YD/T 3499-2019 标准规范下载简介
YD/T 3499-2019 互联网码号资源公钥基础设施(RPKI)安全运行技术要求 证书策略与认证业务框架.pdfYD/T 34992019
者,以及私钥持有证明方法,当私钥钥满足两种情况下的任何一种均被视为验证通过,即与新证书的原 公钥匹配或者与新证书的新公钥匹配。当CA运营BPKI时,需要详细说明BPKI验证证书更新请求的 程序。
7.6.4处理证书更新请求
CA必须详细说明处理证书更新请求的程序,以确保证书更新请求发起者为合法的订户或者经 的授权,并且,证书更新请求发起者合法拥有新证书中所包含的INR。证书更新过程必须验证需 的证书不处于撤销状态。
《生产安全事故应急预案管理办法》应急管理部令7.6.5通知订户新证书的签发
同7.3.2小节技术要求一
7.6.6构成接受更新证书的行为
同7.4.1小节技术要求一至
同7.4.1小节技术要求一致。
7.6.7CA对更新证书的发布
周7.4.2小节技术要求一至
7.6.8CA通知其他实体证书的签发
同7.4.3小节技术要求一致。
证书更新是一个签发新证书以取代原有证书的过程,与证书更新不一样,新证书与原有证书的密钥 对不一样。
7.7.2证书密钥更替的情形
当CA收到证书密钥更替请求时,证书密钥更替操作才予以执行: 1)确认或者怀疑证书中公钥对应的私钥泄露: 2)证书中的密钥对过期。 如果一个证书由于需要修改互联网码号资源扩展项而被撤销时,新证书必须使用与原有证书一样的 公钥。如果怀疑证书中公钥对应的私钥泄露,则原有证书必须撤销,且重新生成包含新密钥对的证书。
7.7.3要求新公钥认证的实体
证书持有者可以发起证书密钥更替请求。另外,CA可通过验证私钥泄露报告后,初始化证书密钥 更替操作。当要求新公钥认证的实体为订户时,CA必须详细说明订户的身份认证和鉴别程序。当证书 更替操作由CA初始化目私钥泄露报告的来源不是订户时,CA必须详细说明私钥泄露报告的验证程序。
7.7.4处理证书密钥更替请求
7.2.2小节技术要求一致
7.7.5通知订户新证书的签发
7.7.8CA通知其他实体证书的签发
7.8.1证书修改的情形
YD/T34992019
证书的修改针对互联网码号资源扩展项字段的INR修改和SIA字段的发布点位置信息修改。当订 古的INR持有发生变化或者订户的发布点位置发生变化,订户可尚CA发起证书修改请求。如果订户 的INR在现有基础上有所增加且该订户并不要求为新增INR发布一个新证书,则需要通过证书修改操 作为订户重新签发一个证书,表明订户当前持有的INR。新发布的证书必须与原有证书具有相同的公钥 和过期日期,互联网码号资源扩展项字段内容为订户当前持有的INR。如果订户的部分sINR被收回, CA必须撤销相应的证书并且为订户重新签发一个新证书,以反映订户当前持有的INR。
7.8.2要求证书修改的实体
证书持有者或者签发该证书的CA可以初始化证书修改操作。当要求证书修改的实体为订户 A必须详细说明订户的身份认证和鉴别程序。
7.8.3处理证书修改请求
CA必须详细说明证书修改请求的验证程序和新证书签发程序。该过程应该同7.2小节 技术要求一致。
7.8.4通知订户修改证书的签发
7.3.2小节技术要求一致
7.8.5构成接受修改证书的行为
同7.4.1小节技术要求一致。
YD/T34992019 7.8.6CA对修改证书的发布 同7.4.2小节技术要求一致。 7.8.7CA通知其他实体证书的发布 同7.4.3小节技术要求一致。
7.9.1证书撤销的情形
满足以下几种情形时,CA或者订户必须撤销证书: 1)CA或者订户不再具有合同关系; 2)订户不再持有证书中的INR的部分或者全部: 3)CA或者订户有理由相信或者强烈地怀疑证书中公钥对应的私钥泄露; 4)为了使得证书签发的签名对象无效。 如果还有其他情形需要撤销订户证书,CA需要详细说明。
7.9.2请求证书撤销的实体
订户或者签发该证书的CA可以发起证书撤销请求。当请求证书撤销的实体为订户时,CA 说明订户的身份认证和鉴别程序
7.9.3撤销请求的程序
CA必须详细说明处理证书撤销请求的程序,应该包含以下内容: 1)订户发起证书撤销请求的程序:
7.9.4撤销请求宽限期
当订户发现出现7.9.1小节中情形时,应该尽快提出证书撤销请求,CA应该根据自身业务情 相应的宽限期
7.9.5CA处理撤销请求的时限
CA从接到证书撤销请求到完成处理请求需要一定的时间,CA应该根据自身业务情况制定证 请求处理时间
7.9.6依赖方检查证书撤销的要求
7.9.7CRL发布频率
CA必须明确规定CRL的发布频率。每一个CRL均包含一个nextUpdate字段,表明该CRL 时间,新CRL必须在该字段值标识的时间或之前发布。CA在发布一个CRL的同时必须设置该 nextUpdate字段,表示下一个CRL的预期发布时间
7.9.8CRL发布的最大滞后时间
8设施、管理和操作控制
CA必须详细说明物理控制安全策略,包括以下内容: 1)场地位置与建筑; 2)物理访问控制; 3)电子与空调; 4)水惠防治; 5)火灾防护; 6)介质存放; 7)废物处理; 8)异地备份。
每一个CA必须在CPS里详细说明程序控制安全策略,包括以下内容: 1)可信角色; 2)每项任务需要的人数; 3)每个角色的识别与鉴别; 4)需要职责分割的角色。
YD/T34992019
每一个CA必须在CPS详细说明人员控制安全策略,包括以下内容: 1)资格、经历与无过失要求; 2)背景审查程序; 3)培训要求; 4)再培训周期和要求; 5)工作岗位轮换周期与顺序; 6)未授权行为的处罚; 7)独立合约人的要求;
YD/T34992019
8)提供给员工的文档
8.4.2处理日志的周期
CA必须明确规定检查审计日志的程序和频率。
8.4.3审计日志保存期限
CA必须详细说明审计日志保留期限自
8.4.4审计日志的保护
审计日志应该根据当前工业标准进行保护。CA必须详细说明保护审计日志的策略。
.4.5审计日志备份程序
根据审计记录,CA应定期进行安全脆弱性评估,该脆弱性评估可以作为其正常商业行为的一部 必须详细说明其所使用的脆弱性评估,应该包括该脆弱性评估是否已经执行和另外一些用来重 或重复评估脆弱性的程序或计划。
CA必须详细说明私钥泄露时的处理方案,以及当灾害发生时,确保CA继续或恢复操作的处
8.7CA或RA的终止
YD/T34992019
RPKI体系中,每一个INR持有者均为一个CA。CA必须详细说明CA的终止程序,包含在合理的 时间内尽快通知订户、依赖方和其他受应的实体、INR分配授权的管理政策。由于CA实现了RA的功 能,不对RA作单独的说明。
9.1密钥对的产生和安装
9.1.1密钥对的产生
大部分情况下,订户生成自已的密钥对,在极少数情况下,订户不具备生成密钥对的能力, A为该订户生成密钥对。CA必须详细说明生成自身密钥对和订户密钥对的程序。
9.1.2私钥传输给订户
如果CA为订户生成密钥对,CA必须详细说明私钥传输给订户的安全方式。在订户生成自已 对情形下,不需要将私钥传给订户
9.1.3公钥传送给证书签发机构
在订户为自已生成密钥对时,公钥需要传给CA。CA必须详细说明确保公钥安全传输的方式 户合法地持有公钥对应的私钥。
9.1.4CA公钥传输给依赖方
除信任锚点外,每一个CA的公钥都包含在其持有的证书中,且该证书由CA签名并发布在资 统中,RP必须从资料库系统中下载证书。RP通过带外方式获取信任锚点的证书中的公钥和相关 取方式根据本地策略自行定义。比如:内置于证书路径验证软件中。
CA必须详细说明在签发证书过程中所采用的公钥算法和密钥长度,不同的证书可以有不同的公钥 算法和密钥长度,而公钥算法和密钥长度的选择范围应符合IETFRFC6485《RPKI算法和密钥长度规 范》。
9.1.6公钥参数的生成和质量检查
CA必须详细说明公钥参数和公钥算法。当订户为自已生成密钥对时,订户负责对密钥对进行质量 检查,当CA为订户生成密钥对时,CA负责对密钥对的质量检查。
9.1.7密钥使用的月的
CA签发的证书中包含了密钥用法扩展项(KeyUsage)。
YD/T 34992019
9.2私钥保护和密码模块工程控制
9.2.1密码模块的标准与控制
CA必须详细说明采用的密码模块标准与控制。
9.2.2私钥多人控制(m选n)
CA可以选择通过技术或者过程上的控制机制来实现多名可信人员共同参与CA加密设备的操作。 技术上的控制可使用“私钥分割"技术,即将使用一个私钥时所需的激活数据分成若干个部分,称为私钥 分割,分别由受过训练的可信人员持有,这些人员成为“秘密分管者”。如果一个硬件密码模块的秘密 分割总数为m,那么必须有超过n个的秘密分割才能激活存储在密码模块中的CA私钥。 CA必须详细说明m和n的数量。
RPKI体系中不要求私钥托管,如果CA为订户托管私钥,则需要详细说明。
为了应对私钥泄露安全问题,及时恢复私钥以保证服务的可持续性,私钥必须进行备份操作。CA 必须详细说明备份私钥的具体过程,必须包含以下两个方面。 1)如果采用私钥多人控制方法,备份操作也需要在多人参与下进行; 2)至少有一个备份离线存储,以便灾难恢复,
9.2.6私钥导入、导出密码模块
密钥对必须由符合9.2.1小节定义的密码模块生成,该密钥对将在这个模块中使用。此外,为了常 规恢复和灾难恢复,需要对密钥对进行备份操作。当密钥对备份到另外的密码模块上时,这种密钥对以 加密的形式在模块之间传送,并且在传递前要进行身份鉴别,以防止私钥的丢失、被窃、修改、非授权 的泄露、非授权的使用。
9.2.7私钥在密码模块的存储
私钥必须存放在硬件密码模块中,并且在密码模块中使用。CA必须详细说明私钥的授权使用程
9.2.8激活私钥的方法
9.2.9解除私钥激活状态的方法
CA必须详细说明解除私钥激活的程序。
9.2.10销毁私钥的方法
CA必须详细说明销毁CA的私钥的程序。
9.2.11密码模块的评估
9.3密钥对管理的其他方面
YD/T34992019
RPKI不支持不可否认性,没有必要进行密钥归档。如果执行公钥归档操作,CA必须详细说 归档的具体过程。
9.3.2证书操作期和密钥对使用期限
公钥和私钥的使用期限与证书的有效期相关但却有所不同,CA必须详细说明证书和密钥对的 限。另外,证书有效期到了之后,在保证安全的情况下,允许证书进行更新而密钥对不变。但是 不能无限期使用。对于不同的证书,密钥对通过证书更新允许的最长使用期限。
9.4.1激活数据的产生和安装
CA必须详细说明如何产生、存储和保护激活数据。
9.4.2激活数据的保护
9.4.3激活数据的其他方面
CA可选择地添加激活数据其他方面细
9.6生命周期技术控制
9.6.1系统开发控制
CA必须详细说明所使用的系统开发
9.6.2安全管理控制
CA必须详细说明RPKL中使用的软件和设备的安全管理控制
9.6.3生命期的安全控制
YD/T34992019
A必须详细说明针对CA操作而采取的网络安全
PKI中的时间戳技术用来确保一个操作的真实时间,多用于数字签章,合同等应用。H 书不用来进行身份的验证,而是用于对于INR持有的声明,且RPKI对于INR的历史分配 心,而是更注重INR当前的分配关系,由X.509证书的有效期保证即可。RPKI中不使用
遵循本标准的证书和CRL应符合IETFRFC6487《X.509PKIX资源证书规范》中的第四章和第五 章。RPKI中的资源证书有两个资源扩展项,分别为IP地址扩展项和AS码号扩展项,应符合IETFRFC 3779《IP地址和AS码号的X.509扩展项》
11一致性审计和其他评估
在RPKI体系中GB51039-2014_综合医院建筑设计规范.pdf,INR持有者是一个CA,该PKI仅支持INR分配关系的验证。CA必须详细 来确保INR管理安全的一致性审计和其他评估方法
12其他业务和法律事务
此部分为可选内容,根据组织自身的政策自行定义其内容
[1]IETFRFC2560X.509互联网公钥基础设施在线证书状态协议. [2]IETFRFC3647X.509互联网公钥基础设施证书策略与认证业务规贝 [3]IETFRFC5055基于服务器证书验证协议 [4]IETFRFC5736IANAIPv4特殊用途地址注册局 [5]IETFRFC6480互联网码号资源公钥基础设施 [6]IETFRFC6482路由起源声明规范. [7]IETFRFC6484RPKI证书策略 [8]IETFRFC6486RPKI的资料清单 [9]IETFRFC6492 资源证书供给协议. [10]IETFRFC7382RPKI证书认证业务
43-旅游城镇规划与策划.pdf[1]IETFRFC2560X.509互联网公钥基础设施在线证书状态协议. [2]IETFRFC3647X.509互联网公钥基础设施证书策略与认证业务规则 [3]IETFRFC5055基于服务器证书验证协议 [4]IETFRFC5736IANAIPv4特殊用途地址注册局. [5]IETFRFC6480互联网码号资源公钥基础设施 [6]IETFRFC6482路由起源声明规范. [7]IETFRFC6484RPKI证书策略 [8]IETFRFC6486RPKI的资料清单 [9]IETFRFC6492资 资源证书供给协议 [101IETFRFC7382RPKI证书认证业务
YD/T34992019