一、用户背景

某人寿保险股份有限公司于2007年经中国保险监督管理委员会批准设立，是一家全国性的专业寿险公司。保险公司注册资本百亿元，总资产超过七百亿元。公司总部设在北京，在全国设有22家省级分公司，开设各级分支机构244家。

二、用户需求

保险公司的代理人和销售渠道人员通过移动手机和pad等移动设备，展示保险公司的服务产品并提供在线业务办理。具体有如下需求：

1. 移动用户（代理人和销售渠道人员）身份的真实性

传统的用户名/密码的登录方式非常脆弱，易被猜测、窃听、或者暴力破解，因此需要一种高强度的身份认证方式保证登录用户身份的真实性。

2. 保证移动用户在 PAD 等移动设备上访问控制和数据安全传输需求

三、解决方案

具体解决方案如下：

1. 建设数字证书认证服务器，解决服务器和个人用户身份真实性的问题。具体建设方案如下：
   • 1） 证书服务器负责证书的日常管理；
   • 2） 管理终端完成证书的申请和发放工作；
   • 3） 为应用服务器颁发服务器证书，为个人用户颁发个人证书。登录时，实现双向验证，确保应用服务器身份和个人身份的真实性；
   • 4） 采用数据库或LDAP，用于证书服务器生成证书和CRL的存储。
2. 建设证书自助服务网关，提供移动证书管理接口。具体建设方案如下：
   • 1） 移动用户在PAD等移动设备上的证书的自助申请、安全存储、到期提醒、证书更新等管理功能；
   • 2） 所有移动用户已经在后台系统具有帐号，证书自助服务网关通过用户帐号获取用户信息，不需要用户再次输入身份信息，也不需要证书管理员进行申请信息审核，自动为移动用户完成证书申请及安装操作；
   • 3） 部署安全认证传输服务器设备，提供移动传输接口，满足移动用户在PAD等移动设备上基于证书的强身份认证、访问控制和数据安全传输需求；
   • 4） 移动展业客户端应用与移动证书管理接口组件和安全认证传输组件进行接口集成，实现证书管理、证书认证与安全传输等安全功能。

四、网络拓扑

图 应用安全设备部署拓扑图

五、用户收益

系统安全建设的收益如下：

1. 建成完整的PKI基础认证平台，同时支持国际密码算法和国家密码算法两个安全体系，能够为现在和未来的应用安全建设提供支撑环境。
2. 采用基于数字证书的强身份认证，确保业务系统用户的身份的真实性。
3. 支持原有CA的存量证书继续使用，降低运行改造成本。
4. 通过建立安全加密传输通道，保证数据传输的安全，保证接入节点才可以安全访问系统服务器。最大程度保护系统服务器的安全。
5. 系统的建设符合国家相关法律法规要求及技术规范。