中國(guó)人民銀行信息系統(tǒng)電子認(rèn)證應(yīng)用指引(V1.0)

1、內(nèi)部資料注意保管中國(guó)人民銀行信息系統(tǒng)電子認(rèn)證應(yīng)用指引（征求意見(jiàn)稿）中國(guó)人民銀行2010年1月目 錄1概況11.1.編寫(xiě)目的11.2.適用范圍11.3.指引內(nèi)容簡(jiǎn)介11.4.術(shù)語(yǔ)定義12CA系統(tǒng)及應(yīng)用簡(jiǎn)介42.1.生產(chǎn)系統(tǒng)52.2.測(cè)試系統(tǒng)62.3.CA應(yīng)用現(xiàn)狀62.3.1.CA系統(tǒng)與CA應(yīng)用的關(guān)系62.3.2.CA應(yīng)用類(lèi)型與模式.CA應(yīng)用類(lèi)型.應(yīng)用模式103應(yīng)用流程和工作分工143.1.CA應(yīng)用總體流程143.2.需求階段173.2.1.工作內(nèi)容173.2.2.參與部門(mén)與工作流程173.3.設(shè)計(jì)階段173.3.1.工作內(nèi)容173.3.2.參與部門(mén)與工作流程173

2、.4.開(kāi)發(fā)階段183.4.1.工作內(nèi)容183.4.2.參與部門(mén)及工作流程183.5.測(cè)試階段183.5.1.工作內(nèi)容183.5.2.參與部門(mén)及工作流程193.6.上線(xiàn)實(shí)施階段203.6.1.工作內(nèi)容203.6.2.參與部門(mén)及工作流程203.7.運(yùn)維階段203.7.1.工作內(nèi)容203.7.2.參與部門(mén)及工作內(nèi)容204CA應(yīng)用設(shè)計(jì)和實(shí)現(xiàn)的內(nèi)容204.1.確定CA應(yīng)用需求類(lèi)型214.2.確定實(shí)現(xiàn)方式214.2.1.軟件方式214.2.2.硬件方式224.3.其他內(nèi)容224.3.1.撤銷(xiāo)列表下載方式224.3.2.交叉認(rèn)證234.3.3.多應(yīng)用加載的環(huán)境234.4.應(yīng)用策略234.4.1.實(shí)現(xiàn)方式23

3、4.4.2.撤銷(xiāo)列表下載方式244.4.3.CA應(yīng)用模式實(shí)現(xiàn)方式.B/S模式實(shí)現(xiàn)方式.C/S模式實(shí)現(xiàn)方式.S/S模式實(shí)現(xiàn)方式.混合模式實(shí)現(xiàn)方式264.4.4.其他情況264.5.CA應(yīng)用模板265附錄285.1.CA應(yīng)用開(kāi)發(fā)包獲取方式285.2.人民銀行CA系統(tǒng)DN規(guī)則33III1 概況1.1. 編寫(xiě)目的本指引是人民銀行信息系統(tǒng)電子認(rèn)證應(yīng)用（以下簡(jiǎn)稱(chēng)“CA應(yīng)用”）的指導(dǎo)性文件。CA應(yīng)用貫穿信息系統(tǒng)建設(shè)的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、上線(xiàn)實(shí)施及運(yùn)行維護(hù)的各個(gè)階段，通過(guò)該指引規(guī)范CA應(yīng)用的工作流程，以便各相關(guān)部門(mén)（業(yè)務(wù)部門(mén)、管理部門(mén)、建設(shè)

4、部門(mén)、運(yùn)維部門(mén)）明確職責(zé)、保證CA應(yīng)用的順利進(jìn)行。本指引解釋權(quán)歸屬人民銀行總行科技司。1.2. 適用范圍本指引適用于人民銀行內(nèi)部及與人民銀行有信息系統(tǒng)互聯(lián)的外部機(jī)構(gòu)。其中人民銀行內(nèi)部各部門(mén)包括系統(tǒng)管理部門(mén)、業(yè)務(wù)部門(mén)、系統(tǒng)建設(shè)部門(mén)、系統(tǒng)運(yùn)維部門(mén)等；外部機(jī)構(gòu)的使用范圍根據(jù)互聯(lián)機(jī)構(gòu)的具體情況由人民銀行業(yè)務(wù)主管部門(mén)和科技司共同決定。使用CA安全認(rèn)證服務(wù)的機(jī)構(gòu)、部門(mén)和個(gè)人，都需要嚴(yán)格遵守本指引。1.3. 指引內(nèi)容簡(jiǎn)介本指引在簡(jiǎn)單介紹人民銀行CA系統(tǒng)基本情況的基礎(chǔ)上，重點(diǎn)介紹了CA應(yīng)用涉及的工作內(nèi)容、應(yīng)用策略、應(yīng)用流程和工作分工，并在附錄中給出與CA應(yīng)用有關(guān)的管理制度和技術(shù)文檔。1.4. 術(shù)語(yǔ)定義PKI：

5、Public Key Infrastructure即公開(kāi)密鑰基礎(chǔ)設(shè)施，是以公鑰（非對(duì)稱(chēng)）密碼學(xué)為基礎(chǔ)，為信息系統(tǒng)提供安全認(rèn)證服務(wù)，構(gòu)建網(wǎng)絡(luò)信任體系的安全基礎(chǔ)平臺(tái)。CA：Certification Authority即認(rèn)證中心。CA是PKI的核心，受信任的第三方，生成用戶(hù)的數(shù)字證書(shū)，解決公鑰體系中公鑰的合法性問(wèn)題。本指引中CA專(zhuān)指人民銀行內(nèi)部CA系統(tǒng)。RA：Registration Authority即注冊(cè)機(jī)構(gòu)，數(shù)字證書(shū)注冊(cè)審批機(jī)構(gòu)。負(fù)責(zé)完成證書(shū)的發(fā)放、撤銷(xiāo)、更新、恢復(fù)、凍結(jié)和解凍等管理功能。本指引中RA專(zhuān)指人民銀行RA系統(tǒng)。LRA：Local Registration Authority即證書(shū)

6、注冊(cè)審核受理點(diǎn)，RA的組成部分，作為證書(shū)發(fā)放受理點(diǎn)，直接面向用戶(hù)。KMC：Key Management Centre密鑰管理中心，提供加密密鑰的產(chǎn)生、存儲(chǔ)、更新、分發(fā)、查詢(xún)、撤消、歸檔、備份及恢復(fù)等管理功能。LDAP：Lightweight Directory Access Protocol 目錄服務(wù)器，用以存儲(chǔ)和發(fā)布用戶(hù)的證書(shū)信息、證書(shū)撤銷(xiāo)列表，用戶(hù)在使用證書(shū)時(shí)通過(guò)訪(fǎng)問(wèn)目錄服務(wù)器，驗(yàn)證證書(shū)的有效性。CRL：Certificate Revocation List證書(shū)撤消列表，通過(guò)查詢(xún)CRL用以驗(yàn)證證書(shū)的使用狀態(tài)是否為撤消或凍結(jié)，判斷證書(shū)的有效性。OCSP：Online Certificate

7、Status Protocoal即在線(xiàn)證書(shū)狀態(tài)協(xié)議，與CRL以及證書(shū)狀態(tài)相結(jié)合，能為用戶(hù)提供高效、實(shí)時(shí)的證書(shū)狀態(tài)查詢(xún)服務(wù)。TSA：Time Stamp Authority即時(shí)間戳服務(wù)，負(fù)責(zé)對(duì)所有請(qǐng)求時(shí)間戳服務(wù)的請(qǐng)求進(jìn)行簽發(fā)處理，并對(duì)時(shí)間戳進(jìn)行相應(yīng)的管理。數(shù)字證書(shū)：由CA認(rèn)證中心發(fā)放的，能進(jìn)行身份驗(yàn)證的一種權(quán)威性文件，用戶(hù)通過(guò)數(shù)字證書(shū)來(lái)證明自己的身份和識(shí)別對(duì)方的身份。數(shù)字證書(shū)是一段包含用戶(hù)或服務(wù)器身份信息、公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的文件，人民銀行CA證書(shū)格式及證書(shū)內(nèi)容遵循X.509標(biāo)準(zhǔn)。數(shù)字簽名：數(shù)字簽名是指用戶(hù)用自己的私鑰對(duì)業(yè)務(wù)操作數(shù)據(jù)、數(shù)據(jù)傳輸?shù)认嚓P(guān)信息的哈希摘要用非對(duì)稱(chēng)密碼算法進(jìn)行

8、加密所得的數(shù)據(jù)，實(shí)現(xiàn)對(duì)業(yè)務(wù)操作數(shù)據(jù)及數(shù)據(jù)發(fā)送者的身份認(rèn)證，防止抵賴(lài)，保證數(shù)據(jù)的完整性。數(shù)字信封：結(jié)合對(duì)稱(chēng)密碼和非對(duì)成密碼技術(shù)，用以保證數(shù)據(jù)傳輸安全的加密方法。個(gè)人證書(shū)：向個(gè)人使用者發(fā)放的數(shù)字證書(shū)，用以實(shí)現(xiàn)應(yīng)用系統(tǒng)中個(gè)人操作所需的安全服務(wù)。個(gè)人證書(shū)的保管使用由使用者本人負(fù)責(zé)。人民銀行CA個(gè)人證書(shū)分為：RA管理員證書(shū)、LRA管理員證書(shū)、LRA操作員證書(shū)、個(gè)人單密鑰證書(shū)。其中RA管理員證書(shū)、LRA管理員證書(shū)、LRA操作員證書(shū)均可用于管理或使用LRA系統(tǒng)；個(gè)人單密鑰證書(shū)為個(gè)人普通證書(shū)。服務(wù)器證書(shū)：發(fā)放給應(yīng)用系統(tǒng)中服務(wù)器的數(shù)字證書(shū)，用以建立服務(wù)器和客戶(hù)端之間的安全信任關(guān)系。設(shè)備證書(shū)：發(fā)放給網(wǎng)絡(luò)設(shè)備的數(shù)字

9、證書(shū)，用以實(shí)現(xiàn)該設(shè)備所需的安全服務(wù)。機(jī)構(gòu)證書(shū)：向與應(yīng)用系統(tǒng)互聯(lián)的外部機(jī)構(gòu)發(fā)放的證書(shū)，該證書(shū)的使用對(duì)象為機(jī)構(gòu)。它解決的是人民銀行信息系統(tǒng)與外部機(jī)構(gòu)系統(tǒng)互聯(lián)時(shí)，對(duì)所連接的機(jī)構(gòu)實(shí)體進(jìn)行認(rèn)證的問(wèn)題，而不針對(duì)這個(gè)機(jī)構(gòu)中的具體操作人員，這也是業(yè)務(wù)數(shù)據(jù)交換的延伸超出了管轄范圍情況下的一種解決辦法。機(jī)構(gòu)證書(shū)在應(yīng)用系統(tǒng)中的具體表現(xiàn)形式為服務(wù)器證書(shū)。證書(shū)責(zé)任人：個(gè)人證書(shū)的證書(shū)責(zé)任人是證書(shū)持有（使用）人；服務(wù)器、設(shè)備證書(shū)責(zé)任人是證書(shū)申請(qǐng)部門(mén)為該證書(shū)指定的證書(shū)管理責(zé)任人。SSL：Security Socket Layer即安全套接層協(xié)議，通信雙方通過(guò)數(shù)字證書(shū)，建立數(shù)據(jù)傳輸安全通道的協(xié)議。身份認(rèn)證：驗(yàn)證一個(gè)主體身份的過(guò)

10、程，即驗(yàn)證者根據(jù)被驗(yàn)證者提供的或擁有的身份鑒別信息用以確認(rèn)其身份是否真實(shí)的過(guò)程。數(shù)據(jù)機(jī)密性：信息具有的一種內(nèi)在性質(zhì)，這一性質(zhì)要求信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程，不為其所用。數(shù)據(jù)完整性：信息具有的一種內(nèi)在性質(zhì)，這一性質(zhì)表明信息沒(méi)有遭受以非授權(quán)方式所作的篡改或破壞。數(shù)據(jù)不可否認(rèn)性：信息具有的一種內(nèi)在性質(zhì)，確保個(gè)人或設(shè)備不能否認(rèn)其發(fā)送過(guò)的信息及交易，也稱(chēng)抗抵賴(lài)性。2 CA系統(tǒng)及應(yīng)用簡(jiǎn)介人民銀行內(nèi)部CA系統(tǒng)（以下簡(jiǎn)稱(chēng)“CA系統(tǒng)”）作為人民銀行的安全基礎(chǔ)設(shè)施，為人民銀行信息系統(tǒng)提供身份認(rèn)證、防抵賴(lài)、完整性和保密性的安全服務(wù)。根據(jù)CA系統(tǒng)運(yùn)行和CA應(yīng)用的實(shí)際需要，CA系統(tǒng)分為生產(chǎn)系統(tǒng)和測(cè)試系統(tǒng)兩部分

11、，下面對(duì)兩個(gè)系統(tǒng)分別進(jìn)行介紹。2.1. 生產(chǎn)系統(tǒng)CA生產(chǎn)系統(tǒng)的體系結(jié)構(gòu)如下圖所示：從目錄服務(wù)器圖1 人民銀行CA生產(chǎn)系統(tǒng) 其中：l CA生產(chǎn)系統(tǒng)分為CA中心和RA證書(shū)注冊(cè)系統(tǒng)。l 其中CA中心作為后臺(tái)系統(tǒng)生產(chǎn)證書(shū)，并提供證書(shū)及撤銷(xiāo)列表的查詢(xún)服務(wù)。目前CA中心部署在金電公司，由金電公司負(fù)責(zé)CA中心運(yùn)維和CA應(yīng)用的技術(shù)支持工作。l RA系統(tǒng)作為證書(shū)發(fā)放系統(tǒng)面向用戶(hù)，負(fù)責(zé)證書(shū)申請(qǐng)的審核和發(fā)放。RA系統(tǒng)部署在總行信管中心，由總行信管中心負(fù)責(zé)運(yùn)維，總行信管中心和上?？偛?營(yíng)管部/分行/省會(huì)中支的管理員、操作員通過(guò)Web界面登陸RA系統(tǒng)進(jìn)行證書(shū)相關(guān)操作。2.2. 測(cè)試系統(tǒng)測(cè)試系統(tǒng)的體系結(jié)構(gòu)圖如下：圖2 人

12、民銀行CA測(cè)試系統(tǒng)其中：l 測(cè)試系統(tǒng)整體部署在金電公司，由金電公司服務(wù)運(yùn)維。l 金電公司的工作包括測(cè)試證書(shū)的生產(chǎn)、發(fā)放。l 提供CA應(yīng)用測(cè)試技術(shù)支持。2.3. CA應(yīng)用現(xiàn)狀2.3.1. CA系統(tǒng)與CA應(yīng)用的關(guān)系CA系統(tǒng)作為人民銀行的安全基礎(chǔ)設(shè)施，提供數(shù)字證書(shū)簽發(fā)、密鑰管理、證書(shū)查詢(xún)等功能，應(yīng)用系統(tǒng)根據(jù)CA應(yīng)用工具（開(kāi)發(fā)包或硬件設(shè)備），通過(guò)接口開(kāi)發(fā)實(shí)現(xiàn)自身的簽名、驗(yàn)簽名等功能模塊，從而滿(mǎn)足應(yīng)用系統(tǒng)身份認(rèn)證、防抵賴(lài)、完整性、保密性的安全需求。CA系統(tǒng)及CA應(yīng)用的現(xiàn)狀如下圖所示：圖3 CA系統(tǒng)及CA應(yīng)用現(xiàn)狀示意圖其中：l 圖中左半部分為CA系統(tǒng)示意圖，右半部分為應(yīng)用系統(tǒng)的CA實(shí)現(xiàn)示意圖。l 圖中虛線(xiàn)

13、為RA系統(tǒng)面向用戶(hù)離線(xiàn)方式的證書(shū)申請(qǐng)、發(fā)放。² 個(gè)人證書(shū)申請(qǐng)證書(shū)時(shí)，USBKey產(chǎn)生密鑰對(duì)，私鑰駐留USBKey中，不可導(dǎo)出，實(shí)現(xiàn)對(duì)私鑰的硬件級(jí)保護(hù)，同時(shí)在應(yīng)用中數(shù)字簽名的密碼運(yùn)算在USBKey內(nèi)完成。² 服務(wù)器證書(shū)服務(wù)器證書(shū)的申請(qǐng)、發(fā)放，根據(jù)確定的CA應(yīng)用方式有所不同。如果是軟件方式，則服務(wù)器的管理員需要使用專(zhuān)用工具產(chǎn)生密鑰對(duì)及證書(shū)申請(qǐng)文件，提交給發(fā)證終端LRA，由CA中心生產(chǎn)簽名證書(shū)后，返給系統(tǒng)管理員，管理員用該工具將本地保存的私鑰和簽名證書(shū)一起轉(zhuǎn)換為系統(tǒng)所需的證書(shū)文件。如果是硬件方式，需要硬件支持申請(qǐng)證書(shū)。l 圖中黑色加粗線(xiàn)條表示在CA應(yīng)用中，應(yīng)用系統(tǒng)在線(xiàn)（或離線(xiàn)）查

14、詢(xún)證書(shū)撤銷(xiāo)列表（CRL），驗(yàn)證證書(shū)的有效性。l 根據(jù)具體應(yīng)用系統(tǒng)的需求，在客戶(hù)端和服務(wù)器端分別部署所需的CA應(yīng)用安全套件。安全套件的內(nèi)容包括開(kāi)發(fā)包、硬件設(shè)備、根證書(shū)、用戶(hù)證書(shū)、撤銷(xiāo)列表。2.3.2. CA應(yīng)用類(lèi)型與模式. CA應(yīng)用類(lèi)型隨著CA應(yīng)用的推廣，我行應(yīng)用系統(tǒng)數(shù)據(jù)集中以及資源整合的不斷深入，根據(jù)不同的安全需求，可將CA應(yīng)用分為如下幾種不同類(lèi)型。一、安全需求說(shuō)明基于CA應(yīng)用，應(yīng)用系統(tǒng)能夠?qū)崿F(xiàn)系統(tǒng)用戶(hù)身份認(rèn)證和系統(tǒng)數(shù)據(jù)傳輸安全等安全需求，其中數(shù)據(jù)傳輸安全包括數(shù)據(jù)防抵賴(lài)、完整性和保密性需求。二、基于CA應(yīng)用實(shí)現(xiàn)信息系統(tǒng)用戶(hù)身份認(rèn)證（一） 基于SSL協(xié)議雙向認(rèn)證實(shí)現(xiàn)系統(tǒng)用戶(hù)身份認(rèn)證

15、基于SSL協(xié)議雙向認(rèn)證，能夠?qū)崿F(xiàn)系統(tǒng)服務(wù)器和用戶(hù)認(rèn)證，加密數(shù)據(jù)并防止數(shù)據(jù)中途被竊取，維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變。（二） 基于簽名、驗(yàn)簽實(shí)現(xiàn)系統(tǒng)用戶(hù)身份認(rèn)證首先在客戶(hù)端調(diào)用數(shù)字簽名的接口完成數(shù)字簽名，并生成簽名包，然后將該簽名包傳遞給服務(wù)器端，服務(wù)器端調(diào)用驗(yàn)簽的接口對(duì)簽名包進(jìn)行驗(yàn)證，并將驗(yàn)證結(jié)果返回給客戶(hù)端。由于驗(yàn)證簽名包時(shí)包含了完整的證書(shū)驗(yàn)證功能，從而可以完成身份認(rèn)證功能。圖4基于簽名、驗(yàn)簽實(shí)現(xiàn)系統(tǒng)用戶(hù)身份認(rèn)證流程三、基于簽名/驗(yàn)簽實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)耐暾院头赖仲?lài)基于簽名/驗(yàn)簽?zāi)軌驅(qū)崿F(xiàn)系統(tǒng)間數(shù)據(jù)傳輸?shù)耐暾缘姆赖仲?lài)。系統(tǒng)A在發(fā)送數(shù)據(jù)時(shí)，將擬發(fā)送的數(shù)據(jù)進(jìn)行數(shù)據(jù)簽名，并將簽名數(shù)據(jù)和

16、擬發(fā)送的數(shù)據(jù)等一同發(fā)送給系統(tǒng)B。系統(tǒng)B基于系統(tǒng)A發(fā)送過(guò)來(lái)的數(shù)據(jù)進(jìn)行驗(yàn)簽，驗(yàn)證書(shū)數(shù)據(jù)在傳輸過(guò)程中的完整性，實(shí)現(xiàn)數(shù)據(jù)傳輸過(guò)程中的防抵賴(lài)和完整性安全需求。四、基于數(shù)字信封實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄詳?shù)字信封是對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密相結(jié)合的CA應(yīng)用，實(shí)現(xiàn)系統(tǒng)間數(shù)據(jù)傳輸?shù)谋Ｃ苄?。在進(jìn)行數(shù)據(jù)傳輸時(shí)，通過(guò)生成隨機(jī)數(shù)，作為對(duì)稱(chēng)加密密鑰，實(shí)現(xiàn)擬發(fā)送數(shù)據(jù)的對(duì)稱(chēng)加密；通過(guò)非對(duì)稱(chēng)加密實(shí)現(xiàn)對(duì)稱(chēng)加密密鑰的傳輸。. 應(yīng)用模式CA應(yīng)用模式包括以下三種：B/S模式，即瀏覽器/服務(wù)器架構(gòu)下的證書(shū)應(yīng)用；C/S模式，即客戶(hù)端/服務(wù)器架構(gòu)下的證書(shū)應(yīng)用；S/S模式，即服務(wù)器/服務(wù)器架構(gòu)下的證書(shū)應(yīng)用，多為系統(tǒng)互聯(lián)。下面對(duì)這三種結(jié)構(gòu)進(jìn)行

17、詳細(xì)說(shuō)明。 一、B/S結(jié)構(gòu)B/S結(jié)構(gòu)是目前普遍的應(yīng)用系統(tǒng)結(jié)構(gòu)，即客戶(hù)端以瀏覽器登錄服務(wù)器，實(shí)現(xiàn)業(yè)務(wù)操作的應(yīng)用模式。目前主流的Web服務(wù)器和主流瀏覽器都支持SSL協(xié)議，因此身份認(rèn)證可以基于SSL實(shí)現(xiàn)。但由于SSL不能有效實(shí)現(xiàn)交易/行為的抗抵賴(lài)性和關(guān)鍵數(shù)據(jù)的保密性，所以還需要在瀏覽器端和服務(wù)器端增加加解密/簽名驗(yàn)證模塊，來(lái)真正實(shí)現(xiàn)交易/行為的抗抵賴(lài)性和關(guān)鍵數(shù)據(jù)的保密性。具體實(shí)現(xiàn)中，需要在瀏覽器端需要配置個(gè)人證書(shū)，服務(wù)器端需要配置服務(wù)器證書(shū)。針對(duì)IE瀏覽器，需要在客戶(hù)端安裝CSP模塊，加解密/簽名驗(yàn)證模塊可以采用ActiveX技術(shù)實(shí)現(xiàn)；針對(duì)非IE瀏覽器如Netscape等，需要在瀏覽器端安裝Pkcs

18、#11模塊，加解密/簽名驗(yàn)證模塊可以采用Plugin或XPCOM技術(shù)實(shí)現(xiàn)。圖示如下：瀏覽器內(nèi)置SSL模塊Web服務(wù)器內(nèi)置SSL模塊CSP模塊加解密/簽名驗(yàn)證模塊證書(shū)/私鑰介質(zhì)CSP模塊加解密/簽名驗(yàn)證模塊證書(shū)/私鑰介質(zhì)證書(shū)身份認(rèn)證交易/行為抗抵賴(lài)性關(guān)鍵數(shù)據(jù)保密性圖5 CA應(yīng)用B/S結(jié)構(gòu)圖二、C/S結(jié)構(gòu)C/S是以前比較流行的應(yīng)用系統(tǒng)結(jié)構(gòu)，即需要在客戶(hù)端部署客戶(hù)端軟件，用戶(hù)通過(guò)客戶(hù)端軟件登錄服務(wù)器，進(jìn)行業(yè)務(wù)操作。C/S結(jié)構(gòu)一般都不支持PKI證書(shū)機(jī)制，為了實(shí)現(xiàn)證書(shū)應(yīng)用，提高系統(tǒng)安全性，必須在客戶(hù)端和服務(wù)器端增加PKI安全模塊。（一）安全代理方式對(duì)于安全性要求不高或無(wú)法進(jìn)行開(kāi)發(fā)改造的C/S系統(tǒng)，可以采

19、用安全代理技術(shù)，實(shí)現(xiàn)證書(shū)應(yīng)用，提高身份鑒別的強(qiáng)度和數(shù)據(jù)傳輸?shù)陌踩?，如下圖所示：客戶(hù)端C服務(wù)器端S證書(shū)身份認(rèn)證數(shù)據(jù)傳輸保密性證書(shū)/私鑰介質(zhì)證書(shū)/私鑰介質(zhì)安全代理客戶(hù)端安全代理服務(wù)器圖6 CA應(yīng)用C/S結(jié)構(gòu)圖（1）采用安全代理技術(shù)，需要在客戶(hù)端部署安全代理客戶(hù)端，在服務(wù)器端部署安全代理服務(wù)器，由安全代理客戶(hù)端/服務(wù)器負(fù)責(zé)實(shí)現(xiàn)PKI證書(shū)機(jī)制，對(duì)原有的客戶(hù)端和服務(wù)器端沒(méi)有影響；客戶(hù)端/服務(wù)器與安全代理客戶(hù)端/服務(wù)器之間通過(guò)TCP/IP協(xié)議進(jìn)行通信。（二）2、API接口開(kāi)發(fā)方式對(duì)于安全性要求較高且能夠進(jìn)行開(kāi)發(fā)改造的C/S系統(tǒng)，可以采用API接口技術(shù)進(jìn)行開(kāi)發(fā)，實(shí)現(xiàn)證書(shū)應(yīng)用，提高身份認(rèn)證的強(qiáng)度，同時(shí)保證數(shù)

20、據(jù)保密性、完整性以及交易/行為的抗抵賴(lài)性，如下圖所示：API接口包客戶(hù)端C服務(wù)器端S數(shù)據(jù)完整性交易/行為抗抵賴(lài)性證書(shū)/私鑰介質(zhì)API接口包證書(shū)/私鑰介質(zhì)證書(shū)身份認(rèn)證數(shù)據(jù)保密性圖7 CA應(yīng)用C/S結(jié)構(gòu)圖（2）采用API接口開(kāi)發(fā)方式，需要分別在客戶(hù)端和服務(wù)器端利用API接口開(kāi)發(fā)包進(jìn)行接口開(kāi)發(fā)改造，在客戶(hù)端/服務(wù)器端的業(yè)務(wù)處理邏輯中通過(guò)函數(shù)調(diào)用方式，調(diào)用證書(shū)API接口來(lái)實(shí)現(xiàn)PKI證書(shū)機(jī)制。在客戶(hù)端需要配置個(gè)人證書(shū)，在服務(wù)器端需要配置服務(wù)器證書(shū)。三、S/S結(jié)構(gòu)S/S結(jié)構(gòu)即兩個(gè)服務(wù)器之間的數(shù)據(jù)交換，一般為不同應(yīng)用系統(tǒng)之間的交換。S/S結(jié)構(gòu)一般都不支持PKI證書(shū)機(jī)制，為了實(shí)現(xiàn)證書(shū)應(yīng)用，提高系統(tǒng)安全性，必須

21、在服務(wù)器兩端增加PKI安全模塊。1、（一）安全代理方式對(duì)于安全性要求不是很高或無(wú)法進(jìn)行開(kāi)發(fā)改造的S/S系統(tǒng)，可以采用安全代理技術(shù)，實(shí)現(xiàn)證書(shū)應(yīng)用，提高身份認(rèn)證的強(qiáng)度和數(shù)據(jù)傳輸?shù)陌踩?，如下圖所示：服務(wù)器端S服務(wù)器端S證書(shū)身份認(rèn)證數(shù)據(jù)傳輸保密性證書(shū)/私鑰介質(zhì)證書(shū)/私鑰介質(zhì)安全代理服務(wù)器安全代理服務(wù)器圖8 CA應(yīng)用S/S結(jié)構(gòu)圖（1）采用安全代理技術(shù)，需要在服務(wù)器兩端都部署安全代理服務(wù)器，由安全代理服務(wù)器負(fù)責(zé)實(shí)現(xiàn)PKI證書(shū)機(jī)制，對(duì)原有的服務(wù)器端沒(méi)有影響，服務(wù)器與安全代理服務(wù)器之間通過(guò)TCP/IP協(xié)議進(jìn)行通信。在服務(wù)器兩端均需要配置服務(wù)器證書(shū)。（二）2、API接口開(kāi)發(fā)方式對(duì)于安全性要求很高且能夠進(jìn)行開(kāi)發(fā)

22、改造的S/S系統(tǒng)，可以采用API接口技術(shù)進(jìn)行開(kāi)發(fā)，實(shí)現(xiàn)證書(shū)應(yīng)用，提高身份認(rèn)證的強(qiáng)度，同時(shí)保證數(shù)據(jù)保密性、完整性以及交易/行為的抗抵賴(lài)性，如下圖所示：API接口包服務(wù)器端C服務(wù)器端S數(shù)據(jù)完整性交易/行為抗抵賴(lài)性證書(shū)/私鑰介質(zhì)API接口包證書(shū)/私鑰介質(zhì)證書(shū)身份認(rèn)證數(shù)據(jù)保密性圖9 CA應(yīng)用S/S結(jié)構(gòu)圖（2）采用API接口開(kāi)發(fā)方式，需要分別在服務(wù)器兩端利用API接口開(kāi)發(fā)包進(jìn)行接口開(kāi)發(fā)改造，在服務(wù)器兩端的業(yè)務(wù)處理邏輯中通過(guò)函數(shù)調(diào)用方式，調(diào)用證書(shū)API接口來(lái)實(shí)現(xiàn)PKI證書(shū)機(jī)制。在服務(wù)器兩端均需要配置服務(wù)器證書(shū)。3 應(yīng)用流程和工作分工首先通過(guò)流程圖從整體上介紹CA應(yīng)用流程，其次根據(jù)整體流程分階段介紹工作內(nèi)容

23、和參與部門(mén)的職責(zé)。3.1. CA應(yīng)用總體流程CA應(yīng)用總體流程根據(jù)CA應(yīng)用實(shí)現(xiàn)過(guò)程涉及的不同階段來(lái)確定，包括CA應(yīng)用需求提出、確認(rèn)，制定CA應(yīng)用方案，方案審核確認(rèn)，CA應(yīng)用開(kāi)發(fā)實(shí)現(xiàn)，測(cè)試，證書(shū)發(fā)放、實(shí)施及運(yùn)行維護(hù)幾個(gè)階段。詳細(xì)內(nèi)容如下：第一步：業(yè)務(wù)部門(mén)提出CA應(yīng)用需求。第二步：在項(xiàng)目管理部門(mén)協(xié)助下，由建設(shè)部門(mén)細(xì)化CA應(yīng)用需求，提交業(yè)務(wù)部門(mén)確認(rèn)，建設(shè)部門(mén)根據(jù)業(yè)務(wù)部門(mén)的要求完善需求，若業(yè)務(wù)部門(mén)認(rèn)可CA應(yīng)用需求，則進(jìn)入第三步。第三步：建設(shè)部門(mén)制定CA應(yīng)用方案。第四步：建設(shè)部門(mén)提交CA應(yīng)用方案到項(xiàng)目管理部門(mén)。第五步：項(xiàng)目管理部門(mén)組織審核確認(rèn)CA應(yīng)用方案。第六步：建設(shè)部門(mén)根據(jù)項(xiàng)目管理部門(mén)審核意見(jiàn)進(jìn)一步完善

24、方案，若方案審核通過(guò)，則進(jìn)入第七步。第七步：建設(shè)部門(mén)獲取CA應(yīng)用開(kāi)發(fā)包，完成CA應(yīng)用開(kāi)發(fā)工作。第八步：建設(shè)部門(mén)進(jìn)行CA應(yīng)用測(cè)試。第九步：證書(shū)發(fā)放管理部門(mén)實(shí)現(xiàn)CA數(shù)字證書(shū)發(fā)放工作。第十步：建設(shè)部門(mén)進(jìn)行CA應(yīng)用實(shí)施。第十一步：運(yùn)行部門(mén)進(jìn)行系統(tǒng)運(yùn)行。實(shí)施建設(shè)部門(mén)數(shù)字證書(shū)發(fā)放證書(shū)發(fā)放管理部門(mén)提出應(yīng)用需求業(yè)務(wù)部門(mén)細(xì)化需求建設(shè)部門(mén)確認(rèn)需求業(yè)務(wù)部門(mén)制定方案建設(shè)部門(mén)Y N金電公司技術(shù)支持方案審核確認(rèn)管理部門(mén)編碼實(shí)現(xiàn)建設(shè)部門(mén)測(cè)試建設(shè)部門(mén)運(yùn)維部門(mén)運(yùn)維圖10 CA應(yīng)用總體流程圖以下根據(jù)總體流程分階段的詳細(xì)描述各階段的工作內(nèi)容及參與的部門(mén)。3.2. 需求階段3.2.1. 工作內(nèi)容提出CA應(yīng)用的明確需求。3.2.2.

25、參與部門(mén)與工作流程第一步：由業(yè)務(wù)部門(mén)提出身份認(rèn)證、防抵賴(lài)、完整性和保密性的安全需求。第二步：業(yè)務(wù)部門(mén)將初步的安全需求提交項(xiàng)目建設(shè)部門(mén)進(jìn)行細(xì)化，明確在業(yè)務(wù)系統(tǒng)中，具體那些業(yè)務(wù)需要進(jìn)行數(shù)字簽名。第三步：項(xiàng)目建設(shè)部門(mén)將細(xì)化的需求提交業(yè)務(wù)部門(mén)進(jìn)行確認(rèn)。3.3. 設(shè)計(jì)階段3.3.1. 工作內(nèi)容基于該指引，制定CA應(yīng)用方案。3.3.2. 參與部門(mén)與工作流程第一步：項(xiàng)目建設(shè)部門(mén)根據(jù)業(yè)務(wù)部門(mén)確認(rèn)的CA應(yīng)用需求及本指引，制定CA應(yīng)用方案。第二步：項(xiàng)目建設(shè)部門(mén)將制定的CA應(yīng)用方案提交項(xiàng)目管理部門(mén)。第三步：項(xiàng)目管理部門(mén)組織審核確認(rèn)項(xiàng)目建設(shè)部門(mén)提交的CA應(yīng)用方案。第四步：項(xiàng)目建設(shè)部門(mén)根據(jù)項(xiàng)目管理部門(mén)審核意見(jiàn)進(jìn)一步修改

26、完善CA應(yīng)用方案。第五步：項(xiàng)目管理部門(mén)將CA應(yīng)用相關(guān)的測(cè)試、發(fā)證、技術(shù)支持等工作任務(wù)下達(dá)給金電公司和證書(shū)發(fā)放等部門(mén)。3.4. 開(kāi)發(fā)階段3.4.1. 工作內(nèi)容獲取CA應(yīng)用開(kāi)發(fā)包，完成在應(yīng)用系統(tǒng)中的CA應(yīng)用編碼實(shí)現(xiàn)。3.4.2. 參與部門(mén)及工作流程第一步：一、項(xiàng)目建設(shè)部門(mén)領(lǐng)取CA應(yīng)用開(kāi)發(fā)包。(一) 人民銀行內(nèi)部項(xiàng)目建設(shè)部門(mén)首先從金電公司獲取符合系統(tǒng)開(kāi)發(fā)需要的CA開(kāi)發(fā)包。(二) 外聯(lián)機(jī)構(gòu)（1） 京外外聯(lián)機(jī)構(gòu)從當(dāng)?shù)厝嗣胥y行科技處獲取CA應(yīng)用開(kāi)發(fā)包。（2） 在京外聯(lián)機(jī)構(gòu)從金電公司獲取開(kāi)發(fā)包。（3） 外聯(lián)機(jī)構(gòu)簽署開(kāi)發(fā)包使用承諾書(shū)。第二步：二、項(xiàng)目建設(shè)部門(mén)完成編碼工作。第三步：三、在開(kāi)發(fā)中如果需要，項(xiàng)目建設(shè)

27、部門(mén)可從金電公司獲取CA應(yīng)用技術(shù)支持。3.5. 測(cè)試階段3.5.1. 工作內(nèi)容對(duì)開(kāi)發(fā)完成CA應(yīng)用的系統(tǒng)進(jìn)行聯(lián)調(diào)測(cè)試。3.5.2. 參與部門(mén)及工作流程第一步：一、項(xiàng)目建設(shè)單位向金電公司申請(qǐng)測(cè)試證書(shū)，并獲取測(cè)試用CA配置文件。（一）個(gè)人測(cè)試證書(shū)申請(qǐng)流程1.證書(shū)申請(qǐng)者向金電公司申請(qǐng)個(gè)人測(cè)試證書(shū)。2.金電公司批準(zhǔn)申請(qǐng)。3.金電公司發(fā)放USBKey為介質(zhì)的測(cè)試個(gè)人證書(shū)。4.證書(shū)申請(qǐng)者從金電公司領(lǐng)取測(cè)試用個(gè)人證書(shū)、測(cè)試CRL和測(cè)試根證書(shū)，并辦理領(lǐng)取登記手續(xù)。（二）服務(wù)器測(cè)試證書(shū)（機(jī)構(gòu)測(cè)試證書(shū)）申請(qǐng)流程1.證書(shū)申請(qǐng)部門(mén)使用專(zhuān)用工具生成證書(shū)申請(qǐng)文件，以郵件方式發(fā)送給金電公司。2.金電公司將做好的測(cè)試證書(shū)、測(cè)試

28、CRL和測(cè)試根證書(shū)發(fā)給申請(qǐng)者。3.申請(qǐng)者將接收到的證書(shū)轉(zhuǎn)換為所需的PFX證書(shū)。二、第二步：在聯(lián)調(diào)測(cè)試環(huán)境中，項(xiàng)目建設(shè)部門(mén)完成測(cè)試證書(shū)和其他CA配置文件的系統(tǒng)配置。第三步：三、項(xiàng)目建設(shè)部門(mén)進(jìn)行聯(lián)調(diào)測(cè)試。四、第四步：金電公司對(duì)聯(lián)調(diào)測(cè)試中出現(xiàn)的問(wèn)題進(jìn)行技術(shù)支持。第五步：五、測(cè)試結(jié)束后，項(xiàng)目建設(shè)部門(mén)給出測(cè)試報(bào)告。3.6. 上線(xiàn)實(shí)施階段3.6.1. 工作內(nèi)容配合應(yīng)用系統(tǒng)完成系統(tǒng)上線(xiàn)的工程實(shí)施工作。3.6.2. 參與部門(mén)及工作流程第一步：一、業(yè)務(wù)部門(mén)上線(xiàn)前一個(gè)月向證書(shū)發(fā)放管理部門(mén)申請(qǐng)生產(chǎn)證書(shū)。具體內(nèi)容和工作流程參照中國(guó)人民銀行內(nèi)網(wǎng)電子認(rèn)證證書(shū)管理辦法（試行）（銀辦發(fā)2006153號(hào)）執(zhí)行。第二步：二、項(xiàng)目

29、建設(shè)單位從金電公司獲取生產(chǎn)系統(tǒng)CA應(yīng)用配置文件。第三步：三、項(xiàng)目建設(shè)單位完成系統(tǒng)關(guān)于生產(chǎn)證書(shū)和其他配置文件的系統(tǒng)配置。3.7. 運(yùn)維階段3.7.1. 工作內(nèi)容系統(tǒng)運(yùn)維工作中，對(duì)與CA應(yīng)用相關(guān)的問(wèn)題進(jìn)行技術(shù)支持。3.7.2. 參與部門(mén)及工作內(nèi)容第一步：一、系統(tǒng)運(yùn)維部門(mén)從建設(shè)單位獲取與CA應(yīng)用有關(guān)的配置文件及配置文檔。第二步：二、明確生產(chǎn)證書(shū)的有效期，在證書(shū)到期前一個(gè)月向證書(shū)發(fā)放管理部門(mén)申請(qǐng)證書(shū)更新。第三步：三、在系統(tǒng)運(yùn)維中出現(xiàn)與CA有關(guān)的問(wèn)題，可以從建設(shè)單位和金電公司獲取技術(shù)支持。4 CA應(yīng)用設(shè)計(jì)和實(shí)現(xiàn)的內(nèi)容這部分內(nèi)容主要是針對(duì)CA應(yīng)用設(shè)計(jì)和實(shí)現(xiàn)的內(nèi)容進(jìn)行詳細(xì)介紹。4.1. 確定CA應(yīng)用需求類(lèi)型

30、CA應(yīng)用需求類(lèi)型根據(jù)應(yīng)用系統(tǒng)的安全需求確定是以下一種或幾種的組合。一、證書(shū)有效性的身份認(rèn)證二、數(shù)字簽名及驗(yàn)簽的身份認(rèn)證、防抵賴(lài)、數(shù)據(jù)完整性三、傳輸?shù)谋Ｃ苄?.2. 確定實(shí)現(xiàn)方式4.2.1. 軟件方式一、 軟件實(shí)現(xiàn)方式內(nèi)容軟件實(shí)現(xiàn)方式即應(yīng)用系統(tǒng)根CA應(yīng)用開(kāi)發(fā)包及開(kāi)發(fā)文檔，通過(guò)API接口調(diào)用開(kāi)發(fā)實(shí)現(xiàn)CA應(yīng)用。二、 軟件版本目前CA應(yīng)用開(kāi)發(fā)包包括如下版本：（一）Java版 跨平臺(tái)應(yīng)用的開(kāi)發(fā)包，不受硬件平臺(tái)、操作類(lèi)型的限制。（二）C版1、.COM版Windows平臺(tái)下的C語(yǔ)言版。2、.C語(yǔ)言版（1）AIX 32位平臺(tái)下的C語(yǔ)言版；（2）AIX 64位平臺(tái)下的C語(yǔ)言版；（3）C語(yǔ)言源碼：對(duì)于其他操作系統(tǒng)

31、和平臺(tái)類(lèi)型環(huán)境，提供C語(yǔ)言源碼程序，開(kāi)發(fā)單位在其環(huán)境進(jìn)行編譯后使用。三、 開(kāi)發(fā)包獲取方式參照附錄1獲取CA應(yīng)用開(kāi)發(fā)包。4.2.2. 硬件方式一、 硬件實(shí)現(xiàn)方式內(nèi)容通過(guò)專(zhuān)用的硬件設(shè)備實(shí)現(xiàn)簽名、驗(yàn)簽，提高簽名私鑰的安全性，解決服務(wù)器端高并發(fā)簽名、驗(yàn)簽名的性能瓶頸問(wèn)題。二、 硬件接口版本（一）JAVA接口（二）C接口4.3. 其他內(nèi)容4.3.1. 撤銷(xiāo)列表下載方式目前存在兩種撤銷(xiāo)列表（CRL）的下載方式，自動(dòng)方式和手工方式。一、自動(dòng)方式一般服務(wù)器端認(rèn)證的對(duì)象數(shù)量多，為保證證書(shū)有效性，需要實(shí)時(shí)或定期更新CRL，通過(guò)查詢(xún)以確定當(dāng)前所驗(yàn)證證書(shū)的有效性。由金電公司提供撤銷(xiāo)列表下載工具，在應(yīng)用系統(tǒng)安裝該工具：

32、JIT Cinas CRL for Aix Release或JIT Cinas CRL for Windows Release，從CA中心自動(dòng)下載更新應(yīng)用系統(tǒng)本地的CRL。二、手工方式如果驗(yàn)證的對(duì)象數(shù)量比較少，這樣不需要對(duì)CRL進(jìn)行實(shí)時(shí)或定期更新，根據(jù)驗(yàn)證對(duì)象證書(shū)的變化情況，通過(guò)手工更新撤銷(xiāo)列表，以便提供證書(shū)及撤銷(xiāo)列表的查詢(xún)服務(wù)。4.3.2. 交叉認(rèn)證人民銀行與外部機(jī)構(gòu)互聯(lián)時(shí)，如果雙方分別使用各自的CA體系，那么就需要進(jìn)行不同CA域的交叉認(rèn)證實(shí)現(xiàn)兩家CA的互通，為雙方聯(lián)網(wǎng)系統(tǒng)建立安全信任關(guān)系，保障數(shù)據(jù)傳輸安全。在實(shí)現(xiàn)交叉認(rèn)證時(shí)，雙方基于標(biāo)準(zhǔn)的簽名結(jié)果格式進(jìn)行數(shù)據(jù)

33、交換，以便實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)耐暾院头赖仲?lài)。4.3.3. 多應(yīng)用加載的環(huán)境這種情況的CA應(yīng)用和以上情況是一致的，只是在服務(wù)器證書(shū)申請(qǐng)時(shí)需使用服務(wù)器域名的方式，不能再使用服務(wù)器IP地址。4.4. 應(yīng)用策略應(yīng)用策略的內(nèi)容明確了CA應(yīng)用中需要明確的應(yīng)用類(lèi)型、實(shí)現(xiàn)方式、撤銷(xiāo)列表下載方式、是否需要進(jìn)行交叉認(rèn)證，然后確定CA應(yīng)用模式。4.4.1. 實(shí)現(xiàn)方式一、如果服務(wù)器端既需要驗(yàn)簽名、還要簽名，或服務(wù)器端并發(fā)業(yè)務(wù)量大，軟件方式無(wú)法滿(mǎn)足性能需求，從簽名私鑰的安全保護(hù)和性能需求上考慮，需要使用硬件方式實(shí)現(xiàn)CA應(yīng)用。二、如果服務(wù)器端只是驗(yàn)簽，并發(fā)量不大，軟件方式能滿(mǎn)足系統(tǒng)的性能需求，則使用軟件方式實(shí)現(xiàn)，需要選擇適合

34、的開(kāi)發(fā)包類(lèi)型。4.4.2. 撤銷(xiāo)列表下載方式一、一般服務(wù)器端面向大量客戶(hù)端做驗(yàn)簽認(rèn)證客戶(hù)端身份，需要查詢(xún)撤銷(xiāo)列表，驗(yàn)證客戶(hù)端證書(shū)是否被撤銷(xiāo)。這種情況需要安裝下載工具，自動(dòng)下載并更新本地的撤銷(xiāo)列表。二、如果需要驗(yàn)證簽名的對(duì)象數(shù)量很少，為減少系統(tǒng)壓力和不必要的網(wǎng)絡(luò)資源消耗，在被驗(yàn)證的證書(shū)發(fā)生變化時(shí)，通知驗(yàn)證方，采用手工方式下載并更新本地的CRL。4.4.3. CA應(yīng)用模式實(shí)現(xiàn)方式應(yīng)用系統(tǒng)的結(jié)構(gòu)類(lèi)型決定了其CA應(yīng)用的實(shí)現(xiàn)模式，應(yīng)用系統(tǒng)本身的結(jié)構(gòu)類(lèi)型如果為B/S、C/S或S/S，則CA應(yīng)用對(duì)應(yīng)相應(yīng)的模式。以下的實(shí)現(xiàn)模式主要是基于目前我行應(yīng)用系統(tǒng)本身的結(jié)構(gòu)體系及CA應(yīng)用的實(shí)際模式總結(jié)的常見(jiàn)幾種情況。4.

35、4.3.1. B/S模式實(shí)現(xiàn)方式B/S是目前比較流行的應(yīng)用結(jié)構(gòu)。這種模式下為服務(wù)器和瀏覽器之間通過(guò)配置SSL協(xié)議，建立安全通道，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?，并通過(guò)服務(wù)器端的CA應(yīng)用接口開(kāi)發(fā)、在瀏覽器安裝簽名/驗(yàn)簽控件，實(shí)現(xiàn)身份認(rèn)證、抗抵賴(lài)及數(shù)據(jù)完整性。具體內(nèi)容如下：一、建立SSL安全通道。二、開(kāi)發(fā)單位利用CA應(yīng)用開(kāi)發(fā)包，在服務(wù)器端實(shí)現(xiàn)CA應(yīng)用中驗(yàn)簽名的接口開(kāi)發(fā)功能，客戶(hù)端（瀏覽器）需要安裝CA應(yīng)用的OCX控件，實(shí)現(xiàn)簽名功能。三、向客戶(hù)端發(fā)放載體為USBKey的個(gè)人證書(shū)。四、服務(wù)器端配置根證書(shū)和證書(shū)撤銷(xiāo)列表（CRL）。五、服務(wù)器端需要安裝CRL下載工具，下載并更新本地的CRL。這種模式為常用模式，典型

36、應(yīng)用為“貨幣金銀信息管理系統(tǒng)”。. C/S模式實(shí)現(xiàn)方式C/S是以前比較流行的應(yīng)用系統(tǒng)結(jié)構(gòu)，目前很少應(yīng)用。這種應(yīng)用模式下服務(wù)器是可信的，服務(wù)器只對(duì)客戶(hù)端進(jìn)行認(rèn)證。利用數(shù)字簽名技術(shù)，服務(wù)器對(duì)客戶(hù)端進(jìn)行身份認(rèn)證，并防止關(guān)鍵業(yè)務(wù)的防抵賴(lài)操作，保證數(shù)據(jù)的完整性。具體內(nèi)容如下：一、開(kāi)發(fā)單位利用CA應(yīng)用開(kāi)發(fā)包，在服務(wù)器端和客戶(hù)端進(jìn)行接口開(kāi)發(fā)，在服務(wù)器端實(shí)現(xiàn)驗(yàn)簽的功能，在客戶(hù)端實(shí)現(xiàn)簽名功能。 二、向客戶(hù)端發(fā)放載體為USBKey的個(gè)人證書(shū)。三、服務(wù)器端配置根證書(shū)和證書(shū)撤銷(xiāo)列表（CRL）。四、服務(wù)器端需要安裝CRL下載工具，下載并更新本地的CRL。這種模式目前人民銀行還沒(méi)有應(yīng)用案例。.

37、 S/S模式實(shí)現(xiàn)方式這種模式為服務(wù)器對(duì)服務(wù)器的模式,即交互雙方互為客戶(hù)端和服務(wù)器。兩端服務(wù)器互不信任，利用數(shù)字簽名技術(shù)實(shí)現(xiàn)雙向的身份認(rèn)證、防抵賴(lài)和數(shù)據(jù)的完整性。具體內(nèi)容如下：一、兩端服務(wù)器所部署的應(yīng)用系統(tǒng)開(kāi)發(fā)單位要在分別完成各自的CA應(yīng)用開(kāi)發(fā)（兩端的開(kāi)發(fā)單位可能不同），根據(jù)各自的CA應(yīng)用開(kāi)發(fā)包，在兩端分別實(shí)現(xiàn)CA應(yīng)用中簽名和驗(yàn)簽名的接口開(kāi)發(fā)功能。二、向兩端服務(wù)器端發(fā)放服務(wù)器證書(shū)或簽名硬件設(shè)備證書(shū)。三、兩端都要配置根證書(shū)和證書(shū)撤銷(xiāo)列表（CRL）。四、是否需要安裝CRL下載工具，根據(jù)本服務(wù)器驗(yàn)證的證書(shū)數(shù)量及實(shí)施的方便性決定。這種應(yīng)用模式的典型案例為國(guó)庫(kù)信息處理系統(tǒng)（TIPS）中人民銀行與外部機(jī)構(gòu)之

38、間數(shù)據(jù)交換中實(shí)現(xiàn)的CA應(yīng)用。. 混合模式實(shí)現(xiàn)方式混合模式指在一個(gè)應(yīng)用系統(tǒng)中，CA實(shí)現(xiàn)的集中模式會(huì)同時(shí)出現(xiàn)兩種或兩種以上。TIPS的CA應(yīng)用為B/S和S/S的混合模式。4.4.4. 其他情況隨著技術(shù)更新和新的系統(tǒng)體系架構(gòu)的出現(xiàn)，可能還會(huì)出現(xiàn)新的CA應(yīng)用模式，需要在應(yīng)用中進(jìn)行總結(jié)。4.5. CA應(yīng)用模板CA應(yīng)用模板以圖表的形式總括說(shuō)明CA應(yīng)用實(shí)現(xiàn)的三種情況。模板類(lèi)型條件及 策略B/S模板C/S模板S/S模板備注應(yīng)用系統(tǒng)結(jié)構(gòu)類(lèi)型瀏覽器/服務(wù)器結(jié)構(gòu)客戶(hù)端/服務(wù)器結(jié)構(gòu)應(yīng)用系統(tǒng)之間的服務(wù)器/服務(wù)器結(jié)構(gòu)信任關(guān)系服務(wù)器可信，客戶(hù)端不可信的單向認(rèn)證服務(wù)器可信，客戶(hù)端不可信的單向認(rèn)證兩端互不信任，雙

39、向認(rèn)證實(shí)現(xiàn)方式服務(wù)器根據(jù)性能需要選擇：1、軟件方式（接口或代理均可）2、硬件方式（需要服務(wù)器與專(zhuān)用硬件之間開(kāi)發(fā)CA應(yīng)用的通信接口）根據(jù)性能需要選擇：1、軟件方式（接口或代理均可）2、硬件方式（需要服務(wù)器與專(zhuān)用硬件之間開(kāi)發(fā)CA應(yīng)用的通信接口）硬件方式（需要服務(wù)器與專(zhuān)用硬件之間開(kāi)發(fā)CA應(yīng)用的通信接口）客戶(hù)端安裝CA應(yīng)用控件軟件方式（接口或代理均可）CRL下載安裝工具，自動(dòng)下載安裝工具，自動(dòng)下載自動(dòng)或手動(dòng)，根據(jù)驗(yàn)證方需驗(yàn)證的證書(shū)數(shù)量確定證書(shū)使用服務(wù)器1、配置根證書(shū)；2、（如果還需要進(jìn)行交叉認(rèn)證，還需配置對(duì)方CA的根證書(shū)）。1、配置根證書(shū)；2、如果還需要進(jìn)行交叉認(rèn)證，還需配置對(duì)方CA的根證書(shū)。1、配置

40、根證書(shū)2、如果還需要進(jìn)行交叉認(rèn)證，還需配置對(duì)方CA的根證書(shū)；3、申請(qǐng)服務(wù)器證書(shū)客戶(hù)端申請(qǐng)個(gè)人證書(shū)申請(qǐng)個(gè)人證書(shū)應(yīng)用情況常用,貨金系統(tǒng)、TCBS、財(cái)務(wù)系統(tǒng)、紀(jì)檢系統(tǒng)、TIPS個(gè)人用戶(hù)的CA應(yīng)用。不常用，人民銀行沒(méi)有案例。常用,TIPS與外聯(lián)機(jī)構(gòu)互聯(lián)的CA應(yīng)用。285 附錄5.1. CA應(yīng)用開(kāi)發(fā)包獲取方式一、CA應(yīng)用開(kāi)發(fā)包獲取流程CA應(yīng)用開(kāi)發(fā)包相關(guān)材料已下發(fā)省級(jí)數(shù)據(jù)中心，項(xiàng)目建設(shè)單位應(yīng)根據(jù)應(yīng)用系統(tǒng)自身實(shí)際情況選用不同的CA應(yīng)用接口實(shí)現(xiàn)方式，CA應(yīng)用流程如下：閱讀“CA接口實(shí)現(xiàn)方式說(shuō)明”選擇CA實(shí)現(xiàn)方式購(gòu)買(mǎi)專(zhuān)用簽名服務(wù)器硬件方式簽署開(kāi)發(fā)包使用承諾書(shū)，并領(lǐng)取開(kāi)發(fā)包軟件方式通信接口開(kāi)發(fā)簽名驗(yàn)簽功能模塊開(kāi)發(fā)

41、聯(lián)調(diào)測(cè)試：簽名服務(wù)器測(cè)試證書(shū)申請(qǐng)、測(cè)試環(huán)境配置、進(jìn)行測(cè)試聯(lián)調(diào)測(cè)試：生產(chǎn)系統(tǒng)服務(wù)器測(cè)試證書(shū)申請(qǐng)、測(cè)試環(huán)境配置、進(jìn)行測(cè)試系統(tǒng)上線(xiàn)：簽名服務(wù)器生產(chǎn)證書(shū)申請(qǐng)、生產(chǎn)環(huán)境配置、上線(xiàn)運(yùn)行系統(tǒng)上線(xiàn)：生產(chǎn)系統(tǒng)服務(wù)器生產(chǎn)證書(shū)申請(qǐng)、生產(chǎn)環(huán)境配置、上線(xiàn)運(yùn)行運(yùn)行維護(hù)針對(duì)以上流程的詳細(xì)解釋如下：第一步：第一步：通過(guò)閱讀CA接口實(shí)現(xiàn)方式說(shuō)明，項(xiàng)目建設(shè)單位根據(jù)自身情況選定使用軟件還是硬件方式實(shí)現(xiàn)CA應(yīng)用。第二步：第二步：接口開(kāi)發(fā)（一）獲取開(kāi)發(fā)工具1.軟件方式免費(fèi)獲取開(kāi)發(fā)包人民銀行提供免費(fèi)CA應(yīng)用開(kāi)發(fā)包，項(xiàng)目建設(shè)單位需要和人民銀行簽署開(kāi)發(fā)包使用承諾書(shū)，以避免開(kāi)發(fā)包因免費(fèi)提供，在使用中出現(xiàn)商務(wù)糾紛，特別是用戶(hù)購(gòu)買(mǎi)第三方開(kāi)發(fā)服務(wù)導(dǎo)

42、致的非授權(quán)使用。在京的項(xiàng)目建設(shè)單位從人民銀行總行科技司或金電公司領(lǐng)取所需的開(kāi)發(fā)包及證書(shū)申請(qǐng)工具KeyTool，京外項(xiàng)目建設(shè)單位從當(dāng)?shù)厝嗣胥y行省級(jí)機(jī)構(gòu)科技處領(lǐng)取所需的開(kāi)發(fā)包和證書(shū)申請(qǐng)工具KeyTool。各項(xiàng)目建設(shè)單位應(yīng)根據(jù)自己的應(yīng)用環(huán)境領(lǐng)取適合自己的開(kāi)發(fā)包。開(kāi)發(fā)包類(lèi)型有JAVA、COM、C版三大類(lèi)。其中C版開(kāi)發(fā)包提供AIX（64）環(huán)境的開(kāi)發(fā)包，其他平臺(tái)環(huán)境的C版開(kāi)發(fā)包需要外聯(lián)機(jī)構(gòu)根據(jù)C版源碼編譯獲取所需開(kāi)發(fā)包。2.使用硬件方式。根據(jù)數(shù)字簽名驗(yàn)證服務(wù)器產(chǎn)品及供應(yīng)商基本要求，選擇CA簽名服務(wù)器供應(yīng)商。（二）CA應(yīng)用接口開(kāi)發(fā)1.軟件方式接口開(kāi)發(fā)項(xiàng)目建設(shè)單位領(lǐng)取開(kāi)發(fā)包后，其開(kāi)發(fā)團(tuán)隊(duì)或第三方開(kāi)發(fā)服務(wù)通過(guò)閱

43、讀開(kāi)發(fā)包中提供的開(kāi)發(fā)文檔及開(kāi)發(fā)示例，逐步完成CA應(yīng)用接口開(kāi)發(fā)，實(shí)現(xiàn)簽名、驗(yàn)簽等功能模塊。2.硬件方式接口開(kāi)發(fā)購(gòu)買(mǎi)簽名服務(wù)器硬件設(shè)備后，項(xiàng)目建設(shè)單位只需要基于CA簽名服務(wù)器的接口，實(shí)現(xiàn)簽名、驗(yàn)簽等功能。 第三步第三步：聯(lián)調(diào)測(cè)試（一）軟件方式1.需要使用專(zhuān)用工具（KeyTool）申請(qǐng)測(cè)試用服務(wù)器證書(shū)；2.將開(kāi)發(fā)環(huán)境的CA配置文件替換為測(cè)試對(duì)應(yīng)的配置文件進(jìn)行聯(lián)調(diào)測(cè)試。（二）硬件方式1.用CA簽名服務(wù)器自帶的證書(shū)申請(qǐng)功能完成測(cè)試證書(shū)申請(qǐng)；2.完成CA簽名服務(wù)器測(cè)試環(huán)境CA配置，進(jìn)行聯(lián)調(diào)測(cè)試；第四步：第四步：系統(tǒng)上線(xiàn)（一）軟件方式1.需要使用專(zhuān)用工具申請(qǐng)上線(xiàn)用服務(wù)器證書(shū)；2.將測(cè)試環(huán)境的CA配置文件替換

44、為生產(chǎn)環(huán)境對(duì)應(yīng)的配置文件上線(xiàn)。（二）硬件方式1.用CA簽名服務(wù)器自帶的證書(shū)申請(qǐng)功能完成生產(chǎn)證書(shū)申請(qǐng)；2.完成對(duì)簽名服務(wù)器生產(chǎn)環(huán)境CA配置，上線(xiàn)運(yùn)行。第五步：第五步：運(yùn)行維護(hù)二、軟硬件CA應(yīng)用接口實(shí)現(xiàn)方式的比較為方便選擇CA應(yīng)用接口實(shí)現(xiàn)，現(xiàn)對(duì)軟硬件CA應(yīng)用接口實(shí)現(xiàn)方式從安全性與性能、開(kāi)發(fā)測(cè)試及價(jià)格幾個(gè)方面進(jìn)行比較。（一）安全性、性能比較1、安全性在軟件方式中，簽名私鑰以證書(shū)文件形式存儲(chǔ)在硬盤(pán)上，用口令保護(hù)；而且簽名驗(yàn)簽運(yùn)算在前置主機(jī)上實(shí)現(xiàn)，需要讀出證書(shū)文件中的私鑰進(jìn)行簽名驗(yàn)簽，這樣私鑰在內(nèi)存中駐留，安全性相對(duì)要低。在硬件方式中，私鑰保存在CA簽名服務(wù)器的專(zhuān)用硬件中，簽名驗(yàn)簽運(yùn)算在簽名服務(wù)器硬件中

45、實(shí)現(xiàn)，只將簽名、驗(yàn)簽結(jié)果返給前置系統(tǒng)，私鑰不出硬件，安全性更高。2、性能軟件方式由于簽名驗(yàn)簽?zāi)K與前置系統(tǒng)共享主機(jī)資源，且簽名驗(yàn)簽是CPU密集型運(yùn)算，過(guò)多消耗主機(jī)資源，系統(tǒng)整體性能低。硬件方式由于簽名服務(wù)器硬件獨(dú)立實(shí)現(xiàn)簽名驗(yàn)簽，不占用主機(jī)資源，性能可實(shí)現(xiàn)數(shù)量級(jí)提高。（二）開(kāi)發(fā)、測(cè)試比較軟件方式要在前置主機(jī)系統(tǒng)上基于開(kāi)發(fā)包實(shí)現(xiàn)簽名驗(yàn)簽功能，屬于緊耦合模式。硬件方式由CA簽名服務(wù)器獨(dú)立完成簽名驗(yàn)簽功能，前置服務(wù)器只需要完成與簽名服務(wù)器的通信接口開(kāi)發(fā)，避免了由于軟件方式緊耦合模式及應(yīng)用環(huán)境導(dǎo)致的各種問(wèn)題。（三）價(jià)格比較 軟件方式的開(kāi)發(fā)包免費(fèi)獲得，進(jìn)行接口開(kāi)發(fā)的投入相對(duì)較少；硬件方式的簽名服務(wù)器價(jià)格相

46、對(duì)較高。注：根據(jù)以上提供的CA接口實(shí)現(xiàn)方式說(shuō)明，項(xiàng)目建設(shè)單位結(jié)合自身的實(shí)際情況自主選擇使用軟件或者硬件方式實(shí)現(xiàn)CA應(yīng)用。四、技術(shù)支持趙義斌6305ybzhao尚蕾6303，shanglei335.2. 人民銀行CA系統(tǒng)DN規(guī)則DN組成DN的具體內(nèi)容依次由C、O、OU、CN幾部分組成。其中C用來(lái)表示國(guó)家；O用來(lái)表示組織機(jī)構(gòu)，在一般的PKI DN標(biāo)準(zhǔn)中，它可表示為發(fā)放該證書(shū)的CA名稱(chēng);OU用來(lái)表示次級(jí)組織機(jī)構(gòu)，為體現(xiàn)證書(shū)持有者的多種不同次級(jí)屬性，OU可分為兩級(jí)，即OU1和OU2來(lái)表示；CN用來(lái)表示用戶(hù)名。人民銀行內(nèi)網(wǎng)

47、CA DN的組成包括：C、O、OU1、OU2、CN五部分。C定義在DN中，C一般表示國(guó)家代碼。在人民銀行內(nèi)網(wǎng)CA中DN規(guī)則仍沿用國(guó)際慣例，定義為：C=CN;CN為中國(guó)的英文代碼。O定義在證書(shū)DN標(biāo)準(zhǔn)中，O一般表示組織機(jī)構(gòu)。由于人民銀行內(nèi)網(wǎng)CA為CFCA根CA的子CA，遵循CFCA的O定義規(guī)則，在人民銀行內(nèi)網(wǎng)CA DN規(guī)則中，定義為：O=PBC CA，表示該證書(shū)用戶(hù)為人民銀行CA的用戶(hù)。OU1定義OU在DN標(biāo)準(zhǔn)中一般表示為證書(shū)持有者所屬的次級(jí)組織機(jī)構(gòu)。在人民銀行內(nèi)網(wǎng)CA DN規(guī)則中，OU1體現(xiàn)發(fā)放證書(shū)的RA系統(tǒng)和LRA機(jī)構(gòu)。RA系統(tǒng)使用RA系統(tǒng)編碼表示。RA系統(tǒng)編號(hào)為1位字符，從“1”開(kāi)始編碼，

48、每新增RA系統(tǒng)時(shí)依次遞增，具體如下：RA系統(tǒng)RA系統(tǒng)編碼信管中心RA系統(tǒng)1LRA機(jī)構(gòu)使用LRA所在組織的組織機(jī)構(gòu)編碼表示。OU1具體定義為：LRA組織機(jī)構(gòu)編碼RA系統(tǒng)編碼。LRA組織機(jī)構(gòu)編碼與RA系統(tǒng)編碼之間以分隔符“”分隔。OU1示例：OU1=1131010001 表示為人行內(nèi)網(wǎng)CA信管中心RA系統(tǒng)河北石家莊中心支行LRA受理點(diǎn)所發(fā)證書(shū)OU2定義OU在DN標(biāo)準(zhǔn)中一般表示為證書(shū)持有者從屬的次級(jí)組織機(jī)構(gòu)。人民銀行內(nèi)網(wǎng)CA DN規(guī)則中，將OU2定義為發(fā)放的不同證書(shū)類(lèi)型，包括人員類(lèi)和設(shè)備類(lèi)兩個(gè)大類(lèi)，具體而言包括以下五種子類(lèi)： 個(gè)人單密鑰證書(shū)，名稱(chēng)為：Operator個(gè)人單密鑰證書(shū)，是頒發(fā)給人行工作人

49、員的單密鑰證書(shū)，屬于人員類(lèi)證書(shū)。所謂單密鑰證書(shū)，即證書(shū)持有者只有一張數(shù)字證書(shū)，使用該證書(shū)來(lái)完成相應(yīng)的證書(shū)安全應(yīng)用操作。示例：OU2=Operator 個(gè)人雙密鑰證書(shū)，名稱(chēng)為：Advanced Operator個(gè)人雙密鑰證書(shū)，是頒發(fā)給人行工作人員的雙密鑰證書(shū)，屬于人員類(lèi)證書(shū)。所謂雙密鑰證書(shū)，即證書(shū)持有者擁有加密、簽名兩張數(shù)字證書(shū)，加密證書(shū)用于加密目的、簽名證書(shū)用于簽名目的。示例：OU2=Advanced Operator 服務(wù)器證書(shū)，名稱(chēng)為：Server服務(wù)器證書(shū)，是特指頒發(fā)給通用WEB服務(wù)器（如IIS、Apache等）和應(yīng)用服務(wù)器（如Weblogic、Websphere）的證書(shū)，屬于設(shè)備類(lèi)證書(shū)

50、。示例：OU2= Server設(shè)備證書(shū)，名稱(chēng)為：Equipment設(shè)備證書(shū)，是指頒發(fā)給硬件設(shè)備和軟件系統(tǒng)的證書(shū)，其適用范圍除前述適用服務(wù)器證書(shū)以外的所有設(shè)備和軟件系統(tǒng)。在本DN規(guī)則中，設(shè)備證書(shū)目前僅適用網(wǎng)絡(luò)設(shè)備。示例：OU2= Equipment RA操作員證書(shū)，名稱(chēng)為：Ra OperatorRA操作員證書(shū)，特指頒發(fā)給RA系統(tǒng)所有操作員和管理員的數(shù)字證書(shū)，它屬于人員類(lèi)證書(shū)。示例：OU2=Ra Operator描述證書(shū)類(lèi)型的每個(gè)英文單詞，第一個(gè)字母大寫(xiě)，其余小寫(xiě)。根據(jù)業(yè)務(wù)系統(tǒng)的實(shí)際需要，可以擴(kuò)充更多的證書(shū)類(lèi)型，如：代碼簽名證書(shū)等等。CN定義CN的組成CN是證書(shū)持有者的通用名（common name），它用以表征證書(shū)持有者的個(gè)體特性。它包括以下幾個(gè)字段： 主版本號(hào)：DN規(guī)則的主版本號(hào)，目前為“01” 次版本號(hào)：DN規(guī)則的次版本號(hào)，目前為“0” 證件類(lèi)型：表征證書(shū)持有者的證件類(lèi)型，具體見(jiàn)0 證件號(hào)碼: 表征證書(shū)持有者的證件的號(hào)碼。 組織機(jī)構(gòu)類(lèi)別：證書(shū)持有者所屬的組織機(jī)構(gòu)類(lèi)別代碼。 組織機(jī)構(gòu)編碼：證書(shū)持有者所屬的組織機(jī)構(gòu)編碼。 擴(kuò)展內(nèi)容：可自定義的擴(kuò)展內(nèi)容。 證書(shū)持有者順序號(hào)：表示該