PKI建设方案分析和总结.docxVIP

国联人寿 PKI 基础设施建设方案 版本 版本 V 作者 张济美 日期 2015-08-20 北 京 信 安 世 纪 科 技 有 限 公 司 INFOSEC TECHNOLOGIES CO.,LTD 目录 国联人寿PKI 基础设施建设 错误!未定义书签。 概述 错误!未定义书签。 PKI 技术 错误!未定义书签。 信安世纪与国密 错误!未定义书签。 数字证书的选择 错误!未定义书签。 方案 错误!未定义书签。 电子保单系统 错误!未定义书签。 方案架构 错误!未定义书签。 系统平移 错误!未定义书签。 方案优势 错误!未定义书签。 案例 错误!未定义书签。 网上商城系统 错误!未定义书签。 典型需求 错误!未定义书签。 实现方式 错误!未定义书签。 方案架构 错误!未定义书签。 功能分析 错误!未定义书签。 业务实现流程 错误!未定义书签。 方案优势 错误!未定义书签。 OA 系统 错误!未定义书签。 典型需求 错误!未定义书签。 系统概述 错误!未定义书签。 系统架构 错误!未定义书签。 流程介绍 错误!未定义书签。 方案优势 错误!未定义书签。 支付系统 错误!未定义书签。 典型需求 错误!未定义书签。 实现方式 错误!未定义书签。 方案架构 错误!未定义书签。 业务实现流程 错误!未定义书签。 方案优势 错误!未定义书签。 基于移动终端的CA 设计 错误!未定义书签。 概述 错误!未定义书签。 适用系统 错误!未定义书签。 系统架构 错误!未定义书签。 使用流程 错误!未定义书签。 PC 端二维码登陆 错误!未定义书签。 移动端 APP 数字签名系统验证 错误!未定义书签。 动态密码认证 错误!未定义书签。 基于云CA 的设计 错误!未定义书签。 概述 错误!未定义书签。 适用系统 错误!未定义书签。 系统架构 错误!未定义书签。 访问流程 错误!未定义书签。 概述 目前，国联人寿已经具有多套应用系统，通过不同的应用系统来完成不同的工作。既有安全级别较高的系统，如网上商城、电子保单、在线支付等系统，同时又有如同办公人员所使用的OA 系统、ERP 系统等。 国联人寿目前计划通过投资建设PKI 体系，对目前各个业务系统进行改造，以提高各个业务的整体安全性。 PKI 技术 PKI 系统全称为公钥基础设施系统，按照类型可以分为两块，如下所示： PKI PKI 基础设施 数字证书全生命周期管理平台CA RA KMC LDAP OCSP PKI 应用支撑 SSL VPN(SSL/IPSEC) 数字签名系统动态密码系统客户端介质USB KEY 证书颁发系统：主要实现数字证书全生命周期管理，有以下部分组成： CA：数字证书签发的核心，负责签发和管理所有的证书及证书废止列表（CRL）； RA：数字证书注册系统，所有用户通过RA 系统完成注册后，向CA 发送申请， 获取证书； KMC：提供加密证书提供密钥对的产生、保存、恢复服务，防止使用者恶意加 密文件所导致的文件无法访问； OCSP ： 提供标准的“ 在线证书状态协议”（ Online Certificate Status Protocol）应答服务，负责向请求者返回特定证书的状态，完成即时的证书状态查询功能。 LDAP：公共信息存储； RADS：RADS 是信安NetCert 系统提供的开发软件包，RADS 提供了C 语言和Java语言接口的CA 应用开发工具，能方便地嵌入到 Java 应用服务器中又能够支持其他采用C 语言开发的应用系统，提供全部的证书管理功能 EEDS：CA Server 与最终用户之间的连接器（Connector），EEDS 将处理CA Server与最终用户之间的证书自主管理请求与响应 NetCertEnroll：CA 系统的用户端的证书管理控件，NetcertEnroll 控件通过web 方式下载，并在浏览器中运行，与 EEDS 配合，实现更加安全的最终用户自主证书管理功能。 数字证书支撑平台：通过数字证书颁发平台所颁发的数字证书，实现应用系统的数据机密性、完整性、抗抵赖性等。常见包括： SSL：通过数字证书，完成通信加密，客户端与服务端的身份认证等； VPN：通过数字证书，完成通信加密，常用于创建虚拟局域网等功能； 数字签名：通过数字证书，完成数据传输时的完整性，以及数据的康抵赖性； 动态密码：通过算法，向客户端发送一次性口令，完成身份认证等操作。 信安世纪与国密 目前，根据国家相关指导部门的意见，需要在金融行业内逐渐普及国密算法，例如在本 年度 7 月 30 日，保监会即明确指出保险行业电子保单系统中，电子保单系统需支持国密算 法。 信安世纪 PKI 全线产品均支持国密算法（可在国密局官网在线查询），并且信安世纪签名服务器曾获得发改委专项资金支持，同时