泰信开发的下载CA技术架构与总局颁布的NGB下载CA总体技术架构一致,二者的比较框图如下:
所不同的是,泰信下载CA是在符合总局下载CA的芯片产业还不完善的时候,将密钥派生和层级密钥部分做成一个可通过下载的安全模块进行变化,遵循NGB下载CA的Java接口。因此,当泰信的可下载变换部分与NGB密钥派生和层级密钥模块一样,且对应NGB下载CA的终端芯片产业链完善时,泰信下载CA将完全符合NGB下载CA,而且对应Java层CA软件不作任何改动,就可以与NGB下载CA完全兼容。
上图中,终端芯片中的Chip ID、ESK根密钥都是与硬件关联的标示,二者都是与硬件关联,且不可更改,具有等同的作用。所不同的是ChipID没有包裹黑盒,是可见的,以此为安全基础芯片不需要定制;ESK按照NGB下载CA的要求是不可见的,以此为安全基础芯片需要定制。
目前,几乎所有的芯片都可以做到具有唯一的ID号,而芯片厂家也可以做出不克隆ID号的承诺。因此,泰信下载CA可以适合更多的芯片。随着下载CA软件功能的不断增强,代码量将越来越大,泰信在线可下载更新机制下,分析或反汇编CA软件破解下载CA,将耗时长久,需要花费巨大的财力。所以,对泰信CA软件的克隆和破解没有任何意义。
同时,泰信下载CA除了上述安全措施外,还具备多种认证机制,让下载CA在开放的环境下即能保证安全,还能不断扩展功能,让下载CA不再仅仅是一个收费工具,可以像网络购物一样变成一个运营工具。