国联人寿PKI基础设施建设方案
版本 作者 日期 V 张济美 2015-08-20
北 京 信 安 世 纪 科 技 有 限 公 司
INFOSEC TECHNOLOGIES CO.,LTD
目录
国联人寿PKI基础设施建设 ..................................... 错误!未定义书签。 1 概述..................................................... 错误!未定义书签。 2 PKI技术 ................................................. 错误!未定义书签。 3 信安世纪与国密 ........................................... 错误!未定义书签。 4 数字证书的选择 ........................................... 错误!未定义书签。 5 方案..................................................... 错误!未定义书签。
电子保单系统 ....................................... 错误!未定义书签。
方案架构 ...................................... 错误!未定义书签。 系统平移 ...................................... 错误!未定义书签。 方案优势 ...................................... 错误!未定义书签。 案例 .......................................... 错误!未定义书签。
网上商城系统 ....................................... 错误!未定义书签。
典型需求 ...................................... 错误!未定义书签。 实现方式 ...................................... 错误!未定义书签。 方案架构 ...................................... 错误!未定义书签。 功能分析 ...................................... 错误!未定义书签。 业务实现流程 .................................. 错误!未定义书签。 方案优势 ...................................... 错误!未定义书签。
OA系统 ............................................ 错误!未定义书签。
典型需求 ...................................... 错误!未定义书签。 系统概述 ...................................... 错误!未定义书签。 系统架构 ...................................... 错误!未定义书签。 流程介绍 ...................................... 错误!未定义书签。
方案优势 ...................................... 错误!未定义书签。
支付系统 ........................................... 错误!未定义书签。
典型需求 ...................................... 错误!未定义书签。 实现方式 ...................................... 错误!未定义书签。 方案架构 ...................................... 错误!未定义书签。 业务实现流程 .................................. 错误!未定义书签。 方案优势 ...................................... 错误!未定义书签。
6 基于移动终端的CA设计 .................................... 错误!未定义书签。
概述 ............................................... 错误!未定义书签。 适用系统 ........................................... 错误!未定义书签。 系统架构 ........................................... 错误!未定义书签。 使用流程 ........................................... 错误!未定义书签。
PC端二维码登陆 ............................... 错误!未定义书签。 移动端APP数字签名系统验证 .................... 错误!未定义书签。 动态密码认证 .................................. 错误!未定义书签。
7 基于云CA的设计 .......................................... 错误!未定义书签。
概述 ............................................... 错误!未定义书签。 适用系统 ........................................... 错误!未定义书签。 系统架构 ........................................... 错误!未定义书签。 访问流程 ........................................... 错误!未定义书签。
1 概述
目前,国联人寿已经具有多套应用系统,通过不同的应用系统来完成不同的工作。既有安全级别较高的系统,如网上商城、电子保单、在线支付等系统,同时又有如同办公人员所使用的OA系统、ERP系统等。
国联人寿目前计划通过投资建设PKI体系,对目前各个业务系统进行改造,以提高各个业务的整体安全性。
2 PKI技术
PKI系统全称为公钥基础设施系统,按照类型可以分为两块,如下所示:
PKI PKI基础设施 数字证书全生命周期管理平台 CA RA KMC LDAP OCSP PKI应用支撑 SSL VPN(SSL/IPSEC) 数字签名系统 动态密码系统 客户端介质 USB KEY 证书颁发系统:主要实现数字证书全生命周期管理,有以下部分组成:
CA:数字证书签发的核心,负责签发和管理所有的证书及证书废止列表(CRL); RA:数字证书注册系统,所有用户通过RA系统完成注册后,向CA发送申请,获取证书;
KMC:提供加密证书提供密钥对的产生、保存、恢复服务,防止使用者恶意加
密文件所导致的文件无法访问;
OCSP:提供标准的“在线证书状态协议”(Online Certificate Status Protocol)应答服务,负责向请求者返回特定证书的状态,完成即时的证书状态查询功能。 LDAP:公共信息存储;
RADS:RADS是信安NetCert 系统提供的开发软件包,RADS提供了C语言和Java语言接口的CA应用开发工具,能方便地嵌入到Java应用服务器中又能够支持其他采用C语言开发的应用系统,提供全部的证书管理功能
EEDS:CA Server与最终用户之间的连接器(Connector),EEDS将处理CA Server与最终用户之间的证书自主管理请求与响应
NetCertEnroll:CA 系统的用户端的证书管理控件,NetcertEnroll控件通过web方式下载,并在浏览器中运行,与EEDS配合,实现更加安全的最终用户自主证书管理功能。
数字证书支撑平台:通过数字证书颁发平台所颁发的数字证书,实现应用系统的数据机密性、完整性、抗抵赖性等。常见包括:
SSL:通过数字证书,完成通信加密,客户端与服务端的身份认证等; VPN:通过数字证书,完成通信加密,常用于创建虚拟局域网等功能; 数字签名:通过数字证书,完成数据传输时的完整性,以及数据的康抵赖性; 动态密码:通过算法,向客户端发送一次性口令,完成身份认证等操作。
3 信安世纪与国密
目前,根据国家相关指导部门的意见,需要在金融行业内逐渐普及国密算法,例如在本年度7月30日,保监会即明确指出保险行业电子保单系统中,电子保单系统需支持国密算
法。
信安世纪PKI全线产品均支持国密算法(可在国密局官网在线查询),并且信安世纪签名服务器曾获得发改委专项资金支持,同时在银行领域,2012年全国性国密改造试点的4个银行中,中国农业银行、民生银行、鹤壁银行均与信安世纪合作,采用信安世纪PKI产品,全线支持其国密改造试点工作。
同时,中国工商银行总行、中国建设银行总行、中国交通银行总行、中国平安银行的CA系统也选择信安世纪NetCert作为国密CA解决方案。
本文中所涉及的方案以及产品,均支持国密,故下述方案中不在具体说明支持国密。
4 数字证书的选择
目前,根据国联人寿的计划,将自行部署一套CA系统,通过该CA系统为各个使用者颁发数字证书。目前已规划在网上商城、OA系统、在线支付系统、电子保单系统使用PKI技术以增强其安全性。
建议国联人寿在类似于网上商城、OA系统这样只涉及甲乙双方关系的系统中使用自建CA系统进行数字证书的颁发,一方面,由于此类系统中,使用人数众多,采用第三方CA系统颁发数字证书,需要高昂的数字证书维护费用(第三方CA所颁发证书为租赁方式,需要按年计费)。另一方面,这些系统的使用者如使用数字证书,需要灵活、便利的管理方式,因此在这些系统中建议使用自检CA系统进行数字证书的颁发。
对于在线支付系统,电子保单系统等,涉及到第三方的应用系统,建议采用第三方CA生成的数字证书。在线支付以及电子保单系统,两个系统只需要向第三方CA颁申请两张表示国联人寿的企业证书即可。
5 方案
5.1 电子保单系统
5.1.1. 方案架构
5.1.1.1. 电子保单生成
不带签名的原始电子保单由APP应用服务器生成,APP应用服务器将原始电子保单送到签名服务器进行数字签名,签名服务器根据APP应用服务器提供的参数及文件,选择数字证书进行数字签名,并重新生成与原始电子保单格式相同的带签名的电子保单,签名服务器将此文件返回给APP应用服务器。
APP应用开发,由应用开发人员根据保险公司电子保单的生成要求进行现场应用开发。当用户购买并确认提交保单后,APP应用服务器将用户信息、险种信息、保险条款等按照定义的保单模板组合,调用文件生成API(HTML文件不需要生成API),生成指定格式的原始电子保单。
现阶段,原始的电子保单格式一般采用HTML、PDF格式,这两种格式是目前互联网和客户主机非常通用的格式文件,用户使用时不需要额外的软件安装和设置。随着互联网的发展,会出现和使用更灵活的格式文件,APP应用服务器只要集成此文件格式的生成API,即可生成新格式的电子保单文件。
原始的电子保单送到签名服务器,签名服务器使用数字证书对保单进行数字签名,并重新生成与原始保单格式相同的带签名的电子保单,并可以根据API所送参数在电子保单中增加附加信息,例如增加本保险公司图章,PDF文件在指定位置显示验签结果信息等。
5.1.1.2. 电子保单验证
用户下载带签名的电子保单后,可以在线或离线验证电子保单的数字签名。HTML格式
通过信安世纪提供的验签控件对电子签名进行验签,并直接提示用户验签结果;PDF格式通过Adobe Reader软件自带的验签功能验签,并直观地显示验签结果。
带签名的电子保单有任何改动,则验签不成功。HTML格式直接提示用户验签不成功,且不会显示保单内容;PDF格式文件改动后可能不能打开,即使能打开,也会提示用户文件有改动验签错误,并直观显示验签结果,例如验签成功则显示绿色√,失败则显示红色×。
5.1.1.3. 带数字签名电子保单生成流程
1. 客户登陆公司网站,查看并选择险种。
2. 所有客户的操作由WEB服务器送到APP应用服务器进行应用业务逻辑处理。 3. 客户选择险种,并使用用户名、密码登陆,填写保单所需信息后,提交保单。 4. APP应用处理用户提交保单信息,根据用户信息生成原始的电子保单。 5. APP应用将原始的电子保单发送到签名服务器进行数字签名。
6. 签名服务器完成原始电子保单数字签名后,将带签名的电子保单返给APP应用。 7. 用户下载最终带数字签名的电子保单 8. 用户本地保存带签名的电子保单。
用户可离线或在线验签电子保单,并根据验签结果显示保单内容。
5.1.2. 系统平移
由于国联人寿目前已经采用了北京CA所提供的数字签名服务器完成电子保单的生成任
务。但计划中将建设一套PKI基础设施平台,该平台中既包括了信安世纪数字签名服务器系统。如国联人寿计划使用信安世纪签名服务器对该平台进行替换,需完成以下两方面工作: 1> 将北京CA所提供的数字证书导出,移入信安世纪签名服务器平台(也可等待当前北京
CA签名服务器中数字证书到期后,又信安世纪平台进行重新生成CSR请求即可,这样就无需导入当前证书);
2> 重新部署API接口,使用信安世纪API接口替换北京CA接口,并调用信安世纪PDF签
名方法即可。
5.1.3. 方案优势
可支持用户在线或离线两种认证方式; 支持HTML和PDF两种方式的电子保单形式; 可根据需求定制电子图章,电子图章可直观的显示; 签名验签服务器可安全保存证书私钥; 可负载均衡或HA部署,实现系统高可用性; 每秒3000笔以上的高性能。
5.1.4. 方案投入
产品名称 NetSign3300 功能 签名/验签 数量 3(2生产,1开发) 说明1:上述报价并不包含国联人寿所需的从国内第三方CA(如北京CA)获取的标示国联人寿企业身份的数字签名证书价格。
说明2:本方案中报价均按照每一个系统所使用的产品进行报价,实际上,信安世纪产品均支持多服务,即一套产品均可以为多个系统使用(在网络以及安全策略允许的前提下)。如签名服务器,一套签名服务器即可为电子保单使用,也可为网上商城所使用。
5.2 网上商城系统
5.2.1. 典型需求
7.2.1.1. 机密性
通信报文在网络中以密文形式传输,加密算法必须获得国密委的认同。
7.2.1.2. 完整性
保证收到的数据与发送的数据完全一致。
7.2.1.3. 有效性
通信报文不能被篡改或泄露
7.2.1.4. 不可否认性
具备数字签名/验证签名功能,能为通信双方提供关键数据的不可否认性。
7.2.1.5. 安全审计
能提供完善的审计功能,包括访问的时间、访问者身份、访问的资源、访问者的IP地址等信息。具备行为日志的记录功能。
7.2.1.6. 高可靠性和高稳定性
具备并发处理的能力。 具备抗网络攻击的能力。
采用多级权限管理,实现权限分割,确保数据的安全。 可以满足客户7*24不间断工作的需求。
5.2.2. 实现方式
以B/S结构为基本应用框架
采用数字证书作为用户身份认证凭证 以数字证书为基础实现应用安全 以SSL实现加密传输和身份认证 以数字签名实现抗抵赖和防篡改 保证在互联网上通信数据安全
5.2.3. 方案架构
保险应用服务器NetOpti服务器负载均衡浏览器手机短信防火墙联通电信NSAE防火墙NetSignNetOpti链路负载均衡移动CRLLDAP服务器CA
5.2.4. 功能分析
1) 采用信安世纪NetCertCA系统为网上商城建立认证中心系统(CA),该系统可为网上银
行用户签发数字证书。
2) 数字证书的签发管理通过网上商城用户注册系统(RA)实现,RA系统以加密方式连接
到CA系统,实现证书的申请、签发、作废、更新等操作。 3) 考虑到用户的使用便利性以及成本,建议采用文件证书的方式。
CRLCRL4) 对于入站的请求,采用信安世纪NetOpit-LT实现链路负载能力,以及基于用户所属ISP
的智能DNS解析,实现链路高可靠性,乃至未来的全局负载能力。
5) 信安世纪NSAE-NB作为网上商城系统的安全门户,NSAE实现与客户端IE浏览器的SSL
加密通讯,并对用户数字证书进行验证。并且NSAE与后台系统通过J2EE证书处理机制联动,NSAE验证过的证书信息可直接为后台应用系统利用,实现应用系统中对用户身份的确认。
6) 在应用服务器区,考虑到应用服务器作为系统的关键资源节点,采用信安世纪NetOpti
ADN系统对服务器进行负载的同时,提高高可靠性。
7) 信安世纪数字签名系统NetSign作为网上商城交易确认和事后审计的保证。
5.2.5. 业务实现流程
1) 客户根据需求使用浏览器访问网上商城不同业务的域名或服务。
2) 用户产生DNS解析请求,最终会命中信安世纪NetOpti-NL设备,NetOpti-NL设备根据
用户所属ISP,返回网上商城对应资源的公网IP地址,实现域名解析,快速入站的能力。同时,实现多链路冗余。
3) 用户完成请求后,访问至信安世纪NSAE-NB设备,实现SSL卸载:
用户可以采用单向SSL加密的手段,实现对银行域名服务的校验。
用户也可以采用双向SSL加密的手段,不但实现了对银行域名服务的校验、而且银行通过SSL加速设备还能校验客户端证书的有效性。
4) NSAE-NB设备为All-in-One设备,在本项目中同时提供SSL与负载均衡功能,SSL加速
设备通过对SSL的数据分析之后,将访问流量发送给负载均衡模块,负载均衡模块按照不同的应用类型(服务端口)或者访问路径(URL)等信息,并且根据不同的算法,将流量智能的分配到不同的后台Web服务器上,由Web服务器响应静态资源的请求,并将动态资源的请求转发到后台APP负载均衡设备上。
5) APP负载均衡设备根据预定的算法将相应的请求命中至指定的APP服务器。同时,实施
对服务器进行健康检查,当探测到任何一个服务器出现异常时,则在毫秒级时间片内将后续流量引导至正常工作的服务器上,确保其应用故障不影响使用者,从而隔离故障域。 6) 在一些涉及到用户资金的交易过程中,客户需要通过ActiveX控件将交易的信息进行数
字签名,并将这些签名信息通过SSL加密隧道一层一层的传输到应用服务器上,应用服务器通过API的调用和签名服务器进行交互,由签名服务器判断签名数据在经过网络传输过程中是否经过恶意篡改,以及实现抗抵赖性
5.2.6. 方案优势
高可用性
对于链路而言,当一条链路失效时,信安世纪全局负载均衡系统可瞬时感知链路通断状态,并且屏蔽该链路对应的公网DNS地址,引导后续流量从正常ISP线路入站,对用户屏蔽线路故障。
对于应用而言当系统的某个节点出现关机、宕机、重启或者网卡载波丢失(连接断开)时,所有的流量就会被立即转到另一台热备设备上。保证了整个系统的正常运行。 兼容性
数字签名控件有良好的兼容性,能支持到主流浏览器,保证在多样化的客户端浏览器的
正常使用。支持所有标准的Java应用服务器,包括Weblogic。 稳定性
SSL加速设备提供能会话保持策略,保证每次会话指向固定应用服务器 安全性
通过双向HTTPS协议认证客户端与服务端,通讯双方的身份得到认证,通讯内容的私密
性得到保障。独立的CRL文件下载服务,保证应用系统运行的连续性和安全级别。 高性能
信安世纪CA系统,SSL系统均为高性能系统,支撑了国内如工商银行总行、农业银行
总行网银系统上千万用户规模的使用。另一方面,在本项目中,通过在关键节点部署负载均衡系统,将应用的A/S(Active/Standby)架构升级至A/A架构,按照双节点部署的典型应用下,系统容量理论值增加一倍。 可维护性
基于Web和命令行的服务带来高可维护性。强大的审计功能保证了对用户的操作进行审
计记录,并且可以按照管理员要求进行特殊的行为日志记录。 可扩展性
SSL设备上需支持部署多个ssl证书并接入多个域名,保证了不同客户的不同SSL加密
入口。
同时,采用负载均衡设计的架构下,当未来应用出现瓶颈时,仅需增加应用服务器资源
即可,无需调整网络架构,实现模块化部署,极大的简化了应用系统投产的时间与复杂度。
5.2.7. 方案投入
产品名称 NetSign3300 功能 签名/验签 数量 3(2生产,1开发) 2 说明 NetOpti2200-LT NSAE2500-NB 链路负载 SSL+服务器负载 3(2生产,1开发) 服务器负载 签名服务器 2 3(2生产,1开发) NetOpti2200-NL NetSign3300 PC客户端签名控件Chrom PC客户端签名控件FireFox 客户端签名 标准版仅支持IE 标准版仅支持IE 客户端签名
说明1:上述报价并不包含国联人寿所需的国际第三方证书(如Versign)价格,需国联人寿自行提供第三方的SSL服务器站点证书。
说明2:本方案中均按照每一个系统所使用的产品,实际上,信安世纪产品均支持多服务,即一套产品均可以为多个系统使用(在网络以及安全策略允许的前提下)。如签名服务器,一套签名服务器即可为电子保单使用,也可为网上商城所使用。
5.3 OA系统
说明:对于内网的应用而言,可以通过NetCertCA系统所颁发的数字证书与微软的AD
域控进行集成,在用户登录AD域控时,通过数字证书进行验证,从而实现身份认证。也可以与单点登陆系统进行对接,用户在登陆单点登陆系统时,需要出示数字证书,通过验证后才可登陆单点登陆系统。或者单独与OA系统进行对接,完成身份认证,数据加密,数据完整性校验等。无论与AD、单点登陆、还是单独与OA系统进行集成,其实现原理基本相同,本文仅描述与OA系统对接过程。
5.3.1. 典型需求
7.2.1.7. CA系统
同步OA系统人员的相关的信息。
提供数字证书的申请、作废、更新和查询等相关操作。
证书申请和证书更新实现一步操作,成功后将数字证书发送到人员邮箱中,由用户自行下载安装数字证书。
证书作废实现一步操作,成功后删除该员工信息。
提供数字证书查询功能,查询RA数据库中已有的员工相关信息。
提供日志查询功能,对操作RA的操作员所做的功能操作都要有日志记录;同时提供日志查询界面
需要将RA应用系统集成在国联金融OA系统中,并且由国联金融OA系统的管理员来操作数字证书管理的相关操作;同时,保证其访问RA应用系统的安全性。 提供OA系统用户自主更新和账户关闭接口,完成用户自主更新和账户关闭操作。
7.2.1.8. 其他
通过技术手段实现数据传输时的机密性; 通过技术手段时间数据传输过程中的完整性; 通过技术手段时间操作者对所做操作的抗抵赖性;
5.3.2. 系统概述
国联金融自建CA, RA应用系统集成于国联金融OA系统中,由OA系统的管理员来管理和操作数字证书的申请、更新和作废,以及证书和日志查询操作;同时,RA应用系统提供OA系统用户自主更新证书和关闭账户的接口,以完成用户证书的更新和账户关闭的操作。
同时,依托于PKI技术,实现数据传输时的机密性以及完整性和抗抵赖性。
5.3.3. 系统架构
5.3.3.1. 整体架构图
通过NSAE-NB设备,一方面构建基于SSL的安全通道,确保使用者使用OA时的机密性;同时,通过NSAE-NB的负载均衡功能,可以完成对OA系统的高可靠性保障; 通过NetCertCA系统为用户颁发数字证书;
通过数字签名系统完成数字签名,实现完整性以及抗抵赖性。
由于本方案中,NetCertCA与OA系统集成要求较为紧密,下文主要描述NetCertCA系统:
5.3.3.2. NetCert CA系统架构如下图所示:
证书认证机构数据库(私有信息)证书认证机构服务器(CA Server)证书认证机构管理终端 (CA Admin)证书注册机构服务器(RA Server)与OA系统部署在同一服务器
证书管理系统由信安世纪公司负责开发和实施,通过自建CA颁发行内员工数字证书,数字证书用于行内OA系统的登陆凭证。
系统管理员通过证书管理系统为行内每位员工申请证书,证书会自动发送到员工行内邮箱,员工安装所申请的证书即可完成OA系统登陆。员工还可通过证书管理系统来进行证书的作废、更新等证书管理操作。
5.3.4. 流程介绍
5.3.4.1. 数字管理流程
证书申请流程:
RA管理员登录输入员工ID、姓名和选择部门通过OA提供的视图和输入的查询条件获取员工信息获取员工信息成功失败显示错误信息员工信息确认成功失败显示错误信息证书申请成功失败显示错误信息数字证书发送到员工邮箱结束 在国联金融OA系统中,由OA系统管理员登陆RA系统,选择证书申请操作,输入员工编号、员工姓名以及选择部门等查询条件,通过OA系统提供的视图查询得到员工的信息(员
工编号、员工姓名、部门编号、部门名称和邮件地址);确认员工信息后,进行证书申请操作,证书申请成功,则将数字证书发送到员工的邮箱中;如果证书申请失败,系统能够给出错误提示和要求信息。提供 对OA系统新增加未申请证书人员查询功能,以及非正常操作导致的信息已确认但没有申请证书的查询功能。
证书更新流程:
RA管理员登录输入员工ID、姓名和选择部门根据所输入的查询条件获取员工的证书信息获取证书信息成功失败显示错误信息证书更新成功失败显示错误信息数字证书发送到员工邮箱结束 在国联金融OA系统中,由OA系统管理员登陆RA系统,选择证书更新操作,输入员
工编号、员工姓名、证书的起止日期以及选择部门等查询条件,查询得到员工证书的信息(员工编号、员工姓名、部门名称和邮件地址);确认员工信息后,进行证书更新操作,证书更新成功,则将数字证书发送到员工的邮箱中;如果证书更新失败,系统能够给出错误提示和
要求提示信息。 提供人员证书30即将到期提醒和查询以及以日期(天)查询即将到期的人员证书。
证书作废流程:
RA管理员登录输入员工ID、姓名和选择部门根据所输入的查询条件获取员工的证书信息获取证书信息成功失败显示错误信息证书作废成功失败显示错误信息结束 在国联金融OA系统中,由OA系统管理员登陆RA系统,选择证书作废操作,输入员工编号、员工姓名以及选择部门(OA系统提供部门信息的下拉列表框)等查询条件,查询得到员工证书的信息(员工编号、员工姓名、部门名称和邮件地址);确认员工信息后,进行证书作废操作,证书作废成功,返回成功信息;如果证书作废失败,系统能够给出错误提示和要求提示信息。
5.3.4.2. 应用系统使用流程
1) 客户根据需求使用浏览器访问OA系统;
2) 用户完成请求后,访问至信安世纪NSAE-NB设备,实现SSL卸载,由于在内网使用,使
用环境较为安全,建议采用单向SSL即可。
3) NSAE-NB设备为All-in-One设备,在本项目中同时提供SSL与负载均衡功能,SSL加速
设备通过对SSL的数据分析之后,将访问流量发送给负载均衡模块,负载均衡模块按照不同的应用类型(服务端口)或者访问路径(URL)等信息,并且根据不同的算法,将流量智能的分配到不同的后台OA服务器上。
4) 在一些涉及到领导审批等重要操作环节,客户需要通过ActiveX控件将交易的信息进行
数字签名,并将这些签名信息通过SSL加密隧道一层一层的传输到应用服务器上,应用服务器通过API的调用和签名服务器进行交互,由签名服务器进行验签操作,完成后交给应用存档,以实操作者对签名操作的抗抵赖性。
5.3.5. 方案优势
完善的数字证书管理功能:提供数字证书的申请、下载、更新、冻结、解冻、作废等功能,为数字证书提供完善的生命周期管理支持。
丰富的数字证书应用类型:产品自带签名证书、加密证书、SSL 站点证书等多种数字证书模板,用户还可以通过证书模板管理功能灵活配置各种算法、用途和格式的数字证书。
与管理方式高度融合的特性:基于RADS 开发组件定制开发的RA 系统可实现与证书管理和用户管理的高度融合。
安全的软件设计:系统采用安全的结构设计,各模块之间通讯使用独立的安全传输通道。在权限管理方面采取分权制衡的设计思路。
大规模应用实践检验:目前世界上发证数量最大的两大CA 系统,中国工商银行和
中国农业银行CA 系统均采用的NetCert 产品系列,实践经验的积累使得NetCert 的稳定性和兼容性非常优秀。
5.3.6. 方案投入
产品名称 功能 数量 1 说明 NetCert(含CA、RA、数字证书生LDAP、NetCertEnroll) 成系统 NSAE2500-NB SSL+服务器负载 签名服务器 3(2生产,1开发) 3(2生产,1开发) NetSign3300 NetCertRA开发费用(如用户同步、证书自助更新等等)
说明:本方案中报价均按照每一个系统所使用的产品进行报价,实际上,信安世纪产品均支持多服务,即一套产品均可以为多个系统使用(在网络以及安全策略允许的前提下)。如签名服务器,一套签名服务器即可为电子保单使用,也可为网上商城所使用。
5.4 支付系统
5.4.1. 典型需求
国联人寿计划推出的网上商城中,包含了用户在线支付功能。目前正在完成与通联金融以及无锡农商行对接的过程中。在与无锡农商行对接的过程中,需要由国联人寿访问的无锡农商行,传递经过国联人寿数字签名的用户开通快捷支付以及扣款指令等,此访问过程,已过国联金融访问无锡农商行发布的SSL链接完成加密。同时,无锡农商行完成业务处理后,需要将经过无锡农商行数字签名的回执返回给国联金融,目前,此访问为未加密的HTTP连接,本方案则为本系统的下联通道(即无锡农商行回访国联金融)提供加密隧道。
实现无锡农商行至国联人寿通道的机密性。 实现应用系统的高可靠性。
5.4.2. 实现方式
通过NSAE-NB设备在无锡农商行与国联人寿之间,构建安全的HTTPS加密隧道,
确保数据交互时的机密性,同时借助于NSAE-NB所提供的负载均衡能力,提供应用系统的高性能与高可靠性。
5.4.3. 方案架构
5.4.4. 业务实现流程
1> 国联人寿应用系统生成用户的快捷支付开通或付款指令;
2> 通过软件以及标示国联人寿身份的数字证书实现对预传数据的数字签名; 3> 通过无锡农商行发布的SSL加密隧道传递经过签名的数据; 4> 无锡农商行获取数据后,完成验签名,并完成相关的业务指令;
5> 无锡农商行将业务回执通过国联人寿NSAE-NB构建的SSL加密隧道返回给国联人
寿,NSAE-NB设备收到该回执后,进行数据脱密;
6> NSAE-NB设备为All-in-One设备,在本项目中同时提供SSL与负载均衡功能,SSL
加速设备通过对SSL的数据分析之后,将访问流量发送给负载均衡模块,负载均衡模块按照不同的应用类型(服务端口)或者访问路径(URL)等信息,并且根据不同的算法,将流量智能的分配到不同的应用服务器,完成处理。
5.4.5. 方案优势
高可用性
对于应用而言当系统的某个节点出现关机、宕机、重启或者网卡载波丢失(连接断开)时,所有的流量就会被立即转到另一台热备设备上。保证了整个系统的正常运行。 稳定性
SSL加速设备提供能会话保持策略,保证每次会话指向固定应用服务器 安全性
通过双向HTTPS协议认证客户端与服务端,通讯双方的身份得到认证,通讯内容的私密
性得到保障。独立的CRL文件下载服务,保证应用系统运行的连续性和安全级别。 高性能
信安世纪SSL系统为高性能系统,支撑了国内如工商银行总行、农业银行总行网银系统上千万用户规模的使用。另一方面,在本项目中,通过在关键节点部署负载均衡系统,将应用的A/S(Active/Standby)架构升级至A/A架构,按照双节点部署的典型应用下,系统容量理论值增加一倍。 可维护性
基于Web和命令行的服务带来高可维护性。强大的审计功能保证了对用户的操作进行审
计记录,并且可以按照管理员要求进行特殊的行为日志记录。 可扩展性
SSL设备上需支持部署多个ssl证书并接入多个域名,保证了不同客户的不同SSL加密
入口。
同时,采用负载均衡设计的架构下,当未来应用出现瓶颈时,仅需增加应用服务器资源
即可,无需调整网络架构,实现模块化部署,极大的简化了应用系统投产的时间与复杂度。
5.4.6. 方案投入
产品名称 功能 数量 说明 NSAE2500-NB SSL+服务器负载 3(2生产,1开发)
说明1:上述报价并不包含国联人寿所需的国际第三方证书(如Versign)价格,需国联人寿自行提供第三方的SSL服务器站点证书。
说明2:本方案中报价均按照每一个系统所使用的产品进行报价,实际上,信安世纪产品均支持多服务,即一套产品均可以为多个系统使用(在网络以及安全策略允许的前提下)。如签名服务器,一套签名服务器即可为电子保单使用,也可为网上商城所使用。
6 基于移动终端的CA设计
6.1 概述
由于移动终端的兴起,在传统的PC环境下,通过PKI技术已经可较为便利的提升用户的安全性,如目前所使用的网银系统,客户通过USB KEY,或动态密码的方式进行登陆、建立SSL隧道、数字签名等操作。
但是在移动领域,目前广泛使用的USB KEY则无法继续使用,一手机、PAD等移动产品,均没有相应的USB接口,同时,这些移动终端操作系统多种多样,也缺少相应的驱动程序。另一方面,在传统的使用环境下,用户使用硬件的USB KEY也存在一定的不便,比如KEY的驱动常常与PC环境不兼容,登陆过程过于繁琐。并且USB KEY为一个硬件产品,用户需要随身携带,如用户在出差过程中,一旦将USB KEY遗忘自家中,往往意味着无法使用系统。
本方案主要描述为一种便捷的认证方式,满足移动端的需求。
6.2 适用系统
OA系统;
网上商城系统;
其他任何需要手机APP与PC传统环境均存在的应用系统;
6.3 系统架构
本方案主要的解决方法是将手机作为一个USB KEY进行使用。通过专用的手机APP生成证书申请,直接将证书下发至手机中,从而将手机作为一个虚拟USB KEY。同时PC端登陆时,使用手机中的证书进行签名。
在用户申请证书时,用户打开信安世纪的APP,通过APP中的证书申请功能,填入该人员信息,即可直接将该信息发送至CA系统,CA系统对该CSR请求进行签发, 最终返回给用户。
客户端APP:信安世纪提供的独立APP,可集成在业务系统的APP组件中; NSAE-NB:提供建立SSL隧道以及负载均衡功能;
移动认证服务器:提供应用统一验证接口,由移动认证服务器判断验证请求发送给动态密码系统还是签名服务器系统进行验证;
数字签名系统:接受移动认证服务器的发送的验签以及其他操作请求,完成验签以及其他操作指令;
动态密码系统:接受移动认证服务器发送的的动态密码验证以及其他操作请求,完成动态密码验证以及其他操作指令; CA系统:数字证书颁发系统;
6.4 使用流程
6.4.1. PC端二维码登陆
业务系统如果采用用户通过PC浏览器端二维码登录方式,则需要与信安世纪移动认证平台系统进行对接。对接主要集中在业务系统后台和信安世纪移动认证平台后台系统的对接。具体流程和所需要的接口如下:
1> 首先在业务系统后台可以通过WebService或HTTP接口提交获取二维码报文从移动
认证平台获取签名信息二维码,接口中应包含至少12位以上随机数和接入移动认证平台所需的认证用户信息。因此移动认证平台提供对外服务的获取签名二维码服务接口。移动认证平台返回的二维码信息为16进制文本数据。
2> 业务系统获取到二维码之后,将二维码返回至业务系统客户端浏览器并进行展现。
展现之后,等待移动认证平台APP进行二维码认证扫描认证,同时业务系统客户端将每隔几秒钟项业务系统后台获取二维码扫描信息是否已经认证通过,而业务系统后台收到客户端请求后,通过WebService或HTTP接口将请求内容提交至移动认证平台进行获取验证结果操作。移动认证平台如果对移动认证平台APP扫描结果验证无误后将用户名,验证结果等验证内容返回到业务系统后台。业务系统根据用户名和结果判断是否允许用户进行登录。因此移动认证平台提供对外服务的二维码登录认证结果接口。移动认证平台返回的认证结果为Object类型VerifyResult对象。业务系统解析VerifyResult获取用户名,认证时间,认证结果等内容。
具体流程如下:
移动认证平台后台2、返回带签名二维码数据6、验证用户签名,并确认证书绑定用户信息,返回业务后台业务系统后台1、获取二维码3、将签名二维码展现客户端7、确认用户身份并登录业务系统客户端4、展现客户端8、登录系统成功,显示登录后主界面移动认证平台APP5、APP扫描二维码,解析随机书和签名信息,验证签名,验证通过后,使用用户证书对二维码随机数数据进行签名之后提交移动认证平台后台
6.4.2. 移动端APP数字签名系统验证
如果业务系统为基于移动终端的APP应用系统,则需要在业务系统APP和业务系统后台进行改造,首先在业务系统APP的登录功能和关键业务功能增加调用移动认证平台APP的接口,实现在业务系统的登录和关键业务使用移动终端的数字证书进行签名业务。同时在业务系统后台调用移动认证平台的验证签名接口。在业务系统登录或者在关键交易中弹出移动认证平台APP的签名业务进行签名,并将签名结果返回业务系统APP,业务系统APP将签名系统提交后台,由业务系统后台调用移动认证平台后台的签名验证接口完成签名验证操作,并将该证书所绑定的用户信息返回给业务系统,由业务系统根据验证签名结果进行下一步操作。
6.4.3. 动态密码认证
在一个系统中,如果涉及到安全等级要求不同的客户,则对于低安全需求的客户,则可
采用动态密码认证的方式。例如在网银系统中,同时存在动态密码与数字证书两种认证方式,通常情况下,动态密码认证强度较低,但使用灵活,往往作为数字证书的补充。
如果业务系统为基于移动终端的APP应用系统,则需要在业务系统APP和业务系统后台
进行改造,首先在业务系统APP的登录功能和关键业务功能增加调用移动认证平台APP的接口,实现在业务系统的登录和关键业务使用移动终端的动态口令认证。动态口令认证分为基于时间动态口令和基于挑战的动态口令(高级令牌),同时在业务系统后台调用移动认证平台的动态口令验证接口。在业务系统登录或者在关键交易中弹出移动认证平台APP的(另一种实现方式为不弹界面直接返回动态口令+证书信息),并将动态口令返回业务系统APP,业务系统APP将动态口令+证书信息提交后台,由业务系统后台调用移动认证平台后台的动态口令验证接口完成验证操作,并将该证书所绑定的用户信息返回给业务系统,由业务系统根据验证签名结果进行下一步操作。
6.5 方案优势
便利性:解决传统移动终端无法使用数字证书的问题;同时用户无需携带任何硬件的USB KEY,只需携带手机,即可完成关于数字证书的操作。
易使用:用户只需点击APP,填入个人信息,即可完成数字证书的申请。即无需像传统PC机安装USB KEY驱动一样,需要安装各种版本的驱动,也不需要通过先将证书下载至PC上,在通过软件将证书导入至手机中;
安全性:信安世纪移动认证APP,通过逻辑隔离的方式,使数字证书在手机中加密存储,并且只允许授信的app应用访问,将手机形成一个虚拟USB KEY,同时证书存储时绑定硬件信息,即使导出也无法使用;
使用范围全面:该系统即支持动态密码验证方式,也支持数字证书的验证方式,适用于各种不用安全强度的系统使用;
集成便利:基于移动终端的CA系统提供了手机app,应用系统可将其app嵌入至自身的app中,对用户提供一个完整功能的APP,同时服务端只需统一调用信安世纪移动认证服务器,移动认证服务器以集成完成信安世纪动态密码接口以及签名服务器接口,由移动认证服务器具体完成验证动态密码以及验证签名功能。
6.6 方案投入
产品名称 NetOpti2200-NL NSAE2500-NB 功能 链路负载 SSL+服务器负载 数量 2 价格 说明 3(2生产, 1开发) 移动终端APP (ios) 移动终端APP,用于证 书管理、客户端签名、动态密码生成等 移动终端APP(安卓) 移动终端APP,用于证 书管理、客户端签名、动态密码生成等 PC客户端签名控件Chrom PC客户端签名控件FireFox 移动认证平台 客户端签名 标准版仅支持IE 标准版仅支持IE 客户端签名 与应用对接,完成调用签名服务器与动态密码服务器,以及用户状态逻辑判断等 签名服务器,实际完成验签操作 动态密码服务器,实际完成动态密码验证操作 数字证书全生命周期管理平台 3(2生产, 1 开发) NetSign3300 3(2生产, 1开发) 3(2生产, 1开发) NetPass1000 NetCert(含CA/移动RA/LDAP/RADS/EEDS)
1 说明1:上述报价并不包含国联人寿所需的国际第三方证书(如Versign)价格,需国联人寿自行提供第三方的SSL服务器站点证书。
说明2:本方案中报价均按照每一个系统所使用的产品进行报价,实际上,信安世纪产品均支持多服务,即一套产品均可以为多个系统使用(在网络以及安全策略允许的前提下)。如签名服务器,一套签名服务器即可为电子保单使用,也可为网上商城所使用。
7 基于云CA的设计
7.1 概述
伴随着PC与智能终端的普及,使用者往往拥有多个终端系统,并且在多个终端系统上
访问应用。对于数字证书而言,采用软证书往往只能下载至该用户当前平台上,并且处于安全性考虑,通常不让用户导出。即使允许用户导出,导出过程异常繁琐,不具备可操作的意义。对于传统的解决方案,则是让用户申请多张不同的证书,以满足在不同平台上使用的情况,但是在这种情况下,用户账号对于数字证书的绑定关系又较为繁琐,同时,一个用户在不同平台上均拥有证书,也很可能造成证书失窃等结果。
本方案主要考虑在此环境下,对用户数字证书提供一种跨平台使用的解决方案。
7.2 适用系统
OA系统; 网上商城系统;
其他任何需要移动终端、PC端等需要多终端访问的应用系统
7.3 系统架构
客户端:可以是移动客户端,也可以是PC客户端。移动客户端通过信安世纪客户端安全组件申请证书,如果是PC客户端,则通过信安世纪Enroll控件申请证书;
数字签名服务器:生成客户端P10请求,并且在实际业务中完成验签操作; CA系统:签发证书以及基于数字证书的全生命周期管理;
动态密码系统:首次注册时,用于验证客户端账号与手机绑定关系;
7.4 访问流程
7.4.1. 证书注册
1> 用户首次注册时,如果通过手机端,则使用信安世纪移动端安全组件,如果为PC端,
则使用客户端证书组件;
2> 首次请求发送至应用,应用调用信安世纪动态密码服务器接口,将动态密码发送至客户
手机;
3> 用户填入一次性动态密码,并提交至应用,应用调用信安世纪动态密码服务器完成验证,
验证通过后,则返回用户注册用户证书的页面;
4> 用户在页面中完成个人身份信息的填写,设定证书所使用的密码,并发送至应用; 5> 应用调用信安世纪签名服务器,对用户设定的密码进行加密,同时生成P10请求,并且
将该请求发送至CA系统;
6> CA系统签发该证书,并且返回经签名的完整信息; 7> 签名服务器收到CA返回的证书,拼凑成完整的证书;
8> 签名服务器将该证书返回给应用,并且由应用存储在数据库中; 9> 签名服务器删除该用户的公私密钥对; 10> 证书在服务端签发完成;
7.4.2. 证书使用流程
当用户在访问应用系统时(对于一个高安全级别的系统在此时需要通过SSL进行加密,
可采用信安世纪NSAE-NB型号设备,一方面构建安全隧道,另一方面对应用进行负载,此处不在赘述),当需要进行数字签名时(登陆以及购买保险产品时),触发数字签名请求: 1> 应用接收到该用户的数字签名请求,并且提示用户输入其证书的密码;
2> 通过该用户ID,从数据库中找到该用户对应的数字证书,将该证书与用户输入的密码,
以及需要签名的信息发送给签名服务器;
3> 签名服务器验证用户送上来的密码以及与该证书生成时的密码是否匹配,如果匹配,则
对需要签名的信息,使用该证书进行签名; 4> 签名完成后,将签名值返回给应用;
5> 为验证该签名有效,应用重新触发验签操作,将签名值、原文、公钥信息传递给签名服
务器,签名服务器完成验签,并通知应用;
6> 应用收到后,完成后续处理(允许用户登陆或触发购买保险产品的扣款指令)。
7.5 方案优势
易用性高:相对于使用硬件USB KEY而言,需要用户在PC环境下插入USB KEY,安装驱动、下载用户证书等繁琐操作,云CA设计下的用户证书申请流程即为便利。
跨平台:在多平台与跨平台的环境下,用户往往需要申请多张证书,对于用户而言比较繁琐,对于国联人寿而言,需要完成用户多证书的管理,较为不便。使用云CA设计下的数字证书系统,用户在任意多个平台下,只拥有一张证书,无任何平台限制,使用便利;
安全性:用户使用证书的口令加密存储,并且只在云平台上存储,不在客户端保留,避免客户端漏洞或个人保管不善所造成的个人密钥泄露风险。
因篇幅问题不能全部显示,请点此查看更多更全内容