Entrust 远程签名引擎
借助电子签名解决方案为个人提供无令牌电子签名功能。
更方便、更安全的文档签名方式
Entrust 远程签名引擎是面向信托服务提供商的本地解决方案,用于部署符合法律规范的基于云的签名服务,可通过 Web API 轻松访问。 签名密钥在 HSM 中集中保护,文档签名由用户通过设备远程批准,无需软硬件令牌。
Entrust 远程签名引擎的优势
符合 eIDAS 标准的签名
Entrust 远程签名引擎符合 eIDAS 标准,并在 Qualified Signature Creation Device (QSCD) 上执行签名操作。
全球认可的签名标准
该平台提供极高水平的信任度以及与需要电子签名的行业产品的互操作性。
用户无软硬件令牌
入职和签名流程不需要特定的知识,可通过任何设备完成。电子签名 无需代币
工作原理
架构
Entrust 远程签名引擎通过由信托服务提供商运营的 Web 服务提供远程签名和基于 2FA 的签名激活选项。 下图说明了 Entrust 远程签名引擎、可选 Mobile ID 模块和您的基础设施之间的交互,不表示 IdP:
操作
Entrust 远程签名引擎是基于服务器的签名提供程序,使用户能够进行身份验证,以激活其密钥并授权文档或文档哈希的签名。
电子签名提供程序 (eSigP)
注册用户的 PKI 材料在基于 HSM 的安全存储库中作为身份属性进行管理。 通过身份验证后,每个用户都可以有一个或多个数字证书对文档进行远程签名。
签名功能通过 Web API 或通过 TrustedX Desktop Virtual Card (VC) 组件提供。
身份识别提供程序 (IdP)
该平台旨在利用现有的联合身份识别提供程序,但也可以在某些用例中作为 IdP 使用。 有关支持的第三方 IdP 的更多信息,请向我们咨询。
Entrust 远程签名引擎包括 2FA 身份验证方法,如 SMS/Email OTP 和 TrustedX Mobile ID。
由于与 Entrust 的 IntelliTrust 或 IdentityGuard 集成,或者使用我们的 SAML 2.0 连接器与现有 IdP 集成,可以整合更多的身份验证器。
技术规格
- 格式: 虚拟或硬件设备。 签名激活模块需要硬件设备。 有关支持的硬件或虚拟机的更多信息,请联系我们。
- 签名激活模块 (SAM): Entrust 远程签名引擎 v4.2 执行符合 CEN EN 419 241-2 的 SAM: 用于服务器签名的 QSCD 的保护配置文件。
- 身份验证标准: OASIS SAML 2.0 和 OAuth 2.0/OpenID Connect。
- 本机身份验证方法: 密码、数字证书、短信/电子邮件 OTP、TrustedX Mobile ID。
- 扩展身份验证器: 与 Entrust 的 IntelliTrust 或 IdentityGuard 产品集成,或使用提供的 SAML 2.0 连接器或自定义连接器与第三方 IdP 集成。
- 身份验证分类: eIDAS 的保证水平 (LoA)、NIST 的身份验证器保证水平 (AAL)、ITU-T X.1254、ISO/IEC 29115。
- 电子签名标准: PAdES(ETSI TS 103 172 和 ETSI EN 319 142)、XAdES(ETSI TS 103 171 和 ETSI EN 319 132)、CAdES(ETSI TS 103 173 和 ETSI EN 319 122)、RSA PKCS#1 和云签名联盟/ETSI TS 119 432。
- 外部 TSA 和 OCSP: 使用 Entrust 的 TSA 和 OCSP 产品或 IETF TSA 和 IETF OCSP 兼容服务器创建生命周期延长(长达 TSA 的有效期)的 LTV 签名。
- 外部 PKI 服务: Entrust 的 PKI 或第三方 PKI,使用提供的自定义连接器机制。
- HSM 支持: nShield Connect+ 和 nShield Connect XC。 可用功能可能因所选型号而异(SAM 需要 nShield Connect XC)。
- 事件监控: 简单网络管理协议 (SNMP)。 Syslog 和原始格式,用于使用外部 SIEM 进行处理。
- 数据库系统: Oracle、Microsoft SQL Server 和 PostgreSQL。 请联系我们,获取其他数据库支持。
- 短信/电子邮件网关: OTP 方法需要 SMS 网关和/或 SMTP 服务器。