GB/T 25056-2010
基本信息
标准号: GB/T 25056-2010
中文名称:信息安全技术 证书认证系统密码及其相关安全技术规范
标准类别:国家标准(GB)
标准状态:现行
发布日期:2010-09-02
出版语种:简体中文
下载格式:.rar .pdf
下载大小:23747917
相关标签: 信息安全 技术 证书 认证 系统 密码 相关 安全 技术规范
标准分类号
关联标准
出版信息
出版社:中国标准出版社
标准价格:0.0 元
出版日期:2011-02-01
相关单位信息
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
标准简介
GB/T 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T25056-2010 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T25056—2010
信息安全技术
证书认证系统
密码及其相关安全技术规范
Information security techniques-Specifications of cryptograph and relatedsecurity technology for certificateauthentication system2010-09-02发布
中华人民共和国国家质量监督检验检疫总局数码防估
中国国家标准化管理委员会
2011-02-01实施
规范性引用文件
术语和定义
缩略语
证书认证系统
功能描述
系统设计
数字证书
证书撤销列表
密钥管理中心
结构描述
功能描述
系统设计:
KMC与CA的安全通信协议
密码算法、密码设备及接口
密码算法
密码设备·
密码服务接口·
证书管理协议:
证书验证协议,
安全通信协议
证书认证中心建设
系统·
数据备份·
可靠性
物理安全·
人事管理制度·
密钥管理中心建设
建设原则
数据备份
可靠性
物理安全
GB/T25056—2010
GB/T25056—2010
人事管理制度
11证书认证中心运行管理要求
11.1人员管理要求
11.2CA业务运行管理要求
密钥分管要求
安全管理要求
安全审计要求
文档配备要求
密钥管理中心运行管理要求
人员管理要求
运行管理要求
密钥分管要求
安全管理要求
安全审计要求
文档配备要求
系统初始化
用户注册管理系统
证书/证书撤销列表生成与签发系统证书/证书撤销列表存储与发布系统证书状态查询系统
安全审计系统
密钥管理中心检测
系统安全性检测
其他安全产品和系统
附录A(资料性附录)KMC与CA之间的消息格式A.1
附录B(资料性附录)
符号说明
身份鉴别
密钥交换
安全通信协议
附录C(资料性附录)
安全通信协议
密码设备接口函数定义及说明
应用类密码设备接口函数
证书载体接口函数
附录D(资料性附录)证书认证系统网络结构图D.1
当RA采用C/S模式时CA的网络结构当RA采用B/S模式时CA的网络结构CA与远程RA的连接
D.4KMC与多个CA的网络连接
参考文献
图1证书认证系统逻辑结构
图2用户注册管理系统逻辑结构
图3密钥管理中心逻辑结构
RA采用C/S模式时CA的网络结构示意图图D.1
RA采用B/S模式时CA的网络结构示意图图D.2
CA与远程RA的连接示意图
KMC与多个CA的网络连接示意图
GB/T25056—2010
本标准附录A、附录B、附录C、附录D均为资料性附录。本标准由国家密码管理局提出。本标准由全国信息安全标准化技术委员会(SAC/TC260)归口。GB/T25056—2010
本标准主要起草单位:长春吉大正元信息技术股份有限公司、国家密码管理局商用密码研究中心国家信息安全工程技术研究中心。本标准相关参与起草单位:无锡江南信息安全工程技术中心、上海格尔软件股份有限公司、北京信安世纪科技有限公司、济南得安计算机技术有限公司、北京创原天地科技有限公司、卫士通信息产业股份有限公司、天津市国瑞数码安全系统有限公司、兴唐通信科技股份有限公司、中国科学院数据与通信保护研究教育中心、北京格方网络技术有限公司、北京天融信科技有限公司、维豪信息技术有限公司等。本标准主要起草人:邱泽军、王永传、何立波、谢永泉、姜玉琳、刘海龙、邓开勇、罗鹏、田景成、赵丹、张文建、李大为。
袁文恭、刘平、何良生、邱钢、陈连俊等专家指导了本标准的起草。V
1范围
信息安全技术证书认证系统
密码及其相关安全技术规范
GB/T25056——2010
本标准规定了为公众服务的数字证书认证系统的设计、建设、检测、运行及管理规范。本标准为实现数字证书认证系统的互连互通和交叉认证提供统一的依据,指导第三方证书认证机构的数字证书认证系统的建设和检测评估,规范数字证书认证系统中密码及相关安全技术的应用。本标准适用于第三方证书认证机构的数字证书认证系统的设计、建设、检测、运行及管理。非第三方证书认证机构的数字证书认证系统的建设、运行及管理,可参照本标准。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T2887一2000电子计算机场地通用规范GB/T9361-1988计算机场地安全要求GB/T20518一2006信息安全技术公钥基础设施数字证书格式GB50174—2008电子信息系统机房设计规范SJ/T10796—一1996计算机机房用活动地板技术条件3术语和定义
下列术语和定义适用于本标准。3.1
authoritycertificate
认证机构证书
签发给证书认证机构的证书。
CA证书CAcertificate
由一个CA给另一个CA签发的证书,一个CA也可以为自已签发证书,这是一种自签名的证书。3.3
证书认证系统
certificateauthenticationsystem对生命周期内的数字证书进行全过程管理的安全系统。3.4
证书策略
fcertificatepolicy
是一个指定的规则集合,它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适用性。例如,一个特定的证书策略可以指出一个类型的证书对在一定的价格幅度下商品交易的电子数据处理的认证的适用性。
certificaterevocationlist;CRL证书撤销列表
标记一系列不再被证书发布者所信任的证书的签名列表。GB/T25056—2010
证书验证
certificatevalidation
确定证书在指定的时间内是否有效的过程。证书验证包括有效期验证、签名验证以及证书状态的检验。
证书认证机构certificateauthority:CA又称为认证中心或CA,它是被用户所信任的签发公钥证书及证书撤销列表的管理机构。3.8
certificateauthorityrevocationlist;ARLCA注销列表
标记已经被注销的CA的公钥证书的列表,表示这些证书已经无效。3.9
证书认证路径
ccrtificationpath
在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥,可以通过路径获得最终的顶点的公钥。3.10
证书撤销列表分布点certificaterevocationlistdistributionpoint一个目录条目或其他的证书撤销列表分布源,一个通过证书撤销列表分布点发布的证书撤销列表,可以包括由一个CA发布的所有证书中的一个证书子集的注销条目,也可以包括全部证书的注销条目。3.11
增量证书撤销列表delta-CRL;dCRL是一个部分的证书撤销列表,它只包括那些在基础证书撤销列表确认后注销状态改变的证书的条目。
证书序列号certificateserialnumber在一个证书认证机构所签发的证书中用于唯一标识数字证书的一个整数。3.13
数字证书digitalcertificate
由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
完全的证书撤销列表
fullCRL
在给定的范围内,包含所有已经被注销的证书的证书撤销列表。3.15
私钥privatekey
在公钥密码系统中,用户的密钥对中只有用户本身才能持有的密钥。3.16
公钥publickey
在公钥密码系统中,用户的密钥对中可以被其他用户所持有的密钥。3.17
证书注册机构
registrationauthority:RA
证书认证体系中的一个组成部分,它是接收用户证书及证书撤销列表申请信息、审核用户真实身份、为用户额发证书的管理机构。2
依赖方relyingparty
使用证书中的数据进行决策的用户或代理。3.19
各securitypolicy
安全策略
GB/T25056—2010
由证书认证机构发布的用于约束安全服务以及设施的使用和提供方式的规则集合。3.20
通常说一个实体信任另一个实体表示后一个实体将完全按照第一个实体的规定进行相关的活动。在本标准中,信任用来措述一个认证实体与证书认证机构之间的关系。缩略语
CertificateAuthorityRevocationListCA注销列表CertificateAuthority证书认证机构CertificateRevocationList证书撤销列表Delta-CRL增量证书撤销列表
DerectoryInformationTree目录信息树系统HypertextTransferProtocol超文本传输协议HTTPSSecureHypertextTransferProtocol安全超文本传输协议KMC
KeyManagementCentre密钥管理中心LightweightDirectoryAccessProtocol轻量目录访间协议OnlineCertificateStatusProtocol在线证书状态查询协议ObjeciID对象标识符
RegistrationAuthority证书注册机构SimpleOnlineCertificateStatusProtocol简明在线证书状态查询协议5证书认证系统
5.1概述
证书认证系统是对生命周期内的数字证书进行全过程管理的安全系统。证书认证系统必须采用双证书(用于数字签名的证书和用于数字加密的证书)机制,并建设双中心(证书认证中心和密钥管理中心)。证书认证系统在辑上可分为核心层、管理层和服务层,其中,核心层由密钥管理中心、证书/证书撤销列表签发系统、证书/证书撤销列表存储发布管理系统构成;管理层由证书管理系统和安全管理系统构成;服务层由证书注册管理系统(包括远程用户注册管理系统)和证书查询系统构成。建议的证书认证系统的逻辑结构如图1所示。5.2功能描述
5.2.1概述
证书认证系统提供了对生命周期内的数字证书进行全过程管理的功能,包括用户注册管理、证书,证书撤销列表的生成与签发、证书/证书撤销列表的存储与发布、证书状态的查询和密钥的生成与管理以及安全管理等。
5.2.2用户注册管理系统
用户注册管理系统负责用户的证书申请、身份审核和证书下载,可分为本地注册管理系统和远程注册管理系统。
GB/T25056—2010
证书/CRL
存储发布系统
远程用户注册管理系统
终端实体
5.2.2.1证书申请
证书管理系统
证书CRL查询系统wwW.bzxz.Net
证书/CRL生成与
签发系统
安全管理系统
用户注册管理系统
终端实体
证书认证系统逻辑结构
证书申请可采用在线或离线两种方式:在线方式:用户通过互联网等登录到用户注册管理系统申请证书;离线方式:用户到指定的注册机构申请证书。5.2.2.2身份审核
审核人员通过用户注册管理系统,对证书中请者进行身份审核。5.2.2.3证书下载
证书下载可采用在线或离线两种方式:在线方式:用户通过互联网等登录到用户注册管理系统下载证书;离线方式:用户到指定的注册机构下载证书。5.2.3证书/证书撤销列表生成与签发系统5.2.3.1功能
证书/证书撤销列表生成与签发系统负责生成、签发数字证书和证书撤销列表。5.2.3.2证书类型
按主体对象,证书分为人员证书、设备证书和机构证书三种类型。按功能,证书分为加密证书和签名证书两种类型。5.2.3.3证书机制
密销管理中心
证书认证系统采用双证书机制。每个用户拥有两张数字证书,一张用于数字签名,另一张用于数据4
GB/T25056—2010
加密。用于数字签名的密钥对可以由用户利用具有密码运算功能的证书载休产生;用于数据加密的密钥对由密钥管理中心产生并负责安全管理。签名证书和加密证书一起保存在用户的证书载体中。5.2.3.4证书生成/签发
用户的数字证书由该系统的CA签发,根CA的数字证书由根CA自己签发,下级CA的数字证书由上级CA签发。
5.2.3.5证书撤销列表
证书撤销列表是在证书有效期之内,CA签发的终止使用证书的信息,分为用户证书撤销列表(CRL)和CA证书撤销列表(ARL)两类。在证书的使用过程中,应用系统通过检查CRL/ARL,获取有关证书的状态。
5.2.4证书/证书撤销列表存储与发布系统证书/证书撤销列表存储与发布系统负责数字证书、证书撤销列表的存储和发布。根据应用环境的不同,证书/证书撤销列表存储与发布系统应采用数据库或目录服务方式,实现数字证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务使用日录服务方式,应采用主、从日录结构以保证主目录服务器的安全,同时从日录服务器可以采用分布式的方式进行设置,以提高系统的效率。用户只能访问从目录服务器。5.2.5证书状态查询系统
证书状态查询系统应为用户和应用系统提供证书状态查询服务,包括:一CRL查询:用户或应用系统利用数字证书中标识的CRL地址,下载CRL,并检验证书有效性。在线证书状念查询:用户或应用系统按照OCSP协议,实时在线查询证书的状态。在实际应用中,可以根据具体情况采用上述两种查询方式之一或全部。5.2.6证书管理系统
证书管理系统是证书认证系统中实现对证书/证书撤销列表的申请、审核、生成、签发、存储、发布、注销、归档等功能的管理控制系统。5.2.7安全管理系统
安全管理系统主要包括安全审计系统和安全防护系统。安全审计系统提供事件级审计功能,对涉及系统安全的行为、人员、时间等记录进行跟踪、统计和分析。
安全防护系统提供访问控制、入侵检测、漏洞扫描、病毒防治等网络安全功能,5.3系统设计
5.3.1概达述
证书认证系统的设计包括系统的总体设计和各子系统设计,本标准提供证书认证系统的设计原则以及各个子系统的实现方式,在具体实现过程中,应根据所选择的开发平台和开发环境进行详细设计。5.3.2总体设计原则
证书认证系统的总体设计原则如下:证书认证系统遵循标准化、模块化设计原则:a)
证书认证系统设置相对独立的功能模块,通过各模块之间的安全连接,实现各项功能;b)
各模块之间的通信采用基于身份鉴别机制的安全通信协议;各模块使用的密码运算都必须在密码设备中完成;d)
各模块产生的审计日志文件采用统一的格式传递和存储;用户注册管理系统、证书/证书撤销列表生成与签发系统和密钥管理中心可以设置独立的数据库;
证书认证系统的各模块应设置有效的系统管理功能;系统必须具备访问控制功能;
GB/T25056-2010
系统在实现证书管理功能的同时,必须充分考虑系统本身的安全性。5.3.3用户注册管理系统设计
5.3.3.1用户注册管理系统功能
用户注册管理系统负责用户证书/证书撤销列表的中请、审核以及证书的制作,其主要功能如下,用户信息的录入:录入用户的申请信息,用户申请信息包括签发证书所需要的信息,还包括用于验证用户身份的信息,这些信息存放在用户注册管理系统的数据库中。用户注册管理系统应能够批量接受从外部系统生成的、以电子文档方式存储的用户信息。用户信息的审核:提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书签发所需要的信息提交给签发系统。
用户证书下载:用户注册管理系统提供证书下载功能,当签发系统为用户签发证书后,用户注册管理系统能够下载用户证书,并将用户证书写人指定的用户证书载体中,然后分发给用户。安全审计:负责对用户注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及报表打印等。
安全管理:对用户注册管理系统的登陆进行安全访问控制,并对用户信息数据库进行管理和备份。
多级审核:用户注册管理系统可根据需要采用分级部署的模式,对不同种类和等级的证书,可由不同级别的用户注册管理系统进行审核。用户注册管理系统应能够根据需求支持多级注册管理系统的建立和多级审核模式。用户注册管理系统应具有并行处理的能力。5.3.3.2用户注册管理系统结构
用户注册管理系统有本地注册管理和远程注册管理两种方式,分别由注册管理、数据库、信息录人、身份审核、证书制作、安全管理以及安全审计儿部分构成。其结构如图2所示。安全管理
远程注册管理
信息录入
安全审计
身份审核
本地注册管理
图2用户注册管理系统逻辑结构
5.3.4证书/证书撤销列表生成与签发系统设计5.3.4.1证书/证书撤销列表生成与签发系统功能数据库
证书制作
证书/证书撤销列表生成与签发系统是证书认证系统的核心,不仅为整个证书认证系统提供签发证书/证书撤销列表的服务,还承担整个证书认证系统中主要的安全管理工作。其主要功能如下:
证书生成与签发,从数据库中读取与核对用户信息,根据拟签发的证书类型向密钥管理中心申6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T25056—2010
信息安全技术
证书认证系统
密码及其相关安全技术规范
Information security techniques-Specifications of cryptograph and relatedsecurity technology for certificateauthentication system2010-09-02发布
中华人民共和国国家质量监督检验检疫总局数码防估
中国国家标准化管理委员会
2011-02-01实施
规范性引用文件
术语和定义
缩略语
证书认证系统
功能描述
系统设计
数字证书
证书撤销列表
密钥管理中心
结构描述
功能描述
系统设计:
KMC与CA的安全通信协议
密码算法、密码设备及接口
密码算法
密码设备·
密码服务接口·
证书管理协议:
证书验证协议,
安全通信协议
证书认证中心建设
系统·
数据备份·
可靠性
物理安全·
人事管理制度·
密钥管理中心建设
建设原则
数据备份
可靠性
物理安全
GB/T25056—2010
GB/T25056—2010
人事管理制度
11证书认证中心运行管理要求
11.1人员管理要求
11.2CA业务运行管理要求
密钥分管要求
安全管理要求
安全审计要求
文档配备要求
密钥管理中心运行管理要求
人员管理要求
运行管理要求
密钥分管要求
安全管理要求
安全审计要求
文档配备要求
系统初始化
用户注册管理系统
证书/证书撤销列表生成与签发系统证书/证书撤销列表存储与发布系统证书状态查询系统
安全审计系统
密钥管理中心检测
系统安全性检测
其他安全产品和系统
附录A(资料性附录)KMC与CA之间的消息格式A.1
附录B(资料性附录)
符号说明
身份鉴别
密钥交换
安全通信协议
附录C(资料性附录)
安全通信协议
密码设备接口函数定义及说明
应用类密码设备接口函数
证书载体接口函数
附录D(资料性附录)证书认证系统网络结构图D.1
当RA采用C/S模式时CA的网络结构当RA采用B/S模式时CA的网络结构CA与远程RA的连接
D.4KMC与多个CA的网络连接
参考文献
图1证书认证系统逻辑结构
图2用户注册管理系统逻辑结构
图3密钥管理中心逻辑结构
RA采用C/S模式时CA的网络结构示意图图D.1
RA采用B/S模式时CA的网络结构示意图图D.2
CA与远程RA的连接示意图
KMC与多个CA的网络连接示意图
GB/T25056—2010
本标准附录A、附录B、附录C、附录D均为资料性附录。本标准由国家密码管理局提出。本标准由全国信息安全标准化技术委员会(SAC/TC260)归口。GB/T25056—2010
本标准主要起草单位:长春吉大正元信息技术股份有限公司、国家密码管理局商用密码研究中心国家信息安全工程技术研究中心。本标准相关参与起草单位:无锡江南信息安全工程技术中心、上海格尔软件股份有限公司、北京信安世纪科技有限公司、济南得安计算机技术有限公司、北京创原天地科技有限公司、卫士通信息产业股份有限公司、天津市国瑞数码安全系统有限公司、兴唐通信科技股份有限公司、中国科学院数据与通信保护研究教育中心、北京格方网络技术有限公司、北京天融信科技有限公司、维豪信息技术有限公司等。本标准主要起草人:邱泽军、王永传、何立波、谢永泉、姜玉琳、刘海龙、邓开勇、罗鹏、田景成、赵丹、张文建、李大为。
袁文恭、刘平、何良生、邱钢、陈连俊等专家指导了本标准的起草。V
1范围
信息安全技术证书认证系统
密码及其相关安全技术规范
GB/T25056——2010
本标准规定了为公众服务的数字证书认证系统的设计、建设、检测、运行及管理规范。本标准为实现数字证书认证系统的互连互通和交叉认证提供统一的依据,指导第三方证书认证机构的数字证书认证系统的建设和检测评估,规范数字证书认证系统中密码及相关安全技术的应用。本标准适用于第三方证书认证机构的数字证书认证系统的设计、建设、检测、运行及管理。非第三方证书认证机构的数字证书认证系统的建设、运行及管理,可参照本标准。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T2887一2000电子计算机场地通用规范GB/T9361-1988计算机场地安全要求GB/T20518一2006信息安全技术公钥基础设施数字证书格式GB50174—2008电子信息系统机房设计规范SJ/T10796—一1996计算机机房用活动地板技术条件3术语和定义
下列术语和定义适用于本标准。3.1
authoritycertificate
认证机构证书
签发给证书认证机构的证书。
CA证书CAcertificate
由一个CA给另一个CA签发的证书,一个CA也可以为自已签发证书,这是一种自签名的证书。3.3
证书认证系统
certificateauthenticationsystem对生命周期内的数字证书进行全过程管理的安全系统。3.4
证书策略
fcertificatepolicy
是一个指定的规则集合,它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适用性。例如,一个特定的证书策略可以指出一个类型的证书对在一定的价格幅度下商品交易的电子数据处理的认证的适用性。
certificaterevocationlist;CRL证书撤销列表
标记一系列不再被证书发布者所信任的证书的签名列表。GB/T25056—2010
证书验证
certificatevalidation
确定证书在指定的时间内是否有效的过程。证书验证包括有效期验证、签名验证以及证书状态的检验。
证书认证机构certificateauthority:CA又称为认证中心或CA,它是被用户所信任的签发公钥证书及证书撤销列表的管理机构。3.8
certificateauthorityrevocationlist;ARLCA注销列表
标记已经被注销的CA的公钥证书的列表,表示这些证书已经无效。3.9
证书认证路径
ccrtificationpath
在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥,可以通过路径获得最终的顶点的公钥。3.10
证书撤销列表分布点certificaterevocationlistdistributionpoint一个目录条目或其他的证书撤销列表分布源,一个通过证书撤销列表分布点发布的证书撤销列表,可以包括由一个CA发布的所有证书中的一个证书子集的注销条目,也可以包括全部证书的注销条目。3.11
增量证书撤销列表delta-CRL;dCRL是一个部分的证书撤销列表,它只包括那些在基础证书撤销列表确认后注销状态改变的证书的条目。
证书序列号certificateserialnumber在一个证书认证机构所签发的证书中用于唯一标识数字证书的一个整数。3.13
数字证书digitalcertificate
由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
完全的证书撤销列表
fullCRL
在给定的范围内,包含所有已经被注销的证书的证书撤销列表。3.15
私钥privatekey
在公钥密码系统中,用户的密钥对中只有用户本身才能持有的密钥。3.16
公钥publickey
在公钥密码系统中,用户的密钥对中可以被其他用户所持有的密钥。3.17
证书注册机构
registrationauthority:RA
证书认证体系中的一个组成部分,它是接收用户证书及证书撤销列表申请信息、审核用户真实身份、为用户额发证书的管理机构。2
依赖方relyingparty
使用证书中的数据进行决策的用户或代理。3.19
各securitypolicy
安全策略
GB/T25056—2010
由证书认证机构发布的用于约束安全服务以及设施的使用和提供方式的规则集合。3.20
通常说一个实体信任另一个实体表示后一个实体将完全按照第一个实体的规定进行相关的活动。在本标准中,信任用来措述一个认证实体与证书认证机构之间的关系。缩略语
CertificateAuthorityRevocationListCA注销列表CertificateAuthority证书认证机构CertificateRevocationList证书撤销列表Delta-CRL增量证书撤销列表
DerectoryInformationTree目录信息树系统HypertextTransferProtocol超文本传输协议HTTPSSecureHypertextTransferProtocol安全超文本传输协议KMC
KeyManagementCentre密钥管理中心LightweightDirectoryAccessProtocol轻量目录访间协议OnlineCertificateStatusProtocol在线证书状态查询协议ObjeciID对象标识符
RegistrationAuthority证书注册机构SimpleOnlineCertificateStatusProtocol简明在线证书状态查询协议5证书认证系统
5.1概述
证书认证系统是对生命周期内的数字证书进行全过程管理的安全系统。证书认证系统必须采用双证书(用于数字签名的证书和用于数字加密的证书)机制,并建设双中心(证书认证中心和密钥管理中心)。证书认证系统在辑上可分为核心层、管理层和服务层,其中,核心层由密钥管理中心、证书/证书撤销列表签发系统、证书/证书撤销列表存储发布管理系统构成;管理层由证书管理系统和安全管理系统构成;服务层由证书注册管理系统(包括远程用户注册管理系统)和证书查询系统构成。建议的证书认证系统的逻辑结构如图1所示。5.2功能描述
5.2.1概述
证书认证系统提供了对生命周期内的数字证书进行全过程管理的功能,包括用户注册管理、证书,证书撤销列表的生成与签发、证书/证书撤销列表的存储与发布、证书状态的查询和密钥的生成与管理以及安全管理等。
5.2.2用户注册管理系统
用户注册管理系统负责用户的证书申请、身份审核和证书下载,可分为本地注册管理系统和远程注册管理系统。
GB/T25056—2010
证书/CRL
存储发布系统
远程用户注册管理系统
终端实体
5.2.2.1证书申请
证书管理系统
证书CRL查询系统wwW.bzxz.Net
证书/CRL生成与
签发系统
安全管理系统
用户注册管理系统
终端实体
证书认证系统逻辑结构
证书申请可采用在线或离线两种方式:在线方式:用户通过互联网等登录到用户注册管理系统申请证书;离线方式:用户到指定的注册机构申请证书。5.2.2.2身份审核
审核人员通过用户注册管理系统,对证书中请者进行身份审核。5.2.2.3证书下载
证书下载可采用在线或离线两种方式:在线方式:用户通过互联网等登录到用户注册管理系统下载证书;离线方式:用户到指定的注册机构下载证书。5.2.3证书/证书撤销列表生成与签发系统5.2.3.1功能
证书/证书撤销列表生成与签发系统负责生成、签发数字证书和证书撤销列表。5.2.3.2证书类型
按主体对象,证书分为人员证书、设备证书和机构证书三种类型。按功能,证书分为加密证书和签名证书两种类型。5.2.3.3证书机制
密销管理中心
证书认证系统采用双证书机制。每个用户拥有两张数字证书,一张用于数字签名,另一张用于数据4
GB/T25056—2010
加密。用于数字签名的密钥对可以由用户利用具有密码运算功能的证书载休产生;用于数据加密的密钥对由密钥管理中心产生并负责安全管理。签名证书和加密证书一起保存在用户的证书载体中。5.2.3.4证书生成/签发
用户的数字证书由该系统的CA签发,根CA的数字证书由根CA自己签发,下级CA的数字证书由上级CA签发。
5.2.3.5证书撤销列表
证书撤销列表是在证书有效期之内,CA签发的终止使用证书的信息,分为用户证书撤销列表(CRL)和CA证书撤销列表(ARL)两类。在证书的使用过程中,应用系统通过检查CRL/ARL,获取有关证书的状态。
5.2.4证书/证书撤销列表存储与发布系统证书/证书撤销列表存储与发布系统负责数字证书、证书撤销列表的存储和发布。根据应用环境的不同,证书/证书撤销列表存储与发布系统应采用数据库或目录服务方式,实现数字证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务使用日录服务方式,应采用主、从日录结构以保证主目录服务器的安全,同时从日录服务器可以采用分布式的方式进行设置,以提高系统的效率。用户只能访问从目录服务器。5.2.5证书状态查询系统
证书状态查询系统应为用户和应用系统提供证书状态查询服务,包括:一CRL查询:用户或应用系统利用数字证书中标识的CRL地址,下载CRL,并检验证书有效性。在线证书状念查询:用户或应用系统按照OCSP协议,实时在线查询证书的状态。在实际应用中,可以根据具体情况采用上述两种查询方式之一或全部。5.2.6证书管理系统
证书管理系统是证书认证系统中实现对证书/证书撤销列表的申请、审核、生成、签发、存储、发布、注销、归档等功能的管理控制系统。5.2.7安全管理系统
安全管理系统主要包括安全审计系统和安全防护系统。安全审计系统提供事件级审计功能,对涉及系统安全的行为、人员、时间等记录进行跟踪、统计和分析。
安全防护系统提供访问控制、入侵检测、漏洞扫描、病毒防治等网络安全功能,5.3系统设计
5.3.1概达述
证书认证系统的设计包括系统的总体设计和各子系统设计,本标准提供证书认证系统的设计原则以及各个子系统的实现方式,在具体实现过程中,应根据所选择的开发平台和开发环境进行详细设计。5.3.2总体设计原则
证书认证系统的总体设计原则如下:证书认证系统遵循标准化、模块化设计原则:a)
证书认证系统设置相对独立的功能模块,通过各模块之间的安全连接,实现各项功能;b)
各模块之间的通信采用基于身份鉴别机制的安全通信协议;各模块使用的密码运算都必须在密码设备中完成;d)
各模块产生的审计日志文件采用统一的格式传递和存储;用户注册管理系统、证书/证书撤销列表生成与签发系统和密钥管理中心可以设置独立的数据库;
证书认证系统的各模块应设置有效的系统管理功能;系统必须具备访问控制功能;
GB/T25056-2010
系统在实现证书管理功能的同时,必须充分考虑系统本身的安全性。5.3.3用户注册管理系统设计
5.3.3.1用户注册管理系统功能
用户注册管理系统负责用户证书/证书撤销列表的中请、审核以及证书的制作,其主要功能如下,用户信息的录入:录入用户的申请信息,用户申请信息包括签发证书所需要的信息,还包括用于验证用户身份的信息,这些信息存放在用户注册管理系统的数据库中。用户注册管理系统应能够批量接受从外部系统生成的、以电子文档方式存储的用户信息。用户信息的审核:提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书签发所需要的信息提交给签发系统。
用户证书下载:用户注册管理系统提供证书下载功能,当签发系统为用户签发证书后,用户注册管理系统能够下载用户证书,并将用户证书写人指定的用户证书载体中,然后分发给用户。安全审计:负责对用户注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及报表打印等。
安全管理:对用户注册管理系统的登陆进行安全访问控制,并对用户信息数据库进行管理和备份。
多级审核:用户注册管理系统可根据需要采用分级部署的模式,对不同种类和等级的证书,可由不同级别的用户注册管理系统进行审核。用户注册管理系统应能够根据需求支持多级注册管理系统的建立和多级审核模式。用户注册管理系统应具有并行处理的能力。5.3.3.2用户注册管理系统结构
用户注册管理系统有本地注册管理和远程注册管理两种方式,分别由注册管理、数据库、信息录人、身份审核、证书制作、安全管理以及安全审计儿部分构成。其结构如图2所示。安全管理
远程注册管理
信息录入
安全审计
身份审核
本地注册管理
图2用户注册管理系统逻辑结构
5.3.4证书/证书撤销列表生成与签发系统设计5.3.4.1证书/证书撤销列表生成与签发系统功能数据库
证书制作
证书/证书撤销列表生成与签发系统是证书认证系统的核心,不仅为整个证书认证系统提供签发证书/证书撤销列表的服务,还承担整个证书认证系统中主要的安全管理工作。其主要功能如下:
证书生成与签发,从数据库中读取与核对用户信息,根据拟签发的证书类型向密钥管理中心申6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。