YC/T 327-2009
基本信息
标准号: YC/T 327-2009
中文名称:烟草行业数字证书应用接口规范
标准类别:烟草行业标准(YC)
标准状态:现行
发布日期:2009-12-14
实施日期:2010-03-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:14957466
标准分类号
标准ICS号:农业>>65.160烟草、烟草制品和烟草工业设备
中标分类号:食品>>制烟>>X89其他
关联标准
出版信息
出版社:中国标准出版社
页数:40页
标准价格:36.0 元
出版日期:2010-03-01
相关单位信息
起草单位:全国烟草标准化技术委员会信息分技术委员会(SAC/TC 144/SC 7)
发布部门:国家烟草专卖局
标准简介
YC/T 327-2009 烟草行业数字证书应用接口规范 YC/T327-2009 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS65.160
备案号:27104—2010
中华人民共和国烟草行业标准
YC/T327—2009
烟草行业数字证书应用接口规范Technical specification for digital certificate applicationinterfacetotobaccoindustry
2009-12-14发布
数码肪伪
国家烟草专卖局
2010-03-01实施
YC/T327—2009
规范性引用文件
术语和定义
缩略语
烟草行业数字证书格式与发布
烟草行业数字证书结构
烟草行业证书撤销列表结构
烟草行业数字证书特有扩展
烟草行业数字证书DN规则
用户证书与应用中身份的关联
烟草行业证书状态发布
烟草行业数字证书应用接口
烟草行业数字证书应用接口总体框架安全代理服务
数字签名服务
时间戳服务
在线证书状态服务
目录服务
安全审计服务
附录A(资料性附录)相关说明·A.1C/S模式安全通信的实现
A.2单点登录与身份认证
附录B(资料性附录)数字签名接口和安全审计接口规范B.1烟草行业证书签名客户端接口B.2
烟草行业证书数字签名服务设备端Java接口B.3
烟草行业证书数字签名服务设备.Net接口B.4
烟草行业安全审计服务Java接口8
本标准的附录A、附录B为资料性附录。本标准由国家烟草专卖局提出bZxz.net
YC/T327—2009
本标准由全国烟草标准化技术委员会信息分技术委员会(SAC/TC144/SC7)归口。本标准起草单位:国家烟草专卖局烟草经济信息中心。本标准主要起草人:张雪峰、王海清、刘东平、轩松岭、张萌、王翊心、李伟。1范围
烟草行业数学证书应用接口规范YC/T327—2009
本标准规定了烟草行业数字证书应用的总体框架与应用规范,描述了烟草行业与证书相关应用的技术要求。
本标准适用于烟草行业与数字证书相关应用的规划、设备招标、方案设计以及业务实施。规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB13000.1--1993信息技术通用多八位编码字符集(UCS)第一部分:体系结构与基本多文种平面(idtISO/IEC10646-1:1993)GB/T16264.2—2008
2005IDT)
GB/T16264.8-2005
IEC9594-8:2001,IDT)
GB/T19713--2005
GB/T19771-2005
GB/T20520--2006
IETFRFC2251
IETFRFC2246
3术语和定义
信息技术
信息技术
信息技术
开放系统互连
开放系统五连
安全技术
目录第2部分:模型(ISO/IEC9594-2目录
第8部分:公钥和属性证书框架(ISO)公钥基础设施
信息技术
安全技术公钥基础设施
在线证书状态协议
PKI组件最小互操作规范
信息安全技术公钥基础设施
时间截规范
轻量级目录访问协议(LDAPV3)安全传输层协议V1.0
GB/T16264.2、GB/T16264.8、GB/T19713、GB/T19771、GB/T20520、GB/T13000.1确立的以及下列术语和定义适用于本标准。3.1
公钥证书
publickeycertificate
用户的公钥连同其他信息,并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。[GB/T16264.82005,第3章]。
gcertificateauthority;CA
证书认证机构
负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。[GB/T16264.8--2005,第3章]。
certificaterevocationlist;CRL证书撤销列表
一个已标识的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。1
YC/T327—2009
注册机构
registrationauthority;RA
为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事机构或业务受理点。
目录服务directoryservice;DS分布在网络中的各种节点或服务器提供的分布式数据库服务。3.6
digitalsignature
数字签名
允许接收者验证签名人的身份和数据完整性的数据单元。3.7
时间戳timestamp
使用数字签名技术产生的数据,签名的对象包括了原始文件的信息、签名参数、签名时间等信息TSΛ对此对象进行数字签名产生时间戳,以证明原始文件在签名时间之前已经存在。3.8
时间戳机构
time stampauthority;TSA
用来产生和管理时间戳的权威机构。3.9
数字证书digitalcertificate
等同于3.1中定义的公钥证书。
根CArootCA
是个特殊的CA,位于证书认证层次结构的最高层。根CA的CA证书是自颁发证书。3.11
securitysocketlayer(SSL)protocol安全套接层协议
位于网络层协议(如TCP/IP)和应用程序协议层(如HTTP)之间的一种安全协议层。它能使客广与服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户进行认证。注:SSL目前最高版本为3.0.
安全传输层协议
transportlayersecurityprotocol是在SSL版本3.0基础上发展而来的一种安全协议,其目的和主要内容与SSL3.0相同。五联网工程任务组IETF(internetcnginceringtaskforce)已经将安全传输层协议标准化并正式发布,成为RFC2246标准。
注:安全传输层协议目前的最高版本为1.0。4缩略语
应用编程接口
证书认证机构
CRL分布点
证书撤销列表
可辨别名
轻量级目录访问协议
在线证书状态协议
对象标识符
公钥加密标准
公钥基础设施
注册机构
安全套接层
单点登录
安全传输层协议
时间截机构
统一资源标识符
统一资源定位符
烟草行业数字证书格式与发布
烟草行业数字证书结构
烟草行业数字证书结构应符合GB/T19771-2005中6.2定义的证书格式。证书字段包括:
版本号(Version);
证书序列号(SerialNumber);
颁发者签名算法(Signature);颁发者可辨别名(IssuerName);证书有效时间(Validity);
主体可辨别名(SubjectName);主体公钥信息(SubjcctPublicKeyInfo);证书扩展(Extensions);
权威密钥标识符(AuthorityKeyIdentifier):1)
主体密钥标识符(SubjectKeyIdentifier);密钥用法(KeyUsage);
基本限制(BasicConstraints);扩展密钥用法(ExtendedKeyUsagc);CRL分布点(CRLDistributionPoints)。5)
颁发者的签名(IssuersSignature)。)
烟草行业证书撤销列表结构
烟草行业CA通过定期发布证书撤销列表CRL来提供证书的状态信息。YC/T327-—2009
烟草行业证书撤销列表结构符合GB/T19771--2005中6.3定义的证书撤销列表格式证书撤销列表字段包括:
版本号(Version);
颁发者签名算法(Signature);颁发者可辨别名(IssuerName);本次更新(ThisUpdate);
下次更新(NcxtUpdate);
撤销的证书(RevokcdCcrtificates):1)
证书序列号(CertificateSerialNumber);撤销日期(RcvocationDate);CRLEntry扩展(CRLEntryExtensions)。3
YC/T327—2009
CRL扩展项(CRLExtensions);
颁发者的签名(Issuer'sSignature)。h)
5.3烟草行业数字证书特有扩展
烟草行业数字证书中定义了两个特有扩展:证书持有人职务、证书持有人编号。应用系统可根据扩展的OID从数字证书中获得对应的证书持有人的职务和编号。编码类型为GB13000.1·-1993定义的UTF8String格式。这两个扩展只在用户证书中出现。5.3.1证书持有人职务扩展定义见表1。表1证书持有人职务扩展定义
扩展名称
编码类型
5.3.2证书持有人编号扩展见表2。zhiwu
1. 3. 6.1. 4. 1.27971. 2.1.1UTF8String
2证书持有人编号扩展定义
扩展名称
编类型
烟草行业数象证书DN规则
烟草行业的谨书DN包括以下组成部分:bianhao
1. 3. 6. 1. 4.1. 27971.2.1. 2UTF8String
CN(CommonName),OU(OrganizationUnit)O(Organization),C(Country),其中的CN、OU字段均使用中文,O、C字段使用英文。编码类型为GB13000.1--1993定义的UTF8String格式。在何一个CN或OU的长度不能超过50个汉字或100个英文字符、数字。5.4.1根CADN规范见表3。
表3根CADN规范定义
烟草行业根CA
二级CADN规范见表4。
国家烟草专卖局CA
省级CA
用户证书DN规范见表5。
姓名·
处名称
科名称
部名称
科名称
Tobacco
二级CADN规范定义
Tobacco
5用户证书DN规范定义
司/局名称
处名称
烟厂名称
市公司名称
国家烟草专卖局
省级单位名称
a用户的姓名如有重名则应在末尾添加数字以作区分,例如:\CN=某用户1\。4
Tobacco
5.4.4服务器证书DN规范见表6。表6服务器证书DN规范定义
服务器域名或IP
国家烟草专卖局
省级单位名称
行业外用户证书DN规范见表7。
Tobacco
表7行业外用户证书DN规范定义
姓名·
单位全称
单位全称
行业外
行业外
国家烟草专卖局
省级单位名称
a用广的姓名如有重名则应在末尾添加数字以作区分,例如:“CN=某用户1”。5.5用户证书与应用中身份的关联o
Tobacco
YC/T327—2009
用户的数字证书是其身份的标识,用户在各个应用中的身份(用户名)应与该用户的数字证书进行关联,宜使用数字证书中的DN作为关联的首选要素。5.6烟草行业证书状态发布
当发现数字证书遗失或私钥失密时,证书持有者应向烟草行业CA提出证书注销申请,CA系统经过审核后将实施证书注销并发布该证书的废止状态,应用系统可通过CRL或OCSP两种模式进行证书状态查询。
5.6.1CRL模式
烟草行业CA系统通过二级CA系统(国家局CA和省级CA)定时发布本系统CRL到内网区主目录服务器上,通过目录服务器复制协议将主目录服务器上的数据复制到公共访问区的从目录服务器。应用系统通过RFC2251定义的轻量级目录访问协议(LDAPV3)访问公共区域的从目录服务器来获取最新的CRL,进行证书有效性判断。CRL模式的实现如图1所示。从目录服务器
二级CA系统
5.6.2OCSP模式
主目录服务器
从日录服务器
图1CRL模式示意图
烟草行业CA系统在二级CA系统(国家烟草专卖局CA和省级CA)区域提供OCSP服务,应用系统通过GB/T19713--2005定义的在线证书状态协议访问OCSP服务器,查询证书状态。OCSP模式的实现如图2所示。
YC/T327—2009
二级CA系统
数据库服务器
6烟草行业数字证书应用接口
OCSP系统
数据库服务器
图2OCSP模式示意图
6.1烟草行业数字证书应用接口总体框架烟草行业数字证书应用接口由数字证书应用的6个相关服务模块构成。OCSP服务器
OCSP服务器
烟草行业数字证书应用支撑平台提供了烟草行业数字证书应用的3个基础服务:安全代理服务,数字签名服务,时间戳服务。烟草行业数字证书签发服务平台提供了烟草行业数字证书应用的3个辅助性服务:目录服务,在线证书状态服务,安全审计服务。其中目录服务和在线证书状态服务是由应用系统通过标准接口进行访问,无需另行建设。烟草行业数字证书应用接口总体框架如图3所示。鉴于C/S模式安全通信和单点登录系统的复杂性,本标准不对这两类安全功能的实现作出强制性要求,相关说明见附录A。
应用系统
安全代理服务
目录服务
在线证书状态
数字签名服务
安全审计服务
图3烟草行业数字证书应用接口总体框架示意图6.1.1安全代理服务
时间戳服务
安全代理服务应用提供基于数字证书的可靠身份认证和数据加密传输的安全服务,宜实现身份认证和机密性的安全需求。安全代理服务通过在应用前端部署SSL安全代理服务设备来构建。6.1.2数字签名服务
数字签名服务为应用提供针对特定数据内容的数字签名和验证服务。宜实现数据的完整性和不可否认性安全需求。数字签名服务通过部署数字签名服务设备以及在应用中部署其相关API来构建。6
6.1.3时间截服务
YC/T327-2009
时间截机构给用户提供的颁发时间截服务,由用户提供文件或数据,时间戳机构给此文件或数据签发时间戳。时间截服务的功能是提供可靠的时间信息证据,以证明某个信息在某个时间(或以前)的存在,或证明某个操作发生的时间,宜实现数字信息与可信时间的不可伪造的拥绑。时间截服务通过部署时间截服务设备以及在应用中部署其相关API来构建。6.1.4目录服务
应用系统可从目录服务器中查询或者获取到任何公开的证书,并可通过该服务获取由CA发布的,最新的证书撤销列表CRL文件,从而实现证书状态的检查。6.1.5在线证书状态服务
应用系统可通过在线证书状态协议实时查询证书的状态。6.1.6安全审计服务
安全审计服务提供应用安全审计日志的收集和分析工作,应用在进行数字证书相关操作的时候,通过安全审计服务接口将审计日志报送至安全审计服务。6.2安全代理服务
6.2.1安全代理服务的实现
安全代理服务通过部署SSL安全代理服务设备来实现。SSL安全代理服务设备部署在客户端(浏览器)与后台的应用服务器之间,起到了对应用服务器的反向代理作用,有效地保护了应用服务器。用户的浏览器与SSL安全代理服务设备之间使用数字证书进行可靠的身份认证,并建立加密的通道,来自用户的访问通过SSL安全代理服务设备安全地到达后台的应用服务器。SSL安全代理服务设备根据配置,向后台的应用服务器传递用户证书的信息。安全代理服务的实现如图4所示。HTTP通道
客户端
(浏览器)
SSL通道
(HTTPS)
安全代理
服务设备
证书撤销列表CRI
H录服务
HTTP通道
证书信息
图4SSL安全代理服务应用示意图SSL安全代理服务设备应进行如下配置:应用服务器
为SSL安全代理服务设备申请服务器证书。从SSL安全代理服务设备属地的CA中心申请a)
服务器证书,服务器证书DN中的CN应是域名或SSL安全代理服务设备的IP地址。b)
将请求客户端证书配置为强制方式,即必须提供客端证书;并应配置颁发客户端证书的CA的根证书以建立进行客户端证书验证时的CA信任域。如果应用需要获得建立SSL连接的客户端证书信息,还应配置向应用服务器传递证书信息的方式和参数。7
YC/T327—2009
在SSL安全代理服务设备CA信任域配置CA根证书。c)
为SSL安全代理服务设备进行网络配置。SSL安全代理服务设备对外提供服务的IP地址就d)
是原来应用服务器对外提供服务的IP地址,域名对应的也是这个IP地址。SSL安全代理服务设备使用443端口提供SSL服务,防火墙上要允许来自外部的443端口访问。e)
配置SSL安全代理服务设备的访问控制列表,设定必须通过SSL以及客户证书认证才能访问的资源列表。
配置下载CRL所需的CA中心的LDAP目录服务的IP地址和服务端口,确保SSL安全代理f)
服务设备能够获得CA发布的CRL。g)配置后台需要代理的应用服务器地址和端口,使之能够转发客户端的请求报文。SSL安全代理服务设备可为多个应用提供共享的安全服务。在多个应用需要不同的外部域名或IP时,应在SSL安全代理服务设备内部配置针对每个域名或IP的SSL服务器证书。安全代理服务应用接口
SSL安全代理服务设备将根据配置,将用户数字证书的域值作为一个字符串加人HTTPURL参数或HTTPHEADER参数并向应用服务器传递。后传证书信息包括:
a)主体可辨别名(SubjcctName);颁发者可辨别名(IssuerName);b)
证书序列号(SerialNumber);
d)证书有效时间(Validity)。应用服务器从HTTPURL或HTTPHEADER中获取SSL安全代理服务设备传递来的用户证书信息,进行用户身份认证,判断用户的身份信息,确认用户数字证书的有效期,从而进行后续的访问权限判断、证书有效期人机提示和日志记录。6.3数字签名服务
6.3.1数字签名服务的实现
数字签名服务通过部署数字签名服务设备,数字签名服务设备API和数字签名客户端API来实现。
数字签名客户端API供应用客户端调用;数字签名服务设备API供应用服务器调用,负责将应用中接收到的签名数据发送到数字签名服务设备中,并接收数字签名服务设备的验证结果返回给应用;数字签名服务设备接收签名API发送的签名数据,对签名数据和签名证书进行有效性验证,并返回验证结果。数字签名服务的实现如图5所示。浏览器
数字签名
客户端
应用服务器
数字签名
服务设备
图5数字签名服务应用示意图
数字签名
服务设备
证书撤销列表CRI
H录服务
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
备案号:27104—2010
中华人民共和国烟草行业标准
YC/T327—2009
烟草行业数字证书应用接口规范Technical specification for digital certificate applicationinterfacetotobaccoindustry
2009-12-14发布
数码肪伪
国家烟草专卖局
2010-03-01实施
YC/T327—2009
规范性引用文件
术语和定义
缩略语
烟草行业数字证书格式与发布
烟草行业数字证书结构
烟草行业证书撤销列表结构
烟草行业数字证书特有扩展
烟草行业数字证书DN规则
用户证书与应用中身份的关联
烟草行业证书状态发布
烟草行业数字证书应用接口
烟草行业数字证书应用接口总体框架安全代理服务
数字签名服务
时间戳服务
在线证书状态服务
目录服务
安全审计服务
附录A(资料性附录)相关说明·A.1C/S模式安全通信的实现
A.2单点登录与身份认证
附录B(资料性附录)数字签名接口和安全审计接口规范B.1烟草行业证书签名客户端接口B.2
烟草行业证书数字签名服务设备端Java接口B.3
烟草行业证书数字签名服务设备.Net接口B.4
烟草行业安全审计服务Java接口8
本标准的附录A、附录B为资料性附录。本标准由国家烟草专卖局提出bZxz.net
YC/T327—2009
本标准由全国烟草标准化技术委员会信息分技术委员会(SAC/TC144/SC7)归口。本标准起草单位:国家烟草专卖局烟草经济信息中心。本标准主要起草人:张雪峰、王海清、刘东平、轩松岭、张萌、王翊心、李伟。1范围
烟草行业数学证书应用接口规范YC/T327—2009
本标准规定了烟草行业数字证书应用的总体框架与应用规范,描述了烟草行业与证书相关应用的技术要求。
本标准适用于烟草行业与数字证书相关应用的规划、设备招标、方案设计以及业务实施。规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB13000.1--1993信息技术通用多八位编码字符集(UCS)第一部分:体系结构与基本多文种平面(idtISO/IEC10646-1:1993)GB/T16264.2—2008
2005IDT)
GB/T16264.8-2005
IEC9594-8:2001,IDT)
GB/T19713--2005
GB/T19771-2005
GB/T20520--2006
IETFRFC2251
IETFRFC2246
3术语和定义
信息技术
信息技术
信息技术
开放系统互连
开放系统五连
安全技术
目录第2部分:模型(ISO/IEC9594-2目录
第8部分:公钥和属性证书框架(ISO)公钥基础设施
信息技术
安全技术公钥基础设施
在线证书状态协议
PKI组件最小互操作规范
信息安全技术公钥基础设施
时间截规范
轻量级目录访问协议(LDAPV3)安全传输层协议V1.0
GB/T16264.2、GB/T16264.8、GB/T19713、GB/T19771、GB/T20520、GB/T13000.1确立的以及下列术语和定义适用于本标准。3.1
公钥证书
publickeycertificate
用户的公钥连同其他信息,并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。[GB/T16264.82005,第3章]。
gcertificateauthority;CA
证书认证机构
负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。[GB/T16264.8--2005,第3章]。
certificaterevocationlist;CRL证书撤销列表
一个已标识的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。1
YC/T327—2009
注册机构
registrationauthority;RA
为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事机构或业务受理点。
目录服务directoryservice;DS分布在网络中的各种节点或服务器提供的分布式数据库服务。3.6
digitalsignature
数字签名
允许接收者验证签名人的身份和数据完整性的数据单元。3.7
时间戳timestamp
使用数字签名技术产生的数据,签名的对象包括了原始文件的信息、签名参数、签名时间等信息TSΛ对此对象进行数字签名产生时间戳,以证明原始文件在签名时间之前已经存在。3.8
时间戳机构
time stampauthority;TSA
用来产生和管理时间戳的权威机构。3.9
数字证书digitalcertificate
等同于3.1中定义的公钥证书。
根CArootCA
是个特殊的CA,位于证书认证层次结构的最高层。根CA的CA证书是自颁发证书。3.11
securitysocketlayer(SSL)protocol安全套接层协议
位于网络层协议(如TCP/IP)和应用程序协议层(如HTTP)之间的一种安全协议层。它能使客广与服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户进行认证。注:SSL目前最高版本为3.0.
安全传输层协议
transportlayersecurityprotocol是在SSL版本3.0基础上发展而来的一种安全协议,其目的和主要内容与SSL3.0相同。五联网工程任务组IETF(internetcnginceringtaskforce)已经将安全传输层协议标准化并正式发布,成为RFC2246标准。
注:安全传输层协议目前的最高版本为1.0。4缩略语
应用编程接口
证书认证机构
CRL分布点
证书撤销列表
可辨别名
轻量级目录访问协议
在线证书状态协议
对象标识符
公钥加密标准
公钥基础设施
注册机构
安全套接层
单点登录
安全传输层协议
时间截机构
统一资源标识符
统一资源定位符
烟草行业数字证书格式与发布
烟草行业数字证书结构
烟草行业数字证书结构应符合GB/T19771-2005中6.2定义的证书格式。证书字段包括:
版本号(Version);
证书序列号(SerialNumber);
颁发者签名算法(Signature);颁发者可辨别名(IssuerName);证书有效时间(Validity);
主体可辨别名(SubjectName);主体公钥信息(SubjcctPublicKeyInfo);证书扩展(Extensions);
权威密钥标识符(AuthorityKeyIdentifier):1)
主体密钥标识符(SubjectKeyIdentifier);密钥用法(KeyUsage);
基本限制(BasicConstraints);扩展密钥用法(ExtendedKeyUsagc);CRL分布点(CRLDistributionPoints)。5)
颁发者的签名(IssuersSignature)。)
烟草行业证书撤销列表结构
烟草行业CA通过定期发布证书撤销列表CRL来提供证书的状态信息。YC/T327-—2009
烟草行业证书撤销列表结构符合GB/T19771--2005中6.3定义的证书撤销列表格式证书撤销列表字段包括:
版本号(Version);
颁发者签名算法(Signature);颁发者可辨别名(IssuerName);本次更新(ThisUpdate);
下次更新(NcxtUpdate);
撤销的证书(RevokcdCcrtificates):1)
证书序列号(CertificateSerialNumber);撤销日期(RcvocationDate);CRLEntry扩展(CRLEntryExtensions)。3
YC/T327—2009
CRL扩展项(CRLExtensions);
颁发者的签名(Issuer'sSignature)。h)
5.3烟草行业数字证书特有扩展
烟草行业数字证书中定义了两个特有扩展:证书持有人职务、证书持有人编号。应用系统可根据扩展的OID从数字证书中获得对应的证书持有人的职务和编号。编码类型为GB13000.1·-1993定义的UTF8String格式。这两个扩展只在用户证书中出现。5.3.1证书持有人职务扩展定义见表1。表1证书持有人职务扩展定义
扩展名称
编码类型
5.3.2证书持有人编号扩展见表2。zhiwu
1. 3. 6.1. 4. 1.27971. 2.1.1UTF8String
2证书持有人编号扩展定义
扩展名称
编类型
烟草行业数象证书DN规则
烟草行业的谨书DN包括以下组成部分:bianhao
1. 3. 6. 1. 4.1. 27971.2.1. 2UTF8String
CN(CommonName),OU(OrganizationUnit)O(Organization),C(Country),其中的CN、OU字段均使用中文,O、C字段使用英文。编码类型为GB13000.1--1993定义的UTF8String格式。在何一个CN或OU的长度不能超过50个汉字或100个英文字符、数字。5.4.1根CADN规范见表3。
表3根CADN规范定义
烟草行业根CA
二级CADN规范见表4。
国家烟草专卖局CA
省级CA
用户证书DN规范见表5。
姓名·
处名称
科名称
部名称
科名称
Tobacco
二级CADN规范定义
Tobacco
5用户证书DN规范定义
司/局名称
处名称
烟厂名称
市公司名称
国家烟草专卖局
省级单位名称
a用户的姓名如有重名则应在末尾添加数字以作区分,例如:\CN=某用户1\。4
Tobacco
5.4.4服务器证书DN规范见表6。表6服务器证书DN规范定义
服务器域名或IP
国家烟草专卖局
省级单位名称
行业外用户证书DN规范见表7。
Tobacco
表7行业外用户证书DN规范定义
姓名·
单位全称
单位全称
行业外
行业外
国家烟草专卖局
省级单位名称
a用广的姓名如有重名则应在末尾添加数字以作区分,例如:“CN=某用户1”。5.5用户证书与应用中身份的关联o
Tobacco
YC/T327—2009
用户的数字证书是其身份的标识,用户在各个应用中的身份(用户名)应与该用户的数字证书进行关联,宜使用数字证书中的DN作为关联的首选要素。5.6烟草行业证书状态发布
当发现数字证书遗失或私钥失密时,证书持有者应向烟草行业CA提出证书注销申请,CA系统经过审核后将实施证书注销并发布该证书的废止状态,应用系统可通过CRL或OCSP两种模式进行证书状态查询。
5.6.1CRL模式
烟草行业CA系统通过二级CA系统(国家局CA和省级CA)定时发布本系统CRL到内网区主目录服务器上,通过目录服务器复制协议将主目录服务器上的数据复制到公共访问区的从目录服务器。应用系统通过RFC2251定义的轻量级目录访问协议(LDAPV3)访问公共区域的从目录服务器来获取最新的CRL,进行证书有效性判断。CRL模式的实现如图1所示。从目录服务器
二级CA系统
5.6.2OCSP模式
主目录服务器
从日录服务器
图1CRL模式示意图
烟草行业CA系统在二级CA系统(国家烟草专卖局CA和省级CA)区域提供OCSP服务,应用系统通过GB/T19713--2005定义的在线证书状态协议访问OCSP服务器,查询证书状态。OCSP模式的实现如图2所示。
YC/T327—2009
二级CA系统
数据库服务器
6烟草行业数字证书应用接口
OCSP系统
数据库服务器
图2OCSP模式示意图
6.1烟草行业数字证书应用接口总体框架烟草行业数字证书应用接口由数字证书应用的6个相关服务模块构成。OCSP服务器
OCSP服务器
烟草行业数字证书应用支撑平台提供了烟草行业数字证书应用的3个基础服务:安全代理服务,数字签名服务,时间戳服务。烟草行业数字证书签发服务平台提供了烟草行业数字证书应用的3个辅助性服务:目录服务,在线证书状态服务,安全审计服务。其中目录服务和在线证书状态服务是由应用系统通过标准接口进行访问,无需另行建设。烟草行业数字证书应用接口总体框架如图3所示。鉴于C/S模式安全通信和单点登录系统的复杂性,本标准不对这两类安全功能的实现作出强制性要求,相关说明见附录A。
应用系统
安全代理服务
目录服务
在线证书状态
数字签名服务
安全审计服务
图3烟草行业数字证书应用接口总体框架示意图6.1.1安全代理服务
时间戳服务
安全代理服务应用提供基于数字证书的可靠身份认证和数据加密传输的安全服务,宜实现身份认证和机密性的安全需求。安全代理服务通过在应用前端部署SSL安全代理服务设备来构建。6.1.2数字签名服务
数字签名服务为应用提供针对特定数据内容的数字签名和验证服务。宜实现数据的完整性和不可否认性安全需求。数字签名服务通过部署数字签名服务设备以及在应用中部署其相关API来构建。6
6.1.3时间截服务
YC/T327-2009
时间截机构给用户提供的颁发时间截服务,由用户提供文件或数据,时间戳机构给此文件或数据签发时间戳。时间截服务的功能是提供可靠的时间信息证据,以证明某个信息在某个时间(或以前)的存在,或证明某个操作发生的时间,宜实现数字信息与可信时间的不可伪造的拥绑。时间截服务通过部署时间截服务设备以及在应用中部署其相关API来构建。6.1.4目录服务
应用系统可从目录服务器中查询或者获取到任何公开的证书,并可通过该服务获取由CA发布的,最新的证书撤销列表CRL文件,从而实现证书状态的检查。6.1.5在线证书状态服务
应用系统可通过在线证书状态协议实时查询证书的状态。6.1.6安全审计服务
安全审计服务提供应用安全审计日志的收集和分析工作,应用在进行数字证书相关操作的时候,通过安全审计服务接口将审计日志报送至安全审计服务。6.2安全代理服务
6.2.1安全代理服务的实现
安全代理服务通过部署SSL安全代理服务设备来实现。SSL安全代理服务设备部署在客户端(浏览器)与后台的应用服务器之间,起到了对应用服务器的反向代理作用,有效地保护了应用服务器。用户的浏览器与SSL安全代理服务设备之间使用数字证书进行可靠的身份认证,并建立加密的通道,来自用户的访问通过SSL安全代理服务设备安全地到达后台的应用服务器。SSL安全代理服务设备根据配置,向后台的应用服务器传递用户证书的信息。安全代理服务的实现如图4所示。HTTP通道
客户端
(浏览器)
SSL通道
(HTTPS)
安全代理
服务设备
证书撤销列表CRI
H录服务
HTTP通道
证书信息
图4SSL安全代理服务应用示意图SSL安全代理服务设备应进行如下配置:应用服务器
为SSL安全代理服务设备申请服务器证书。从SSL安全代理服务设备属地的CA中心申请a)
服务器证书,服务器证书DN中的CN应是域名或SSL安全代理服务设备的IP地址。b)
将请求客户端证书配置为强制方式,即必须提供客端证书;并应配置颁发客户端证书的CA的根证书以建立进行客户端证书验证时的CA信任域。如果应用需要获得建立SSL连接的客户端证书信息,还应配置向应用服务器传递证书信息的方式和参数。7
YC/T327—2009
在SSL安全代理服务设备CA信任域配置CA根证书。c)
为SSL安全代理服务设备进行网络配置。SSL安全代理服务设备对外提供服务的IP地址就d)
是原来应用服务器对外提供服务的IP地址,域名对应的也是这个IP地址。SSL安全代理服务设备使用443端口提供SSL服务,防火墙上要允许来自外部的443端口访问。e)
配置SSL安全代理服务设备的访问控制列表,设定必须通过SSL以及客户证书认证才能访问的资源列表。
配置下载CRL所需的CA中心的LDAP目录服务的IP地址和服务端口,确保SSL安全代理f)
服务设备能够获得CA发布的CRL。g)配置后台需要代理的应用服务器地址和端口,使之能够转发客户端的请求报文。SSL安全代理服务设备可为多个应用提供共享的安全服务。在多个应用需要不同的外部域名或IP时,应在SSL安全代理服务设备内部配置针对每个域名或IP的SSL服务器证书。安全代理服务应用接口
SSL安全代理服务设备将根据配置,将用户数字证书的域值作为一个字符串加人HTTPURL参数或HTTPHEADER参数并向应用服务器传递。后传证书信息包括:
a)主体可辨别名(SubjcctName);颁发者可辨别名(IssuerName);b)
证书序列号(SerialNumber);
d)证书有效时间(Validity)。应用服务器从HTTPURL或HTTPHEADER中获取SSL安全代理服务设备传递来的用户证书信息,进行用户身份认证,判断用户的身份信息,确认用户数字证书的有效期,从而进行后续的访问权限判断、证书有效期人机提示和日志记录。6.3数字签名服务
6.3.1数字签名服务的实现
数字签名服务通过部署数字签名服务设备,数字签名服务设备API和数字签名客户端API来实现。
数字签名客户端API供应用客户端调用;数字签名服务设备API供应用服务器调用,负责将应用中接收到的签名数据发送到数字签名服务设备中,并接收数字签名服务设备的验证结果返回给应用;数字签名服务设备接收签名API发送的签名数据,对签名数据和签名证书进行有效性验证,并返回验证结果。数字签名服务的实现如图5所示。浏览器
数字签名
客户端
应用服务器
数字签名
服务设备
图5数字签名服务应用示意图
数字签名
服务设备
证书撤销列表CRI
H录服务
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。