【正文】 管理的相關(guān)操作；同時，保證其訪問RA應(yīng)用系統(tǒng)的安全性。. 流程介紹. 數(shù)字管理流程n 證書申請流程：在國聯(lián)金融OA系統(tǒng)中，由OA系統(tǒng)管理員登陸RA系統(tǒng)，選擇證書申請操作，輸入員工編號、員工姓名以及選擇部門等查詢條件，通過OA系統(tǒng)提供的視圖查詢得到員工的信息（員工編號、員工姓名、部門編號、部門名稱和郵件地址）；確認員工信息后，進行證書申請操作，證書申請成功，則將數(shù)字證書發(fā)送到員工的郵箱中；如果證書申請失敗，系統(tǒng)能夠給出錯誤提示和要求信息。. 方案優(yōu)勢n 完善的數(shù)字證書管理功能：提供數(shù)字證書的申請、下載、更新、凍結(jié)、解凍、作廢等功能，為數(shù)字證書提供完善的生命周期管理支持。 支付系統(tǒng).. 典型需求國聯(lián)人壽計劃推出的網(wǎng)上商城中，包含了用戶在線支付功能。. 方案優(yōu)勢n 高可用性對于應(yīng)用而言當(dāng)系統(tǒng)的某個節(jié)點出現(xiàn)關(guān)機、宕機、重啟或者網(wǎng)卡載波丟失（連接斷開）時，所有的流量就會被立即轉(zhuǎn)到另一臺熱備設(shè)備上。n 可擴展性 SSL設(shè)備上需支持部署多個ssl證書并接入多個域名,保證了不同客戶的不同SSL加密入口。并且USB KEY為一個硬件產(chǎn)品，用戶需要隨身攜帶，如用戶在出差過程中，一旦將USB KEY遺忘自家中，往往意味著無法使用系統(tǒng)。具體流程和所需要的接口如下：1 首先在業(yè)務(wù)系統(tǒng)后臺可以通過WebService或HTTP接口提交獲取二維碼報文從移動認證平臺獲取簽名信息二維碼，接口中應(yīng)包含至少12位以上隨機數(shù)和接入移動認證平臺所需的認證用戶信息。移動認證平臺返回的認證結(jié)果為Object類型VerifyResult對象。動態(tài)口令認證分為基于時間動態(tài)口令和基于挑戰(zhàn)的動態(tài)口令（高級令牌），同時在業(yè)務(wù)系統(tǒng)后臺調(diào)用移動認證平臺的動態(tài)口令驗證接口。7 基于云CA的設(shè)計7 概述 伴隨著PC與智能終端的普及，使用者往往擁有多個終端系統(tǒng)，并且在多個終端系統(tǒng)上訪問應(yīng)用。跨平臺：在多平臺與跨平臺的環(huán)境下，用戶往往需要申請多張證書，對于用戶而言比較繁瑣，對于國聯(lián)人壽而言，需要完成用戶多證書的管理，較為不便。移動客戶端通過信安世紀客戶端安全組件申請證書，如果是PC客戶端，則通過信安世紀Enroll控件申請證書；n 數(shù)字簽名服務(wù)器：生成客戶端P10請求，并且在實際業(yè)務(wù)中完成驗簽操作；n CA系統(tǒng)：簽發(fā)證書以及基于數(shù)字證書的全生命周期管理；n 動態(tài)密碼系統(tǒng)：首次注冊時，用于驗證客戶端賬號與手機綁定關(guān)系； 訪問流程7...... 證書注冊1 用戶首次注冊時，如果通過手機端，則使用信安世紀移動端安全組件，如果為PC端，則使用客戶端證書組件；2 首次請求發(fā)送至應(yīng)用，應(yīng)用調(diào)用信安世紀動態(tài)密碼服務(wù)器接口，將動態(tài)密碼發(fā)送至客戶手機；3 用戶填入一次性動態(tài)密碼，并提交至應(yīng)用，應(yīng)用調(diào)用信安世紀動態(tài)密碼服務(wù)器完成驗證，驗證通過后，則返回用戶注冊用戶證書的頁面；4 用戶在頁面中完成個人身份信息的填寫，設(shè)定證書所使用的密碼，并發(fā)送至應(yīng)用；5 應(yīng)用調(diào)用信安世紀簽名服務(wù)器，對用戶設(shè)定的密碼進行加密，同時生成P10請求，并且將該請求發(fā)送至CA系統(tǒng)；6 CA系統(tǒng)簽發(fā)該證書，并且返回經(jīng)簽名的完整信息；7 簽名服務(wù)器收到CA返回的證書，拼湊成完整的證書；8 簽名服務(wù)器將該證書返回給應(yīng)用，并且由應(yīng)用存儲在數(shù)據(jù)庫中； 9 簽名服務(wù)器刪除該用戶的公私密鑰對；10 證書在服務(wù)端簽發(fā)完成；. 證書使用流程 當(dāng)用戶在訪問應(yīng)用系統(tǒng)時（對于一個高安全級別的系統(tǒng)在此時需要通過SSL進行加密，可采用信安世紀NSAENB型號設(shè)備，一方面構(gòu)建安全隧道，另一方面對應(yīng)用進行負載，此處不在贅述），當(dāng)需要進行數(shù)字簽名時（登陸以及購買保險產(chǎn)品時），觸發(fā)數(shù)字簽名請求：1 應(yīng)用接收到該用戶的數(shù)字簽名請求，并且提示用戶輸入其證書的密碼；2 通過該用戶ID，從數(shù)據(jù)庫中找到該用戶對應(yīng)的數(shù)字證書，將該證書與用戶輸入的密碼，以及需要簽名的信息發(fā)送給簽名服務(wù)器；3 簽名服務(wù)器驗證用戶送上來的密碼以及與該證書生成時的密碼是否匹配，如果匹配，則對需要簽名的信息，使用該證書進行簽名；4 簽名完成后，將簽名值返回給應(yīng)用；5 為驗證該簽名有效，應(yīng)用重新觸發(fā)驗簽操作，將簽名值、原文、公鑰信息傳遞給簽名服務(wù)器，簽名服務(wù)器完成驗簽，并通知應(yīng)用；6 應(yīng)用收到后，完成后續(xù)處理（允許用戶登陸或觸發(fā)購買保險產(chǎn)品的扣款指令）。說明2：本方案中報價均按照每一個系統(tǒng)所使用的產(chǎn)品進行報價，實際上，信安世紀產(chǎn)品均支持多服務(wù)，即一套產(chǎn)品均可以為多個系統(tǒng)使用(在網(wǎng)絡(luò)以及安全策略允許的前提下)。例如在網(wǎng)銀系統(tǒng)中，同時存在動態(tài)密碼與數(shù)字證書兩種認證方式，通常情況下，動態(tài)密碼認證強度較低，但使用靈活，往往作為數(shù)字證書的補充。業(yè)務(wù)系統(tǒng)根據(jù)用戶名和結(jié)果判斷是否允許用戶進行登錄。n 客戶端APP：信安世紀提供的獨立APP，可集成在業(yè)務(wù)系統(tǒng)的APP組件中；n NSAENB：提供建立SSL隧道以及負載均衡功能；n 移動認證服務(wù)器：提供應(yīng)用統(tǒng)一驗證接口，由移動認證服務(wù)器判斷驗證請求發(fā)送給動態(tài)密碼系統(tǒng)還是簽名服務(wù)器系統(tǒng)進行驗證；n 數(shù)字簽名系統(tǒng)：接受移動認證服務(wù)器的發(fā)送的驗簽以及其他操作請求，完成驗簽以及其他操作指令；n 動態(tài)密碼系統(tǒng)：接受移動認證服務(wù)器發(fā)送的的動態(tài)密碼驗證以及其他操作請求，完成動態(tài)密碼驗證以及其他操作指令；n CA系統(tǒng)：數(shù)字證書頒發(fā)系統(tǒng)； 使用流程6...... PC端二維碼登陸業(yè)務(wù)系統(tǒng)如果采用用戶通過PC瀏覽器端二維碼登錄方式，則需要與信安世紀移動認證平臺系統(tǒng)進行對接。但是在移動領(lǐng)域，目前廣泛使用的USB KEY則無法繼續(xù)使用，一手機、PAD等移動產(chǎn)品，均沒有相應(yīng)的USB接口，同時，這些移動終端操作系統(tǒng)多種多樣，也缺少相應(yīng)的驅(qū)動程序。n 可維護性 基于Web和命令行的服務(wù)帶來高可維護性。. 實現(xiàn)方式 通過NSAENB設(shè)備在無錫農(nóng)商行與國聯(lián)人壽之間，構(gòu)建安全的HTTPS加密隧道，確保數(shù)據(jù)交互時的機密性，同時借助于NSAENB所提供的負載均衡能力，提供應(yīng)用系統(tǒng)的高性能與高可靠性。. 方案投入產(chǎn)品名稱功能數(shù)量說明NetCert(含CA、RA、LDAP、NetCertEnroll)數(shù)字證書生成系統(tǒng)1NSAE2500NBSSL+服務(wù)器負載3（2生產(chǎn)，1開發(fā)）NetSign3300簽名服務(wù)器3（2生產(chǎn)，1開發(fā)）NetCertRA開發(fā)費用（如用戶同步、證書自助更新等等）說明：本方案中報價均按照每一個系統(tǒng)所使用的產(chǎn)品進行報價，實際上，信安世紀產(chǎn)品均支持多服務(wù)，即一套產(chǎn)品均可以為多個系統(tǒng)使用(在網(wǎng)絡(luò)以及安全策略允許的前提下)。3) NSAENB設(shè)備為AllinOne設(shè)備，在本項目中同時提供SSL與負載均衡功能，SSL加速設(shè)備通過對SSL的數(shù)據(jù)分析之后，將訪問流量發(fā)送給負載均衡模塊，負載均衡模塊按照不同的應(yīng)用類型(服務(wù)端口)或者訪問路徑(URL)等信息，并且根據(jù)不同的算法，將流量智能的分配到不同的后臺OA服務(wù)器上。系統(tǒng)管理員通過證書管理系統(tǒng)為行內(nèi)每位員工申請證書，證書會自動發(fā)送到員工行內(nèi)郵箱，員工安裝所申請的證書即可完成OA系統(tǒng)登陸。n 證書作廢實現(xiàn)一步操作，成功后刪除該員工信息。如簽名服務(wù)器，一套簽名服務(wù)器即可為電子保單使用，也可為網(wǎng)上商城所使用。n 高性能信安世紀CA系統(tǒng)，SSL系統(tǒng)均為高性能系統(tǒng)，支撐了國內(nèi)如工商銀行總行、農(nóng)業(yè)銀行總行網(wǎng)銀系統(tǒng)上千萬用戶規(guī)模的使用。同時，實施對服務(wù)器進行健康檢查，當(dāng)探測到任何一個服務(wù)器出現(xiàn)異常時，則在毫秒級時間片內(nèi)將后續(xù)流量引導(dǎo)至正常工作的服務(wù)器上，確保其應(yīng)用故障不影響使用者，從而隔離故障域。7) 信安世紀數(shù)字簽名系統(tǒng)NetSign作為網(wǎng)上商城交易確認和事后審計的保證。 n 可以滿足客戶7*24不間斷工作的需求。 網(wǎng)上商城系統(tǒng)..