中国⼈民银⾏办公厅关于印发《中国⼈民银⾏信息系统电⼦认证应⽤指引》的通知
⽂号:银办发[2010]44号
颁布⽇期:2010-03-10
执⾏⽇期:2010-03-10
时效性:现⾏有效
效⼒级别:部门规章
⼈民银⾏上海总部,各分⾏、营业管理部,各省会(⾸府)城市中⼼⽀⾏,深圳市中⼼⽀⾏:
为进⼀步促进⼈民银⾏信息系统电⼦认证应⽤推⼴⼯作,现将《中国⼈民银⾏信息系统电⼦认证应⽤指引》印发给你们,请参照执⾏。执⾏中发现的问题,请及时向总⾏反馈。
附件:中国⼈民银⾏信息系统电⼦认证应⽤指引
附件
中国⼈民银⾏
信息系统电⼦认证应⽤指引
(V1.0)
中国⼈民银⾏
2010年3⽉
⽬录
1概况
1.1编写⽬的
1.2适⽤范围
1.3指引内容简介
1.4术语定义
2CA系统及应⽤简介
2.1⽣产系统
2.2测试系统
2.3CA应⽤现状
2.3.1 CA系统与CA应⽤的关系
2.3.2 CA应⽤类型与模式
2.3.2.1CA 应⽤类型
2.3.2.2应⽤模式
3应⽤流程和⼯作分⼯
3.1CA应⽤总体流程
3.2需求阶段
3.2.1⼯作内容
3.2.2参与部门与⼯作流程
3.3设计阶段
3.3.1⼯作内容
3.3.2参与部门与⼯作流程
3.4开发阶段
3.4.1⼯作内容
3.4.2参与部门及⼯作流程
3.5测试阶段
3.5.1⼯作内容
3.5.2参与部门及⼯作流程
3.6上线实施阶段
2023考研国家线最新3.6.1⼯作内容
3.6.2参与部门及⼯作流程
3.7运⾏维护阶段河北省高考录取结果查询
3.7.1⼯作内容
3.7.2参与部门及⼯作内容
4 CA应⽤设计和实现的内容
4.1确定CA应⽤需求类型
4.2确定实现⽅式
4.2.1软件⽅式
4.2.2硬件⽅式
4.3其他内容
淄博职业学院4.3.1撤销列表下载⽅式
4.3.2交叉认证
4.3.3多应⽤加载的环境
4.4应⽤策略
4.4.1确定CA应⽤接⼝实现⽅式
4.4.2确定撤销列表下载⽅式
4.4.3确定CA应⽤模式实现⽅式
4.4.3.1B/S模式实现⽅式
4.4.3.2C/S模式实现⽅式英语4级报名时间2021下半年
4.4.3.3S/S模式实现⽅式
4.4.3.4混合模式实现⽅式
4.4.4其他情况
4.5 CA应⽤模板
5附录
5.1CA应⽤开发包获取⽅式
5.2⼈民银⾏CA系统DN规则
1 概况
1.1编写⽬的
本指引是⼈民银⾏信息系统电⼦认证(以下简称CA)应⽤的指导性⽂件。CA应⽤贯穿信息系统建设的设计、开发、测试、上线实施及运⾏维护的各个阶段,通过该指引规范CA应⽤的⼯作流程,以便各相关部门(业务部门、科技部门、建设部门、运⾏维护部门)明确职责,保证信息系统CA应⽤的顺利进⾏。
本指引解释权归属⼈民银⾏科技司。
1.2适⽤范围
本指引适⽤于⼈民银⾏内部及与⼈民银⾏有信息系统互联的外部机构。其中⼈民银⾏内部各部门包括科技部门、业务部门、系统建设部门、系统运⾏维护部门等;外部机构的使⽤范围根据互联机构的具体情况由⼈民银⾏业务部门和科技司共同决定。
使⽤CA安全认证服务的机构、部门和个⼈,都需要严格遵守本指引。
1.3指引内容简介
本指引在简单介绍⼈民银⾏CA系统基本情况的基础上,重点介绍了 CA应⽤涉及的⼯作内容、应⽤策略、应⽤流程和⼯作分⼯,并在附录中说明CA应⽤开发包获取⽅式等。
2021年贵州公务员考试成绩排名1.4术语定义
PKI (Public Key Infrastructure):即公开密钥基础设施,是以公钥(⾮对称)密码学为基础,为信息系统提供安全认证服务,构建⽹络信任体系的安全基础平台。
CA (Certification Authority):即认证中⼼。CA 是 PKI 的核⼼,受信任的第三⽅,⽣成⽤户的数字证书,解决公钥体系中公钥的合法性问题。本指引中CA专指⼈民银⾏内部CA系统。
RA (Registration Authority):即注册机构,数字证书注册审批机构。负责完成证书的发放、撤销、更新、恢复、冻结和解冻等管理功能。本指引中RA专指⼈民银⾏RA系统。
LRA (Local Registration Authority):即证书注册审核受理点, RA的组成部分,作为证书发放受理点,直接⾯向⽤户。
KMC (Key Management Centre):密钥管理中⼼,提供加密密钥的产⽣、存储、更新、分发、查询、撤销、归档、备份及恢复等管理功能。
LDAP (Lightweight Directory Access Protocol):⽬录服务器,⽤以存储和发布⽤户的证书信息、证书撤销列表,⽤户在使⽤证书时通过访问⽬录服务器,验证证书的有效性。
CRL (Certificate Revocation List):证书撤销列表,通过查询 CRL⽤以验证证书的使⽤状态是否为撤销或冻结,判断证书的有效性。
OCSP (Online Certificate Status Protocol):即在线证书状态协议,与CRL以及证书状态相结合,能为⽤户提供⾼效、实时的证书状态查询服务。
TSA (Time Stamp Authority):即时间戳服务,负责对所有请求时间戳服务的请求进⾏签发处理,并对时间戳进⾏相应的管理。
CSP (Cryptographic Service Provider):加密服务提供程序,是微软专为Windows系列操作系统制定的底层加密接⼝,⽤于管理硬件或软件形式的加密设备,实现数据加密、解密,数字签名、验签和数
据摘要(即HASH)等。
2021考研单科分数线PKCS11(Public Key Cryptography Standard 11):底层密码组件接⼝标准,⾮微软操作系统⼀般使⽤该标准⽤于管理硬件或软件形式的加密设备,实现数据加密、解密,数字签名、验签和数据摘要(即HASH)等。
数字证书:由CA认证中⼼发放的,能进⾏⾝份验证的⼀种权威性⽂件,⽤户通过数字证书来证明⾃⼰的⾝份和识别对⽅的⾝份。数字证书是⼀段包含⽤户或服务器⾝份信息、公钥信息以及⾝份验证机构数字签名的⽂件,⼈民银⾏CA证书格式及证书内容遵循X.509标准。
数字签名:数字签名是指⽤户⽤⾃⼰的私钥运⽤⾮对称密码算法对业务操作数据、数据传输等相关信息的哈希摘要进⾏加密所得的数据,实现对业务操作数据及数据发送者的⾝份认证和防抵赖并保证数据完整性。
数字信封:结合对称密码和⾮对称密码技术,⽤以保证数据传输安全的加密⽅法。
个⼈证书:向个⼈使⽤者发放的数字证书,⽤以实现应⽤系统中个⼈操作所需的安全服务。个⼈证书的保管使⽤由使⽤者本⼈负责。⼈民银⾏CA个⼈证书分为:RA管理员证书、LRA管理员证书、LRA操作员证书、个⼈单密钥证
书。其中RA管理员证书、LRA管理员证书、LRA操作员证书均可⽤于管理或使⽤ LRA系统;个⼈单密钥证书为个⼈普通证书。
服务器证书:发放给应⽤系统中服务器的数字证书,⽤以建⽴服务器和客户端之间的安全信任关系。
设备证书:发放给⽹络设备的数字证书,⽤以实现该设备所需的安全服务。
机构证书:向与应⽤系统互联的外部机构发放的证书,该证书的使⽤对象为机构。它解决的是⼈民银⾏信息系统与外部机构系统互联时,对所连接的机构实体进⾏认证的问题,⽽不针对这个机构中的具体操作⼈员,这也是业务数据交换的延伸超出了管辖范围情况下的⼀种解决办法。机构证书在应⽤系统中的具体表现形式为服务器证书。
证书责任⼈:个⼈证书的证书责任⼈是证书持有(使⽤)⼈;服务器、设备证书责任⼈是证书申请部门为该证书指定的证书管理责任⼈。
SSL (Security Socket Layer):即安全套接层协议,通信双⽅通过数字证书,建⽴数据传输安全通道的协议。
⾝份认证:验证⼀个主体⾝份的过程,即验证者根据被验证者提供的或拥有的⾝份鉴别信息⽤以确认其⾝份是否真实的过程。
数据保密性:信息具有的⼀种内在性质,这⼀性质要求信息不泄露给⾮授权的个⼈、实体或进程,不为其所⽤。
数据完整性:信息具有的⼀种内在性质,这⼀性质表明信息没有遭受以⾮授权⽅式所作的篡改或破坏。
数据防抵赖性:信息具有的⼀种内在性质,确保个⼈或设备不能否认其发送过的信息及交易,也称不可否认性。
2 CA系统及应⽤简介
⼈民银⾏内部CA系统(以下简称CA系统)作为⼈民银⾏的安全基础设施,为⼈民银⾏信息系统提供⾝份认证、防抵赖、数据完整性和数据保密性的安全服务。
根据CA系统运⾏和CA应⽤的实际需要,CA系统分为⽣产系统和测试系统两部分,下⾯对两系统分别进⾏介绍。 2.1⽣产系统
CA⽣产系统的体系结构如图1所⽰:
备注:
本条例⽣效时间为:2010.03.10,截⾄2022年仍然有效
最近更新:2021.01.03
发布评论