YC/T 327-2009 烟草行业数字证书应用接口规范

犐犆犛６５．１６０

犡８９

备案号：—

２７１０４２０１０

中华人民共和国烟草行业标准

／—

犢犆犜３２７２００９

烟草行业数字证书应用接口规范

犜犲犮犺狀犻犮犪犾狊犲犮犻犳犻犮犪狋犻狅狀犳狅狉犱犻犻狋犪犾犮犲狉狋犻犳犻犮犪狋犲犪犾犻犮犪狋犻狅狀

狆犵狆狆

犻狀狋犲狉犳犪犮犲狋狅狋狅犫犪犮犮狅犻狀犱狌狊狋狉

ㅤㅤㅤㅤ狔

２００９１２１４发布２０１００３０１实施

国家烟草专卖局发布

／—

犢犆犜３２７２００９

目次

前言Ⅰ

１范围１

２规范性引用文件１

３术语和定义１

４缩略语２

５烟草行业数字证书格式与发布３

５．１烟草行业数字证书结构３

５．２烟草行业证书撤销列表结构３

５．３烟草行业数字证书特有扩展４

５．４烟草行业数字证书ＤＮ规则４

５．５用户证书与应用中身份的关联５

５．６烟草行业证书状态发布５

６烟草行业数字证书应用接口６

６．１烟草行业数字证书应用接口总体框架６

６．２安全代理服务７

６．３数字签名服务８

时间戳服务ㅤㅤㅤㅤ

６．４９

６．５在线证书状态服务１０

６．６目录服务１０

６．７安全审计服务１０

附录（资料性附录）相关说明

Ａ１２

／模式安全通信的实现

Ａ．１ＣＳ１２

Ａ．２单点登录与身份认证１２

附录（资料性附录）数字签名接口和安全审计接口规范

Ｂ１３

Ｂ．１烟草行业证书签名客户端接口１３

Ｂ．２烟草行业证书数字签名服务设备端Ｊａｖａ接口１７

Ｂ．３烟草行业证书数字签名服务设备．Ｎｅｔ接口２５

Ｂ．４烟草行业安全审计服务Ｊａｖａ接口３３

／—

犢犆犜３２７２００９

烟草行业数字证书应用接口规范

１范围

本标准规定了烟草行业数字证书应用的总体框架与应用规范，描述了烟草行业与证书相关应用的

技术要求。

本标准适用于烟草行业与数字证书相关应用的规划、设备招标、方案设计以及业务实施。

２规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有

的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

—信息技术通用多八位编码字符集（）第一部分：体系结构与基本多文

ＧＢ１３０００．１１９９３ＵＣＳ

种平面（／：）

ｉｄｔＩＳＯＩＥＣ１０６４６１１９９３

／—信息技术开放系统互连目录第部分：模型（／—

ＧＢＴ１６２６４．２２００８２ＩＳＯＩＥＣ９５９４２

，）

２００５ＩＤＴ

／—信息技术开放系统互连目录第部分：公钥和属性证书框架（／

ＧＢＴ１６２６４．８２００５８ＩＳＯ

：，）

ＩＥＣ９５９４８２００１ＩＤＴ

ㅤㅤㅤㅤ

／—信息技术安全技术公钥基础设施在线证书状态协议

ＧＢＴ１９７１３２００５

／—信息技术安全技术公钥基础设施组件最小互操作规范

ＧＢＴ１９７７１２００５ＰＫＩ

／—信息安全技术公钥基础设施时间戳规范

ＧＢＴ２０５２０２００６

轻量级目录访问协议（）

ＩＥＴＦＲＦＣ２２５１ＬＤＡＰＶ３

ＩＥＴＦＲＦＣ２２４６安全传输层协议Ｖ１．０

３术语和定义

／、／、／、／、／、／确立的以

ＧＢＴ１６２６４．２ＧＢＴ１６２６４．８ＧＢＴ１９７１３ＧＢＴ１９７７１ＧＢＴ２０５２０ＧＢＴ１３０００．１

及下列术语和定义适用于本标准。

３．１

公钥证书狌犫犾犻犮犽犲犮犲狉狋犻犳犻犮犪狋犲

狆狔

用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。

［／—，第章］。

ＧＢＴ１６２６４．８２００５３

３．２

证书认证机构犮犲狉狋犻犳犻犮犪狋犲犪狌狋犺狅狉犻狋；

犆犃

狔

负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。

［／—，第章］。

ＧＢＴ１６２６４．８２００５３

３．３

证书撤销列表；

犮犲狉狋犻犳犻犮犪狋犲狉犲狏狅犮犪狋犻狅狀犾犻狊狋犆犚犔

一个已标识的列表，它指定了一套证书发布者认为无效的证书。除了普通ＣＲＬ外，还定义了一些

特殊的ＣＲＬ类型用于覆盖特殊领域的ＣＲＬ。

１

／—

犢犆犜３２７２００９

３．４

注册机构；

狉犲犻狊狋狉犪狋犻狅狀犪狌狋犺狅狉犻狋犚犃

犵狔

为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事机

构或业务受理点。

３．５

目录服务；

犱犻狉犲犮狋狅狉狊犲狉狏犻犮犲犇犛

狔

分布在网络中的各种节点或服务器提供的分布式数据库服务。

３．６

数字签名犱犻犻狋犪犾狊犻狀犪狋狌狉犲

犵犵

允许接收者验证签名人的身份和数据完整性的数据单元。

３．７

时间戳狋犻犿犲狊狋犪犿

狆

使用数字签名技术产生的数据，签名的对象包括了原始文件的信息、签名参数、签名时间等信息。

ＴＳＡ对此对象进行数字签名产生时间戳，以证明原始文件在签名时间之前已经存在。

３．８

时间戳机构；

狋犻犿犲狊狋犪犿犪狌狋犺狅狉犻狋犜犛犃

狆狔

用来产生和管理时间戳的权威机构。

３．９

数字证书犱犻犻狋犪犾犮犲狉狋犻犳犻犮犪狋犲

犵

等同于３．１中定义的公钥证书。

３．１０

ㅤㅤㅤㅤ

根犆犃狉狅狅狋犆犃

是一个特殊的，位于证书认证层次结构的最高层。根的证书是自颁发证书。

ＣＡＣＡＣＡ

３．１１

安全套接层协议（）狉狅狋狅犮狅犾

狊犲犮狌狉犻狋狊狅犮犽犲狋犾犪犲狉犛犛犔

狔狔狆

位于网络层协议（如／）和应用程序协议层（如）之间的一种安全协议层。它能使客户

ＴＣＰＩＰＨＴＴＰ

与服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。

注：目前最高版本为。

ＳＳＬ３．０

３．１２

安全传输层协议狋狉犪狀狊狅狉狋犾犪犲狉狊犲犮狌狉犻狋狉狅狋狅犮狅犾

狆狔狔狆

是在ＳＳＬ版本３．０基础上发展而来的一种安全协议，其目的和主要内容与ＳＳＬ３．０相同。互联网

工程任务组（）已经将安全传输层协议标准化并正式发布，成为

ＩＥＴＦｉｎｔｅｒｎｅｔｅｎｉｎｅｅｒｉｎｔａｓｋｆｏｒｃｅ

ｇｇ

ＲＦＣ２２４６标准。

注：安全传输层协议目前的最高版本为１．０。

４缩略语

ＡＰＩ应用编程接口

ＣＡ证书认证机构

ＣＤＰＣＲＬ分布点

ＣＲＬ证书撤销列表

ＤＮ可辨别名

ＬＤＡＰ轻量级目录访问协议

ＯＣＳＰ在线证书状态协议

２

／—

犢犆犜３２７２００９

ＯＩＤ对象标识符

ＰＫＣＳ公钥加密标准

ＰＫＩ公钥基础设施

ＲＡ注册机构

ＳＳＬ安全套接层

ＳＳＯ单点登录

ＴＬＳ安全传输层协议

ＴＳＡ时间戳机构

ＵＲＩ统一资源标识符

ＵＲＬ统一资源定位符

５烟草行业数字证书格式与发布

５．１烟草行业数字证书结构

烟草行业数字证书结构应符合／—中定义的证书格式。

ＧＢＴ１９７７１２００５６．２

证书字段包括：

）版本号（）；

ａＶｅｒｓｉｏｎ

）证书序列号（）；

ｂＳｅｒｉａｌＮｕｍｂｅｒ

）颁发者签名算法（）；

ｃＳｉｎａｔｕｒｅ

ｇ

）颁发者可辨别名（）；

ｄＩｓｓｕｅｒＮａｍｅ

）证书有效时间（）；

ｅＶａｌｉｄｉｔ

ｙ

）主体可辨别名（）；

ｆＳｕｂｅｃｔＮａｍｅ

ｊ

ㅤㅤㅤㅤ

）主体公钥信息（）；

ＳｕｂｅｃｔＰｕｂｌｉｃＫｅＩｎｆｏ

ｇｊｙ

）证书扩展（）；

ｈＥｘｔｅｎｓｉｏｎｓ

）权威密钥标识符（）：

ｉＡｕｔｈｏｒｉｔＫｅＩｄｅｎｔｉｆｉｅｒ

ｙｙ

）主体密钥标识符（）；

１ＳｕｂｅｃｔＫｅＩｄｅｎｔｉｆｉｅｒ

ｊｙ

）密钥用法（）；

２ＫｅＵｓａｅ

ｙｇ

）基本限制（）；

３ＢａｓｉｃＣｏｎｓｔｒａｉｎｔｓ

）扩展密钥用法（）；

４ＥｘｔｅｎｄｅｄＫｅＵｓａｅ

ｙｇ

）分布点（）。

５ＣＲＬＣＲＬＤｉｓｔｒｉｂｕｔｉｏｎＰｏｉｎｔｓ

）颁发者的签名（’）。

ＩｓｓｕｅｒｓＳｉｎａｔｕｒｅ

ｊｇ

５．２烟草行业证书撤销列表结构

烟草行业ＣＡ通过定期发布证书撤销列表ＣＲＬ来提供证书的状态信息。

烟草行业证书撤销列表结构符合／—中定义的证书撤销列表格式。

ＧＢＴ１９７７１２００５６．３

证书撤销列表字段包括：

）版本号（）；

ａＶｅｒｓｉｏｎ

）颁发者签名算法（）；

ｂＳｉｎａｔｕｒｅ

ｇ

）颁发者可辨别名（）；

ｃＩｓｓｕｅｒＮａｍｅ

）本次更新（）；

ｄＴｈｉｓＵｄａｔｅ

ｐ

）下次更新（）；

ｅＮｅｘｔＵｄａｔｅ

ｐ

）撤销的证书（）：

ｆＲｅｖｏｋｅｄＣｅｒｔｉｆｉｃａｔｅｓ

）证书序列号（）；

１ＣｅｒｔｉｆｉｃａｔｅＳｅｒｉａｌＮｕｍｂｅｒ

）撤销日期（）；

２ＲｅｖｏｃａｔｉｏｎＤａｔｅ

）扩展（）。

３ＣＲＬＥｎｔｒＣＲＬＥｎｔｒＥｘｔｅｎｓｉｏｎｓ

ｙｙ

３

／—

犢犆犜３２７２００９

）扩展项（）；

ＣＲＬＣＲＬＥｘｔｅｎｓｉｏｎｓ

ｇ

）颁发者的签名（’）。

ｈＩｓｓｕｅｒｓＳｉｎａｔｕｒｅ

ｇ

５．３烟草行业数字证书特有扩展

烟草行业数字证书中定义了两个特有扩展：证书持有人职务、证书持有人编号。应用系统可根据扩

展的从数字证书中获得对应的证书持有人的职务和编号。编码类型为—定义的

ＯＩＤＧＢ１３０００．１１９９３

ＵＴＦ８Ｓｔｒｉｎｇ格式。这两个扩展只在用户证书中出现。

证书持有人职务扩展定义见表。

５．３．１１

表１证书持有人职务扩展定义

扩展名称ｚｈｉｗｕ

ＯＩＤ１．３．６．１．４．１．２７９７１．２．１．１

编码类型ＵＴＦ８Ｓｔｒｉｎｇ

证书持有人编号扩展见表。

５．３．２２

表２证书持有人编号扩展定义

扩展名称ｂｉａｎｈａｏ

ＯＩＤ１．３．６．１．４．１．２７９７１．２．１．２

编码类型ＵＴＦ８Ｓｔｒｉｎｇ

５．４烟草行业数字证书犇犖规则

烟草行业的证书ＤＮ包括以下组成部分：

（），（），（），（）。

ＣＮＣｏｍｍｏｎＮａｍｅＯＵＯｒａｎｉｚａｔｉｏｎＵｎｉｔＯＯｒａｎｉｚａｔｉｏｎＣＣｏｕｎｔｒ

ｇｇｙ

ㅤㅤㅤㅤ

其中的、字段均使用中文，、字段使用英文。编码类型为—定义的

ＣＮＯＵＯＣＧＢ１３０００．１１９９３

格式。任何一个或的长度不能超过个汉字或个英文字符、数字。

ＵＴＦ８ＳｔｒｉｎｇＣＮＯＵ５０１００

根规范见表。

５．４．１ＣＡＤＮ３

表根规范定义

３犆犃犇犖

ＣＮＯＣ

烟草行业根ＣＡＴｏｂａｃｃｏＣＮ

二级规范见表。

５．４．２ＣＡＤＮ４

表４二级犆犃犇犖规范定义

ＣＮＯＣ

国家烟草专卖局ＣＡ

ＴｏｂａｃｃｏＣＮ

省级ＣＡ

用户证书规范见表。

５．４．３ＤＮ５

表５用户证书犇犖规范定义

ＣＮＯＵＯＵＯＵＯＣ

处名称司／局名称国家烟草专卖局

科名称处名称

姓名ａＴｏｂａｃｃｏＣＮ

部名称烟厂名称省级单位名称

科名称市公司名称

ａ用户的姓名如有重名则应在末尾添加数字以作区分，例如：“某用户”。

ＣＮ＝１

４

／—

犢犆犜３２７２００９

服务器证书规范见表。

５．４．４ＤＮ６

表６服务器证书犇犖规范定义

ＣＮＯＵＯＣ

国家烟草专卖局

服务器域名或ＩＰＴｏｂａｃｃｏＣＮ

省级单位名称

行业外用户证书规范见表。

５．４．５ＤＮ７

表７行业外用户证书犇犖规范定义

ＣＮＯＵＯＵＯＵＯＣ

单位全称行业外国家烟草专卖局

姓名ａＴｏｂａｃｃｏＣＮ

单位全称行业外省级单位名称

ａ用户的姓名如有重名则应在末尾添加数字以作区分，例如：“某用户”。

ＣＮ＝１

５．５用户证书与应用中身份的关联

用户的数字证书是其身份的标识，用户在各个应用中的身份（用户名）应与该用户的数字证书进行

关联，宜使用数字证书中的ＤＮ作为关联的首选要素。

５．６烟草行业证书状态发布

当发现数字证书遗失或私钥失密时，证书持有者应向烟草行业提出证书注销申请，系统经

ＣＡＣＡ

过审核后将实施证书注销并发布该证书的废止状态，应用系统可通过或两种模式进行证书

ＣＲＬＯＣＳＰ

状态查询。

ㅤㅤㅤㅤ

５．６．１犆犚犔模式

烟草行业系统通过二级系统（国家局和省级）定时发布本系统到内网区主目

ＣＡＣＡＣＡＣＡＣＲＬ

录服务器上，通过目录服务器复制协议将主目录服务器上的数据复制到公共访问区的从目录服务器。

应用系统通过定义的轻量级目录访问协议（）访问公共区域的从目录服务器来获取

ＲＦＣ２２５１ＬＤＡＰＶ３

最新的，进行证书有效性判断。模式的实现如图所示。

ＣＲＬＣＲＬ１

图１犆犚犔模式示意图

５．６．２犗犆犛犘模式

烟草行业系统在二级系统（国家烟草专卖局和省级）区域提供服务，应用系

ＣＡＣＡＣＡＣＡＯＣＳＰ

统通过／—定义的在线证书状态协议访问服务器，查询证书状态。模式

ＧＢＴ１９７１３２００５ＯＣＳＰＯＣＳＰ

的实现如图所示。

２

５

／—

犢犆犜３２７２００９

图２犗犆犛犘模式示意图

６烟草行业数字证书应用接口

６．１烟草行业数字证书应用接口总体框架

烟草行业数字证书应用接口由数字证书应用的个相关服务模块构成。

６

烟草行业数字证书应用支撑平台提供了烟草行业数字证书应用的个基础服务：安全代理服务，数

３

字签名服务，时间戳服务。烟草行业数字证书签发服务平台提供了烟草行业数字证书应用的个辅助

３

性服务：目录服务，在线证书状态服务，安全审计服务。其中目录服务和在线证书状态服务是由应用系

统通过标准接口进行访问，无需另行建设。烟草行业数字证书应用接口总体框架如图所示。

３

鉴于／模式安全通信和单点登录系统的复杂性，本标准不对这两类安全功能的实现作出强制性

ＣＳ

要求，相关说明见附录。

Ａ

ㅤㅤㅤㅤ

图３烟草行业数字证书应用接口总体框架示意图

６．１．１安全代理服务

安全代理服务应用提供基于数字证书的可靠身份认证和数据加密传输的安全服务，宜实现身份认

证和机密性的安全需求。安全代理服务通过在应用前端部署ＳＳＬ安全代理服务设备来构建。

６．１．２数字签名服务

数字签名服务为应用提供针对特定数据内容的数字签名和验证服务。宜实现数据的完整性和不可

否认性安全需求。数字签名服务通过部署数字签名服务设备以及在应用中部署其相关ＡＰＩ来构建。

６

／—

犢犆犜３２７２００９

６．１．３时间戳服务

时间戳机构给用户提供的颁发时间戳服务，由用户提供文件或数据，时间戳机构给此文件或数据签

发时间戳。时间戳服务的功能是提供可靠的时间信息证据，以证明某个信息在某个时间（或以前）的存

在，或证明某个操作发生的时间，宜实现数字信息与可信时间的不可伪造的捆绑。时间戳服务通过部署

时间戳服务设备以及在应用中部署其相关ＡＰＩ来构建。

６．１．４目录服务

应用系统可从目录服务器中查询或者获取到任何公开的证书，并可通过该服务获取由ＣＡ发布的，

最新的证书撤销列表ＣＲＬ文件，从而实现证书状态的检查。

６．１．５在线证书状态服务

应用系统可通过在线证书状态协议实时查询证书的状态。

６．１．６安全审计服务

安全审计服务提供应用安全审计日志的收集和分析工作，应用在进行数字证书相关操作的时候，通

过安全审计服务接口将审计日志报送至安全审计服务。

６．２安全代理服务

６．２．１安全代理服务的实现

安全代理服务通过部署ＳＳＬ安全代理服务设备来实现。

ＳＳＬ安全代理服务设备部署在客户端（浏览器）与后台的应用服务器之间，起到了对应用服务器的

反向代理作用，有效地保护了应用服务器。用户的浏览器与ＳＳＬ安全代理服务设备之间使用数字证书

进行可靠的身份认证，并建立加密的通道，来自用户的访问通过ＳＳＬ安全代理服务设备安全地到达后

台的应用服务器。ＳＳＬ安全代理服务设备根据配置，向后台的应用服务器传递用户证书的信息。

安全代理服务的实现如图所示。

４

ㅤㅤㅤㅤ

图４犛犛犔安全代理服务应用示意图

ＳＳＬ安全代理服务设备应进行如下配置：

ａ）为ＳＳＬ安全代理服务设备申请服务器证书。从ＳＳＬ安全代理服务设备属地的ＣＡ中心申请

服务器证书，服务器证书中的应是域名或安全代理服务设备的地址。

ＤＮＣＮＳＳＬＩＰ

ｂ）将请求客户端证书配置为强制方式，即必须提供客户端证书；并应配置颁发客户端证书的ＣＡ

的根证书以建立进行客户端证书验证时的ＣＡ信任域。如果应用需要获得建立ＳＳＬ连接的

客户端证书信息，还应配置向应用服务器传递证书信息的方式和参数。

７

／—

犢犆犜３２７２００９

）在安全代理服务设备信任域配置根证书。

ｃＳＳＬＣＡＣＡ

）为安全代理服务设备进行网络配置。安全代理服务设备对外提供服务的地址就

ｄＳＳＬＳＳＬＩＰ

是原来应用服务器对外提供服务的地址，域名对应的也是这个地址。安全代理服

ＩＰＩＰＳＳＬ

务设备使用４４３端口提供ＳＳＬ服务，防火墙上要允许来自外部的４４３端口访问。

）配置安全代理服务设备的访问控制列表，设定必须通过以及客户证书认证才能访问

ｅＳＳＬＳＳＬ

的资源列表。

）配置下载所需的中心的目录服务的地址和服务端口，确保安全代理

ｆＣＲＬＣＡＬＤＡＰＩＰＳＳＬ

服务设备能够获得ＣＡ发布的ＣＲＬ。

）配置后台需要代理的应用服务器地址和端口，使之能够转发客户端的请求报文。

ｇ

ＳＳＬ安全代理服务设备可为多个应用提供共享的安全服务。在多个应用需要不同的外部域名或

时，应在安全代理服务设备内部配置针对每个域名或的服务器证书。

ＩＰＳＳＬＩＰＳＳＬ

６．２．２安全代理服务应用接口

ＳＳＬ安全代理服务设备将根据配置，将用户数字证书的域值作为一个字符串加入ＨＴＴＰＵＲＬ参

数或ＨＴＴＰＨＥＡＤＥＲ参数并向应用服务器传递。

后传证书信息包括：

）主体可辨别名（）；

ａＳｕｂｅｃｔＮａｍｅ

ｊ

）颁发者可辨别名（）；

ｂＩｓｓｕｅｒＮａｍｅ

）证书序列号（）；

ｃＳｅｒｉａｌＮｕｍｂｅｒ

）证书有效时间（）。

ｄＶａｌｉｄｉｔ

ｙ

应用服务器从或中获取安全代理服务设备传递来的用户证书

ＨＴＴＰＵＲＬＨＴＴＰＨＥＡＤＥＲＳＳＬ

信息，进行用户身份认证，判断用户的身份信息，确认用户数字证书的有效期，从而进行后续的访问权限

判断、证书有效期人机提示和日志记录。

ㅤㅤㅤㅤ

６．３数字签名服务

６．３．１数字签名服务的实现

数字签名服务通过部署数字签名服务设备，数字签名服务设备ＡＰＩ和数字签名客户端ＡＰＩ来

实现。

数字签名客户端ＡＰＩ供应用客户端调用；数字签名服务设备ＡＰＩ供应用服务器调用，负责将应用

中接收到的签名数据发送到数字签名服务设备中，并接收数字签名服务设备的验证结果返回给应用；