证书认证系统密码及其相关安全技术规范参考Word.doc

证书认证系统密码及其相关安全技术规范Specifications of Cryptography and Related Security Technologyfor Certificate Authentication System国家密码管理局目 录前言1 范围 12 规范性引用文件 13 术语和缩略语 13.1 术语 13.2 缩略语 34 证书认证系统 34.1 功能描述 34.1.1 用户注册管理系统 34.1.2 证书/证书注销列表生成与签发系统 44.1.3 证书/证书注销列表存储与发布系统 44.1.4 证书状态查询系统 44.1.5 证书管理系统 44.1.6 安全管理系统 54.2 系统设计 54.2.1 总体设计原则 54.2.2 用户注册管理系统设计 54.2.3 证书/证书注销列表生成与签发系统设计 64.2.4 证书/证书注销列表存储发布系统设计 74.2.5 证书状态查询系统设计 84.2.6 证书管理系统设计 84.2.7 安全管理系统设计 84.3 数字证书 94.4 证书注销列表 95 密钥管理中心 95.1 功能描述 95.1.1 密钥生成 95.1.2 密钥存储 105.1.3 密钥分发 105.1.4 密钥备份 105.1.5 密钥更新 105.1.6 密钥撤销 105.1.7 密钥归档 105.1.8 密钥恢复 105.2 系统设计 105.2.1 总体设计原则 105.2.2 密钥生成模块 105.2.3 密钥管理模块 105.2.4 密钥库管理模块 115.2.5 认证管理模块 115.2.6 安全审计模块 115.2.7 密钥恢复模块 115.2.8 密码服务模块 115.2.9 审计模块 115.3 KMC与CA的安全通信协议 126 密码算法、密码设备及接口 126.1 密码算法 126.2 密码设备 126.2.1 密码设备的功能 126.2.2 密码设备的安全要求 136.3 密码服务接口 137 协议 137.1 证书管理协议 137.1.1 证书的注册申请 137.1.2 证书申请的审核 137.1.3 证书的签发 137.1.4 证书的下载 137.1.5 证书的注销 147.1.6 证书注销列表的发布 147.1.7 证书的更新 147.2 证书验证协议 147.2.1 认证路径 147.2.2 证书状态查询 147.2.3 证书状态查询协议（OCSP） 147.2.4 简明证书状态查询协议（SOCSP） 157.3 安全通信协议 158 证书认证中心建设 158.1 系统 158.1.1 功能要求 158.1.2 性能要求 158.1.3 管理员配置要求 158.1.4 网络划分 158.1.5 初始化要求 168.2 安全 168.2.1 系统安全 168.2.2 通信安全 168.2.3 密钥安全 168.2.4 证书管理安全 178.2.5 安全审计 178.3 数据备份 188.4 可靠性 188.4.1 网络链路冗余 188.4.2 主机冗余 188.4.3 数据库冗余 188.4.4 电源冗余 188.5 物理安全 198.5.1 物理环境建设 198.5.2 对CA的分层访问 198.5.3 门禁和物理侵入报警系统 198.6 人事管理制度 209 密钥管理中心建设 209.1 系统 209.1.1 功能要求 209.1.2 性能要求 209.1.3 管理员配置要求 209.1.4 初始化要求 209.2 安全 219.3 数据备份 219.4 可靠性 219.5 物理安全 219.6 人事管理制度 2110 证书认证中心运行管理要求 2110.1 人员管理要求 2110.2 CA业务运行管理要求 2110.2.1 CA管理制度 2110.2.2 安全操作与维护规范 2210.2.3 客户服务规范 2210.3 密钥分管要求 2210.4 安全管理要求 2310.5 安全审计要求 2310.6 文档配备要求 2310.6.1 技术实现类 2310.6.2 物理建设类 2310.6.3 人事管理类 2410.6.4 运行管理类 2410.6.5 审计与评估类 2411 密钥管理中心运行管理要求 2411.1 人员管理要求 2411.2 运行管理要求 2411.3 密钥分管要求 2411.4 安全管理要求 2411.5 安全审计要求 2411.6 文档配备要求 2412 检测 2412.1 系统初始化 2412.2 用户注册管理系统 2512.2.1 用户证书申请信息的录入功能 2512.2.2 用户信息审核功能 2512.2.3 用户证书下载功能 2512.2.4 系统的多级审核功能 2512.2.5 用户信息归档和恢复功能 2512.2.6 日志处理功能 2512.3 证书/证书注销列表生成与签发系统 2512.3.1 多层结构支持功能 2512.3.2 CRL签发功能 2512.3.3 证书模板功能 2512.3.4 CA证书签发功能 2512.3.5 CA证书更新功能 2512.3.6 证书归档和恢复功能 2512.3.7 用户证书更新功能 2512.3.8 并发处理能力 2612.3.9 日志处理功能 2612.3.10 管理员配置功能 2612.4 证书/证书注销列表存储与发布系统 2612.4.1 数据库备份和恢复功能 2612.4.2 目录服务器的目录信息数定义功能 2612.4.3 目录服务器管理功能 2612.4.4 目录服务器的主从映射功能 2612.4.5 目录服务器备份和恢复功能 2612.4.6 数据库系统和目录服务期一致性检验功能 2612.5 证书状态查询系统 2612.5.1 CRL查询功能 2612.5.2 OCSP功能 2612.5.3 SOCSP功能 2612.6 安全审计系统 2712.7 密钥管理中心检测 2712.7.1 密钥生成与分发 2712.7.2 密钥状态转移 2712.7.3 密钥信息归档和密钥恢复 2712.7.4 司法取证密钥恢复 2712.7.5 管理功能 2712.8 系统安全性检测 2712.8.1 密钥管理安全检测 2712.8.2 系统的访问控制检测 2712.8.3 系统的审计日志检测 2712.8.4 系统得数据安全检测 2812.9 其他安全产品和系统 28附录 A KMC与CA之间的消息格式 29附 录B 安全通信协议 36附 录C 密码设备接口函数定义及说明 39附 录D 证书认证系统网络结构图 70附 录E 证书申请和下载格式 73参考文献 75前 言为适应国家信息化发展要求，满足电子认证服务对证书认证系统密码及其相关安全技术的应用需求，实现证书认证系统间的互连互通和交叉认证，指导证书认证系统的设计、检测和运行，规范我国电子认证服务系统的建设和管理，制定本标准。

本标准由国家密码管理局提出并归口本标准主要起草单位：商用密码研究中心，长春吉大正元信息技术股份有限公司，国家信息安全工程技术研究中心本标准主要起草人：邱泽军、王永传、刘 平、何立波、谢永泉、刘海龙、邓开勇、罗 鹏、田景成、邱钢、赵 丹、张文建、李大为袁文恭研究员作为负责专家指导了本标准的起草本标准相关参与单位：兴唐通信科技股份有限公司、北京创原天地科技有限公司、中国科学院数据与通信保护研究教育中心、北京信安世纪科技有限公司、北京格方网络技术有限公司、北京天融信科技有限公司、天津市国瑞数码安全系统有限公司、无锡江南计算技术研究所、维豪信息技术有限公司、上海格尔软件股份有限公司、卫士通信息产业股份有限公司、济南得安计算机技术有限公司等本标准于2005年4月1日起实施本标准由国家密码管理局负责解释1 范围本标准适用于在中华人民共和国境内为公众服务的数字证书认证系统的设计、建设、检测、运行及管理，为实现数字证书认证系统的互连互通和交叉认证提供统一的依据，指导数字证书认证系统的建设和检测评估，规范数字证书认证系统中密码及相关安全技术的应用其他的数字证书认证系统的建设、运行及管理，可参照本标准2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本标准GB 9361-88：《计算站场地安全要求》GB 2887-89：《计算站场地技术条件》GB 6650-86：《计算机机房用活动地板技术条件》GB 50174-93：《电子计算机机房设计规范》3 术语和缩略语3.1 术语下列术语和定义适用于本标准认证机构证书Authority Certificate签发给证书认证机构的证书CA证书CA Certificate由一个CA给另一个CA签发的证书，一个CA也可以为自己签发证书，这是一种自签名的证书证书认证系统Certificate Authentication System对生命周期内的数字证书进行全过程管理的安全系统证书策略Certificate Policy是一个制定的规则集合，它指出证书对于具有普通安全需求的一个特定团体和（或）具体应用类的适用性例如，一个特定的证书策略可以指出一个类型的证书对在一定的价格幅度下商品交易的电子数据处理的认证的适用性。

证书注销列表Certificate Revocation List（CRL）标记一系列不再被证书发布者所信任的证书的签名列表证书验证Certificate Validation确定证书在指定的时间内是否有效的过程证书验证包括有效期验证、签名验证以及证书状态的检验证书认证机构Certificate Authority（CA）又称为认证中心或CA，它是被用户所信任的签发公钥证书及证书注销列表的管理机构CA注销列表Certificate Authority Revocation List（ARL）标记已经被注销的CA的公钥证书的列表，表示这些证书已经无效证书认证路径Certificate Path在目录信息树中对象证书的一个有序的序列路径的初始节点是最初待验证对象的公钥，可以通过路径获得最终的顶点的公钥证书注销列表分布点Certificate Revocation List Distribution Point一个目录条目或其它的证书注销列表分布源，一个通过证书注销列表分布点发布的证书注销列表，可以包括由一个CA发布的所有证书中的一个证书子集的注销条目，也可以包括全部证书的注销条目增量证书注销列表delta-CRL（dCRL）是。