<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 25056—2018信息安全技術 證書認證系統密碼及其相關安全技術規范
    展開或關閉
    前言
    前言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 縮略語
    縮略語
    5 證書認證系統
    5.1 概述 5.2 功能描述 5.3 系統設計 5.4 數字證書 5.5 證書撤銷列表
    6 密鑰管理中心
    6.1 結構描述 6.2 功能描述 6.3 系統設計 6.4 KMC與CA的安全通信協議
    7 密碼算法、密碼設備及接口
    7.1 密碼算法 7.2 密碼設備 7.3 密碼服務接口
    8 證書認證中心
    8.1 系統 8.2 安全 8.3 數據備份 8.4 可靠性 8.5 物理安全 8.6 人事管理制度
    9 密鑰管理中心
    9.1 建設原則 9.2 系統 9.3 安全 9.4 數據備份 9.5 可靠性 9.6 物理安全 9.7 人事管理制度
    10 證書認證中心運行管理要求
    10.1 人員管理要求 10.2 CA業務運行管理要求 10.3 密鑰分管要求 10.4 安全管理要求 10.5 安全審計要求 10.6 文檔配備要求
    11 密鑰管理中心運行管理要求
    11.1 人員管理要求 11.2 運行管理要求 11.3 密鑰分管要求 11.4 安全管理要求 11.5 安全審計要求 11.6 文檔配備要求
    12 證書操作流程
    12.1 證書申請流程 12.2 證書更新流程 12.3 證書吊銷流程 12.4 用戶密鑰恢復流程 12.5 司法密鑰恢復 12.6 證書掛起流程 12.7 解除證書掛起流程
    附錄A (資料性附錄) 證書認證系統網絡結構圖
    A.1 當RA采用C/S模式時CA的網絡結構 A.2 當RA采用B/S模式時CA的網絡結構 A.3 CA與遠程RA的連接 A.4 KMC與多個CA的網絡連接

    5.3 系統設計

    GB/T 25056—2018信息安全技術 證書認證系統密碼及其相關安全技術規范 /

    5.3.1 概述

    證書認證系統的設計包括系統的總體設計和各子系統設計,本標準提供證書認證系統的設計原則以及各個子系統的實現方式,在具體實現過程中,應根據所選擇的開發平臺和開發環境進行詳細設計。

    5.3.2 總體設計原則

    證書認證系統的總體設計原則如下:
    a)證書認證系統遵循標準化、模塊化設計原則;
    b)證書認證系統設置相對獨立的功能模塊,通過各模塊之間的安全連接,實現各項功能;
    c)各模塊之間的通信采用基于身份鑒別機制的安全通信協議;
    d)各模塊使用的密碼運算都必須在密碼設備中完成;
    e)各模塊產生的審計日志文件采用統一的格式傳遞和存儲;
    f)用戶注冊管理系統、證書/證書撤銷列表生成與簽發系統和密鑰管理中心可以設置獨立的數據庫;
    g)證書認證系統的各模塊應設置有效的系統管理功能;
    h)系統必須具備訪問控制功能;

    5.3.3 用戶注冊管理系統設計

    5.3.3.1 用戶注冊管理系統功能

    用戶注冊管理系統負責用戶證書/證書撤銷列表的申請、審核以及證書的制作,其主要功能如下:
    a)用戶信息的錄入:錄入用戶的申請信息,用戶申請信息包括簽發證書所需要的信息,還包括用于驗證用戶身份的信息,這些信息存放在用戶注冊管理系統的數據庫中。用戶注冊管理系統應能夠批量接受從外部系統生成的、以電子文檔方式存儲的用戶信息;
    b)用戶信息的審核:提取用戶的申請信息,審核用戶的真實身份,當審核通過后,將證書簽發所需要的信息提交給簽發系統;
    c)用戶證書下載:用戶注冊管理系統提供證書下載功能,當簽發系統為用戶簽發證書后,用戶注冊管理系統能夠下載用戶證書,并將用戶證書寫入指定的用戶證書載體中,然后分發給用戶;
    d)安全審計:負責對用戶注冊管理系統的管理人員、操作人員的操作日志進行查詢、統計以及報表打印等;
    e)安全管理:對用戶注冊管理系統的登陸進行安全訪問控制,并對用戶信息數據庫進行管理和備份;
    f)多級審核:用戶注冊管理系統可根據需要采用分級部署的模式,對不同種類和等級的證書,可由不同級別的用戶注冊管理系統進行審核。用戶注冊管理系統應能夠根據需求支持多級注冊管理系統的建立和多級審核模式。

    5.3.3.2 用戶注冊管理系統結構

    用戶注冊管理系統有本地注冊管理和遠程注冊管理兩種方式,分別由注冊管理、數據庫、信息錄入、身份審核、證書制作、安全管理以及安全審計幾部分構成。其結構如圖2所示:

    5.3.4 證書/證書撤銷列表生成與簽發系統設計

    5.3.4.1 證書/證書撤銷列表生成與簽發系統功能

    證書/證書撤銷列表生成與簽發系統是證書認證系統的核心,不僅為整個證書認證系統提供簽發證書/證書撤銷列表的服務,還承擔整個證書認證系統中主要的安全管理工作。

    其主要功能如下:

    a) 證書生成與簽發:從數據庫中讀取與核對用戶信息,根據擬簽發的證書類型向密鑰管理中心申請加密密鑰對,生成用戶的簽名證書和加密證書,將簽發完成的證書發布到目錄服務器和數據庫中。根據系統的配置和管理策略,不同種類或用途的證書可以采用不同的簽名密鑰;

    b) 證書更新:系統應提供CA證書及用戶證書的更新功能;

    c) 證書撤銷列表生成與簽發:接收注銷信息,驗證注銷信息中的簽名,然后簽發證書撤銷列表,將簽發后的注銷列表發布到數據庫或目錄服務器中。簽發證書撤銷列表的簽名密鑰可以與簽發證書的簽名密鑰相同或不同;

    d) 安全審計:負責對證書/證書撤銷列表生成與簽發系統的管理人員、操作人員的操作日志進行查詢、統計以及報表打印等;

    e) 安全管理:對證書/證書撤銷列表生成與簽發系統的登錄進行安全訪問控制,并對證書/證書撤銷列表數據庫進行管理和備份;設置管理員、操作員,并為這些人員申請和下載數字證書;配置不同的密碼設備;配置不同的證書模板。

    證書/證書撤銷列表生成與簽發系統應具有并行處理的能力。

    5.3.4.2 證書/證書撤銷列表生成與簽發系統結構

    證書/證書撤銷列表生成與簽發系統由證書/證書撤銷列表生成與簽發模塊、安全管理模塊、安全審計模塊、數據庫、目錄服務器以及密碼設備等組成。

    a) 證書/證書撤銷列表生成與簽發

    主要功能包括證書的生成與簽發和CRL/ARL的生成與簽發。

    1) 證書的生成/簽發

    根據接收的請求信息,從數據庫中提取用戶的信息,向密鑰管理中心申請加密密鑰對,然后生成并簽發簽名證書和加密證書,簽發的證書和加密證書的私鑰通過證書管理系統下傳給申請者,同時將證書發布到數據庫和目錄服務器中。在此過程中,必須保證私鑰傳遞的安全。

    2) 證書撤銷列表的生成/簽發

    首先驗證申請信息中的數字簽名和相關數據,然后簽發證書撤銷列表,并將證書撤銷列表發布到目錄服務器或數據庫指定的位置。

    b) 密碼設備

    密碼設備完成簽名以及驗證工作,并負責與其它系統通信過程中的密碼運算,CA的簽名密鑰保存在密碼設備中。在進行上述工作中,必須保證所使用的密鑰不能以明文形式被讀出密碼設備。

    c) 安全管理

    主要包括:

    1) 證書模板配置:不同的證書種類由不同的證書模板確定,證書模板包括相應種類證書的基本項和證書的擴展項;

    2) CRL發布策略配置:配置CRL的發布策略,包括自動/人工發布模式選擇、發布時間間隔;

    3) 進行CA密鑰的更新;

    4) 進行證書的備份和歸檔;

    5) 進行服務器安全配置,包括服務器可接受的主機訪問列表;

    6) 為其它子系統定義管理員以及為這些管理員簽發數字證書;

    7) 數據庫系統的配置:數據源的選擇,數據庫連接的用戶名和口令設置。

    d) 安全審計

    查詢證書/證書撤銷列表生成與簽發系統中的安全審計日志,并進行統計與打印。

    5.3.5 證書/證書撤銷列表存儲發布系統設計

    5.3.5.1 證書/證書撤銷列表存儲發布系統功能

    證書/證書撤銷列表存儲發布系統負責證書和證書撤銷列表的存儲與發布,是證書認證系統的基礎組成部分。證書的存儲和發布必須采用數據庫、目錄服務器或其中之一。

    該系統主要功能如下:

    a) 證書存儲;

    b) 證書撤銷列表存儲;

    c) 證書和CRL發布;

    d) 安全審計:負責對證書/證書撤銷列表存儲發布系統的管理人員、操作人員的操作日志進行審查、統計以及報表打印等;

    e) 安全管理:對證書/證書撤銷列表存儲發布系統的登陸進行訪問控制,并定期對數據庫和目錄服務器進行管理和備份;

    f) 數據一致性檢驗:對數據庫和目錄服務器中的數據進行一致性檢驗。

    5.3.5.2 證書/證書撤銷列表存儲發布系統結構

    證書/證書撤銷列表存儲與發布系統由數據庫或主/從目錄服務器、安全管理模塊、安全審計模塊組成。

    a) 數據庫

    存放證書和證書撤銷列表以及用戶的其它信息。

    b) 目錄服務器

    證書/證書撤銷列表存儲發布系統采用主從結構的目錄服務器,簽發完成的數據直接寫入主目錄服務器中,然后由目錄服務器的主從映射功能自動映射到從目錄服務器中。主、從目錄服務器通常配置在不同等級的安全區域。用戶只能訪問從目錄服務器。

    c) 安全管理

    主要包括:

    1) 定期對數據庫和目錄服務器的內容進行數據的備份和歸檔;

    2) 對數據庫和目錄服務器中的數據進行一致性檢查,發現不一致時,應進行數據恢復。

    d) 安全審計

    查詢證書/證書撤銷列表存儲與發布系統中的安全審計日志,并進行統計與打印等。

    5.3.6 證書狀態查詢系統設計

    5.3.6.1 證書狀態查詢系統功能

    證書狀態查詢系統為用戶及應用系統提供證書狀態查詢服務。

    證書狀態查詢系統所提供的服務可以采用以下兩種方式:

    a) CRL查詢;用戶或應用系統利用證書中標識的CRL地址,查詢并下載CRL到本地,進行證書狀態的檢驗。

    b) 在線證書狀態查詢。用戶或應用系統利用OCSP協議,在線實時查詢證書的狀態,查詢結果經過簽名后返回給請求者,進行證書狀態的檢驗。

    5.3.6.2 證書狀態查詢系統結構

    證書狀態查詢系統由證書狀態數據庫/OCSP服務器、安全管理模塊、安全審計模塊以及密碼設備組成。

    a) 證書狀態數據庫/OCSP服務器;

    接受用戶及應用系統的證書狀態查詢請求,根據請求信息中的證書序列號,從證書狀態數據庫中查詢證書的狀態,查詢結果返回給請求者。

    b) 密碼設備;

    驗證請求信息中的簽名,并對查詢結果進行簽名。

    c) 安全管理;

    主要包括:

    1) OCSP服務器的配置;定義可接受的訪問控制信息以及查詢的證書狀態數據庫的地址。

    2) 啟動/停止查詢服務。配置可接受的用戶請求數量等。

    d) 安全審計。

    查詢證書狀態查詢系統中的安全審計日志,并進行統計與打印等。

    5.3.7 證書管理系統設計

    證書管理系統是證書認證系統的綜合信息控制和調度服務系統,它接收用戶的各種請求信息,并將請求信息提交給相應的子系統。證書管理系統是一個邏輯上獨立的系統,在進行系統設計過程中,可根據證書認證系統提供的服務,由不同的處理模塊組成,這些模塊可以采用分布式的結構,以增強系統的處理能力,提高系統的效率。

    5.3.8 安全管理系統設計

    安全管理系統主要包括安全審計系統和安全防護系統。

    a) 安全審計系統

    提供事件級審計功能,對涉及系統安全的行為、人員、時間的記錄進行跟蹤、統計和分析。安全審計系統可以分別查詢各子系統中的日志記錄,也可以通過查詢證書/證書撤銷列表存儲與發布系統中的數據庫,進行集中審計。

    日志記錄的主要內容包括:

    1) 操作員姓名;

    2) 操作項目;

    3) 操作起始時間;

    4) 操作終止時間;

    5) 證書序列號;

    6) 操作結果。

    日志管理的主要內容包括:

    1) 日志參數設置,設置日志保存的最大規模和日志備份的目錄;

    2) 日志查詢,查詢操作員、操作事件信息;

    3) 日志備份,當日志保存到日志參數設置的最大規模時,將保存的日志備份;

    4) 日志處理,對日志記錄的正常業務流量和各類事件進行分類整理;

    5) 證據管理,對證據數據進行審計、統計和記錄。

    b) 安全防護系統

    提供訪問控制、入侵檢測、漏洞掃描、病毒防治等網絡安全功能。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类