OA系统CA数字证书认证和电子签名解决方案

OA 系统CA 数字证书认证和电子签名解

决方案1

某市OA 系统（内外网）基于CA 的身份认证和电子签名解决方案

1、用户背景

内蒙古某市下属2 区、5县、4旗，人口300 余万，该市交通发达，是内蒙连接东北的交通枢纽。

2、用户需求

通过与沟通，总结最终用户需求如下：

•BS 架构的OA 系统，采用Domino Notes 开发的，用到金格的word 控件，

主要是做痕迹保留用的，和系统登录无关。需要保证登录者身份的真实

性。

•对流程文件的表单进行电子签名，需要保证公文审批的完整性和不可抵

赖性，同时要考虑一个表单，多个领导会签的情况。

•通过运营商组的专网，在网络出口已经部署防火墙。

3、解决方案

据既有的安全项目经验，根据信息安全等级保护条例，厅局级政府单位需要进行内外网隔离。目前暂时按照内外网隔离的方案进行设计，如果确实不需要部署外网，则不必考虑外网设计。

具体设计方案如下：

•在内网建设CA 服务器。

•密钥生成和管理由证书服务器密码机负责。

•采用一主两从LDAP ，内网部署一主一从，外网部署一从。内网的主LDAP

数据自动推送到内网从LDAP ，手工导入到外网从LDAP 。CA 服务器的证

书和CRL 列表定期发布到内网主LDAP 。

•在内网部署电子签名中间件，进行双向的签名和验签。

•手持USB KEY ，带有密码芯片算法的KEY ，存储量大于等于32K ，用于私

钥存储。

•为应用系统的WEB 服务器发放服务器证书，实现用户登录时，用户和服

务器的双向验证，确保应用服务器身份和用户身份的真实性。

•在公网入口部署SSL VPN 设备，确保应用服务器是在收

保护前提下使用，

所有应用不被外部的病毒、木马、黑客攻击。用户采用USB KEY 登录应

用层传输加密机

4、用户收益

采用本方案后用户受益如下：

•通过强身份认证手段的采用，确保用户身份的真实性。

•通过对表单电子签名，确保数据的不可否认性、不可抵赖性和事后可追溯性。

•所投资的安全设备，可以为其它业务系统提供安全服务。

北京安软天地科技有限公司

专业的应用安全服务提供商，主要提供CA 系统、SSL VPN 设备，以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案，在金融、政府、电力、石油石化行业有大规模成熟应用。