاسخ وضعیت گواهینامه اعم از فعال یا باطل شده به صورت امضا شده، بازگردانده می شود.

    مرکز صدور مهر زمانی مطمئن (Timestamp Authority)

    مرکز صدور مهر زمانی یا به اختصار TSA، مسئولیت ثبت زمان شامل تاریخ و ساعت بروی فایل ها و یا رکوردهای الکترونیکی و سپس امضای دیجیتالی آنها را برعهده دارد. زمان ثبت شده غیرقابل تغییر بوده و قابلیت استناد دارد. بدین ترتیب می توان مطمئن بود که زمان ثبت شده در حین نگهداری و یا انتقال فایل مذکور دچار تغییر نشده است. معمولا مرکز صدور مهر زمانی مطمئن از پروتکل NTP یا همان پروتکل زمان تحت شبکه جهت همگام سازی ساعت و تاریخ خود با مرجع زمان در شبکه استفاده می کند. کلیدهای امضای دیجیتال در دستگاه HSM به صورت امن و قابل اطمینان نگهداری می شوند.

    سامانه مدیریت کلید (Key Management System)

    از آنجائیکه در بسیاری از سرویس های زیرساخت کلید عمومی نیاز به نگهداری کلیدهای دیجیتال در سخت افزارهای ویژه ای تحت عنوان HSM می باشد، تولید، نگهداری، تهیه پشتیبان، بازیابی، امحاء، انتقال و استفاده از کلیدهای مذکور فعالیت امنیتی پیچیده ای است که از باید دستورالعمل های خاصی تبعیت نماید. جهت انجام فرآیندهای مختلف مدیریت کلید، سامانه اختصاصی وجود دارد که عموما سامانه مدیریت کلید (Key Management System) یا به اختصار KMS نامیده می شود. این سامانه می تواند کلیدها را به صورت امن و داخل HSM تولید کرده و نسخه پشتیبان را برروی سخت افزارهای امنیتی خاصی به نام کارت پشتیبان نگهداری نماید.

    مرکز تولید امضای دیجیتال اسناد (Signing Authority)

    عموما از سرویس تولید امضای دیجیتال متمرکز برای درج مهر الکترونیکی برروی اسناد، مدارک، گواهی ها، و سایر مستندات منتشر شده از سوی یک سازمان استفاده می شود که قرار است در اختیار عموم و یا سایر سازمان ها و نهادها گذاشته شود. فرد یا سازمان دریافت کننده با بررسی فایل منتشر شده، و با بررسی و صحت سنجی امضای دیجیتال آن، می تواند از اصالت و جعلی نبودن سند الکترونیکی منتشر شده، اطمینان حاصل نماید. این روش به نوعی جایگزینی برای مهر برجسته اسناد کاغذی می باشد.

    مرکز تولید امضای دیجیتال اسناد PDF (PDF Signing Authority)

    دستگاه PKA می تواند نقش سروری متمرکز برای تولید امضای دیجیتال برروی اسناد با قالب PDF را برعهده داشته باشد. در این شرایط، دستگاه می تواند انواع تنظیمات استاندارد فایل PDF مانند متن هشدار و یا لوگوی مهر سازمان را دریافت کرده و در مختصات مورد نظر قرار دهد. امضای دیجیتال تولید شده برروی فایل های PDF به صورت استاندارد می باشد و قابل بازخوانی و اعتبارسنجی در کلیه نرم افزارها و ابزارهای PDF مانند Adobe Acrobat Reader و یا Foxit Reader هستند.

    مرکز تولید امضای دیجیتال XML (XML Signing Authority)

    دستگاه PKA قادر است برای فایل های XML با فرمت استاندارد، امضای دیجیتال تولید نماید به نحوی که هر سامانه دیگری بتواند این فایل XML امضا شده را اعتبارسنجی نماید. بدین منظور از استاندارد امضای دیجیتال فایل های XML تحت عنوان XML-Sig استفاده می شود. این امضای دیجیتال مستقل از فرمت محتوا انجام می شود و تنها با در اختیار داشتن تگ های XML می توان آنرا امضا کرده و در قالب تگ استاندارد، امضای دیجیتال را به فایل اضافه نمود.

    مرکز تولید امضای دیجیتال CMS (CMS Signing Authority)

    سرویسی در دستگاه PKA وجود دارد که می تواند برای هر نوع فرمت فایل رایانه ای، امضای دیجیتال تولید می نماید. بدین ترتیب می توان هر نوع فایل اعم از فایل های Word و Excel و سایر فایل های Office، فایل های گوناگون تصویر مانند jpg، png، bmp و غیره را توسط این سرویس امضای دیجیتال نمود. فرمت فایل خروجی به صورت p7m می باشد که منطبق بر استاندارد CMS بوده و قابل بازخوانی و اعتبارسنجی توسط نرم افزارهایی است که می توانند این نوع فایل ها را باز نمایند.

    از این سرویس عموما در شرایطی استفاده می شود که سازمان نیاز به آرشیو و امضای دیجیتال داده هایی با فرمت های فایل متفاوت دارد و از طرف دیگر نیازی به بازخوانی فایل های مذکور در رایانه های کاربران توسط ابزارهای عمومی وجود ندارد. بدین ترتیب همه چیز قابل امضا شدن است اما تنها با ابزارهای اختصاصی بازیابی و بررسی امضای دیجیتال، قابل بازخوانی و استفاده است.

    • Certification Authority (CA)

    Certificate issuing and revoking

    • Registration Authority (RA)

    Registering and certificate request

    • Verification Authority (VA)

    CRL services

    • Key Management System (KMS)

    Secure Key life-cycle management

    • Includes embedded HSM with

    FIPS 140-2 Level 3 Certificate

    • Secure key generation and key storage by HSM
    • Secure customized Linux in core
    • Internal Firewall and Proxy
    • Working with different security zone and networks

    • Integration with other systems for
    • Integration by Web-Service and SDK
    • High Performance
    • Easy Administration and Configuration by command
    • Easy Maintenance and troubleshooting
    • Licensing features
    • New monitoring features
    • Power supply redundancy (optional)

    High Availability with redundancy and fault tolerance

    • Up to 32 Concurrent Connections
    • Certificate Issuing: 10 tps
    • CRL Downloading: 250 tps

    • J2EE and J2SE SDK
    • .Net Framework SDK
    • Web-Service API (SOAP)

    • Certificate Issuing on all types of Token and Smart Card based on
    • Direct issuing on IDin card