资源描述
内部资料注意保管中国人民银行信息系统电子认证应用指引(征求意见稿)中国人民银行2010年1月目 录1概况11.1.编写目的11.2.适用范围11.3.指引内容简介11.4.术语定义12CA系统及应用简介42.1.生产系统52.2.测试系统62.3.CA应用现状62.3.1.CA系统与CA应用的关系62.3.2.CA应用类型与模式82.3.2.1.CA应用类型82.3.2.2.应用模式103应用流程和工作分工143.1.CA应用总体流程143.2.需求阶段173.2.1.工作内容173.2.2.参与部门与工作流程173.3.设计阶段173.3.1.工作内容173.3.2.参与部门与工作流程173.4.开发阶段183.4.1.工作内容183.4.2.参与部门及工作流程183.5.测试阶段183.5.1.工作内容183.5.2.参与部门及工作流程193.6.上线实施阶段203.6.1.工作内容203.6.2.参与部门及工作流程203.7.运维阶段203.7.1.工作内容203.7.2.参与部门及工作内容204CA应用设计和实现的内容204.1.确定CA应用需求类型214.2.确定实现方式214.2.1.软件方式214.2.2.硬件方式224.3.其他内容224.3.1.撤销列表下载方式224.3.2.交叉认证234.3.3.多应用加载的环境234.4.应用策略234.4.1.实现方式234.4.2.撤销列表下载方式244.4.3.CA应用模式实现方式244.4.3.1.B/S模式实现方式244.4.3.2.C/S模式实现方式254.4.3.3.S/S模式实现方式254.4.3.4.混合模式实现方式264.4.4.其他情况264.5.CA应用模板265附录285.1.CA应用开发包获取方式285.2.人民银行CA系统DN规则33III1 概况1.1. 编写目的本指引是人民银行信息系统电子认证应用(以下简称“CA应用”)的指导性文件。CA应用贯穿信息系统建设的设计、开发、测试、上线实施及运行维护的各个阶段,通过该指引规范CA应用的工作流程,以便各相关部门(业务部门、管理部门、建设部门、运维部门)明确职责、保证CA应用的顺利进行。本指引解释权归属人民银行总行科技司。1.2. 适用范围本指引适用于人民银行内部及与人民银行有信息系统互联的外部机构。其中人民银行内部各部门包括系统管理部门、业务部门、系统建设部门、系统运维部门等;外部机构的使用范围根据互联机构的具体情况由人民银行业务主管部门和科技司共同决定。使用CA安全认证服务的机构、部门和个人,都需要严格遵守本指引。1.3. 指引内容简介本指引在简单介绍人民银行CA系统基本情况的基础上,重点介绍了CA应用涉及的工作内容、应用策略、应用流程和工作分工,并在附录中给出与CA应用有关的管理制度和技术文档。1.4. 术语定义PKI:Public Key Infrastructure即公开密钥基础设施,是以公钥(非对称)密码学为基础,为信息系统提供安全认证服务,构建网络信任体系的安全基础平台。CA:Certification Authority即认证中心。CA是PKI的核心,受信任的第三方,生成用户的数字证书,解决公钥体系中公钥的合法性问题。本指引中CA专指人民银行内部CA系统。RA:Registration Authority即注册机构,数字证书注册审批机构。负责完成证书的发放、撤销、更新、恢复、冻结和解冻等管理功能。本指引中RA专指人民银行RA系统。LRA:Local Registration Authority即证书注册审核受理点,RA的组成部分,作为证书发放受理点,直接面向用户。KMC:Key Management Centre密钥管理中心,提供加密密钥的产生、存储、更新、分发、查询、撤消、归档、备份及恢复等管理功能。LDAP:Lightweight Directory Access Protocol 目录服务器,用以存储和发布用户的证书信息、证书撤销列表,用户在使用证书时通过访问目录服务器,验证证书的有效性。CRL:Certificate Revocation List证书撤消列表,通过查询CRL用以验证证书的使用状态是否为撤消或冻结,判断证书的有效性。OCSP:Online Certificate Status Protocoal即在线证书状态协议,与CRL以及证书状态相结合,能为用户提供高效、实时的证书状态查询服务。TSA:Time Stamp Authority即时间戳服务,负责对所有请求时间戳服务的请求进行签发处理,并对时间戳进行相应的管理。数字证书:由CA认证中心发放的,能进行身份验证的一种权威性文件,用户通过数字证书来证明自己的身份和识别对方的身份。数字证书是一段包含用户或服务器身份信息、公钥信息以及身份验证机构数字签名的文件,人民银行CA证书格式及证书内容遵循X.509标准。数字签名:数字签名是指用户用自己的私钥对业务操作数据、数据传输等相关信息的哈希摘要用非对称密码算法进行加密所得的数据,实现对业务操作数据及数据发送者的身份认证,防止抵赖,保证数据的完整性。数字信封:结合对称密码和非对成密码技术,用以保证数据传输安全的加密方法。个人证书:向个人使用者发放的数字证书,用以实现应用系统中个人操作所需的安全服务。个人证书的保管使用由使用者本人负责。人民银行CA个人证书分为:RA管理员证书、LRA管理员证书、LRA操作员证书、个人单密钥证书。其中RA管理员证书、LRA管理员证书、LRA操作员证书均可用于管理或使用LRA系统;个人单密钥证书为个人普通证书。服务器证书:发放给应用系统中服务器的数字证书,用以建立服务器和客户端之间的安全信任关系。设备证书:发放给网络设备的数字证书,用以实现该设备所需的安全服务。机构证书:向与应用系统互联的外部机构发放的证书,该证书的使用对象为机构。它解决的是人民银行信息系统与外部机构系统互联时,对所连接的机构实体进行认证的问题,而不针对这个机构中的具体操作人员,这也是业务数据交换的延伸超出了管辖范围情况下的一种解决办法。机构证书在应用系统中的具体表现形式为服务器证书。证书责任人:个人证书的证书责任人是证书持有(使用)人;服务器、设备证书责任人是证书申请部门为该证书指定的证书管理责任人。SSL:Security Socket Layer即安全套接层协议,通信双方通过数字证书,建立数据传输安全通道的协议。身份认证:验证一个主体身份的过程,即验证者根据被验证者提供的或拥有的身份鉴别信息用以确认其身份是否真实的过程。数据机密性:信息具有的一种内在性质,这一性质要求信息不泄露给非授权的个人、实体或进程,不为其所用。数据完整性:信息具有的一种内在性质,这一性质表明信息没有遭受以非授权方式所作的篡改或破坏。数据不可否认性:信息具有的一种内在性质,确保个人或设备不能否认其发送过的信息及交易,也称抗抵赖性。2 CA系统及应用简介人民银行内部CA系统(以下简称“CA系统”)作为人民银行的安全基础设施,为人民银行信息系统提供身份认证、防抵赖、完整性和保密性的安全服务。根据CA系统运行和CA应用的实际需要,CA系统分为生产系统和测试系统两部分,下面对两个系统分别进行介绍。2.1. 生产系统CA生产系统的体系结构如下图所示:从目录服务器图1 人民银行CA生产系统 其中:l CA生产系统分为CA中心和RA证书注册系统。l 其中CA中心作为后台系统生产证书,并提供证书及撤销列表的查询服务。目前CA中心部署在金电公司,由金电公司负责CA中心运维和CA应用的技术支持工作。l RA系统作为证书发放系统面向用户,负责证书申请的审核和发放。RA系统部署在总行信管中心,由总行信管中心负责运维,总行信管中心和上海总部/营管部/分行/省会中支的管理员、操作员通过Web界面登陆RA系统进行证书相关操作。2.2. 测试系统测试系统的体系结构图如下:图2 人民银行CA测试系统其中:l 测试系统整体部署在金电公司,由金电公司服务运维。l 金电公司的工作包括测试证书的生产、发放。l 提供CA应用测试技术支持。2.3. CA应用现状2.3.1. CA系统与CA应用的关系CA系统作为人民银行的安全基础设施,提供数字证书签发、密钥管理、证书查询等功能,应用系统根据CA应用工具(开发包或硬件设备),通过接口开发实现自身的签名、验签名等功能模块,从而满足应用系统身份认证、防抵赖、完整性、保密性的安全需求。CA系统及CA应用的现状如下图所示:图3 CA系统及CA应用现状示意图其中:l 图中左半部分为CA系统示意图,右半部分为应用系统的CA实现示意图。l 图中虚线为RA系统面向用户离线方式的证书申请、发放。 个人证书申请证书时,USBKey产生密钥对,私钥驻留USBKey中,不可导出,实现对私钥的硬件级保护,同时在应用中数字签名的密码运算在USBKey内完成。 服务器证书服务器证书的申请、发放,根据确定的CA应用方式有所不同。如果是软件方式,则服务器的管理员需要使用专用工具产生密钥对及证书申请文件,提交给发证终端LRA,由CA中心生产签名证书后,返给系统管理员,管理员用该工具将本地保存的私钥和签名证书一起转换为系统所需的证书文件。如果是硬件方式,需要硬件支持申请证书。l 图中黑色加粗线条表示在CA应用中,应用系统在线(或离线)查询证书撤销列表(CRL),验证证书的有效性。l 根据具体应用系统的需求,在客户端和服务器端分别部署所需的CA应用安全套件。安全套件的内容包括开发包、硬件设备、根证书、用户证书、撤销列表。2.3.2. CA应用类型与模式2.3.2.1. CA应用类型随着CA应用的推广,我行应用系统数据集中以及资源整合的不断深入,根据不同的安全需求,可将CA应用分为如下几种不同类型。一、安全需求说明基于CA应用,应用系统能够实现系统用户身份认证和系统数据传输安全等安全需求,其中数据传输安全包括数据防抵赖、完整性和保密性需求。二、基于CA应用实现信息系统用户身份认证(一) 基于SSL协议双向认证实现系统用户身份认证基于SSL协议双向认证,能够实现系统服务器和用户认证,加密数据并防止数据中途被窃取,维护数据的完整性,确保数据在传输过程中不被改变。(二) 基于签名、验签实现系统用户身份认证首先在客户端调用数字签名的接口完成数字签名,并生成签名包,然后将该签名包传递给服务器端,服务器端调用验签的接口对签名包进行验证,并将验证结果返回给客户端。由于验证签名包时包含了完整的证书验证功能,从而可以完成身份认证功能。图4基于签名、验签实现系统用户身份认证流程三、基于签名/验签实现数据传输的完整性和防抵赖基于签名/验签能够实现系统间数据传输的完整性的防抵赖。系统A在发送数据时,将拟发送的数据进行数据签名,并将签名数据和拟发送的数据等一同发送给系统B。系统B基于系统A发送过来的数据进行验签,验证书数据在传输过程中的完整性,实现数据传输过程中的防抵赖和完整性安全需求。四、基于数字信封实现数据传输的保密性数字信封是对称加密和非对称加密相结合的CA应用,实现系统间数据传输的保密性。在进行数据传输时,通过生成随机数,作为对称加密密钥,实现拟发送数据的对称加密;通过非对称加密实现对称加密密钥的传输。2.3.2.2. 应用模式CA应用模式包括以下三种:B/S模式,即浏览器/服务器架构下的证书应用;C/S模式,即客户端/服务器架构下的证书应用;S/S模式,即服务器/服务器架构下的证书应用,多为系统互联。下面对这三种结构进行详细说明。 一、B/S结构B/S结构是目前普遍的应用系统结构,即客户端以浏览器登录服务器,实现业务操作的应用模式。目前主流的Web服务器和主流浏览器都支持SSL协议,因此身份认证可以基于SSL实现。但由于SSL不能有效实现交易/行为的抗抵赖性和关键数据的保密性,所以还需要在浏览器端和服务器端增加加解密/签名验证模块,来真正实现交易/行为的抗抵赖性和关键数据的保密性。具体实现中,需要在浏览器端需要配置个人证书,服务器端需要配置服务器证书。针对IE浏览器,需要在客户端安装CSP模块,加解密/签名验证模块可以采用ActiveX技术实现;针对非IE浏览器如Netscape等,需要在浏览器端安装Pkcs#11模块,加解密/签名验证模块可以采用Plugin或XPCOM技术实现。图示如下:浏览器内置SSL模块Web服务器内置SSL模块CSP模块加解密/签名验证模块证书/私钥介质CSP模块加解密/签名验证模块证书/私钥介质证书身份认证交易/行为抗抵赖性关键数据保密性图5 CA应用B/S结构图二、C/S结构C/S是以前比较流行的应用系统结构,即需要在客户端部署客户端软件,用户通过客户端软件登录服务器,进行业务操作。C/S结构一般都不支持PKI证书机制,为了实现证书应用,提高系统安全性,必须在客户端和服务器端增加PKI安全模块。(一)安全代理方式对于安全性要求不高或无法进行开发改造的C/S系统,可以采用安全代理技术,实现证书应用,提高身份鉴别的强度和数据传输的安全性,如下图所示:客户端C服务器端S证书身份认证数据传输保密性证书/私钥介质证书/私钥介质安全代理客户端安全代理服务器图6 CA应用C/S结构图(1)采用安全代理技术,需要在客户端部署安全代理客户端,在服务器端部署安全代理服务器,由安全代理客户端/服务器负责实现PKI证书机制,对原有的客户端和服务器端没有影响;客户端/服务器与安全代理客户端/服务器之间通过TCP/IP协议进行通信。(二)2、API接口开发方式对于安全性要求较高且能够进行开发改造的C/S系统,可以采用API接口技术进行开发,实现证书应用,提高身份认证的强度,同时保证数据保密性、完整性以及交易/行为的抗抵赖性,如下图所示:API接口包客户端C服务器端S数据完整性交易/行为抗抵赖性证书/私钥介质API接口包证书/私钥介质证书身份认证数据保密性图7 CA应用C/S结构图(2)采用API接口开发方式,需要分别在客户端和服务器端利用API接口开发包进行接口开发改造,在客户端/服务器端的业务处理逻辑中通过函数调用方式,调用证书API接口来实现PKI证书机制。在客户端需要配置个人证书,在服务器端需要配置服务器证书。三、S/S结构S/S结构即两个服务器之间的数据交换,一般为不同应用系统之间的交换。S/S结构一般都不支持PKI证书机制,为了实现证书应用,提高系统安全性,必须在服务器两端增加PKI安全模块。1、(一)安全代理方式对于安全性要求不是很高或无法进行开发改造的S/S系统,可以采用安全代理技术,实现证书应用,提高身份认证的强度和数据传输的安全性,如下图所示:服务器端S服务器端S证书身份认证数据传输保密性证书/私钥介质证书/私钥介质安全代理服务器安全代理服务器图8 CA应用S/S结构图(1)采用安全代理技术,需要在服务器两端都部署安全代理服务器,由安全代理服务器负责实现PKI证书机制,对原有的服务器端没有影响,服务器与安全代理服务器之间通过TCP/IP协议进行通信。在服务器两端均需要配置服务器证书。(二)2、API接口开发方式对于安全性要求很高且能够进行开发改造的S/S系统,可以采用API接口技术进行开发,实现证书应用,提高身份认证的强度,同时保证数据保密性、完整性以及交易/行为的抗抵赖性,如下图所示:API接口包服务器端C服务器端S数据完整性交易/行为抗抵赖性证书/私钥介质API接口包证书/私钥介质证书身份认证数据保密性图9 CA应用S/S结构图(2)采用API接口开发方式,需要分别在服务器两端利用API接口开发包进行接口开发改造,在服务器两端的业务处理逻辑中通过函数调用方式,调用证书API接口来实现PKI证书机制。在服务器两端均需要配置服务器证书。3 应用流程和工作分工首先通过流程图从整体上介绍CA应用流程,其次根据整体流程分阶段介绍工作内容和参与部门的职责。3.1. CA应用总体流程CA应用总体流程根据CA应用实现过程涉及的不同阶段来确定,包括CA应用需求提出、确认,制定CA应用方案,方案审核确认,CA应用开发实现,测试,证书发放、实施及运行维护几个阶段。详细内容如下:第一步:业务部门提出CA应用需求。第二步:在项目管理部门协助下,由建设部门细化CA应用需求,提交业务部门确认,建设部门根据业务部门的要求完善需求,若业务部门认可CA应用需求,则进入第三步。第三步:建设部门制定CA应用方案。第四步:建设部门提交CA应用方案到项目管理部门。第五步:项目管理部门组织审核确认CA应用方案。第六步:建设部门根据项目管理部门审核意见进一步完善方案,若方案审核通过,则进入第七步。第七步:建设部门获取CA应用开发包,完成CA应用开发工作。第八步:建设部门进行CA应用测试。第九步:证书发放管理部门实现CA数字证书发放工作。第十步:建设部门进行CA应用实施。第十一步:运行部门进行系统运行。实施建设部门数字证书发放证书发放管理部门提出应用需求业务部门细化需求建设部门确认需求业务部门制定方案建设部门Y N金电公司技术支持方案审核确认管理部门编码实现建设部门测试建设部门运维部门运维图10 CA应用总体流程图以下根据总体流程分阶段的详细描述各阶段的工作内容及参与的部门。3.2. 需求阶段3.2.1. 工作内容提出CA应用的明确需求。3.2.2. 参与部门与工作流程第一步:由业务部门提出身份认证、防抵赖、完整性和保密性的安全需求。第二步:业务部门将初步的安全需求提交项目建设部门进行细化,明确在业务系统中,具体那些业务需要进行数字签名。第三步:项目建设部门将细化的需求提交业务部门进行确认。3.3. 设计阶段3.3.1. 工作内容基于该指引,制定CA应用方案。3.3.2. 参与部门与工作流程第一步:项目建设部门根据业务部门确认的CA应用需求及本指引,制定CA应用方案。第二步:项目建设部门将制定的CA应用方案提交项目管理部门。第三步:项目管理部门组织审核确认项目建设部门提交的CA应用方案。第四步:项目建设部门根据项目管理部门审核意见进一步修改完善CA应用方案。第五步:项目管理部门将CA应用相关的测试、发证、技术支持等工作任务下达给金电公司和证书发放等部门。3.4. 开发阶段3.4.1. 工作内容获取CA应用开发包,完成在应用系统中的CA应用编码实现。3.4.2. 参与部门及工作流程第一步:一、项目建设部门领取CA应用开发包。(一) 人民银行内部项目建设部门首先从金电公司获取符合系统开发需要的CA开发包。(二) 外联机构(1) 京外外联机构从当地人民银行科技处获取CA应用开发包。(2) 在京外联机构从金电公司获取开发包。(3) 外联机构签署开发包使用承诺书。第二步:二、项目建设部门完成编码工作。第三步:三、在开发中如果需要,项目建设部门可从金电公司获取CA应用技术支持。3.5. 测试阶段3.5.1. 工作内容对开发完成CA应用的系统进行联调测试。3.5.2. 参与部门及工作流程第一步:一、项目建设单位向金电公司申请测试证书,并获取测试用CA配置文件。(一)个人测试证书申请流程1.证书申请者向金电公司申请个人测试证书。2.金电公司批准申请。3.金电公司发放USBKey为介质的测试个人证书。4.证书申请者从金电公司领取测试用个人证书、测试CRL和测试根证书,并办理领取登记手续。(二)服务器测试证书(机构测试证书)申请流程1.证书申请部门使用专用工具生成证书申请文件,以邮件方式发送给金电公司。2.金电公司将做好的测试证书、测试CRL和测试根证书发给申请者。3.申请者将接收到的证书转换为所需的PFX证书。二、第二步:在联调测试环境中,项目建设部门完成测试证书和其他CA配置文件的系统配置。第三步:三、项目建设部门进行联调测试。四、第四步:金电公司对联调测试中出现的问题进行技术支持。第五步:五、测试结束后,项目建设部门给出测试报告。3.6. 上线实施阶段3.6.1. 工作内容配合应用系统完成系统上线的工程实施工作。3.6.2. 参与部门及工作流程第一步:一、业务部门上线前一个月向证书发放管理部门申请生产证书。具体内容和工作流程参照中国人民银行内网电子认证证书管理办法(试行)(银办发2006153号)执行。第二步:二、项目建设单位从金电公司获取生产系统CA应用配置文件。第三步:三、项目建设单位完成系统关于生产证书和其他配置文件的系统配置。3.7. 运维阶段3.7.1. 工作内容系统运维工作中,对与CA应用相关的问题进行技术支持。3.7.2. 参与部门及工作内容第一步:一、系统运维部门从建设单位获取与CA应用有关的配置文件及配置文档。第二步:二、明确生产证书的有效期,在证书到期前一个月向证书发放管理部门申请证书更新。第三步:三、在系统运维中出现与CA有关的问题,可以从建设单位和金电公司获取技术支持。4 CA应用设计和实现的内容这部分内容主要是针对CA应用设计和实现的内容进行详细介绍。4.1. 确定CA应用需求类型CA应用需求类型根据应用系统的安全需求确定是以下一种或几种的组合。一、证书有效性的身份认证二、数字签名及验签的身份认证、防抵赖、数据完整性三、传输的保密性4.2. 确定实现方式4.2.1. 软件方式一、 软件实现方式内容软件实现方式即应用系统根CA应用开发包及开发文档,通过API接口调用开发实现CA应用。二、 软件版本目前CA应用开发包包括如下版本:(一)Java版 跨平台应用的开发包,不受硬件平台、操作类型的限制。(二)C版1、.COM版Windows平台下的C语言版。2、.C语言版(1)AIX 32位平台下的C语言版;(2)AIX 64位平台下的C语言版;(3)C语言源码:对于其他操作系统和平台类型环境,提供C语言源码程序,开发单位在其环境进行编译后使用。三、 开发包获取方式参照附录1获取CA应用开发包。4.2.2. 硬件方式一、 硬件实现方式内容通过专用的硬件设备实现签名、验签,提高签名私钥的安全性,解决服务器端高并发签名、验签名的性能瓶颈问题。二、 硬件接口版本(一)JAVA接口(二)C接口4.3. 其他内容4.3.1. 撤销列表下载方式目前存在两种撤销列表(CRL)的下载方式,自动方式和手工方式。一、自动方式一般服务器端认证的对象数量多,为保证证书有效性,需要实时或定期更新CRL,通过查询以确定当前所验证证书的有效性。由金电公司提供撤销列表下载工具,在应用系统安装该工具:JIT Cinas CRL 1.0.8.4 for Aix Release或JIT Cinas CRL 1.0.8.4 for Windows Release,从CA中心自动下载更新应用系统本地的CRL。二、手工方式如果验证的对象数量比较少,这样不需要对CRL进行实时或定期更新,根据验证对象证书的变化情况,通过手工更新撤销列表,以便提供证书及撤销列表的查询服务。4.3.2. 交叉认证人民银行与外部机构互联时,如果双方分别使用各自的CA体系,那么就需要进行不同CA域的交叉认证实现两家CA的互通,为双方联网系统建立安全信任关系,保障数据传输安全。在实现交叉认证时,双方基于标准的签名结果格式进行数据交换,以便实现数据传输的完整性和防抵赖。4.3.3. 多应用加载的环境这种情况的CA应用和以上情况是一致的,只是在服务器证书申请时需使用服务器域名的方式,不能再使用服务器IP地址。4.4. 应用策略应用策略的内容明确了CA应用中需要明确的应用类型、实现方式、撤销列表下载方式、是否需要进行交叉认证,然后确定CA应用模式。4.4.1. 实现方式一、如果服务器端既需要验签名、还要签名,或服务器端并发业务量大,软件方式无法满足性能需求,从签名私钥的安全保护和性能需求上考虑,需要使用硬件方式实现CA应用。二、如果服务器端只是验签,并发量不大,软件方式能满足系统的性能需求,则使用软件方式实现,需要选择适合的开发包类型。4.4.2. 撤销列表下载方式一、一般服务器端面向大量客户端做验签认证客户端身份,需要查询撤销列表,验证客户端证书是否被撤销。这种情况需要安装下载工具,自动下载并更新本地的撤销列表。二、如果需要验证签名的对象数量很少,为减少系统压力和不必要的网络资源消耗,在被验证的证书发生变化时,通知验证方,采用手工方式下载并更新本地的CRL。4.4.3. CA应用模式实现方式应用系统的结构类型决定了其CA应用的实现模式,应用系统本身的结构类型如果为B/S、C/S或S/S,则CA应用对应相应的模式。以下的实现模式主要是基于目前我行应用系统本身的结构体系及CA应用的实际模式总结的常见几种情况。4.4.3.1. B/S模式实现方式B/S是目前比较流行的应用结构。这种模式下为服务器和浏览器之间通过配置SSL协议,建立安全通道,实现数据传输的保密性,并通过服务器端的CA应用接口开发、在浏览器安装签名/验签控件,实现身份认证、抗抵赖及数据完整性。具体内容如下:一、建立SSL安全通道。二、开发单位利用CA应用开发包,在服务器端实现CA应用中验签名的接口开发功能,客户端(浏览器)需要安装CA应用的OCX控件,实现签名功能。三、向客户端发放载体为USBKey的个人证书。四、服务器端配置根证书和证书撤销列表(CRL)。五、服务器端需要安装CRL下载工具,下载并更新本地的CRL。这种模式为常用模式,典型应用为“货币金银信息管理系统”。4.4.3.2. C/S模式实现方式C/S是以前比较流行的应用系统结构,目前很少应用。这种应用模式下服务器是可信的,服务器只对客户端进行认证。利用数字签名技术,服务器对客户端进行身份认证,并防止关键业务的防抵赖操作,保证数据的完整性。具体内容如下:一、开发单位利用CA应用开发包,在服务器端和客户端进行接口开发,在服务器端实现验签的功能,在客户端实现签名功能。 二、向客户端发放载体为USBKey的个人证书。三、服务器端配置根证书和证书撤销列表(CRL)。四、服务器端需要安装CRL下载工具,下载并更新本地的CRL。这种模式目前人民银行还没有应用案例。4.4.3.3. S/S模式实现方式这种模式为服务器对服务器的模式,即交互双方互为客户端和服务器。两端服务器互不信任,利用数字签名技术实现双向的身份认证、防抵赖和数据的完整性。具体内容如下:一、两端服务器所部署的应用系统开发单位要在分别完成各自的CA应用开发(两端的开发单位可能不同),根据各自的CA应用开发包,在两端分别实现CA应用中签名和验签名的接口开发功能。二、向两端服务器端发放服务器证书或签名硬件设备证书。三、两端都要配置根证书和证书撤销列表(CRL)。四、是否需要安装CRL下载工具,根据本服务器验证的证书数量及实施的方便性决定。这种应用模式的典型案例为国库信息处理系统(TIPS)中人民银行与外部机构之间数据交换中实现的CA应用。4.4.3.4. 混合模式实现方式混合模式指在一个应用系统中,CA实现的集中模式会同时出现两种或两种以上。TIPS的CA应用为B/S和S/S的混合模式。4.4.4. 其他情况随着技术更新和新的系统体系架构的出现,可能还会出现新的CA应用模式,需要在应用中进行总结。4.5. CA应用模板CA应用模板以图表的形式总括说明CA应用实现的三种情况。模板类型条件及 策略B/S模板C/S模板S/S模板备注应用系统结构类型浏览器/服务器结构客户端/服务器结构应用系统之间的服务器/服务器结构信任关系服务器可信,客户端不可信的单向认证服务器可信,客户端不可信的单向认证两端互不信任,双向认证实现方式服务器根据性能需要选择:1、软件方式(接口或代理均可)2、硬件方式(需要服务器与专用硬件之间开发CA应用的通信接口)根据性能需要选择:1、软件方式(接口或代理均可)2、硬件方式(需要服务器与专用硬件之间开发CA应用的通信接口)硬件方式(需要服务器与专用硬件之间开发CA应用的通信接口)客户端安装CA应用控件软件方式(接口或代理均可)CRL下载安装工具,自动下载安装工具,自动下载自动或手动,根据验证方需验证的证书数量确定证书使用服务器1、配置根证书;2、(如果还需要进行交叉认证,还需配置对方CA的根证书)。1、配置根证书;2、如果还需要进行交叉认证,还需配置对方CA的根证书。1、配置根证书2、如果还需要进行交叉认证,还需配置对方CA的根证书;3、申请服务器证书客户端申请个人证书申请个人证书应用情况常用,货金系统、TCBS、财务系统、纪检系统、TIPS个人用户的CA应用。不常用,人民银行没有案例。常用,TIPS与外联机构互联的CA应用。285 附录5.1. CA应用开发包获取方式一、CA应用开发包获取流程CA应用开发包相关材料已下发省级数据中心,项目建设单位应根据应用系统自身实际情况选用不同的CA应用接口实现方式,CA应用流程如下:阅读“CA接口实现方式说明”选择CA实现方式购买专用签名服务器硬件方式签署开发包使用承诺书,并领取开发包软件方式通信接口开发签名验签功能模块开发联调测试:签名服务器测试证书申请、测试环境配置、进行测试联调测试:生产系统服务器测试证书申请、测试环境配置、进行测试系统上线:签名服务器生产证书申请、生产环境配置、上线运行系统上线:生产系统服务器生产证书申请、生产环境配置、上线运行运行维护针对以上流程的详细解释如下:第一步:第一步:通过阅读CA接口实现方式说明,项目建设单位根据自身情况选定使用软件还是硬件方式实现CA应用。第二步:第二步:接口开发(一)获取开发工具1.软件方式免费获取开发包人民银行提供免费CA应用开发包,项目建设单位需要和人民银行签署开发包使用承诺书,以避免开发包因免费提供,在使用中出现商务纠纷,特别是用户购买第三方开发服务导致的非授权使用。在京的项目建设单位从人民银行总行科技司或金电公司领取所需的开发包及证书申请工具KeyTool,京外项目建设单位从当地人民银行省级机构科技处领取所需的开发包和证书申请工具KeyTool。各项目建设单位应根据自己的应用环境领取适合自己的开发包。开发包类型有JAVA、COM、C版三大类。其中C版开发包提供AIX(64)环境的开发包,其他平台环境的C版开发包需要外联机构根据C版源码编译获取所需开发包。2.使用硬件方式。根据数字签名验证服务器产品及供应商基本要求,选择CA签名服务器供应商。(二)CA应用接口开发1.软件方式接口开发项目建设单位领取开发包后,其开发团队或第三方开发服务通过阅读开发包中提供的开发文档及开发示例,逐步完成CA应用接口开发,实现签名、验签等功能模块。2.硬件方式接口开发购买签名服务器硬件设备后,项目建设单位只需要基于CA签名服务器的接口,实现签名、验签等功能。 第三步第三步:联调测试(一)软件方式1.需要使用专用工具(KeyTool)申请测试用服务器证书;2.将开发环境的CA配置文件替换为测试对应的配置文件进行联调测试。(二)硬件方式1.用CA签名服务器自带的证书申请功能完成测试证书申请;2.完成CA签名服务器测试环境CA配置,进行联调测试;第四步:第四步:系统上线(一)软件方式1.需要使用专用工具申请上线用服务器证书;2.将测试环境的CA配置文件替换为生产环境对应的配置文件上线。(二)硬件方式1.用CA签名服务器自带的证书申请功能完成生产证书申请;2.完成对签名服务器生产环境CA配置,上线运行。第五步:第五步:运行维护二、软硬件CA应用接口实现方式的比较为方便选择CA应用接口实现,现对软硬件CA应用接口实现方式从安全性与性能、开发测试及价格几个方面进行比较。(一)安全性、性能比较1、安全性在软件方式中,签名私钥以证书文件形式存储在硬盘上,用口令保护;而且签名验签运算在前置主机上实现,需要读出证书文件中的私钥进行签名验签,这样私钥在内存中驻留,安全性相对要低。在硬件方式中,私钥保存在CA签名服务器的专用硬件中,签名验签运算在签名服务器硬件中实现,只将签名、验签结果返给前置系统,私钥不出硬件,安全性更高。2、性能软件方式由于签名验签模块与前置系统共享主机资源,且签名验签是CPU密集型运算,过多消耗主机资源,系统整体性能低。硬件方式由于签名服务器硬件独立实现签名验签,不占用主机资源,性能可实现数量级提高。(二)开发、测试比较软件方式要在前置主机系统上基于开发包实现签名验签功能,属于紧耦合模式。硬件方式由CA签名服务器独立完成签名验签功能,前置服务器只需要完成与签名服务器的通信接口开发,避免了由于软件方式紧耦合模式及应用环境导致的各种问题。(三)价格比较 软件方式的开发包免费获得,进行接口开发的投入相对较少;硬件方式的签名服务器价格相对较高。注:根据以上提供的CA接口实现方式说明,项目建设单位结合自身的实际情况自主选择使用软件或者硬件方式实现CA应用。四、技术支持赵义斌:010-63568866-6305,13671398408,ybzhao尚蕾:010-63568866-6303,shanglei335.2. 人民银行CA系统DN规则DN组成DN的具体内容依次由C、O、OU、CN几部分组成。其中C用来表示国家;O用来表示组织机构,在一般的PKI DN标准中,它可表示为发放该证书的CA名称;OU用来表示次级组织机构,为体现证书持有者的多种不同次级属性,OU可分为两级,即OU1和OU2来表示;CN用来表示用户名。人民银行内网CA DN的组成包括:C、O、OU1、OU2、CN五部分。C定义在DN中,C一般表示国家代码。在人民银行内网CA中DN规则仍沿用国际惯例,定义为:C=CN;CN为中国的英文代码。O定义在证书DN标准中,O一般表示组织机构。由于人民银行内网CA为CFCA根CA的子CA,遵循CFCA的O定义规则,在人民银行内网CA DN规则中,定义为:O=PBC CA,表示该证书用户为人民银行CA的用户。OU1定义OU在DN标准中一般表示为证书持有者所属的次级组织机构。在人民银行内网CA DN规则中,OU1体现发放证书的RA系统和LRA机构。RA系统使用RA系统编码表示。RA系统编号为1位字符,从“1”开始编码,每新增RA系统时依次递增,具体如下:RA系统RA系统编码信管中心RA系统1LRA机构使用LRA所在组织的组织机构编码表示。OU1具体定义为:LRA组织机构编码RA系统编码。LRA组织机构编码与RA系统编码之间以分隔符“”分隔。OU1示例:OU1=1131010001 表示为人行内网CA信管中心RA系统河北石家庄中心支行LRA受理点所发证书OU2定义OU在DN标准中一般表示为证书持有者从属的次级组织机构。人民银行内网CA DN规则中,将OU2定义为发放的不同证书类型,包括人员类和设备类两个大类,具体而言包括以下五种子类: 个人单密钥证书,名称为:Operator个人单密钥证书,是颁发给人行工作人员的单密钥证书,属于人员类证书。所谓单密钥证书,即证书持有者只有一张数字证书,使用该证书来完成相应的证书安全应用操作。示例:OU2=Operator 个人双密钥证书,名称为:Advanced Operator个人双密钥证书,是颁发给人行工作人员的双密钥证书,属于人员类证书。所谓双密钥证书,即证书持有者拥有加密、签名两张数字证书,加密证书用于加密目的、签名证书用于签名目的。示例:OU2=Advanced Operator 服务器证书,名称为:Server服务器证书,是特指颁发给通用WEB服务器(如IIS、Apache等)和应用服务器(如Weblogic、Websphere)的证书,属于设备类证书。示例:OU2= Server设备证书,名称为:Equipment设备证书,是指颁发给硬件设备和软件系统的证书,其适用范围除前述适用服务器证书以外的所有设备和软件系统。在本DN规则中,设备证书目前仅适用网络设备。示例:OU2= Equipment RA操作员证书,名称为:Ra OperatorRA操作员证书,特指颁发给RA系统所有操作员和管理员的数字证书,它属于人员类证书。示例:OU2=Ra Operator描述证书类型的每个英文单词,第一个字母大写,其余小写。根据业务系统的实际需要,可以扩充更多的证书类型,如:代码签名证书等等。CN定义CN的组成CN是证书持有者的通用名(common name),它用以表征证书持有者的个体特性。它包括以下几个字段: 主版本号:DN规则的主版本号,目前为“01” 次版本号:DN规则的次版本号,目前为“0” 证件类型:表征证书持有者的证件类型,具体见0 证件号码: 表征证书持有者的证件的号码。 组织机构类别:证书持有者所属的组织机构类别代码。 组织机构编码:证书持有者所属的组织机构编码。 扩展内容:可自定义的扩展内容。 证书持有者顺序号:表示该证书为证书持有者的第几张证书,长度为1位字符,目前为“1”。证件类型DN中所包含的证件类型通过一位字符的编码形式来体现,目前人民银行CA系统只允许使用身份证作为证件,具体编码规则如下:证件类型证件类型编码身份证0设备类证书,目前已知包括服务器和网络设备。其证件类型编码规则为:证件类型编码服务器证书6设备证书M证件号码证件号码域填写符合对应的证件类型的证件号码内容,具体规则如下:证书类型证件类型证件号码证件号码的解释说明个人单密钥证书、个人双密钥证书、RA操作员证书0、1、B、C、E、F、G证件号码如申请证书时使用身份证,则“证件号码”填身份证号码服务器证书6IP地址或域名设备证书M网络设备名称,长度为3位字符网络设备名称的编码规则,见附件二人民银行内网统一CA认证基础设施建设数字证书DN网络设备编码规则。证件类型及证件号码示例: 0110101197201203264:表示证书持有者,是持身份证申请人员类数字证书,该证书持有者身份证号为“110101197201203264”。 611.28.1.1:表示该张服务器证书持有者为一台服务器,其IP地址为11.28.1.1。 M03:表示该设备证书持有者,为编号“03”的一台路由器。组织机构类别组织机构类别由3位字符编码表示,具体表示如下:组织机构类别编码中国人民银行489根据中组部代码手册,人民银行代码为“489”。根据业务系统需要,有人民银行以外单位需要使用数字证书时,组织机构类别编码表可以进行扩充。组织机构编码组织机构编码为6位或9位字符编码表示。扩展内容扩展内容包括为由业务系统或用户自行定义内容,该内容为非标准内容。对于人员证书,该部分内容包括:人员拼音名和自定义内容。具体定义为:字段名长度解释说明拼音名长度1字符位标识拼音名的长度拼音名由”拼音名长度”定义其长度人员的姓名全拼,使用小写字母自定义内容只受DN总长约束用户或业务系统自行定义,可为空对于设备证书,该内容为自定义内容,也可为空。CN规则示例字段名(长度)RA操作员证书个人单密钥、双密钥证书设备证书服务器证书主版本号(2位)01010101次版本号(1位)0000分隔符号证件类型(1位)0:居民身份证0:居民身份证M:设备6:服务器证件号码相应的证件号码相应的证件号码网络设备名称IP地址或域名分隔符号组织机构类别(3位)489:中国人民银行组织机构编码(6或9位)组织机构编码分隔符号扩展内容姓名长度姓名全拼音+可由LRA自定义内容姓名长度姓名全拼音+可由LRA自定义内容可由LRA自定义内容(可以是英文/拼音名)可由LRA自定义内容(可以是英文/拼音名)分隔符号证书持有者顺序号(1位)证书持有者的证书顺序号,目前为“1”cn实例0100110101197201203264489111000bliuxiaogang10100110101197201203264489111000bliuxiaogang1010M03489111000 10106210.73.40.41489111000 1注: 分隔符()为保留字符,CN内各字段内容均不得使用。补充说明 1)在DN中,可以使用除专用字符和特殊字符外的所有ASCII字符。专用字符为反斜杠(“”)和双引号(“”),由于在DN中有特殊含义,不能用在DN中。另外,不允许在cn中包含特殊字符(“,” 、“=” 、“+” 、“#” 、“” 、“;” )由于存在不可见的ASCII字符,不便于用户使用,下面给出本规则中所有可用的ASCII字符列表(ASCII值为十进制数值):ASCII值字符032空格033!036$037%038&039 040(041)042*045-046.047/04805709058:065?065090AZ091093094095096097122az123125126 2)考虑到人民银行业务系统使用汉字字符集的多样性,在人民银行内网CA/DN规则中不使用汉字。 3)证书DN总长不超过255位字符。42
展开阅读全文