LD/T 02.2-2022 人力资源社会保障电子认证体系规范 第2部分:电子认证系统技术规范.pdf

LD/T 02.2-2022 人力资源社会保障电子认证体系规范 第2部分:电子认证系统技术规范.pdf
仅供个人学习
反馈
标准编号:LD/T 02.2-2022
文件类型:.pdf
资源大小:2.3 M
标准类别:其他标准
资源ID:356505
下载资源

LD/T 02.2-2022标准规范下载简介

LD/T 02.2-2022 人力资源社会保障电子认证体系规范 第2部分:电子认证系统技术规范.pdf

ICS 35.040 CCS L 80

人民共和国劳动和劳动安全行业标准

ftc材料说明及施工工艺人力资源社会保障电子认证体系规范

authentication system

中华人民共和国人力资源和社会保障部 发布

中华人民共和国人力资源和社会保障部

(力资源社会保障电子认证体系规范 第2部分:电子认证系统技术规范

人力资源社会保障电子认证体系规范

本文件给出了人力资源社会保障电子认 系统构成,规定了电子认证系统各单元的结 本功能、密码算法、密码设备及接口、基础安全防护措施、业务流程及相关协议。 本文件适用于各级人力资源社会保障部门建设基于PKI技术的电子认证系统。

下列缩略语适用于本文件: CA:证书认证机构(CertificationAuthority) CRL:证书撤销列表(CertificateRevocationList) HTTP:超文本传输协议(HypertextTransferProtocol) KMC:密钥管理中心(KeyManagementCenter) RA:证书注册机构(RegistrationAuthority) LDAP:轻量级目录访问协议(LightweightDirectoryAccessProtocol) OCSP:在线证书状态查询协议(OnlineCertificateStatusProtocol)

人力资源社会保障电子认证系统主要包括证书认证设施和密钥管理设施,以及相配套的基础安全 防护设施。其中,证书认证设施包括证书签发管理系统、证书注册管理系统和证书查验服务系统;密 钥管理设施主要指密钥管理系统;基础安全防护设施包括防病毒、漏洞扫描、防火墙、入侵检测等系 统。 电子认证系统的构成如图1所示,

6.1证书签发管理系统

6. 1. 1系统描述

图1电子认证系统构成

证书签发管理系统是对生命周期内的数字证书进行全过程管理的安全系统,采用双证书(签名证 书和加密证书)机制,使用SM2算法签发各类数字证书。证书签发管理系统提供数学证书生成、发 布、撤销和存档等服务,接收来自证书注册管理系统的证书请求,向密钥管理系统请求加密密钥对, 为用户签发数字证书和证书撤销列表,并将证书/证书撤销列表发布到证书查验服务系统。

6. 1. 2系统结构

证书签发管理系统由证书业务服务、证书管理服务、证书签发服务、密码服务等模块组成。 证书签发管理系统结构如图2所示。

图2证书签发管理系统结构

关请求后,证书业务服务模块将证书或CRL的签发工作转交给证书签发服务模块处理。 b)证书签发服务模块 证书签发服务模块根据证书业务服务模块的签发请求,向密钥管理系统申请密钥,获取密钥 后,调用密码服务模块签发数字证书。对于CRL签发请求,直接由签发服务模块调用密码服务模 央签发CRL。证书或CRL签发完成后,签发服务模块将证书和CRL发布到证书查验服务系统 中。 c)证书管理服务模块 证书管理服务模块提供证书模板管理、证书归档、证书查询、证书统计等功能。 d) 密码服务模块 密码服务模块负责为证书签发管理系统的各模块提供密码支持,以及负责与其他系统通信过 程中的密码运算,主要完成签名和验证工作,签名密钥保存在密码设备中。在进行上述工作中 必须保证所使用的密钥不能以明文形式被读出密码设备。

6. 1. 3 系统功能

证书签发管理系统是电子认证系统的核心,不仅为整个电子认证系统提供签发证书/证书撤销列表 的服务,还承担整个电子认证系统中主要的安全管理工作。 证书签发管理系统的主要功能如下: a) 证书生成与签发:从数据库中读取用户信息,根据拟签发的证书类型向密钥管理系统申请加 密密钥对,生成用户的签名证书和加密证书,将签发完成的证书发布到证书查验服务系统和 数据库中。根据系统的配置和管理策略,不同种类或用途的证书可以采用不同的签名密钥; b) 证书更新:系统应提供CA证书及用户证书的更新功能; 证书撤销列表生成与签发:接收撤销信息,签发证书撤销列表,将签发后的撤销列表发布到 证书查验服务系统和数据库中; d) 安全审计:负责对证书签发管理系统的管理人员、操作人员的操作日志进行查询、统计以及

报表生成等; 安全管理:对证书签发管理系统的登录进行安全访问控制,对数据库进行管理和备份;设置 管理员、操作员、审计员,并为这些人员申请和下载数字证书;配置不同的证书模板,支持 证书模板灵活定制; f)证书/证书撤销列表的存储; g)证书签发管理系统应具有并行处理的能力

注册管理系统负责用户的证书申请、身份审核和证书下载。在数字证书申请过程中,证书注 统的核心职责是将证书请求安全可信的提交到证书签发管理系统,等待其签发证书,签发完 证书下载到证书载体中。

6. 2. 2系统结构

正书注册管理由用户信息注册、业务处理、数据管理服务、操作员管理、密码服务等模块组 证书注册管理系统结构如图3所示。

图3证书注册管理系统结构

业务处理模块 理等功能。证书请求是将经过身份审核的证书业务请求通过安全通道传输给证书签发管理系统。 证书下载是将证书签发管理系统签发完成的证书通过安全通道下载到证书注册管理系统,并将证 书下载到证书载体中;证书模板管理是定制证书类型和证书格式的管理工具。 C)数据管理服务模块

操作员管理模块负责证书注册管理系统的操作员注册及其权限设置等管理工作。

6. 2. 3系统功能

证书注册管理系统负责用户证书/证书撤销列表的申请、审核以及证书的制作,其主要功能如下: a) 用户信息的录入:录入用户的申请信息,用户申请信息包括签发证书所需要的信息,还包括 用于验证用户身份的信息,这些信息存放在证书注册管理系统的数据库中。证书注册管理系 统应能够批量接收从外部系统生成的、以电子文档方式存储的用户信息: b 用户信息的审核:提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书签发 所需要的信息提交给证书签发管理系统; C 用户证书下载:证书注册管理系统提供证书下载功能,当证书签发管理系统为用户签发证书 后,证书注册管理系统能够下载用户证书,并将用户证书写入指定的证书载体中,然后分发 给用户; d) 安全审计:负责对证书注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及 报表生成等; 安全管理:对证书注册管理系统的登录进行安全访问控制,并对用户信息数据库进行管理和 备份; f) 多级审核:证书注册管理系统可根据需要由不同级别的管理员进行审核,能够根据需求支持 多级审核模式: g)证书注册管理系统应具有并行处理的能力。

6.3证书查验服务系统

6. 3. 1目录服务系统

6. 3. 1. 1系统描述

目录服务系统负责数字证书证书撤销列表的存储和发布,为用户和应用系统提供证书状态查 用户或应用系统利用数字证书中标识的CRL地址下载CRL文件,从而检验证书的状态。

6. 3. 1. 2系统结构

目录服务系统包括主目录服务器和从目录服务器,应采用主从目录结构以保证证书查验服务系统 的安全。证书签发管理系统签发完成的数据直接写入主目录服务器,然后由目录服务器的主从映射功 能自动映射到从目录服务器中,从目录服务器可以采用分布式的方式进行设置,以提高系统的效率。 主、从目录服务器通常配置在不同等级的安全区域。用户只能访问从目录服务器。 且录服务系统结构如图4所示

6. 3. 1. 3系统功解

图4目录服务系统结构

目录服务系统面向用户和应用系统提供证书下载及CRL下载功能。 a)证书存储; b) 证书撤销列表存储; c) 证书和CRL发布; d) CRL下载:用户或应用系统使用数字证书中签发的CRL地址,根据需要到目录服务器下载 CRL列表,查询证书状态,验证证书有效性: 目录访问控制:目录服务系统需要对目录的访问进行控制,用户和应用系统可根据证书中签 发的目录服务器地址及DN访问从目录服务器,可下载对应的数字证书和CRL。

6.3.2证书状态查询系统

6. 3. 2. 1系统描述

证书状态查询系统主要负责为月 书状态查询服务,除提供基于HTTP协 RL查询、下载服务外阻尼器钢结构及阻尼器安装工程施工方案,还提供基于OCSP协议的证书状态实时在线查询

6.3.2.2系统结构

证书状态查询系统由证书状态数据库/OCSP服务器、安全管理模块、安全审计模块、数据管 以及密码设备组成。 证书状态查询系统结构如图5所示。

图5证书状态查询系统结构

a)证书状态数据库/OCSP服务器 接受用户及应用系统的证书状态查询请求,根据请求信息中的证书序列号,从证书状态数据库中 查询证书的状态,查询结果返回给请求者。 b)密码设备 验证请求信息中的签名,并对查询结果进行签名。 c)安全管理 主要包括: 1)OCSP服务器的配置,定义可接受的访问控制信息以及查询的证书状态数据库的地址; 2)启动/停止查询服务配置,可接受的用户请求数量等。 d)安全审计 查询证书状态查询系统中的安全审计日志,并进行统计与打印等, e)数据管理 对证书状态查询系统中的证书状态信息的数据同步、CRL列表的同步的配置管理,支持自动数 同步和人工数据同步两种方式。

6. 3. 2. 3系统功能

证书状态查询系统为用户和应用系统提供证书状态查询服务,包括CRL查询、在线证书状态查询 两种方式。 a)CRL查询:提供基于HTTP协议查询CRL列表,用户或应用系统利用证书中标识的CRL地 址建筑智能化的施工组织设计介绍,查询并下载CRL到本地,进行证书状态的检验。通过此方式,可以让证书认证中心提供 通过HTTP协议下载CRL列表的服务; b)在线证书状态查询:用户或应用系统利用OCSP协议,在线实时查询证书的状态,查询结果 经过签名后返回给请求者,进行证书状态的检验。

©版权声明
相关文章