1、ICS 35.040 L 80 GB 和国国家标准-=:H工-、中华人民G/T 25055-2010 信息安全技术公钥基础设施安全支撑平台技术框架Information security techniques一Public Key Infrastructure security supporting platform framework 2010-09-02发布数码防伪/ 中华人民共和国国家质量监督检验检菇总局中国国家标准化管理委员会2011-02-01实施发布中华人民共和国国家标准信息安全技术公钥基础设施安全支撑平台技术桂架GB/T 25055-2010 唔中国标准出版社出版发行北京复兴门外
2、三里河北街16号邮政编码:100045网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 开本880X12301/16 印张1.75 字数44千字2010年11月第一版2010年11月第一次印刷* 书号:155066 1-40461 定价27.元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533GB/T 25055-2010 目次前言.皿引言.N 1 范围.2 规范性引用文件-3 术语和定义4 缩略语.35 概述45. 1 安全支撑平台同安全应用体系的关联45.2 安全支撑平台结构45.3 安全支撑平台功能46 证书认证
3、系统6.1 认证体系6.2 逻辑结构6.3 CA 6.4 注册机构RA6.5 证书目录服务系统7 密钥管理系统KMS 8 7.1 总体描述87.2 系统组成7.3 功能要求7.4 性能要求107.5 接口要求108 特定权限管理基础设施PMI108. 1 总体描述108. 2 系统组成108. 3 功能要求.8.4 性能要求.12 8. 5 接口要求.12 9 密码服务系统9. 1 总体描述9.2 系统组成.9.3 功能要求9.4 性能要求9.5 接口要求10 可信时间戳服务系统10.1 总体描述u10.2 系统组成.13 10.3 功能要求.13G/T 25055-2010 qJA哇A哇A哇
4、A哇A峙AFbFUFbFUFUFbrbFbnbnbEU民U咛tniniq叮iQd01iq111IA1i1A1IAT-A1IA11i1i-111111i1i咱I111i1i111IAnLnL内L系关的系体构用结应辑构全逻结安层成与分组台统统平系系撑证理充HHHH支认管系全书钥份u安证密备-uuuu统灾级u系护u和和和等统统护防统. 附附附求求和述复份份系成求求系述成求求防全全全系求置性性性要要复描恢备备计组要要定描组要要全安安安理要设料料料能口恢体障灾灾审统能能认体统能能安络理统管能制资资资.性接障总故容容全系功性任总系功性本网物系全功机(献故安责基安ABC文JJJJJJJJJJJJJJJJJJ
5、录录录考四川口日11口MUUMUUUUUHHMMMmm附附附参H GB/T 25055-2010 目IJ1=1 本标准的附录A、附录B和附录C为资料性附录。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准主要起草单位:上海信息安全工程技术研究中心、国家信息安全工程技术研究中心。本标准主要起草人:袁文恭、刘平、何义大、郭晓雷、袁峰、洪焕健。阳山G/T 25055-2010 引-EH 我国信息化的快速发展,使构建安全支撑平台成为国家信息系统安全建设急需解决的重要问题。本标准提出了一个基于PKI技术的安全支撑平台技术框架,规定了各子系统应遵循的通用技术框架标准,为我国信息
6、安全基础设施建设、为应用系统的安全需求提供带共性的安全技术支撑。安全支撑平台以密码技术为基础,为信息系统提供统一、通用的网络信任服务、信息安全保护服务、网络安全保护服务、密码与密钥支撑服务,以满足信息系统实体对网络通信的真实性、保密性、完整性、抗抵赖性等安全保障需求。本标准与我国已经制定的信息安全国家标准GB/T20518-2006、GB/T19714-2005和GB/T 250562010等标准紧密结合,能更好地规范我国信息安全基础设施中安全支撑平台的建设,更好地解决信息安全基础设施的互操作性问题,进一步促进我国的信息化建设和国民经济的发展。在本标准实施过程中,涉及到公钥密码基础设施应用技术
7、体系及其相关接口技术和密码技术的具体应用时,应按照国家密码管理局发布的有关规定和相关技术规范执行。本标准涉及的数字签名系统的实施与运行应遵守中华人民共和国电子签名法。N GB/T 25055-2010 信息安全技术公钥基础设施安全支撑平台技术框架1 范围本标准规定了基于公钥基础设施的安全支撑平台的技术框架。本标准适用于网络信息系统中安全支撑平台的设计、建设、检测、运营及管理,为网络信息系统和业务应用系统提供统一可信的软、硬件安全支撑服务。同时,本标准还可为安全产品生产商提供产品和技术的标准定位以及标准化的参考,指导安全产品生产商对安全支撑平台的设计和建设,提高安全产品的可信性与互操作性。对于特
8、定的安全支撑平台的建设,可根据具体的业务需求和情况进行灵活配置。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 19713一2005信息技术安全技术公钥基础设施在线证书状态协议GB/T 19714一2005信息技术安全技术公钥基础设施证书管理协议GB/T 20275-2006 信息安全技术入侵检测系统技术要求和测试评价方法GB/T 20281-2006 信息安全技
9、术防火墙技术要求和测试评价方法GB/T 20518-2006信息安全技术公钥基础设施数字证书格式GB/T 20519- 2006 信息安全技术公钥基础设施特定权限管理中心技术规范GB/T 20520-2006信息安全技术公钥基础设施时间戳规范GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/T 20988-2007 信息安全技术信息系统灾难恢复规范GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 25056-2010 信息安全技术证书认证系统密码及其相关安全技术规范GB/T 25059-2010信息安全技术公钥基础设施简易在线证书状态协议RFC
10、1777 LDAP轻量级目录访问协议国家密码管理局数字证书认证系统密码协议规范),2007年8月13日第11号公告3 术语和定义3.1 3.2 3.3 下列术语和定义适用于本标准。属性授权机构Attribute Authority 通过发布属性证书来分配特权的证书认证机构。属性证书attribute certificate 属性授权机构进行数字签名的数据结构,把持有者的身份信息与一些属性值绑定。属性证书注册机构Attribute Registration Authority 属性证书的审核注册申请机构,又称属性注册权威。1 GB/T 25055一20103.4 应用支撑平台applicatio
11、n supporting platform 由一系列支持安全应用服务的软硬件设备按照统一的体系结构和技术规范组成的系统集合,可为各种应用提供安全的基础应用支撑服务。3.5 桥证书认证机构Bridge Certificate Authority 为了建立多个CA的相互信任关系,设置一个桥接证书认证机构,由它用自己的私钥为各个互相信任的CA签发证书,简称桥CA。这些CA配置有桥CA的证书,桥CA必须是各CA信任的权威认证机构。3.6 证书认证机构Certification Authority 负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。3. 7 数字证书digital
12、 certificate 由认证权威数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。3.8 轻量目录访问协议Lightweight Directory Acccss Protocol 一种简便的目录查询协议,通过网络到目录服务器查询系统中的证书或证书撤销列表。3.9 在线证书状态协议online certificate status prot倪。I一种实时查询证书状态的协议,通过网络到OCSP服务器实时查询系统中证书的当前有效/元效状态。3. 10 私钥private kcy 在公钥密码体制中,用户的密钥对rl1只有用户本身才能持有的密钥。3.11 特
13、定权限privilege 由属性权威机构分配给用户实体的对某种资源所具有的访问权利。3.12 特定权眼管理基础设施PrivHege Management Infrastructure 支持对用户进行授权服务的特定权限管理基础设施,它与公钥基础设施CPKl)有密切的联系,依靠公钥基础设施对用户的身份进行认证。3.13 3. 14 公开密钥public key 公钥在公钥密码体制中,用户密钥对中公布给公众的密钥。公钥基础设施Public Key Infrastructure 一个能够对公私钥对进行管理,支持身份验证、保密性、完整性以及不可否认性服务的信息安全基础设施。2 GB/T 25055-20
14、10 3.15 注册机构Registration Authority 为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事机构或业务受理点。也叫证书审核注册中心。3. 16 角色role 在应用系统中,对资源进行访问的实体的一种权限属性,实体通常可以具有不同的权限,对于具有某种特定权限的实体类,我们称它们属于同一种角色。3.17 角色分配属性证书role assignment aUribute certificate 由某个受信任的AA签发的属性证书,封装了用户所拥有的角色列表。3. 18 安全策略security ploicy 由安全权威机构发布的用于约束安
15、全服务以及设施的使用和提供方式的规则集合。3. 19 源机构Source of Authority 一个属性权威,它是特定资源的权限管理者。它验证用户实体的权限,并作为最终认证中心为用户实体分配相应的权限。3.20 托管证书认证机构trusted certificate authority 一种证书认证服务机构,该机构接受其他某个安全域的证书认证系统的委托,为该系统代理签发与保存其根证书,并用此根证书为该系统代理签发用户证书。4 缩略语下列缩略语适用于本标准。AA 属性授权机构AEF 访问执行功能模块ARA 属性证书注册机构BCA 桥证书认证机构CA 证书认证机构CARL 证书认证机构撤销列表
16、CRL 证书撤销列表LA 本地证书代理点LDAP 轻量目录访问协议OCSP 在线证书状态协议PKCS 公钥密码标准PKI 公钥基础设施P肌11特定权限管理基础设施RA 注册机构RCA 根认证机构SOA 源机构SOCSP 简明在线证书状态协议TCA 托管认证机构CAttribute Authority) CAccess Executive Function) CAttribut巳RegistrationAuthority) CBridge Certificate Authority) CCertification Authority) CCertification Authority Revoc
17、ation List) CCertificate Revocation List) C Local Agency) CLightweight Directory Access ProtocoD C Online Certificate Status ProtocoD CPublic Key Cryptographic Standards) CPublic Key Infrastructure) CPrivilege Management Infrastructure) CRegistration Authority) CRoot Certification Authority) CSource
18、 of Authority) CSimple Online Certificate Status Protocol) CTrusted Certification Authority) 3 G/T 25055-2010 5 概述5. 1 安全支撑平台同安全应用体系的关联安全支撑平台是公钥密码基础设施应用技术体系的一部分,也是国家网络信任体系的重要组成部分。安全支撑平台为公钥密码基础设施应用技术体系提供基础性安全技术支持,它与安全应用体系的关系参见附录A。5.2 安全支撑平台结构安全支撑平台基于公钥基础设施为网络信息系统和应用体系提供统一可信的信息安全保障服务。该平台主要包括:证书认证服务、密钥
19、管理、密码服务、权限管理、时间戳服务、安全审计或责任认定、故障恢复及容灾备份、基本安全防护等系统。见图10可信时间戳服务系统特定权限管理基础设施应用系统码务统密服系障复容备系E故恢和灾份,v密钥管理系统基本安全防护系统图1安全支撑平台体系架构5.3 安全支撑平台功能安全支撑平台的主要功能是为网络信息系统提供可靠的安全服务,包括:a) 提供基于数字证书的信任服务,进行证书管理,包括证书的签发、撤销、发布、存储等服务;b) 提供基于统一安全管理的密钥服务,进行非对称密钥和(或)对称密钥的服务管理;c) 提供基于国家政策和统一安全管理的密码服务;d) 提供基于授权管理系统的权限管理服务和资源访问控制
20、服务;e) 提供基于国家权威时间源和公钥技术的可信时间戳服务;f) 提供数字证书、证书撤销列表的目录查询服务,进行证书、证书撤销列表的目录管理,以及证书状态在线查询服务;g) 提供网络安全防护服务;h) 提供对系统的安全审计与证据管理服务;i) 提供系统的责任认定服务;4 j) 提供系统故障恢复及容灾备份服务;k) 提供对系统的安全管理服务。6 证书认证系统6. 1 认证体系G/T 25055-2010 一个完整的证书认证系统一般采用RCA-CA-SCA-RA-LA等层次结构,根据系统的实际需求可灵活设计为RCA二CARA一LA等4层结构或RCACA-RA,RCA-CA-LA等3层结构。根据需
21、要也可设置BCA-CAs或TCA-LRA结构。其中,RCA为根认证机构。CA为证书认证服务系统的主体机构,包含行业CA和品牌CAoSCA为子CA,包括下级CA和地区CAoRA为用户证书申请注册机构,分为远程注册机构与本地注册机构。LA为接受用户申请证书的受理点,直接面向客户服务。BCA为桥证书认证服务系统。BCA为一个独立的、有权威的可信CAoTCA为托管证书认证服务系统。6.2 逻辑结构证书认证服务系统在逻辑上分为核心层、管理层、服务层和基础层,参见附录A。a) 核心层=由证书与证书撤销列表签发系统、证书与证书撤销列表数据库服务器系统、证书与证书撤销列表主发布服务器系统,主LDAP系统和主O
22、CSP系统以及相关密码设备和管理终端组成;b) 管理层z由证书管理系统、安全管理系统、审计与责任认定系统以及相关密码设备和管理终端组成Ec) 服务层:由用户注册系统、基于LDAP的证书与证书撤销列表发布系统、基于OCSP的证书状态实时查询系统、录人终端、审核终端、制卡终端,以及相关密码设备和可信时间戳服务系统、接入服务系统组成;d) 公共层z由远程注册系统、代理点及分布式的证书与证书撤销列表发布系统LDAP服务器、证书状态实时查询系统OCSP服务器和用户实体等组成。6.3 CA 6.3.1 总体描述CA是证书认证服务系统的核心,主要提供证书的签发和管理、证书撤销列表的签发和管理、证书与证书撤销
23、列表的发布、系统自身的安全审计与安全管理以及用户注册中心的设立、审核、维护及管理。6.3.2 系统组成CA由CA管理服务器、证书签名服务器、证书管理服务器、策略服务系统、密码服务系统以及基本安全防护系统等组成,参见附录B。6.3.3 功能要求6.3.3.1 证书与证书撤销列表签发服务采用国家密码主管部门批准的签名算法完成签名操作,提供各种数字证书及证书撤销列表的签发服务。a) 证书与证书撤销列表签发根CA的数字证书与证书撤销列表由根CA自己签发;用户的数字证书与证书撤销列表由本系统的CA签发;下级CA的数字证书与证书撤销列表由上级CA签发;用于CA之间交叉认证的数字证书可由CA互相签发。证书与
24、证书撤销列表的签发可采用证书链机制。证书链的标志由相应的证书扩展项给出。b) 数字证书格式模板管理一系统应配置人员证书、设备证书、机构证书、应用软件证书等不同的证书模板,供证书签发系统调用。数字证书格式遵照GB/T20518-20060 5 G/T 25055-2010 c) 证书机制-一一数字证书采用双证书机制,一张用于数字签名,另一张用于数据加密。用于数字签名的密钥对由用户利用具有密码运算功能的证书载体产生,用于数据加密的密钥对由密钥管理系统产生。签名证书、加密证书及其对应的密钥一起安全保存在用户的证书载体中。6.3.3.2 证书管理服务主要对系统中的各种数字证书,包括内部管理员证书、操作
25、员证书和内部设备证书的有关操作进行管理。6.3.3.3 证书撤销列表管理服务证书撤销列表是在证书有效期之内,CA签发的终止证书有效性的信息,分为用户证书撤销列表和CA证书撤销列表两类。对超过有效期的证书CA能够自行撤销。6.3.3.4 交叉认证服务系统可提供各个证书认证机构之间的交叉认证服务。对属于不同结构CA的用户,提供不同的交叉认证方式。a) 层次结构CA的用户相互通联,按照证书链进行证书验证;b) 非层次结构CA的用户相互通联,通过查找CA的信任列表进行证书验证,或利用桥CA进行验证;c) 网状结构CA的用户相互通联,通过根CA为各方签发交叉证书或CA间双向交叉证书进行验证。6.3.4
26、性能要求CA系统性能要求如下:a) 证书认证机构应根据实际需要满足用户注册机构、目录服务和在线状态查询的正常访问,具有签发本系统所需最大数量的数字证书和5年以上保存期的能力,并设计有3倍以上的冗余Eb) CA的处理性能,包括证书签发性能、证书管理性能等需具备可伸缩配置及动态平滑扩展能力。业务量小时通过配置系统基本框架和相应服务单元以具备良好的性能价格比,业务量大时通过平滑增配相应的服务单元,以适应业务的发展;c) CA在硬件和系统软件选型配置上需充分考虑到系统可靠性,在关键部分采用双机备份系统和磁盘镜像技术,保证系统不间断运行、在线故障修复和在线升级。另外,还需要考虑建立异地容灾备份系统。6.
27、3.5 接口要求CA系统接口要求如下za) 密码函数接口遵照GB/T25056-2010与RFC1777LDAP轻量级目录访问协议,证书管理系统接口遵照GB/T19714-2005; b) CA与RA系统之间的安全协议应遵照国家密码管理局发布的证书认证系统密码协议规范); c) CA内部模块之间通信可采用国际标准协议或自主编写的具有身份认证功能的安全通信协议,保证各接口的安全与稳定。6.4 注册机构RA6.4. 1 总体描述注册机构RA是信任服务体系的重要节点,是证书认证服务系统的用户申请证书的注册与审核机构,由CA中心授权运作。6.4.2 系统组成6 a) RA由安全网关、接入服务器、证书注
28、册服务系统、密码服务系统、安全审计、策略发布和安全防护子系统等组成。LDAP服务器、OCSP服务器和时间戳服务系统也可设置于RA对外服务层。GB/T 25055-2010 b) RA层可分为后台和前台两部分。后台用于服务器管理和离线签发证书,前台用于直接面对客户服务。6.4.3 功能要求6.4.3.1 证书申请服务证书申请可采用在线或离线两种方式:a) 在线方式z用户通过网络登录到证书注册服务系统申请证书。通过RA-CA-KMC完成签名证书和加密证书的在线申请。初次申请不应采用在线方式。b) 离线方式:用户携带可证明自身身份的有效法律证件,到指定的审核注册机构申请签名证书和加密证书,审核注册机
29、构对用户的身份进行审核,确认系用户本人亲自申请或委托可信任者代理申请,按照程序给用户签发证书。6.4.3.2 身份审核服务身份审核可采用在线审核或离线审核:a) 在线审核:审核人员通过注册系统,连接相关权威机构的应用系统,对证书申请者通过网络进行身份审核。初次申请证书不应采用在线审核方式。b) 离线审核:审核人员通过注册系统,对证书申请者进行现场身份审核。6.4.3.3 证书下载服务证书下载可采用实时下载或非实时下载两种方式=a) 实时方式:用户携带可证明自身身份的有效法律证件,到特定的审核注册机构申请签名证书和加密证书,审核注册机构按照规则对用户的身份进行审核,按照程序为用户向CA申请签发证
30、书并实时下载于用户证书载体。b) 非实时方式:用户到指定的注册机构申请签发证书,注册机构按照程序对用户进行审核,并向CA申请签发用户证书。CA将签发的用户证书置于LDAP服务器,用户在约定的时间可从LDAP服务器非实时下载申请的证书。用户密钥下载,要依照国家密码管理局规范要求进行。6.4.3.4 证书管理服务提供证书认证策略及操作策略的管理;对自身证书进行安全管理;对内部管理员证书、操作员证书进行统一管理z支持个别处理和批处理两种方式发放数字证书。6.4.4 性能要求RA的设置须能满足本系统最大数量用户正常访问的需求,并设计有3倍的冗余;在硬件和系统软件选型配置上充分考虑到系统可靠性,在关键部
31、分采用双机备份系统和磁盘镜像技术,保证系统的不间断运行、在线故障修复和在线系统升级。产品的选择应优先采用具有自主知识产权的安全产品。RA应具备可伸缩系统配置及动态平滑可扩展能力。6.4.5 接口要求密码函数接口遵照GB/T25056-2010。RA与CA系统之间的安全协议应遵照国家密码管理局发布的证书认证系统密码协议规范),实现各系统之间的数据加密传输和身份认证,保证各接口的安全与稳定。CA、RA同外部有关系统的通信须采用通用安全协议、标准编码和标准数据格式。6.5 证书目录服务系统6.5.1 总体描述证书目录服务系统包括LDAP服务器和OCSP服务器,为应用支撑平台及业务应用系统提供证书发布
32、、CRL发布、证书状态发布以及在线查询服务。6.5.2 系统组成证书目录服务系统组成包括:a) 在CA核心区部署一个主目录服务系统,在服务区设置从目录服务系统,为应用支撑平台及业GB/T 25055-2010 务应用提供证书目录查询服务。若一个网络信任域不建设独立的CA中心,而利用其他已有的CA系统,则该网络信任域须部署一套与该CA中心一样的证书查询验证服务系统,为应用支撑平台及业务应用提供证书验证服务。b) 对应某一具体的证书目录服务系统,如果业务量相对较大,则有必要按地域或业务的不同,增设证书目录服务系统。c) 证书目录服务系统在密码服务系统的基础上,基于分布式计算技术进行构建,以支持系统
33、灵活配置和性能动态按需扩展。其主要业务单元包括LDAP服务单元和OCSP服务单元。d) LDAP服务单元基于LDAP协议,提供证书与证书撤销列表的目录发布,主要针对非实时的证书状态查询应用或服务器端应用。e) OCSP服务单元基于OCSP协议,提供证书状态的实时在线查询。6.5.3 功能要求证书目录服务系统包括如下基本功能:a) 基于LDAP技术的目录管理与证书查询服务一一LDAP轻量目录访问协议提供的目录管理服务可根据系统网络设置需求,采用集中式与分布式两种方式进行构建。目录管理服务提供以下安全服务功能:1) 证书和证书撤销列表的发布;2) 证书和证书撤销列表的下载;3) 证书和证书撤销列表
34、的更新;的基于LDAP技术的目录查询控制服务。目录查询z用户或应用系统利用数字证书中标识的CRL地址,利用LDAP目录服务技术下载CRL,检验证书有效性。b) 基于OCSP技术的证书在线状态查询服务在线状态查询,用户或应用系统采用OCSP协议,在线查询证书的实时状态。支持各分布式证书查询验证服务系统的数据一致性。c) 基于SOCSP技术的证书在线状态查询服务SOCSP为应用系统提供实时快速的证书在线状态查询服务,应遵照GB/T25059-2010。d) 目录结构一目录结构应遵照RFC1777(LDAP轻量级目录访问协议。e) LDAP和OCSPFI录服务系统的部署证将目录服务系统在密码服务系统
35、的基础上,基于分布式计算技术进行构建,以支持系统灵活配置和性能动态按需扩展。其主要业务单元包括LDAP服务单元和OCSP服务单元。LDAP和OCSP目录服务系统部署在证书认证服务系统的核心层,同时根据需要可部署在服务层,分布在不同的地域。6.5.4 性能要求证书查询验证服务系统应根据实际需要满足基本的LDAP服务的查询和OCSP服务的查询并发数。证书查询验证服务系统应具备可伸缩配置及动态平滑扩展能力。业务量小时通过配置系统基本框架和相应服务单元,以具备良好的性能价格比,业务量大时通过平滑增配相应的服务单元,以适应业务发展的需要。6.5.5 接口要求应遵照GB/T19713-2005,为应用系统
36、提供在线证书状态查询接口服务;可采用RFC1777协议标准,为应用系统提供LDAP查询接口。7 密钥管理系统KMS7. 1 总体描述密钥管理系统KMS与证书认证服务系统应按照统一规划、同步建设、独立设置、分别管理、有机结合的原则进行建设和管理。密钥管理系统组成结构示意图参见附录B。G/T 25055-2010 7.2 系统组成密钥管理系统KMS主要由以下部分组成:a) 密钥生成系统根据密钥管理系统的策略,密钥生成系统负责密钥生产任务的制定、调度、运行和保存。密钥生成系统需要其他系统的支持,包括密码服务系统和密钥存储系统。具体部署遵照GB/T25056-2010。b) 密钥服务系统一一为密钥管理
37、系统KMS的运行提供密码服务支持,包括产生密钥、数据加解密、数字签名、数字验签以及数字摘要等服务支持。为密钥管理中心的密钥生成、认证管理、密钥管理等模块提供最底层的支持a具体部署遵照GB/T25056-2010。c) 密钥存储系统也称密钥库管理系统,为密钥管理系统KMS提供与密钥及其相关信息的存储服务。该系统完成所有密钥数据、相关签名公钥证书信息的存储、归档,并为密钥管理模块的运行提供数据调度。该系统对密钥数据的存储可使用成型的数据库系统,也可以自行开发数据存储模式。不管使用何种操作系统、存储方式或存储介质,应保证数据存储的安全性、真实性、完整性和不可否认性。密钥存储系统还要为存储的数据提供数
38、据级别的备份。具体部署遵照GB/T25056-2010。d) 管理系统-一-根据策略设置,负责制定密钥分发的策略和任务调度,负责处理密钥数据在数据库管理模块中的基本管理策略,完成密钥的存储、分发、恢复、归档以及操作员管理等多项任务。具体部署遵照GB/T25056-2010。e) 密钥恢复系统根据密钥管理中心职能设置,实施已分发密钥的恢复功能。用户因密钥丢失或其他原因需要恢复原先密钥时,用户通过CA向密钥管理中心要求恢复密钥。当国家有关执法部门需要依法恢复指定用户密钥时,可到密钥管理中心申请恢复特定密钥。密钥恢复系统根据安全设置,可将需要的密钥对恢复并安全下载。具体部署遵照GBjT25056-2
39、010 0 0 安全审计一是密钥管理中心的必要部分。除密码服务系统属于底层模块不涉及密钥管理系统KMS应用层的安全审计模块外,其他所有应用层逻辑系统均需要安全审计的支持。具体部署遵照GB/T25056- 2010 0 g) 认证管理系统一一为密钥管理系统KMS提供操作控制管理。为密钥管理系统KMS自身的操作管理提供证书认证服务,为C八等系统与KMS的连接提供双向证书认证服务。具体部署遵照GB/T25056 -2010。7.3 功能要求密钥管理系统KMS应具备如下功能:a) 安全认证接受CA系统有关密码服务的请求,与CA系统之闯进行安全通信认证,这种方式的认证过程要求双向数字证书认证。b) 密钥
40、生成-根据指定算法、密钥长度,产生非对称加密密销对。产生方式支持批量预生产方式或应答实时生产方式。c) 密钥存储一一将生成的密钥对和与之对应的相关信息进行安全存储,其中私钥对必须加密存储。d) 密钥分发将密钥管理系统生成的密钥对通过安全协议导人用户的证书载体。密钥对在分发过程中应进行加密保护,通过CA将用户私钥的密文传给用户。e) 密钥备份一一将密钥管理系统KMS的密钥对和与之对应的相关信息进行本地冷备份和热备份。f) 密钥撤销-一根据CA的请求,撤销相对应的密钥,并将撤销的密钥由在用库移到历史库中,同时记录CA撤销密钥时相应的日志信息和证据信息。要求具备批量撤销能力。. g) 密钥归档一一将
41、撤销的密钥及其相关签名公钥证书信息移到历史库中,并安全长期存储oh) 密钥恢复9 G/T 25055-2010 1) 一般用户密钥恢复,可通过CA向KM服务系统请求,通过KMC的安全认证后实施密钥恢复操作,密钥恢复结果通过CA安全传给用户,安全下载于特定载体。一般用户仅限于恢复自身密钥。2) 法律凭证进行密钥恢复,直接通过密钥管理系统实施。执法部门恢复密钥至少由两个操作员共同操作,依据安全策略将恢复的密钥加密并保存到指定位置。i) 系统管理一-KMS设置超级管理员、审计管理员、业务管理员等管理人员和一般操作人员。规定各个岗位职责和权限,权限分散、相互制约与协调工作。j) 安全审计一一主要功能包
42、括:日志查询、证据查询、执法部门恢复密钥、服务器状态查询、密钥状态查询等功能。审计员登录审计系统应经过身份鉴别。7.4 性能要求KMS性能要求如下:a) KMS具有根据实际需要满足加密密钥对的批量生产能力和应答响应能力;b) KMS对加密密钥的保存时间,应大于CA签发的公钥证书的保存期;c) KMS中加密密钥的存储数量,应有CA签发公钥证书数量3倍以上的冗余zd) KMS在硬件和系统软件选型配置上需充分考虑到系统可靠性,在关键部分采用双机备份系统和磁盘镜像技术,保证系统不间断运行、在线故障修复和在线升级。另外,还需要考虑建立异地容灾备份系统。7.5 接口要求KMS接口要求如下:a) 密钥管理系
43、统使用的密码接口函数应遵照GB/T25056-2010; b) 密钥管理系统与CA系统之间的安全协议应遵照国家密码管理局发布的证书认证系统密码协议规范hc) 密钥管理系统内部的通信接口和安全协议可采用自主编写的具有证书认证功能的安全通信协议,实现身份认证和操作流程的签名验证。8 特定权限管理基础设施PMI8.1 总体描述特定权限管理基础设施PMI是网络信任体系基础设施的一个重要组成部分,目的是向用户和应用程序提供权限管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理元关的授权访问控制机制,简化具体应用系统的开发与维护。特定权限管理基础设施PMI
44、是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请、签发、注销、使用、验证过程对应着权限的申请、发放、撤销、使用和验证的过程。使用属性证书进行权限管理使得权限的管理不必依赖具体的应用,有利于权限的安全分布式应用。特定权限管理基础设施PMI以资源管理为核心,把资源的访问控制权交由权限管理机构统一处理,即由资源的所有者来进行访问控制。8.2 系统组成8.2. 1 逻辑结构10 特定权限管理基础设施的逻辑结构如下:a) 特定权限管理基础设
45、施主要包括策略管理系统、授权管理系统、资源管理系统、属性证书管理系统、访问控制执行系统、访问控制决策系统和安全审计系统;b) 权限管理系统可支持多权限管理域。每个权限管理域管理一类应用的授权和访问控制。各GB/T 25055-2010 个权限管理域在逻辑上是相互独立的,分别独立地管理相应的应用资源、用户授权和访问控制。8.2.2 层次结构特定权限管理基础设施的层次结构如下:a) 特定权限管理基础设施建立在身份认证体系的基础上,通过建设权限管理机构SOA或者AA、属性证书注册中心ARA提供属性证书的生产服务。完整的属性证书服务系统一般采用SOA-AA-ARA层次结构。b) SOA为信任源点,由应
46、用系统主管部门主持设置,为权限管理总中心。AA为属性证书服务系统的主体机构,提供属性证书签发、发布、管理、撤销等服务,为权限管理中心。ARA为属性证书申请注册机构,提供属性证书的申请注册或注销等服务。ARA还可以根据上级授权委托下一级代理点办理属性证书的申请或注销服务。权限管理中心层次结构建设应遵照GB/T 20519 2006。8.2.3 权限管理模式特定权限管理基础设施管理模式包括:a) 特定权限管理基础设施可以采用一般模式、控制模式、委托模式和角色模式等多种机制。本标准推荐采用基于角色的访问控制机制。通过对资源进行统一管理,制定资源的访问策略,生成策略证书,并对策略证书进行完整性保护,为系统中用户确定不同的角色,发放属性证书,属性证书中包含用户担任的角色集合。b) 基于角色的访问控制模式的逻辑关系可表示为:人员一角色-权限(对象操作)。通过依据策略制定的人员角色、角色权限(对象一操作)构成的权限控制列表实施权限管理。8.3 功能要求8.3. 1 系统管理模块特定权限管理基础设施管理模块包括:a) 策略管理一二策略管理服务、策略管理终端和策略库组成策略管理系统,实现策略的
