LD/T 30.1-2009
基本信息
标准号: LD/T 30.1-2009
中文名称:人力资源和社会保障电子认证体系 第1部分:框架规范
标准类别:劳动和劳动安全行业标准(LD)
标准状态:现行
发布日期:2009-12-14
实施日期:2010-03-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:6105487
相关标签: 人力资源 社会保障 电子 认证 体系 框架 规范
标准分类号
标准ICS号:信息技术、办公机械设备>>35.040字符集和信息编码
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
页数:20页
标准价格:21.0 元
相关单位信息
起草单位:中华人民共和国人力资源和社会保障部信息中心
标准简介
LD/T 30.1-2009 人力资源和社会保障电子认证体系 第1部分:框架规范 LD/T30.1-2009 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
备索号:27108—2010
中华人民共和国劳动和劳动安全行业标准LD/T30.1—2009
人力资源和社会保障电子认证体系第1部分:框架规范
Human resources and social security electronic authentication system-Part1:Architecturespecification2009-12-14发布
中华人民共和国人力资源和社会保障部2010-03-01实施
LD/T 30.1—2009
规范性引用文件
术语和定义
缩略语
电子认证体系应用范围
电子认证体系总体结构
电子认证系统基础层bzxz.net
电子认证系统整体建设规划
部级电子认证系统
省级电子认证系统
市级电子认证系统
8证书业务管理层
证书生命周期管理
系统运行管理·
9证书应用支撑层
概述·
基础应用接口
高级应用接口
LD/T30.1—2009
为适应人力资源和社会保障信息化发展要求,满足人力资源和社会保障网络信任体系建设和管理的需要,人力资源和社会保障部组织并制定了LD/T302009《人力资源和社会保障电子认证体系》。网络信任体系包括电子认证体系、授权管理体系和责任认定体系,本标准主要描述了人力资源和社会保障电子认证体系相关内容,包括以下五个部分:第1部分:框架规范;
一第2部分:电子认证系统技术规范;--第3部分:证书及证书撤消列表格式规范;第4部分:证书应用管理规范;
第5部分:证书裁体规范、
本部分为LD/T30—2009的第1部分。本部分是LD/T30--2009《人力资源和社会保障电子认证体系》的总纲,指述了电子认证体系规范的总体框架、框架内各层次以及各层之间的相互关系,提出了各级人力资源和社会保障部门建设、运行和管理电子认证系统的基本要求。本部分重点引用了《公钥密码基础设施应用技术体系柜架规范》,根据人力资源社会保障的业务特点,扩展了电子认证系统建设规划、数字证书业务管理和系统运行管理要求等相关内容。本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位:中华人民共和国人力资源和社会保障部信息中心、上海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人:赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴问滨、黄勇、吕丽娟、许华光、罗震、张加会、靳朝晖、陆春生、李永亮、宋京燕、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容,均按国家有关法规实施。I
1范围
人力资源和社会保障电子认证体系第1部分:框架规范
LD/T30.1-2009
LD/T30的本部分描述了人力资源和社会保障电子认证体系的建设和应用范围、总体结构,定义了电子认证系统基础层、证书业务管理层、证书应用支撑层之间的关系和基本要求。本部分适用于:
a)指导建设全国统一、布局合理、运行有序、安全可靠的人力资源和社会保障电子认证体系;指导各级人力资源和社会保障部门建设合理的电子认证系统,为人力资源和社会保障业务系统提供规范的电子认证服务。
指导各级人力资源和社会保障部门为应用系统建立证书应用技术支撑体系,提供安全、规范、b)
易于集成的证书应用接口,为人力资源和社会保障业务系统提供有效的身份认证、数据加密解密、签名验证等安全机制。
指导各级人力资源和社会保障部门建立有效的证书业务管理机制和运行管理机制,保障本单位建设的电子认证系统有效地运行。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB2887一2000电子计算机场地通用规范GB9361-1988计算站场地安全要求GB/T19771一2005信息技术安全技术公钥基础设施PKI组件最小互操作规范信息安全技术公钥基础设施数字证书格式GB/T20518—20061
GB50174—2008电子信息系统机房设计规范GM0001一2005证书认证系统密码及其相关安全技术规范LD/T30.2人力资源和社会保障电子认证体系第2部分:电子认证系统技术规范LD/T30.3人力资源和社会保障电子认证体系第3部分:证书及证书撤消列表格式规范LD/T30.4人力资源和社会保障电子认证体系第4部分:证书应用管理规范LD/T30.5人力资源和社会保障电子认证体系第5部分:证书载体规范SJ/T107962001防静电活动地板通用规范信息技术安全技术密码术语(国家密码管理局)公钥密码基础设施应用技术体系框架规范(国家密码管理局)3术语和定义
以下术语和定义适用于本部分。1
LD/T 30.1—2009
certificationauthority
证书认证机构
负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.2
数字证书
digital certificate
由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
CAcertificate
CA证书
由一个证书认证机构给另一个证书认证机构签发的数字证书,一个证书认证机构也可以为自已签发数字证书,这是一种自签名的数字证书。3.4
电子认证系统
electronicanthenticationsystem证书认证系统
Ecertificateauthenticationsystem对生命周期内的数字证书进行全过程管理的安全系统。3.5
客certificatepolicy
证书策略
一个指定的规则集合.它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适用性。3.6
证书撤消列表
certificate revocation list
标记一系列不再被证书发布者认为有效的证书的签名列表。3.7
私有密钥
privatekey
在公钥密码体制中,用户密钥对中仅为该用户持有的密钥。3.8
公开密钥
publickey
在公钥密码体制中,用户密钥对中公布给其他用广的密钥。3.9
依赖方
relying party
依赖证书中的数据来做决定的用户或代理。3.10
securitypolicy
安全策略
由证书认证机构发布的用于约束安全服务和设施使用的规则集合。3.11
证书载体certificateentity
用于存储密钥和数字证书并具有密码运算功能的载体,包括智能密码钥匙(USBKey)和IC卡等。3.12
认证业务说明
certification practice statementCPS
证书认证机构发放证书时遵循的业务说明。2
信任trust
LD/T 30.1—2009
通常,当一个实体(第一个实体)假设另一个实体(第二个实体)完全按照第一个实体的期望行动时,则称第一个实体“信任”第二个实体。这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系;鉴别实体应确信它能够“信任”认证机构仅创建有效且可靠的证书。
4缩略语
下列缩略语适用于本部分:
证书认证机构(CertificationAuthority)认证业务说明(CertificationPracticeStatement)证书撤消列表(CertificateRevocationList)加密服务提供者(CryptographicServiceProvider)密钥管理中心(KeyManagementCenter)轻量级目录访间协议(LightweightDirectoryAccessProtocol)证书注册机构(RegistrationAuthority)公钥密码标准(thePublic-KeyCryptographyStandard)5电子认证体系应用范围
人力资源和社会保障电子认证体系建设和应用的范围是各级人力资源和社会保障部门。人力资源和社会保障电子认证体系所支撑的应用包括全国性、区域性的各类应用系统,按照业务类别划分为以下三类:
内部办公类:部、省、市、县/区各级人力资源和社会保障部门各自内部办公系统、档案系统、统计系统、决策系统等。
b)人力资源业务类:包括就业管理与服务、失业管理、公务员管理、军转干部管理、专业技术人才管理、人力资源市场、职业资格管理、职业培训、劳动监察等的本地业务管理与服务系统、跨地区业务管理与服务系统、网上公共服务系统、相关纵向联网数据采集系统等。社会保险业务类:包括养老、失业、医疗、工伤、生育保险的本地业务管理与服务系统、跨地区业e)
务管理与服务系统、网上公共服务系统、相关纵向联网数据采集系统、基金监管系统等。6电子认证体系总体结构
人力资源和社会保障网络信任体系是以密码技术为支撑,以电子认证系统为基础设施,基于数字证书的应用开发接口,面向人力资源和社会保障各类业务系统,实现以身份认证、授权管理和责任认定为主要内容的安全应用。电于认证体系是网络信任体系的基础,是基于密码技术,实现证书生命周期管理,以及身份认证、加密解密、签名验证等证书应用功能的技术体系和管理体系。人力资源和社会保障电子认证体系总体结构如图1所示。3
LD/T30.1—2009
人力资源和社会保障应用系统
商级应用接口
基础应用接口
证书应用支撑层
证书生命周期管理
证书注册管理系统
证书签发管理系统
密钥管理系统
证书业务管理层
系统运行管理
证书查验服务系统
证书认证设施
密码服务系统
密码管理投施
电子认证系统基础层
图1人力资源和社会保障电子认证体系总体结构图标
人力资源和社会保障电子认证体系包含电子认证系统基础层、证书业务管理层、证书应用支撑层以及相关政策法规和标准规范。电子认证系统基础层包括密钥管理系统、密码服务系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等;证书业务管理层包括证书生命周期管理和系统运行管理;证书应用支撑层包括基础应用接口和高级应用接口,依赖于密码服务系统进行密码运算。7、电子认证系统基础层
7.1概述
电子认证系统基础层是人力资源和社会保障电子认证体系的基础设施,包括密钥管理设施和证书认证设施。密钥管理设施包括密钥管理系统和密码服务系统,证书认证设施包括证书签发管理系统、证书注册管理系统和证书查验服务系统。电子认证系统基础层各系统的具体技术规范应符合LD/T30.2,电子认证系统所签发的数字证书和CRL的格式应符合LD/T30.3,电子认证系统所采用的证书载体应符合LD/T30.5。7.2电子认证系统整体建设规划
人力资源和社会保障电子认证系统建设应遵循以下总体策略:a)人力资源和社会保障部:以业务专网为依托建设人力资源社会保障电子认证根系统(一级CA)和部级电子认证系统(二级CA),为部本级和全国性应用系统提供电子认证服务。人力资源社会保障电子认证根系统作为行业信任源点,晨终纳人国家电子政务外网电子认证休系。省级人力资源和社会保障部门:以人力资源社会保障电子认证根系统为依托建设省级电子认b)
证系统(二级CA或RA),为省本级和省内应用系统提供电子认证服务。4
LD/T30.1—2009
地市级人力资源和社会保障部门:以省级电子认证系统为依托建设证书注册管理系统,即市级电子认证系统,作为省级电子认证系统的延伸,为本地市应用系统提供电子认证服务。根据上述策略,人力资源和社会保障电子认证系统总体建设规划如图2所示。人力资源社会保障
电子认证根系统
密钥管理系统
证书签发
管理系统
省级电子认证系统
证书查验
证书签
发管理
服务系统
证书注册
管理系统
市级电子认证系统
证书注册
管理系统
证书查验
服务系统
部级电子认证系统
证书查验服务系统
证书注册管理系统
省级电子认证系
证书注册
管理系统
证书查验
服务系统
市级电子认证系统
证书注册点
图2人力资源和社会保障电子认证系统总体建设规划7.3部级电子认证系统
7.3.1结构
部级电子认证系统的结构如图3所示。人力登源社会保障
电子认证根系统
密销管理
证书签发
管理系统
证书注册
管理系线
部级电子认证系统
证书查验
服务系统
业务专网
证书查验
服务系统
公共服务网
网络隔高
图3部级电子认证系统结构图
LD/T30.1—2009
在部级业务专网中,建设人力资源社会保障电子认证根系统。以人力资源社会保障电子认证根系统为基础,建设部级电子认证系统(二级CA),主要包括:密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等。密钥管理系统采用国家密码管理局规划建设的密钥基础设施提供密钥管理服务。
在部级公共服务网中,建设证书查验服务系统。业务专网和公共服务网进行网络隔离,在安全控制的前提下,证书查验服务系统应实现主从系统的数据同步。7.3.2功能
电子认证根系统主要功能包括:签发根CA证书和二级CA证书,产生证书信任列表。密钥管理系统对生命周期内的加密证书密钥对进行全过程管理,主要功能包括:密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤消、密钥归档、密钥恢复以及安全管理等。证书签发管理系统提供对生命周期内的数字证书进行全过程管理,主要功能包括:证书注册管理系统的管理,证书/证书撤消列表的生成、签发、存储、更新,并将证书/证书撤消列表发布到证书查验服务系统等。
证书注册管理系统负责用户证书/证书撤消列表的申请、审核以及证书的制作,主要功能包括:用户信息录人、修改、查询、审核以及用户证书下载等。证书查验服务系统应采用下推方式由主目录服务系统向从目录服务系统进行自动映射,实现数据同步,主要功能包括:证书/证书撤消列表的存储和发布,为用户和应用系统提供证书状态查询和验证服务。
7.3.3性能
部级电子认证系统的基准性能要求:证书发放和管理能力不低于50万张,a)
证书撤消列表的发放和管理能力不低于5000个CRL文件。b)
可同时响应不低于50个RA系统的业务请求。d)
证书签发速度不低于60张/分钟。密钥的保存期应大于10年。
系统采用允余设计,能够提供7×24小时不间断服务。7.4省级电子认证系统
7.4.1结构
按照分步实施的建设原则,结合本地实际情况,省级电子认证系统可以选择以下两种建设模式:a)模式一:建设二级电子认证系统以人力资源社会保障电子认证根系统为基础,在省级业务专网中建设二级电子认证系统。省级电子认证系统向人力资源社会保障电子认证根系统提出申请,由电子认证根系统为其签发二级CA证书。省级电子认证系统为一个独立运行的电子认证系统,日常证书业务不与部级电子认证系统实时通信,但需按照相关要求及时向部级电子认证系统提供数据。省级电子认证系统(模式一)的结构如图4所示。省级电子认证系统(模式一)主要包括:密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等。密钥管理系统采用国家密码管理局规划建设的密钥基础设施提供密钥管理服务。在公共服务网中,建设证书查验服务系统。业务专网和公共服务网进行网络隔离,在安全控制的前提下,证书查验服务系统应实现主从系统的数据同步。6
密销管理
人力资源社会保障
电子认证根系统
证书签发
管理系统
证书注册
管理系统
省级电子认证系统
证书查验
服务系统
业务专网
证书查验
服务系统
公共服务网
网络隔离
图4省级电子认证系统(模式一)结构图b)模式二:建设证书注册管理系统在部级电子认证系统的基础上,在省级业务专网中建设省级证书注册管理系统。LD/T30.1—2009
省级证书注册管理系统作为部级电子认证系统的延伸,直接接人部级电子认证系统,所有数字证书由部级电子认证系统统一签发。省级电子认证系统(模式一)的结构如图5所示。部级电子认证系统
证书注册管理系统
证书注册点
证书查验服务系统
省级电子认证系统
图5省级电子认证系统(模式二)结构图省级电子认证系统(模式二)主要包括:证书注册管理系统、证书查验服务系统以及证书注册点。7.4.2功能
省级电子认证系统(模式一)
密钥管理系统对生命周期内的加密证书密钥对进行全过程管理,主要功能包括:密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤消、密钥归档、密钥恢复以及安全管理等。证书签发管理系统提供对生命周期内的数字证书进行全过程管理,主要功能包括:证书注册管理系统的管理,证书/证书撤消列表的生成、签发、存储、更新,并将证书/证书撤消列表发布到证书查验服务系统等。
证书注册管理系统负责用户证书/证书撤消列表的申请、审核以及证书的制作,主要功能包括:用户7
LD/T30.1—2009
信息录人、修改、查询、审核以及用户证书下载等。证书查验服务系统主要功能包括:证书/证书撤消列表的存储和发布,为用户和应用系统提供证书状态查询和验证服务。
b)省级电子认证系统(模式二)
证书注册管理系统负责用户证书/证书撤消列表的申请、审核以及证书的制作,主要功能包括:用户信息录人、修改、查询、审核以及用户证书下载等。证书查验服务系统主要功能包括:证书/证书撤消列表的存储和发布,为用户和应用系统提供证书状态查询和验证服务。
证书注册点是证书注册管理系统的一个操作终端,是面向最终证书用户服务的窗口,主要功能包括:用户信息录人、审核、证书下载等。7.4.3性能
省级电子认证系统的基准性能要求:证书发放和管理能力不低于30万张。a)
b)证书撤消列表的发放和管理能力不低于5000个CRL文件。CA系统可同时响应不低于50个RA系统的业务请求。d)证书签发速度不低于60张/分钟。e)
密钥的保存期应大于10年。
系统采用余设计,能够提供7×24小时不间断服务。7.5市级电子认证系统
7.5.1结构
市级电子认证系统的结构如图6所示。省级电子认证系统
市级电子认证系统(模式一)
证书注册管理系统
证书注册点
证书查验
服务系线
市级电子认证系统
(模式二)
证书注册点
图6市级电子认证系统结构图
在省级电子认证系统的基础上,在市级业务专网中可以选择以下两种模式建设,模式一:在省级建设二级CA系统的基础上,建设证书注册管理系统、证书查验服务系统和证书注册点等。
模式二:在省级建设二级CA系统或RA系统的基础上,建设证书注册点。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
备索号:27108—2010
中华人民共和国劳动和劳动安全行业标准LD/T30.1—2009
人力资源和社会保障电子认证体系第1部分:框架规范
Human resources and social security electronic authentication system-Part1:Architecturespecification2009-12-14发布
中华人民共和国人力资源和社会保障部2010-03-01实施
LD/T 30.1—2009
规范性引用文件
术语和定义
缩略语
电子认证体系应用范围
电子认证体系总体结构
电子认证系统基础层bzxz.net
电子认证系统整体建设规划
部级电子认证系统
省级电子认证系统
市级电子认证系统
8证书业务管理层
证书生命周期管理
系统运行管理·
9证书应用支撑层
概述·
基础应用接口
高级应用接口
LD/T30.1—2009
为适应人力资源和社会保障信息化发展要求,满足人力资源和社会保障网络信任体系建设和管理的需要,人力资源和社会保障部组织并制定了LD/T302009《人力资源和社会保障电子认证体系》。网络信任体系包括电子认证体系、授权管理体系和责任认定体系,本标准主要描述了人力资源和社会保障电子认证体系相关内容,包括以下五个部分:第1部分:框架规范;
一第2部分:电子认证系统技术规范;--第3部分:证书及证书撤消列表格式规范;第4部分:证书应用管理规范;
第5部分:证书裁体规范、
本部分为LD/T30—2009的第1部分。本部分是LD/T30--2009《人力资源和社会保障电子认证体系》的总纲,指述了电子认证体系规范的总体框架、框架内各层次以及各层之间的相互关系,提出了各级人力资源和社会保障部门建设、运行和管理电子认证系统的基本要求。本部分重点引用了《公钥密码基础设施应用技术体系柜架规范》,根据人力资源社会保障的业务特点,扩展了电子认证系统建设规划、数字证书业务管理和系统运行管理要求等相关内容。本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位:中华人民共和国人力资源和社会保障部信息中心、上海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人:赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴问滨、黄勇、吕丽娟、许华光、罗震、张加会、靳朝晖、陆春生、李永亮、宋京燕、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容,均按国家有关法规实施。I
1范围
人力资源和社会保障电子认证体系第1部分:框架规范
LD/T30.1-2009
LD/T30的本部分描述了人力资源和社会保障电子认证体系的建设和应用范围、总体结构,定义了电子认证系统基础层、证书业务管理层、证书应用支撑层之间的关系和基本要求。本部分适用于:
a)指导建设全国统一、布局合理、运行有序、安全可靠的人力资源和社会保障电子认证体系;指导各级人力资源和社会保障部门建设合理的电子认证系统,为人力资源和社会保障业务系统提供规范的电子认证服务。
指导各级人力资源和社会保障部门为应用系统建立证书应用技术支撑体系,提供安全、规范、b)
易于集成的证书应用接口,为人力资源和社会保障业务系统提供有效的身份认证、数据加密解密、签名验证等安全机制。
指导各级人力资源和社会保障部门建立有效的证书业务管理机制和运行管理机制,保障本单位建设的电子认证系统有效地运行。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB2887一2000电子计算机场地通用规范GB9361-1988计算站场地安全要求GB/T19771一2005信息技术安全技术公钥基础设施PKI组件最小互操作规范信息安全技术公钥基础设施数字证书格式GB/T20518—20061
GB50174—2008电子信息系统机房设计规范GM0001一2005证书认证系统密码及其相关安全技术规范LD/T30.2人力资源和社会保障电子认证体系第2部分:电子认证系统技术规范LD/T30.3人力资源和社会保障电子认证体系第3部分:证书及证书撤消列表格式规范LD/T30.4人力资源和社会保障电子认证体系第4部分:证书应用管理规范LD/T30.5人力资源和社会保障电子认证体系第5部分:证书载体规范SJ/T107962001防静电活动地板通用规范信息技术安全技术密码术语(国家密码管理局)公钥密码基础设施应用技术体系框架规范(国家密码管理局)3术语和定义
以下术语和定义适用于本部分。1
LD/T 30.1—2009
certificationauthority
证书认证机构
负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.2
数字证书
digital certificate
由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
CAcertificate
CA证书
由一个证书认证机构给另一个证书认证机构签发的数字证书,一个证书认证机构也可以为自已签发数字证书,这是一种自签名的数字证书。3.4
电子认证系统
electronicanthenticationsystem证书认证系统
Ecertificateauthenticationsystem对生命周期内的数字证书进行全过程管理的安全系统。3.5
客certificatepolicy
证书策略
一个指定的规则集合.它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适用性。3.6
证书撤消列表
certificate revocation list
标记一系列不再被证书发布者认为有效的证书的签名列表。3.7
私有密钥
privatekey
在公钥密码体制中,用户密钥对中仅为该用户持有的密钥。3.8
公开密钥
publickey
在公钥密码体制中,用户密钥对中公布给其他用广的密钥。3.9
依赖方
relying party
依赖证书中的数据来做决定的用户或代理。3.10
securitypolicy
安全策略
由证书认证机构发布的用于约束安全服务和设施使用的规则集合。3.11
证书载体certificateentity
用于存储密钥和数字证书并具有密码运算功能的载体,包括智能密码钥匙(USBKey)和IC卡等。3.12
认证业务说明
certification practice statementCPS
证书认证机构发放证书时遵循的业务说明。2
信任trust
LD/T 30.1—2009
通常,当一个实体(第一个实体)假设另一个实体(第二个实体)完全按照第一个实体的期望行动时,则称第一个实体“信任”第二个实体。这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系;鉴别实体应确信它能够“信任”认证机构仅创建有效且可靠的证书。
4缩略语
下列缩略语适用于本部分:
证书认证机构(CertificationAuthority)认证业务说明(CertificationPracticeStatement)证书撤消列表(CertificateRevocationList)加密服务提供者(CryptographicServiceProvider)密钥管理中心(KeyManagementCenter)轻量级目录访间协议(LightweightDirectoryAccessProtocol)证书注册机构(RegistrationAuthority)公钥密码标准(thePublic-KeyCryptographyStandard)5电子认证体系应用范围
人力资源和社会保障电子认证体系建设和应用的范围是各级人力资源和社会保障部门。人力资源和社会保障电子认证体系所支撑的应用包括全国性、区域性的各类应用系统,按照业务类别划分为以下三类:
内部办公类:部、省、市、县/区各级人力资源和社会保障部门各自内部办公系统、档案系统、统计系统、决策系统等。
b)人力资源业务类:包括就业管理与服务、失业管理、公务员管理、军转干部管理、专业技术人才管理、人力资源市场、职业资格管理、职业培训、劳动监察等的本地业务管理与服务系统、跨地区业务管理与服务系统、网上公共服务系统、相关纵向联网数据采集系统等。社会保险业务类:包括养老、失业、医疗、工伤、生育保险的本地业务管理与服务系统、跨地区业e)
务管理与服务系统、网上公共服务系统、相关纵向联网数据采集系统、基金监管系统等。6电子认证体系总体结构
人力资源和社会保障网络信任体系是以密码技术为支撑,以电子认证系统为基础设施,基于数字证书的应用开发接口,面向人力资源和社会保障各类业务系统,实现以身份认证、授权管理和责任认定为主要内容的安全应用。电于认证体系是网络信任体系的基础,是基于密码技术,实现证书生命周期管理,以及身份认证、加密解密、签名验证等证书应用功能的技术体系和管理体系。人力资源和社会保障电子认证体系总体结构如图1所示。3
LD/T30.1—2009
人力资源和社会保障应用系统
商级应用接口
基础应用接口
证书应用支撑层
证书生命周期管理
证书注册管理系统
证书签发管理系统
密钥管理系统
证书业务管理层
系统运行管理
证书查验服务系统
证书认证设施
密码服务系统
密码管理投施
电子认证系统基础层
图1人力资源和社会保障电子认证体系总体结构图标
人力资源和社会保障电子认证体系包含电子认证系统基础层、证书业务管理层、证书应用支撑层以及相关政策法规和标准规范。电子认证系统基础层包括密钥管理系统、密码服务系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等;证书业务管理层包括证书生命周期管理和系统运行管理;证书应用支撑层包括基础应用接口和高级应用接口,依赖于密码服务系统进行密码运算。7、电子认证系统基础层
7.1概述
电子认证系统基础层是人力资源和社会保障电子认证体系的基础设施,包括密钥管理设施和证书认证设施。密钥管理设施包括密钥管理系统和密码服务系统,证书认证设施包括证书签发管理系统、证书注册管理系统和证书查验服务系统。电子认证系统基础层各系统的具体技术规范应符合LD/T30.2,电子认证系统所签发的数字证书和CRL的格式应符合LD/T30.3,电子认证系统所采用的证书载体应符合LD/T30.5。7.2电子认证系统整体建设规划
人力资源和社会保障电子认证系统建设应遵循以下总体策略:a)人力资源和社会保障部:以业务专网为依托建设人力资源社会保障电子认证根系统(一级CA)和部级电子认证系统(二级CA),为部本级和全国性应用系统提供电子认证服务。人力资源社会保障电子认证根系统作为行业信任源点,晨终纳人国家电子政务外网电子认证休系。省级人力资源和社会保障部门:以人力资源社会保障电子认证根系统为依托建设省级电子认b)
证系统(二级CA或RA),为省本级和省内应用系统提供电子认证服务。4
LD/T30.1—2009
地市级人力资源和社会保障部门:以省级电子认证系统为依托建设证书注册管理系统,即市级电子认证系统,作为省级电子认证系统的延伸,为本地市应用系统提供电子认证服务。根据上述策略,人力资源和社会保障电子认证系统总体建设规划如图2所示。人力资源社会保障
电子认证根系统
密钥管理系统
证书签发
管理系统
省级电子认证系统
证书查验
证书签
发管理
服务系统
证书注册
管理系统
市级电子认证系统
证书注册
管理系统
证书查验
服务系统
部级电子认证系统
证书查验服务系统
证书注册管理系统
省级电子认证系
证书注册
管理系统
证书查验
服务系统
市级电子认证系统
证书注册点
图2人力资源和社会保障电子认证系统总体建设规划7.3部级电子认证系统
7.3.1结构
部级电子认证系统的结构如图3所示。人力登源社会保障
电子认证根系统
密销管理
证书签发
管理系统
证书注册
管理系线
部级电子认证系统
证书查验
服务系统
业务专网
证书查验
服务系统
公共服务网
网络隔高
图3部级电子认证系统结构图
LD/T30.1—2009
在部级业务专网中,建设人力资源社会保障电子认证根系统。以人力资源社会保障电子认证根系统为基础,建设部级电子认证系统(二级CA),主要包括:密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等。密钥管理系统采用国家密码管理局规划建设的密钥基础设施提供密钥管理服务。
在部级公共服务网中,建设证书查验服务系统。业务专网和公共服务网进行网络隔离,在安全控制的前提下,证书查验服务系统应实现主从系统的数据同步。7.3.2功能
电子认证根系统主要功能包括:签发根CA证书和二级CA证书,产生证书信任列表。密钥管理系统对生命周期内的加密证书密钥对进行全过程管理,主要功能包括:密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤消、密钥归档、密钥恢复以及安全管理等。证书签发管理系统提供对生命周期内的数字证书进行全过程管理,主要功能包括:证书注册管理系统的管理,证书/证书撤消列表的生成、签发、存储、更新,并将证书/证书撤消列表发布到证书查验服务系统等。
证书注册管理系统负责用户证书/证书撤消列表的申请、审核以及证书的制作,主要功能包括:用户信息录人、修改、查询、审核以及用户证书下载等。证书查验服务系统应采用下推方式由主目录服务系统向从目录服务系统进行自动映射,实现数据同步,主要功能包括:证书/证书撤消列表的存储和发布,为用户和应用系统提供证书状态查询和验证服务。
7.3.3性能
部级电子认证系统的基准性能要求:证书发放和管理能力不低于50万张,a)
证书撤消列表的发放和管理能力不低于5000个CRL文件。b)
可同时响应不低于50个RA系统的业务请求。d)
证书签发速度不低于60张/分钟。密钥的保存期应大于10年。
系统采用允余设计,能够提供7×24小时不间断服务。7.4省级电子认证系统
7.4.1结构
按照分步实施的建设原则,结合本地实际情况,省级电子认证系统可以选择以下两种建设模式:a)模式一:建设二级电子认证系统以人力资源社会保障电子认证根系统为基础,在省级业务专网中建设二级电子认证系统。省级电子认证系统向人力资源社会保障电子认证根系统提出申请,由电子认证根系统为其签发二级CA证书。省级电子认证系统为一个独立运行的电子认证系统,日常证书业务不与部级电子认证系统实时通信,但需按照相关要求及时向部级电子认证系统提供数据。省级电子认证系统(模式一)的结构如图4所示。省级电子认证系统(模式一)主要包括:密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等。密钥管理系统采用国家密码管理局规划建设的密钥基础设施提供密钥管理服务。在公共服务网中,建设证书查验服务系统。业务专网和公共服务网进行网络隔离,在安全控制的前提下,证书查验服务系统应实现主从系统的数据同步。6
密销管理
人力资源社会保障
电子认证根系统
证书签发
管理系统
证书注册
管理系统
省级电子认证系统
证书查验
服务系统
业务专网
证书查验
服务系统
公共服务网
网络隔离
图4省级电子认证系统(模式一)结构图b)模式二:建设证书注册管理系统在部级电子认证系统的基础上,在省级业务专网中建设省级证书注册管理系统。LD/T30.1—2009
省级证书注册管理系统作为部级电子认证系统的延伸,直接接人部级电子认证系统,所有数字证书由部级电子认证系统统一签发。省级电子认证系统(模式一)的结构如图5所示。部级电子认证系统
证书注册管理系统
证书注册点
证书查验服务系统
省级电子认证系统
图5省级电子认证系统(模式二)结构图省级电子认证系统(模式二)主要包括:证书注册管理系统、证书查验服务系统以及证书注册点。7.4.2功能
省级电子认证系统(模式一)
密钥管理系统对生命周期内的加密证书密钥对进行全过程管理,主要功能包括:密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤消、密钥归档、密钥恢复以及安全管理等。证书签发管理系统提供对生命周期内的数字证书进行全过程管理,主要功能包括:证书注册管理系统的管理,证书/证书撤消列表的生成、签发、存储、更新,并将证书/证书撤消列表发布到证书查验服务系统等。
证书注册管理系统负责用户证书/证书撤消列表的申请、审核以及证书的制作,主要功能包括:用户7
LD/T30.1—2009
信息录人、修改、查询、审核以及用户证书下载等。证书查验服务系统主要功能包括:证书/证书撤消列表的存储和发布,为用户和应用系统提供证书状态查询和验证服务。
b)省级电子认证系统(模式二)
证书注册管理系统负责用户证书/证书撤消列表的申请、审核以及证书的制作,主要功能包括:用户信息录人、修改、查询、审核以及用户证书下载等。证书查验服务系统主要功能包括:证书/证书撤消列表的存储和发布,为用户和应用系统提供证书状态查询和验证服务。
证书注册点是证书注册管理系统的一个操作终端,是面向最终证书用户服务的窗口,主要功能包括:用户信息录人、审核、证书下载等。7.4.3性能
省级电子认证系统的基准性能要求:证书发放和管理能力不低于30万张。a)
b)证书撤消列表的发放和管理能力不低于5000个CRL文件。CA系统可同时响应不低于50个RA系统的业务请求。d)证书签发速度不低于60张/分钟。e)
密钥的保存期应大于10年。
系统采用余设计,能够提供7×24小时不间断服务。7.5市级电子认证系统
7.5.1结构
市级电子认证系统的结构如图6所示。省级电子认证系统
市级电子认证系统(模式一)
证书注册管理系统
证书注册点
证书查验
服务系线
市级电子认证系统
(模式二)
证书注册点
图6市级电子认证系统结构图
在省级电子认证系统的基础上,在市级业务专网中可以选择以下两种模式建设,模式一:在省级建设二级CA系统的基础上,建设证书注册管理系统、证书查验服务系统和证书注册点等。
模式二:在省级建设二级CA系统或RA系统的基础上,建设证书注册点。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。