CA數(shù)字簽名認(rèn)證系統(tǒng)技術(shù)方案

1、CA數(shù)字簽名認(rèn)證系統(tǒng)技術(shù)方案1. 系統(tǒng)需求1.1 背景概述隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和信息化建設(shè)的大力推廣，越來(lái)越多的傳統(tǒng)辦公和業(yè)務(wù)處理模式開(kāi)始走向電子化和網(wǎng)絡(luò)化，從而極大地提高了效率、節(jié)約了成本。與傳統(tǒng)的面對(duì)面的手工處理方式相比，基于網(wǎng)絡(luò)的電子化業(yè)務(wù)處理系統(tǒng)必須解決以下問(wèn)題：（1） 如何在網(wǎng)絡(luò)上識(shí)別用戶的真實(shí)身份；（2） 如何保證網(wǎng)絡(luò)上傳送的業(yè)務(wù)數(shù)據(jù)不被篡改；（3） 如何保證網(wǎng)絡(luò)上傳送的業(yè)務(wù)數(shù)據(jù)的機(jī)密性；（4） 如何使網(wǎng)絡(luò)上的用戶行為不可否認(rèn)；基于公開(kāi)密鑰算法的數(shù)字簽名技術(shù)和加密技術(shù)，為解決上述問(wèn)題提供了理論依據(jù)和技術(shù)可行性；同時(shí)，中華人民共和國(guó)電子簽名法的頒布和實(shí)施為數(shù)字簽名的使用提供了

2、法律依據(jù)，使得數(shù)字簽名與傳統(tǒng)的手工簽字和蓋章具有了同等的法律效力。PKI（Public Key Infrastructure）是使用公開(kāi)密鑰密碼技術(shù)來(lái)提供和實(shí)施安全服務(wù)的基礎(chǔ)設(shè)施，其中CA（Certificate Authority）系統(tǒng)是PKI體系的核心，主要實(shí)現(xiàn)數(shù)字證書的發(fā)放和密鑰管理等功能。數(shù)字證書由權(quán)威公正的CA中心簽發(fā)，是網(wǎng)絡(luò)用戶的身份證明。使用數(shù)字證書，結(jié)合數(shù)字簽名、數(shù)字信封等密碼技術(shù)，可以實(shí)現(xiàn)對(duì)網(wǎng)上用戶的身份認(rèn)證，保障網(wǎng)上信息傳送的真實(shí)性、完整性、保密性和不可否認(rèn)性。數(shù)字證書目前已廣泛應(yīng)用于安全電子郵件、網(wǎng)上商城、網(wǎng)上辦公、網(wǎng)上簽約、網(wǎng)上銀行、網(wǎng)上證券、網(wǎng)上稅務(wù)等行業(yè)和業(yè)務(wù)領(lǐng)域。

3、1.2 現(xiàn)狀與需求概述現(xiàn)狀描述?；谏鲜霈F(xiàn)狀，*系統(tǒng)需要解決數(shù)據(jù)的簽名問(wèn)題和法律效力問(wèn)題，從而提高*的便捷性和管理效率。鑒于數(shù)字證書、數(shù)字簽名的廣泛應(yīng)用和相關(guān)法律的保障，*單位規(guī)劃建設(shè)CA及數(shù)字簽名認(rèn)證系統(tǒng)，主要需求如下：（1） 建設(shè)CA系統(tǒng)或采用第三方CA，為*用戶申請(qǐng)數(shù)字證書；（2） 在現(xiàn)有*系統(tǒng)中加入對(duì)數(shù)據(jù)的簽名功能，存儲(chǔ)數(shù)據(jù)簽名并提供對(duì)簽名的認(rèn)證功能；1.3 需求分析為了解決網(wǎng)上用戶的身份證明問(wèn)題，需要為用戶頒發(fā)數(shù)字證書。數(shù)字證書由CA中心簽發(fā)，目前在實(shí)際應(yīng)用中主要存在兩種類型的CA：（1） 獨(dú)立的第三方CA跨區(qū)域的CA，如：中國(guó)電信的CTCA、中國(guó)人民銀行的CFCA；地域性的CA，如

4、：廣東電子商務(wù)認(rèn)證中心CNCA、上海電子商務(wù)認(rèn)證中心SHECA，以及其他各省電子商務(wù)認(rèn)證中心；（2） 各類應(yīng)用系統(tǒng)自己建設(shè)的CA如：招商銀行、建設(shè)銀行等建設(shè)的用于服務(wù)各自網(wǎng)上銀行的CA；海關(guān)、稅務(wù)等建設(shè)的服務(wù)各自網(wǎng)上報(bào)稅系統(tǒng)的CA；這兩種類型的CA在實(shí)際使用過(guò)程中各有優(yōu)劣，以下將進(jìn)行分析和比較：1.3.1 CA建設(shè)與使用的分析 采用獨(dú)立權(quán)威的第三方CA與自建CA的比較備注：成本比較權(quán)威的第三方CA的使用成本：10元/年/用戶 10萬(wàn)用戶 = 100萬(wàn)元/年自建CA的系統(tǒng)建設(shè)成本1.3.2 證書存儲(chǔ)方式的分析 使用普通文件存儲(chǔ)方式與USB智能卡存儲(chǔ)方式的比較USB智能卡自帶CPU，內(nèi)置芯片操作系

5、統(tǒng)（COS）；采用USB接口，易于使用和攜帶；支持RSA非對(duì)稱算法和DES、3DES等對(duì)稱算法；支持RSA公司的PKCS#11標(biāo)準(zhǔn)和微軟的CSP標(biāo)準(zhǔn)；支持Windows98/NT/2000/XP/2003等操作系統(tǒng)。USB智能卡可支持國(guó)密算法SSF33，并通過(guò)國(guó)家密碼管理委員會(huì)的檢測(cè)。1.3.3 簽名數(shù)據(jù)類型的分析*系統(tǒng)需要進(jìn)行電子簽名并存儲(chǔ)的數(shù)據(jù)主要有以下三類： 上報(bào)表單的數(shù)據(jù)簽名用戶在網(wǎng)上填寫的各類表單需要由用戶的私鑰進(jìn)行電子簽名； 上報(bào)數(shù)據(jù)文件的數(shù)據(jù)簽名用戶上傳的數(shù)據(jù)文件，其內(nèi)容需要由用戶的私鑰進(jìn)行電子簽名； 下載數(shù)據(jù)文件的數(shù)據(jù)簽名用戶通過(guò)*系統(tǒng)生成并下載的確認(rèn)數(shù)據(jù)文件（如：PDF格式）

6、，其內(nèi)容需要由用戶的私鑰進(jìn)行電子簽名并回傳至系統(tǒng)存儲(chǔ)。2. 技術(shù)方案2.1 系統(tǒng)總體架構(gòu)系統(tǒng)的總體架構(gòu)如下圖所示，主要由：*業(yè)務(wù)系統(tǒng)、CA數(shù)字證書受理系統(tǒng)、數(shù)字簽名認(rèn)證系統(tǒng)三大部分組成。2.2 系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)中包含兩個(gè)數(shù)據(jù)庫(kù)（Sybase）：業(yè)務(wù)數(shù)據(jù)庫(kù)和證書數(shù)據(jù)庫(kù)，其中證書數(shù)據(jù)庫(kù)需要新建，業(yè)務(wù)數(shù)據(jù)庫(kù)需要更新，以滿足數(shù)字簽名認(rèn)證的需求。（1）證書數(shù)據(jù)庫(kù)主要包括以下數(shù)據(jù)：用戶數(shù)據(jù)：用于用戶數(shù)字證書的申請(qǐng)，可以由業(yè)務(wù)數(shù)據(jù)庫(kù)批量導(dǎo)入；證書數(shù)據(jù)：用戶證書及證書信息、證書狀態(tài)；用戶與證書的關(guān)聯(lián)數(shù)據(jù)：用戶信息與用戶證書的對(duì)應(yīng)關(guān)系；（2）業(yè)務(wù)數(shù)據(jù)庫(kù)主要包括以下數(shù)據(jù)：用戶數(shù)據(jù)：用戶的用戶信息；業(yè)務(wù)數(shù)據(jù)及簽名數(shù)據(jù)

7、：業(yè)務(wù)的各項(xiàng)數(shù)據(jù)，需要增加相應(yīng)的簽名字段和簽名證書的序列號(hào)字段；2.3 CA數(shù)字證書受理系統(tǒng)2.3.1 數(shù)字證書及其格式數(shù)字證書是一種數(shù)字標(biāo)識(shí)，如同我們的身份證一樣，是網(wǎng)絡(luò)上的身份證明，它是由證書授權(quán)機(jī)構(gòu)（CA）簽名頒發(fā)的數(shù)字文件，該簽名使得第三者不能偽造和篡改證書。ITU-T的X.509國(guó)際標(biāo)準(zhǔn)定義了數(shù)字證書的格式，目前X .509v3數(shù)字證書的主要內(nèi)容，如圖2所示，主要包括證書的版本號(hào)、證書的序列號(hào)、證書的有效起止日期、證書頒發(fā)者的名字和唯一標(biāo)識(shí)符、證書持有者的名字和唯一標(biāo)識(shí)符、證書持有者的公鑰、證書擴(kuò)展項(xiàng)以及證書頒發(fā)者的簽名。其中，證書擴(kuò)展項(xiàng)可以根據(jù)證書的不同應(yīng)用而由證書的頒發(fā)者具體定義

8、，因而具有較強(qiáng)的通用性和靈活性。由于數(shù)字證書是由相對(duì)權(quán)威的授權(quán)機(jī)構(gòu)審核頒發(fā)的，因此，一方面可以用來(lái)向系統(tǒng)或者系統(tǒng)的其他實(shí)體證明自己的身份；另一方面，由于證書攜帶著其持有者的公鑰，也起著公鑰分發(fā)的作用。X .509v3數(shù)字證書的主要格式基于*單位的現(xiàn)狀與需求分析，建議建設(shè)自己的業(yè)務(wù)系統(tǒng)CA，節(jié)約總體成本投入，滿足業(yè)務(wù)系統(tǒng)對(duì)CA認(rèn)證的可靠性、靈活性、快捷性以及用戶使用的方便性等方面的需求。另外，也可以采用基于權(quán)威第三方的CA數(shù)字證書受理系統(tǒng)。2.3.2 自建CA數(shù)字證書受理系統(tǒng)獨(dú)立建設(shè)的CA數(shù)字證書受理系統(tǒng)自建CA數(shù)字證書受理系統(tǒng)主要由WEB應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)、RA服務(wù)器、CA服務(wù)器組成，采用B/

9、S（瀏覽器/服務(wù)器）架構(gòu)實(shí)現(xiàn)基于WEB的數(shù)字證書申請(qǐng)、審核、下載制作、更新和作廢等功能。 自建CA各組成部分及其功能 基于WEB的證書管理系統(tǒng)為用戶和管理員提供WEB管理界面，完成用戶證書申請(qǐng)信息的提交、查詢、審核；已生成的數(shù)字證書的下載和制作（存儲(chǔ)到指定介質(zhì)）；證書狀態(tài)的查詢和管理（證書更新、證書作廢）；私鑰密碼的修改等功能。 證書數(shù)據(jù)庫(kù)存儲(chǔ)用戶信息、證書信息以及二者的關(guān)聯(lián)信息，保存用戶的所有歷史證書數(shù)據(jù)，以備校驗(yàn)歷史簽名數(shù)據(jù)。 注冊(cè)授權(quán)服務(wù)器（RA）負(fù)責(zé)定期從數(shù)據(jù)庫(kù)中提取已審核通過(guò)的證書申請(qǐng)/更新/作廢信息，按既定格式打包提交到CA服務(wù)器，并接收和記錄返回的結(jié)果。 證書簽發(fā)服務(wù)器（CA）負(fù)

10、責(zé)密鑰對(duì)（公私鑰對(duì)）的產(chǎn)生，可采用軟件方式或硬件方式（加密機(jī)）；接收RA服務(wù)器的請(qǐng)求，簽發(fā)/更新/作廢用戶證書；定期簽發(fā)CRL（證書撤銷列表）。備注：（1）CA服務(wù)器采用軟件方式產(chǎn)生密鑰對(duì)可節(jié)約系統(tǒng)成本；采用硬件方式產(chǎn)生密鑰對(duì)，則需要購(gòu)置加密機(jī)（國(guó)密局認(rèn)證的密碼設(shè)備，得安SJY05型加密機(jī)），產(chǎn)生的密鑰對(duì)質(zhì)量高，也有利于自建的CA完成相關(guān)認(rèn)證和獲取資質(zhì)。（2）RA服務(wù)器和CA服務(wù)器均為軟件方式的應(yīng)用程序，可共用一臺(tái)主機(jī)。 自建CA的主要功能和技術(shù)特點(diǎn)自建CA總體上具有建設(shè)成本低、易于部署；流程簡(jiǎn)捷高效、易于管理；系統(tǒng)可定制，易于與具體業(yè)務(wù)系統(tǒng)相結(jié)合等特點(diǎn)。系統(tǒng)的主要功能如下： 自定義根CA：系

11、統(tǒng)初始化時(shí)，自定義根CA證書。 CA策略管理：支持對(duì)密鑰長(zhǎng)度、證書有效期、私鑰備份等策略的管理。 證書申請(qǐng)信息注冊(cè)：通過(guò)WEB方式提交證書申請(qǐng)信息，支持個(gè)人證書、企業(yè)證書、服務(wù)器證書等，支持批量證書申請(qǐng)。 證書申請(qǐng)信息審核：管理員通過(guò)WEB方式查詢并審核用戶的證書申請(qǐng)信息，可設(shè)置自動(dòng)審核。 密鑰產(chǎn)生和證書簽發(fā)：CA服務(wù)器支持軟件方式和硬件方式（加密機(jī)或加密卡）產(chǎn)生密鑰對(duì)，并簽發(fā)證書請(qǐng)求，生成證書。 證書查詢和下載制作：通過(guò)WEB方式查詢證書申請(qǐng)狀態(tài)、證書狀態(tài)，下載已經(jīng)生成的證書，并通過(guò)WEB方式灌制到指定的存儲(chǔ)介質(zhì)。 證書作廢和CRL簽發(fā)：通過(guò)WEB方式提交證書作廢請(qǐng)求，定時(shí)簽發(fā)CRL。 證書

12、更新：即將到期的用戶證書可以通過(guò)WEB方式進(jìn)行在線更新。 證書導(dǎo)出：可以通過(guò)WEB方式將指定范圍的用戶證書按標(biāo)準(zhǔn)格式（BASE64編碼）導(dǎo)出到文件中。 系統(tǒng)審計(jì)：對(duì)證書相關(guān)的各項(xiàng)操作，提供詳盡的系統(tǒng)審計(jì)功能。系統(tǒng)的主要技術(shù)和功能特點(diǎn)： 數(shù)字證書格式遵循X.509v3國(guó)際標(biāo)準(zhǔn) 密鑰長(zhǎng)度可支持512、1024、2048位 密鑰生成方式支持軟件產(chǎn)生和硬件（加密機(jī)或加密卡）產(chǎn)生 支持CA策略定制（密鑰長(zhǎng)度、證書有效期、私鑰備份等策略） 支持多種證書類型：個(gè)人、企業(yè)、服務(wù)器證書等 支持多種存儲(chǔ)介質(zhì)：磁盤、U盤、IC卡、USB智能卡（eKey） 支持證書的批量申請(qǐng)，支持證書申請(qǐng)的手工審核和自動(dòng)審核 支持證

13、書作廢和證書撤銷列表（CRL），支持證書更新 自建CA的證書受理業(yè)務(wù)流程自建CA的證書受理業(yè)務(wù)流程上述流程中的相關(guān)步驟說(shuō)明如下：（1） 步驟1至3，可以根據(jù)實(shí)際情況由管理員一次錄入資料并自動(dòng)審核；對(duì)于*系統(tǒng)而言，可以從系統(tǒng)的數(shù)據(jù)庫(kù)中按要求格式導(dǎo)出用戶數(shù)據(jù)文件，再批量導(dǎo)入證書申請(qǐng)數(shù)據(jù)庫(kù)中，同時(shí)自動(dòng)審核；（2） 步驟8至9，可根據(jù)實(shí)際情況由用戶或管理員完成下載操作。自建CA系統(tǒng)在對(duì)外提供電子認(rèn)證服務(wù)時(shí)，需要通過(guò)國(guó)家密碼管理局、國(guó)務(wù)院信息產(chǎn)業(yè)主管部門的審查并獲取電子認(rèn)證許可證。2.3.3 自建CA切換到第三方CA的可行性分析自建CA在結(jié)構(gòu)上具有良好的兼容性，通過(guò)RA服務(wù)器可以屏蔽不同CA中心所帶來(lái)的

14、接口問(wèn)題。當(dāng)整個(gè)CA系統(tǒng)需要切換到第三方CA時(shí)，只需更改RA服務(wù)器，按第三方CA系統(tǒng)的接口格式，將證書申請(qǐng)數(shù)據(jù)打包提交到第三方CA系統(tǒng)即可實(shí)現(xiàn)證書的申請(qǐng)，原有的基于WEB的證書管理系統(tǒng)將仍然有效。2.3.4 基于第三方（CTCA）的數(shù)字證書受理系統(tǒng)目前，國(guó)內(nèi)擁有CTCA、CFCA等大型CA運(yùn)營(yíng)系統(tǒng)，它們通過(guò)了相關(guān)部門的審批，具有相關(guān)資質(zhì)，是對(duì)外提供電子認(rèn)證服務(wù)的權(quán)威、公正的第三方CA系統(tǒng)。如果采用第三方CA系統(tǒng)，則需要完成以下工作：（1） 與第三方CA簽署合作協(xié)議；（2） 從第三方CA系統(tǒng)申請(qǐng)數(shù)字證書；（3） 為申請(qǐng)的數(shù)字證書按年交納使用費(fèi)用；在申請(qǐng)和使用數(shù)字證書的過(guò)程中，需要遵循第三方CA限

15、定的證書申請(qǐng)模式，受第三方CA系統(tǒng)性能制約。從第三方CA系統(tǒng)申請(qǐng)數(shù)字證書的方式可以是用戶分散申請(qǐng)方式或者批量申請(qǐng)方式，前者對(duì)用戶要求較高且過(guò)程繁瑣，后者需要將批量申請(qǐng)下來(lái)的數(shù)字證書手工導(dǎo)入業(yè)務(wù)系統(tǒng)中。建立基于第三方CA的數(shù)字證書網(wǎng)上受理系統(tǒng)，是解決第三方CA數(shù)字證書申請(qǐng)的有效途徑之一，通過(guò)該系統(tǒng)連接業(yè)務(wù)系統(tǒng)和第三方CA，從而實(shí)現(xiàn)數(shù)字證書申請(qǐng)過(guò)程以及數(shù)字證書與業(yè)務(wù)系統(tǒng)結(jié)合過(guò)程的自動(dòng)化。2.4 數(shù)字簽名認(rèn)證系統(tǒng)數(shù)字簽名認(rèn)證系統(tǒng)由客戶端瀏覽器簽名控件、簽名認(rèn)證服務(wù)器、基于WEB的簽名驗(yàn)證管理系統(tǒng)組成。2.4.1 數(shù)字簽名認(rèn)證的原理及流程數(shù)字簽名認(rèn)證的原理數(shù)字簽名基于非對(duì)稱加密算法和單向散列算法（Ha

16、sh函數(shù)），其原理如下： 用戶A對(duì)要發(fā)送的信息用Hash函數(shù)進(jìn)行摘要，并用自己的私鑰加密該摘要； 用戶A把原始信息和私鑰加密后的摘要綁定，發(fā)送給用戶B； 用戶B用A的公鑰解密接收到的加密摘要，并得到摘要； 用戶B對(duì)接收的原始信息用同一Hash函數(shù)進(jìn)行摘要； 將前兩步所得的摘要進(jìn)行對(duì)比，如果相同，即可通過(guò)驗(yàn)證。利用證書驗(yàn)證簽名數(shù)據(jù)時(shí)，都遵循相同的驗(yàn)證流程，一個(gè)完整的驗(yàn)證過(guò)程由以下幾步：（1） 將接收的數(shù)據(jù)分為原始數(shù)據(jù)流、簽名數(shù)據(jù)和用戶證書三部分；（2） 用CA根證書驗(yàn)證用戶證書的簽名完整性；（3） 檢查用戶證書是否有效（當(dāng)前時(shí)間在證書的有效期內(nèi)為有效）；（4） 檢查用戶證書是否作廢 (OCSP方

17、式或證書撤銷列表CRL方式)；（5） 驗(yàn)證用戶證書結(jié)構(gòu)中的證書用途；（6） 用用戶證書驗(yàn)證原始數(shù)據(jù)的簽名完整性。如果上述各項(xiàng)均驗(yàn)證通過(guò)，則接受該數(shù)據(jù)；只要有一項(xiàng)未通過(guò)，則驗(yàn)證失敗。2.4.2 客戶端瀏覽器簽名控件客戶端瀏覽器簽名控件采用ActiveX控件形式（如下圖所示），在第一次使用系統(tǒng)時(shí)自動(dòng)下載安裝。圖9 客戶端瀏覽器簽名控件的自動(dòng)下載安裝示例客戶端簽名控件可以以瀏覽器插件形式自動(dòng)調(diào)用，也可以以腳本方式調(diào)用，主要完成以下功能：（1） 對(duì)網(wǎng)頁(yè)中的表單（Form）數(shù)據(jù)項(xiàng)進(jìn)行簽名表單中的各數(shù)據(jù)項(xiàng)按約定方式命名，簽名控件自動(dòng)檢測(cè)表單數(shù)據(jù)項(xiàng)并按如下格式對(duì)表單進(jìn)行簽名：簽名數(shù)據(jù) = 私鑰簽名（ Has

18、h（Key1=Value1&Key2=Value2&KeyN=ValueN）提交到服務(wù)器的數(shù)據(jù) = 原始表單數(shù)據(jù) + 簽名數(shù)據(jù) + 用戶數(shù)字證書（2） 對(duì)網(wǎng)頁(yè)中上傳的數(shù)據(jù)文件內(nèi)容進(jìn)行簽名上傳文件的控件名按約定方式命名，簽名控件自動(dòng)檢測(cè)準(zhǔn)備上傳的數(shù)據(jù)文件，讀取文件內(nèi)容并按如下格式對(duì)文件進(jìn)行簽名：簽名數(shù)據(jù) = 私鑰簽名（Hash（上傳文件的內(nèi)容）提交到服務(wù)器的數(shù)據(jù) = 原始文件數(shù)據(jù) + 簽名數(shù)據(jù) + 用戶數(shù)字證書2.4.3 簽名認(rèn)證服務(wù)器及認(rèn)證的業(yè)務(wù)流程如圖2所示，簽名認(rèn)證服務(wù)器位于防火墻之后，與EJB服務(wù)器配合使用，并與證書數(shù)據(jù)庫(kù)相連接，其認(rèn)證的業(yè)務(wù)流程如下圖所示：簽名認(rèn)證服務(wù)器的認(rèn)證業(yè)務(wù)流程簽

19、名認(rèn)證服務(wù)器主要完成以下功能：（1） 接收EJB服務(wù)器提交的認(rèn)證請(qǐng)求數(shù)據(jù)；（2） 從認(rèn)證請(qǐng)求數(shù)據(jù)中獲取數(shù)據(jù)、數(shù)據(jù)簽名和用戶數(shù)字證書，根據(jù)配置的CA根證書，校驗(yàn)用戶證書是否由本CA簽發(fā)，是否在有效期范圍之內(nèi)；（3） 查詢證書數(shù)據(jù)庫(kù)中相應(yīng)證書的狀態(tài)，檢查用戶證書是否被作廢；（4） 用用戶證書校驗(yàn)數(shù)據(jù)簽名；（5） 驗(yàn)證通過(guò)的數(shù)據(jù)、數(shù)據(jù)簽名及相應(yīng)的簽名證書序列號(hào)交由EJB服務(wù)器入*系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫(kù)存儲(chǔ)；系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫(kù)的每一條記錄應(yīng)當(dāng)增加數(shù)字簽名和簽名證書序列號(hào)兩個(gè)字段。各個(gè)數(shù)據(jù)項(xiàng) 數(shù)據(jù)簽名 簽名證書的序列號(hào)2.4.4 基于WEB的簽名驗(yàn)證管理系統(tǒng)基于WEB的簽名驗(yàn)證管理系統(tǒng)提供WEB方式的歷史數(shù)據(jù)查詢和簽名校驗(yàn)功能，其業(yè)務(wù)流程如下：（1） 查詢歷史數(shù)據(jù)和簽名；（2） 根據(jù)簽名證書序列號(hào)在證書數(shù)據(jù)庫(kù)中查找用戶證書；（3） 使用用戶證書校驗(yàn)簽名；證書數(shù)據(jù)庫(kù)中必須保存用戶的所有歷史證書數(shù)據(jù)，以便對(duì)歷史簽名數(shù)據(jù)進(jìn)行校驗(yàn)。2.5 數(shù)據(jù)加密傳輸通道（SSL）目前，*系統(tǒng)采用的是普通的HTTP傳輸通道和明文數(shù)據(jù)傳送。通過(guò)在WEB應(yīng)用服務(wù)器（WebLogic）上配置服務(wù)器證書和私鑰，可以實(shí)現(xiàn)基于SSL的HTTPS傳輸通道，保證其中傳送的數(shù)