【正文】 i ADN系統(tǒng)對服務器進行負載的同時，提高高可靠性。 n 采用多級權限管理，實現(xiàn)權限分割，確保數(shù)據(jù)的安全。如簽名服務器，一套簽名服務器即可為電子保單使用，也可為網(wǎng)上商城所使用。7. 用戶下載最終帶數(shù)字簽名的電子保單8. 用戶本地保存帶簽名的電子保單。帶簽名的電子保單有任何改動，則驗簽不成功。5 方案12345 電子保單系統(tǒng)1.2.3.4.5... 方案架構1.2.3.4.5.... 電子保單生成不帶簽名的原始電子保單由APP應用服務器生成，APP應用服務器將原始電子保單送到簽名服務器進行數(shù)字簽名，簽名服務器根據(jù)APP應用服務器提供的參數(shù)及文件，選擇數(shù)字證書進行數(shù)字簽名，并重新生成與原始電子保單格式相同的帶簽名的電子保單，簽名服務器將此文件返回給APP應用服務器。同時，中國工商銀行總行、中國建設銀行總行、中國交通銀行總行、中國平安銀行的CA系統(tǒng)也選擇信安世紀NetCert作為國密CA解決方案。既有安全級別較高的系統(tǒng)，如網(wǎng)上商城、電子保單、在線支付等系統(tǒng)，同時又有如同辦公人員所使用的OA系統(tǒng)、ERP系統(tǒng)等。常見包括：n SSL：通過數(shù)字證書，完成通信加密，客戶端與服務端的身份認證等；n VPN：通過數(shù)字證書，完成通信加密，常用于創(chuàng)建虛擬局域網(wǎng)等功能；n 數(shù)字簽名：通過數(shù)字證書，完成數(shù)據(jù)傳輸時的完整性，以及數(shù)據(jù)的康抵賴性；n 動態(tài)密碼：通過算法，向客戶端發(fā)送一次性口令，完成身份認證等操作。另一方面，這些系統(tǒng)的使用者如使用數(shù)字證書，需要靈活、便利的管理方式，因此在這些系統(tǒng)中建議使用自檢CA系統(tǒng)進行數(shù)字證書的頒發(fā)。原始的電子保單送到簽名服務器，簽名服務器使用數(shù)字證書對保單進行數(shù)字簽名，并重新生成與原始保單格式相同的帶簽名的電子保單，并可以根據(jù)API所送參數(shù)在電子保單中增加附加信息，例如增加本保險公司圖章，PDF文件在指定位置顯示驗簽結果信息等。4. APP應用處理用戶提交保單信息，根據(jù)用戶信息生成原始的電子保單。. 方案優(yōu)勢n 可支持用戶在線或離線兩種認證方式；n 支持HTML和PDF兩種方式的電子保單形式；n 可根據(jù)需求定制電子圖章，電子圖章可直觀的顯示；n 簽名驗簽服務器可安全保存證書私鑰；n 可負載均衡或HA部署，實現(xiàn)系統(tǒng)高可用性；n 每秒3000筆以上的高性能。具備行為日志的記錄功能。4) 對于入站的請求，采用信安世紀NetOpitLT實現(xiàn)鏈路負載能力，以及基于用戶所屬ISP的智能DNS解析，實現(xiàn)鏈路高可靠性，乃至未來的全局負載能力。3) 用戶完成請求后，訪問至信安世紀NSAENB設備，實現(xiàn)SSL卸載：n 用戶可以采用單向SSL加密的手段，實現(xiàn)對銀行域名服務的校驗。n 兼容性 數(shù)字簽名控件有良好的兼容性，能支持到主流瀏覽器，保證在多樣化的客戶端瀏覽器的正常使用。n 可擴展性 SSL設備上需支持部署多個ssl證書并接入多個域名,保證了不同客戶的不同SSL加密入口。無論與AD、單點登陸、還是單獨與OA系統(tǒng)進行集成，其實現(xiàn)原理基本相同，本文僅描述與OA系統(tǒng)對接過程。. 其他n 通過技術手段實現(xiàn)數(shù)據(jù)傳輸時的機密性；n 通過技術手段時間數(shù)據(jù)傳輸過程中的完整性；n 通過技術手段時間操作者對所做操作的抗抵賴性；. 系統(tǒng)概述國聯(lián)金融自建CA， RA應用系統(tǒng)集成于國聯(lián)金融OA系統(tǒng)中，由OA系統(tǒng)的管理員來管理和操作數(shù)字證書的申請、更新和作廢，以及證書和日志查詢操作；同時，RA應用系統(tǒng)提供OA系統(tǒng)用戶自主更新證書和關閉賬戶的接口，以完成用戶證書的更新和賬戶關閉的操作。n 證書更新流程：在國聯(lián)金融OA系統(tǒng)中，由OA系統(tǒng)管理員登陸RA系統(tǒng)，選擇證書更新操作，輸入員工編號、員工姓名、證書的起止日期以及選擇部門等查詢條件，查詢得到員工證書的信息（員工編號、員工姓名、部門名稱和郵件地址）；確認員工信息后，進行證書更新操作，證書更新成功，則將數(shù)字證書發(fā)送到員工的郵箱中；如果證書更新失敗，系統(tǒng)能夠給出錯誤提示和要求提示信息。n 與管理方式高度融合的特性：基于RADS 開發(fā)組件定制開發(fā)的RA 系統(tǒng)可實現(xiàn)與證書管理和用戶管理的高度融合。在與無錫農(nóng)商行對接的過程中，需要由國聯(lián)人壽訪問的無錫農(nóng)商行，傳遞經(jīng)過國聯(lián)人壽數(shù)字簽名的用戶開通快捷支付以及扣款指令等，此訪問過程，已過國聯(lián)金融訪問無錫農(nóng)商行發(fā)布的SSL鏈接完成加密。n 穩(wěn)定性 SSL加速設備提供能會話保持策略，保證每次會話指向固定應用服務器n 安全性 通過雙向HTTPS協(xié)議認證客戶端與服務端，通訊雙方的身份得到認證，通訊內(nèi)容的私密性得到保障。. 方案投入產(chǎn)品名稱功能數(shù)量說明NSAE2500NBSSL+服務器負載3（2生產(chǎn)，1開發(fā)）說明1：上述報價并不包含國聯(lián)人壽所需的國際第三方證書（如Versign）價格，需國聯(lián)人壽自行提供第三方的SSL服務器站點證書。 適用系統(tǒng)n OA系統(tǒng)；n 網(wǎng)上商城系統(tǒng)；n 其他任何需要手機APP與PC傳統(tǒng)環(huán)境均存在的應用系統(tǒng)； 系統(tǒng)架構本方案主要的解決方法是將手機作為一個USB KEY進行使用。移動認證平臺返回的二維碼信息為16進制文本數(shù)據(jù)。具體流程如下：. 移動端APP數(shù)字簽名系統(tǒng)驗證如果業(yè)務系統(tǒng)為基于移動終端的APP應用系統(tǒng)，則需要在業(yè)務系統(tǒng)APP和業(yè)務系統(tǒng)后臺進行改造，首先在業(yè)務系統(tǒng)APP的登錄功能和關鍵業(yè)務功能增加調(diào)用移動認證平臺APP的接口，實現(xiàn)在業(yè)務系統(tǒng)的登錄和關鍵業(yè)務使用移動終端的數(shù)字證書進行簽名業(yè)務。 方案優(yōu)勢便利性：解決傳統(tǒng)移動終端無法使用數(shù)字證書的問題；同時用戶無需攜帶任何硬件的USB KEY，只需攜帶手機，即可完成關于數(shù)字證書的操作。即使允許用戶導出，導出過程異常繁瑣，不具備可操作的意義。 本方案主要考慮在此環(huán)境下，對用戶數(shù)字證書提供一種跨平臺使用的解決方案。即無需像傳統(tǒng)PC機安裝USB KEY驅動一樣，需要安裝各種版本的驅動，也不需要通過先將證書下載至PC上，在通過軟件將證書導入至手機中；安全性：信安世紀移動認證APP，通過邏輯隔離的方式，使數(shù)字證書在手機中加密存儲，并且只允許授信的app應用訪問，將手機形成一個虛擬USB KEY，同時證書存儲時綁定硬件信息，即使導出也無法使用；使用范圍全面：該系統(tǒng)即支持動態(tài)密碼驗證方式，也支持數(shù)字證書的驗證方式，適用于各種不用安全強度的系統(tǒng)使用；集成便利：基于移動終端的CA系統(tǒng)提供了手機app，應用系統(tǒng)可將其app嵌入至自身的app中，對用戶提供一個完整功能的APP，同時服務端只需統(tǒng)一調(diào)用信安世紀移動認證服務器，移動認證服務器以集成完成信安世紀動態(tài)密碼接口以及簽名服務器接口，由移動認證服務器具體完成驗證動態(tài)密碼以及驗證簽名功能。在業(yè)務系統(tǒng)登錄或者在關鍵交易中彈出移動認證平臺APP的簽名業(yè)務進行簽名，并將簽名結果返回業(yè)務系統(tǒng)APP，業(yè)務系統(tǒng)APP將簽名系統(tǒng)提交后臺，由業(yè)務系統(tǒng)后臺調(diào)用移動認證平臺后臺的簽名驗證接口完成簽名驗證操作，并將該證書所綁定的用戶信息返回給業(yè)務系統(tǒng)，由業(yè)務系統(tǒng)根據(jù)驗證簽名結果進行下一步操作。展現(xiàn)之后，等待移動認證平臺APP進行二維碼認證掃描認證，同時業(yè)務系統(tǒng)客戶端將每隔幾秒鐘項業(yè)務系統(tǒng)后臺獲取二維碼掃描信息是否已經(jīng)認證通過，而業(yè)務系統(tǒng)后臺收到客戶端請求后，通過WebService或HTTP接口將請求內(nèi)容提交至移動認證平臺進行獲取驗證結果操作。同時PC端登陸時，使用手機中的證書進行簽名。如簽名服務器，一套簽名服務器即可為電子保單使用，也可為網(wǎng)上商城所使用。n 高性能信安世紀SSL系統(tǒng)為高性能系統(tǒng)，支撐了國內(nèi)如工商銀行總行、農(nóng)業(yè)銀行總行網(wǎng)銀系統(tǒng)上千萬用戶規(guī)模的使用。n 實現(xiàn)無錫農(nóng)商行至國聯(lián)人壽通道的機密性。在權限管理方面采取分權制衡的設計思路。n 證書作廢流程：在國聯(lián)金融OA系統(tǒng)中，由