SJ 20881-2003 安全证书管理系统技术要求.pdf

1、L 民共和国电FL 0137 SJ 20881 2003 全证要.、Technique requirements of secure certificate management system 2003-12-15发布2004-03-01实施中华人民共和国息产业部批准目IJ本标准由信息产业部电子第四研究所归口。本标准起草单位:中国电子科技集团公司第三十研究所。本标准主要起草人z林望重、程蝉、侯滨、范亮。SJ 20881-2003 SJ 20881一-20032 安全证书统技术要求范围本标准描述了安全证书管理系统的体系结构，规定了其功能、接口等技术要求.本标准适用于安全证书管理系统的规划、工程设

2、计、设备研制和维护管理。引用文件，-卢，-tF:-工民飞毛川ri!/产飞飞下列文件中的有关条款通迂引用而成为本标准的条款。凡注日期或版次的引用文件，其后的任何修改单(不包括助误的内容或修汀版本都不运用牙凉标准1-，但提倡使用本标准的各方探讨使用其最新版本的可能性。凡不注目期或版i欠的引用文件，其最新版本适用手本标准。节ITU-T X.509 信息技术?开放系统互连号码簿:公钥和属性鉴别框架、3 f/飞术语和定义及缩回唱i吾/ft43丰-亏厅/ t- ,. -、3. 1 术语和定义j￥iJ 下列术语和定义运用于本标准。v f L I 3. 1. 1 密码算法。cryptographi c.a I

3、 gor i thm 一组受密钥控制将明文交换成密文、或将密文交换成明文的规则。将明文交换成密文的算法称为加密算法，将密文交换成明文的算法称为解密算法。., , 3. 1. 2加密encryption)把明文消息交换成密文的密码操作。设密钥为K.明文为一p，则加密操作记为;EkP)。3，1，3解密decryption 加密的逆过程.设密钥为K，密文为C，则解密过程记作:DKC) , ./ _._ t 3. 1. 4密钥key气、了/f-v ,/ 在密码体制中，用T控制或改变密码算法和初态的一组参数委宣丸，jfr3, 1. 5私钥privatekei y二千吨黑吨皿铲4/riJ主/公开密钥密码体

4、制中，用F斗密钥对中只有用户本身才能持飞有的密钥J3. 1. 6 公钥pub|ic key 飞坏、iuyaJY二r/公开密钥密码体制中，用户密钥对葫陈其它开了均持有的酬。3. 1. 7证书certificate 它是将用户身份及其公钥用一种可信的方式绑定在一起的具有标准格式的数据串.证书中包括签发者名称、用户身份信息、用户公钥、有效日期以及由该签发者对上述信息所作的数字签名.3. 1. 8 随机数random number 不可预测的满足随机性统计特性的数字序列。3. 1. 9鉴别authentication 一种证明实体的真实身份或消息的真实性的过程。3. 1. 10证书授权机构CCA)ce

5、rtificate authority 被用户信任的签发证书的实体。证书授权机构也负责证书撤销列表的签发。3. 1. 11 注册机构registration authority 负责对向证书授权机构申请证书的用户身份进行鉴别的实体.它记录和校验用户信息，并把这些一一一一SJ 20881-2003 信息传送给证书授权机构。注册机构并不签发证书。3. 1. 12 证书撤消certificate revocation 证书授权机构宣布被其签发的证书无效，称为证书撤消。3. 1. 13 证书撤消列表certificate revocation list 列举被证书授权机构宣布为无效证书的数据结构。3.

6、 1. 14证书历史档案certificate repository 存放在数据库中的过去的证书和相应的私钥。3. 1. 15 证书服务器certificate server 存放各类证书、证书撤消列表、历史档案，并提供证书、证书撤消列表、历史档案查询、维护的服务器，3. 1. 16 证书安全管理域certificate security management domain 一个注册机构或证书授权机构所管辖的范围。3. 1. 17 数据完整性data integrity 数据没有被非授权地改变或破坏的性质。3. 1. 18 用户鉴别设备user authentication equipment

7、 放置在用户端，完成用户端签名、认证、加密、解密、存储等功能的设备。3. 1. 19 管理信息树management information tree 管理信息的树状结构.每一个管理对象类都有一个关键属性，一个对象实例的标识由其在包含树中上层对象实例的标识及自身关键属性的取值共同决定。这是一种递推的命名方式。3. 1. 20 用户users 一个安全管理域所管辖的所有的被管理对象。3. 1. 21 加密证书encryption certificate 证书中的公钥被用于加密的证书.3. 1. 22 签名证书signature certificate 证书中的公钥被用于数字签名验证的证书。3.

8、1. 23 交叉认证cross authentication 在多级证书授权机构结构中，同级证书授权机构间相互认证的机制。3.2 缩略语4 下列缩略语适用于本标准:API一应用编程接口:ASN.l一抽象语法记法一:CA一证书授权机构:CS一证书服务器:CRL-证书撤消列表:DER-专有编码规则;PKCS一公开密钥加密标准;RA一注册机构。安全证书管理系统体系结构4. 1 系统体系结构4. 1. 1 证书管理系统2 r SJ 20881-2003 去全证书管理系统以公钥体制为基础，提供符合ITU-T X.509v.3格式的证书，采用集中签发，分级注册管理体制，里树状分层结构。证书管理系统由CA、

9、阳、CS等组成，其中队包含用户鉴别设各.证书管理系统的构成如图l所示.证书管理系统CA /7户忖气CI二TT二ct/JtY注-4;vt芝气f/已/阳)尺/r/fF;二r/:二( UJ!飞飞T 图l证书管理系统的组成: lL._, r 主体唯一标识符suhdectLJntqdeID J V咽.-extenslons 6 f p 扩展域飞司在寸, 一签名算法飞44j飞?才户44sig3attireAlgorlthm签名-三是川、电.卢_.-_- ._,_,usignatureValue ,_ 5. 1.2 CRL列表证书撤销列表是在证书有效期之内，CA签发的终止使用证书的信息。在证书的使用过程中，

10、应用系统通过检查C缸，获取有关证书的状态。证书授权机构接收撤销信息，验证撤销信息中的签名是否符合管理规定，然后签发证书撤销列表，签发后的撤销列表发布到证书服务器。CA生成的CRL列表符合ITU-TX.509标准，如表2所示。5 一一SJ 20881-2003 表2CRL结构内容标iq 版本号verSl0n 签名算法标识符siEna阳re颁发者名称Jssuer 本次更新(日期/时间thisUpdate 下次更新(日期/时间)nextUpdate 用户证书序列号/撤销日期userCertificate/revocationDate CRL条目扩展项clrExtensions . 用户证书序列号/撤

11、销日期userC ert fi cate/ revocati onDate CRL扩展域crlExtensions 签名算法signatureAlgorithm 签名signatureValue 证书管理机构负责对证书机构的管理人员、操作人员的操作日志进行查询、统计以及报表打印。5. 1. 3 证书/证书撒销列表的存储和发布证书服务器完成证书、证书撤销列表(CRL)的存储和发布。根据不同的应用环境，证书服务器应采用数据库或目录服务方式，实现证书ICRL的存储、各份和恢复等功能，并为用户和应用系统提供证书状态查询服务.5. 2 注册机构用户注册机构的主要功能是接受用户申请、鉴别用户身份和完成证书

12、的制作。5.2.1 用户信息的录入录入用户的申请信息，用户申请信息包括签发证书所需要的信息及用于鉴别用户身份的信息，这些信息存放在用户注册机构的数据库中。用户信息录入能够批量接受从外部系统生成的、以电子文档方式存储的用户信息。5.2.2 用户信息的审核提取用户的申请信息，审核用户的真实身份，当审核通过后，将证书签发所需要的信息提交给证书授权机构，以便为用户签发数字证书.5.2.3 用户证书的制作用户注册机构提供证书制作功能，当证书授权机构为用户签发证书后，用户注册机构能够下载用户证书，并将用户证书写入系统指定的用户证书载体中，然后分发给用户。5.2.4安全审计对用户注册机构的管理人员、操作人员

13、的操作日志进行查询、统计以及报表打印。6 实现要求6. 1 功能要求安全证书管理系统应具有以下功能za) CA能签发用户证书:b) 阳能对申请证书的所有合法用户进行注册:c) 系统具有证书查询、C也查询、历史档案查询以及信息各份等功能:d) 系统具有快速恢复的功能;6 J L SJ 20881-2003 e) 系统具有审计功能: 具有规范、完整的安全API接曰:g) 在系统中存储的关键信息应有安全保护措施，以确保这些信息的安全:h) 系统具有对安全管理员、审计管理员身份鉴别的功能。6. 2标准化要求a) 证书、CRL、历史档案应符合ITU-TX.509标准;b) 私钥封装格式符合有关标准的规定

14、。6. 3 证书生成要求a) 一级CA证书t在CA建立过程中自签发生成$b) 二级(含二级)以下CAiE书z由主属士级的CA签发生成:c) RAE-t5:由直接CA签发生戒rsfs穴lf个d) 用户证书g向阳注JII(.R人的直肩上级的tA签主生戚。卢气、6. 4开放性要求/ff 、卢产俨.-_.，飞飞LJtFL、在设计过程中必须遵循开放性原则，提供如下的规范的开放武y:金APIza) 证书查询。PI:证书t服务器提供证书查询接口: b) 证书撤销列表(L)JEAPII汪书服务器提供证书撤销对表接口:飞c) 证书归档APlfit书服务器提供历史档案接口: d飞id) 用户鉴别API:提供用户认

15、证接口，针对用户鉴别设备而言.完成用户证书和私钥的存取、数字签名、f身份认证、加密、解密等功能.i、-L L1 6. 5备份要求J4ajj: 十一一v ; ii、i运用自动成人工方式定期各份数据，并确保各份数据的交全.各份数据至少应包括以下内容za) CA私钥信息:曲b) RA私钥信息:l f c) 证书所对益的私钥信息:一一一f ff d) 证书信息:如。CRL信息飞袍，/王-/。历史档案信息:人、g) 审计信息:勺，川、/;/勺h) 系统恢复所需的其窍信息、;0.、二、也有，排你俨fJ町fi v/ -飞.,r. !. 1 / 6.6 恢复要求4 之477丁F丁、(飞亏。LJJ二/当系统出现

16、故障时，可利用各份数捷尔速恢复系统二J/6.7系统扩充性要求比叫由一怦趾卢系统应采用模块化结构，可根据需要扩展新的功能，6.8 审计要求证书授权机构应为所有的重要事件(如密钥产生、证书申请、确认、暂停和撤销等保持一个审计踪迹.6. 8. 1 记录信息审计记录至少应包括以下信息:a) 事件发起者(主体); b) 事件接受者(客体);c) 事件内容(动作);d) 事件发生时间(时间).6.8.2 审计内容7 -一SJ 20881-2003 审计内容至少应包括以下信息:苟安全管理员的所有操作;b) CA的签发操作:。CA、阳与证书服务器之间的所有操作:d) 事件标识号。6.8.3 审计管理a) 审计

17、管理员可查阅所有审计记录，授权管理员仅有权查阅授权信息:b) 审计信息应进行定期备份。6. 9 操作系统当条件具备时，应优先采用具有我国自主知识产权的安全操作系统。6. 10 安全管理域命名原则应以管理信息树形式进行组织。管理信息树应反映各管理对象之间的隶属、协作、包含关系。例如:CA名为QDCA.其一F级RA名为SRA.则RA所管辖的安全管理域名为SRA.QDCA.而USERSRA.QDCA则表明USER为该安全管理域中的一个用户。6. 11 管理界面具有丰富、友好的提示和帮助信息。6. 12 安全防护要求CA应置于物理安全环境内，所在的局域网应受到安全保护:CA、RA之间传递的所有信息均应受到安全保护。8 一一中华人民共和国电子行业军用标准安全证书管理系统技术要求SJ 20881一-2003* 版刷行出印发中国电子技术标准化研究所中国电子技术标准化研究所中国电子技术标准化研究所电话(010) 84029065 传真，(010) 64007812 地址.北京市安定门东大街l号邮编100007 网址z阳W.cesl, ac. cn 字数，22千字11 16 * 印张:1/16 开本，880X 1230 2004年7月第一次印刷2001年7月第版