某港务局多应用系统基于CA的身份认证和电子签名解决方案

scanywhere

1、用户背景
   某港口始建于1892年，是具有117年历史的国家特大型港口。2008年完成港口吞吐量3亿多吨，居世界第七位；完成集装箱1002万标准箱，居世界第十位；进口铁矿石吞吐量居世界港口第一位，进口原油吞吐量居全国港口第一位，外贸吞吐量居全国港口第二位。集装箱作业效率、铁矿石卸船效率世界港口第一。

2、用户需求
   总结用户需求如下：
l某港务局金蝶软件的财务系统（EAS），该系统提供用户B/S和C/S两种架构可以选择，港务局内网用户采用C/S架构的系统，目前采用的简单的用户名/口令认证登录方式存在安全隐患。为保证业务的安全运营，需要采用强身份认证系统来保证应用系统的登录安全。

l某港务局网上财务结算系统，负责港务局20多家二级单位的财务结算，采用C/S架构，目前采用的简单的用户名/口令认证登录方式存在安全隐患。为保证业务的安全运营，需要采用强身份认证系统来保证应用系统的登录安全。

l内部OA系统业务流中的重要表单数据，需要满足数据的完整性校验和实现用户操作的不可抵赖性保证。

3、解决方案
l建设数字证书认证服务器，解决服务器和个人用户身份真实性的问题。具体建设方案如下：
  >证书服务器负责证书的日常管理；
  >证书服务器负责证书的日常管理；
  >管理终端完成证书的申请和发放工作；
  >为应用服务器颁发服务器证书，为个人用户颁发个人证书。登录时，实现双向验证，确保应用服务器身份和个人身份的真实性；
  >用户手持USB KEY，带有密码芯片算法的KEY，存储量大于等于32K。用于私钥存储，确保私钥的安全；
  >采用SQL数据库，用于证书服务器生成证书和CRL的存储。

l建设数字签名中间件，对用户在OA系统的操作实现数字签名，实现抗抵赖的功能。具体方案如下：
  >将数字签名服务器与应用服务器共同部署；
  >在IE中部署签名插件；
  >用户的操作需要用私钥进行签名；
  >服务器端对用户的签名数据进行验签；
  >应用数据和签名数据进行分别的存储。

l针对财务结算系统（C/S架构）的身份认证功能，实现身份认证的功能。具体方案如下：
  >用户采用数字证书（USBKEY存储）+口令的认证模式；
  >针对网上支付系统的客户端进行开发，提供客户端身份验证功能。

l针对BS的财务系统，实现身份认证的功能。具体方案如下：
  >用户采用数字证书+口令的认证模式；
  >搭建SSL应用服务器；
  >通过数字证书服务器签发服务器证书，配置应用服务器，实现用户的双向认证的功能。

4、用户收益
   采用本方案后用户收益如下：
l通过强身份认证手段的采用，确保所有财务系统用户的身份的真实性；
l对OA系统的操作、交易实现签名，满足不可抵赖性、事后溯性的应用需求。





--------------------------------------------------------------------------------------------------------------
      北京安软天地科技有限公司
  --- 专业的应用安全服务提供商，主要提供CA系统、SSL VPN设备，以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案，在金融、政府、电力、石油石化行业有大规模成熟应用。
  --- 公司网址：www.scanywhere.com
  --- 联系电话：010-67080263

scanywhere

大家一起交流探讨~

scanywhere

需要应用安全解决方案的可以留下邮箱哦

scanywhere

需要安全类解决方案的可以看看这里  有不少好的方案  值得学习~
http://www.scanywhere.com/solution/index.htm

scanywhere