【正文】 OA系統(tǒng)管理員登陸RA系統(tǒng)，選擇證書作廢操作，輸入員工編號、員工姓名以及選擇部門（OA系統(tǒng)提供部門信息的下拉列表框）等查詢條件，查詢得到員工證書的信息（員工編號、員工姓名、部門名稱和郵件地址）；確認員工信息后，進行證書作廢操作，證書作廢成功，返回成功信息；如果證書作廢失敗，系統(tǒng)能夠給出錯誤提示和要求提示信息。. 系統(tǒng)架構(gòu). 整體架構(gòu)圖n 通過NSAENB設(shè)備，一方面構(gòu)建基于SSL的安全通道，確保使用者使用OA時的機密性；同時，通過NSAENB的負載均衡功能，可以完成對OA系統(tǒng)的高可靠性保障；n 通過NetCertCA系統(tǒng)為用戶頒發(fā)數(shù)字證書；n 通過數(shù)字簽名系統(tǒng)完成數(shù)字簽名，實現(xiàn)完整性以及抗抵賴性。n 提供數(shù)字證書的申請、作廢、更新和查詢等相關(guān)操作。. 方案投入產(chǎn)品名稱功能數(shù)量說明NetSign3300簽名/驗簽3（2生產(chǎn)，1開發(fā)）NetOpti2200LT鏈路負載2NSAE2500NBSSL+服務(wù)器負載3（2生產(chǎn)，1開發(fā)）NetOpti2200NL服務(wù)器負載2NetSign3300簽名服務(wù)器3（2生產(chǎn)，1開發(fā)）PC客戶端簽名控件Chrom客戶端簽名標準版僅支持IEPC客戶端簽名控件FireFox客戶端簽名標準版僅支持IE說明1：上述報價并不包含國聯(lián)人壽所需的國際第三方證書（如Versign）價格，需國聯(lián)人壽自行提供第三方的SSL服務(wù)器站點證書。n 穩(wěn)定性 SSL加速設(shè)備提供能會話保持策略，保證每次會話指向固定應(yīng)用服務(wù)器n 安全性 通過雙向HTTPS協(xié)議認證客戶端與服務(wù)端，通訊雙方的身份得到認證，通訊內(nèi)容的私密性得到保障。4) NSAENB設(shè)備為AllinOne設(shè)備，在本項目中同時提供SSL與負載均衡功能，SSL加速設(shè)備通過對SSL的數(shù)據(jù)分析之后，將訪問流量發(fā)送給負載均衡模塊，負載均衡模塊按照不同的應(yīng)用類型(服務(wù)端口)或者訪問路徑(URL)等信息，并且根據(jù)不同的算法，將流量智能的分配到不同的后臺Web服務(wù)器上，由Web服務(wù)器響應(yīng)靜態(tài)資源的請求，并將動態(tài)資源的請求轉(zhuǎn)發(fā)到后臺APP負載均衡設(shè)備上。并且NSAE與后臺系統(tǒng)通過J2EE證書處理機制聯(lián)動，NSAE驗證過的證書信息可直接為后臺應(yīng)用系統(tǒng)利用，實現(xiàn)應(yīng)用系統(tǒng)中對用戶身份的確認。 n 具備抗網(wǎng)絡(luò)攻擊的能力。說明2：本方案中報價均按照每一個系統(tǒng)所使用的產(chǎn)品進行報價，實際上，信安世紀產(chǎn)品均支持多服務(wù)，即一套產(chǎn)品均可以為多個系統(tǒng)使用(在網(wǎng)絡(luò)以及安全策略允許的前提下)。6. 簽名服務(wù)器完成原始電子保單數(shù)字簽名后，將帶簽名的電子保單返給APP應(yīng)用。HTML格式通過信安世紀提供的驗簽控件對電子簽名進行驗簽，并直接提示用戶驗簽結(jié)果；PDF格式通過Adobe Reader軟件自帶的驗簽功能驗簽，并直觀地顯示驗簽結(jié)果。在線支付以及電子保單系統(tǒng)，兩個系統(tǒng)只需要向第三方CA頒申請兩張表示國聯(lián)人壽的企業(yè)證書即可。信安世紀PKI全線產(chǎn)品均支持國密算法（可在國密局官網(wǎng)在線查詢），并且信安世紀簽名服務(wù)器曾獲得發(fā)改委專項資金支持，同時在銀行領(lǐng)域，2012年全國性國密改造試點的4個銀行中，中國農(nóng)業(yè)銀行、民生銀行、鶴壁銀行均與信安世紀合作，采用信安世紀PKI產(chǎn)品，全線支持其國密改造試點工作。國聯(lián)人壽PKI基礎(chǔ)設(shè)施建設(shè)方案版本V 作者張濟美日期20150820北 京 信 安 世 紀 科 技 有 限 公 司INFOSEC TECHNOLOGIES CO.,LTD國聯(lián)人壽PKI基礎(chǔ)設(shè)施建設(shè) 目錄國聯(lián)人壽PKI基礎(chǔ)設(shè)施建設(shè) 11 概述 12 PKI技術(shù) 13 信安世紀與國密 24 數(shù)字證書的選擇 35 方案 4 電子保單系統(tǒng) 4. 方案架構(gòu) 4. 系統(tǒng)平移 5. 方案優(yōu)勢 6. 案例 6 網(wǎng)上商城系統(tǒng) 6. 典型需求 6. 實現(xiàn)方式 7. 方案架構(gòu) 8. 功能分析 8. 業(yè)務(wù)實現(xiàn)流程 9. 方案優(yōu)勢 9 OA系統(tǒng) 10. 典型需求 11. 系統(tǒng)概述 11. 系統(tǒng)架構(gòu) 12. 流程介紹 14. 方案優(yōu)勢 17 支付系統(tǒng) 17. 典型需求 17. 實現(xiàn)方式 18. 方案架構(gòu) 18. 業(yè)務(wù)實現(xiàn)流程 18. 方案優(yōu)勢 196 基于移動終端的CA設(shè)計 20 概述 20 適用系統(tǒng) 20 系統(tǒng)架構(gòu) 20 使用流程 21. PC端二維碼登陸 21. 移動端APP數(shù)字簽名系統(tǒng)驗證 23. 動態(tài)密碼認證 247 基于云CA的設(shè)計 26 概述 26 適用系統(tǒng) 26 系統(tǒng)架構(gòu) 27 訪問流程 27351 概述目前，國聯(lián)人壽已經(jīng)具有多套應(yīng)用系統(tǒng)，通過不同的應(yīng)用系統(tǒng)來完成不同的工作。3 信安世紀與國密目前，根據(jù)國家相關(guān)指導(dǎo)部門的意見，需要在金融行業(yè)內(nèi)逐漸普及國密算法，例如在本年度7月30日，保監(jiān)會即明確指出保險行業(yè)電子保單系統(tǒng)中，電子保單系統(tǒng)需支持國密算法。對于在線支付系統(tǒng)，電子保單系統(tǒng)等，涉及到第三方的應(yīng)用系統(tǒng)，建議采用第三方CA生成的數(shù)字證書。. 電子保單驗證用戶下載帶簽名的電子保單后，可以在線或離線驗證電子保單的數(shù)字簽名。5. APP應(yīng)用將原始的電子保單發(fā)送到簽名服務(wù)器進行數(shù)字簽名。. 方案投入產(chǎn)品名稱功能數(shù)量NetSign3300簽名/驗簽3（2生產(chǎn)，1開發(fā)）說明1：上述報價并不包含國聯(lián)人壽所需的從國內(nèi)第三方CA（如北京CA）獲取的標示國聯(lián)人壽企業(yè)身份的數(shù)字簽名證書價格。 . 高可靠性和高穩(wěn)定性 n 具備并發(fā)處理的能力。5) 信安世紀NSAENB作為網(wǎng)上商城系統(tǒng)的安全門戶，NSAE實現(xiàn)與客戶端IE瀏覽器的SSL加密通訊，并對用戶數(shù)字證書進行驗證。n 用戶也可以采用雙向SSL加密的手段，不但實現(xiàn)了對銀行域名服務(wù)的校驗、而且銀行通過SSL加速設(shè)備還能校驗客戶端證書的有效性。支持所有標準的Java應(yīng)用服務(wù)器，包括Weblogic。 同時，采用負載均衡設(shè)計的架構(gòu)下，當未來應(yīng)用出現(xiàn)瓶頸時，僅需增加應(yīng)用服務(wù)器資源即可，無需調(diào)整網(wǎng)絡(luò)架構(gòu)，實現(xiàn)模塊化部署，極大的簡化了應(yīng)用系統(tǒng)投產(chǎn)的時間與復(fù)雜度。.. 典型需求. CA系統(tǒng)n 同步OA系統(tǒng)人員的相關(guān)的信息。同時，依托于PKI技術(shù)，實現(xiàn)數(shù)據(jù)傳輸時的機密性以及完整性和抗抵賴性。 提供人員證書30即將到期提醒和查詢以及以日期（天）查詢即將到期的人員證書。n 安全的軟件設(shè)計：系統(tǒng)采用安全的結(jié)構(gòu)設(shè)計，各模塊之間通訊使用獨立的安全傳輸通道。同時，無錫農(nóng)商行完成業(yè)務(wù)處理后，需要將經(jīng)過無錫農(nóng)商行數(shù)字簽名的回執(zhí)返回給國聯(lián)金融，目前，此訪問為未加密的HTTP連接，本方案則為本系統(tǒng)的下聯(lián)通道（即無錫農(nóng)商行回訪國聯(lián)金融）提供加密隧道。獨立的CRL文件下載服務(wù)，保證應(yīng)用系統(tǒng)運行的連續(xù)性和安全級別。說明2：本方案中報價均按照每一個系統(tǒng)所使用的產(chǎn)品進行報價，實際上，信安世紀產(chǎn)品均支持多服務(wù)，即一套產(chǎn)品均可以為多個系統(tǒng)使用(在網(wǎng)絡(luò)以及安全策略允許的前提下)。通過專用的手機APP生成證書申請，直接將證書下發(fā)至手機中，從而將手機作為一個虛擬USB KEY。2 業(yè)務(wù)系統(tǒng)獲取到二維碼之后，將二維碼返回至業(yè)務(wù)系統(tǒng)客戶端瀏覽器并進行展現(xiàn)。同時在業(yè)務(wù)系統(tǒng)后臺調(diào)用移動認證平臺的驗證簽名接口。易使用：用戶只需點擊APP，填入個人信息，即可完成數(shù)字證書的申請。對于傳統(tǒng)的解決方案，則是讓用戶申請多張不同的證書，以滿足在不同平臺上使用的情況，但是在這種情況下，用戶賬號對于數(shù)字證書的綁定關(guān)系又較為繁瑣，同時，一個用戶在不同平臺上均擁有證書，也很可能造成證書失竊等結(jié)果