中國(guó)人民銀行信息系統(tǒng)電子認(rèn)證應(yīng)用指引(V1.0).doc

內(nèi)部資料注意保管中國(guó)人民銀行信息系統(tǒng)電子認(rèn)證應(yīng)用指引（征求意見(jiàn)稿）中國(guó)人民銀行2010年1月目 錄1概況11.1.編寫目的11.2.適用范圍11.3.指引內(nèi)容簡(jiǎn)介11.4.術(shù)語(yǔ)定義12CA系統(tǒng)及應(yīng)用簡(jiǎn)介42.1.生產(chǎn)系統(tǒng)52.2.測(cè)試系統(tǒng)62.3.CA應(yīng)用現(xiàn)狀62.3.1.CA系統(tǒng)與CA應(yīng)用的關(guān)系62.3.2.CA應(yīng)用類型與模式82.3.2.1.CA應(yīng)用類型82.3.2.2.應(yīng)用模式103應(yīng)用流程和工作分工143.1.CA應(yīng)用總體流程143.2.需求階段173.2.1.工作內(nèi)容173.2.2.參與部門與工作流程173.3.設(shè)計(jì)階段173.3.1.工作內(nèi)容173.3.2.參與部門與工作流程173.4.開(kāi)發(fā)階段183.4.1.工作內(nèi)容183.4.2.參與部門及工作流程183.5.測(cè)試階段183.5.1.工作內(nèi)容183.5.2.參與部門及工作流程193.6.上線實(shí)施階段203.6.1.工作內(nèi)容203.6.2.參與部門及工作流程203.7.運(yùn)維階段203.7.1.工作內(nèi)容203.7.2.參與部門及工作內(nèi)容204CA應(yīng)用設(shè)計(jì)和實(shí)現(xiàn)的內(nèi)容204.1.確定CA應(yīng)用需求類型214.2.確定實(shí)現(xiàn)方式214.2.1.軟件方式214.2.2.硬件方式224.3.其他內(nèi)容224.3.1.撤銷列表下載方式224.3.2.交叉認(rèn)證234.3.3.多應(yīng)用加載的環(huán)境234.4.應(yīng)用策略234.4.1.實(shí)現(xiàn)方式234.4.2.撤銷列表下載方式244.4.3.CA應(yīng)用模式實(shí)現(xiàn)方式244.4.3.1.B/S模式實(shí)現(xiàn)方式244.4.3.2.C/S模式實(shí)現(xiàn)方式254.4.3.3.S/S模式實(shí)現(xiàn)方式254.4.3.4.混合模式實(shí)現(xiàn)方式264.4.4.其他情況264.5.CA應(yīng)用模板265附錄285.1.CA應(yīng)用開(kāi)發(fā)包獲取方式285.2.人民銀行CA系統(tǒng)DN規(guī)則33III1 概況1.1. 編寫目的本指引是人民銀行信息系統(tǒng)電子認(rèn)證應(yīng)用（以下簡(jiǎn)稱“CA應(yīng)用”）的指導(dǎo)性文件。CA應(yīng)用貫穿信息系統(tǒng)建設(shè)的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、上線實(shí)施及運(yùn)行維護(hù)的各個(gè)階段，通過(guò)該指引規(guī)范CA應(yīng)用的工作流程，以便各相關(guān)部門（業(yè)務(wù)部門、管理部門、建設(shè)部門、運(yùn)維部門）明確職責(zé)、保證CA應(yīng)用的順利進(jìn)行。本指引解釋權(quán)歸屬人民銀行總行科技司。1.2. 適用范圍本指引適用于人民銀行內(nèi)部及與人民銀行有信息系統(tǒng)互聯(lián)的外部機(jī)構(gòu)。其中人民銀行內(nèi)部各部門包括系統(tǒng)管理部門、業(yè)務(wù)部門、系統(tǒng)建設(shè)部門、系統(tǒng)運(yùn)維部門等；外部機(jī)構(gòu)的使用范圍根據(jù)互聯(lián)機(jī)構(gòu)的具體情況由人民銀行業(yè)務(wù)主管部門和科技司共同決定。使用CA安全認(rèn)證服務(wù)的機(jī)構(gòu)、部門和個(gè)人，都需要嚴(yán)格遵守本指引。1.3. 指引內(nèi)容簡(jiǎn)介本指引在簡(jiǎn)單介紹人民銀行CA系統(tǒng)基本情況的基礎(chǔ)上，重點(diǎn)介紹了CA應(yīng)用涉及的工作內(nèi)容、應(yīng)用策略、應(yīng)用流程和工作分工，并在附錄中給出與CA應(yīng)用有關(guān)的管理制度和技術(shù)文檔。1.4. 術(shù)語(yǔ)定義PKI：Public Key Infrastructure即公開(kāi)密鑰基礎(chǔ)設(shè)施，是以公鑰（非對(duì)稱）密碼學(xué)為基礎(chǔ)，為信息系統(tǒng)提供安全認(rèn)證服務(wù)，構(gòu)建網(wǎng)絡(luò)信任體系的安全基礎(chǔ)平臺(tái)。CA：Certification Authority即認(rèn)證中心。CA是PKI的核心，受信任的第三方，生成用戶的數(shù)字證書，解決公鑰體系中公鑰的合法性問(wèn)題。本指引中CA專指人民銀行內(nèi)部CA系統(tǒng)。RA：Registration Authority即注冊(cè)機(jī)構(gòu)，數(shù)字證書注冊(cè)審批機(jī)構(gòu)。負(fù)責(zé)完成證書的發(fā)放、撤銷、更新、恢復(fù)、凍結(jié)和解凍等管理功能。本指引中RA專指人民銀行RA系統(tǒng)。LRA：Local Registration Authority即證書注冊(cè)審核受理點(diǎn)，RA的組成部分，作為證書發(fā)放受理點(diǎn)，直接面向用戶。KMC：Key Management Centre密鑰管理中心，提供加密密鑰的產(chǎn)生、存儲(chǔ)、更新、分發(fā)、查詢、撤消、歸檔、備份及恢復(fù)等管理功能。LDAP：Lightweight Directory Access Protocol 目錄服務(wù)器，用以存儲(chǔ)和發(fā)布用戶的證書信息、證書撤銷列表，用戶在使用證書時(shí)通過(guò)訪問(wèn)目錄服務(wù)器，驗(yàn)證證書的有效性。CRL：Certificate Revocation List證書撤消列表，通過(guò)查詢CRL用以驗(yàn)證證書的使用狀態(tài)是否為撤消或凍結(jié)，判斷證書的有效性。OCSP：Online Certificate Status Protocoal即在線證書狀態(tài)協(xié)議，與CRL以及證書狀態(tài)相結(jié)合，能為用戶提供高效、實(shí)時(shí)的證書狀態(tài)查詢服務(wù)。TSA：Time Stamp Authority即時(shí)間戳服務(wù)，負(fù)責(zé)對(duì)所有請(qǐng)求時(shí)間戳服務(wù)的請(qǐng)求進(jìn)行簽發(fā)處理，并對(duì)時(shí)間戳進(jìn)行相應(yīng)的管理。數(shù)字證書：由CA認(rèn)證中心發(fā)放的，能進(jìn)行身份驗(yàn)證的一種權(quán)威性文件，用戶通過(guò)數(shù)字證書來(lái)證明自己的身份和識(shí)別對(duì)方的身份。數(shù)字證書是一段包含用戶或服務(wù)器身份信息、公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的文件，人民銀行CA證書格式及證書內(nèi)容遵循X.509標(biāo)準(zhǔn)。數(shù)字簽名：數(shù)字簽名是指用戶用自己的私鑰對(duì)業(yè)務(wù)操作數(shù)據(jù)、數(shù)據(jù)傳輸?shù)认嚓P(guān)信息的哈希摘要用非對(duì)稱密碼算法進(jìn)行加密所得的數(shù)據(jù)，實(shí)現(xiàn)對(duì)業(yè)務(wù)操作數(shù)據(jù)及數(shù)據(jù)發(fā)送者的身份認(rèn)證，防止抵賴，保證數(shù)據(jù)的完整性。數(shù)字信封：結(jié)合對(duì)稱密碼和非對(duì)成密碼技術(shù)，用以保證數(shù)據(jù)傳輸安全的加密方法。個(gè)人證書：向個(gè)人使用者發(fā)放的數(shù)字證書，用以實(shí)現(xiàn)應(yīng)用系統(tǒng)中個(gè)人操作所需的安全服務(wù)。個(gè)人證書的保管使用由使用者本人負(fù)責(zé)。人民銀行CA個(gè)人證書分為：RA管理員證書、LRA管理員證書、LRA操作員證書、個(gè)人單密鑰證書。其中RA管理員證書、LRA管理員證書、LRA操作員證書均可用于管理或使用LRA系統(tǒng)；個(gè)人單密鑰證書為個(gè)人普通證書。服務(wù)器證書：發(fā)放給應(yīng)用系統(tǒng)中服務(wù)器的數(shù)字證書，用以建立服務(wù)器和客戶端之間的安全信任關(guān)系。設(shè)備證書：發(fā)放給網(wǎng)絡(luò)設(shè)備的數(shù)字證書，用以實(shí)現(xiàn)該設(shè)備所需的安全服務(wù)。機(jī)構(gòu)證書：向與應(yīng)用系統(tǒng)互聯(lián)的外部機(jī)構(gòu)發(fā)放的證書，該證書的使用對(duì)象為機(jī)構(gòu)。它解決的是人民銀行信息系統(tǒng)與外部機(jī)構(gòu)系統(tǒng)互聯(lián)時(shí)，對(duì)所連接的機(jī)構(gòu)實(shí)體進(jìn)行認(rèn)證的問(wèn)題，而不針對(duì)這個(gè)機(jī)構(gòu)中的具體操作人員，這也是業(yè)務(wù)數(shù)據(jù)交換的延伸超出了管轄范圍情況下的一種解決辦法。機(jī)構(gòu)證書在應(yīng)用系統(tǒng)中的具體表現(xiàn)形式為服務(wù)器證書。證書責(zé)任人：個(gè)人證書的證書責(zé)任人是證書持有（使用）人；服務(wù)器、設(shè)備證書責(zé)任人是證書申請(qǐng)部門為該證書指定的證書管理責(zé)任人。SSL：Security Socket Layer即安全套接層協(xié)議，通信雙方通過(guò)數(shù)字證書，建立數(shù)據(jù)傳輸安全通道的協(xié)議。身份認(rèn)證：驗(yàn)證一個(gè)主體身份的過(guò)程，即驗(yàn)證者根據(jù)被驗(yàn)證者提供的或擁有的身份鑒別信息用以確認(rèn)其身份是否真實(shí)的過(guò)程。數(shù)據(jù)機(jī)密性：信息具有的一種內(nèi)在性質(zhì)，這一性質(zhì)要求信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程，不為其所用。數(shù)據(jù)完整性：信息具有的一種內(nèi)在性質(zhì)，這一性質(zhì)表明信息沒(méi)有遭受以非授權(quán)方式所作的篡改或破壞。數(shù)據(jù)不可否認(rèn)性：信息具有的一種內(nèi)在性質(zhì)，確保個(gè)人或設(shè)備不能否認(rèn)其發(fā)送過(guò)的信息及交易，也稱抗抵賴性。2 CA系統(tǒng)及應(yīng)用簡(jiǎn)介人民銀行內(nèi)部CA系統(tǒng)（以下簡(jiǎn)稱“CA系統(tǒng)”）作為人民銀行的安全基礎(chǔ)設(shè)施，為人民銀行信息系統(tǒng)提供身份認(rèn)證、防抵賴、完整性和保密性的安全服務(wù)。根據(jù)CA系統(tǒng)運(yùn)行和CA應(yīng)用的實(shí)際需要，CA系統(tǒng)分為生產(chǎn)系統(tǒng)和測(cè)試系統(tǒng)兩部分，下面對(duì)兩個(gè)系統(tǒng)分別進(jìn)行介紹。2.1. 生產(chǎn)系統(tǒng)CA生產(chǎn)系統(tǒng)的體系結(jié)構(gòu)如下圖所示：從目錄服務(wù)器圖1 人民銀行CA生產(chǎn)系統(tǒng) 其中：l CA生產(chǎn)系統(tǒng)分為CA中心和RA證書注冊(cè)系統(tǒng)。l 其中CA中心作為后臺(tái)系統(tǒng)生產(chǎn)證書，并提供證書及撤銷列表的查詢服務(wù)。目前CA中心部署在金電公司，由金電公司負(fù)責(zé)CA中心運(yùn)維和CA應(yīng)用的技術(shù)支持工作。l RA系統(tǒng)作為證書發(fā)放系統(tǒng)面向用戶，負(fù)責(zé)證書申請(qǐng)的審核和發(fā)放。RA系統(tǒng)部署在總行信管中心，由總行信管中心負(fù)責(zé)運(yùn)維，總行信管中心和上海總部/營(yíng)管部/分行/省會(huì)中支的管理員、操作員通過(guò)Web界面登陸RA系統(tǒng)進(jìn)行證書相關(guān)操作。2.2. 測(cè)試系統(tǒng)測(cè)試系統(tǒng)的體系結(jié)構(gòu)圖如下：圖2 人民銀行CA測(cè)試系統(tǒng)其中：l 測(cè)試系統(tǒng)整體部署在金電公司，由金電公司服務(wù)運(yùn)維。l 金電公司的工作包括測(cè)試證書的生產(chǎn)、發(fā)放。l 提供CA應(yīng)用測(cè)試技術(shù)支持。2.3. CA應(yīng)用現(xiàn)狀2.3.1. CA系統(tǒng)與CA應(yīng)用的關(guān)系CA系統(tǒng)作為人民銀行的安全基礎(chǔ)設(shè)施，提供數(shù)字證書簽發(fā)、密鑰管理、證書查詢等功能，應(yīng)用系統(tǒng)根據(jù)CA應(yīng)用工具（開(kāi)發(fā)包或硬件設(shè)備），通過(guò)接口開(kāi)發(fā)實(shí)現(xiàn)自身的簽名、驗(yàn)簽名等功能模塊，從而滿足應(yīng)用系統(tǒng)身份認(rèn)證、防抵賴、完整性、保密性的安全需求。CA系統(tǒng)及CA應(yīng)用的現(xiàn)狀如下圖所示：圖3 CA系統(tǒng)及CA應(yīng)用現(xiàn)狀示意圖其中：l 圖中左半部分為CA系統(tǒng)示意圖，右半部分為應(yīng)用系統(tǒng)的CA實(shí)現(xiàn)示意圖。l 圖中虛線為RA系統(tǒng)面向用戶離線方式的證書申請(qǐng)、發(fā)放。 個(gè)人證書申請(qǐng)證書時(shí)，USBKey產(chǎn)生密鑰對(duì)，私鑰駐留USBKey中，不可導(dǎo)出，實(shí)現(xiàn)對(duì)私鑰的硬件級(jí)保護(hù)，同時(shí)在應(yīng)用中數(shù)字簽名的密碼運(yùn)算在USBKey內(nèi)完成。 服務(wù)器證書服務(wù)器證書的申請(qǐng)、發(fā)放，根據(jù)確定的CA應(yīng)用方式有所不同。如果是軟件方式，則服務(wù)器的管理員需要使用專用工具產(chǎn)生密鑰對(duì)及證書申請(qǐng)文件，提交給發(fā)證終端LRA，由CA中心生產(chǎn)簽名證書后，返給系統(tǒng)管理員，管理員用該工具將本地保存的私鑰和簽名證書一起轉(zhuǎn)換為系統(tǒng)所需的證書文件。如果是硬件方式，需要硬件支持申請(qǐng)證書。l 圖中黑色加粗線條表示在CA應(yīng)用中，應(yīng)用系統(tǒng)在線（或離線）查詢證書撤銷列表（CRL），驗(yàn)證證書的有效性。l 根據(jù)具體應(yīng)用系統(tǒng)的需求，在客戶端和服務(wù)器端分別部署所需的CA應(yīng)用安全套件。安全套件的內(nèi)容包括開(kāi)發(fā)包、硬件設(shè)備、根證書、用戶證書、撤銷列表。2.3.2. CA應(yīng)用類型與模式2.3.2.1. CA應(yīng)用類型隨著CA應(yīng)用的推廣，我行應(yīng)用系統(tǒng)數(shù)據(jù)集中以及資源整合的不斷深入，根據(jù)不同的安全需求，可將CA應(yīng)用分為如下幾種不同類型。一、安全需求說(shuō)明基于CA應(yīng)用，應(yīng)用系統(tǒng)能夠?qū)崿F(xiàn)系統(tǒng)用戶身份認(rèn)證和系統(tǒng)數(shù)據(jù)傳輸安全等安全需求，其中數(shù)據(jù)傳輸安全包括數(shù)據(jù)防抵賴、完整性和保密性需求。二、基于CA應(yīng)用實(shí)現(xiàn)信息系統(tǒng)用戶身份認(rèn)證（一） 基于SSL協(xié)議雙向認(rèn)證實(shí)現(xiàn)系統(tǒng)用戶身份認(rèn)證基于SSL協(xié)議雙向認(rèn)證，能夠?qū)崿F(xiàn)系統(tǒng)服務(wù)器和用戶認(rèn)證，加密數(shù)據(jù)并防止數(shù)據(jù)中途被竊取，維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變。（二） 基于簽名、驗(yàn)簽實(shí)現(xiàn)系統(tǒng)用戶身份認(rèn)證首先在客戶端調(diào)用數(shù)字簽名的接口完成數(shù)字簽名，并生成簽名包，然后將該簽名包傳遞給服務(wù)器端，服務(wù)器端調(diào)用驗(yàn)簽的接口對(duì)簽名包進(jìn)行驗(yàn)證，并將驗(yàn)證結(jié)果返回給客戶端。由于驗(yàn)證簽名包時(shí)包含了完整的證書驗(yàn)證功能，從而可以完成身份認(rèn)證功能。圖4基于簽名、驗(yàn)簽實(shí)現(xiàn)系統(tǒng)用戶身份認(rèn)證流程三、基于簽名/驗(yàn)簽實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)耐暾院头赖仲嚮诤灻?驗(yàn)簽?zāi)軌驅(qū)崿F(xiàn)系統(tǒng)間數(shù)據(jù)傳輸?shù)耐暾缘姆赖仲?。系統(tǒng)A在發(fā)送數(shù)據(jù)時(shí)，將擬發(fā)送的數(shù)據(jù)進(jìn)行數(shù)據(jù)簽名，并將簽名數(shù)據(jù)和擬發(fā)送的數(shù)據(jù)等一同發(fā)送給系統(tǒng)B。系統(tǒng)B基于系統(tǒng)A發(fā)送過(guò)來(lái)的數(shù)據(jù)進(jìn)行驗(yàn)簽，驗(yàn)證書數(shù)據(jù)在傳輸過(guò)程中的完整性，實(shí)現(xiàn)數(shù)據(jù)傳輸過(guò)程中的防抵賴和完整性安全需求。四、基于數(shù)字信封實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄詳?shù)字信封是對(duì)稱加密和非對(duì)稱加密相結(jié)合的CA應(yīng)用，實(shí)現(xiàn)系統(tǒng)間數(shù)據(jù)傳輸?shù)谋Ｃ苄?。在進(jìn)行數(shù)據(jù)傳輸時(shí)，通過(guò)生成隨機(jī)數(shù)，作為對(duì)稱加密密鑰，實(shí)現(xiàn)擬發(fā)送數(shù)據(jù)的對(duì)稱加密；通過(guò)非對(duì)稱加密實(shí)現(xiàn)對(duì)稱加密密鑰的傳輸。2.3.2.2. 應(yīng)用模式CA應(yīng)用模式包括以下三種：B/S模式，即瀏覽器/服務(wù)器架構(gòu)下的證書應(yīng)用；C/S模式，即客戶端/服務(wù)器架構(gòu)下的證書應(yīng)用；S/S模式，即服務(wù)器/服務(wù)器架構(gòu)下的證書應(yīng)用，多為系統(tǒng)互聯(lián)。下面對(duì)這三種結(jié)構(gòu)進(jìn)行詳細(xì)說(shuō)明。 一、B/S結(jié)構(gòu)B/S結(jié)構(gòu)是目前普遍的應(yīng)用系統(tǒng)結(jié)構(gòu)，即客戶端以瀏覽器登錄服務(wù)器，實(shí)現(xiàn)業(yè)務(wù)操作的應(yīng)用模式。目前主流的Web服務(wù)器和主流瀏覽器都支持SSL協(xié)議，因此身份認(rèn)證可以基于SSL實(shí)現(xiàn)。但由于SSL不能有效實(shí)現(xiàn)交易/行為的抗抵賴性和關(guān)鍵數(shù)據(jù)的保密性，所以還需要在瀏覽器端和服務(wù)器端增加加解密/簽名驗(yàn)證模塊，來(lái)真正實(shí)現(xiàn)交易/行為的抗抵賴性和關(guān)鍵數(shù)據(jù)的保密性。具體實(shí)現(xiàn)中，需要在瀏覽器端需要配置個(gè)人證書，服務(wù)器端需要配置服務(wù)器證書。針對(duì)IE瀏覽器，需要在客戶端安裝CSP模塊，加解密/簽名驗(yàn)證模塊可以采用ActiveX技術(shù)實(shí)現(xiàn)；針對(duì)非IE瀏覽器如Netscape等，需要在瀏覽器端安裝Pkcs#11模塊，加解密/簽名驗(yàn)證模塊可以采用Plugin或XPCOM技術(shù)實(shí)現(xiàn)。圖示如下：瀏覽器內(nèi)置SSL模塊Web服務(wù)器內(nèi)置SSL模塊CSP模塊加解密/簽名驗(yàn)證模塊證書/私鑰介質(zhì)CSP模塊加解密/簽名驗(yàn)證模塊證書/私鑰介質(zhì)證書身份認(rèn)證交易/行為抗抵賴性關(guān)鍵數(shù)據(jù)保密性圖5 CA應(yīng)用B/S結(jié)構(gòu)圖二、C/S結(jié)構(gòu)C/S是以前比較流行的應(yīng)用系統(tǒng)結(jié)構(gòu)，即需要在客戶端部署客戶端軟件，用戶通過(guò)客戶端軟件登錄服務(wù)器，進(jìn)行業(yè)務(wù)操作。C/S結(jié)構(gòu)一般都不支持PKI證書機(jī)制，為了實(shí)現(xiàn)證書應(yīng)用，提高系統(tǒng)安全性，必須在客戶端和服務(wù)器端增加PKI安全模塊。（一）安全代理方式對(duì)于安全性要求不高或無(wú)法進(jìn)行開(kāi)發(fā)改造的C/S系統(tǒng)，可以采用安全代理技術(shù)，實(shí)現(xiàn)證書應(yīng)用，提高身份鑒別的強(qiáng)度和數(shù)據(jù)傳輸?shù)陌踩?，如下圖所示：客戶端C服務(wù)器端S證書身份認(rèn)證數(shù)據(jù)傳輸保密性證書/私鑰介質(zhì)證書/私鑰介質(zhì)安全代理客戶端安全代理服務(wù)器圖6 CA應(yīng)用C/S結(jié)構(gòu)圖（1）采用安全代理技術(shù)，需要在客戶端部署安全代理客戶端，在服務(wù)器端部署安全代理服務(wù)器，由安全代理客戶端/服務(wù)器負(fù)責(zé)實(shí)現(xiàn)PKI證書機(jī)制，對(duì)原有的客戶端和服務(wù)器端沒(méi)有影響；客戶端/服務(wù)器與安全代理客戶端/服務(wù)器之間通過(guò)TCP/IP協(xié)議進(jìn)行通信。（二）2、API接口開(kāi)發(fā)方式對(duì)于安全性要求較高且能夠進(jìn)行開(kāi)發(fā)改造的C/S系統(tǒng)，可以采用API接口技術(shù)進(jìn)行開(kāi)發(fā)，實(shí)現(xiàn)證書應(yīng)用，提高身份認(rèn)證的強(qiáng)度，同時(shí)保證數(shù)據(jù)保密性、完整性以及交易/行為的抗抵賴性，如下圖所示：API接口包客戶端C服務(wù)器端S數(shù)據(jù)完整性交易/行為抗抵賴性證書/私鑰介質(zhì)API接口包證書/私鑰介質(zhì)證書身份認(rèn)證數(shù)據(jù)保密性圖7 CA應(yīng)用C/S結(jié)構(gòu)圖（2）采用API接口開(kāi)發(fā)方式，需要分別在客戶端和服務(wù)器端利用API接口開(kāi)發(fā)包進(jìn)行接口開(kāi)發(fā)改造，在客戶端/服務(wù)器端的業(yè)務(wù)處理邏輯中通過(guò)函數(shù)調(diào)用方式，調(diào)用證書API接口來(lái)實(shí)現(xiàn)PKI證書機(jī)制。在客戶端需要配置個(gè)人證書，在服務(wù)器端需要配置服務(wù)器證書。三、S/S結(jié)構(gòu)S/S結(jié)構(gòu)即兩個(gè)服務(wù)器之間的數(shù)據(jù)交換，一般為不同應(yīng)用系統(tǒng)之間的交換。S/S結(jié)構(gòu)一般都不支持PKI證書機(jī)制，為了實(shí)現(xiàn)證書應(yīng)用，提高系統(tǒng)安全性，必須在服務(wù)器兩端增加PKI安全模塊。1、（一）安全代理方式對(duì)于安全性要求不是很高或無(wú)法進(jìn)行開(kāi)發(fā)改造的S/S系統(tǒng)，可以采用安全代理技術(shù)，實(shí)現(xiàn)證書應(yīng)用，提高身份認(rèn)證的強(qiáng)度和數(shù)據(jù)傳輸?shù)陌踩?，如下圖所示：服務(wù)器端S服務(wù)器端S證書身份認(rèn)證數(shù)據(jù)傳輸保密性證書/私鑰介質(zhì)證書/私鑰介質(zhì)安全代理服務(wù)器安全代理服務(wù)器圖8 CA應(yīng)用S/S結(jié)構(gòu)圖（1）采用安全代理技術(shù)，需要在服務(wù)器兩端都部署安全代理服務(wù)器，由安全代理服務(wù)器負(fù)責(zé)實(shí)現(xiàn)PKI證書機(jī)制，對(duì)原有的服務(wù)器端沒(méi)有影響，服務(wù)器與安全代理服務(wù)器之間通過(guò)TCP/IP協(xié)議進(jìn)行通信。在服務(wù)器兩端均需要配置服務(wù)器證書。（二）2、API接口開(kāi)發(fā)方式對(duì)于安全性要求很高且能夠進(jìn)行開(kāi)發(fā)改造的S/S系統(tǒng)，可以采用API接口技術(shù)進(jìn)行開(kāi)發(fā)，實(shí)現(xiàn)證書應(yīng)用，提高身份認(rèn)證的強(qiáng)度，同時(shí)保證數(shù)據(jù)保密性、完整性以及交易/行為的抗抵賴性，如下圖所示：API接口包服務(wù)器端C服務(wù)器端S數(shù)據(jù)完整性交易/行為抗抵賴性證書/私鑰介質(zhì)API接口包證書/私鑰介質(zhì)證書身份認(rèn)證數(shù)據(jù)保密性圖9 CA應(yīng)用S/S結(jié)構(gòu)圖（2）采用API接口開(kāi)發(fā)方式，需要分別在服務(wù)器兩端利用API接口開(kāi)發(fā)包進(jìn)行接口開(kāi)發(fā)改造，在服務(wù)器兩端的業(yè)務(wù)處理邏輯中通過(guò)函數(shù)調(diào)用方式，調(diào)用證書API接口來(lái)實(shí)現(xiàn)PKI證書機(jī)制。在服務(wù)器兩端均需要配置服務(wù)器證書。3 應(yīng)用流程和工作分工首先通過(guò)流程圖從整體上介紹CA應(yīng)用流程，其次根據(jù)整體流程分階段介紹工作內(nèi)容和參與部門的職責(zé)。3.1. CA應(yīng)用總體流程CA應(yīng)用總體流程根據(jù)CA應(yīng)用實(shí)現(xiàn)過(guò)程涉及的不同階段來(lái)確定，包括CA應(yīng)用需求提出、確認(rèn)，制定CA應(yīng)用方案，方案審核確認(rèn)，CA應(yīng)用開(kāi)發(fā)實(shí)現(xiàn)，測(cè)試，證書發(fā)放、實(shí)施及運(yùn)行維護(hù)幾個(gè)階段。詳細(xì)內(nèi)容如下：第一步：業(yè)務(wù)部門提出CA應(yīng)用需求。第二步：在項(xiàng)目管理部門協(xié)助下，由建設(shè)部門細(xì)化CA應(yīng)用需求，提交業(yè)務(wù)部門確認(rèn)，建設(shè)部門根據(jù)業(yè)務(wù)部門的要求完善需求，若業(yè)務(wù)部門認(rèn)可CA應(yīng)用需求，則進(jìn)入第三步。第三步：建設(shè)部門制定CA應(yīng)用方案。第四步：建設(shè)部門提交CA應(yīng)用方案到項(xiàng)目管理部門。第五步：項(xiàng)目管理部門組織審核確認(rèn)CA應(yīng)用方案。第六步：建設(shè)部門根據(jù)項(xiàng)目管理部門審核意見(jiàn)進(jìn)一步完善方案，若方案審核通過(guò)，則進(jìn)入第七步。第七步：建設(shè)部門獲取CA應(yīng)用開(kāi)發(fā)包，完成CA應(yīng)用開(kāi)發(fā)工作。第八步：建設(shè)部門進(jìn)行CA應(yīng)用測(cè)試。第九步：證書發(fā)放管理部門實(shí)現(xiàn)CA數(shù)字證書發(fā)放工作。第十步：建設(shè)部門進(jìn)行CA應(yīng)用實(shí)施。第十一步：運(yùn)行部門進(jìn)行系統(tǒng)運(yùn)行。實(shí)施建設(shè)部門數(shù)字證書發(fā)放證書發(fā)放管理部門提出應(yīng)用需求業(yè)務(wù)部門細(xì)化需求建設(shè)部門確認(rèn)需求業(yè)務(wù)部門制定方案建設(shè)部門Y N金電公司技術(shù)支持方案審核確認(rèn)管理部門編碼實(shí)現(xiàn)建設(shè)部門測(cè)試建設(shè)部門運(yùn)維部門運(yùn)維圖10 CA應(yīng)用總體流程圖以下根據(jù)總體流程分階段的詳細(xì)描述各階段的工作內(nèi)容及參與的部門。3.2. 需求階段3.2.1. 工作內(nèi)容提出CA應(yīng)用的明確需求。3.2.2. 參與部門與工作流程第一步：由業(yè)務(wù)部門提出身份認(rèn)證、防抵賴、完整性和保密性的安全需求。第二步：業(yè)務(wù)部門將初步的安全需求提交項(xiàng)目建設(shè)部門進(jìn)行細(xì)化，明確在業(yè)務(wù)系統(tǒng)中，具體那些業(yè)務(wù)需要進(jìn)行數(shù)字簽名。第三步：項(xiàng)目建設(shè)部門將細(xì)化的需求提交業(yè)務(wù)部門進(jìn)行確認(rèn)。3.3. 設(shè)計(jì)階段3.3.1. 工作內(nèi)容基于該指引，制定CA應(yīng)用方案。3.3.2. 參與部門與工作流程第一步：項(xiàng)目建設(shè)部門根據(jù)業(yè)務(wù)部門確認(rèn)的CA應(yīng)用需求及本指引，制定CA應(yīng)用方案。第二步：項(xiàng)目建設(shè)部門將制定的CA應(yīng)用方案提交項(xiàng)目管理部門。第三步：項(xiàng)目管理部門組織審核確認(rèn)項(xiàng)目建設(shè)部門提交的CA應(yīng)用方案。第四步：項(xiàng)目建設(shè)部門根據(jù)項(xiàng)目管理部門審核意見(jiàn)進(jìn)一步修改完善CA應(yīng)用方案。第五步：項(xiàng)目管理部門將CA應(yīng)用相關(guān)的測(cè)試、發(fā)證、技術(shù)支持等工作任務(wù)下達(dá)給金電公司和證書發(fā)放等部門。3.4. 開(kāi)發(fā)階段3.4.1. 工作內(nèi)容獲取CA應(yīng)用開(kāi)發(fā)包，完成在應(yīng)用系統(tǒng)中的CA應(yīng)用編碼實(shí)現(xiàn)。3.4.2. 參與部門及工作流程第一步：一、項(xiàng)目建設(shè)部門領(lǐng)取CA應(yīng)用開(kāi)發(fā)包。(一) 人民銀行內(nèi)部項(xiàng)目建設(shè)部門首先從金電公司獲取符合系統(tǒng)開(kāi)發(fā)需要的CA開(kāi)發(fā)包。(二) 外聯(lián)機(jī)構(gòu)（1） 京外外聯(lián)機(jī)構(gòu)從當(dāng)?shù)厝嗣胥y行科技處獲取CA應(yīng)用開(kāi)發(fā)包。（2） 在京外聯(lián)機(jī)構(gòu)從金電公司獲取開(kāi)發(fā)包。（3） 外聯(lián)機(jī)構(gòu)簽署開(kāi)發(fā)包使用承諾書。第二步：二、項(xiàng)目建設(shè)部門完成編碼工作。第三步：三、在開(kāi)發(fā)中如果需要，項(xiàng)目建設(shè)部門可從金電公司獲取CA應(yīng)用技術(shù)支持。3.5. 測(cè)試階段3.5.1. 工作內(nèi)容對(duì)開(kāi)發(fā)完成CA應(yīng)用的系統(tǒng)進(jìn)行聯(lián)調(diào)測(cè)試。3.5.2. 參與部門及工作流程第一步：一、項(xiàng)目建設(shè)單位向金電公司申請(qǐng)測(cè)試證書，并獲取測(cè)試用CA配置文件。（一）個(gè)人測(cè)試證書申請(qǐng)流程1.證書申請(qǐng)者向金電公司申請(qǐng)個(gè)人測(cè)試證書。2.金電公司批準(zhǔn)申請(qǐng)。3.金電公司發(fā)放USBKey為介質(zhì)的測(cè)試個(gè)人證書。4.證書申請(qǐng)者從金電公司領(lǐng)取測(cè)試用個(gè)人證書、測(cè)試CRL和測(cè)試根證書，并辦理領(lǐng)取登記手續(xù)。（二）服務(wù)器測(cè)試證書（機(jī)構(gòu)測(cè)試證書）申請(qǐng)流程1.證書申請(qǐng)部門使用專用工具生成證書申請(qǐng)文件，以郵件方式發(fā)送給金電公司。2.金電公司將做好的測(cè)試證書、測(cè)試CRL和測(cè)試根證書發(fā)給申請(qǐng)者。3.申請(qǐng)者將接收到的證書轉(zhuǎn)換為所需的PFX證書。二、第二步：在聯(lián)調(diào)測(cè)試環(huán)境中，項(xiàng)目建設(shè)部門完成測(cè)試證書和其他CA配置文件的系統(tǒng)配置。第三步：三、項(xiàng)目建設(shè)部門進(jìn)行聯(lián)調(diào)測(cè)試。四、第四步：金電公司對(duì)聯(lián)調(diào)測(cè)試中出現(xiàn)的問(wèn)題進(jìn)行技術(shù)支持。第五步：五、測(cè)試結(jié)束后，項(xiàng)目建設(shè)部門給出測(cè)試報(bào)告。3.6. 上線實(shí)施階段3.6.1. 工作內(nèi)容配合應(yīng)用系統(tǒng)完成系統(tǒng)上線的工程實(shí)施工作。3.6.2. 參與部門及工作流程第一步：一、業(yè)務(wù)部門上線前一個(gè)月向證書發(fā)放管理部門申請(qǐng)生產(chǎn)證書。具體內(nèi)容和工作流程參照中國(guó)人民銀行內(nèi)網(wǎng)電子認(rèn)證證書管理辦法（試行）（銀辦發(fā)2006153號(hào)）執(zhí)行。第二步：二、項(xiàng)目建設(shè)單位從金電公司獲取生產(chǎn)系統(tǒng)CA應(yīng)用配置文件。第三步：三、項(xiàng)目建設(shè)單位完成系統(tǒng)關(guān)于生產(chǎn)證書和其他配置文件的系統(tǒng)配置。3.7. 運(yùn)維階段3.7.1. 工作內(nèi)容系統(tǒng)運(yùn)維工作中，對(duì)與CA應(yīng)用相關(guān)的問(wèn)題進(jìn)行技術(shù)支持。3.7.2. 參與部門及工作內(nèi)容第一步：一、系統(tǒng)運(yùn)維部門從建設(shè)單位獲取與CA應(yīng)用有關(guān)的配置文件及配置文檔。第二步：二、明確生產(chǎn)證書的有效期，在證書到期前一個(gè)月向證書發(fā)放管理部門申請(qǐng)證書更新。第三步：三、在系統(tǒng)運(yùn)維中出現(xiàn)與CA有關(guān)的問(wèn)題，可以從建設(shè)單位和金電公司獲取技術(shù)支持。4 CA應(yīng)用設(shè)計(jì)和實(shí)現(xiàn)的內(nèi)容這部分內(nèi)容主要是針對(duì)CA應(yīng)用設(shè)計(jì)和實(shí)現(xiàn)的內(nèi)容進(jìn)行詳細(xì)介紹。4.1. 確定CA應(yīng)用需求類型CA應(yīng)用需求類型根據(jù)應(yīng)用系統(tǒng)的安全需求確定是以下一種或幾種的組合。一、證書有效性的身份認(rèn)證二、數(shù)字簽名及驗(yàn)簽的身份認(rèn)證、防抵賴、數(shù)據(jù)完整性三、傳輸?shù)谋Ｃ苄?.2. 確定實(shí)現(xiàn)方式4.2.1. 軟件方式一、 軟件實(shí)現(xiàn)方式內(nèi)容軟件實(shí)現(xiàn)方式即應(yīng)用系統(tǒng)根CA應(yīng)用開(kāi)發(fā)包及開(kāi)發(fā)文檔，通過(guò)API接口調(diào)用開(kāi)發(fā)實(shí)現(xiàn)CA應(yīng)用。二、 軟件版本目前CA應(yīng)用開(kāi)發(fā)包包括如下版本：（一）Java版 跨平臺(tái)應(yīng)用的開(kāi)發(fā)包，不受硬件平臺(tái)、操作類型的限制。（二）C版1、.COM版Windows平臺(tái)下的C語(yǔ)言版。2、.C語(yǔ)言版（1）AIX 32位平臺(tái)下的C語(yǔ)言版；（2）AIX 64位平臺(tái)下的C語(yǔ)言版；（3）C語(yǔ)言源碼：對(duì)于其他操作系統(tǒng)和平臺(tái)類型環(huán)境，提供C語(yǔ)言源碼程序，開(kāi)發(fā)單位在其環(huán)境進(jìn)行編譯后使用。三、 開(kāi)發(fā)包獲取方式參照附錄1獲取CA應(yīng)用開(kāi)發(fā)包。4.2.2. 硬件方式一、 硬件實(shí)現(xiàn)方式內(nèi)容通過(guò)專用的硬件設(shè)備實(shí)現(xiàn)簽名、驗(yàn)簽，提高簽名私鑰的安全性，解決服務(wù)器端高并發(fā)簽名、驗(yàn)簽名的性能瓶頸問(wèn)題。二、 硬件接口版本（一）JAVA接口（二）C接口4.3. 其他內(nèi)容4.3.1. 撤銷列表下載方式目前存在兩種撤銷列表（CRL）的下載方式，自動(dòng)方式和手工方式。一、自動(dòng)方式一般服務(wù)器端認(rèn)證的對(duì)象數(shù)量多，為保證證書有效性，需要實(shí)時(shí)或定期更新CRL，通過(guò)查詢以確定當(dāng)前所驗(yàn)證證書的有效性。由金電公司提供撤銷列表下載工具，在應(yīng)用系統(tǒng)安裝該工具：JIT Cinas CRL 1.0.8.4 for Aix Release或JIT Cinas CRL 1.0.8.4 for Windows Release，從CA中心自動(dòng)下載更新應(yīng)用系統(tǒng)本地的CRL。二、手工方式如果驗(yàn)證的對(duì)象數(shù)量比較少，這樣不需要對(duì)CRL進(jìn)行實(shí)時(shí)或定期更新，根據(jù)驗(yàn)證對(duì)象證書的變化情況，通過(guò)手工更新撤銷列表，以便提供證書及撤銷列表的查詢服務(wù)。4.3.2. 交叉認(rèn)證人民銀行與外部機(jī)構(gòu)互聯(lián)時(shí)，如果雙方分別使用各自的CA體系，那么就需要進(jìn)行不同CA域的交叉認(rèn)證實(shí)現(xiàn)兩家CA的互通，為雙方聯(lián)網(wǎng)系統(tǒng)建立安全信任關(guān)系，保障數(shù)據(jù)傳輸安全。在實(shí)現(xiàn)交叉認(rèn)證時(shí)，雙方基于標(biāo)準(zhǔn)的簽名結(jié)果格式進(jìn)行數(shù)據(jù)交換，以便實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)耐暾院头赖仲嚒?.3.3. 多應(yīng)用加載的環(huán)境這種情況的CA應(yīng)用和以上情況是一致的，只是在服務(wù)器證書申請(qǐng)時(shí)需使用服務(wù)器域名的方式，不能再使用服務(wù)器IP地址。4.4. 應(yīng)用策略應(yīng)用策略的內(nèi)容明確了CA應(yīng)用中需要明確的應(yīng)用類型、實(shí)現(xiàn)方式、撤銷列表下載方式、是否需要進(jìn)行交叉認(rèn)證，然后確定CA應(yīng)用模式。4.4.1. 實(shí)現(xiàn)方式一、如果服務(wù)器端既需要驗(yàn)簽名、還要簽名，或服務(wù)器端并發(fā)業(yè)務(wù)量大，軟件方式無(wú)法滿足性能需求，從簽名私鑰的安全保護(hù)和性能需求上考慮，需要使用硬件方式實(shí)現(xiàn)CA應(yīng)用。二、如果服務(wù)器端只是驗(yàn)簽，并發(fā)量不大，軟件方式能滿足系統(tǒng)的性能需求，則使用軟件方式實(shí)現(xiàn)，需要選擇適合的開(kāi)發(fā)包類型。4.4.2. 撤銷列表下載方式一、一般服務(wù)器端面向大量客戶端做驗(yàn)簽認(rèn)證客戶端身份，需要查詢撤銷列表，驗(yàn)證客戶端證書是否被撤銷。這種情況需要安裝下載工具，自動(dòng)下載并更新本地的撤銷列表。二、如果需要驗(yàn)證簽名的對(duì)象數(shù)量很少，為減少系統(tǒng)壓力和不必要的網(wǎng)絡(luò)資源消耗，在被驗(yàn)證的證書發(fā)生變化時(shí)，通知驗(yàn)證方，采用手工方式下載并更新本地的CRL。4.4.3. CA應(yīng)用模式實(shí)現(xiàn)方式應(yīng)用系統(tǒng)的結(jié)構(gòu)類型決定了其CA應(yīng)用的實(shí)現(xiàn)模式，應(yīng)用系統(tǒng)本身的結(jié)構(gòu)類型如果為B/S、C/S或S/S，則CA應(yīng)用對(duì)應(yīng)相應(yīng)的模式。以下的實(shí)現(xiàn)模式主要是基于目前我行應(yīng)用系統(tǒng)本身的結(jié)構(gòu)體系及CA應(yīng)用的實(shí)際模式總結(jié)的常見(jiàn)幾種情況。4.4.3.1. B/S模式實(shí)現(xiàn)方式B/S是目前比較流行的應(yīng)用結(jié)構(gòu)。這種模式下為服務(wù)器和瀏覽器之間通過(guò)配置SSL協(xié)議，建立安全通道，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?，并通過(guò)服務(wù)器端的CA應(yīng)用接口開(kāi)發(fā)、在瀏覽器安裝簽名/驗(yàn)簽控件，實(shí)現(xiàn)身份認(rèn)證、抗抵賴及數(shù)據(jù)完整性。具體內(nèi)容如下：一、建立SSL安全通道。二、開(kāi)發(fā)單位利用CA應(yīng)用開(kāi)發(fā)包，在服務(wù)器端實(shí)現(xiàn)CA應(yīng)用中驗(yàn)簽名的接口開(kāi)發(fā)功能，客戶端（瀏覽器）需要安裝CA應(yīng)用的OCX控件，實(shí)現(xiàn)簽名功能。三、向客戶端發(fā)放載體為USBKey的個(gè)人證書。四、服務(wù)器端配置根證書和證書撤銷列表（CRL）。五、服務(wù)器端需要安裝CRL下載工具，下載并更新本地的CRL。這種模式為常用模式，典型應(yīng)用為“貨幣金銀信息管理系統(tǒng)”。4.4.3.2. C/S模式實(shí)現(xiàn)方式C/S是以前比較流行的應(yīng)用系統(tǒng)結(jié)構(gòu)，目前很少應(yīng)用。這種應(yīng)用模式下服務(wù)器是可信的，服務(wù)器只對(duì)客戶端進(jìn)行認(rèn)證。利用數(shù)字簽名技術(shù)，服務(wù)器對(duì)客戶端進(jìn)行身份認(rèn)證，并防止關(guān)鍵業(yè)務(wù)的防抵賴操作，保證數(shù)據(jù)的完整性。具體內(nèi)容如下：一、開(kāi)發(fā)單位利用CA應(yīng)用開(kāi)發(fā)包，在服務(wù)器端和客戶端進(jìn)行接口開(kāi)發(fā)，在服務(wù)器端實(shí)現(xiàn)驗(yàn)簽的功能，在客戶端實(shí)現(xiàn)簽名功能。 二、向客戶端發(fā)放載體為USBKey的個(gè)人證書。三、服務(wù)器端配置根證書和證書撤銷列表（CRL）。四、服務(wù)器端需要安裝CRL下載工具，下載并更新本地的CRL。這種模式目前人民銀行還沒(méi)有應(yīng)用案例。4.4.3.3. S/S模式實(shí)現(xiàn)方式這種模式為服務(wù)器對(duì)服務(wù)器的模式,即交互雙方互為客戶端和服務(wù)器。兩端服務(wù)器互不信任，利用數(shù)字簽名技術(shù)實(shí)現(xiàn)雙向的身份認(rèn)證、防抵賴和數(shù)據(jù)的完整性。具體內(nèi)容如下：一、兩端服務(wù)器所部署的應(yīng)用系統(tǒng)開(kāi)發(fā)單位要在分別完成各自的CA應(yīng)用開(kāi)發(fā)（兩端的開(kāi)發(fā)單位可能不同），根據(jù)各自的CA應(yīng)用開(kāi)發(fā)包，在兩端分別實(shí)現(xiàn)CA應(yīng)用中簽名和驗(yàn)簽名的接口開(kāi)發(fā)功能。二、向兩端服務(wù)器端發(fā)放服務(wù)器證書或簽名硬件設(shè)備證書。三、兩端都要配置根證書和證書撤銷列表（CRL）。四、是否需要安裝CRL下載工具，根據(jù)本服務(wù)器驗(yàn)證的證書數(shù)量及實(shí)施的方便性決定。這種應(yīng)用模式的典型案例為國(guó)庫(kù)信息處理系統(tǒng)（TIPS）中人民銀行與外部機(jī)構(gòu)之間數(shù)據(jù)交換中實(shí)現(xiàn)的CA應(yīng)用。4.4.3.4. 混合模式實(shí)現(xiàn)方式混合模式指在一個(gè)應(yīng)用系統(tǒng)中，CA實(shí)現(xiàn)的集中模式會(huì)同時(shí)出現(xiàn)兩種或兩種以上。TIPS的CA應(yīng)用為B/S和S/S的混合模式。4.4.4. 其他情況隨著技術(shù)更新和新的系統(tǒng)體系架構(gòu)的出現(xiàn)，可能還會(huì)出現(xiàn)新的CA應(yīng)用模式，需要在應(yīng)用中進(jìn)行總結(jié)。4.5. CA應(yīng)用模板CA應(yīng)用模板以圖表的形式總括說(shuō)明CA應(yīng)用實(shí)現(xiàn)的三種情況。模板類型條件及 策略B/S模板C/S模板S/S模板備注應(yīng)用系統(tǒng)結(jié)構(gòu)類型瀏覽器/服務(wù)器結(jié)構(gòu)客戶端/服務(wù)器結(jié)構(gòu)應(yīng)用系統(tǒng)之間的服務(wù)器/服務(wù)器結(jié)構(gòu)信任關(guān)系服務(wù)器可信，客戶端不可信的單向認(rèn)證服務(wù)器可信，客戶端不可信的單向認(rèn)證兩端互不信任，雙向認(rèn)證實(shí)現(xiàn)方式服務(wù)器根據(jù)性能需要選擇：1、軟件方式（接口或代理均可）2、硬件方式（需要服務(wù)器與專用硬件之間開(kāi)發(fā)CA應(yīng)用的通信接口）根據(jù)性能需要選擇：1、軟件方式（接口或代理均可）2、硬件方式（需要服務(wù)器與專用硬件之間開(kāi)發(fā)CA應(yīng)用的通信接口）硬件方式（需要服務(wù)器與專用硬件之間開(kāi)發(fā)CA應(yīng)用的通信接口）客戶端安裝CA應(yīng)用控件軟件方式（接口或代理均可）CRL下載安裝工具，自動(dòng)下載安裝工具，自動(dòng)下載自動(dòng)或手動(dòng)，根據(jù)驗(yàn)證方需驗(yàn)證的證書數(shù)量確定證書使用服務(wù)器1、配置根證書；2、（如果還需要進(jìn)行交叉認(rèn)證，還需配置對(duì)方CA的根證書）。1、配置根證書；2、如果還需要進(jìn)行交叉認(rèn)證，還需配置對(duì)方CA的根證書。1、配置根證書2、如果還需要進(jìn)行交叉認(rèn)證，還需配置對(duì)方CA的根證書；3、申請(qǐng)服務(wù)器證書客戶端申請(qǐng)個(gè)人證書申請(qǐng)個(gè)人證書應(yīng)用情況常用,貨金系統(tǒng)、TCBS、財(cái)務(wù)系統(tǒng)、紀(jì)檢系統(tǒng)、TIPS個(gè)人用戶的CA應(yīng)用。不常用，人民銀行沒(méi)有案例。常用,TIPS與外聯(lián)機(jī)構(gòu)互聯(lián)的CA應(yīng)用。285 附錄5.1. CA應(yīng)用開(kāi)發(fā)包獲取方式一、CA應(yīng)用開(kāi)發(fā)包獲取流程CA應(yīng)用開(kāi)發(fā)包相關(guān)材料已下發(fā)省級(jí)數(shù)據(jù)中心，項(xiàng)目建設(shè)單位應(yīng)根據(jù)應(yīng)用系統(tǒng)自身實(shí)際情況選用不同的CA應(yīng)用接口實(shí)現(xiàn)方式，CA應(yīng)用流程如下：閱讀“CA接口實(shí)現(xiàn)方式說(shuō)明”選擇CA實(shí)現(xiàn)方式購(gòu)買專用簽名服務(wù)器硬件方式簽署開(kāi)發(fā)包使用承諾書，并領(lǐng)取開(kāi)發(fā)包軟件方式通信接口開(kāi)發(fā)簽名驗(yàn)簽功能模塊開(kāi)發(fā)聯(lián)調(diào)測(cè)試：簽名服務(wù)器測(cè)試證書申請(qǐng)、測(cè)試環(huán)境配置、進(jìn)行測(cè)試聯(lián)調(diào)測(cè)試：生產(chǎn)系統(tǒng)服務(wù)器測(cè)試證書申請(qǐng)、測(cè)試環(huán)境配置、進(jìn)行測(cè)試系統(tǒng)上線：簽名服務(wù)器生產(chǎn)證書申請(qǐng)、生產(chǎn)環(huán)境配置、上線運(yùn)行系統(tǒng)上線：生產(chǎn)系統(tǒng)服務(wù)器生產(chǎn)證書申請(qǐng)、生產(chǎn)環(huán)境配置、上線運(yùn)行運(yùn)行維護(hù)針對(duì)以上流程的詳細(xì)解釋如下：第一步：第一步：通過(guò)閱讀CA接口實(shí)現(xiàn)方式說(shuō)明，項(xiàng)目建設(shè)單位根據(jù)自身情況選定使用軟件還是硬件方式實(shí)現(xiàn)CA應(yīng)用。第二步：第二步：接口開(kāi)發(fā)（一）獲取開(kāi)發(fā)工具1.軟件方式免費(fèi)獲取開(kāi)發(fā)包人民銀行提供免費(fèi)CA應(yīng)用開(kāi)發(fā)包，項(xiàng)目建設(shè)單位需要和人民銀行簽署開(kāi)發(fā)包使用承諾書，以避免開(kāi)發(fā)包因免費(fèi)提供，在使用中出現(xiàn)商務(wù)糾紛，特別是用戶購(gòu)買第三方開(kāi)發(fā)服務(wù)導(dǎo)致的非授權(quán)使用。在京的項(xiàng)目建設(shè)單位從人民銀行總行科技司或金電公司領(lǐng)取所需的開(kāi)發(fā)包及證書申請(qǐng)工具KeyTool，京外項(xiàng)目建設(shè)單位從當(dāng)?shù)厝嗣胥y行省級(jí)機(jī)構(gòu)科技處領(lǐng)取所需的開(kāi)發(fā)包和證書申請(qǐng)工具KeyTool。各項(xiàng)目建設(shè)單位應(yīng)根據(jù)自己的應(yīng)用環(huán)境領(lǐng)取適合自己的開(kāi)發(fā)包。開(kāi)發(fā)包類型有JAVA、COM、C版三大類。其中C版開(kāi)發(fā)包提供AIX（64）環(huán)境的開(kāi)發(fā)包，其他平臺(tái)環(huán)境的C版開(kāi)發(fā)包需要外聯(lián)機(jī)構(gòu)根據(jù)C版源碼編譯獲取所需開(kāi)發(fā)包。2.使用硬件方式。根據(jù)數(shù)字簽名驗(yàn)證服務(wù)器產(chǎn)品及供應(yīng)商基本要求，選擇CA簽名服務(wù)器供應(yīng)商。（二）CA應(yīng)用接口開(kāi)發(fā)1.軟件方式接口開(kāi)發(fā)項(xiàng)目建設(shè)單位領(lǐng)取開(kāi)發(fā)包后，其開(kāi)發(fā)團(tuán)隊(duì)或第三方開(kāi)發(fā)服務(wù)通過(guò)閱讀開(kāi)發(fā)包中提供的開(kāi)發(fā)文檔及開(kāi)發(fā)示例，逐步完成CA應(yīng)用接口開(kāi)發(fā)，實(shí)現(xiàn)簽名、驗(yàn)簽等功能模塊。2.硬件方式接口開(kāi)發(fā)購(gòu)買簽名服務(wù)器硬件設(shè)備后，項(xiàng)目建設(shè)單位只需要基于CA簽名服務(wù)器的接口，實(shí)現(xiàn)簽名、驗(yàn)簽等功能。 第三步第三步：聯(lián)調(diào)測(cè)試（一）軟件方式1.需要使用專用工具（KeyTool）申請(qǐng)測(cè)試用服務(wù)器證書；2.將開(kāi)發(fā)環(huán)境的CA配置文件替換為測(cè)試對(duì)應(yīng)的配置文件進(jìn)行聯(lián)調(diào)測(cè)試。（二）硬件方式1.用CA簽名服務(wù)器自帶的證書申請(qǐng)功能完成測(cè)試證書申請(qǐng)；2.完成CA簽名服務(wù)器測(cè)試環(huán)境CA配置，進(jìn)行聯(lián)調(diào)測(cè)試；第四步：第四步：系統(tǒng)上線（一）軟件方式1.需要使用專用工具申請(qǐng)上線用服務(wù)器證書；2.將測(cè)試環(huán)境的CA配置文件替換為生產(chǎn)環(huán)境對(duì)應(yīng)的配置文件上線。（二）硬件方式1.用CA簽名服務(wù)器自帶的證書申請(qǐng)功能完成生產(chǎn)證書申請(qǐng)；2.完成對(duì)簽名服務(wù)器生產(chǎn)環(huán)境CA配置，上線運(yùn)行。第五步：第五步：運(yùn)行維護(hù)二、軟硬件CA應(yīng)用接口實(shí)現(xiàn)方式的比較為方便選擇CA應(yīng)用接口實(shí)現(xiàn)，現(xiàn)對(duì)軟硬件CA應(yīng)用接口實(shí)現(xiàn)方式從安全性與性能、開(kāi)發(fā)測(cè)試及價(jià)格幾個(gè)方面進(jìn)行比較。（一）安全性、性能比較1、安全性在軟件方式中，簽名私鑰以證書文件形式存儲(chǔ)在硬盤上，用口令保護(hù)；而且簽名驗(yàn)簽運(yùn)算在前置主機(jī)上實(shí)現(xiàn)，需要讀出證書文件中的私鑰進(jìn)行簽名驗(yàn)簽，這樣私鑰在內(nèi)存中駐留，安全性相對(duì)要低。在硬件方式中，私鑰保存在CA簽名服務(wù)器的專用硬件中，簽名驗(yàn)簽運(yùn)算在簽名服務(wù)器硬件中實(shí)現(xiàn)，只將簽名、驗(yàn)簽結(jié)果返給前置系統(tǒng)，私鑰不出硬件，安全性更高。2、性能軟件方式由于簽名驗(yàn)簽?zāi)K與前置系統(tǒng)共享主機(jī)資源，且簽名驗(yàn)簽是CPU密集型運(yùn)算，過(guò)多消耗主機(jī)資源，系統(tǒng)整體性能低。硬件方式由于簽名服務(wù)器硬件獨(dú)立實(shí)現(xiàn)簽名驗(yàn)簽，不占用主機(jī)資源，性能可實(shí)現(xiàn)數(shù)量級(jí)提高。（二）開(kāi)發(fā)、測(cè)試比較軟件方式要在前置主機(jī)系統(tǒng)上基于開(kāi)發(fā)包實(shí)現(xiàn)簽名驗(yàn)簽功能，屬于緊耦合模式。硬件方式由CA簽名服務(wù)器獨(dú)立完成簽名驗(yàn)簽功能，前置服務(wù)器只需要完成與簽名服務(wù)器的通信接口開(kāi)發(fā)，避免了由于軟件方式緊耦合模式及應(yīng)用環(huán)境導(dǎo)致的各種問(wèn)題。（三）價(jià)格比較 軟件方式的開(kāi)發(fā)包免費(fèi)獲得，進(jìn)行接口開(kāi)發(fā)的投入相對(duì)較少；硬件方式的簽名服務(wù)器價(jià)格相對(duì)較高。注：根據(jù)以上提供的CA接口實(shí)現(xiàn)方式說(shuō)明，項(xiàng)目建設(shè)單位結(jié)合自身的實(shí)際情況自主選擇使用軟件或者硬件方式實(shí)現(xiàn)CA應(yīng)用。四、技術(shù)支持趙義斌：010-63568866-6305，13671398408，ybzhao尚蕾：010-63568866-6303，shanglei335.2. 人民銀行CA系統(tǒng)DN規(guī)則DN組成DN的具體內(nèi)容依次由C、O、OU、CN幾部分組成。其中C用來(lái)表示國(guó)家；O用來(lái)表示組織機(jī)構(gòu)，在一般的PKI DN標(biāo)準(zhǔn)中，它可表示為發(fā)放該證書的CA名稱;OU用來(lái)表示次級(jí)組織機(jī)構(gòu)，為體現(xiàn)證書持有者的多種不同次級(jí)屬性，OU可分為兩級(jí)，即OU1和OU2來(lái)表示；CN用來(lái)表示用戶名。人民銀行內(nèi)網(wǎng)CA DN的組成包括：C、O、OU1、OU2、CN五部分。C定義在DN中，C一般表示國(guó)家代碼。在人民銀行內(nèi)網(wǎng)CA中DN規(guī)則仍沿用國(guó)際慣例，定義為：C=CN;CN為中國(guó)的英文代碼。O定義在證書DN標(biāo)準(zhǔn)中，O一般表示組織機(jī)構(gòu)。由于人民銀行內(nèi)網(wǎng)CA為CFCA根CA的子CA，遵循CFCA的O定義規(guī)則，在人民銀行內(nèi)網(wǎng)CA DN規(guī)則中，定義為：O=PBC CA，表示該證書用戶為人民銀行CA的用戶。OU1定義OU在DN標(biāo)準(zhǔn)中一般表示為證書持有者所屬的次級(jí)組織機(jī)構(gòu)。在人民銀行內(nèi)網(wǎng)CA DN規(guī)則中，OU1體現(xiàn)發(fā)放證書的RA系統(tǒng)和LRA機(jī)構(gòu)。RA系統(tǒng)使用RA系統(tǒng)編碼表示。RA系統(tǒng)編號(hào)為1位字符，從“1”開(kāi)始編碼，每新增RA系統(tǒng)時(shí)依次遞增，具體如下：RA系統(tǒng)RA系統(tǒng)編碼信管中心RA系統(tǒng)1LRA機(jī)構(gòu)使用LRA所在組織的組織機(jī)構(gòu)編碼表示。OU1具體定義為：LRA組織機(jī)構(gòu)編碼RA系統(tǒng)編碼。LRA組織機(jī)構(gòu)編碼與RA系統(tǒng)編碼之間以分隔符“”分隔。OU1示例：OU1=1131010001 表示為人行內(nèi)網(wǎng)CA信管中心RA系統(tǒng)河北石家莊中心支行LRA受理點(diǎn)所發(fā)證書OU2定義OU在DN標(biāo)準(zhǔn)中一般表示為證書持有者從屬的次級(jí)組織機(jī)構(gòu)。人民銀行內(nèi)網(wǎng)CA DN規(guī)則中，將OU2定義為發(fā)放的不同證書類型，包括人員類和設(shè)備類兩個(gè)大類，具體而言包括以下五種子類： 個(gè)人單密鑰證書，名稱為：Operator個(gè)人單密鑰證書，是頒發(fā)給人行工作人員的單密鑰證書，屬于人員類證書。所謂單密鑰證書，即證書持有者只有一張數(shù)字證書，使用該證書來(lái)完成相應(yīng)的證書安全應(yīng)用操作。示例：OU2=Operator 個(gè)人雙密鑰證書，名稱為：Advanced Operator個(gè)人雙密鑰證書，是頒發(fā)給人行工作人員的雙密鑰證書，屬于人員類證書。所謂雙密鑰證書，即證書持有者擁有加密、簽名兩張數(shù)字證書，加密證書用于加密目的、簽名證書用于簽名目的。示例：OU2=Advanced Operator 服務(wù)器證書，名稱為：Server服務(wù)器證書，是特指頒發(fā)給通用WEB服務(wù)器（如IIS、Apache等）和應(yīng)用服務(wù)器（如Weblogic、Websphere）的證書，屬于設(shè)備類證書。示例：OU2= Server設(shè)備證書，名稱為：Equipment設(shè)備證書，是指頒發(fā)給硬件設(shè)備和軟件系統(tǒng)的證書，其適用范圍除前述適用服務(wù)器證書以外的所有設(shè)備和軟件系統(tǒng)。在本DN規(guī)則中，設(shè)備證書目前僅適用網(wǎng)絡(luò)設(shè)備。示例：OU2= Equipment RA操作員證書，名稱為：Ra OperatorRA操作員證書，特指頒發(fā)給RA系統(tǒng)所有操作員和管理員的數(shù)字證書，它屬于人員類證書。示例：OU2=Ra Operator描述證書類型的每個(gè)英文單詞，第一個(gè)字母大寫，其余小寫。根據(jù)業(yè)務(wù)系統(tǒng)的實(shí)際需要，可以擴(kuò)充更多的證書類型，如：代碼簽名證書等等。CN定義CN的組成CN是證書持有者的通用名（common name），它用以表征證書持有者的個(gè)體特性。它包括以下幾個(gè)字段： 主版本號(hào)：DN規(guī)則的主版本號(hào)，目前為“01” 次版本號(hào)：DN規(guī)則的次版本號(hào)，目前為“0” 證件類型：表征證書持有者的證件類型，具體見(jiàn)0 證件號(hào)碼: 表征證書持有者的證件的號(hào)碼。 組織機(jī)構(gòu)類別：證書持有者所屬的組織機(jī)構(gòu)類別代碼。 組織機(jī)構(gòu)編碼：證書持有者所屬的組織機(jī)構(gòu)編碼。 擴(kuò)展內(nèi)容：可自定義的擴(kuò)展內(nèi)容。 證書持有者順序號(hào)：表示該證書為證書持有者的第幾張證書，長(zhǎng)度為1位字符，目前為“1”。證件類型DN中所包含的證件類型通過(guò)一位字符的編碼形式來(lái)體現(xiàn)，目前人民銀行CA系統(tǒng)只允許使用身份證作為證件，具體編碼規(guī)則如下：證件類型證件類型編碼身份證0設(shè)備類證書，目前已知包括服務(wù)器和網(wǎng)絡(luò)設(shè)備。其證件類型編碼規(guī)則為：證件類型編碼服務(wù)器證書6設(shè)備證書M證件號(hào)碼證件號(hào)碼域填寫符合對(duì)應(yīng)的證件類型的證件號(hào)碼內(nèi)容，具體規(guī)則如下：證書類型證件類型證件號(hào)碼證件號(hào)碼的解釋說(shuō)明個(gè)人單密鑰證書、個(gè)人雙密鑰證書、RA操作員證書0、1、B、C、E、F、G證件號(hào)碼如申請(qǐng)證書時(shí)使用身份證，則“證件號(hào)碼”填身份證號(hào)碼服務(wù)器證書6IP地址或域名設(shè)備證書M網(wǎng)絡(luò)設(shè)備名稱，長(zhǎng)度為3位字符網(wǎng)絡(luò)設(shè)備名稱的編碼規(guī)則，見(jiàn)附件二人民銀行內(nèi)網(wǎng)統(tǒng)一CA認(rèn)證基礎(chǔ)設(shè)施建設(shè)數(shù)字證書DN網(wǎng)絡(luò)設(shè)備編碼規(guī)則。證件類型及證件號(hào)碼示例： 0110101197201203264：表示證書持有者，是持身份證申請(qǐng)人員類數(shù)字證書，該證書持有者身份證號(hào)為“110101197201203264”。 611.28.1.1：表示該張服務(wù)器證書持有者為一臺(tái)服務(wù)器，其IP地址為11.28.1.1。 M03：表示該設(shè)備證書持有者，為編號(hào)“03”的一臺(tái)路由器。組織機(jī)構(gòu)類別組織機(jī)構(gòu)類別由3位字符編碼表示，具體表示如下：組織機(jī)構(gòu)類別編碼中國(guó)人民銀行489根據(jù)中組部代碼手冊(cè)，人民銀行代碼為“489”。根據(jù)業(yè)務(wù)系統(tǒng)需要，有人民銀行以外單位需要使用數(shù)字證書時(shí)，組織機(jī)構(gòu)類別編碼表可以進(jìn)行擴(kuò)充。組織機(jī)構(gòu)編碼組織機(jī)構(gòu)編碼為6位或9位字符編碼表示。擴(kuò)展內(nèi)容擴(kuò)展內(nèi)容包括為由業(yè)務(wù)系統(tǒng)或用戶自行定義內(nèi)容，該內(nèi)容為非標(biāo)準(zhǔn)內(nèi)容。對(duì)于人員證書，該部分內(nèi)容包括：人員拼音名和自定義內(nèi)容。具體定義為：字段名長(zhǎng)度解釋說(shuō)明拼音名長(zhǎng)度1字符位標(biāo)識(shí)拼音名的長(zhǎng)度拼音名由”拼音名長(zhǎng)度”定義其長(zhǎng)度人員的姓名全拼，使用小寫字母自定義內(nèi)容只受DN總長(zhǎng)約束用戶或業(yè)務(wù)系統(tǒng)自行定義，可為空對(duì)于設(shè)備證書，該內(nèi)容為自定義內(nèi)容，也可為空。CN規(guī)則示例字段名（長(zhǎng)度）RA操作員證書個(gè)人單密鑰、雙密鑰證書設(shè)備證書服務(wù)器證書主版本號(hào)（2位）01010101次版本號(hào)（1位）0000分隔符號(hào)證件類型（1位）0：居民身份證0：居民身份證M：設(shè)備6：服務(wù)器證件號(hào)碼相應(yīng)的證件號(hào)碼相應(yīng)的證件號(hào)碼網(wǎng)絡(luò)設(shè)備名稱IP地址或域名分隔符號(hào)組織機(jī)構(gòu)類別（3位）489：中國(guó)人民銀行組織機(jī)構(gòu)編碼（6或9位）組織機(jī)構(gòu)編碼分隔符號(hào)擴(kuò)展內(nèi)容姓名長(zhǎng)度姓名全拼音+可由LRA自定義內(nèi)容姓名長(zhǎng)度姓名全拼音+可由LRA自定義內(nèi)容可由LRA自定義內(nèi)容（可以是英文/拼音名）可由LRA自定義內(nèi)容（可以是英文/拼音名）分隔符號(hào)證書持有者順序號(hào)（1位）證書持有者的證書順序號(hào)，目前為“1”cn實(shí)例0100110101197201203264489111000bliuxiaogang10100110101197201203264489111000bliuxiaogang1010M03489111000 10106210.73.40.41489111000 1注： 分隔符（）為保留字符，CN內(nèi)各字段內(nèi)容均不得使用。補(bǔ)充說(shuō)明 1）在DN中，可以使用除專用字符和特殊字符外的所有ASCII字符。專用字符為反斜杠（“”）和雙引號(hào)(“"”)，由于在DN中有特殊含義，不能用在DN中。另外，不允許在cn中包含特殊字符（“，” 、“=” 、“+” 、“#” 、“<” 、“>” 、“;” ）由于存在不可見(jiàn)的ASCII字符，不便于用戶使用，下面給出本規(guī)則中所有可用的ASCII字符列表（ASCII值為十進(jìn)制數(shù)值）：ASCII值字符032空格033!036$037%038&039 040(041)042*045-046.047/04805709058:065?065090AZ091093094095096097122az123125126 2）考慮到人民銀行業(yè)務(wù)系統(tǒng)使用漢字字符集的多樣性，在人民銀行內(nèi)網(wǎng)CA/DN規(guī)則中不使用漢字。 3)證書DN總長(zhǎng)不超過(guò)255位字符。42