系统集成论坛
标题:
某港务局多应用系统基于CA的身份认证和电子签名解决方案
[打印本页]
作者:
scanywhere
时间:
2009-12-17 15:35
标题:
某港务局多应用系统基于CA的身份认证和电子签名解决方案
本帖最后由 scanywhere 于 2010-1-5 15:58 编辑
1
、用户背景
某港口始建于
1892
年,是具有
117
年历史的国家特大型港口。
2008
年完成港口吞吐量
3
亿多吨,居世界第七位;完成集装箱
1002
万标准箱,居世界第十位;进口铁矿石吞吐量居世界港口第一位,进口原油吞吐量居全国港口第一位,外贸吞吐量居全国港口第二位。集装箱作业效率、铁矿石卸船效率世界港口第一。
2
、用户需求
总结用户需求如下:
l
某港务局金蝶软件的财务系统(
EAS
),该系统提供用户
B/S
和
C/S
两种架构可以选择,港务局内网用户采用
C/S
架构的系统,目前采用的简单的用户名
/
口令认证登录方式存在安全隐患。为保证业务的安全运营,需要采用强身份认证系统来保证应用系统的登录安全。
l
某港务局网上财务结算系统,负责港务局
20
多家二级单位的财务结算,采用
C/S
架构,目前采用的简单的用户名
/
口令认证登录方式存在安全隐患。为保证业务的安全运营,需要采用强身份认证系统来保证应用系统的登录安全。
l
内部
OA
系统业务流中的重要表单数据,需要满足数据的完整性校验和实现用户操作的不可抵赖性保证。
3
、解决方案
l
建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。具体建设方案如下:
>证书服务器负责证书的日常管理;
>证书服务器负责证书的日常管理;
>管理终端完成证书的申请和发放工作;
>为应用服务器颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保应用服务器身份和个人身份的真实性;
>用户手持
USB KEY
,带有密码芯片算法的
KEY
,存储量大于等于
32K
。用于私钥存储,确保私钥的安全;
>采用
SQL
数据库,用于证书服务器生成证书和
CRL
的存储。
l
建设数字签名中间件,对用户在
OA
系统的操作实现数字签名,实现抗抵赖的功能。具体方案如下:
>将数字签名服务器与应用服务器共同部署;
>在
IE
中部署签名插件;
>用户的操作需要用私钥进行签名;
>服务器端对用户的签名数据进行验签;
>应用数据和签名数据进行分别的存储。
l
针对财务结算系统(
C/S
架构)的身份认证功能,实现身份认证的功能。具体方案如下:
>用户采用数字证书(
USBKEY
存储)
+
口令的认证模式;
>针对网上支付系统的客户端进行开发,提供客户端身份验证功能。
l
针对
BS
的财务系统,实现身份认证的功能。具体方案如下:
>用户采用数字证书
+
口令的认证模式;
>搭建
SSL
应用服务器;
>通过数字证书服务器签发服务器证书,配置应用服务器,实现用户的双向认证的功能。
4
、用户收益
采用本方案后用户收益如下:
l
通过强身份认证手段的采用,确保所有财务系统用户的身份的真实性;
l
对
OA
系统的操作、交易实现签名,满足不可抵赖性、事后溯性的应用需求。
--------------------------------------------------------------------------------------------------------------
北京安软天地科技有限公司
--- 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
--- 公司网址:
www.scanywhere.com
--- 联系电话:010-67080263
作者:
scanywhere
时间:
2009-12-24 15:01
大家一起交流探讨~
作者:
scanywhere
时间:
2010-1-5 15:59
本帖最后由 scanywhere 于 2010-1-18 16:07 编辑
需要应用安全解决方案的可以留下邮箱哦
作者:
scanywhere
时间:
2010-1-18 16:09
需要安全类解决方案的可以看看这里 有不少好的方案 值得学习~
http://www.scanywhere.com/solution/index.htm
作者:
scanywhere
时间:
2010-2-25 14:53
欢迎光临 系统集成论坛 (http://bbs.xtjc.com/)
Powered by Discuz! X3.1