基于数字证书的安全登录解决方案

一、用户需求

   互联网技术的普及为人们的生活、工作带来了更多的便利，现在只要你有一台可以上网的电脑，那么足不出户，你只需要动一动鼠标就可以在家轻松实现网上购物、网上结汇帐务、网上股票交易等等原来需要耗费大量时间和精力并且要来回奔波才能完成的事情。
   然而，我们在享受互联网技术给我们的生活和工作带来的便利的同时，是否想到在虚拟的网络世界中，我们在做每一次网上购物或是网上银行帐务查询时，我们如何保证我们所定的货物是我们所需求的；我们汇出得钱款能够安全到达指定位置；我们的查询信息能够不被别人窃取。
   基于数字证书的身份认证主要解决了以下安全问题：
1）身份认证： 由于一般信息系统以前采用的口令方式进行登陆，具有严重的安全隐患。一旦某个口令泄漏或被黑客窃取，极易造成内部泄密，而且几乎无法查觉，内部也无法进行安全审计管理。
2）信息的机密性： 在企业内部和外部网络上传输的企业敏感信息和数据有可能在传输过程中被非法用户截取。
3）信息的完整性： 敏感、机密信息和数据在传输过程中有可能被恶意篡改。

二、解决方案

2.1 方案概述

   本方案通过一个OA系统描述SSL身份认证解决方案的实现原理。
   通过数字证书绑定OA系统用户账号或员工号，使用SSL技术做为本系统的安全解决方案，由于SSL的标准性，本方案里不再赘述其原理。这种方案可以有效保证安全的身份认证、信息传递的机密性。
   本方案只描述OA系统如何与数字证书结合，以及相关API的调用接口。

2.2 方案结构图
 

2.3 方案描述

1－使用证书登陆OA系统：用户使用数字证书登OA系统；
2－验证用户证书：OA系统调用安全集成的API验证用户证书；
3－验证证书有效性：安全集成API验证用户证书有效性，包括证书CRL、签发CA验证；
4－解析用户证书：解析用户证书，取出证书相关信息；
5－返回证书的用户信息：返回用户证书相关信息给OA系统；
6－登陆成功：OA系统根据用户证书绑定的用户帐号信息，判断用户证书的有效性，用户成功登陆业务系统