LD/T 30.2-2009
基本信息
标准号: LD/T 30.2-2009
中文名称:人力资源和社会保障电子认证体系 第2部分:电子认证系人力资源和社会保障电子认证体系 第2部分:电子认证系统技术规范
标准类别:劳动和劳动安全行业标准(LD)
标准状态:现行
发布日期:2009-12-14
实施日期:2010-03-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:7005704
相关标签: 人力资源 社会保障 电子 认证 体系 系统 技术规范
标准分类号
标准ICS号:信息技术、办公机械设备>>35.040字符集和信息编码
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
页数:24页
标准价格:24.0 元
相关单位信息
起草单位:中华人民共和国人力资源和社会保障部信息中心
标准简介
LD/T 30.2-2009 人力资源和社会保障电子认证体系 第2部分:电子认证系人力资源和社会保障电子认证体系 第2部分:电子认证系统技术规范 LD/T30.2-2009 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
备案号:27109—2010
中华人民共和国劳动和劳动安全行业标准LD/T30.2—2009
人力资源和社会保障电子认证体系第2部分:电子认证系统技术规范Human resources and social security electronic authentication system-Part 2:Technology specification of electronic authentication system2009-12-14发布
中华人民共和国人力资源和社会保障部2010-03-01实施
LD/T 30.2-2009
规范性引用文件
术语和定义
缩略语
5电子认证体系的布局与结构
总体布局
电子认证系统的构成
6证书认证设施
证书签发管理系统
证书注册管理系统
6.3证书查验服务系统
密码管理设施
7.1密钥管理系统
密码服务系统
基础安全防护设施·
8.1防病毒系统.
8.2防火墙.·
8.3蒲洞扫描
8.4人侵检测..·
9业务流程与协议
9.1证书管理流程…
9.2证书验证协议·
附录A(资料性附录)
附录B(资料性附录)
省级电子认证系统(模式一)网络结构示意图..省级电子认证系统(模式二)网络结构示意图..12
LD/T30.2—2009
为适应人力资源和社会保障信息化发展要求,满足人力资源和社会保障网络信任体系建设和管理的需要,人力资源和社会保障部组织并制定了LD/T30一2009《人力资源和社会保障电子认证体系》。网络信任体系包括电子认证体系、授权管理体系和责任认定体系,本标准主要措述了人力资源和社会保障电子认证体系相关内容,包括以下五个部分:—第1部分:框架规范;
第2部分:电子认证系统技术规范;第3部分:证书及证书撤消列表格式规范;第4部分:证书应用管理规范;
第5部分:证书裁体规范。
本部分为LD/T30—2009的第2部分。本部分描述了人力资源和社会保障电子认证系统的体系架构、系统构成和系统功能等,是指导人力资源和社会保障部门建设电子认证系统的技术性规范和基本要求。本部分重点引用了《证书认证系统密码及其相关安全技术规范》,并在此基础上,扩展了证书管理流程、省级系统建设拓扑图等相关内容,从满足人力资源社会保障业务需求的角度,对建设本行业的电子认证系统提出规范和要求。
本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位:中华人民共和国人力资源和社会保障部信息中心、上海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人:赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴间滨、黄勇、吕丽娟、许华光、罗震、张加会、靳朝晖、陆春生、李永亮、宋京燕、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容,均按国家有关法规实施。1范围
人力资源和社会保障电子认证体系第2部分:电子认证系统技术规范LD/T30.2—2009
LD/T30的本部分描述了人力资源和社会保障电子认证系统体系架构、系统构成,定义了电子认证系统各单元的结构和基本功能,规定了电子认证系统的基础安全防护措施,规范了电子认证业务流程及相关协议。
本部分适用于指导人力资源和社会保障部门建设基于PKI技术的电子认证系统,有助于各级人力资源和社会保障部门建立适用于人力资源和社会保障业务系统发展的电子认证体系。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T19771一2005信息技术安全技术公钥基础设施PKI组件最小互操作规范GM00012005证书认证系统密码及其相关安全技术规范信息技术安全技术密码术语(国家密码管理局)数字证书认证系统密码协议规范(国家密码管理局)3术语和定义
以下术语和定义适用于本部分。3.1
certificationauthority
证书认证机构
负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.2
数字证书digitalcertificate
由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
CAcertificate
CA证书
由个证书认证机构给另一个证书认证机构签发的数字证书,一个证书认证机构也可以为白已签发数字证书,这是一种自签名的数字证书。3.4
东electronicauthenticationsystem电子认证系统
certificateauthenticationsystem证书认证系统
对生命周期内的数字证书进行全过程管理的安全系统。1
LD/T30.2—2009
certificaterevocationlist
证书撤消列表
标记一系列不再被证书发布者认为有效的证书的签名列表。3.6
私有密钥privatekey
在公钥密码体制中,用户密钥对中仅为该用户持有的密钥。3.7
公开密钥
publickey
在公钥密码体制中,用户密钥对中公布给其他用户的密钥。3.8
证书验证
certificate validation
确定证书在指定的时间内是否有效的过程。证书验证包括有效期验证、签名验证以及证书状态的检验。
证书认证路径
certification path
在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥,可以通过路径获得最终的顶点的公钥。3.10
证书载体
certificate entity
用于存储密钥和数字证书并具有密码运算功能的载体,包括智能密码钥匙(USBKey)和IC卡等。3.11
信任trust
通常,当一个实体(第一个实体)假设另一个实体(第二个实体)完全按照第一个实体的期望行动时,则称第一个实体“信任”第二个实体。这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系;鉴别实体应确信它能够“信任”认证机构仅创建有效且可靠的证书。
公开密钥基础设施
publickeyinfrastructure
用公钥密码技术建立的普遍适用的基础设施,为用户提供证书管理和密钥管理等安全服务。4
缩略语
下列缩略语适用于本部分:
证书认证机构(CertificationAuthority)证书撤消列表(CertificateRevocationList)增量证书撤消列表(delta-CRL)密钥管理中心(KeyManagementCenter)轻量级目录访间协议(LightweightDirectoryAccessProtocol)证书注册机构(RegistrationAuthority)5电子认证体系的布局与结构
5.1总体布局
LD/T30.2—2009
人力资源和社会保障电子认证体系由部、省、市三级电子认证系统组成,采用部、省两级电子认证模式(见图1)。
部级电子认证系统
人力资源社会保障
电子认证根系统
密钥管理系统
证书注册
管理系统
证书签发管理系统
业务专网
省级电子认证系统(模式一)
证书注册
管理系统
密销管理
证书签发
管理系统
证书查验
服务系统
业务专网
业务专间
证书注册管理系统
证书查验服务系统
市级电子认证系统(模式一)
证书查验
服务系统
证书查验
服务系统
公共服务网
网络隔离
业务专网
省级电子认证系统
(模式二)
证书注册
证书查验
服务系统
公共服务网
网络隔离
管理系统
业务专网
证书注册点
证书查验
服务系统
业务专网
市级电子认证系续(模式二)
图1人力资源和社会保障电子认证体系总体布局证书查验
服务系统
公共服务网
网络隔离
人力资源和社会保障部建立人力资源和社会保障电子认证根系统(一级CA),作为人力资源a
和社会保障网络信任体系的信任源点;建立部级电子认证节点(二级CA),包括:密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等,为部本级和全国性应用系统提供电子认证服务。
省级电子认证系统可选择以下两种建设模式:b)
模式一:省级电子认证系统作为省级电子认证节点(二级CA),以人力资源和社会保障电子认证根系统为依托,直接建立密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统。此模式为一个相对独立运行的电于认证系统,日常证书业务不与部级电于认证系3
LD/T30.2—2009
统实时通信,但需由部级电子认证系统为其签发二级CA证书。模式二:省级电子认证系统作为部级电子认证节点的延伸,建立证书注册管理系统和证书查验服务系统,直接接入部级电子认证系统,所有数字证书由部级电子认证系统统一签发。c)市级电了认证系统作为省级电子认证系统的延伸,根据省级所选建设模式,可选择以下两种建设模式:
模式一:在省级建设二级CA系统的基础上,建设证书注册管理系统、证书查验服务系统和证书注册点等,
模式二:在省级建设二级CA系统或RA系统的基础上,建设证书注册点。人力资源和社会保障电于认证体系总体布局如图1所示。5.2电子认证系统的构成
人力资源和社会保障电子认证系统主要包括证书认证设施和密码管理设施,以及相配套的基础安全防护设施。其中,证书认证设施包括证书签发管理系统、证书注册管理系统和证书查验服务系统;密码管理设施包括密钥管理系统和密码服务系统;基础安全防护设施包括防病毒、漏洞扫描、防火墙、人侵检测等系统,
电子认证系统的构成如图2所示。基础安全
防护设施
防火蜡
6证书认证设施
满润扫描
入侵检测
6.1证书签发管理系统
6.1.1系统描述
人力资源和社会保障应用系统
证书认证设施
证书注册管理系统
证书签发管理系线
密钥管理系统
密码管理设施
图2电子认证系统构成
延书查验服务系统
密码服务系线
证书签发管理系统是对生命周期内的数字证书进行全过程管理的安全系统,采用双证书(签名证书和加密证书)机制。证书签发管理系统提供数字证书生成、发布、撤消和存档等服务,接收来自证书注册管理系统的证书请求,向密钥管理系统请求加密密钥对,为用广签发数字证书和证书撤消列表,并将证4
书/证书撤消列表发布到证书查验服务系统。6.1.2系统结构
LD/T 30.2—2009
证书签发管理系统由证书业务服务、证书管理服务、证书签发服务、密码服务等模块组成。证书签发管理系统结构如图3所示。证书注册
管理系线
证书业务服务模块
证书业务服务模块
证书管理服务模块
证书签发服务
密码服务模块
图3证书签发管理系统结构
密钢管理
证书查验
服务系统
证书业务服务模块提供处理证书请求、证书更新、证书撤消、密钥恢复等功能。在处理完相关请求后,证书业务服务模块将证书或CRL的签发工作转交给证书签发服务模块处理。证书签发服务模块
证书签发服务模块根据证书业务服务模块的签发请求,向密钥管理系统申请密钥,获取密钥后,调用密码服务模块签发数字证书。对于CRL签发请求,直接由签发服务模块调用密码服务模块签发CRL。证书或CRL签发完成后,签发服务模块将证书和CRL发布到证书查验服务系统中。
证书管理服务模块
证书管理服务模块提供证书模板管理、证书归档、证书查询、证书统计等功能。d)
密码服务模块
密码服务模块负责为证书签发管理系统的各模块提供密码支持,以及负责与其他系统通信过程中的密码运算,主要完成签名和验证工作,签名密钥保存在密码设备中。在上述工作中,必须保证所使用的密钥不能以明文形式被读出密码设备。6.1.3系统功能
证书签发管理系统是电子认证系统的核心,不仅为整个证书认证系统提供签发证书/证书撤消列表的服务,还承担整个电子认证系统中主要的安全管理工作。证书签发管理系统的主要功能如下:a)证书生成与签发:从数据库中读取用户信息,根据拟签发的证书类型向密钥管理系统申请加密5
LD/T30.22009
密钥对,生成用户的签名证书和加密证书,将签发完成的证书发布到证书查验服务系统和数据库中。根据系统的配置和管理策略,不同种类或用途的证书可以采用不同的签名密钥。b)证书更新:系统应提供CA证书及用户证书的更新功能。证书撤消列表生成与签发:接收撤消信息,签发证书撤消列表,将签发后的撤消列表发布到证书查验服务系统和数据库中。
d)安全审计:负责对证书签发管理系统的管理人员、操作人员的操作日志进行查询、统计以及报表生成等。
安全管理:对证书签发管理系统的登录进行安全访问控制,对数据库进行管理和备份;设置管e
理员、操作员,并为这些人员申请和下载数字证书;配置不同的密码设备;配置不同的证书模板。
证书/证书撤消列表的存储。
证书签发管理系统应具有并行处理的能力。g)
6.2证书注册管理系统
系统描述
证书注册管理系统负责用户的证书申请、身份审核和证书下载。在数字证书申请过程中,证书注册管理系统的核心职责是将证书请求安全可信的提交到证书签发管理系统,等待其签发证书,签发完成后,将证书下载到证书载体中。6.2.2系统结构
证书注册管理由用户信息注册、业务处理、数据管理服务、操作员管理、密码服务等模块组成。证书注册管理系统结构如图4所示。用户往册
用户审核Www.bzxZ.net
用户信息注册模块
操作员
管理模块
业务处理模块
数据管理
服务模块
图4证书注册管理系统结构
a)用户信息注册模块
用户信息注册模块提供用户注册和用户审核等功能。b)
业务处理模块
密码服务
证书签发
管理系统
业务处理模块是证书注册管理系统的核心服务模块,提供证书请求、证书下载和证书模板管LD/T 30.2—2009
理等功能。证书请求是将经过身份审核的证书业务请求通过安全通道传输给证书签发管理系统。证书下载是将证书签发管理系统签发完成的证书通过安全通道下载到证书注册管理系统,并将证书下载到证书载体中;证书模板管理是定制证书类型和证书格式的管理工具。数据管理服务模块
数据管理服务模块提供完善的数据库管理服务,用于保存和管理用户信息、证书信息、操作员信息等。
操作员管理模块
操作员管理模块负责证书注册管理系统的操作员注册及其权限设置等管理工作。e)
密码服务模块
密码服务模块负责为证书注册管理系统的各模块提供密码支持,以及负责与其他系统通信过程中的密码运算,主要完成签名和验证工作,签名密钥保存在密码设备中。在进行上述工作中,必须保证所使用的密钥不能以明文形式被读出密码设备。6.2.3系统功能
证书注册管理系统负责用户证书/证书撤消列表的申请、审核以及证书的制作,其主要功能如下:用户信息的录入:录入用户的申请信息,用户申请信息包括签发证书所需要的信息,还包括用a)
于验证用户身份的信息,这些信息存放在证书注册管理系统的数据库中。证书注册管理系统应能够批量接收从外部系统生成的、以电子文档方式存储的用户信息。b)用户信息的审核:提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书签发所需要的信息提交给证书签发管理系统。用户证书下载:证书注册管理系统提供证书下载功能,当证书签发管理系统为用户签发证书后,证书注册管理系统能够下载用户证书,并将用户证书写入指定的证书载体中,然后分发给用户。
d)安全审计:负责对证书注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及报表生成等。
安全管理:对证书注册管理系统的登录进行安全访问控制,并对用户信息数据库进行管理和e)
备份。
多级审核:证书注册管理系统可根据需要采用分级部署的模式,对不同类型的证书,可由不同级别的证书注册管理系统进行审核。证书注册管理系统应能够根据需求支持多级注册管理系统的建立和多级审核模式。
g)证书注册管理系统应具有并行处理的能力。6.3证书查验服务系统
6.3.1系统描述
证书查验服务系统负责数字证书\\证书撤消列表的存储和发布,为用户和应用系统提供证书状态查询服务,用户或应用系统利用数字证书中标识的CRL地址下载CRL文件,从而检验证书的有效性。6.3.2系统结构
证书查验服务系统应采用主从目录结构以保证证书查验服务系统的安全。证书签发管理系统签发完成的数据直接写人主目录服务器,然后由目录服务器的主从映射功能自动映射到从目录服务器中,从目录服务器可以采用分布式的方式进行设置,以提高系统的效率。主、从目录服务器通常配置在不同等7
LD/T30.2—2009
级的安全区域。用户只能访问从目录服务器。证书查验服务系统结构如图5所示。证书签发
管理系统
主目录
服务器
证书查验服务系统
逻辑隔离
图5证书查验服务系统结构
6.3.3系统功能
从目录
服务器
证书查验服务系统面向用户和应用系统提供证书下载及CRL下载功能。a)
证书存储。
证书撤消列表存储。
证书和CRL发布。
证书状态查询:用户或应用系统使用数字证书中签发的CRL地址,根据需要到目录服务器下载CRL列表,查询证书状态,验证证书有效性。e
目录访问控制:证书查验服务系统需要对目录的访问进行控制,用户和应用系统可根据证书中签发的目录服务器地址及DN访问从目录服务器,可下载对应的数字证书和CRL。密码管理设施
7.1密钥管理系统
7.1.1系统描述
密钥管理系统基于公开密钥技术,负责为证书认证设施提供密钥服务,主要功能包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤消、密钥归档和密钥恢复等。7.1.2系统结构
密钥管理系统由密钥生成、密钥管理、密钥库管理、认证管理、密码服务、密钥恢复和安全审计等模块组成。
密钥管理系统结构如图6所示。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
备案号:27109—2010
中华人民共和国劳动和劳动安全行业标准LD/T30.2—2009
人力资源和社会保障电子认证体系第2部分:电子认证系统技术规范Human resources and social security electronic authentication system-Part 2:Technology specification of electronic authentication system2009-12-14发布
中华人民共和国人力资源和社会保障部2010-03-01实施
LD/T 30.2-2009
规范性引用文件
术语和定义
缩略语
5电子认证体系的布局与结构
总体布局
电子认证系统的构成
6证书认证设施
证书签发管理系统
证书注册管理系统
6.3证书查验服务系统
密码管理设施
7.1密钥管理系统
密码服务系统
基础安全防护设施·
8.1防病毒系统.
8.2防火墙.·
8.3蒲洞扫描
8.4人侵检测..·
9业务流程与协议
9.1证书管理流程…
9.2证书验证协议·
附录A(资料性附录)
附录B(资料性附录)
省级电子认证系统(模式一)网络结构示意图..省级电子认证系统(模式二)网络结构示意图..12
LD/T30.2—2009
为适应人力资源和社会保障信息化发展要求,满足人力资源和社会保障网络信任体系建设和管理的需要,人力资源和社会保障部组织并制定了LD/T30一2009《人力资源和社会保障电子认证体系》。网络信任体系包括电子认证体系、授权管理体系和责任认定体系,本标准主要措述了人力资源和社会保障电子认证体系相关内容,包括以下五个部分:—第1部分:框架规范;
第2部分:电子认证系统技术规范;第3部分:证书及证书撤消列表格式规范;第4部分:证书应用管理规范;
第5部分:证书裁体规范。
本部分为LD/T30—2009的第2部分。本部分描述了人力资源和社会保障电子认证系统的体系架构、系统构成和系统功能等,是指导人力资源和社会保障部门建设电子认证系统的技术性规范和基本要求。本部分重点引用了《证书认证系统密码及其相关安全技术规范》,并在此基础上,扩展了证书管理流程、省级系统建设拓扑图等相关内容,从满足人力资源社会保障业务需求的角度,对建设本行业的电子认证系统提出规范和要求。
本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位:中华人民共和国人力资源和社会保障部信息中心、上海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人:赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴间滨、黄勇、吕丽娟、许华光、罗震、张加会、靳朝晖、陆春生、李永亮、宋京燕、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容,均按国家有关法规实施。1范围
人力资源和社会保障电子认证体系第2部分:电子认证系统技术规范LD/T30.2—2009
LD/T30的本部分描述了人力资源和社会保障电子认证系统体系架构、系统构成,定义了电子认证系统各单元的结构和基本功能,规定了电子认证系统的基础安全防护措施,规范了电子认证业务流程及相关协议。
本部分适用于指导人力资源和社会保障部门建设基于PKI技术的电子认证系统,有助于各级人力资源和社会保障部门建立适用于人力资源和社会保障业务系统发展的电子认证体系。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T19771一2005信息技术安全技术公钥基础设施PKI组件最小互操作规范GM00012005证书认证系统密码及其相关安全技术规范信息技术安全技术密码术语(国家密码管理局)数字证书认证系统密码协议规范(国家密码管理局)3术语和定义
以下术语和定义适用于本部分。3.1
certificationauthority
证书认证机构
负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.2
数字证书digitalcertificate
由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
CAcertificate
CA证书
由个证书认证机构给另一个证书认证机构签发的数字证书,一个证书认证机构也可以为白已签发数字证书,这是一种自签名的数字证书。3.4
东electronicauthenticationsystem电子认证系统
certificateauthenticationsystem证书认证系统
对生命周期内的数字证书进行全过程管理的安全系统。1
LD/T30.2—2009
certificaterevocationlist
证书撤消列表
标记一系列不再被证书发布者认为有效的证书的签名列表。3.6
私有密钥privatekey
在公钥密码体制中,用户密钥对中仅为该用户持有的密钥。3.7
公开密钥
publickey
在公钥密码体制中,用户密钥对中公布给其他用户的密钥。3.8
证书验证
certificate validation
确定证书在指定的时间内是否有效的过程。证书验证包括有效期验证、签名验证以及证书状态的检验。
证书认证路径
certification path
在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥,可以通过路径获得最终的顶点的公钥。3.10
证书载体
certificate entity
用于存储密钥和数字证书并具有密码运算功能的载体,包括智能密码钥匙(USBKey)和IC卡等。3.11
信任trust
通常,当一个实体(第一个实体)假设另一个实体(第二个实体)完全按照第一个实体的期望行动时,则称第一个实体“信任”第二个实体。这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系;鉴别实体应确信它能够“信任”认证机构仅创建有效且可靠的证书。
公开密钥基础设施
publickeyinfrastructure
用公钥密码技术建立的普遍适用的基础设施,为用户提供证书管理和密钥管理等安全服务。4
缩略语
下列缩略语适用于本部分:
证书认证机构(CertificationAuthority)证书撤消列表(CertificateRevocationList)增量证书撤消列表(delta-CRL)密钥管理中心(KeyManagementCenter)轻量级目录访间协议(LightweightDirectoryAccessProtocol)证书注册机构(RegistrationAuthority)5电子认证体系的布局与结构
5.1总体布局
LD/T30.2—2009
人力资源和社会保障电子认证体系由部、省、市三级电子认证系统组成,采用部、省两级电子认证模式(见图1)。
部级电子认证系统
人力资源社会保障
电子认证根系统
密钥管理系统
证书注册
管理系统
证书签发管理系统
业务专网
省级电子认证系统(模式一)
证书注册
管理系统
密销管理
证书签发
管理系统
证书查验
服务系统
业务专网
业务专间
证书注册管理系统
证书查验服务系统
市级电子认证系统(模式一)
证书查验
服务系统
证书查验
服务系统
公共服务网
网络隔离
业务专网
省级电子认证系统
(模式二)
证书注册
证书查验
服务系统
公共服务网
网络隔离
管理系统
业务专网
证书注册点
证书查验
服务系统
业务专网
市级电子认证系续(模式二)
图1人力资源和社会保障电子认证体系总体布局证书查验
服务系统
公共服务网
网络隔离
人力资源和社会保障部建立人力资源和社会保障电子认证根系统(一级CA),作为人力资源a
和社会保障网络信任体系的信任源点;建立部级电子认证节点(二级CA),包括:密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等,为部本级和全国性应用系统提供电子认证服务。
省级电子认证系统可选择以下两种建设模式:b)
模式一:省级电子认证系统作为省级电子认证节点(二级CA),以人力资源和社会保障电子认证根系统为依托,直接建立密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统。此模式为一个相对独立运行的电于认证系统,日常证书业务不与部级电于认证系3
LD/T30.2—2009
统实时通信,但需由部级电子认证系统为其签发二级CA证书。模式二:省级电子认证系统作为部级电子认证节点的延伸,建立证书注册管理系统和证书查验服务系统,直接接入部级电子认证系统,所有数字证书由部级电子认证系统统一签发。c)市级电了认证系统作为省级电子认证系统的延伸,根据省级所选建设模式,可选择以下两种建设模式:
模式一:在省级建设二级CA系统的基础上,建设证书注册管理系统、证书查验服务系统和证书注册点等,
模式二:在省级建设二级CA系统或RA系统的基础上,建设证书注册点。人力资源和社会保障电于认证体系总体布局如图1所示。5.2电子认证系统的构成
人力资源和社会保障电子认证系统主要包括证书认证设施和密码管理设施,以及相配套的基础安全防护设施。其中,证书认证设施包括证书签发管理系统、证书注册管理系统和证书查验服务系统;密码管理设施包括密钥管理系统和密码服务系统;基础安全防护设施包括防病毒、漏洞扫描、防火墙、人侵检测等系统,
电子认证系统的构成如图2所示。基础安全
防护设施
防火蜡
6证书认证设施
满润扫描
入侵检测
6.1证书签发管理系统
6.1.1系统描述
人力资源和社会保障应用系统
证书认证设施
证书注册管理系统
证书签发管理系线
密钥管理系统
密码管理设施
图2电子认证系统构成
延书查验服务系统
密码服务系线
证书签发管理系统是对生命周期内的数字证书进行全过程管理的安全系统,采用双证书(签名证书和加密证书)机制。证书签发管理系统提供数字证书生成、发布、撤消和存档等服务,接收来自证书注册管理系统的证书请求,向密钥管理系统请求加密密钥对,为用广签发数字证书和证书撤消列表,并将证4
书/证书撤消列表发布到证书查验服务系统。6.1.2系统结构
LD/T 30.2—2009
证书签发管理系统由证书业务服务、证书管理服务、证书签发服务、密码服务等模块组成。证书签发管理系统结构如图3所示。证书注册
管理系线
证书业务服务模块
证书业务服务模块
证书管理服务模块
证书签发服务
密码服务模块
图3证书签发管理系统结构
密钢管理
证书查验
服务系统
证书业务服务模块提供处理证书请求、证书更新、证书撤消、密钥恢复等功能。在处理完相关请求后,证书业务服务模块将证书或CRL的签发工作转交给证书签发服务模块处理。证书签发服务模块
证书签发服务模块根据证书业务服务模块的签发请求,向密钥管理系统申请密钥,获取密钥后,调用密码服务模块签发数字证书。对于CRL签发请求,直接由签发服务模块调用密码服务模块签发CRL。证书或CRL签发完成后,签发服务模块将证书和CRL发布到证书查验服务系统中。
证书管理服务模块
证书管理服务模块提供证书模板管理、证书归档、证书查询、证书统计等功能。d)
密码服务模块
密码服务模块负责为证书签发管理系统的各模块提供密码支持,以及负责与其他系统通信过程中的密码运算,主要完成签名和验证工作,签名密钥保存在密码设备中。在上述工作中,必须保证所使用的密钥不能以明文形式被读出密码设备。6.1.3系统功能
证书签发管理系统是电子认证系统的核心,不仅为整个证书认证系统提供签发证书/证书撤消列表的服务,还承担整个电子认证系统中主要的安全管理工作。证书签发管理系统的主要功能如下:a)证书生成与签发:从数据库中读取用户信息,根据拟签发的证书类型向密钥管理系统申请加密5
LD/T30.22009
密钥对,生成用户的签名证书和加密证书,将签发完成的证书发布到证书查验服务系统和数据库中。根据系统的配置和管理策略,不同种类或用途的证书可以采用不同的签名密钥。b)证书更新:系统应提供CA证书及用户证书的更新功能。证书撤消列表生成与签发:接收撤消信息,签发证书撤消列表,将签发后的撤消列表发布到证书查验服务系统和数据库中。
d)安全审计:负责对证书签发管理系统的管理人员、操作人员的操作日志进行查询、统计以及报表生成等。
安全管理:对证书签发管理系统的登录进行安全访问控制,对数据库进行管理和备份;设置管e
理员、操作员,并为这些人员申请和下载数字证书;配置不同的密码设备;配置不同的证书模板。
证书/证书撤消列表的存储。
证书签发管理系统应具有并行处理的能力。g)
6.2证书注册管理系统
系统描述
证书注册管理系统负责用户的证书申请、身份审核和证书下载。在数字证书申请过程中,证书注册管理系统的核心职责是将证书请求安全可信的提交到证书签发管理系统,等待其签发证书,签发完成后,将证书下载到证书载体中。6.2.2系统结构
证书注册管理由用户信息注册、业务处理、数据管理服务、操作员管理、密码服务等模块组成。证书注册管理系统结构如图4所示。用户往册
用户审核Www.bzxZ.net
用户信息注册模块
操作员
管理模块
业务处理模块
数据管理
服务模块
图4证书注册管理系统结构
a)用户信息注册模块
用户信息注册模块提供用户注册和用户审核等功能。b)
业务处理模块
密码服务
证书签发
管理系统
业务处理模块是证书注册管理系统的核心服务模块,提供证书请求、证书下载和证书模板管LD/T 30.2—2009
理等功能。证书请求是将经过身份审核的证书业务请求通过安全通道传输给证书签发管理系统。证书下载是将证书签发管理系统签发完成的证书通过安全通道下载到证书注册管理系统,并将证书下载到证书载体中;证书模板管理是定制证书类型和证书格式的管理工具。数据管理服务模块
数据管理服务模块提供完善的数据库管理服务,用于保存和管理用户信息、证书信息、操作员信息等。
操作员管理模块
操作员管理模块负责证书注册管理系统的操作员注册及其权限设置等管理工作。e)
密码服务模块
密码服务模块负责为证书注册管理系统的各模块提供密码支持,以及负责与其他系统通信过程中的密码运算,主要完成签名和验证工作,签名密钥保存在密码设备中。在进行上述工作中,必须保证所使用的密钥不能以明文形式被读出密码设备。6.2.3系统功能
证书注册管理系统负责用户证书/证书撤消列表的申请、审核以及证书的制作,其主要功能如下:用户信息的录入:录入用户的申请信息,用户申请信息包括签发证书所需要的信息,还包括用a)
于验证用户身份的信息,这些信息存放在证书注册管理系统的数据库中。证书注册管理系统应能够批量接收从外部系统生成的、以电子文档方式存储的用户信息。b)用户信息的审核:提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书签发所需要的信息提交给证书签发管理系统。用户证书下载:证书注册管理系统提供证书下载功能,当证书签发管理系统为用户签发证书后,证书注册管理系统能够下载用户证书,并将用户证书写入指定的证书载体中,然后分发给用户。
d)安全审计:负责对证书注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及报表生成等。
安全管理:对证书注册管理系统的登录进行安全访问控制,并对用户信息数据库进行管理和e)
备份。
多级审核:证书注册管理系统可根据需要采用分级部署的模式,对不同类型的证书,可由不同级别的证书注册管理系统进行审核。证书注册管理系统应能够根据需求支持多级注册管理系统的建立和多级审核模式。
g)证书注册管理系统应具有并行处理的能力。6.3证书查验服务系统
6.3.1系统描述
证书查验服务系统负责数字证书\\证书撤消列表的存储和发布,为用户和应用系统提供证书状态查询服务,用户或应用系统利用数字证书中标识的CRL地址下载CRL文件,从而检验证书的有效性。6.3.2系统结构
证书查验服务系统应采用主从目录结构以保证证书查验服务系统的安全。证书签发管理系统签发完成的数据直接写人主目录服务器,然后由目录服务器的主从映射功能自动映射到从目录服务器中,从目录服务器可以采用分布式的方式进行设置,以提高系统的效率。主、从目录服务器通常配置在不同等7
LD/T30.2—2009
级的安全区域。用户只能访问从目录服务器。证书查验服务系统结构如图5所示。证书签发
管理系统
主目录
服务器
证书查验服务系统
逻辑隔离
图5证书查验服务系统结构
6.3.3系统功能
从目录
服务器
证书查验服务系统面向用户和应用系统提供证书下载及CRL下载功能。a)
证书存储。
证书撤消列表存储。
证书和CRL发布。
证书状态查询:用户或应用系统使用数字证书中签发的CRL地址,根据需要到目录服务器下载CRL列表,查询证书状态,验证证书有效性。e
目录访问控制:证书查验服务系统需要对目录的访问进行控制,用户和应用系统可根据证书中签发的目录服务器地址及DN访问从目录服务器,可下载对应的数字证书和CRL。密码管理设施
7.1密钥管理系统
7.1.1系统描述
密钥管理系统基于公开密钥技术,负责为证书认证设施提供密钥服务,主要功能包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤消、密钥归档和密钥恢复等。7.1.2系统结构
密钥管理系统由密钥生成、密钥管理、密钥库管理、认证管理、密码服务、密钥恢复和安全审计等模块组成。
密钥管理系统结构如图6所示。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。