路径: 主页 > GB/T > 第208页 > GB/T 25056-2018 | 标准编号 | GB/T 25056-2018 (GB/T25056-2018) | | 中文名称 | 信息安全技术 证书认证系统密码及其相关安全技术规范 | | 英文名称 | Information security technology -- Specifications of cryptograph and related security technology for certificate authentication system | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 38,381 | | 发布日期 | 2018-06-07 | | 实施日期 | 2019-01-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 25056-2018
Information security technology--Specifications of cryptograph and related security technology for certificate authentication system
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 25056-2010
信息安全技术 证书认证系统密码
及其相关安全技术规范
2018-06-07发布
2019-01-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 3
5 证书认证系统 3
5.1 概述 3
5.2 功能描述 4
5.3 系统设计 6
5.4 数字证书 11
5.5 证书撤销列表 11
6 密钥管理系统 11
6.1 结构描述 11
6.2 功能描述 11
6.3 系统设计 12
6.4 KMC与CA的安全通信协议 15
7 密码算法、密码设备及接口 15
7.1 密码算法 15
7.2 密码设备 15
7.3 密码服务接口 16
8 证书认证中心 16
8.1 系统 16
8.2 安全 17
8.3 数据备份 20
8.4 可靠性 20
8.5 物理安全 20
8.6 人事管理制度 22
9 密钥管理中心 22
9.1 建设原则 22
9.2 系统 22
9.3 安全 23
9.4 数据备份 23
9.5 可靠性 23
9.6 物理安全 23
9.7 人事管理制度 23
10 证书认证中心运行管理要求 23
10.1 人员管理要求 23
10.2 CA业务运行管理要求 24
10.3 密钥分管要求 25
10.4 安全管理要求 25
10.5 安全审计要求 26
10.6 文档配备要求 26
11 密钥管理中心运行管理要求 27
11.1 人员管理要求 27
11.2 运行管理要求 28
11.3 密钥分管要求 28
11.4 安全管理要求 28
11.5 安全审计要求 28
11.6 文档配备要求 28
12 证书操作流程 28
12.1 证书申请流程 28
12.2 证书更新流程 28
12.3 证书吊销流程 29
12.4 用户密钥恢复流程 29
12.5 司法密钥恢复 29
12.6 证书挂起流程 30
12.7 解除证书挂起流程 30
附录A(资料性附录) 证书认证系统网络结构图 31
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 25056-2010《信息安全技术 证书认证系统密码及其相关安全技术规范》,与
GB/T 25056-2010相比主要技术变化如下:
---修改了对密码算法的要求(见7.1);
---修改了对密码服务接口的要求(见7.3);
---修改了证书认证系统的密码协议,删除了原标准第8章,改为引用GM/T 0014;
---修改了KMC与CA之间的消息格式和安全通信协议,删除了原标准的附录A和附录B,改为
引用GM/T 0014;
---修改了密码接口函数定义,删除了原标准的附录C,改为引用GM/T 0019;
---增加了对证书操作流程的规定(见第12章)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:上海市数字证书认证中心有限公司、上海格尔软件股份有限公司、北京数字认证
股份有限公司、长春吉大正元信息技术股份有限公司、北京海泰方圆科技股份有限公司、无锡江南信息
安全工程技术中心、成都卫士通信息产业股份有限公司、兴唐通信科技有限公司、上海颐东网络信息有
限公司、万达信息股份有限公司、飞天诚信科技股份有限公司、北京华大智宝电子系统有限公司、北京握
奇智能科技有限公司、山东得安信息技术有限公司、上海信息安全工程技术研究中心、国家密码管理局
商用密码检测中心。
本标准起草人:刘平、崔久强、刘承、郑强、谭武征、李述胜、赵丽丽、柳增寿、徐明翼、李元正、王妮娜、
夏东山、李海杰、于华章、陈跃、胡俊义、孔凡玉、袁峰、李志伟。
本标准所代替标准的历次版本发布情况为:
---GB/T 25056-2010。
信息安全技术 证书认证系统密码
及其相关安全技术规范
1 范围
本标准规定了数字证书认证系统的密码及其相关安全技术要求,包括:证书认证系统,密钥管理系
统,密码算法、密码设备及接口,证书认证中心,密钥管理中心,证书认证中心运行管理要求,密钥管理中
心运行管理要求,证书操作流程等。
本标准适用于指导第三方认证机构的数字证书认证系统的建设和检测评估,规范数字证书认证系
统中密码及相关安全技术的应用。非第三方认证机构的数字证书认证系统的建设、运行及管理,可参照
本标准。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 2887 计算机场地通用规范
GB/T 9361 计算机场地安全要求
GB/T 32905 信息安全技术 SM3密码杂凑算法
GB/T 32918(所有部分)信息安全技术 SM2椭圆曲线公钥密码算法
GB/T 35291-2017 信息安全技术 智能密码钥匙应用接口规范
GB/T 20518-2018 信息安全技术 公钥基础设施 数字证书格式
GB/T 36322-2018 信息安全技术 密码设备应用接口规范
GB 50174 数据中心设计规范
BMB3-1999 处理涉密信息的电磁屏蔽室的技术要求和测试方法
GM/T 0014-2012 数字证书认证系统密码协议规范
GM/T 0019-2012 通用密码服务接口规范
GM/T 0020-2012 证书应用综合服务接口规范
3 术语和定义
下列术语和定义适用于本文件。
3.1
CA证书 CAcertificate
由一个CA给另一个CA签发的证书,一个CA也可以为自己签发证书,这是一种自签名的证书。
3.2
对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。
3.3
证书策略 certificatepolicy
一个指定的规则集合,它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适
用性。
注:一个特定的证书策略可以指出一个类型的证书对在一定的价格幅度下商品交易的电子数据处理的认证的适
用性。
3.4
由证书认证机构(CA)签发并发布的被撤销证书的列表。
3.5
证书认证机构 certificateauthority
对数字证书进行全生命周期管理的实体,也称为电子认证服务机构。
3.6
标记已经被注销的CA的公钥证书的列表,表示这些证书已经无效。
3.7
CDP
一个目录条目或其他的证书撤销列表分布源,一个通过证书撤销列表分布点发布的证书撤销列表,
可以包括由一个CA发布的所有证书中的一个证书子集的注销条目,也可以包括全部证书的注销条目。
3.8
在一个证书认证机构所签发的证书中用于唯一标识数字证书的一个整数。
3.9
数字证书 digitalcertificate
公钥证书
由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信
息的一种数据结构。按类别可分为个人证书、机构证书和设备证书,按用途可分为签名证书和加密
证书。
3.10
私钥 privatekey
非对称密码算法中只能由拥有者使用的不公开密钥。
3.11
公钥 publickey
非对称密码算法中可以公开的密钥。
3.12
受理数字证书的申请、更新、恢复和注销等业务的实体。
3.13
安全策略 securitypolicy
由证书认证机构发布的用于约束安全服务以及设施的使用和提供方式的规则集合。
3.14
SM2算法 SM2algorithm
由GB/T 32918(所有部分)定义的算法。
3.15
由GB/T 32905定义的算法。
3.16
信任 trust
通常说一个实体信任另一个实体表示后一个实体将完全按照第一个实体的规定进行相关的活动。
在本标准中,信任用来描述一个认证实体与证书认证机构之间的关系。
4 缩略语
下列缩略语适用于本文件。
OID:对象标识符 (ObjectID)
5 证书认证系统
5.1 概述
证书认证系统是对生命周期内的数字证书进行全过程管理的安全系统。证书认证系统应采用双证
书(用于数字签名的证书和用于数据加密的证书)机制,并建设双中心(证书认证中心和密钥管理中心)。
证书认证系统在逻辑上可分为核心层、管理层和服务层,其中,核心层由密钥管理中心、证书/CRL生成
与签发系统、证书/CRL存储发布系统构成;管理层由证书管理系统和安全管理系统构成;服务层由证
书注册管理系统(包括远程用户注册管理系统)和证书状态查询系统构成。证书认证系统的逻辑结构宜
如图1所示。
图1 证书认证系统逻辑结构
5.2 功能描述
5.2.1 概述
证书认证系统提供了对生命周期内的数字证书进行全过程管理的功能,包括用户注册管理、证书/
证书撤销列表的生成与签发、证书/证书撤销列表的存储与发布、证书状态的查询、证书管理及安全管
理等。
5.2.2 用户注册管理系统
5.2.2.1 概述
用户注册管理系统负责用户的证书申请、身份审核和证书下载,可分为本地注册管理系统和远程注
册管理系统。
5.2.2.2 证书申请
证书申请可采用在线或离线两种方式:
a) 在线方式:用户通过互联网等登录到用户注册管理系统申请证书;
b) 离线方式:用户到指定的注册机构申请证书。
5.2.2.3 身份审核
审核人员通过用户注册管理系统,对证书申请者进行身份审核。
5.2.2.4 证书下载
证书下载可采用在线或离线两种方式:
a) 在线方式:用户通过互联网等登录到用户注册管理系统下载证书;
b) 离线方式:用户到指定的注册机构下载证书。
5.2.3 证书/证书撤销列表生成与签发系统
5.2.3.1 功能
证书/证书撤销列表生成与签发系统负责生成、签发数字证书和证书撤销列表。
5.2.3.2 证书类型
按主体对象,证书分为人员证书、设备证书和机构证书三种类型。
按功能,证书分为加密证书和签名证书两种类型。
5.2.3.3 证书机制
证书认证系统采用双证书机制。每个用户拥有两张数字证书,一张用于数字签名,另一张用于数据
加密。用于数字签名的密钥对可以由用户利用具有密码运算功能的证书载体产生;用于数据加密的密
钥对由密钥管理中心产生并负责安全管理。签名证书和加密证书一起保存在用户的证书载体中。
5.2.3.4 证书生成/签发
用户的数字证书由该系统的CA签发,根CA的数字证书由根CA自己签发,下级CA的数字证书
由上级CA签发。
5.2.3.5 证书撤销列表
证书撤销列表是在证书有效期之内,CA签发的终止使用证书的信息,分为用户证书撤销列表
(CRL)和CA证书撤销列表(ARL)两类。在证书的使用过程中,应用系统通过检查CRL/ARL,获取有
关证书的状态。
5.2.4 证书/证书撤销列表存储与发布系统
证书/证书撤销列表存储与发布系统负责数字证书、证书撤销列表的存储和发布。
根据应用环境的不同,证书/证书撤销列表存储与发布系统应采用数据库或目录服务方式,实现数
字证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务。
使用目录服务方式,应采用主、从目录服务器结构以保证主目录服务器的安全,同时从目录服务器
可以采用分布式的方式进行设置,以提高系统的效率。用户只能访问从目录服务器。
5.2.5 证书状态查询系统
证书状态查询系统应为用户和应用系统提供证书状态查询服务,包括:
a) CRL查询:用户或应用系统利用数字证书中标识的CRL地址,下载CRL,并检验证书有效性;
b) 在线证书状态查询:用户或应用系统按照在RFC6960中规定的方法,实时在线查询证书的
状态。
在实际应用中,可以根据具体情况采用上述两种查询方式之一或全部。
5.2.6 证书管理系统
证书管理系统是证书认证系统中实现对证书/证书撤销列表的申请、审核、生成、签发、存储、发布、
注销、归档等功能的管理控制系统。
5.2.7 安全管理系统
安全管理系统主要包括安全审计系统和安全防护系统。
安全审计系统提供事件级审计功能,对涉及系统安全的行为、人员、时间等记录进行跟踪、统计和
分析。
安全防护系统提供访问控制、入侵检测(入侵防御)、漏洞扫描、病毒防治等网络安全功能。
5.3 系统设计
5.3.1 概述
证书认证系统的设计包括系统的总体设计和各子系统设计,本标准提供证书认证系统的设计原则
以及各个子系统的实现方式,在具体实现过程中,应根据所选择的开发平台和开发环境进行详细设计。
5.3.2 总体设计原则
证书认证系统的总体设计原则如下:
a) 证书认证系统遵循标准化、模块化设计原则;
b) 证书认证系统设置相对独立的功能模块,通过各模块之间的安全连接,实现各项功能;
c) 各模块之间的通信采用基于身份鉴别机制的安全通信协议;
d 各模块使用的密码运算都要在密码设备中完成;
e) 各模块产生的审计日志文件采用统一的格式传递和存储;
f) 用户注册管理系统、证书/证书撤销列表生成与签发系统和密钥管理中心可以设置独立的数
据库;
g) 证书认证系统的各模块应设置有效的系统管理功能;
h) 系统应具备访问控制功能;
i) 系统在实现证书管理功能的同时,应充分考虑系统本身的安全性。
5.3.3 用户注册管理系统设计
5.3.3.1 用户注册管理系统功能
用户注册管理系统负责用户证书/证书撤销列表的申请、审核以及证书的制作,其主要功能如下:
a) 用户信息的录入:录入用户的申请信息,用户申请信息包括签发证书所需要的信息,还包括用
于验证用户身份的信息,这些信息存放在用户注册管理系统的数据库中。用户注册管理系统
应能够批量接收从外部系统生成的、以电子文档方式存储的用户信息。
b) 用户信息的审核:提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书签发所需
要的信息提交给签发系统。
c) 用户证书下载:用户注册管理系统提供证书下载功能,当签发系统为用户签发证书后,用户注
册管理系统能够下载用户证书,并将用户证书写入指定的用户证书载体中,然后分发给用户。
d) 安全审计:负责对用户注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及报
表打印等。
e) 安全管理:对用户注册管理系统的登陆进行安全访问控制,并对用户信息数据库进行管理和
备份。
f) 多级审核:用户注册管理系统可根据需要采用分级部署的模式,对不同种类和等级的证书,可
由不同级别的用户注册管理系统进行审核。用户注册管理系统应能够根据需求支持多级注册
管理系统的建立和多级审核模式。
用户注册管理系统应具有并行处理的能力。
5.3.3.2 用户注册管理系统结构
用户注册管理系统有本地注册管理和远程注册管理两种方式,分别由注册管理、数据库、信息录入、
身份审核、证书制作、安全管理以及安全审计等部分构成。其结构如图2所示:
图2 用户注册管理系统逻辑结构
5.3.4 证书/证书撤销列表生成与签发系统设计
5.3.4.1 证书/证书撤销列表生成与签发系统功能
证书/证书撤销列表生成与签发系统是证书认证系统的核心,不仅为整个证书认证系统提供签发证
书/证书撤销列表的服务,还承担整个证书认证系统中主要的安全管理工作。其主要功能如下:
a) 证书生成与签发:从数据库中读取与核对用户信息,根据拟签发的证书类型向密钥管理中心申
请加密密钥对,生成用户的签名证书和加密证书,将签发完成的证书发布到目录服务器和数据
库中。根据系统的配置和管理策略,不同种类或用途的证书可以采用不同的签名密钥。
b) 证书更新:系统应提供CA证书及用户证书的更新功能。
c) 证书撤销列表生成与签发:接收注销信息,验证注销信息中的签名,然后签发证书撤销列表,将
签发后的注销列表发布到数据库或目录服务器中。签发证书撤销列表的签名密钥可以与签发
证书的签名密钥相同或不同。
d) 安全审计:负责对证书/证书撤销列表生成与签发系统的管理人员、操作人员的操作日志进行
查询、统计以及报表打印等。
e) 安全管理:对证书/证书撤销列表生成与签发系统的登录进行安全访问控制,并对证书/证书撤
销列表数据库进行管理和备份;设置管理员、操作员,并为这些人员申请和下载数字证书;配置
不同的密码设备;配置不同的证书模板。
证书/证书撤销列表生成与签发系统应具有并行处理的能力。
5.3.4.2 证书/证书撤销列表生成与签发系统结构
5.3.4.2.1 概述
证书/证书撤销列表生成与签发系统由证书/证书撤销列表生成与签发模块、密码设备模块、安全管
理模块、安全审计模块等组成。
5.3.4.2.2 证书/证书撤销列表生成与签发
主要功能包括证书的生成与签发和CRL/ARL的生成与签发:
a) 证书的生成/签发:根据接收的请求信息,从数据库中提取用户的信息,向密钥管理中心申请加
密密钥对,然后生成并签发签名证书和加密证书,签发的证书和加密证书的私钥通过证书管理
系统下传给申请者,同时将证书发布到数据库和目录服务器中。在此过程中,应保证私钥传递
的安全。
b) 证书撤销列表的生成/签发:首先验证申请信息中的数字签名和相关数据,然后签发证书撤销
列表,并将证书撤销列表发布到目录服务器或数据库指定的位置。
5.3.4.2.3 密码设备
密码设备完成签名以及验证工作,并负责......
|