湖南CA证书应用集成实施指南.doc

湖南CA证书应用集成实施指南.doc:..证书应用开发集成实施指南湖南省数字认证服务中心有限公司2013年1月版权信息本文的版权属于湖南省数字认证服务中心有限公司,未经许可,任何个人和团体不得转载、粘贴或发布本文,也不得部分的转载、粘贴或发布本文,更不得更改本文的部分词汇进行转贴。未经许可不得拷贝,影印。******@2013湖南省数字认证服务屮心有限公司文档版本日期作者版本备注2012-5--1- 2目录 控件方式简介 两种方式的比较 网关方式集成改造的访问流程 82 网关方式集成改造的主要步骤 网关方式集成改造的访问方式 网关方式集成改造的技术要点 控件方式集成改造的访问流程 12SignerX控件的安装检测 131集成数字签名之后的访问流程 141概述证书应用接口是实现证书认证、签名、加密等操作的基本软件模块。用于实现基于数字证书的身份认证、数字签名和数据加密。本文档用于描述证书应用接口与应用系统之间的部署集成方式、处理流程等内容,从而为应用系统实现安全登录、表单签名等具体证书应用功能。本文档作为工程实施指导文档,供应用系统主管单位和开发单位使用。2术语表•数字证书(Certificate):数字证书屮心签发的用于代表实体身份的一段电文。本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书(服务器证书)。*数字签名(digitalsignature):具有手写签名功能一如身份证明的一组电子数据。这些附加在数据单元上的一些数据,或是对数据单元所作的密码变换,允许数据单元的接收者用以确认数据单元的来源和完整性,并保护数据,防止被人(例如接收者)伪造。*SSL协议:SecureSocketsLayer,安全套接层协议层,scape)公司提出的基于WEB应用的安全协议。*SSL网关:基于数字证书的高强度认证;使用SSL协议对传输信息进行加密;实现有效的访问控制和访问审计的网关设备。*SVS服务器:签名验证服务器(Sign&VerifyServer)是一个提供数字签名服务以及对数据验证其数字签名的真实性和有效性的服务器设备。*HTTP:超文木传输协议。*HTTPS(SecureHypertextTransferProtocol):安全超文本传输协议*IE(Explorer):微软公司提供的网页浏览器。3集成目标通过证书应用接口的集成工作,可以为应用系统提供功能完备、性能可靠、可扩展性强和易于集成及维护的证书应用服务,确保系统运行的可靠性。具体工作目标如下:•系统登录的可信性:引入数字证书技术,将现在普遍使用的用户名加口令的认证方式过渡到基于数字证书的安全认证机制,保障系统的高安全性、高可靠性。•数据完整性及抗抵赖性:对业务过程中的交互数据采用基于数字证书的数字签名,防止数据在传输过程中被非法篡改,并实现操作行为的有效责任认定,为审计核查提供电子证据。•数据传输的安全性:根据应用系统的具体需求,通过加密技术将敬感信息进行传输加密,实现信息传输的机密性,防止信息明文传输所面临的被非法窃密风险。4集成内容集成的主要工作内容1) 证书应用接口部署2) 登录页面改造3) 关键业务处理环节页面改造4) 后台数据库调整修改5) 系统联调测试湖南CA提供以下工作内容1) 证书应用接口的开发包2) 接口说明文档3) 集成演示Demo4) 证书应用接口集成技术支持5) 协助应用系统开发商完成联调测试工作6) 实际发放给客户的数字证书清单(含证书唯一序列号)5CA身份认证集成方式集成之前的访问流程浏览器应用服务器 ►输入用户名和密码读取用户信息进行验证提交给WEB服务器并返回结果集成数字证书之前,用户通常是通过浏览器(或其它客户端软件),输入用户名和密码,对应用服务器发岀登录请求,应用服务器获取用户名和密码,进行登录操作,然后返回登录结果。集成数字证书,指的是,对应用系统进行改造,使用湖南CA提供的数字证书进行身份认证;可以视用户需求,在原有的基础上保留或取消