YD/T 1614-2007
基本信息
标准号: YD/T 1614-2007
中文名称:公众 IP 网络安全要求基于数字证书的访问控制
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:812482
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1614-2007.Security Requirements for Public IP Network - Access Control based Digital Certificate.
1范围
YD/T 1614规定了根据用户所持有的数字证书对普通用户访问网络资源及有偿信息资源的访问控制要求,同时规定了基于IPsec的VPN中对等体之间利用数字证书进行认证的技术要求。
YD/T 1614适用于基于数字证书进行访问控制的系统。
2规范性引用文件
下列文件中的条款通过在本标准中的引用而构成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括斟误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1322.3-2004电子商务技术要求第三部分:证书及认证系统
YD/T 1615-2007公众IP网络安全要求一基于远端接入用户验证服务协议( RADIUS )的访问控制要求
IEEE 802.1x 基于端口的网络接人控制
IETF RFC 2406 ( 1998 )IP封装安全载荷( ESP )
IETF RFC 2407 ( 1998 )解释ISAKMP的Internet IP安全域
IETF RFC 2408 ( 1998 )Internet安全联盟及密钥管理协议( ISAKMP )
IETF RFC 2409 ( 1998 )Internet密钥互换( IKE )
IETF RFC 2560 ( 1999 )Internet X.509公共密钥基础设施在线证书状态协议
IETF RFC2716 ( 1999 )PPP EAP TLS认证协议
IETF RFC 2863 ( 2000 )远程拨人用户认证服务( RADIUS )
1范围
YD/T 1614规定了根据用户所持有的数字证书对普通用户访问网络资源及有偿信息资源的访问控制要求,同时规定了基于IPsec的VPN中对等体之间利用数字证书进行认证的技术要求。
YD/T 1614适用于基于数字证书进行访问控制的系统。
2规范性引用文件
下列文件中的条款通过在本标准中的引用而构成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括斟误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1322.3-2004电子商务技术要求第三部分:证书及认证系统
YD/T 1615-2007公众IP网络安全要求一基于远端接入用户验证服务协议( RADIUS )的访问控制要求
IEEE 802.1x 基于端口的网络接人控制
IETF RFC 2406 ( 1998 )IP封装安全载荷( ESP )
IETF RFC 2407 ( 1998 )解释ISAKMP的Internet IP安全域
IETF RFC 2408 ( 1998 )Internet安全联盟及密钥管理协议( ISAKMP )
IETF RFC 2409 ( 1998 )Internet密钥互换( IKE )
IETF RFC 2560 ( 1999 )Internet X.509公共密钥基础设施在线证书状态协议
IETF RFC2716 ( 1999 )PPP EAP TLS认证协议
IETF RFC 2863 ( 2000 )远程拨人用户认证服务( RADIUS )
标准图片预览
标准内容
ICS3304040
中华人民共和国通信行业标准
YD/T 1614-2007
公众IP网络安全要求
基于数字证书的访问控制
Security Requirements for Public IP NetworkAccessControl basedDiqitalCertificate2007-04-16 发布
2007_10-01实施
中华人民共和国信息产业部发布前言
规范性引用文性
3缩略话
中,定义与符号
4.1亲义-
4.2 号:
5楼述-
5.1基于数字证书总证的所本原理5.2基于数字证书进行访问控制的成同次
6苯于数疗证书的访问控制系统凯成及组成部分的功能6.1系统成
6.2各维成部分的功能要求
用户与接入认证理的连接方式
7.1用户通过IXSL与接人以证代理相连:7.2用户通过 LAN 与接人认证F相连7.3用户通过WLAN与接人认证代班相连8通信盗程及协议
8.1通流程:
8.2通信协议
9数字证书格式-
10尺性证书格式
设备要求·
11.1接人认证代理
11.2用户整端设备要求
11.3认证服务器要求
附录A(资料性验录)数字证书认证系统附录B(资料性录)成性证书认证系统附录心(资挥性附录)业务管埋子系统·附录D(资料性附录)证书发放和存敏要求HKANYKA
YD/T 1614-2007
YD/T16142007
本标准是“公众IP网华案全”系列标准之\。核系别标准顶计的结构及名彩证下;1.公众1P网络安全要求——安全柜架:2.公众IP网第案全要求一
基丁数学证书的访可控间
3,公众IP网率安全要求一基于远端换人用验证服务协议(RADIUS)的访问控:4公众IP网降安个要求一基丁Diateler的访尚控制。本标准的附录A、附录B、附求C和附录D均为资料性附录、本标消由中国通信标准化协会提以并炬口,本标准起卓单位:信息产业部出信研究院中国电信柒因公司
本标准主要越卓人:豪秀英瑰亮唐永丽彭偿余英泽尹业村范围
公众IP网络安全要求
基于数字证书的访问控制
YD/T1614-2007
术标准规定了积越用广所持有的数字证书对普心月户讨间问网络资源及有偿信息资源的访问控制要求,同时规定了落于IPseC的VPN中对等体之间和用数字证进行认证的术要求,本标准站用于基丁数字证十进行访间控制的系统。2规池性引用文性
下列文件中的条款道过在本标准守的引用而构成为本标准的条款。凡层注日期的引用文件,力随后所有的修改单(不付括料误的内容)或修订版均不活用于本标准。然而,鼓励根据本标准达成协议的各方酬究是再可使用这些文件的展新版本。凡是不法引期的引用文件,其最新版本适用于本标准。YD/T1322.32004
YP/T 1615-2007
IEEE802.1x
IETF RFC 2406 (1908 )
EIFRFC2407 (1998)
ETFRFC2408(198)
ETFRFC2409(1>98)
ETFRFC 2560 (1999)
ETFRFC1716 (19091
EIFRFC2863(2000)
IETF RFC 3280 (2002 )
ETFRFC3281(2002)
ETFRFC 3579 [2003
ETFRFC 3580 (2003)
IETFRFC 3770 (2004)
ETF RFC 3748 (2004)
IETF RFC 4058 (20U5)
3缩略语
下到纳略语适历于本东准,
电于商务扰个要求策三部分:证书及认证系筑公众P网络安全要求一于远整人用户骏证服务协议(民ADUS)的访间控制要求
并于端!的网络按入控间
P封装安全载荷(ESP)
解释ISAkM的Itcmcr安全域
Internet安联盟及密计管理协设(1SAKMP)Inmct密钥互换(KE)
Intcmctx.5oy公共确钢量础设施在线证书状态办议PPPEAPILS认正协议
远程榜人用户认证服务(RADIUS)wmctX.509公共片设距证[和CRL轮廉用于认证的nlcrmct屏性正书轮班远程拨人用凸认证服务(ADIUS)对可扩展的证动议【EP)的支持正E802.1X远程拨人用户认证限务(RAD1US)也用指南支持以点对点协议(PPI)和万线局城网(WLAV)认证的证书扩展和两性可扩辰的认证协议(上AP)
用于承越网络接人认证的协议带求Attribute Authoriry
Athenticatin Serve!
TtKAN KAc-
虑性证书认证中心
认证服务器
YD/T1614-2007
EAPUOR
RADJUS
4定义与特号
4.1定支
Cerificute Authority
Digilal Subscriber Line
Digital Subscriber Linc Aoxesn MuliplcxEx lensible Authentication ProtpcolEAP uver LAN
EAPbeLweenRADIUSandAuthonticaticm enityRcmote Authentication Dial Up ServiceInicmet Key Exchelge
Idcadficr
Local Arca Netwurk
Link Control Prulrxul
Key Exchange
Nelwork Acvess Servet
Onlime Certilicale Siatus ProtocolI'ublic Key Certificale
Publie Key Infrusuructunes
I'ublic-Key Infrhslruwture ( X.509)Regisicr Authority
Securc Sockel Layer
Transport Laycr Sceurity
Visuail Privare Nctwork
Wireless Local Arca Network
下列定义适用于本标准。
4.1.1证书
数字证书以证中心
数字用户线
数字用户线接人发用器
可扩展的认证协议
LAN上的AP
R4DIUS和认证实体之间的EAP
还程接人用户认证服务
Intemet出钥.白.换
个人标设符
局域网
链路控制协议
.窖销五换
网络接人服务器
在线证书快态协议
公共密钥证书
公共密钥基研设施
公共密钥茎础设施(X.5)
注册中心
安企套接层
传送层安全
虚拟专用网络
无线局城网
可以指底性证书或公共密钥证书。除非特别指出,证书可用于表示居性证书和公共密锯证-(PKC)4.1.2数字证书认证中心【CA】
一个或多个用户信任的、生成和整署公共密钙证书的极成机均。该机构在证书的整个生存期内负责管理公共密朝证书。
4.1.3周性证书认证中心【AA】
一个或多个用户信任的,生皮和签署册广底性证书的权感机均:该机钩在展性证书的整个北存期负索管理性证书。
4.1.4公共密钥证书PKGF
包含有关端实体的公关害铜一此其他信息的效锯结构。该证书具有签发该证书的CA的赵有密钾数字签名。
4.1.5基于IPsec的VPN中的对等体2
指在定价之间需要迷计必隧道的两个实依4.2持号
下列符号适用于本标准。
IIDR:TSAKMP头,.换类型感模式。样成HDR*附,表尔荷加窃。YD/T1614-2007
5A:指一个或需个注议的SA协商。初始者可以搬供多个建议,用于在协商时响成者必须仅返回一KT:包含有在DiMe-Ilelman点换申点换信息的格钥裁尚Nx:临时载考,x可以克i或,分别示ISAKMP的初始者和响应者。:x的标载尚,在过程「期问,x可以是“”或“ir\,分别我示AKM韧始名和响成者。SI:签名载荷。签名的数据尽互换特定的CTRT:证书载荷。
HASH:hash载荷。Hash的内容对认证方法是特定的,5概递
5.1基于数宇证书认证的基本原理基丁数字证将的认证,包括对用户所提供的数字证书本身的础认以及对提变数字证好的同户整否为该数字证合法持有者的确认。其基本原理为1.对数字证书本身有效性的确认!确认数字证-好本身包含信息的准确性。用户端软件(或受信C人)创建一对密切,其中:个是公开密例,另外一个是私有密钥。客广准备一个包括用\正和用\公开密钥的未签名证卡,然后用种安全的方或把它发送给一个A,已A通过计算该长签名证书的散列值,开用它的私有容钥而密该散列值后,产生一个筏名(已加密的散列码),CA披若把它附在该未名的证上,并把现在已经签名的该证书返还给该客广。客户可以把它的已经通过签名的证-1发送给任何其地用户,收到证书的用户可以通过计算证书的散列值(不他抚签名)、并再CA的公开密部密滚签名,把该散列值与已解密的签名进行比较,以验证其他用户的证书的准确性,b)确认效宁证书的有效性
。收到证书的用户企确认用户不身的册确性后,到心A用户数活库中查找用户所提交的证书是再被列人到证书废弃表中,从而确认用户所提交的证伤是否有效。2.确认提交数正书的用户是否为所提交的效字证书的合法持有者收到数宁证书的一方生成一个随机数,利用所收到的数字证书中所包合的公开密钥加密随机数并将加密后的随机数发送给发出熨字证书的一为。核收到力密后的随机数的一利用白身的磁密密切将接收到的如案后随机数解密,并用对方的公开密加密返传给对方。
净接收到返传米的信息后,用户利用自身的私有密钥解密接收到的信总,并将解密后的内察与量韧生成的随机数机比较,者两相同,则可确认对方是该教证书是台法持有者,通过上面的两个过完成基于数毕证求用户身份的认证。本标准中不规定用如何获得证及与CA本身利关的技术规定
KNnrKe
YD/T 1614 2007免费标准bzxz.net
52基于数字证书进行访问控制的应用访问控制通官是指进行通信的一方对与其通信的务·“女的身份(或通信效方之间的点份)进行确认关根据某种策略对是否允许已祭确认身份的通信方进行道信或访,为此基于数字证书可以进行如下情况下的问控制:
1)用户访问正网路时,P网络对周户进行访向控制。2)用广访问连接到业网络上的偿信息费源时,有偿信息资源对用户进行访问控制:3)PsecVPN中的对等体之间招五确认被此身份时苯于各白已经拥有的数字证书进行访问控制基于数字证书的访问控制系统的组成及组成部分的功能日.1系统组成
日.1.1基于数字证书访问IP网络的访问控制系统的组成兼于数宁证书对用户接入网络进行测控制的系统功范框图如图1所示。P网%
业界更子联所
认低眠界格AS)
数了证书
认正中心(CA,
人以证化由
用广类媒
性证13
认证中心(A)
图1基于数字证书对用户接入网给进行访问控制的系统功能性压如图1所示:基丁数字证书的用户接人访问控制系统主要由接人认证代理,认证服务器、数字证书认证中心,两性证书认证中心和业务管理系统组成、阅中所尔的见成部分是逻实体,在实序实施不间的逻辑实体可能由同一个物理实体或位于同一地点的物理实体来实现。对已经期有数学证的用户接人网时,用户首先与接人认证代理立连接,月户接入代理与用户协商用产认证方式,用户选择采用数字证书的方式进行认证,接人代理向用广双送提交用户数字证书的申请,用户将可以证明其身份的数字证书提交给接人认证代理,用产接人认证代理将用户所提交的数字证书转发认证服务器。认证务器利用微字证书认证中心所提供的驱务来验证数字证书的行效性,然后通过随机生成一随机数并到用用户数字证书中的用户公儿密销对随机数进行加密并发送到接人认证代理,出接人认证代理转发给用户用户利用自已所扭有的秘有害钥对所接收剑的已加密的随机数进行解率将解密后的隧机数经过接人认证代理转发给认证服务器。认证服务器将接收到的随机数与原始随机数进行比较,若相同须间拨人代理发送用户通过身份认证的证实消息。接入认证代理愁后想帮用户所担供的数字证书上的相关信息到席性认证中心中查找用产的端性证书确定用户所中请的业务种类结合在业务管理子系统所检供的法用户以往业务的仙用情况(主要品缴费情况)决定是否充许片户问络或相关的资源,在具体实施时,权操网络供者的具体情流确定在向用户终载投权括人时是否使用两性证书和业务管理系统所提供的信息。4
6.1.2基于数字证书访问有偿信息资端的访问控制系统的组成基于数字证书大用户访间有偿信息登源的访间控制的功能图如图2所示,证书认证中心
P网络
“有你
信点源
图2基于教字证节对用户边问有偿资票进行访问控制的系统功能性图YP/T1614-2007
如图2所示,月户在访问有偿信息或进行电子使务等应用时,需要在进行交易的效方或信息提供者对用户进行身份认证。此时,认证过径是在用户已经连接到网络之后的次认证,是在成用尽上进行的,比时不要网络接入认证代理。信息提供者是否设置用户访问接入认证代理由具体的实施者确定。6.1.3甚于IPseC的VPN中对等体之间基于数字证书进行认证的系统组成基于EPsec的VPN中对等本之间基于数字证5认证的系统地能框图如图3所示。效了证书认小中心CA:
对等体
VPK事统
3基于IPseG的VPN中对等体之间基于数字还争认任的系统功能柜旺如图3所示,I\sEc对等体之间其于数疗证书的认证系统由数字证认证中心和VPN系统组成。其中数字证书认证中心多责数字证书的等发,撤消、证书签发和撤消的认证、数字证书的维护、更新、往册等功能。VFN系统完成数字证书中非对象密钥对的生成拟及Psec对等体之间的逆信。6.2音组感部分的功能善求
6.2.1接入认证代理
在实际实剪中接人拟证代理可以是NA5(用采用DSL方式疼入网络)以太交换机(以局域网方式接人时)、A(以WLAN方式接人时)等。本标准中核人认证代理土要完成如下功能:1)在用户连接到网踏前,负责与用户终端书立用产上与挖入认证代之间的连接通略:2)向用户发送提交邀字证书的持求,3)接收用广提交的整字证书并将止转发给认证服务器。4)转发认让服务器与用户之间所交换的信息:5)在用户的身份被应功认证后,根据月户的数字证的相关信息到反性证书认证中心查找用户的展性证书,非必用户的底性证书以及业务管理中心所提供的任息,确定是否允许月户按人网络或访间有偿信息(选用
TtKAN KAc-
YD/T1614-2007
6)将用户认证结巢通知用广,间时根据认证续果将用广连接到或不逆接到网络,在将用户连宏到网给时,为用户分配相应的网络资源(如正地址及网络接人带览等)(选用)7)负责根据用户的申请将用户从两络断开,同时通知业务管聘系统。6.2.2做字证书认证中心CA
数字证书认证中心负齿完电划下一些功能:1)注册服务
2)初始化服务。
3)认证服务。
4)密钥对恢京服务。
5)密钥生皮服务。
6)密钥更新服务。
2)密钥作废;
b)密钥放弃。
了)注销服务:
R)证书和注销注释分发和公布。6.2.3医性证书认证中心(AA】
属性证书认证中心是生成和确定属证书的第三为可信机构,其主要功够证下:1)维扩和制定授权型,签发质性证书。2)对届性证书进行有效的管理,及时发布证书的注错信息,3)用户管理(用户注加,信息改,注销)4)证书管理(各类证书的中请,证书的下载,注请,证书股务准册5)角色管理(授码模型制订,授权模型查询,授权错型心塞涨期6)审核管理(注册用户和中请证书的审核了)操作的管理(操作往明、注销、查询、信息权限修改)。8)证书发布。
9)EeyNet清理。
10)杂项普理(日志管理,审计管理,代码管理,综合询,系统配互)6.2.4业务督理子系统
业务管理子系统主变负资完战刻下一此能:1)受理用户业务中请,协助用山请数字证书和同性证书、存储用户的相关信息2)负责继护和管理用信息、包括用户数字证书号码、用户业务开通情况、用户缴费信息。3)向接人认证代理提供用户信息。6.2.5认证服务器(AS】
认证服务器主要完成如下-些功能在其体实施时认证服务器可以显Radins服务器或Tiameter胜务器):1)确认用户所摄交的数字证书的有效性:2)验证提交数字证书的用广是否是该数字证书的合法持有者,此时需逆过数字证13认证中心协助完成对所提交的数字证书的认证。6
3)将用户是否通过认证的结果递过接入认证代理发送给用户。6.2.6第户终端
YDT1614-2007
用户整端尽用户他用业舒时接人到公众IP网络的实体。主要光成申消业务的注册并求得数字证书,关整用户接受业务的物理载体、外标准主的用户终端指用广终端设备,包括器记本电脑,台式计算机PDA,移动电话以及通过有线或无线方式连慈到网络的路用器。62.7IPSBC对等体
IPsec刘等体或“对等体是指为行通信违立签全隧道利用IKE和IPsec与久一个对等体进行通信的Pec系统,以品传统的安全网关(是有两个网络接口,二个是受保护的网踏,刃个尼未受保护的网络)或者是IPscc容!端(具有一个网络接口在这两种情况下,IPsec系统可以在没有'sec保护的情说F通过流量,也可以对取远择的业务流施加IPsec保护了用户与掩入认证代理的连接方式当用户通过卫S、LAN以致/与接人认证理相连时:可以采用莱于数字注书的认证方或双用户进行访间控制。
7.1用户通讨DSL与接入认证代理相连带户逆过DS与接人认证代理旧连的瓶图知图4(a)和4(6)所示,图4(a)中网接人服务需完成接人认证代理的功能:划4(b)中DLAM完成接人认证代理的或能。川户在#
NASU接人
图4【且】用户终残通过DSL与接入认证代理相砸(NAS作为接入认证代量!用户教后
调世解调路
【按入以让代理,
图4(h)用户持举温过DSL与接入认证代理相连IDSLAM作为接入认证代理]7.2用户通过LAN与接入认证代理相递P
用户通过LAN与接人认证代理相连的图如图5所示,此时以太网交换机完成接人认证代理的功能。用户整好
儿户市
以人厚空快机
以太网交快机
(接人让通代)
路州罪
图5用户与接入似证代理两过LAN相理HTKONEKA
YD/T1614-2007
7.3用户通过WLAN与摘入认证代理相连用户通过WI.AN与接人认证代望相连的拆图如图6所示。此性AP完改接人认证代理的功能。月产整酒
B通借流程协议
安.t通信流程
(据人认注代期)
图6用户与入认证代理通过WLAN相连6.1.1基于数字证书接入网络的坊问控制通信流程B.1.1.1用户终端和接入认证代理之间采用PPP协议基于数字证书的访问控制通信流程用户终照和接入拟证代理之间采月PPP协放基士数宇证书的访问控制通信流程如图了所示。电户势举
接人认证忙四
Kedius服务券
业务置理子需院
图7来用PPP协议基于数率证书的访问控制通信流程A
YD/T1614-2007
本部分仪给出历广终端或功地认证并连接划网终的德程,同时认延股务器为良adius非务器。其他情说清照RRC3579,RFC2716的相关规定。想说明:
I)接人认证代理向用终赠发送PPPTCPRequest-EAPauth请求采用EAP认证。2)用户终端问接人认让代理发达PPPICPACK-BAPmt证实采用EAP认证。3)接入认证代理向旧终发送PPPEAPReuest/ID请求用户终端输人标识符。4)月广终端向接人认证代联发达PPPEAP-Respolse/ID(MyD)将用户悠端Ⅱ发送给接人认证代堰。
5)按入认证代理向用户终端发送PPPBAP-Beqllest/EAP-Iype=EAP-TLS(TLSSuL,Sbilsel),开始EAPTIS.
)用终端向接入认证代理发送PPPEAP.Response/EAP-Type=EAP-TLS(TLSuliemLliellu)证开蛇RAPTIS
7)接人认证代理向Radius服务器发送RADIUSAccess-Request/EAP-Meusage/EAP-Response/EAP-Type=EAP-TT.S请求Radius服务器升始EAP。8)Radius服务器向接人认证代理发送RADIUSAccess-Challenge/EAP-Message/EAP-RequesiLEAP-Type=EAP-TI.S; TAP-Requkst/,9)接人认证代理:可用户终端发这PPPEAP-Request/EAP-Type=EAP-TLS(TLSserverhello,TLScenificate,「TT.S kerver_key_exchange,1/TLs certiGcaterequest,1TLS server hello done)间用户终端萨求发送数字证书。
10)用户终端向接人认证代理发送PPPEAP-Respunse/EAP-Type=EAP-TLS(TLSwerilicale,TLSclient_key_cxchange,[TLS centificate verify,JILS chanuge_cipler_Nper,TLS fiunished)向入认证代理发送数字证书。
11)接入认证代理向Radius服务器发送RADIUSArxws-ReyuesVEAP-Mesyage/EAP-Respusc/TAP-TyTc-FAP-TLS转发用户终带发送来的用户降端数宁证书:12)Radlius务器向数字证节认证中心发送OCSPRequest请求查询用户所提交的数字证书的有效性,13)数字证书认证中心向Radi113服务器发送OCSPReupanse确认用户所提交的数宁证书是有效的,14)Ratius服务器向接人款证代理发送RADIUSAccaess-Challenge/EAP-Message/EAP-ReyuesVEAPTyTe=FAP-TTS将随机生成的随机数用用户的公开密销加密后发送给接人认证代理,15)接人认证代理向用户整端发送EAP.Request/EAP-Type=EAP-TLS(TLStlhangu_tipher_sper,TLSfinishe)将出Radius股务器接收到的信息转发价用户悠端。16)用户终端向接人认证代理发送PPPEAP-ResPHI心EAP-TyPe=EAP-TLS,将使用其自身的私有密钢解奶后的随规数用其和私有案期加密后发送给接入认证代理。17)接人认证代理向Radius服务器发送EAP-MesyugwEAP-RepUnHc/EAP-Type=HAP-TLS将由用,终端处接收到的信息转发给Rmlius服务器18)R服务器使用用\的公有患钥将接收到的信息解率,同时将解断后的随机数与H发送出大的随机数对比,若两者相同,则j向接人认证化理发送RADIUSAccers-Accep/EAP-Message/EAP-Success(其他属性)说明认证或动。
tKNYKAa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1614-2007
公众IP网络安全要求
基于数字证书的访问控制
Security Requirements for Public IP NetworkAccessControl basedDiqitalCertificate2007-04-16 发布
2007_10-01实施
中华人民共和国信息产业部发布前言
规范性引用文性
3缩略话
中,定义与符号
4.1亲义-
4.2 号:
5楼述-
5.1基于数字证书总证的所本原理5.2基于数字证书进行访问控制的成同次
6苯于数疗证书的访问控制系统凯成及组成部分的功能6.1系统成
6.2各维成部分的功能要求
用户与接入认证理的连接方式
7.1用户通过IXSL与接人以证代理相连:7.2用户通过 LAN 与接人认证F相连7.3用户通过WLAN与接人认证代班相连8通信盗程及协议
8.1通流程:
8.2通信协议
9数字证书格式-
10尺性证书格式
设备要求·
11.1接人认证代理
11.2用户整端设备要求
11.3认证服务器要求
附录A(资料性验录)数字证书认证系统附录B(资料性录)成性证书认证系统附录心(资挥性附录)业务管埋子系统·附录D(资料性附录)证书发放和存敏要求HKANYKA
YD/T 1614-2007
YD/T16142007
本标准是“公众IP网华案全”系列标准之\。核系别标准顶计的结构及名彩证下;1.公众1P网络安全要求——安全柜架:2.公众IP网第案全要求一
基丁数学证书的访可控间
3,公众IP网率安全要求一基于远端换人用验证服务协议(RADIUS)的访问控:4公众IP网降安个要求一基丁Diateler的访尚控制。本标准的附录A、附录B、附求C和附录D均为资料性附录、本标消由中国通信标准化协会提以并炬口,本标准起卓单位:信息产业部出信研究院中国电信柒因公司
本标准主要越卓人:豪秀英瑰亮唐永丽彭偿余英泽尹业村范围
公众IP网络安全要求
基于数字证书的访问控制
YD/T1614-2007
术标准规定了积越用广所持有的数字证书对普心月户讨间问网络资源及有偿信息资源的访问控制要求,同时规定了落于IPseC的VPN中对等体之间和用数字证进行认证的术要求,本标准站用于基丁数字证十进行访间控制的系统。2规池性引用文性
下列文件中的条款道过在本标准守的引用而构成为本标准的条款。凡层注日期的引用文件,力随后所有的修改单(不付括料误的内容)或修订版均不活用于本标准。然而,鼓励根据本标准达成协议的各方酬究是再可使用这些文件的展新版本。凡是不法引期的引用文件,其最新版本适用于本标准。YD/T1322.32004
YP/T 1615-2007
IEEE802.1x
IETF RFC 2406 (1908 )
EIFRFC2407 (1998)
ETFRFC2408(198)
ETFRFC2409(1>98)
ETFRFC 2560 (1999)
ETFRFC1716 (19091
EIFRFC2863(2000)
IETF RFC 3280 (2002 )
ETFRFC3281(2002)
ETFRFC 3579 [2003
ETFRFC 3580 (2003)
IETFRFC 3770 (2004)
ETF RFC 3748 (2004)
IETF RFC 4058 (20U5)
3缩略语
下到纳略语适历于本东准,
电于商务扰个要求策三部分:证书及认证系筑公众P网络安全要求一于远整人用户骏证服务协议(民ADUS)的访间控制要求
并于端!的网络按入控间
P封装安全载荷(ESP)
解释ISAkM的Itcmcr安全域
Internet安联盟及密计管理协设(1SAKMP)Inmct密钥互换(KE)
Intcmctx.5oy公共确钢量础设施在线证书状态办议PPPEAPILS认正协议
远程榜人用户认证服务(RADIUS)wmctX.509公共片设距证[和CRL轮廉用于认证的nlcrmct屏性正书轮班远程拨人用凸认证服务(ADIUS)对可扩展的证动议【EP)的支持正E802.1X远程拨人用户认证限务(RAD1US)也用指南支持以点对点协议(PPI)和万线局城网(WLAV)认证的证书扩展和两性可扩辰的认证协议(上AP)
用于承越网络接人认证的协议带求Attribute Authoriry
Athenticatin Serve!
TtKAN KAc-
虑性证书认证中心
认证服务器
YD/T1614-2007
EAPUOR
RADJUS
4定义与特号
4.1定支
Cerificute Authority
Digilal Subscriber Line
Digital Subscriber Linc Aoxesn MuliplcxEx lensible Authentication ProtpcolEAP uver LAN
EAPbeLweenRADIUSandAuthonticaticm enityRcmote Authentication Dial Up ServiceInicmet Key Exchelge
Idcadficr
Local Arca Netwurk
Link Control Prulrxul
Key Exchange
Nelwork Acvess Servet
Onlime Certilicale Siatus ProtocolI'ublic Key Certificale
Publie Key Infrusuructunes
I'ublic-Key Infrhslruwture ( X.509)Regisicr Authority
Securc Sockel Layer
Transport Laycr Sceurity
Visuail Privare Nctwork
Wireless Local Arca Network
下列定义适用于本标准。
4.1.1证书
数字证书以证中心
数字用户线
数字用户线接人发用器
可扩展的认证协议
LAN上的AP
R4DIUS和认证实体之间的EAP
还程接人用户认证服务
Intemet出钥.白.换
个人标设符
局域网
链路控制协议
.窖销五换
网络接人服务器
在线证书快态协议
公共密钥证书
公共密钥基研设施
公共密钥茎础设施(X.5)
注册中心
安企套接层
传送层安全
虚拟专用网络
无线局城网
可以指底性证书或公共密钥证书。除非特别指出,证书可用于表示居性证书和公共密锯证-(PKC)4.1.2数字证书认证中心【CA】
一个或多个用户信任的、生成和整署公共密钙证书的极成机均。该机构在证书的整个生存期内负责管理公共密朝证书。
4.1.3周性证书认证中心【AA】
一个或多个用户信任的,生皮和签署册广底性证书的权感机均:该机钩在展性证书的整个北存期负索管理性证书。
4.1.4公共密钥证书PKGF
包含有关端实体的公关害铜一此其他信息的效锯结构。该证书具有签发该证书的CA的赵有密钾数字签名。
4.1.5基于IPsec的VPN中的对等体2
指在定价之间需要迷计必隧道的两个实依4.2持号
下列符号适用于本标准。
IIDR:TSAKMP头,.换类型感模式。样成HDR*附,表尔荷加窃。YD/T1614-2007
5A:指一个或需个注议的SA协商。初始者可以搬供多个建议,用于在协商时响成者必须仅返回一KT:包含有在DiMe-Ilelman点换申点换信息的格钥裁尚Nx:临时载考,x可以克i或,分别示ISAKMP的初始者和响应者。:x的标载尚,在过程「期问,x可以是“”或“ir\,分别我示AKM韧始名和响成者。SI:签名载荷。签名的数据尽互换特定的CTRT:证书载荷。
HASH:hash载荷。Hash的内容对认证方法是特定的,5概递
5.1基于数宇证书认证的基本原理基丁数字证将的认证,包括对用户所提供的数字证书本身的础认以及对提变数字证好的同户整否为该数字证合法持有者的确认。其基本原理为1.对数字证书本身有效性的确认!确认数字证-好本身包含信息的准确性。用户端软件(或受信C人)创建一对密切,其中:个是公开密例,另外一个是私有密钥。客广准备一个包括用\正和用\公开密钥的未签名证卡,然后用种安全的方或把它发送给一个A,已A通过计算该长签名证书的散列值,开用它的私有容钥而密该散列值后,产生一个筏名(已加密的散列码),CA披若把它附在该未名的证上,并把现在已经签名的该证书返还给该客广。客户可以把它的已经通过签名的证-1发送给任何其地用户,收到证书的用户可以通过计算证书的散列值(不他抚签名)、并再CA的公开密部密滚签名,把该散列值与已解密的签名进行比较,以验证其他用户的证书的准确性,b)确认效宁证书的有效性
。收到证书的用户企确认用户不身的册确性后,到心A用户数活库中查找用户所提交的证书是再被列人到证书废弃表中,从而确认用户所提交的证伤是否有效。2.确认提交数正书的用户是否为所提交的效字证书的合法持有者收到数宁证书的一方生成一个随机数,利用所收到的数字证书中所包合的公开密钥加密随机数并将加密后的随机数发送给发出熨字证书的一为。核收到力密后的随机数的一利用白身的磁密密切将接收到的如案后随机数解密,并用对方的公开密加密返传给对方。
净接收到返传米的信息后,用户利用自身的私有密钥解密接收到的信总,并将解密后的内察与量韧生成的随机数机比较,者两相同,则可确认对方是该教证书是台法持有者,通过上面的两个过完成基于数毕证求用户身份的认证。本标准中不规定用如何获得证及与CA本身利关的技术规定
KNnrKe
YD/T 1614 2007免费标准bzxz.net
52基于数字证书进行访问控制的应用访问控制通官是指进行通信的一方对与其通信的务·“女的身份(或通信效方之间的点份)进行确认关根据某种策略对是否允许已祭确认身份的通信方进行道信或访,为此基于数字证书可以进行如下情况下的问控制:
1)用户访问正网路时,P网络对周户进行访向控制。2)用广访问连接到业网络上的偿信息费源时,有偿信息资源对用户进行访问控制:3)PsecVPN中的对等体之间招五确认被此身份时苯于各白已经拥有的数字证书进行访问控制基于数字证书的访问控制系统的组成及组成部分的功能日.1系统组成
日.1.1基于数字证书访问IP网络的访问控制系统的组成兼于数宁证书对用户接入网络进行测控制的系统功范框图如图1所示。P网%
业界更子联所
认低眠界格AS)
数了证书
认正中心(CA,
人以证化由
用广类媒
性证13
认证中心(A)
图1基于数字证书对用户接入网给进行访问控制的系统功能性压如图1所示:基丁数字证书的用户接人访问控制系统主要由接人认证代理,认证服务器、数字证书认证中心,两性证书认证中心和业务管理系统组成、阅中所尔的见成部分是逻实体,在实序实施不间的逻辑实体可能由同一个物理实体或位于同一地点的物理实体来实现。对已经期有数学证的用户接人网时,用户首先与接人认证代理立连接,月户接入代理与用户协商用产认证方式,用户选择采用数字证书的方式进行认证,接人代理向用广双送提交用户数字证书的申请,用户将可以证明其身份的数字证书提交给接人认证代理,用产接人认证代理将用户所提交的数字证书转发认证服务器。认证务器利用微字证书认证中心所提供的驱务来验证数字证书的行效性,然后通过随机生成一随机数并到用用户数字证书中的用户公儿密销对随机数进行加密并发送到接人认证代理,出接人认证代理转发给用户用户利用自已所扭有的秘有害钥对所接收剑的已加密的随机数进行解率将解密后的隧机数经过接人认证代理转发给认证服务器。认证服务器将接收到的随机数与原始随机数进行比较,若相同须间拨人代理发送用户通过身份认证的证实消息。接入认证代理愁后想帮用户所担供的数字证书上的相关信息到席性认证中心中查找用产的端性证书确定用户所中请的业务种类结合在业务管理子系统所检供的法用户以往业务的仙用情况(主要品缴费情况)决定是否充许片户问络或相关的资源,在具体实施时,权操网络供者的具体情流确定在向用户终载投权括人时是否使用两性证书和业务管理系统所提供的信息。4
6.1.2基于数字证书访问有偿信息资端的访问控制系统的组成基于数字证书大用户访间有偿信息登源的访间控制的功能图如图2所示,证书认证中心
P网络
“有你
信点源
图2基于教字证节对用户边问有偿资票进行访问控制的系统功能性图YP/T1614-2007
如图2所示,月户在访问有偿信息或进行电子使务等应用时,需要在进行交易的效方或信息提供者对用户进行身份认证。此时,认证过径是在用户已经连接到网络之后的次认证,是在成用尽上进行的,比时不要网络接入认证代理。信息提供者是否设置用户访问接入认证代理由具体的实施者确定。6.1.3甚于IPseC的VPN中对等体之间基于数字证书进行认证的系统组成基于EPsec的VPN中对等本之间基于数字证5认证的系统地能框图如图3所示。效了证书认小中心CA:
对等体
VPK事统
3基于IPseG的VPN中对等体之间基于数字还争认任的系统功能柜旺如图3所示,I\sEc对等体之间其于数疗证书的认证系统由数字证认证中心和VPN系统组成。其中数字证书认证中心多责数字证书的等发,撤消、证书签发和撤消的认证、数字证书的维护、更新、往册等功能。VFN系统完成数字证书中非对象密钥对的生成拟及Psec对等体之间的逆信。6.2音组感部分的功能善求
6.2.1接入认证代理
在实际实剪中接人拟证代理可以是NA5(用采用DSL方式疼入网络)以太交换机(以局域网方式接人时)、A(以WLAN方式接人时)等。本标准中核人认证代理土要完成如下功能:1)在用户连接到网踏前,负责与用户终端书立用产上与挖入认证代之间的连接通略:2)向用户发送提交邀字证书的持求,3)接收用广提交的整字证书并将止转发给认证服务器。4)转发认让服务器与用户之间所交换的信息:5)在用户的身份被应功认证后,根据月户的数字证的相关信息到反性证书认证中心查找用户的展性证书,非必用户的底性证书以及业务管理中心所提供的任息,确定是否允许月户按人网络或访间有偿信息(选用
TtKAN KAc-
YD/T1614-2007
6)将用户认证结巢通知用广,间时根据认证续果将用广连接到或不逆接到网络,在将用户连宏到网给时,为用户分配相应的网络资源(如正地址及网络接人带览等)(选用)7)负责根据用户的申请将用户从两络断开,同时通知业务管聘系统。6.2.2做字证书认证中心CA
数字证书认证中心负齿完电划下一些功能:1)注册服务
2)初始化服务。
3)认证服务。
4)密钥对恢京服务。
5)密钥生皮服务。
6)密钥更新服务。
2)密钥作废;
b)密钥放弃。
了)注销服务:
R)证书和注销注释分发和公布。6.2.3医性证书认证中心(AA】
属性证书认证中心是生成和确定属证书的第三为可信机构,其主要功够证下:1)维扩和制定授权型,签发质性证书。2)对届性证书进行有效的管理,及时发布证书的注错信息,3)用户管理(用户注加,信息改,注销)4)证书管理(各类证书的中请,证书的下载,注请,证书股务准册5)角色管理(授码模型制订,授权模型查询,授权错型心塞涨期6)审核管理(注册用户和中请证书的审核了)操作的管理(操作往明、注销、查询、信息权限修改)。8)证书发布。
9)EeyNet清理。
10)杂项普理(日志管理,审计管理,代码管理,综合询,系统配互)6.2.4业务督理子系统
业务管理子系统主变负资完战刻下一此能:1)受理用户业务中请,协助用山请数字证书和同性证书、存储用户的相关信息2)负责继护和管理用信息、包括用户数字证书号码、用户业务开通情况、用户缴费信息。3)向接人认证代理提供用户信息。6.2.5认证服务器(AS】
认证服务器主要完成如下-些功能在其体实施时认证服务器可以显Radins服务器或Tiameter胜务器):1)确认用户所摄交的数字证书的有效性:2)验证提交数字证书的用广是否是该数字证书的合法持有者,此时需逆过数字证13认证中心协助完成对所提交的数字证书的认证。6
3)将用户是否通过认证的结果递过接入认证代理发送给用户。6.2.6第户终端
YDT1614-2007
用户整端尽用户他用业舒时接人到公众IP网络的实体。主要光成申消业务的注册并求得数字证书,关整用户接受业务的物理载体、外标准主的用户终端指用广终端设备,包括器记本电脑,台式计算机PDA,移动电话以及通过有线或无线方式连慈到网络的路用器。62.7IPSBC对等体
IPsec刘等体或“对等体是指为行通信违立签全隧道利用IKE和IPsec与久一个对等体进行通信的Pec系统,以品传统的安全网关(是有两个网络接口,二个是受保护的网踏,刃个尼未受保护的网络)或者是IPscc容!端(具有一个网络接口在这两种情况下,IPsec系统可以在没有'sec保护的情说F通过流量,也可以对取远择的业务流施加IPsec保护了用户与掩入认证代理的连接方式当用户通过卫S、LAN以致/与接人认证理相连时:可以采用莱于数字注书的认证方或双用户进行访间控制。
7.1用户通讨DSL与接入认证代理相连带户逆过DS与接人认证代理旧连的瓶图知图4(a)和4(6)所示,图4(a)中网接人服务需完成接人认证代理的功能:划4(b)中DLAM完成接人认证代理的或能。川户在#
NASU接人
图4【且】用户终残通过DSL与接入认证代理相砸(NAS作为接入认证代量!用户教后
调世解调路
【按入以让代理,
图4(h)用户持举温过DSL与接入认证代理相连IDSLAM作为接入认证代理]7.2用户通过LAN与接入认证代理相递P
用户通过LAN与接人认证代理相连的图如图5所示,此时以太网交换机完成接人认证代理的功能。用户整好
儿户市
以人厚空快机
以太网交快机
(接人让通代)
路州罪
图5用户与接入似证代理两过LAN相理HTKONEKA
YD/T1614-2007
7.3用户通过WLAN与摘入认证代理相连用户通过WI.AN与接人认证代望相连的拆图如图6所示。此性AP完改接人认证代理的功能。月产整酒
B通借流程协议
安.t通信流程
(据人认注代期)
图6用户与入认证代理通过WLAN相连6.1.1基于数字证书接入网络的坊问控制通信流程B.1.1.1用户终端和接入认证代理之间采用PPP协议基于数字证书的访问控制通信流程用户终照和接入拟证代理之间采月PPP协放基士数宇证书的访问控制通信流程如图了所示。电户势举
接人认证忙四
Kedius服务券
业务置理子需院
图7来用PPP协议基于数率证书的访问控制通信流程A
YD/T1614-2007
本部分仪给出历广终端或功地认证并连接划网终的德程,同时认延股务器为良adius非务器。其他情说清照RRC3579,RFC2716的相关规定。想说明:
I)接人认证代理向用终赠发送PPPTCPRequest-EAPauth请求采用EAP认证。2)用户终端问接人认让代理发达PPPICPACK-BAPmt证实采用EAP认证。3)接入认证代理向旧终发送PPPEAPReuest/ID请求用户终端输人标识符。4)月广终端向接人认证代联发达PPPEAP-Respolse/ID(MyD)将用户悠端Ⅱ发送给接人认证代堰。
5)按入认证代理向用户终端发送PPPBAP-Beqllest/EAP-Iype=EAP-TLS(TLSSuL,Sbilsel),开始EAPTIS.
)用终端向接入认证代理发送PPPEAP.Response/EAP-Type=EAP-TLS(TLSuliemLliellu)证开蛇RAPTIS
7)接人认证代理向Radius服务器发送RADIUSAccess-Request/EAP-Meusage/EAP-Response/EAP-Type=EAP-TT.S请求Radius服务器升始EAP。8)Radius服务器向接人认证代理发送RADIUSAccess-Challenge/EAP-Message/EAP-RequesiLEAP-Type=EAP-TI.S; TAP-Requkst/,9)接人认证代理:可用户终端发这PPPEAP-Request/EAP-Type=EAP-TLS(TLSserverhello,TLScenificate,「TT.S kerver_key_exchange,1/TLs certiGcaterequest,1TLS server hello done)间用户终端萨求发送数字证书。
10)用户终端向接人认证代理发送PPPEAP-Respunse/EAP-Type=EAP-TLS(TLSwerilicale,TLSclient_key_cxchange,[TLS centificate verify,JILS chanuge_cipler_Nper,TLS fiunished)向入认证代理发送数字证书。
11)接入认证代理向Radius服务器发送RADIUSArxws-ReyuesVEAP-Mesyage/EAP-Respusc/TAP-TyTc-FAP-TLS转发用户终带发送来的用户降端数宁证书:12)Radlius务器向数字证节认证中心发送OCSPRequest请求查询用户所提交的数字证书的有效性,13)数字证书认证中心向Radi113服务器发送OCSPReupanse确认用户所提交的数宁证书是有效的,14)Ratius服务器向接人款证代理发送RADIUSAccaess-Challenge/EAP-Message/EAP-ReyuesVEAPTyTe=FAP-TTS将随机生成的随机数用用户的公开密销加密后发送给接人认证代理,15)接人认证代理向用户整端发送EAP.Request/EAP-Type=EAP-TLS(TLStlhangu_tipher_sper,TLSfinishe)将出Radius股务器接收到的信息转发价用户悠端。16)用户终端向接人认证代理发送PPPEAP-ResPHI心EAP-TyPe=EAP-TLS,将使用其自身的私有密钢解奶后的随规数用其和私有案期加密后发送给接入认证代理。17)接人认证代理向Radius服务器发送EAP-MesyugwEAP-RepUnHc/EAP-Type=HAP-TLS将由用,终端处接收到的信息转发给Rmlius服务器18)R服务器使用用\的公有患钥将接收到的信息解率,同时将解断后的随机数与H发送出大的随机数对比,若两者相同,则j向接人认证化理发送RADIUSAccers-Accep/EAP-Message/EAP-Success(其他属性)说明认证或动。
tKNYKAa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。