PKI建设方案研究报告.docxVIP

国联人寿PKI基础设施建设方案 版本 V 1.1 作者 张济美 日期 2015-08-20 北 京 信 安 世 纪 科 技 有 限 公 司 INFOSEC TECHNOLOGIES CO.,LTD目录 国联人寿PKI基础设施建设 1 1 概述 1 2 PKI技术 1 3 信安世纪与国密 2 4 数字证书的选择 3 5 方案 4 5.1 电子保单系统 4 5.1.1. 方案架构 4 5.1.2. 系统平移 5 5.1.3. 方案优势 6 5.1.4. 案例 6 5.2 网上商城系统 6 5.2.1. 典型需求 6 5.2.2. 实现方式 7 5.2.3. 方案架构 8 5.2.4. 功能分析 8 5.2.5. 业务实现流程 9 5.2.6. 方案优势 9 5.3 OA系统 10 5.3.1. 典型需求 11 5.3.2. 系统概述 11 5.3.3. 系统架构 12 5.3.4. 流程介绍 14 5.3.5. 方案优势 17 5.4 支付系统 17 5.4.1. 典型需求 17 5.4.2. 实现方式 18 5.4.3. 方案架构 18 5.4.4. 业务实现流程 18 5.4.5. 方案优势 19 6 基于移动终端的CA设计 20 6.1 概述 20 6.2 适用系统 20 6.3 系统架构 20 6.4 使用流程 21 6.4.1. PC端二维码登陆 21 6.4.2. 移动端APP数字签名系统验证 23 6.4.3. 动态密码认证 24 7 基于云CA的设计 26 7.1 概述 26 7.2 适用系统 26 7.3 系统架构 27 7.4 访问流程 27 1 概述 目前，国联人寿已经具有多套应用系统，通过不同的应用系统来完成不同的工作。既有安全级别较高的系统，如网上商城、电子保单、在线支付等系统，同时又有如同办公人员所使用的OA系统、ERP系统等。 国联人寿目前计划通过投资建设PKI体系，对目前各个业务系统进行改造，以提高各个业务的整体安全性。 2 PKI技术 PKI系统全称为公钥基础设施系统，按照类型可以分为两块，如下所示： 证书颁发系统：主要实现数字证书全生命周期管理，有以下部分组成： ? CA：数字证书签发的核心，负责签发和管理所有的证书及证书废止列表（CRL）； ? RA：数字证书注册系统，所有用户通过RA系统完成注册后，向CA发送申请，获取证书； ? KMC：提供加密证书提供密钥对的产生、保存、恢复服务，防止使用者恶意加密文件所导致的文件无法访问； ? OCSP：提供标准的“在线证书状态协议”（Online Certificate Status Protocol）应答服务，负责向请求者返回特定证书的状态，完成即时的证书状态查询功能。 ? LDAP：公共信息存储； ? RADS：RADS是信安NetCert 系统提供的开发软件包，RADS提供了C语言和Java语言接口的CA应用开发工具，能方便地嵌入到Java应用服务器中又能够支持其他采用C语言开发的应用系统，提供全部的证书管理功能 ? EEDS：CA Server与最终用户之间的连接器（Connector），EEDS将处理CA Server与最终用户之间的证书自主管理请求与响应 ? NetCertEnroll：CA 系统的用户端的证书管理控件，NetcertEnroll控件通过web方式下载，并在浏览器中运行，与EEDS配合，实现更加安全的最终用户自主证书管理功能。 数字证书支撑平台：通过数字证书颁发平台所颁发的数字证书，实现应用系统的数据机密性、完整性、抗抵赖性等。常见包括： ? SSL：通过数字证书，完成通信加密，客户端与服务端的身份认证等； ? VPN：通过数字证书，完成通信加密，常用于创建虚拟局域网等功能； ? 数字签名：通过数字证书，完成数据传输时的完整性，以及数据的康抵赖性； ? 动态密码：通过算法，向客户端发送一次性口令，完成身份认证等操作。 3 信安世纪与国密 目前，根据国家相关指导部门的意见，需要在金融行业内逐渐普及国密算法，例如在本年度7月30日，保监会即明确指出保险行业电子保单系统中，电子保单系统需支持国密算法。 信安世纪PKI全线产品均支持国密算法（可在国密局官网在线查询），并且信安世纪签名服务器曾获得发改委专项资金支持，同时在银行领域，2012年全国性国密改造试点的4个银行中，中国农业银行、民生银行、鹤壁银行均与信安世纪合作，采用信安世纪PKI产品，全线支持其国密改造试点工作。 同时，中国工商银行总行、中国建设银行总行、中国交通银行总行、中国平安银行的CA系统也选择信安世纪NetCert作为国密CA解决方案。 本文中所涉及的方案以及产品，均支持国密，故下述方案中不在具体说明支持国密。 4 数字证书的选择 目前，根据国联人寿的计划，