PKI建设方案Word格式文档下载.docx

PKI建设方案Word格式文档下载.docx

《PKI建设方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《PKI建设方案Word格式文档下载.docx（26页珍藏版）》请在冰豆网上搜索。

证书颁发系统：

主要实现数字证书全生命周期管理，有以下部分组成：

CA：

数字证书签发的核心，负责签发和管理所有的证书及证书废止列表（CRL）；

RA：

数字证书注册系统，所有用户通过RA系统完成注册后，向CA发送申请，获取证书；

KMC：

提供加密证书提供密钥对的产生、保存、恢复服务，防止使用者恶意加密文件所导致的文件无法访问；

OCSP：

提供标准的“在线证书状态协议”（OnlineCertificateStatusProtocol）应答服务，负责向请求者返回特定证书的状态，完成即时的证书状态查询功能。

LDAP：

公共信息存储；

RADS：

RADS是信安NetCert系统提供的开发软件包，RADS提供了C语言和Java语言接口的CA应用开发工具，能方便地嵌入到Java应用服务器中又能够支持其他采用C语言开发的应用系统，提供全部的证书管理功能

EEDS：

CAServer与最终用户之间的连接器（Connector），EEDS将处理CAServer与最终用户之间的证书自主管理请求与响应

NetCertEnroll：

CA系统的用户端的证书管理控件，NetcertEnroll控件通过web方式下载，并在浏览器中运行，与EEDS配合，实现更加安全的最终用户自主证书管理功能。

数字证书支撑平台：

通过数字证书颁发平台所颁发的数字证书，实现应用系统的数据机密性、完整性、抗抵赖性等。

常见包括：

SSL：

通过数字证书，完成通信加密，客户端与服务端的身份认证等；

VPN：

通过数字证书，完成通信加密，常用于创建虚拟局域网等功能；

数字签名：

通过数字证书，完成数据传输时的完整性，以及数据的康抵赖性；

动态密码：

通过算法，向客户端发送一次性口令，完成身份认证等操作。

3信安世纪与国密

目前，根据国家相关指导部门的意见，需要在金融行业内逐渐普及国密算法，例如在本年度7月30日，保监会即明确指出保险行业电子保单系统中，电子保单系统需支持国密算法。

信安世纪PKI全线产品均支持国密算法（可在国密局官网在线查询），并且信安世纪签名服务器曾获得发改委专项资金支持，同时在银行领域，2012年全国性国密改造试点的4个银行中，中国农业银行、民生银行、鹤壁银行均与信安世纪合作，采用信安世纪PKI产品，全线支持其国密改造试点工作。

同时，中国工商银行总行、中国建设银行总行、中国交通银行总行、中国平安银行的CA系统也选择信安世纪NetCert作为国密CA解决方案。

本文中所涉及的方案以及产品，均支持国密，故下述方案中不在具体说明支持国密。

4数字证书的选择

目前，根据国联人寿的计划，将自行部署一套CA系统，通过该CA系统为各个使用者颁发数字证书。

目前已规划在网上商城、OA系统、在线支付系统、电子保单系统使用PKI技术以增强其安全性。

建议国联人寿在类似于网上商城、OA系统这样只涉及甲乙双方关系的系统中使用自建CA系统进行数字证书的颁发，一方面，由于此类系统中，使用人数众多，采用第三方CA系统颁发数字证书，需要高昂的数字证书维护费用（第三方CA所颁发证书为租赁方式，需要按年计费）。

另一方面，这些系统的使用者如使用数字证书，需要灵活、便利的管理方式，因此在这些系统中建议使用自检CA系统进行数字证书的颁发。

对于在线支付系统，电子保单系统等，涉及到第三方的应用系统，建议采用第三方CA生成的数字证书。

在线支付以及电子保单系统，两个系统只需要向第三方CA颁申请两张表示国联人寿的企业证书即可。

5方案

1

2

3

4

5

5.1电子保单系统

1.

2.

3.

4.

5.

5.1.

5.1.1.方案架构

5.1.1.

5.1.1.1.电子保单生成

不带签名的原始电子保单由APP应用服务器生成，APP应用服务器将原始电子保单送到签名服务器进行数字签名，签名服务器根据APP应用服务器提供的参数及文件，选择数字证书进行数字签名，并重新生成与原始电子保单格式相同的带签名的电子保单，签名服务器将此文件返回给APP应用服务器。

APP应用开发，由应用开发人员根据保险公司电子保单的生成要求进行现场应用开发。

当用户购买并确认提交保单后，APP应用服务器将用户信息、险种信息、保险条款等按照定义的保单模板组合，调用文件生成API（HTML文件不需要生成API），生成指定格式的原始电子保单。

现阶段，原始的电子保单格式一般采用HTML、PDF格式，这两种格式是目前互联网和客户主机非常通用的格式文件，用户使用时不需要额外的软件安装和设置。

随着互联网的发展，会出现和使用更灵活的格式文件，APP应用服务器只要集成此文件格式的生成API，即可生成新格式的电子保单文件。

原始的电子保单送到签名服务器，签名服务器使用数字证书对保单进行数字签名，并重新生成与原始保单格式相同的带签名的电子保单，并可以根据API所送参数在电子保单中增加附加信息，例如增加本保险公司图章，PDF文件在指定位置显示验签结果信息等。

5.1.1.2.电子保单验证

用户下载带签名的电子保单后，可以在线或离线验证电子保单的数字签名。

HTML格式通过信安世纪提供的验签控件对电子签名进行验签，并直接提示用户验签结果；

PDF格式通过AdobeReader软件自带的验签功能验签，并直观地显示验签结果。

带签名的电子保单有任何改动，则验签不成功。

HTML格式直接提示用户验签不成功，且不会显示保单内容；

PDF格式文件改动后可能不能打开，即使能打开，也会提示用户文件有改动验签错误，并直观显示验签结果，例如验签成功则显示绿色√，失败则显示红色×

。

5.1.1.3.带数字签名电子保单生成流程

1.客户登陆公司网站，查看并选择险种。

2.所有客户的操作由WEB服务器送到APP应用服务器进行应用业务逻辑处理。

3.客户选择险种，并使用用户名、密码登陆，填写保单所需信息后，提交保单。

4.APP应用处理用户提交保单信息，根据用户信息生成原始的电子保单。

5.APP应用将原始的电子保单发送到签名服务器进行数字签名。

6.签名服务器完成原始电子保单数字签名后，将带签名的电子保单返给APP应用。

7.用户下载最终带数字签名的电子保单

8.用户本地保存带签名的电子保单。

用户可离线或在线验签电子保单，并根据验签结果显示保单内容。

5.1.2.系统平移

由于国联人寿目前已经采用了北京CA所提供的数字签名服务器完成电子保单的生成任务。

但计划中将建设一套PKI基础设施平台，该平台中既包括了信安世纪数字签名服务器系统。

如国联人寿计划使用信安世纪签名服务器对该平台进行替换，需完成以下两方面工作：

1>

将北京CA所提供的数字证书导出，移入信安世纪签名服务器平台（也可等待当前北京CA签名服务器中数字证书到期后，又信安世纪平台进行重新生成CSR请求即可，这样就无需导入当前证书）；

2>

重新部署API接口，使用信安世纪API接口替换北京CA接口，并调用信安世纪PDF签名方法即可。

5.1.3.方案优势

可支持用户在线或离线两种认证方式；

支持HTML和PDF两种方式的电子保单形式；

可根据需求定制电子图章，电子图章可直观的显示；

签名验签服务器可安全保存证书私钥；

可负载均衡或HA部署，实现系统高可用性；

每秒3000笔以上的高性能。

5.1.4.方案投入

产品名称

功能

数量

NetSign3300

签名/验签

3（2生产，1开发）

说明1：

上述报价并不包含国联人寿所需的从国内第三方CA（如北京CA）获取的标示国联人寿企业身份的数字签名证书价格。

说明2：

本方案中报价均按照每一个系统所使用的产品进行报价，实际上，信安世纪产品均支持多服务，即一套产品均可以为多个系统使用（在网络以及安全策略允许的前提下）。

如签名服务器，一套签名服务器即可为电子保单使用，也可为网上商城所使用。

5.2网上商城系统

5.2.

5.2.1.典型需求

6.

7.

7.1.

7.2.

7.2.1.

7.2.1.1.机密性

通信报文在网络中以密文形式传输，加密算法必须获得国密委的认同。

7.2.1.2.完整性

保证收到的数据与发送的数据完全一致。

7.2.1.3.有效性

通信报文不能被篡改或泄露

7.2.1.4.不可否认性

具备数字签名/验证签名功能，能为通信双方提供关键数据的不可否认性。

7.2.1.5.安全审计

能提供完善的审计功能，包括访问的时间、访问者身份、访问的资源、访问者的IP地址等信息。

具备行为日志的记录功能。

7.2.1.6.高可靠性和高稳定性

具备并发处理的能力。

具备抗网络攻击的能力。

采用多级权限管理，实现权限分割，确保数据的安全。

可以满足客户7*24不间断工作的需求。

5.2.2.实现方式

以B/S结构为基本应用框架

采用数字证书作为用户身份认证凭证

以数字证书为基础实现应用安全

以SSL实现加密传输和身份认证

以数字签名实现抗抵赖和防篡改

保证在互联网上通信数据安全

5.2.3.方案架构

5.2.4.功能分析

1）采用信安世纪NetCertCA系统为网上商城建立认证中心系统（CA），该系统可为网上银行用户签发数字证书。

2）数字证书的签发管理通过网上商城用户注册系统（RA）实现，RA系统以加密方式连接到CA系统，实现证书的申请、签发、作废、更新等操作。

3）考虑到用户的使用便利性以及成本，建议采用文件证书的方式。

4）对于入站的请求，采用信安世纪NetOpit-LT实现链路负载能力，以及基于用户所属ISP的智能DNS解析，实现链路高可靠性，乃至未来的全局负载能力。

5）信安世纪NSAE-NB作为网上商城系统的安全门户，NSAE实现与客户端IE浏览器的SSL加密通讯，并对用户数字证书进行验证。

并且NSAE与后台系统通过J2EE证书处理机制联动，NSAE验证过的证书信息可直接为后台应用系统利用，实现应用系统中对用户身份的确认。

6）在应用服务器区，考虑到应用服务器作为系统的关键资源节点，采用信安世纪NetOptiADN系统对服务器进行负载的同时，提高高可靠性。

7）信安世纪数字签名系统NetSign作为网上商城交易确认和事后审计的保证。

5.2.5.业务实现流程

1）客户根据需求使用浏览器访问网上商城不同业务的域名或服务。

2）用户产生DNS解析请求，最终会命中信安世纪NetOpti-NL设备，NetOpti-NL设备根据用户所属ISP，返回网上商城对应资源的公网IP地址，实现域名解析，快速入站的能力。

同时，实现多链路冗余。

3）用户完成请求后，访问至信安世纪NSAE-NB设备，实现SSL卸载：

用户可以采用单向SSL加密的手段，实现对银行域名服务的校验。

用户也可以采用双向SSL加密的手段，不但实现了对银行域名服务的校验、而且银行通过SSL加速设备还能校验客户端证书的有效性。

4）NSAE-NB设备为All-in-One设备，在本项目中