【正文】 名系統(tǒng)提交后臺(tái)，由業(yè)務(wù)系統(tǒng)后臺(tái)調(diào)用移動(dòng)認(rèn)證平臺(tái)后臺(tái)的簽名驗(yàn)證接口完成簽名驗(yàn)證操作，并將該證書所綁定的用戶信息返回給業(yè)務(wù)系統(tǒng)，由業(yè)務(wù)系統(tǒng)根據(jù)驗(yàn)證簽名結(jié)果進(jìn)行下一步操作。. 動(dòng)態(tài)密碼認(rèn)證 在一個(gè)系統(tǒng)中，如果涉及到安全等級(jí)要求不同的客戶，則對(duì)于低安全需求的客戶，則可采用動(dòng)態(tài)密碼認(rèn)證的方式。例如在網(wǎng)銀系統(tǒng)中，同時(shí)存在動(dòng)態(tài)密碼與數(shù)字證書兩種認(rèn)證方式，通常情況下，動(dòng)態(tài)密碼認(rèn)證強(qiáng)度較低，但使用靈活，往往作為數(shù)字證書的補(bǔ)充。 如果業(yè)務(wù)系統(tǒng)為基于移動(dòng)終端的APP應(yīng)用系統(tǒng)，則需要在業(yè)務(wù)系統(tǒng)APP和業(yè)務(wù)系統(tǒng)后臺(tái)進(jìn)行改造，首先在業(yè)務(wù)系統(tǒng)APP的登錄功能和關(guān)鍵業(yè)務(wù)功能增加調(diào)用移動(dòng)認(rèn)證平臺(tái)APP的接口，實(shí)現(xiàn)在業(yè)務(wù)系統(tǒng)的登錄和關(guān)鍵業(yè)務(wù)使用移動(dòng)終端的動(dòng)態(tài)口令認(rèn)證。動(dòng)態(tài)口令認(rèn)證分為基于時(shí)間動(dòng)態(tài)口令和基于挑戰(zhàn)的動(dòng)態(tài)口令（高級(jí)令牌），同時(shí)在業(yè)務(wù)系統(tǒng)后臺(tái)調(diào)用移動(dòng)認(rèn)證平臺(tái)的動(dòng)態(tài)口令驗(yàn)證接口。在業(yè)務(wù)系統(tǒng)登錄或者在關(guān)鍵交易中彈出移動(dòng)認(rèn)證平臺(tái)APP的（另一種實(shí)現(xiàn)方式為不彈界面直接返回動(dòng)態(tài)口令+證書信息），并將動(dòng)態(tài)口令返回業(yè)務(wù)系統(tǒng)APP，業(yè)務(wù)系統(tǒng)APP將動(dòng)態(tài)口令+證書信息提交后臺(tái)，由業(yè)務(wù)系統(tǒng)后臺(tái)調(diào)用移動(dòng)認(rèn)證平臺(tái)后臺(tái)的動(dòng)態(tài)口令驗(yàn)證接口完成驗(yàn)證操作，并將該證書所綁定的用戶信息返回給業(yè)務(wù)系統(tǒng)，由業(yè)務(wù)系統(tǒng)根據(jù)驗(yàn)證簽名結(jié)果進(jìn)行下一步操作。 方案優(yōu)勢(shì)便利性：解決傳統(tǒng)移動(dòng)終端無法使用數(shù)字證書的問題；同時(shí)用戶無需攜帶任何硬件的USB KEY，只需攜帶手機(jī)，即可完成關(guān)于數(shù)字證書的操作。易使用：用戶只需點(diǎn)擊APP，填入個(gè)人信息，即可完成數(shù)字證書的申請(qǐng)。即無需像傳統(tǒng)PC機(jī)安裝USB KEY驅(qū)動(dòng)一樣，需要安裝各種版本的驅(qū)動(dòng)，也不需要通過先將證書下載至PC上，在通過軟件將證書導(dǎo)入至手機(jī)中；安全性：信安世紀(jì)移動(dòng)認(rèn)證APP，通過邏輯隔離的方式，使數(shù)字證書在手機(jī)中加密存儲(chǔ)，并且只允許授信的app應(yīng)用訪問，將手機(jī)形成一個(gè)虛擬USB KEY，同時(shí)證書存儲(chǔ)時(shí)綁定硬件信息，即使導(dǎo)出也無法使用；使用范圍全面：該系統(tǒng)即支持動(dòng)態(tài)密碼驗(yàn)證方式，也支持?jǐn)?shù)字證書的驗(yàn)證方式，適用于各種不用安全強(qiáng)度的系統(tǒng)使用；集成便利：基于移動(dòng)終端的CA系統(tǒng)提供了手機(jī)app，應(yīng)用系統(tǒng)可將其app嵌入至自身的app中，對(duì)用戶提供一個(gè)完整功能的APP，同時(shí)服務(wù)端只需統(tǒng)一調(diào)用信安世紀(jì)移動(dòng)認(rèn)證服務(wù)器，移動(dòng)認(rèn)證服務(wù)器以集成完成信安世紀(jì)動(dòng)態(tài)密碼接口以及簽名服務(wù)器接口，由移動(dòng)認(rèn)證服務(wù)器具體完成驗(yàn)證動(dòng)態(tài)密碼以及驗(yàn)證簽名功能。 方案投入產(chǎn)品名稱功能數(shù)量?jī)r(jià)格說明NetOpti2200NL鏈路負(fù)載2NSAE2500NBSSL+服務(wù)器負(fù)載3（2生產(chǎn)，1開發(fā)）移動(dòng)終端APP (ios)移動(dòng)終端APP，用于證書管理、客戶端簽名、動(dòng)態(tài)密碼生成等移動(dòng)終端APP（安卓）移動(dòng)終端APP，用于證書管理、客戶端簽名、動(dòng)態(tài)密碼生成等PC客戶端簽名控件Chrom客戶端簽名標(biāo)準(zhǔn)版僅支持IEPC客戶端簽名控件FireFox客戶端簽名標(biāo)準(zhǔn)版僅支持IE移動(dòng)認(rèn)證平臺(tái)與應(yīng)用對(duì)接，完成調(diào)用簽名服務(wù)器與動(dòng)態(tài)密碼服務(wù)器，以及用戶狀態(tài)邏輯判斷等3（2生產(chǎn)，1 開發(fā)）NetSign3300簽名服務(wù)器，實(shí)際完成驗(yàn)簽操作3（2生產(chǎn)，1開發(fā)）NetPass1000動(dòng)態(tài)密碼服務(wù)器，實(shí)際完成動(dòng)態(tài)密碼驗(yàn)證操作3（2生產(chǎn)，1開發(fā)）NetCert（含CA/移動(dòng)RA/LDAP/RADS/EEDS）數(shù)字證書全生命周期管理平臺(tái)1說明1：上述報(bào)價(jià)并不包含國聯(lián)人壽所需的國際第三方證書（如Versign）價(jià)格，需國聯(lián)人壽自行提供第三方的SSL服務(wù)器站點(diǎn)證書。說明2：本方案中報(bào)價(jià)均按照每一個(gè)系統(tǒng)所使用的產(chǎn)品進(jìn)行報(bào)價(jià)，實(shí)際上，信安世紀(jì)產(chǎn)品均支持多服務(wù)，即一套產(chǎn)品均可以為多個(gè)系統(tǒng)使用(在網(wǎng)絡(luò)以及安全策略允許的前提下)。如簽名服務(wù)器，一套簽名服務(wù)器即可為電子保單使用，也可為網(wǎng)上商城所使用。7 基于云CA的設(shè)計(jì)7 概述 伴隨著PC與智能終端的普及，使用者往往擁有多個(gè)終端系統(tǒng)，并且在多個(gè)終端系統(tǒng)上訪問應(yīng)用。對(duì)于數(shù)字證書而言，采用軟證書往往只能下載至該用戶當(dāng)前平臺(tái)上，并且處于安全性考慮，通常不讓用戶導(dǎo)出。即使允許用戶導(dǎo)出，導(dǎo)出過程異常繁瑣，不具備可操作的意義。對(duì)于傳統(tǒng)的解決方案，則是讓用戶申請(qǐng)多張不同的證書，以滿足在不同平臺(tái)上使用的情況，但是在這種情況下，用戶賬號(hào)對(duì)于數(shù)字證書的綁定關(guān)系又較為繁瑣，同時(shí)，一個(gè)用戶在不同平臺(tái)上均擁有證書，也很可能造成證書失竊等結(jié)果。 本方案主要考慮在此環(huán)境下，對(duì)用戶數(shù)字證書提供一種跨平臺(tái)使用的解決方案。1234567 適用系統(tǒng)n OA系統(tǒng)；n 網(wǎng)上商城系統(tǒng)；n 其他任何需要移動(dòng)終端、PC端等需要多終端訪問的應(yīng)用系統(tǒng) 系統(tǒng)架構(gòu)n 客戶端：可以是移動(dòng)客戶端，也可以是PC客戶端。移動(dòng)客戶端通過信安世紀(jì)客戶端安全組件申請(qǐng)證書，如果是PC客戶端，則通過信安世紀(jì)Enroll控件申請(qǐng)證書；n 數(shù)字簽名服務(wù)器：生成客戶端P10請(qǐng)求，并且在實(shí)際業(yè)務(wù)中完成驗(yàn)簽操作；n CA系統(tǒng)：簽發(fā)證書以及基于數(shù)字證書的全生命周期管理；n 動(dòng)態(tài)密碼系統(tǒng)：首次注冊(cè)時(shí)，用于驗(yàn)證客戶端賬號(hào)與手機(jī)綁定關(guān)系； 訪問流程7...... 證書注冊(cè)1 用戶首次注冊(cè)時(shí)，如果通過手機(jī)端，則使用信安世紀(jì)移動(dòng)端安全組件，如果為PC端，則使用客戶端證書組件；2 首次請(qǐng)求發(fā)送至應(yīng)用，應(yīng)用調(diào)用信安世紀(jì)動(dòng)態(tài)密碼服務(wù)器接口，將動(dòng)態(tài)密碼發(fā)送至客戶手機(jī)；3 用戶填入一次性動(dòng)態(tài)密碼，并提交至應(yīng)用，應(yīng)用調(diào)用信安世紀(jì)動(dòng)態(tài)密碼服務(wù)器完成驗(yàn)證，驗(yàn)證通過后，則返回用戶注冊(cè)用戶證書的頁面；4 用戶在頁面中完成個(gè)人身份信息的填寫，設(shè)定證書所使用的密碼，并發(fā)送至應(yīng)用；5 應(yīng)用調(diào)用信安世紀(jì)簽名服務(wù)器，對(duì)用戶設(shè)定的密碼進(jìn)行加密，同時(shí)生成P10請(qǐng)求，并且將該請(qǐng)求發(fā)送至CA系統(tǒng)；6 CA系統(tǒng)簽發(fā)該證書，并且返回經(jīng)簽名的完整信息；7 簽名服務(wù)器收到CA返回的證書，拼湊成完整的證書；8 簽名服務(wù)器將該證書返回給應(yīng)用，并且由應(yīng)用存儲(chǔ)在數(shù)據(jù)庫中； 9 簽名服務(wù)器刪除該用戶的公私密鑰對(duì)；10 證書在服務(wù)端簽發(fā)完成；. 證書使用流程 當(dāng)用戶在訪問應(yīng)用系統(tǒng)時(shí)（對(duì)于一個(gè)高安全級(jí)別的系統(tǒng)在此時(shí)需要通過SSL進(jìn)行加密，可采用信安世紀(jì)NSAENB型號(hào)設(shè)備，一方面構(gòu)建安全隧道，另一方面對(duì)應(yīng)用進(jìn)行負(fù)載，此處不在贅述），當(dāng)需要進(jìn)行數(shù)字簽名時(shí)（登陸以及購買保險(xiǎn)產(chǎn)品時(shí)），觸發(fā)數(shù)字簽名請(qǐng)求：1 應(yīng)用接收到該用戶的數(shù)字簽名請(qǐng)求，并且提示用戶輸入其證書的密碼；2 通過該用戶ID，從數(shù)據(jù)庫中找到該用戶對(duì)應(yīng)的數(shù)字證書，將該證書與用戶輸入的密碼，以及需要簽名的信息發(fā)送給簽名服務(wù)器；3 簽名服務(wù)器驗(yàn)證用戶送上來的密碼以及與該證書生成時(shí)的密碼是否匹配，如果匹配，則對(duì)需要簽名的信息，使用該證書進(jìn)行簽名；4 簽名完成后，將簽名值返回給應(yīng)用；5 為驗(yàn)證該簽名有效，應(yīng)用重新觸發(fā)驗(yàn)簽操作，將簽名值、原文、公鑰信息傳遞給簽名服務(wù)器，簽名服務(wù)器完成驗(yàn)簽，并通知應(yīng)用；6 應(yīng)用收到后，完成后續(xù)處理（允許用戶登陸或觸發(fā)購買保險(xiǎn)產(chǎn)品的扣款指令）。 方案優(yōu)勢(shì)易用性高：相對(duì)于使用硬件USB KEY而言，需要用戶在PC環(huán)境下插入U(xiǎn)SB KEY，安裝驅(qū)動(dòng)、下載用戶證書等繁瑣操作，云CA設(shè)計(jì)下的用戶證書申請(qǐng)流程即為便利?？缙脚_(tái)：在多平臺(tái)與跨平臺(tái)的環(huán)境下，用戶往往需要申請(qǐng)多張證書，對(duì)于用戶而言比較繁瑣，對(duì)于國聯(lián)人壽而言，需要完成用戶多證書的管理，較為不便。使用云CA設(shè)計(jì)下的數(shù)字證書系統(tǒng)，用戶在任意多個(gè)平臺(tái)下，只擁有一張證書，無任何平臺(tái)限制，使用便利；安全性：用戶使用證書的口令加密存儲(chǔ)，并且只在云平臺(tái)上存儲(chǔ)，不在客戶端保留，避免客戶端漏洞或個(gè)人保管不善所造成的個(gè)人密鑰泄露風(fēng)險(xiǎn)。