GB/T 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范

ICS35.040

L80

中华人民共和国国家标准

/—

GBT250562010

信息安全技术证书认证系统

密码及其相关安全技术规范

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

—

InformationsecurittechniuesSecificationsofcrtorahandrelated

yqpypgp

securittechnoloforcertificateauthenticationsstem

ygyy

2010-09-02发布2011-02-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

/—

GBT250562010

目次

前言…………………………Ⅴ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………3

5证书认证系统……………3

5.1概述……………………3

5.2功能描述………………3

5.3系统设计………………5

5.4数字证书………………9

5.5证书撤销列表…………………………9

6密钥管理中心……………9

6.1结构描述………………9

6.2功能描述………………10

6.3系统设计………………10

与的安全通信协议………………………

6.4KMCCA12

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

、

7密码算法密码设备及接口……………12

7.1密码算法………………12

7.2密码设备………………13

7.3密码服务接口…………………………13

8协议………………………13

8.1证书管理协议…………………………13

8.2证书验证协议…………………………15

8.3安全通信协议…………………………15

9证书认证中心建设………………………15

9.1系统……………………15

9.2安全……………………17

9.3数据备份………………19

9.4可靠性…………………19

9.5物理安全………………19

9.6人事管理制度…………………………20

10密钥管理中心建设……………………20

10.1建设原则……………20

10.2系统…………………20

10.3安全…………………21

10.4数据备份……………21

10.5可靠性………………21

10.6物理安全……………21

Ⅰ

/—

GBT250562010

10.7人事管理制度………………………21

11证书认证中心运行管理要求…………22

11.1人员管理要求………………………22

11.2CA业务运行管理要求……………22

11.3密钥分管要求………………………23

11.4安全管理要求………………………23

11.5安全审计要求………………………24

11.6文档配备要求………………………24

12密钥管理中心运行管理要求…………25

12.1人员管理要求………………………25

12.2运行管理要求………………………25

12.3密钥分管要求………………………25

12.4安全管理要求………………………25

12.5安全审计要求………………………25

12.6文档配备要求………………………25

13检测……………………25

13.1概述…………………25

13.2系统初始化…………………………25

13.3用户注册管理系统…………………26

/

13.4证书证书撤销列表生成与签发系统………………26

/

13.5证书证书撤销列表存储与发布系统………………27

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

13.6证书状态查询系统…………………27

13.7安全审计系统………………………27

13.8密钥管理中心检测…………………27

13.9系统安全性检测……………………28

13.10其他安全产品和系统………………28

()

附录资料性附录与之间的消息格式…………………

AKMCCA29

A.1概述…………………29

A.2协议…………………29

()

附录资料性附录安全通信协议……………………

B36

B.1符号说明……………36

B.2身份鉴别……………36

B.3密钥交换……………36

B.4安全通信协议………………………37

()…

附录资料性附录密码设备接口函数定义及说明………………

C39

C.1应用类密码设备接口函数…………39

C.2证书载体接口函数…………………55

()

附录资料性附录证书认证系统网络结构图………

D71

当采用/模式时的网络结构…………

D.1RACSCA71

当采用/模式时的网络结构…………

D.2RABSCA72

D.3CA与远程RA的连接………………72

D.4KMC与多个CA的网络连接………………………73

参考文献……………………74

Ⅱ

/—

GBT250562010

图证书认证系统逻辑结构………………

14

图用户注册管理系统逻辑结构…………

26

图密钥管理中心逻辑结构……………

310

图采用/模式时的网络结构示意图…………………

D.1RACSCA71

图采用/模式时的网络结构示意图…………………

D.2RABSCA72

图D.3CA与远程RA的连接示意图…………………72

图D.4KMC与多个CA的网络连接示意图……………73

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

Ⅲ

/—

GBT250562010

前言

、、、。

本标准附录附录附录附录均为资料性附录

ABCD

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

Ⅴ

/—

GBT250562010

信息安全技术证书认证系统

密码及其相关安全技术规范

1范围

、、、。

本标准规定了为公众服务的数字证书认证系统的设计建设检测运行及管理规范本标准为实

,

现数字证书认证系统的互连互通和交叉认证提供统一的依据指导第三方证书认证机构的数字证书认

,。

证系统的建设和检测评估规范数字证书认证系统中密码及相关安全技术的应用

、、、。

本标准适用于第三方证书认证机构的数字证书认证系统的设计建设检测运行及管理非第三

、,。

方证书认证机构的数字证书认证系统的建设运行及管理可参照本标准

2规范性引用文件

。,

下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件其随后所有

(),,

的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究

。,。

是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本标准

/—电子计算机场地通用规范

GBT28872000

/—88计算机场地安全要求

GBT936119

/—信息安全技术公钥基础设施数字证书格式

GBT205182006

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

—电子信息系统机房设计规范

GB501742008

/—计算机机房用活动地板技术条件

SJT107961996

3术语和定义

下列术语和定义适用于本标准。

3.1

认证机构证书authoritcertificate

y

签发给证书认证机构的证书。

3.2

CA证书CAcertificate

,,。

由一个CA给另一个CA签发的证书一个CA也可以为自己签发证书这是一种自签名的证书

3.3

证书认证系统certificateauthenticationsstem

y

对生命周期内的数字证书进行全过程管理的安全系统。

3.4

证书策略certificateolic

py

,()

是一个指定的规则集合它指出证书对于具有普通安全需求的一个特定团体和或具体应用类的

。,定的价格幅度下商品交易的电子

适用性例如一个特定的证书策略可以指出一个类型的证书对在一

数据处理的认证的适用性。

3.5

证书撤销列表;

certificaterevocationlistCRL

标记一系列不再被证书发布者所信任的证书的签名列表。

1

/—

GBT250562010

3.6

证书验证certificatevalidation

。、

确定证书在指定的时间内是否有效的过程证书验证包括有效期验证签名验证以及证书状态的

检验。

3.7

证书认证机构;

certificateauthoritCA

y

,。

又称为认证中心或CA它是被用户所信任的签发公钥证书及证书撤销列表的管理机构

3.8

注销列表;

CAcertificateauthoritrevocationlistARL

y

,。

标记已经被注销的CA的公钥证书的列表表示这些证书已经无效

3.9

证书认证路径certificationath

p

。,

在目录信息树中对象证书的一个有序的序列路径的初始节点是最初待验证对象的公钥可以通

过路径获得最终的顶点的公钥。

3.10

证书撤销列表分布点certificaterevocationlistdistributionoint

p

,,

一个目录条目或其他的证书撤销列表分布源一个通过证书撤销列表分布点发布的证书撤销列表

,。

可以包括由一个CA发布的所有证书中的一个证书子集的注销条目也可以包括全部证书的注销条目

3.11

增量证书撤销列表;

delta-CRLdCRL

,国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

是一个部分的证书撤销列表它只包括那些在基础证书撤销列表确认后注销状态改变的证书的

条目。

3.12

证书序列号certificateserialnumber

在一个证书认证机构所签发的证书中用于唯一标识数字证书的一个整数。

3.13

数字证书diitalcertificate

g

、、、

由证书认证机构签名的包含公开密钥拥有者信息公开密钥签发者信息有效期以及一些扩展信

息的数字文件。

3.14

完全的证书撤销列表fullCRL

,。

在给定的范围内包含所有已经被注销的证书的证书撤销列表

3.15

私钥rivateke

py

,。

在公钥密码系统中用户的密钥对中只有用户本身才能持有的密钥

3.16

公钥ublicke

py

,。

在公钥密码系统中用户的密钥对中可以被其他用户所持有的密钥

3.17

证书注册机构;

reistrationauthoritRA

gy

,、

证书认证体系中的一个组成部分它是接收用户证书及证书撤销列表申请信息审核用户真实身

、。

份为用户颁发证书的管理机构

2

/—

GBT250562010

3.18

依赖方relinart

ygpy

使用证书中的数据进行决策的用户或代理。

3.19

安全策略securitolic

ypy

由证书认证机构发布的用于约束安全服务以及设施的使用和提供方式的规则集合。

3.20

信任trust

通常说一个实体信任另一个实体表示后一个实体将完全按照第一个实体的规定进行相关的活动。

,。

在本标准中信任用来描述一个认证实体与证书认证机构之间的关系

4缩略语

ARLCertificateAuthoritRevocationListCA注销列表

y

CACertificateAuthorit证书认证机构

y

CRLCertificateRevocationList证书撤销列表

dCRLDeltaCRL增量证书撤销列表

-

DITDerectorInformationTree目录信息树系统

y

HTTPHertextTransferProtocol超文本传输协议

yp

HTTPSSecureHertextTransferProtocol安全超文本传输协议

yp

KMCKeManaementCentre密钥管理中心

yg

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页轻量目录访问协议

LDAPLihtweihtDirectorAccessProtocol

ggy

OCSPOnlineCertificateStatusProtocol在线证书状态查询协议

OIDObectID对象标识符

j

RAReistrationAuthorit证书注册机构

gy

SOCSPSimleOnlineCertificateStatusProtocol简明在线证书状态查询协议

p

5证书认证系统

5.1概述

。

证书认证系统是对生命周期内的数字证书进行全过程管理的安全系统证书认证系统必须采用双

(),(

证书用于数字签名的证书和用于数字加密的证书机制并建设双中心证书认证中心和密钥管理中

)。、,,、/

心证书认证系统在逻辑上可分为核心层管理层和服务层其中核心层由密钥管理中心证书证书

、/;

撤销列表签发系统证书证书撤销列表存储发布管理系统构成管理层由证书管理系统和安全管理系

;()。

统构成服务层由证书注册管理系统包括远程用户注册管理系统和证书查询系统构成建议的证书

认证系统的逻辑结构如图所示。

1

5.2功能描述

5.2.1概述

,、/

证书认证系统提供了对生命周期内的数字证书进行全过程管理的功能包括用户注册管理证书

、/、

证书撤销列表的生成与签发证书证书撤销列表的存储与发布证书状态的查询和密钥的生成与管理

以及安全管理等。

5.2.2用户注册管理系统

、,

用户注册管理系统负责用户的证书申请身份审核和证书下载可分为本地注册管理系统和远程注

册管理系统。

3

/—

GBT250562010

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

图证书认证系统逻辑结构

1

证书申请

证书申请可采用在线或离线两种方式:

———:;

在线方式用户通过互联网等登录到用户注册管理系统申请证书

———:。

离线方式用户到指定的注册机构申请证书

身份审核

,。

审核人员通过用户注册管理系统对证书申请者进行身份审核

证书下载

证书下载可采用在线或离线两种方式:

———:;

在线方式用户通过互联网等登录到用户注册管理系统下载证书

———:。

离线方式用户到指定的注册机构下载证书

/

5.2.3证书证书撤销列表生成与签发系统

功能

/、。

证书证书撤销列表生成与签发系统负责生成签发数字证书和证书撤销列表

证书类型

,、。

按主体对象证书分为人员证书设备证书和机构证书三种类型

,。

按功能证书分为加密证书和签名证书两种类型

证书机制

。,,一张用于数据

证书认证系统采用双证书机制每个用户拥有两张数字证书一张用于数字签名另

4

/—

GBT250562010

。;

加密用于数字签名的密钥对可以由用户利用具有密码运算功能的证书载体产生用于数据加密的密

。。

钥对由密钥管理中心产生并负责安全管理签名证书和加密证书一起保存在用户的证书载体中

/

证书生成签发

,,

用户的数字证书由该系统的CA签发根CA的数字证书由根CA自己签发下级CA的数字证书

由上级CA签发。

证书撤销列表

,,

证书撤销列表是在证书有效期之内CA签发的终止使用证书的信息分为用户证书撤销列表

()()。,/,

和证书撤销列表两类在证书的使用过程中应用系统通过检查获取有

CRLCAARLCRLARL

关证书的状态。

/

5.2.4证书证书撤销列表存储与发布系统

/、。

证书证书撤销列表存储与发布系统负责数字证书证书撤销列表的存储和发布

,/,

根据应用环境的不同证书证书撤销列表存储与发布系统应采用数据库或目录服务方式实现数

/、,。

字证书证书撤销列表的存储备份和恢复等功能并提供查询服务

使用目,、,

录服务方式应采用主从目录结构以保证主目录服务器的安全同时从目录服务器可以采

,。。

用分布式的方式进行设置以提高系统的效率用户只能访问从目录服务器

5.2.5证书状态查询系统

,:

证书状态查询系统应为用户和应用系统提供证书状态查询服务包括

———:,,。

CRL查询用户或应用系统利用数字证书中标识的CRL地址下载CRL并检验证书有效性

———:,。

在线证书状态查询用户或应用系统按照OCSP协议实时在线查询证书的状态

,。

在实际应用中可以根据具体情况采用上述两种查询方式之一或全部

5.2.6证书管理系统

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

/、、、、、、

证书管理系统是证书认证系统中实现对证书证书撤销列表的申请审核生成签发存储发布

、。

注销归档等功能的管理控制系统

5.2.7安全管理系统

安全管理系统主要包括安全审计系统和安全防护系统。

,、、、

安全审计系统提供事件级审计功能对涉及系统安全的行为人员时间等记录进行跟踪统计和

分析。

、、、。

安全防护系统提供访问控制入侵检测漏洞扫描病毒防治等网络安全功能

5.3系统设计

5.3.1概述

,

证书认证系统的设计包括系统的总体设计和各子系统设计本标准提供证书认证系统的设计原则

,,。

以及各个子系统的实现方式在具体实现过程中应根据所选择的开发平台和开发环境进行详细设计

5.3.2总体设计原则

证书认证系统的总体设计原则如下:

)、;

a证书认证系统遵循标准化模块化设计原则

),,;

b证书认证系统设置相对独立的功能模块通过各模块之间的安全连接实现各项功能

)各模块之间的通信采用基于身份鉴别机制的安全通信协议;

c

d)各模块使用的密码运算都必须在密码设备中完成;

)各模块产生的审计日志文件采用统一的格式传递和存储;

e

)、/

f用户注册管理系统证书证书撤销列表生成与签发系统和密钥管理中心可以设置独立的数

据库;

g)证书认证系统的各模块应设置有效的系统管理功能;

h)系统必须具备访问控制功能;

5

/—

GBT250562010

),。

i系统在实现证书管理功能的同时必须充分考虑系统本身的安全性

5.3.3用户注册管理系统设计

用户注册管理系统功能

/、,:

用户注册管理系统负责用户证书证书撤销列表的申请审核以及证书的制作其主要功能如下

———:,,

用户信息的录入录入用户的申请信息用户申请信息包括签发证书所需要的信息还包括用

,。

于验证用户身份的信息这些信息存放在用户注册管理系统的数据库中用户注册管理系统

、。

应能够批量接受从外部系统生成的以电子文档方式存储的用户信息

———:,,,

用户信息的审核提取用户的申请信息审核用户的真实身份当审核通过后将证书签发所需

要的信息提交给签发系统。

———: