xxx信用社网上银行系统ca应用解决方案v13

xxx信用社网上银行系统ca应用解决方案v13内容摘要：

B/S 结构， RA和 二级 RA 之间的数据传输通过 SSL 加密通道进行安全保护，同时 RA对所有连接的 业务受理点 的操作员都进行身份认证，并分配不同的操作权限。 XXX 信用社网上银行系统 CA 应用解决方案 19 二级 RA 注册服务系统 架构和功能 网 络A H R A 柜 面 系 统 / 综 合 业 务 系 统 /网 银 业 务 系 统二 级 R A 操 作 终 端二 级 R A 管 理 终 端交 换 机防 火 墙交 换 机路 由 器。 L D A P 镜 像 服 务 器 O C S P 镜 像 服 务 器银 行 业 务 数 据 库S S L 加 密 通 道S S L 加 密 通 道图 3： XXX 信用社网银系统二级 RA 注册服务系统 架构简图 LDAP 目录服务器负责发布证书信息和 CRL（ 证书吊销列表） ，其它证书应用系统通过目录服务器查询验证用户证书的合法性，从而验证用户身份。 LDAP 目录镜像服务器同步 XXX 的 LDAP 目录服务器所发布的证书和 CRL数据，同时接受证书使用者的查询。 图 3 中的 OCSP 镜像服务器同步 XXX 的 OCSP 服务器，为证书应用系统提供证书状态实时查询服务 ，该服务因为涉及到大量的数据访问，因而一般商业银行采用较少，网银系统多半采用 轻量级 目录访问协议 LDAP 和中间件的方式实现证书状态查询服务。 RA 系统为 B/S 架构系统， RA 客户端使用浏览器通过专网访问 RA服务器系统，在数据传递过程中，每个 RA 客户端与 RA 服务器间都采用 SSL 安全协议进行加密通信。 XXX 信用社网上银行系统 CA 应用解决方案 20 客户端浏览器安全代理和 RA服务器安全代理协同工作，保证 RA系统的安全。 其结构如 图 4 所示： 安 全 代 理 模 块网 络W e b 应 用 程 序S e r v le tR A 客 户 端R A 服 务 器浏 览 器高 强 度 S S L 安 全 通 道数 字 证 书数 字 证 书高 强 度 S S L 安 全 通 道客 户 端 认 证 模 块 图 4:二级 RA 与 RA 通信示意图 RA 系统功能设计 二级 RA 系统完成的主要功能包括：  Xx农村信用社网上银行二级 RA系统与 XXXCA连接 ，完成与 XXXCA的接口任务，是 XXXCA 在网上银行的证书受理平台；  RA管理员和操作员颁发的使用内部管理用的数字证书登陆 RA 系统，并提供相应的证书管理，保证了 RA系统内部操作的安全性；  二级 RA 与 RA 中心服务器组成 B/S 架构，采用 Web 浏览器方式登录到 RA 服务器上，完成证书的录入和审核；  进行用户身份信息的审核，确保其真实性； XXX 信用社网上银行系统 CA 应用解决方案 21  用户身份信息管理和维护；  用户证书的查询和下载；  用户证书的发放和管理。 二级 RA基本功能  信息录入 以 API/协议或者 B/S 的形式提供。 柜面系统 /网银系统在调用该 API 时，提供相应的参数，如：证件号码 /机构代码、联系电话、地址、申请的证书类型、邮件地址等信息。 API/协议支持根据不同的证书类型接受不同的参数。  信息修改 操作员对已经录入的用户信息可以进行修改和编辑，可以按照一定的条件进行证书查询，然后对用户信息进行修改。 该接口以 API/协议或者 B/S 的形式提供 ， 该接口应该能够对柜面系统 /网银系统选定的信息进行更新和修改。  证书申请 该接口以 API/协议或者 B/S 的形式提供。 该接口能够对 柜面系统 /网银系统 选定的信息向 CA系统提交证书申请请求，并获得 CA系统返回的用于下 载证书的参考号和授权码。 银行可以根据自己的业务需求，返回一个对于用户方便记忆的口令对应参考号和授权码，用户直接使用该口令即可在后台获得对应的两码用以提交给 XXXCA 中心 产生证书。  证书查询 用户证书查询支持按照用户的证件类型、证件号码、用户名称、证书类型、证书状态、时间、 DN 等条件进行查询，并且可以按照权限划分查询相应XXX 信用社网上银行系统 CA 应用解决方案 22 的信息。 该接口以 API/协议或者 B/S 的形式提供。 柜面系统 /网银系统 传入相应的查询条件调用该接口，对证书进行查询。 另外为了完成很多证书业务，都要首先调用证书查询接口，得到要操作的证书的信息，然 后才能进行要 操作 的证书业务。  证书申请 该接口以 API/协议或者 B/S 的形式提供。 该接口会自动把 柜面系统 /网银系统 选中的证书申请提交给 XXXCA中心。 柜面系统 /网银系统只需提交该条申请的标识即可 ， 由系统自动去生成申请信息内容。  证书补发、换发 该接口以 API/协议或者 B/S 的形式提供。 证书存储介质损坏或遗忘口令等情况下，用户希望补发证书。 柜面系统 /网银系统调用该接口来实现证书的补发功能。 柜面系统 /网银系统只需提供需要补发的证书的标识即可。 由系统自动生成申请信息内容。 换发证书是在证书到期前，对于还希望继续使用 网银的用户换发证书。 证书有效期延长两年，同时在收费上，收取下一年度的费用。  证书撤销 该接口以 API/协议或者 B/S 的形式提供。 证书丢失、密钥泄漏或银行认为持证人 违规操作时，银行审核后可以通过注销证书来停止此证书的使用。 如有需要，用户可以选择重新申请证书或恢复原有证书。 柜面系统 /网银系统通过调用该接口来实现证书的撤销功能。 柜面系统 /网银系统只需提供需要撤销的证书的标识即可 ， 由系统自动生成申请信息内容。 XXX 信用社网上银行系统 CA 应用解决方案 23  证书冻结 该接口以 API/协议或者 B/S 的形式提供。 由于用户未交费或某些不确定的原因， RA操作员可以暂时冻结该用户的证书，使其证书暂时不可使用。 柜面系统 /网银系统通过调用该接口来实现证书的冻结功能。 柜面系统 /网银系统只需提供需要冻结的证书的标识即可 ， 由系统自动生成申请信息内容。  证书解冻 该接口以 API/协议或者 B/S 的形式提供。 在得到银行或 XXXCA 中心 管理员 许可的情况下，可以解除证书的冻结状态，恢复证书的正常使用。 柜面系统 /网银系统 通过调用该接口来实现证书的解冻功能。 柜面系统 /网银系统只需提供需要解冻的证书的标识 即可 ， 由系统自动生成申请信息内容。  两码重发 该接口以 API/协议或者 B/S 的形式提供。 在用户没有收到参考号和授权码的情况下，可重新选择发放方式或者按照原来的发放方式重新发放，如果按照邮件方式发放，可以提供改变邮件地址的功能。 如果两码已经过期，要提供重新签发两码的功能。 柜面系统 /网银系统通过调用该接口来实现两码重发功能。 柜面系统 /网银系统只需提供需要重发两码的证书的标识即可 ， 由系统自动生成申请信息内容。  制证功能 该接口 B/S 的形式提供。 对于某些特定的用户，申请证书的请求得到批准，并取得了参考号和授权码后， 需要银行的操作员直接为用户下载证书的用户，本地 RA可以提供直接下载证书的功能。 （包括普通证书和高级证书），证书的存储介质可以硬盘的文件、 IC 卡、 USB 等。 柜面系统 /网银系统 通过调XXX 信用社网上银行系统 CA 应用解决方案 24 用该接口来实现制证功能。 柜面系统 /网银系统 只需提供两码即可 ， 由系统自动实现制证功能。 二级 RA 用户管理功能  用户管理 本地 RA系统的权限管理是把权限跟用户的 DN 结合，且权限的分配过程结合了管理员证书的发放过程。 为了和银行的业务系统 /网银系统能够充分结合，可以考虑根据银行的业务设计开发相应的权限管理程序，或借助原系统的权限管理方式。  用户角色的分类  RA 管理员 RA管理员是 XXXCA 中心 的 RA 系统权限中最大的角色，主要职责就是负责管理使用本地 RA的各个 营业网点 的 二级 RA管理员，包括为 二级 RA 管理员申请、撤销、恢复、下载、更新证书以及管理 二级 RA管理员的信息等功能。  二级 RA 管理员 二级 RA管理员主要负责管理本地 二级 RA操作员，包括为操作员申请、撤销、下载、更新证书以及管理操作员的信息等功能。  二级 RA 操作员 二级 RA操作员面对的是本地银行的最终用户，负责为用户申请、撤销、下载、更新证书以及管理用户的信息等功能。  最终用 户 XXX 信用社网上银行系统 CA 应用解决方案 25 这里的最终用户是指使用证书服务的最终用户，其证书是由操作员发放，最终用户对本系统无任何操作权限（无法登陆到 RA 系统）。  用户信息管理 柜面结合 RA需要提供对没有证书的管理员（如：柜员）的信息的维护功能，包括对管理员的基本信息（如：管理员的身份标识信息、证件类型、证件号码 、 联系方式、权限等）的录入 、 修改 、 删除 、 查询功能。 二级 RA系统功能  查询统计 查询可以分为两类：日志查询和用户证书信息查询。 要求能够灵活的按照不同的查询条件，查询满足条件的信息。 RA 操作员可以通过浏览器访问RA 服务器，进 行查询统计操作。  用户查询 用户证书查询支持按照用户的证件类型、证件号码、用户名称、证书类型、证书状态、时间、 DN 等条件进行查询，并且可以按照权限划分查询相应的信息，例如： 二级 RA管理员可查询其所发放的 二级 RA操作员的信息，或者可以查询最终用户的信息。  用户统计 用户证书的统计功能支持按照 RA机构、 RA操作员、证书类型、证书状态、用户名称、 DN 名称、时间日期等条件进行统计，并显示和打印明细。 能够查询统计一 段时间内证书将要过期的用户或者一段时间内的证书发放情况，并显示和打印明细。 XXX 信用社网上银行系统 CA 应用解决方案 26  日志查询统计 日志查询要求能 够按照时间段、业务操作类型（申请、撤消、冻结、解冻等）、操作者进行查询并打印。  日志管理 对 RA操作员的操作记录， RA的证书管理操作记录、系统管理操作记录和有关警告、错误等信息进行记录，便于排错和审计。 日志文件的格式，采取标准的日志记录方式，包括日期、时间、 RA 机构名称、操作类型、操作者、具体操作信息、操作结果等，日志文件的记录可以分类，例如：某一模块都有单独的日志，也可以根据交易类型分类存储。 日志记录的存储形式应该可以配置，可以是日志文件的形式，也可以存储到数据库中。 同时应该提供对日志记录的管理功能， 如备份日志记录、归档日志记录等。 证书类型 数字证书是以 USB Key 为文件存储载体的数字证书。 USB Key 是一种 USB 接口的加密数据存储设备，在网上银行系统上作为保存专业用户移动证书的介质，是网络用户身份识别和数据保护的“电子钥匙”， USB Key 内部的密钥不可导出，所以 相 比文件证书具有更高的安全性。 本方案设计签发的用户证书采用 XXXCA系统所 遵循的 V3 标准，同时还提供了灵活的扩展域定制功能，系统操作人员可以根据业务需要，对证书中所包含的内容和内容扩展域进行灵 活定制，以满足不同业务应用的需要。 XXX 信用社网上银行系统 CA 应用解决方案 27 根据网上银行的业务需求， XXX 信用社网上银行系统 的 PKI 体系数字证书将包括以下几种：  个人证书： 为各类用户签发的个人证书。  单位证书： 颁发给独立的单位、组织，在网络应用证明该单位、组织的身份。  服务器证书： 主要颁发给 Web 站点或其他需要安全鉴别的服务器，证明服务器的身份信息。  VPN 证书： 为了支持基于 IPSEC 的 VPN 设备的相互认证， CA 系统应能满足用户为其 VPN 安全设备发放 VPN 证书的要求，并能将设备 IP 地址、服务域名和设备的 RFC822 名称绑定在 VPN 证书内。  其它的证书类型： 系统能根据新的需求，增加新的证书类型。 网银证书申请流程 按照以上设计方案， XXX 信用社网上银行的客户可以采用在线申请和离线申请两种方式，申请办理网银证书。 在线申请方式指用户通过注册，登录网银系统，在线提交申请资料，并在规定的时间内到营业网点柜台提交真实资料，由银行工作人员核实并 返回供用户下载证书的参考号和授权码的信封 ； 离线申请方式指用户直接到营业网点柜台申请办理数字证书，填写证书XXX 信用社网上银行系统 CA 应用解决方案 28 申请表，并交由银行工作人 员核实身份资料，由银行工作人员现场制作数字证书，在规定的时间内 将数字 证书交至客户。 用户到 营业网点 申请 XXXCA 数字证书的 具体 流程如图 5 所示： 录 入C A申 请 者126R A 系 统审 核3 42 39。 5 图 5：网银证书申请流程 图 5 中各个步骤为： 1. 申请人到营业网点处提出申请，银行 RA 录入人员为其登记个人信。