【BOS基础系统_安全认证】EAS天威诚信CA认证流程

首先了解下保证客户端与服务端数据交互安全的两个概念，这里我们以非对称加密算法举例：

公钥和私钥是一套非对称秘钥，公钥是公开的，私钥是保密的（私钥存放在固定的容器中。如果使用ukey，那么私钥就存放在ukey中；如果使用软证书，就存在服务端私钥文件中）

1、数据加密解密：公钥（证书）用来加密，私钥用来解密（保证传输数据加密）

2、数据签名验签：私钥用来签名，公钥（证书）用来验签（保证传输数据不被篡改）

对于EAS中的CA认证而言，天威诚信的CA认证也是非对称加密算法（不过只做了签名验签，未做加解密）。

1、EAS天威诚信CA认证配置指南

2、CA认证流程举例

1）、（第一次操作）付款单审批时，插入了用户A的ukey，弹框输入ukey密码之后

第一次操作只会签名：会用A的私钥（ukey中的私钥）对付款单需要签名的数据做签名，查询签名记录表中是否有该笔单据的签名，如果没有就会存入签名记录表（叫做签名A），认证流程结束，继续处理业务。

2）、（第二次操作）该笔付款单提交银企时，此时可能登录的B用户，插入了B用户的ukey，弹框输入ukey密码之后

第二次操作开始都会对上一次的签名做验签：查询到该笔单据最新（签名时间）的一次签名记录（签名A），并查询其关联的用户绑定的公钥证书（即EAS中A用户的公钥证书），然后用A用户的公钥证书对上一次签名（签名A）做验签

如果验签通过：会用B的私钥（ukey中的私钥）对付款单需要签名的数据做签名，将签名B 存入签名记录表中，成为该笔单据最新的签名B，认证流程结束，继续处理业务。

如果验签不通过：EAS前端会报错，业务中断。具体原因见EAS服务器对应实例下天威CA日志（

$EAS_HOME\eas\server\profiles\server*\logs\iTrusca_server）中看一般会有对用户A（搜索用户名即可）的验签流程日志，例如下图）

用户证书