【文章內(nèi)容簡介】 B/S 結(jié)構(gòu)， RA和 二級 RA 之間的數(shù)據(jù)傳輸通過 SSL 加密通道進(jìn)行安全保護(hù)，同時 RA對所有連接的 業(yè)務(wù)受理點 的操作員都進(jìn)行身份認(rèn)證，并分配不同的操作權(quán)限。 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 19 二級 RA 注冊服務(wù)系統(tǒng) 架構(gòu)和功能 網(wǎng) 絡(luò)A H R A 柜 面 系 統(tǒng) / 綜 合 業(yè) 務(wù) 系 統(tǒng) /網(wǎng) 銀 業(yè) 務(wù) 系 統(tǒng)二 級 R A 操 作 終 端二 級 R A 管 理 終 端交 換 機(jī)防 火 墻交 換 機(jī)路 由 器。 。 。L D A P 鏡 像 服 務(wù) 器 O C S P 鏡 像 服 務(wù) 器銀 行 業(yè) 務(wù) 數(shù) 據(jù) 庫S S L 加 密 通 道S S L 加 密 通 道圖 3： XXX 信用社網(wǎng)銀系統(tǒng)二級 RA 注冊服務(wù)系統(tǒng) 架構(gòu)簡圖 LDAP 目錄服務(wù)器負(fù)責(zé)發(fā)布證書信息和 CRL（ 證書吊銷列表） ，其它證書應(yīng)用系統(tǒng)通過目錄服務(wù)器查詢驗證用戶證書的合法性，從而驗證用戶身份。LDAP 目錄鏡像服務(wù)器同步 XXX 的 LDAP 目錄服務(wù)器所發(fā)布的證書和 CRL數(shù)據(jù)，同時接受證書使用者的查詢。 圖 3 中的 OCSP 鏡像服務(wù)器同步 XXX 的 OCSP 服務(wù)器，為證書應(yīng)用系統(tǒng)提供證書狀態(tài)實時查詢服務(wù) ，該服務(wù)因為涉及到大量的數(shù)據(jù)訪問，因而一般商業(yè)銀行采用較少，網(wǎng)銀系統(tǒng)多半采用 輕量級 目錄訪問協(xié)議 LDAP 和中間件的方式實現(xiàn)證書狀態(tài)查詢服務(wù) 。 RA 系統(tǒng)為 B/S 架構(gòu)系統(tǒng)， RA 客戶端使用瀏覽器通過專網(wǎng)訪問 RA服務(wù)器系統(tǒng)，在數(shù)據(jù)傳遞過程中，每個 RA 客戶端與 RA 服務(wù)器間都采用 SSL 安全協(xié)議進(jìn)行加密通信。 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 20 客戶端瀏覽器安全代理和 RA服務(wù)器安全代理協(xié)同工作，保證 RA系統(tǒng)的安全。其結(jié)構(gòu)如 圖 4 所示： 安 全 代 理 模 塊網(wǎng) 絡(luò)W e b 應(yīng) 用 程 序S e r v le tR A 客 戶 端R A 服 務(wù) 器瀏 覽 器高 強(qiáng) 度 S S L 安 全 通 道數(shù) 字 證 書數(shù) 字 證 書高 強(qiáng) 度 S S L 安 全 通 道客 戶 端 認(rèn) 證 模 塊 圖 4:二級 RA 與 RA 通信示意圖 RA 系統(tǒng)功能設(shè)計 二級 RA 系統(tǒng)完成的主要功能包括： ? Xx農(nóng)村信用社網(wǎng)上銀行二級 RA系統(tǒng)與 XXXCA連接 ，完成與 XXXCA的接口任務(wù)，是 XXXCA 在網(wǎng)上銀行的證書受理平臺； ? RA管理員和操作員頒發(fā)的使用內(nèi)部管理用的數(shù)字證書登陸 RA 系統(tǒng)，并提供相應(yīng)的證書管理，保證了 RA系統(tǒng)內(nèi)部操作的安全性； ? 二級 RA 與 RA 中心服務(wù)器組成 B/S 架構(gòu)，采用 Web 瀏覽器方式登錄到 RA 服務(wù)器上，完成證書的錄入和審核； ? 進(jìn)行用戶身份信息的審核，確保其真實性； XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 21 ? 用戶身份信息管理和維護(hù)； ? 用戶證書的查詢和下載； ? 用戶證書的發(fā)放和管理。 二級 RA基本功能 ? 信息錄入 以 API/協(xié)議或者 B/S 的形式提供。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)在調(diào)用該 API 時，提供相應(yīng)的參數(shù)，如：證件號碼 /機(jī)構(gòu)代碼、聯(lián)系電話、地址、申請的證書類型、郵件地址等信息。 API/協(xié)議支持根據(jù)不同的證書類型接受不同的參數(shù)。 ? 信息修改 操作員對已經(jīng)錄入的用戶信息可以進(jìn)行修改和編輯，可以按照一定的條件進(jìn)行證書查詢，然后對用戶信息進(jìn)行修改。該接口以 API/協(xié)議或者 B/S 的形式提供 ， 該接口應(yīng)該能夠?qū)衩嫦到y(tǒng) /網(wǎng)銀系統(tǒng)選定的信息進(jìn)行更新和修改。 ? 證書申請 該接口以 API/協(xié)議或者 B/S 的形式提供。該接口能夠?qū)?柜面系統(tǒng) /網(wǎng)銀系統(tǒng) 選定的信息向 CA系統(tǒng)提交證書申請請求，并獲得 CA系統(tǒng)返回的用于下 載證書的參考號和授權(quán)碼。銀行可以根據(jù)自己的業(yè)務(wù)需求，返回一個對于用戶方便記憶的口令對應(yīng)參考號和授權(quán)碼，用戶直接使用該口令即可在后臺獲得對應(yīng)的兩碼用以提交給 XXXCA 中心 產(chǎn)生證書。 ? 證書查詢 用戶證書查詢支持按照用戶的證件類型、證件號碼、用戶名稱、證書類型、證書狀態(tài)、時間、 DN 等條件進(jìn)行查詢，并且可以按照權(quán)限劃分查詢相應(yīng)XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 22 的信息。該接口以 API/協(xié)議或者 B/S 的形式提供。 柜面系統(tǒng) /網(wǎng)銀系統(tǒng) 傳入相應(yīng)的查詢條件調(diào)用該接口，對證書進(jìn)行查詢。另外為了完成很多證書業(yè)務(wù)，都要首先調(diào)用證書查詢接口，得到要操作的證書的信息，然 后才能進(jìn)行要 操作 的證書業(yè)務(wù)。 ? 證書申請 該接口以 API/協(xié)議或者 B/S 的形式提供。該接口會自動把 柜面系統(tǒng) /網(wǎng)銀系統(tǒng) 選中的證書申請?zhí)峤唤o XXXCA中心 。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)只需提交該條申請的標(biāo)識即可 ， 由系統(tǒng)自動去生成申請信息內(nèi)容。 ? 證書補(bǔ)發(fā)、換發(fā) 該接口以 API/協(xié)議或者 B/S 的形式提供。證書存儲介質(zhì)損壞或遺忘口令等情況下，用戶希望補(bǔ)發(fā)證書。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)調(diào)用該接口來實現(xiàn)證書的補(bǔ)發(fā)功能。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)只需提供需要補(bǔ)發(fā)的證書的標(biāo)識即可。由系統(tǒng)自動生成申請信息內(nèi)容。換發(fā)證書是在證書到期前，對于還希望繼續(xù)使用 網(wǎng)銀的用戶換發(fā)證書。證書有效期延長兩年，同時在收費上，收取下一年度的費用。 ? 證書撤銷 該接口以 API/協(xié)議或者 B/S 的形式提供。證書丟失、密鑰泄漏或銀行認(rèn)為持證人 違規(guī)操作時，銀行審核后可以通過注銷證書來停止此證書的使用。如有需要，用戶可以選擇重新申請證書或恢復(fù)原有證書。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)通過調(diào)用該接口來實現(xiàn)證書的撤銷功能。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)只需提供需要撤銷的證書的標(biāo)識即可 ， 由系統(tǒng)自動生成申請信息內(nèi)容。 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 23 ? 證書凍結(jié) 該接口以 API/協(xié)議或者 B/S 的形式提供。由于用戶未交費或某些不確定的原因， RA操作員可以暫時凍結(jié)該用戶的證書，使其證書暫時不可使用。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)通過調(diào)用該接口來實現(xiàn)證書的凍結(jié)功能。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)只需提供需要凍結(jié)的證書的標(biāo)識即可 ， 由系統(tǒng)自動生成申請信息內(nèi)容。 ? 證書解凍 該接口以 API/協(xié)議或者 B/S 的形式提供。在得到銀行或 XXXCA 中心 管理員 許可的情況下，可以解除證書的凍結(jié)狀態(tài)，恢復(fù)證書的正常使用。 柜面系統(tǒng) /網(wǎng)銀系統(tǒng) 通過調(diào)用該接口來實現(xiàn)證書的解凍功能。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)只需提供需要解凍的證書的標(biāo)識 即可 ， 由系統(tǒng)自動生成申請信息內(nèi)容。 ? 兩碼重發(fā) 該接口以 API/協(xié)議或者 B/S 的形式提供。在用戶沒有收到參考號和授權(quán)碼的情況下，可重新選擇發(fā)放方式或者按照原來的發(fā)放方式重新發(fā)放，如果按照郵件方式發(fā)放，可以提供改變郵件地址的功能。如果兩碼已經(jīng)過期，要提供重新簽發(fā)兩碼的功能。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)通過調(diào)用該接口來實現(xiàn)兩碼重發(fā)功能。柜面系統(tǒng) /網(wǎng)銀系統(tǒng)只需提供需要重發(fā)兩碼的證書的標(biāo)識即可 ， 由系統(tǒng)自動生成申請信息內(nèi)容。 ? 制證功能 該接口 B/S 的形式提供。對于某些特定的用戶，申請證書的請求得到批準(zhǔn)，并取得了參考號和授權(quán)碼后， 需要銀行的操作員直接為用戶下載證書的用戶，本地 RA可以提供直接下載證書的功能。（包括普通證書和高級證書），證書的存儲介質(zhì)可以硬盤的文件、 IC 卡、 USB 等。 柜面系統(tǒng) /網(wǎng)銀系統(tǒng) 通過調(diào)XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 24 用該接口來實現(xiàn)制證功能。 柜面系統(tǒng) /網(wǎng)銀系統(tǒng) 只需提供兩碼即可 ， 由系統(tǒng)自動實現(xiàn)制證功能。 二級 RA 用戶管理功能 ? 用戶管理 本地 RA系統(tǒng)的權(quán)限管理是把權(quán)限跟用戶的 DN 結(jié)合，且權(quán)限的分配過程結(jié)合了管理員證書的發(fā)放過程。為了和銀行的業(yè)務(wù)系統(tǒng) /網(wǎng)銀系統(tǒng)能夠充分結(jié)合，可以考慮根據(jù)銀行的業(yè)務(wù)設(shè)計開發(fā)相應(yīng)的權(quán)限管理程序，或借助原系統(tǒng)的權(quán)限管理方式。 ? 用戶角色的分類 ? RA 管理員 RA管理員是 XXXCA 中心 的 RA 系統(tǒng)權(quán)限中最大的角色，主要職責(zé)就是負(fù)責(zé)管理使用本地 RA的各個 營業(yè)網(wǎng)點 的 二級 RA管理員，包括為 二級 RA 管理員申請、撤銷、恢復(fù)、下載、更新證書以及管理 二級 RA管理員的信息等功能。 ? 二級 RA 管理員 二級 RA管理員主要負(fù)責(zé)管理本地 二級 RA操作員，包括為操作員申請、撤銷、下載、更新證書以及管理操作員的信息等功能。 ? 二級 RA 操作員 二級 RA操作員面對的是本地銀行的最終用戶，負(fù)責(zé)為用戶申請、撤銷、下載、更新證書以及管理用戶的信息等功能。 ? 最終用 戶 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 25 這里的最終用戶是指使用證書服務(wù)的最終用戶，其證書是由操作員發(fā)放，最終用戶對本系統(tǒng)無任何操作權(quán)限（無法登陸到 RA 系統(tǒng)）。 ? 用戶信息管理 柜面結(jié)合 RA需要提供對沒有證書的管理員（如：柜員）的信息的維護(hù)功能，包括對管理員的基本信息（如：管理員的身份標(biāo)識信息、證件類型、證件號碼 、 聯(lián)系方式、權(quán)限等）的錄入 、 修改 、 刪除 、 查詢功能。 二級 RA系統(tǒng)功能 ? 查詢統(tǒng)計 查詢可以分為兩類：日志查詢和用戶證書信息查詢。要求能夠靈活的按照不同的查詢條件，查詢滿足條件的信息。 RA 操作員可以通過瀏覽器訪問RA 服務(wù)器，進(jìn) 行查詢統(tǒng)計操作。 ? 用戶查詢 用戶證書查詢支持按照用戶的證件類型、證件號碼、用戶名稱、證書類型、證書狀態(tài)、時間、 DN 等條件進(jìn)行查詢，并且可以按照權(quán)限劃分查詢相應(yīng)的信息，例如： 二級 RA管理員可查詢其所發(fā)放的 二級 RA操作員的信息，或者可以查詢最終用戶的信息。 ? 用戶統(tǒng)計 用戶證書的統(tǒng)計功能支持按照 RA機(jī)構(gòu)、 RA操作員、證書類型、證書狀態(tài)、用戶名稱、 DN 名稱、時間日期等條件進(jìn)行統(tǒng)計，并顯示和打印明細(xì)。能夠查詢統(tǒng)計一 段時間內(nèi)證書將要過期的用戶或者一段時間內(nèi)的證書發(fā)放情況，并顯示和打印明細(xì)。 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 26 ? 日志查詢統(tǒng)計 日志查詢要求能 夠按照時間段、業(yè)務(wù)操作類型（申請、撤消、凍結(jié)、解凍等）、操作者進(jìn)行查詢并打印。 ? 日志管理 對 RA操作員的操作記錄， RA的證書管理操作記錄、系統(tǒng)管理操作記錄和有關(guān)警告、錯誤等信息進(jìn)行記錄，便于排錯和審計。 日志文件的格式，采取標(biāo)準(zhǔn)的日志記錄方式，包括日期、時間、 RA 機(jī)構(gòu)名稱、操作類型、操作者、具體操作信息、操作結(jié)果等，日志文件的記錄可以分類，例如：某一模塊都有單獨的日志，也可以根據(jù)交易類型分類存儲。 日志記錄的存儲形式應(yīng)該可以配置，可以是日志文件的形式，也可以存儲到數(shù)據(jù)庫中。同時應(yīng)該提供對日志記錄的管理功能， 如備份日志記錄、歸檔日志記錄等。 證書類型 數(shù)字證書是以 USB Key 為文件存儲載體的數(shù)字證書。 USB Key 是一種 USB 接口的加密數(shù)據(jù)存儲設(shè)備，在網(wǎng)上銀行系統(tǒng)上作為保存專業(yè)用戶移動證書的介質(zhì)，是網(wǎng)絡(luò)用戶身份識別和數(shù)據(jù)保護(hù)的“電子鑰匙”， USB Key 內(nèi)部的密鑰不可導(dǎo)出，所以 相 比文件證書具有更高的安全性。 本方案設(shè)計簽發(fā)的用戶證書采用 XXXCA系統(tǒng)所 遵循的 V3 標(biāo)準(zhǔn)，同時還提供了靈活的擴(kuò)展域定制功能，系統(tǒng)操作人員可以根據(jù)業(yè)務(wù)需要，對證書中所包含的內(nèi)容和內(nèi)容擴(kuò)展域進(jìn)行靈 活定制，以滿足不同業(yè)務(wù)應(yīng)用的需要。 XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 27 根據(jù)網(wǎng)上銀行的業(yè)務(wù)需求， XXX 信用社網(wǎng)上銀行系統(tǒng) 的 PKI 體系數(shù)字證書將包括以下幾種： ? 個人證書： 為各類用戶簽發(fā)的個人證書。 ? 單位證書： 頒發(fā)給獨立的單位、組織，在網(wǎng)絡(luò)應(yīng)用證明該單位、組織的身份。 ? 服務(wù)器證書： 主要頒發(fā)給 Web 站點或其他需要安全鑒別的服務(wù)器，證明服務(wù)器的身份信息。 ? VPN 證書： 為了支持基于 IPSEC 的 VPN 設(shè)備的相互認(rèn)證， CA 系統(tǒng)應(yīng)能滿足用戶為其 VPN 安全設(shè)備發(fā)放 VPN 證書的要求，并能將設(shè)備 IP 地址、服務(wù)域名和設(shè)備的 RFC822 名稱綁定在 VPN 證書內(nèi)。 ? 其它的證書類型： 系統(tǒng)能根據(jù)新的需求，增加新的證書類型。 網(wǎng)銀證書申請流程 按照以上設(shè)計方案， XXX 信用社網(wǎng)上銀行的客戶可以采用在線申請和離線申請兩種方式，申請辦理網(wǎng)銀證書。在線申請方式指用戶通過注冊，登錄網(wǎng)銀系統(tǒng)，在線提交申請資料，并在規(guī)定的時間內(nèi)到營業(yè)網(wǎng)點柜臺提交真實資料，由銀行工作人員核實并 返回供用戶下載證書的參考號和授權(quán)碼的信封 ； 離線申請方式指用戶直接到營業(yè)網(wǎng)點柜臺申請辦理數(shù)字證書，填寫證書XXX 信用社網(wǎng)上銀行系統(tǒng) CA 應(yīng)用解決方案 28 申請表，并交由銀行工作人 員核實身份資料，由銀行工作人員現(xiàn)場制作數(shù)字證書，在規(guī)定的時間內(nèi) 將數(shù)字 證書交至客戶。 用戶到 營業(yè)網(wǎng)點 申請 XXXCA 數(shù)字證書的 具體 流程如圖 5 所示： 錄 入C A申 請 者126R A 系 統(tǒng)審 核3 42 39。5 圖 5：網(wǎng)銀證書申請流程 圖 5 中各個步驟為： 1. 申請人到營業(yè)網(wǎng)點處提出申請，銀行 RA 錄入人員為其登記個人信