【正文】 對(duì)于傳統(tǒng)的解決方案，則是讓用戶(hù)申請(qǐng)多張不同的證書(shū)，以滿(mǎn)足在不同平臺(tái)上使用的情況，但是在這種情況下，用戶(hù)賬號(hào)對(duì)于數(shù)字證書(shū)的綁定關(guān)系又較為繁瑣，同時(shí)，一個(gè)用戶(hù)在不同平臺(tái)上均擁有證書(shū)，也很可能造成證書(shū)失竊等結(jié)果。同時(shí)在業(yè)務(wù)系統(tǒng)后臺(tái)調(diào)用移動(dòng)認(rèn)證平臺(tái)的驗(yàn)證簽名接口。通過(guò)專(zhuān)用的手機(jī)APP生成證書(shū)申請(qǐng)，直接將證書(shū)下發(fā)至手機(jī)中，從而將手機(jī)作為一個(gè)虛擬USB KEY。獨(dú)立的CRL文件下載服務(wù)，保證應(yīng)用系統(tǒng)運(yùn)行的連續(xù)性和安全級(jí)別。n 安全的軟件設(shè)計(jì)：系統(tǒng)采用安全的結(jié)構(gòu)設(shè)計(jì)，各模塊之間通訊使用獨(dú)立的安全傳輸通道。同時(shí)，依托于PKI技術(shù)，實(shí)現(xiàn)數(shù)據(jù)傳輸時(shí)的機(jī)密性以及完整性和抗抵賴(lài)性。 同時(shí)，采用負(fù)載均衡設(shè)計(jì)的架構(gòu)下，當(dāng)未來(lái)應(yīng)用出現(xiàn)瓶頸時(shí)，僅需增加應(yīng)用服務(wù)器資源即可，無(wú)需調(diào)整網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)模塊化部署，極大的簡(jiǎn)化了應(yīng)用系統(tǒng)投產(chǎn)的時(shí)間與復(fù)雜度。n 用戶(hù)也可以采用雙向SSL加密的手段，不但實(shí)現(xiàn)了對(duì)銀行域名服務(wù)的校驗(yàn)、而且銀行通過(guò)SSL加速設(shè)備還能校驗(yàn)客戶(hù)端證書(shū)的有效性。 . 高可靠性和高穩(wěn)定性 n 具備并發(fā)處理的能力。5. APP應(yīng)用將原始的電子保單發(fā)送到簽名服務(wù)器進(jìn)行數(shù)字簽名。對(duì)于在線(xiàn)支付系統(tǒng)，電子保單系統(tǒng)等，涉及到第三方的應(yīng)用系統(tǒng)，建議采用第三方CA生成的數(shù)字證書(shū)。國(guó)聯(lián)人壽PKI基礎(chǔ)設(shè)施建設(shè)方案版本V 作者張濟(jì)美日期20150820北 京 信 安 世 紀(jì) 科 技 有 限 公 司INFOSEC TECHNOLOGIES CO.,LTD國(guó)聯(lián)人壽PKI基礎(chǔ)設(shè)施建設(shè) 目錄國(guó)聯(lián)人壽PKI基礎(chǔ)設(shè)施建設(shè) 11 概述 12 PKI技術(shù) 13 信安世紀(jì)與國(guó)密 24 數(shù)字證書(shū)的選擇 35 方案 4 電子保單系統(tǒng) 4. 方案架構(gòu) 4. 系統(tǒng)平移 5. 方案優(yōu)勢(shì) 6. 案例 6 網(wǎng)上商城系統(tǒng) 6. 典型需求 6. 實(shí)現(xiàn)方式 7. 方案架構(gòu) 8. 功能分析 8. 業(yè)務(wù)實(shí)現(xiàn)流程 9. 方案優(yōu)勢(shì) 9 OA系統(tǒng) 10. 典型需求 11. 系統(tǒng)概述 11. 系統(tǒng)架構(gòu) 12. 流程介紹 14. 方案優(yōu)勢(shì) 17 支付系統(tǒng) 17. 典型需求 17. 實(shí)現(xiàn)方式 18. 方案架構(gòu) 18. 業(yè)務(wù)實(shí)現(xiàn)流程 18. 方案優(yōu)勢(shì) 196 基于移動(dòng)終端的CA設(shè)計(jì) 20 概述 20 適用系統(tǒng) 20 系統(tǒng)架構(gòu) 20 使用流程 21. PC端二維碼登陸 21. 移動(dòng)端APP數(shù)字簽名系統(tǒng)驗(yàn)證 23. 動(dòng)態(tài)密碼認(rèn)證 247 基于云CA的設(shè)計(jì) 26 概述 26 適用系統(tǒng) 26 系統(tǒng)架構(gòu) 27 訪(fǎng)問(wèn)流程 27351 概述目前，國(guó)聯(lián)人壽已經(jīng)具有多套應(yīng)用系統(tǒng)，通過(guò)不同的應(yīng)用系統(tǒng)來(lái)完成不同的工作。在線(xiàn)支付以及電子保單系統(tǒng)，兩個(gè)系統(tǒng)只需要向第三方CA頒申請(qǐng)兩張表示國(guó)聯(lián)人壽的企業(yè)證書(shū)即可。6. 簽名服務(wù)器完成原始電子保單數(shù)字簽名后，將帶簽名的電子保單返給APP應(yīng)用。 n 具備抗網(wǎng)絡(luò)攻擊的能力。4) NSAENB設(shè)備為AllinOne設(shè)備，在本項(xiàng)目中同時(shí)提供SSL與負(fù)載均衡功能，SSL加速設(shè)備通過(guò)對(duì)SSL的數(shù)據(jù)分析之后，將訪(fǎng)問(wèn)流量發(fā)送給負(fù)載均衡模塊，負(fù)載均衡模塊按照不同的應(yīng)用類(lèi)型(服務(wù)端口)或者訪(fǎng)問(wèn)路徑(URL)等信息，并且根據(jù)不同的算法，將流量智能的分配到不同的后臺(tái)Web服務(wù)器上，由Web服務(wù)器響應(yīng)靜態(tài)資源的請(qǐng)求，并將動(dòng)態(tài)資源的請(qǐng)求轉(zhuǎn)發(fā)到后臺(tái)APP負(fù)載均衡設(shè)備上。. 方案投入產(chǎn)品名稱(chēng)功能數(shù)量說(shuō)明NetSign3300簽名/驗(yàn)簽3（2生產(chǎn)，1開(kāi)發(fā)）NetOpti2200LT鏈路負(fù)載2NSAE2500NBSSL+服務(wù)器負(fù)載3（2生產(chǎn)，1開(kāi)發(fā)）NetOpti2200NL服務(wù)器負(fù)載2NetSign3300簽名服務(wù)器3（2生產(chǎn)，1開(kāi)發(fā)）PC客戶(hù)端簽名控件Chrom客戶(hù)端簽名標(biāo)準(zhǔn)版僅支持IEPC客戶(hù)端簽名控件FireFox客戶(hù)端簽名標(biāo)準(zhǔn)版僅支持IE說(shuō)明1：上述報(bào)價(jià)并不包含國(guó)聯(lián)人壽所需的國(guó)際第三方證書(shū)（如Versign）價(jià)格，需國(guó)聯(lián)人壽自行提供第三方的SSL服務(wù)器站點(diǎn)證書(shū)。. 系統(tǒng)架構(gòu). 整體架構(gòu)圖n 通過(guò)NSAENB設(shè)備，一方面構(gòu)建基于SSL的安全通道，確保使用者使用OA時(shí)的機(jī)密性；同時(shí)，通過(guò)NSAENB的負(fù)載均衡功能，可以完成對(duì)OA系統(tǒng)的高可靠性保障；n 通過(guò)NetCertCA系統(tǒng)為用戶(hù)頒發(fā)數(shù)字證書(shū)；n 通過(guò)數(shù)字簽名系統(tǒng)完成數(shù)字簽名，實(shí)現(xiàn)完整性以及抗抵賴(lài)性。在權(quán)限管理方面采取分權(quán)制衡的設(shè)計(jì)思路。n 高性能信安世紀(jì)SSL系統(tǒng)為高性能系統(tǒng)，支撐了國(guó)內(nèi)如工商銀行總行、農(nóng)業(yè)銀行總行網(wǎng)銀系統(tǒng)上千萬(wàn)用戶(hù)規(guī)模的使用。同時(shí)PC端登陸時(shí)，使用手機(jī)中的證書(shū)進(jìn)行簽名。在業(yè)務(wù)系統(tǒng)登錄或者在關(guān)鍵交易中彈出移動(dòng)認(rèn)證平臺(tái)APP的簽名業(yè)務(wù)進(jìn)行簽名，并將簽名結(jié)果返回業(yè)務(wù)系統(tǒng)APP，業(yè)務(wù)系統(tǒng)APP將簽名系統(tǒng)提交后臺(tái)，由業(yè)務(wù)系統(tǒng)后臺(tái)調(diào)用移動(dòng)認(rèn)證平臺(tái)后臺(tái)的簽名驗(yàn)證接口完成簽名驗(yàn)證操作，并將該證書(shū)所綁定的用戶(hù)信息返回給業(yè)務(wù)系統(tǒng)，由業(yè)務(wù)系統(tǒng)根據(jù)驗(yàn)證簽名結(jié)果進(jìn)行下一步操作。 本方案主要考慮在此環(huán)境下，對(duì)用戶(hù)數(shù)字證書(shū)提供一種跨平臺(tái)使用的解決方案。即使允許用戶(hù)導(dǎo)出，導(dǎo)出過(guò)程異常繁瑣，不具備可操作的意義。具體流程如下：. 移動(dòng)端APP數(shù)字簽名系統(tǒng)驗(yàn)證如果業(yè)務(wù)系統(tǒng)為基于移動(dòng)終端的APP應(yīng)用系統(tǒng)，則需要在業(yè)務(wù)系統(tǒng)APP和業(yè)務(wù)系統(tǒng)后臺(tái)進(jìn)行改造，首先在業(yè)務(wù)系統(tǒng)APP的登錄功能和關(guān)鍵業(yè)務(wù)功能增加調(diào)用移動(dòng)認(rèn)證平臺(tái)APP的接口，實(shí)現(xiàn)在業(yè)務(wù)系統(tǒng)的登錄和關(guān)鍵業(yè)務(wù)使用移動(dòng)終端的數(shù)字證書(shū)進(jìn)行簽名業(yè)務(wù)。 適用系統(tǒng)n OA系統(tǒng)；n 網(wǎng)上商城系統(tǒng)；n 其他任何需要手機(jī)APP與PC傳統(tǒng)環(huán)境均存在的應(yīng)用系統(tǒng)； 系統(tǒng)架構(gòu)本方案主要的解決方法是將手機(jī)作為一個(gè)USB KEY進(jìn)行使用。n 穩(wěn)定性 SSL加速設(shè)備提供能會(huì)話(huà)保持策略，保證每次會(huì)話(huà)指向固定應(yīng)用服務(wù)器n 安全性 通過(guò)雙向HTTPS協(xié)議認(rèn)證客戶(hù)端與服務(wù)端，通訊雙方的身份得到認(rèn)證，通訊內(nèi)容的私密性得到保障。n 與管理方式高度融合的特性：基于RADS 開(kāi)發(fā)組件定制開(kāi)發(fā)的RA 系統(tǒng)可實(shí)現(xiàn)與證書(shū)管理和用戶(hù)管理的高度融合。. 其他n 通過(guò)技術(shù)手段實(shí)現(xiàn)數(shù)據(jù)傳輸時(shí)的機(jī)密性；n 通過(guò)技術(shù)手段時(shí)間數(shù)據(jù)傳輸過(guò)程中的完整性；n 通過(guò)技術(shù)手段時(shí)間操作者對(duì)所做操作的抗抵賴(lài)性；. 系統(tǒng)概述國(guó)聯(lián)金融自建CA， RA應(yīng)用系統(tǒng)集成于國(guó)聯(lián)金融OA系統(tǒng)中，由OA系統(tǒng)的管理員來(lái)管理和操作數(shù)字證書(shū)的申請(qǐng)、更新和作廢，以及證書(shū)和日志查詢(xún)操作；同時(shí)，RA應(yīng)用系統(tǒng)提供OA系統(tǒng)用戶(hù)自主更新證書(shū)和關(guān)閉賬戶(hù)的接口，以完成用戶(hù)證書(shū)的更新和賬戶(hù)關(guān)閉的操作。n 可擴(kuò)展性 SSL設(shè)備上需支持部署多個(gè)ssl證書(shū)并接入多個(gè)域名,保證了不同客戶(hù)的不同SSL加密入口。3) 用戶(hù)完成請(qǐng)求后，訪(fǎng)問(wèn)至信安世紀(jì)NSAENB設(shè)備，實(shí)現(xiàn)SSL卸載：n 用戶(hù)可以采用單向SSL加密的手段，實(shí)現(xiàn)對(duì)銀行域名服務(wù)的校驗(yàn)。具備行為日志的記錄功能。4. APP應(yīng)用處理用戶(hù)提交保單信息，根據(jù)用戶(hù)信息生成原始的電子保單。另一方面，這些系統(tǒng)的使用者如使用數(shù)字證書(shū)，需要靈活、便利的管理方式，因此在這些系統(tǒng)中建議使用自檢CA系統(tǒng)進(jìn)行數(shù)字證書(shū)的頒發(fā)。既有安全級(jí)別較高的系統(tǒng)，如網(wǎng)上商城、電子保單、在線(xiàn)支付等系統(tǒng)，同時(shí)又有如同辦公人員所使用的OA系統(tǒng)、ERP系統(tǒng)等。5 方案12345 電子保單系統(tǒng)1.2.3.4.5... 方案架構(gòu)1.2.3.4.5.... 電子保單生成不帶簽