1、ICS 35.040.L 80GB/T XXXXXXXX 信息安全技术 证书认证系统密码及其相关安全技术规范Information security techniques-specifications of cryptograph and related security technology for certificate authentication system(征求意见稿)2016-06XXXX-XX-XX 发布 XXXX-XX-XX 实施中 华 人 民 共 和 国 国 家 标 准GB/T XXXX201X 目 次前 言 .III1 范围 .12 规范性引用文件 .13 术语和定义 .
2、14 缩略语 .35 证书认证系统 .45.1 概述 .45.2 功能描述 .55.3 系统设计 .65.4 数字证书 .105.5 证书撤销列表 .116 密钥管理中心 .116.1 结构描述 .116.2 功能描述 .116.3 系统设计 .126.4 KMC 与 CA 的安全通信协议 .147 密码算法、密码设备及接口 .147.1 密码算法 .147.2 密码设备 .147.3 密码服务接口 .158 证书认证中心 .158.1 系统 .158.2 安全 .178.3 数据备份 .198.4 可靠性 .198.5 物理安全 .208.6 人事管理制度 .219 密钥管理中心 .219.
3、1 建设原则 .219.2 系统 .219.3 安全 .229.4 数据备份 .229.5 可靠性 .229.6 物理安全 .229.7 人事管理制度 .2210 证书认证中心运行管理要求 .2210.1 人员管理要求 .2210.2 CA 业务运行管理要求 .2310.3 密钥分管要求 .24GB/T XXXX-XXXXII10.4 安全管理要求 .2410.5 安全审计要求 .2510.6 文档配备要求 .2511 密钥管理中心运行管理要求 .2611.1 人员管理要求 .2611.2 运行管理要求 .2611.3 密钥分管要求 .2611.4 安全管理要求 .2611.5 安全审计要求
4、.2711.6 文档配备要求 .2712 证书操作流程 .2712.1 证书申请流程 .2712.2 证书更新流程 .2712.3 证书吊销流程 .2712.4 用户密钥恢复流程 .2812.5 司法密钥恢复 .2812.6 证书挂起流程 .2812.7 解除证书挂起流程 .28附录 A (资料性附录) 证书认证系统网络结构图 .30A.1 当 RA 采用 C/S 模式时 CA 的网络结构 .30A.2 当 RA 采用 B/S 模式时 CA 的网络结构 .31A.3 CA 与远程 RA 的连接 .31A.4 KMC 与多个 CA 的网络连接 .32GB/T XXXX-201XIII前 言本标准
5、按照 GB/T 1.12009 给出的规则编写。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由国家密码管理局提出。本标准由全国信息安全标准化技术委员会(SAC/TC260)归口。本标准中的附录 A 是资料性附录。本标准原起草单位:长春吉大正元信息技术股份有限公司、国家密码管理局商用密码研究中心、国家信息安全工程技术研究中心。本标准原起草人:邱泽军、王永传、何立波、谢永泉、姜玉琳、刘海龙、邓开勇、罗鹏、田景成、赵丹、张文建、李大为。本标准修订稿起草单位:上海市数字证书认证中心有限公司、上海格尔软件股份有限公司、北京市数字证书认证中心有限公司、长春吉大正元信
6、息技术股份有限公司、北京海泰方圆科技有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份有限公司、兴唐通信科技有限公司、上海颐东网络信息有限公司、万达信息股份有限公司、飞天诚信科技股份有限公司、北京华大智宝电子系统有限公司、北京握奇智能科技有限公司、山东得安信息技术有限公司、国家信息安全工程技术研究中心、国家密码管理局商用密码检测中心。本标准修订稿起草人:刘平、崔久强、刘承、郑强、谭武征、李述胜、赵丽丽、柳增寿、徐强、李元正、王妮娜、夏东山、李海杰、于华章、陈跃、胡俊义、孔凡玉、袁峰、李志伟。GB/T XXXX-201X1信息安全技术 证书认证系统密码及其相关安全技术规范范围本标准规
7、定了数字证书认证系统的密码及其相关安全技术要求,包括证书认证中心、密钥管理中心、密码算法、密码设备及接口等。本标准适用于指导第三方认证机构的数字证书认证系统的建设和检测评估,规范数字证书认证系统中密码及相关安全技术的应用。非第三方认证机构的数字证书认证系统的建设、运行及管理,可参照本标准。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 50174 电子信息系统机房设计规范GB/T 2887 计算站场地通用规范GB/T 6650 计算机机房用活动地板技术条件GB/T 9
8、361 计算站场地安全要求GB/T 20518 信息安全技术 公钥基础设施 数字证书格式GM/T 0014 数字证书认证系统密码协议规范GM/T 0015 基于 SM2 密码算法的数字证书格式规范GM/T 0016 智能密码钥匙密码应用接口规范GM/T 0018 密码设备应用接口规范GM/T 0019 通用密码服务接口规范GM/T 0020 证书应用综合服务接口规范GM/T 0034 基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范BMB 3-1999 处理涉密信息的电磁屏蔽室的技术要求和测试方法RFC 6960 X.509 Internet Public Key Infrastr
9、ucture Online Certificate Status Protocol (OCSP)术语和定义下列术语和定义适用于本标准。3.1认证机构证书 authority certificate签发给证书认证机构的证书。3.2CA 证书 CA certificate由一个 CA 给另一个 CA 签发的证书,一个 CA 也可以为自己签发证书,这是一种自签名的证书。GB/T XXXX-XXXX23.3证书认证系统 certificate authentication system对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。3.4证书策略 Certificate Poli
10、cy是一个指定的规则集合,它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适用性。例如,一个特定的证书策略可以指出一个类型的证书对在一定的价格幅度下商品交易的电子数据处理的认证的适用性。3.5证书撤销列表 Certificate Revocation List;CRL由证书认证机构(CA)签发并发布的被撤销证书的列表。3.6证书验证 certificate validation按照验证策略确认证书有效性和真实性的过程。3.7证书认证机构 Certificate Authority;CA对数字证书进行全生命周期管理的实体。也称为电子认证服务机构。3.8CA 注销列表 Certif
11、icate Authority Revocation List;ARL标记已经被注销的 CA 的公钥证书的列表,表示这些证书已经无效。3.9证书认证路径 Certification Path在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥,可以通过路径获得最终的顶点的公钥。3.10证书撤销列表分发点 Certificate Revocation List Distribution Point;CDP一个目录条目或其它的证书撤销列表分布源,一个通过证书撤销列表分布点发布的证书撤销列表,可以包括由一个 CA 发布的所有证书中的一个证书子集的注销条目,也可以包括全部证书的
12、注销条目。3.11增量证书撤销列表 delta-CRL;dCRL是一个部分的证书撤销列表,它只包括那些在基础证书撤销列表确认后注销状态改变的证书的条目。3.12证书序列号 certificate serial numberGB/T XXXX-201X3在一个证书认证机构所签发的证书中用于唯一标识数字证书的一个整数。3.13数字证书 digital certificate也称公钥证书,由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书,按用途可分为签名证书和加密证书。3.14完全的证书撤销列表 fu
13、ll CRL在给定的范围内,包含所有已经被注销证书的证书撤销列表。3.15私钥 private key非对称密码算法中只能由拥有者使用的不公开密钥。3.16公钥 public key非对称密码算法中可以公开的密钥。3.17证书注册机构 Registration Authority;RA受理数字证书的申请、更新、恢复和注销等业务的实体。3.18依赖方 relying party使用证书中的数据进行决策的用户或代理。3.19安全策略 security policy由证书认证机构发布的用于约束安全服务以及设施的使用和提供方式的规则集合。3.20SM2 算法 SM2 algorithm一种椭圆曲线公钥
14、密码算法,其密钥长度为 256 比特。3.21信任 trust通常说一个实体信任另一个实体表示后一个实体将完全按照第一个实体的规定进行相关的活动。在本标准中,信任用来描述一个认证实体与证书认证机构之间的关系。缩略语下列缩略语适用于本文件ARL CA 注销列表(Certificate Authority Revocation List)GB/T XXXX-XXXX4CA 证书认证机构(Certificate Authority)CRL 证书撤销列表(Certificate Revocation List)dCRL 增量证书撤销列表(Delta-CRL)DIT 目录信息树系统(Directory
15、Information Tree)HTTP 超文本传输协议(Hypertext Transfer Protocol)HTTPS 安全超文本传输协议(Secure Hypertext Transfer Protocol)KMC 密钥管理中心(Key Management Centre)LDAP 轻量级目录访问协议(Lightweight Directory Access Protocol)OCSP 在线证书状态查询协议(Online Certificate Status Protocol)OID 对象标识符 (Object ID)RA 证书注册机构(Registration Authority)
16、SOCSP 简易在线证书状态查询协议(Simple Online Certificate Status Protocol)证书认证系统概述证书认证系统是对生命周期内的数字证书进行全过程管理的安全系统。证书认证系统必须采用双证书(用于数字签名的证书和用于数据加密的证书)机制,并建设双中心(证书认证中心和密钥管理中心)。证书认证系统在逻辑上可分为核心层、管理层和服务层,其中,核心层由密钥管理中心、证书/CRL 生成与签发系统、证书/CRL 存储发布系统构成;管理层由证书管理系统和安全管理系统构成;服务层由证书注册管理系统(包括远程用户注册管理系统)和证书查询系统构成。建议的证书认证系统的逻辑结构如图 1 所示。证 书 / C R L 生 成 与签 发 系 统安 全 管 理 系 统证 书 管 理 系 统远 程 用 户 注 册 管 理 系 统证 书 C R L 查 询 系 统用 户 注 册 管 理 系统终 端 实 体 终 端 实 体密钥管理中心I n t e r n e t证 书 / C R L存 储 发 布 系 统
