【正文】 Web 瀏覽器方式登錄到 XXXCA服務(wù)器上，完成證書的錄入和審核；其中 XXXCA 中心為服務(wù) 器端，設(shè)置有數(shù)據(jù)庫系統(tǒng)。 圖 3 中的 OCSP 鏡像服務(wù)器同步 XXX 的 OCSP 服務(wù)器，為證書應(yīng)用系統(tǒng)提供證書狀態(tài)實時查詢服務(wù) ，該服務(wù)因為涉及到大量的數(shù)據(jù)訪問，因而一般商業(yè)銀行采用較少，網(wǎng)銀系統(tǒng)多半采用 輕量級 目錄訪問協(xié)議 LDAP 和中間件的方式實現(xiàn)證書狀態(tài)查詢服務(wù) 。該接口以 API/協(xié)議或者 B/S 的形式提供 ， 該接口應(yīng)該能夠?qū)衩嫦到y(tǒng) /網(wǎng)銀系統(tǒng)選定的信息進行更新和修改。 ? 證書申請 該接口以 API/協(xié)議或者 B/S 的形式提供。換發(fā)證書是在證書到期前，對于還希望繼續(xù)使用 網(wǎng)銀的用戶換發(fā)證書。由于用戶未交費或某些不確定的原因， RA操作員可以暫時凍結(jié)該用戶的證書，使其證書暫時不可使用。在用戶沒有收到參考號和授權(quán)碼的情況下，可重新選擇發(fā)放方式或者按照原來的發(fā)放方式重新發(fā)放，如果按照郵件方式發(fā)放，可以提供改變郵件地址的功能。 柜面系統(tǒng) /網(wǎng)銀系統(tǒng) 只需提供兩碼即可 ， 由系統(tǒng)自動實現(xiàn)制證功能。 二級 RA系統(tǒng)功能 ? 查詢統(tǒng)計 查詢可以分為兩類：日志查詢和用戶證書信息查詢。 日志文件的格式，采取標(biāo)準(zhǔn)的日志記錄方式，包括日期、時間、 RA 機構(gòu)名稱、操作類型、操作者、具體操作信息、操作結(jié)果等，日志文件的記錄可以分類，例如：某一模塊都有單獨的日志，也可以根據(jù)交易類型分類存儲。 ? 服務(wù)器證書： 主要頒發(fā)給 Web 站點或其他需要安全鑒別的服務(wù)器，證明服務(wù)器的身份信息。 XXX 信用社網(wǎng)上銀行系統(tǒng) 數(shù)字證書應(yīng)用 平臺 結(jié)構(gòu)簡圖如圖 6所示。 SSL 協(xié)議作為當(dāng)前最為成熟、最為廣泛應(yīng)用的安全協(xié)議，提供了對數(shù)據(jù)加密和身份認(rèn)證的完整定義。 ? SSL 代理可對加密算法進行配置，針對不同的應(yīng)用提高或降低加密強度。 身份認(rèn)證加密安全網(wǎng)關(guān) SSL（以下簡稱 SSL 網(wǎng)關(guān)）部署在用戶瀏覽器與web 服務(wù)器之間，使用數(shù)字證書完成雙方的身份認(rèn)證，在服務(wù)器端與 客戶 端建立 128 位高強度的加密連接，實現(xiàn)服務(wù)器端與客戶端之間身份的有效認(rèn)證和數(shù)據(jù)傳輸安全。 SSL網(wǎng)關(guān)支持多種應(yīng)用服務(wù)平臺，包括 NT、 WIN20 HPUNIX 和 AIX等主流平臺。 ? 在使用超級連接時避免使用絕對連接，盡可能使用相對連接。 客客 戶戶 端端 開開 發(fā)發(fā) 在本方案中可直接采用瀏覽器作為加密認(rèn)證安全代理客戶端，也可采用專用的加密認(rèn)證安全代理客戶端。 數(shù)字簽名及驗證 針對網(wǎng)上 賬單 、電子表格以及其他重要數(shù)據(jù)的簽名、加密需求， 網(wǎng)銀用戶 采用 數(shù)字 證書對 交易記錄 、資料 等 進行電子簽名、 或 加蓋電子公章，保證信息內(nèi)容的完整性和不可否認(rèn)，對 轉(zhuǎn)賬 等部分敏感信息資料可 進行加密提交和存儲；在 網(wǎng)上銀行 系統(tǒng)中， 電子賬單的 提交、協(xié)議簽署等應(yīng)用中，參與人使用代表其個人或單位的合法有效的數(shù)字證書，為相關(guān)表格進行電子簽名，是 網(wǎng)上銀行 系統(tǒng)中 交易各方在 信息內(nèi)容具有法律效力的有效保證，實現(xiàn)了安全有效的網(wǎng)上 交易與銀行網(wǎng)上業(yè)務(wù) 等 交互 操作。 關(guān)鍵數(shù)據(jù)簽名驗證包括客戶端簽名工具和簽名驗證服務(wù)器，用戶通過客戶端簽名工具對交易數(shù)據(jù)（例如用戶賬號 、 賬號密碼 、 交易數(shù)據(jù) 、 交易結(jié)果 、交易日期）進行關(guān)鍵數(shù)據(jù)簽 名，簽名數(shù)據(jù)在系統(tǒng) 經(jīng) 由簽名驗證服務(wù)器進行驗證，驗證通過后才予以交易權(quán)限。 SVS 客客 戶戶 端端 開開 發(fā)發(fā) 客戶端只需要正確安裝簽名客戶端及 USBKEY 驅(qū)動程序，無需要進行相應(yīng)的開發(fā)。 時間戳服務(wù)工作流程 時間戳對外提供服務(wù)的主要工作流程如下： ◆ 用戶對文件數(shù)據(jù)進行 Hash 摘要處理； ◆ 用戶提出時間戳的請求， Hash 值被傳遞給時間戳服務(wù)器； XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 42 ◆ 時間戳服務(wù)器對哈希值和一個日期 /時間記錄進行簽名，生成時間戳； ◆ 時間戳數(shù)據(jù)和文件信息綁定后返還，用戶進行下一步電子交易操作。具有內(nèi)置 PIN 碼保護，多次誤操作鎖定，帶有軟件控制狀態(tài)指示燈，方便監(jiān)控等功能。提供 RA 系統(tǒng)的開發(fā)包，提供 RA證書管理各流程模塊XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 44 接口（包括用戶信息管理、證書申請、審核、制證、廢除等）和 CA 安全通信功能；使用該開發(fā)包可以定制基于 XXXCA 中心 的各級 RA 系統(tǒng)，并可和用戶原有的客戶信息管理或業(yè)余管理系統(tǒng)緊密結(jié)合。提供 VPN 客戶端軟件開發(fā)包。L D A P 鏡 像 服 務(wù) 器O C S P 鏡 像 服 務(wù) 器銀 行 業(yè) 務(wù) 數(shù) 據(jù) 庫c R L 分 布 點C A 中 心網(wǎng) 銀 用 戶SSL通道S S L 通 道S S L 認(rèn) 證 網(wǎng) 關(guān)簽 名 驗 證 服 務(wù)器時 間 戳 服務(wù) 器銀 行 W E B 服務(wù) 器圖 14： XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用架構(gòu)圖 所需設(shè)備清單 名稱 數(shù)量 備注 RA 中間件 1 必要 SSL 網(wǎng)關(guān) 1 必要（或雙擊熱備） SVS 服務(wù)器 1 必要 時間戳服務(wù)器 1 可選 LRA 受理終端 若干 PC、管理員授權(quán)卡 等 數(shù)字證書 若干 含 USBKEY 介質(zhì) 各種程序開發(fā)包或驅(qū)動軟件 待定 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 46 XXX 是一個基于公鑰基礎(chǔ)架構(gòu)的第三方認(rèn)證中心，它提供了針對網(wǎng)上銀行的強有力的用戶認(rèn)證和數(shù)字證書管理功能，方便與網(wǎng)上銀行系統(tǒng)的快速集成，為用戶提供有效實施 PKI 所必需的管理能力。根據(jù)客戶的實際需求， CA系統(tǒng)提供一套良好的應(yīng)用接口系統(tǒng) (API)，便于系統(tǒng)的二次開發(fā)和應(yīng)用。 ? 使用透明性：加入了 CA 數(shù)字證書后，對系統(tǒng)性能影響十分小，用戶使用透明性非常高。 。提供安全郵件客戶端的軟件開發(fā)包?？蛻舳?一般 需要部署三方面內(nèi)容： USBKEY 驅(qū)動、 SSL 代理客戶端（或者 CSP 證書導(dǎo)入模塊）與客戶端 SVS 簽名模塊。 XXXCA系統(tǒng)支持目前國內(nèi)大部分主流證書存儲介質(zhì)，存儲容量可達 64k 和 128k，主要的特點包括： ? 主處理器為高性能專用芯片，處理器內(nèi)嵌 RSA(1024)、 DES、 3DES算法； ? 內(nèi)部提供 1024 位 RSA 簽名、驗證和密鑰對生成算法； XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 43 ? 采用針對安全應(yīng)用的嵌入式操作系統(tǒng) SAFE OS； ? 提供 APDU API、 PKCS11 和 CryptoAPI 開發(fā)接口，提供證書管理等開發(fā)和使用工具 ， 采用標(biāo)準(zhǔn) USB 通信接口。 圖 13：統(tǒng)一標(biāo)準(zhǔn)時間服務(wù)中心 用戶申請時間戳?xí)r，并不需要用戶的原始信息（數(shù)據(jù)） ， 而是只對用戶的原始信息（數(shù)據(jù)）的 HASH 值進行時間戳簽名，從而保證了用戶原始信息（數(shù)據(jù)）的保密性和安全性 。 c) 應(yīng)用服務(wù)器對驗簽正確的數(shù)據(jù)及簽名數(shù)據(jù)和傳輸信息進行確認(rèn)并作進一步的處理。 客 戶 端 接 口 A P I應(yīng) 用 客 戶 端客 戶 端 接 口 A P I應(yīng) 用 客 戶 端客 戶 端 接 口 A P I應(yīng) 用 客 戶 端. . .S V S 驗 證 服 務(wù) 器驗 證 服 務(wù) 器 主 體 框 架P K I S D K 開 發(fā) 平 臺 庫 圖 12： SVS 系統(tǒng)架構(gòu)邏輯圖 關(guān)鍵數(shù)據(jù)簽名系統(tǒng)，保障網(wǎng)上銀行系統(tǒng)交易數(shù)據(jù)的不可抵賴性和完整性，防止用戶對關(guān)鍵交易的抵賴，使管理員在事后能夠拿出有力的證據(jù)證明操作用戶的真實身份。 在 本方案 中，我們推薦直接采用瀏覽器客戶端方式。 ? 系統(tǒng)提供統(tǒng)一的端口對外提供服務(wù)，避免使用多個端口。 ? 系統(tǒng)中的用戶標(biāo)志設(shè)置必須以用戶數(shù)字證書中的標(biāo)志為基礎(chǔ)。 SSL 網(wǎng)關(guān) 具備以下基本功能： ? 對客戶端身份進行有效的認(rèn)證； ? 與客戶端建立安全加密通道，加密強度達 128 位； XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 34 ? 解密客戶端所發(fā)數(shù)據(jù)； ? 加密發(fā)送給客戶端的所有數(shù)據(jù)； ? 防止通訊數(shù)據(jù)被篡改； ? 向應(yīng)用系統(tǒng)提供接口，使應(yīng)用系統(tǒng)獲取用戶真實身份和權(quán)限屬性，以便進行訪問控制。 在實際應(yīng)用中，建議采用支持 SSL 硬件加速的負(fù)載均衡設(shè)備。綜合使用客戶證書標(biāo)識和 SSL，能夠?qū)崿F(xiàn)身份認(rèn)證功能和防止信息篡改。 圖 7：網(wǎng)上 銀行 系統(tǒng) 用戶登錄 簡圖 用戶利用數(shù)字證書登錄身份認(rèn)證加密網(wǎng)關(guān) SSL 可以實現(xiàn)用戶身份認(rèn)證、單點登錄和數(shù)據(jù)通道 128 位高強度加密傳輸，如圖 8 所示。5 圖 5：網(wǎng)銀證書申請流程 圖 5 中各個步驟為： 1. 申請人到營業(yè)網(wǎng)點處提出申請，銀行 RA 錄入人員為其登記個人信息； 2. 申請人 的 信息 被 傳送到銀行 RA 審核員審核； 3. 審批未通過的信息返回給錄入人員修改； 4. RA 系統(tǒng)把審批通過的信息發(fā)送給 CA； 5. CA中心將返回申請是否成功，并返回申請成功的參考號（ Reference Number）和授權(quán)碼（ Authorization Code）給 二級 RA； 6. 銀行二級 RA 操作人員將申請成功的參考號和認(rèn)證碼打印成密碼信封 和 USBKEY 證書介質(zhì) 交給申請人； 銀行 RA操作人員也可代申請人 直接 下載證書 到 客戶的 USBKEY 中（離線申請方式）然后交至申XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 29 請人 ； 7. 申請人使用客戶端軟件（用于高級證書）或者訪問 XXXCA的 WEB CONNECTER（用于普通證書） 按照頁面提示輸入 參考號和授權(quán)碼 ，然后 下載相應(yīng)的證書 到 USBKEY 中 。 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 27 根據(jù)網(wǎng)上銀行的業(yè)務(wù)需求， XXX 信用社網(wǎng)上銀行系統(tǒng) 的 PKI 體系數(shù)字證書將包括以下幾種： ? 個人證書： 為各類用戶簽發(fā)的個人證書。 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 26 ? 日志查詢統(tǒng)計 日志查詢要求能 夠按照時間段、業(yè)務(wù)操作類型（申請、撤消、凍結(jié)、解凍等）、操作者進行查詢并打印。 ? 最終用 戶 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 25 這里的最終用戶是指使用證書服務(wù)的最終用戶，其證書是由操作員發(fā)放，最終用戶對本系統(tǒng)無任何操作權(quán)限（無法登陸到 RA 系統(tǒng)）。（包括普通證書和高級證書），證書的存儲介質(zhì)可以硬盤的文件、 IC 卡、 USB 等。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)只需提供需要解凍的證書的標(biāo)識 即可 ， 由系統(tǒng)自動生成申請信息內(nèi)容。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)只需提供需要撤銷的證書的標(biāo)識即可 ， 由系統(tǒng)自動生成申請信息內(nèi)容。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)只需提供需要補發(fā)的證書的標(biāo)識即可。 柜面系統(tǒng) /網(wǎng)銀系統(tǒng) 傳入相應(yīng)的查詢條件調(diào)用該接口，對證書進行查詢。 API/協(xié)議支持根據(jù)不同的證書類型接受不同的參數(shù)。L D A P 鏡 像 服 務(wù) 器 O C S P 鏡 像 服 務(wù) 器銀 行 業(yè) 務(wù) 數(shù) 據(jù) 庫S S L 加 密 通 道S S L 加 密 通 道圖 3： XXX 信用社網(wǎng)銀系統(tǒng)二級 RA 注冊服務(wù)系統(tǒng) 架構(gòu)簡圖 LDAP 目錄服務(wù)器負(fù)責(zé)發(fā)布證書信息和 CRL（ 證書吊銷列表） ，其它證書應(yīng)用系統(tǒng)通過目錄服務(wù)器查詢驗證用戶證書的合法性，從而驗證用戶身份。受理點的身份由 RA 審核，其操作員證書由 RA簽發(fā)，業(yè)務(wù)受理點不直接與公共 CA進行數(shù)據(jù)交換，而由 RA轉(zhuǎn)發(fā)或通過 RA分中心由 RA轉(zhuǎn)發(fā)。因為用戶的私鑰只有用戶自己才擁有，所以信息的數(shù)字簽名就如同用戶實際的簽名和印鑒一樣，可以作為確定用戶交易成功的證據(jù)，交易發(fā)出者不能對自己的數(shù)字簽名進行否認(rèn)，保證了服務(wù)方的利益不受損害。 1) 身份策略 ，在整個 PKI 體系中， 基于“ RSA 公鑰密碼體制”的數(shù)字證書認(rèn)證機制 確保實現(xiàn) 合法用戶的身份認(rèn)證。該方案在 XXX 信用社內(nèi)網(wǎng)建立二級 RA認(rèn)證中心，構(gòu)建 基于數(shù)字證書應(yīng)用的 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，利用數(shù)字證書將業(yè)務(wù)系統(tǒng)和應(yīng)用網(wǎng)關(guān)“粘合”起來，在銀行自有業(yè)務(wù)系統(tǒng)中加入的 僅僅是數(shù)字證書，并沒有太大改變系統(tǒng)本身結(jié)構(gòu)，因此只要對現(xiàn)有的系統(tǒng)稍做改動即可使用。 PKI（ Public Key Infrastructure ） 即 “ 公開 密鑰 體系 ” ，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺 ， 它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和 數(shù)字簽名 等密碼服務(wù)及所必需的密鑰和證書管理體系 ，其私鑰很難攻擊，其他人（包括管理員）不可能得到私有密鑰。對數(shù)據(jù)可用性最典型的攻擊就是拒絕式攻擊和分布式拒絕攻擊，兩者都是通過大量并發(fā)的惡意請求來占用系統(tǒng)資源，致使合法用戶無法正常 地 訪問目 標(biāo)系統(tǒng)。 ? 網(wǎng)銀系統(tǒng)與其它系統(tǒng)進行數(shù)據(jù)交換時必須進行端對端的加解密處理。 網(wǎng)銀安全子系統(tǒng)必須對管理類和金融 類交易提交的次數(shù)進行控制，這種控制 既 要有效 地 杜絕用戶的誤操作，還不能影響用戶正常情況下對某個交易的多次提交。 對于用戶身份認(rèn)證 常見的解決方法是采用口令的方式。 ? 網(wǎng)絡(luò)攻擊，破壞系統(tǒng)的有效性： 網(wǎng)上銀行 系統(tǒng)直接暴露在公網(wǎng)上，不可避免的受到不可預(yù)知的攻擊嘗試，在