GCA/XCA附卡授權服務 推廣及教育訓練 主辦機關：國家發展委員會 中華民國104年9月

大綱 緣起與目的 附卡授權格式簡介 系統概論 常見問題 應用系統導入說明 一般使用者網頁操作展示

緣起與目的(1/4) 緣起 目的 憑證申請限制： 使用時機： 憑證正、附卡法律上的簽章效力： 避免產生應用系統只能使用正卡的狀況。 一個政府/組織團體僅能申請一張正卡，附卡可申請多張 使用時機： 正卡：通常由機關首長或機要人員做安全妥適的保管與應用 附卡：受委託之承辦人員使用 憑證正、附卡法律上的簽章效力： 以電子簽章法的規範，正附卡簽章效力相同 目的 避免產生應用系統只能使用正卡的狀況。 由於附卡等同於正卡效力，透過授權避免附卡濫用之情況發生。 透過授權落實權責管理。

緣起與目的(2/4) 正附卡在附卡授權推行後應用範圍的演進 附卡授權 正卡應用範圍 附卡應用範圍 附卡1 附卡2 附卡3 附卡4 附卡5 附卡6 附卡3 附卡7 附卡應用範圍 附卡授權 1.附卡已被指定應用項目，權限小於正卡。 2.每張附卡可以有不同應用範圍。 1.附卡的應用範圍幾乎等同於正卡。 2.每張附卡的應用範圍都相同。

緣起與目的(3/4) 憑證在附卡授權推行後授權應用的演進 附卡授權 附卡 附卡 法定身分資料 法定身分資料 授權應用資料 1.記載了憑證主體的法定身分資料。 2.還有指定應用項目、授權單位及人員…等資料 。 1.只記載了憑證主體的法定身分資料。 2.沒有指定應 用項目。

緣起與目的(4/4) 導入附卡授權之優點： 改善使用自然人憑證來代替政府/組織團體主體身分 可公私分明，直接以政府/組織團體的主體身分來洽公。 改善目前各應用系統不一致的授權作法，減輕各應用系統及持卡人的負擔。 有些應用系統為避免附卡被濫用，僅可使用正卡 可有效確認持卡人的身分。 政府/組織團體的正式授權簽署證書，提供有力證明。 授權證本身是一張代理的委託書，附卡授權做正式的簽署，不僅是一個記錄而已。 附卡授權服務會詳細紀錄完整的授權程序與內容，以便於稽核、記錄查詢及統計 可提升授權管理機制與安全度。

附卡授權格式簡介(1/3) 授權格式的階層式展開介紹 附卡授權 1.基本資訊 2.發行者之簽 章演算法 3.數位簽章 (1)version (2)holder (3)issuer (4)signature (5)serialNumber (6)attrCertValidityPeriod (7)attributes (8)extensions 第一層 第二層 第三層 (1)應用系統服務名稱(Authorized Application Identity) (2)使用單位名稱(Authorized Group Name) (3)使用單位代碼(Authorized Group Identification Number) (4)使用者角色(Authorized Role) (5)持卡者證號(Holder Identification Number) (1)授權單位金鑰識別元(Authority Key Identifier)

附卡授權格式簡介(2/3) XML授權格式介紹 基本資訊

附卡授權格式簡介(3/3) 授權內容介紹 holder:授權證的 持有者資訊 attributes: Holder Identification Number:持卡者證號 attrCertValidityPeriod:授權證的有效期限 attributes: Authorized Application Identity :應用服務名稱

系統概論(1/6) 附卡授權使用架構 附卡授權的延伸授權 正卡授權附卡 附卡授權附卡 『分層授權』需求緣由 應用授權 分層授權 有些單位/組織因為規模較大，有多層次的層級架構，若只有一張正卡來進行多張附卡的授權，實際上還是不夠用的。 有些單位/組織首長不想將正卡交給雇員保管，但仍有進行附卡授權的需求。

系統概論(2/6) 附卡授權服務功能 簽署授權作業 正卡授權附卡 附卡授權附卡 應用系統使用授權(設定可使用那些應用服務) 。 權限下放(設定可對其它附卡進行再向下授權) 。 附卡授權附卡

系統概論(3/6) 附卡授權服務功能 查詢與管理作業 環境檢測作業 依卡片權限查詢 依應用系統查詢 電腦環境檢測 IC卡測試 主要是查詢讀卡機中該張卡片的授權資料，依照時間範圍、查詢方式、授權功能...等多重條件來篩選。 依應用系統查詢 主要是用來查詢該張正卡所屬主體下，與指定之應用服務最新授權資料。 環境檢測作業 電腦環境檢測 IC卡測試

系統概論(4/6) 支援遠端異地授權 附卡授權服務伺服端功能(Web應用平台) 應用系統涵蓋 要授權與被授權的卡片不在同一地點，亦可進行附卡授權作業 附卡授權服務伺服端功能(Web應用平台) 用來記錄附卡授權服務於簽署附卡授權證過程中的相關資訊，有利於稽核與追蹤。 產製CASL檔案 每日提供授權證狀態更新給各應用系統下載，各應用系統依此判斷用戶附卡是否有被授權使用 應用系統涵蓋 政府機關(單位)所屬應用服務 組織團體所屬應用服務

系統概論(5/6) 系統架構：

系統概論(6/6) 應用情境： 正卡 附卡 經濟部商業司 第1~11科 正卡授權附卡分層授權 正卡授權附卡應用授權 附卡授權附卡應用授權 人事 會計 採購 法律 委員A 委員B 委員C 委員D 正卡授權附卡分層授權 正卡授權附卡應用授權 附卡授權附卡應用授權

常見問題(1/2) 項次 問題 1 元件未裝系統不會動 2 IC卡沒插好 3 IC卡PIN碼輸入錯誤，超過三次錯誤要解鎖卡 4 下載附卡憑證失敗，請確定輸入的卡號正確性 5 卡號輸成其他憑證主體的附卡卡號，授權時會出現主體名稱不符錯誤訊息 6 授權有效期限以"用戶設定日期"及"憑證到期日"兩者間較早日期為限 7 最多可授權10個應用服務 8 選擇的授權方式與讀卡機中的卡片類型不符，例如讀卡機插入正卡，卻選用附卡進行授權

常見問題(2/2) 項次 問題 9 分層授權只有正卡可以授權 10 沒有分層授權的附卡不能授權其他附卡 11 被正卡授權分層授權的附卡，可以授權其他附卡應用授權，但不能授權自己應用授權 12 附卡只能修改或停用自己授權的資料，由正卡或其他附卡授權的資料則不能修改或停用；但正卡可隨意授權或停用由自己或其他附卡授權的資料 13 查詢應用授權時，只能查兩年之內資料，時間以"天"為單位 14 以應用系統查詢資料，只能查目前有效的資料；且若此卡沒授權或被別人授權過，則不能查詢

應用系統導入流程 提出申請 申請審核 系統導入 用戶設定 下載「憑證授權服務應用系統申請表」，填寫並用印。 郵寄申請表至憑證管理中心或以電子檔發送至憑證管理中心之電子郵件信箱 申請審核 憑證管理中心進行審核，並將審核結果回覆申請者 將核通過之應用系統加入正卡授權附卡平台中 系統導入 依照「附卡授權服務應用系統導入」說明手冊進行系統修改 告知用戶至正卡授權附卡網站進行附卡授權設定 用戶設定 用戶持正卡登入正卡授權附卡網站針對欲授權之附卡進行應用系統授權設定

應用系統導入說明(1/8) 提出申請：

應用系統導入說明(2/8) 架構與流程： 每日定時下載卡片授權 狀態清單(CASL)檔案1次 由各應用系統自行解析 CASL檔案，取得對應附 卡的最新狀態 各應用系統自行管理每 日取得的最新附卡授權 狀態，並每日更新

應用系統導入說明(3/8) 應用系統注意事項： 1 2 3 4 5 項次 說明 1 (1) 每日定時下載差異化的CASL檔案1次，範例：http://117.56.91.1/SCAP/GCA.casl (2) 或每日定時下載完整的CASL檔案1次，範例：http://117.56.91.1/SCAP/GCA_Complete.casl 建議：檔案下載可二選一，也可兩個都下載混合使用，凌晨1:00~2:00之間較佳 2 以附卡授權服務Server端憑證(專屬類)，對CASL檔案內容驗簽章 註：會將Server端憑證給予所有導入的應用系統 3 由各應用系統自行解析CASL檔案，取得對應附卡的最新狀態 註：CASL檔案內容為XML格式 4 各應用系統自行管理每日取得的最新附卡授權狀態，並每日更新 若下載差異化的CASL則自建資料庫控管，檔案較小 若下載完整的CASL則可直接解析檔案，不需額外建立資料庫管理狀態，但檔案較大、效能較差 若採用混合式下載，建議每月固定下載1次完整的CASL、每天僅下載差異化的CASL，且自建資料庫控管 5 若各應用系統因故障無法於當日下載最新差異化的CASL檔案，可手動於Backup目錄內下載欠缺的檔案，範例：http://117.56.91.1/SCAP/Backup/GCA03.casl 如當日是5號GCA03.casl是兩天前3號當天的狀態 註：差異化的CASL檔案僅保存一個月；完整的CASL檔案不備份

應用系統導入說明(4/8) 資料交換格式： 待簽資料 XML結構 註解 <CASL> <ToBeSigned> <GenTime></ GenTime > <Number></Number> <StatusList> <ListData> <AuthCertSN></AuthCertSN> <BeAuthedCertSN></BeAuthedCertSN> <AppIdentity></AppIdentity> <Status></Status> </ListData> <ListData>…</ListData> … … … … </StatusList > </ToBeSigned> <Signature> </Signature> </CASL> //卡片授權狀態清單   //產生時間 //清單數量 //狀態清單 //第一筆資料 //授權證序號 //被授權附卡的憑證序號 //應用系統識別字串(URL) //0有效；1~3無效 //第二筆資料 //第三筆資料… …等 //數位簽章值 待簽資料

應用系統導入說明(5/8) CASL範例：

應用系統導入說明(6/8) 驗簽章範例(Java)：

應用系統導入說明(7/8) 卡片授權狀態清單(CASL)解析邏輯： 按順序逐筆檢查<ListData>標籤，由上而下由前而後 檢查<AppIdentity>標籤中的字串，若為各應用系統的唯一識別字串(比對URL)、萬用字串(即*) 就再檢查<BeAuthedCertSN>及<Status></Status>標籤 <BeAuthedCertSN>為附卡的憑證序號，<Status>為授權狀態(0為有效) 若出現兩筆以上同一個應用系統且針對同一張附卡的資料，請取最後一筆的狀態(最新) 更新應用系統端的授權狀態資料後，若有該張欲登入附卡(依憑證序號)的憑證序號且授權狀態為0，就可以登入/使用該應用系統，否則拒絕

應用系統導入說明(8/8) 應用系統檢查步驟： 應用系統伺服端 Client端軟體/ IE瀏覽器 讀取IC晶片卡中的授權證API 其他相關檢 查及應用 取出憑證序號 應用系統用戶端傳送之訊息 (含整張憑證) 附卡 驗簽章 封裝回覆訊息 檢查憑證狀態 判斷憑證所 屬卡片類別 回覆應用系統用戶端訊息 授權狀態資料庫比對 正卡 正確 有效 符合 傳送 解析/更新 CASL 憑證序號 授權狀態 274304150583792302… 333592440003779148… 2 … …

一般使用者網頁操作展示 GCA憑證授權服務平台：http://117.56.91.1:8080/gcaSCAP/index.html XCA憑證授權服務平台：http://117.56.91.1:8080/xcaSCAP/index.html

導入相關事項 憑證管理中心正式公告系統上線時間(初期憑證管理中心提供正卡授權附卡修改OID網站部分資料)。 各應用系統主管機關或單位，可依照申請流程進行應用系統申請上架，並依照「附卡授權服務應用系統導入」說明手冊進行系統修訂，並將相關訊息公告給用戶。 用戶可至正卡授權附卡網站針對已導入附卡授權機制並上架之網站進行附卡授權設定