签名认证服务器的认证业务流程 签名认证服务器主要完成以下功能: (1) 接收EJB服务器提交的认证请求数据;
(2) 从认证请求数据中获取数据、数据签名和用户数字证书,根据配置的CA根证书,校验用户证书是否由本CA签发,是否在有效期范围之内;
(3) 查询证书数据库中相应证书的状态,检查用户证书是否被作废; (4) 用用户证书校验数据签名;
(5) 验证通过的数据、数据签名及相应的签名证书序列号交由EJB服务器入*****系统业务数据库存储;
系统业务数据库的每一条记录应当增加数字签名和签名证书序列号两个字段。
各个数据项 数据签名 签名证书的序列号
2.4.4 基于WEB的签名验证管理系统
基于WEB的签名验证管理系统提供WEB方式的历史数据查询和签名校验功能,其业务流程如下: (1) 查询历史数据和签名;
(2) 根据签名证书序列号在证书数据库中查找用户证书; (3) 使用用户证书校验签名;
证书数据库中必须保存用户的所有历史证书数据,以便对历史签名数据进行校验。
2.5 数据加密传输通道(SSL)
目前,*****系统采用的是普通的HTTP传输通道和明文数据传送。通过在WEB应用服务器(WebLogic)上配置服务器证书和私钥,可以实现基于SSL的HTTPS传输通道,保证其中传送的数据的安全性。 以下几点说明:
(1) 与HTTP方式相比HTTPS速度相对较慢;
(2) 服务器证书的CN(Common Name)必须与站点名称一致; (3) 单向SSL,只对服务器证书进行验证,可配置双向SSL,要求对服务端证书和客户端的用户证书都进行验证。
在WebLogic控制台中配置SSL服务 3. 成功案例
中科院数字图书馆(https://q.csdl.ac.cn)CA数字证书受理与认证系统
中国银行江苏分行网上外汇交易认证(http://202.102.32.19) 赛迪网安全电子邮局(http://mail.ccidnet.com)CA数字证书受理与认证系统
武警部队哨位监控系统CA数字证书受理与认证
武警森林部队OA系统CA数字证书受理与认证 基于中国电信CTCA的数字证书受理系统和认证系统: 中国电信安全公务平台(http://www.chntel.com) 江苏电信RA数字证书受理系统(http://202.102.32.3) 陕西省电信RA数字证书受理系统(http://202.100.43.106) 贵州省电信OA系统认证 安徽省电信OA系统认证 新疆电信协同办公系统认证 湖北省电信VPN移动办公认证
中国电信集团公司市场部服务监督系统认证 中国电信集团公司综合部电信信息系统认证 中国电信集团公司财务部信息系统认证 中国电信集团公司法律部信息系统认证 中国电信集团公司监管事务部信息系统认证 4. 设备软件汇总及报价 4.1 基本设备及软件
4.2 CA系统设备及软件
根据所选CA类型(自建或第三方)不同,系统略有差别,以下为二选一。 4.2.1 自建CA系统设备及软件
4.2.2 基于第三方CA的数字证书受理系统设备及软件
4.3 数字签名认证系统设备及软件
4.4 USB智能卡类型
备注:上述均为eKey-PK(公钥版)系列USB智能卡。