信息安全技術——公鑰基礎設施安全支撐平臺技術框架26001

1、ICS35.040L80中華人民共和國國家標準GB/Toxxxxx信息安全技術公鑰基礎設施安全支撐平臺技術框架InformationSecuritytechniques-PublicKeyInfrastructure-Securitysupportingplatformframework（報批稿）200X-xx-xx實施國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布200X-XX-XX發(fā)布前言III引言IV1范圍52規(guī)范性引用文件53術語和定義54縮略語75概述85.1安全支撐平臺同安全應用體系的關聯(lián)85.2安全支撐平臺結構85.3安全支撐平臺功能86證書認證系統(tǒng)96.1認證體系96.2邏輯結構96.3認證機構

2、CA96.4注冊機構RA106.5證書目錄服務系統(tǒng)117密鑰管理系統(tǒng)KMS127.1總體描述127.2系統(tǒng)組成127.3功能要求137.4性能要求147.5接口要求148特定權限管理基礎設施PMI148.1總體描述148.2系統(tǒng)組成148.3功能要求158.4性能要求168.5接口要求169密碼服務系統(tǒng)169.1總體描述169.2系統(tǒng)組成169.3功能要求169.4性能要求179.5接口要求1710可信時間戳服務系統(tǒng)1710.1總體描述1710.2系統(tǒng)組成1710.3功能要求1710.4性能要求1710.5接口要求1711故障恢復和容災備份系統(tǒng)1811.1總體描述1811.2故障恢復1811.

3、3容災備份1811.4容災備份等級1812安全審計系統(tǒng)1912.1系統(tǒng)組成1912.2功能要求1912.3性能要求1913責任認定系統(tǒng)1913.1總體描述1913.2系統(tǒng)組成1913.3功能要求1913.4性能要求2014基本安全防護系統(tǒng)2014.1網(wǎng)絡安全防護2014.2物理安全2014.3系統(tǒng)安全2115安全管理系統(tǒng)2115.1功能要求2115.2機制設置21附錄A（資料性附錄）安全支撐平臺與安全應用體系的關系22附錄B（資料性附錄）證書認證系統(tǒng)分層邏輯結構23附錄C（資料性附錄）密鑰管理系統(tǒng)組成結構24參考文獻25本標準的附錄A、附錄B和附錄C為資料性附錄。本標準中第10、11、15章及

4、注明的章節(jié)為可選項，未注明的為必選項。本標準由全國信息安全標準化技術委員會提出并歸口。本標準主要起草單位：國家信息安全工程技術研究中心暨上海信息安全工程技術研究中心。本標準主要起草人：袁文恭、劉平、何義大、郭曉雷、袁峰、洪煥健。我國信息化的快速發(fā)展，使構建安全支撐平臺成為國家信息系統(tǒng)安全建設急需解決的重要問題。本標準提出了一個基于PKI技術的安全支撐平臺技術框架，規(guī)定了各子系統(tǒng)應遵循的通用技術框架標準，為我國信息安全基礎設施建設、為應用系統(tǒng)的安全需求提供帶共性的安全技術支撐。安全支撐平臺以密碼技術為基礎，為信息系統(tǒng)提供統(tǒng)一、通用的網(wǎng)絡信任服務、信息安全保護服務、網(wǎng)絡安全保護服務、密碼與密鑰支撐

5、服務，以滿足信息系統(tǒng)實體對網(wǎng)絡通信的真實性、保密性、完整性、抗抵賴性等安全保障需求。本標準與我國已經(jīng)制定的信息安全國家標準GB/T20518-2006、GB/T19714-2005和GB/TEEEE-EEEE等標準緊密結合， 能更好地規(guī)范我國信息安全基礎設施中安全支撐平臺的建設，更好地解決信息安全基礎設施的互操作性問題，進一步促進我國的信息化建設和國民經(jīng)濟的發(fā)展。在本標準實施過程中，涉及到公鑰密碼基礎設施應用技術體系及其相關接口技術和密碼技術的具體應用時，應按照國家密碼管理局發(fā)布的有關規(guī)定和相關技術規(guī)范執(zhí)行。本標準涉及的數(shù)字簽名系統(tǒng)的實施與運行應遵守中華人民共和國電子簽名法。信息安全技術公鑰基

6、礎設施安全支撐平臺技術框架6范圍本標準規(guī)定了基于公鑰基礎設施的安全支撐平臺的技術框架。本標準適用于網(wǎng)絡信息系統(tǒng)中安全支撐平臺的設計、建設、檢測、運營及管理，為網(wǎng)絡信息系統(tǒng)和業(yè)務應用系統(tǒng)提供統(tǒng)一可信的軟、硬件安全支撐服務。同時，本標準還可為安全產(chǎn)品生產(chǎn)商提供產(chǎn)品和技術的標準定位以及標準化的參考，指導安全產(chǎn)品生產(chǎn)商對安全支撐平臺的設計和建設，提高安全產(chǎn)品的可信性與互操作性。對于特定的安全支撐平臺的建設，可根據(jù)具體的業(yè)務需求和情況進行靈活配置。7規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，鼓勵

7、根據(jù)本標準達成協(xié)議的各方，研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。信息技術安全技術公鑰基礎設施在線證書狀態(tài)協(xié)議信息技術安全技術公鑰基礎設施證書管理協(xié)議入侵檢測系統(tǒng)技術要求和測試評價方法防火墻技術要求和測試評價方法8術語和定義下列術語和定義適用于本標準：8.1屬性授權機構attributeauthority通過發(fā)布屬性證書來分配特權的證書認證機構。8.2屬性證書attributecertificate屬性授權機構進行數(shù)字簽名的數(shù)據(jù)結構，把持有者的身份信息與一些屬性值綁定。3.3屬性證書注冊機構attributeregistrationauthority屬

8、性證書的審核注冊申請機構，又稱屬性注冊權威。GB/T19713-2005GB/T19714-2005GB/T20275-2006GB/T20281-2006信息安全技術信息安全技術GB/T20518-2006GB/T20519-2006GB/T20520-2006GB/T20984-2007GB/TEEE-EEEEGB/TFFFF-FFFF信息安全技術信息安全技術信息安全技術信息安全技術信息安全技術技術規(guī)范信息安全技術公鑰基礎設施公鑰基礎設施公鑰基礎設施數(shù)字證書格式特定權限管理中心技術規(guī)范時間戳規(guī)范信息安全風險評估規(guī)范公鑰基礎設施證書認證系統(tǒng)密碼及其相關安全公鑰基礎設施簡明在線證書狀態(tài)協(xié)議RF

9、C1777LDAP輕量級目錄訪問協(xié)議應用支撐平臺applicationsupportingplatform由一系列支持安全應用服務的軟硬件設備按照統(tǒng)一的體系結構和技術規(guī)范組成的系統(tǒng)集合，可為各種應用提供安全的基礎應用支撐服務。橋證書認證機構bridgecertificateauthority為了建立多個CA勺相互信任關系，設置一個橋接證書認證機構，由它用自己的私鑰為各個互相信任的CA發(fā)證書，簡稱橋CA這些C蹲已置有橋CA勺證書，橋CA5須是各CA言任的權威認證機構。3.6證書認證機構certificationauthority負責創(chuàng)建和分配證書，受用戶信任的權威機構。用戶可以選擇該機構為其創(chuàng)建

10、密鑰。3.7數(shù)字證書digitalcertificate由認證權威數(shù)字簽名的包含公開密鑰擁有者信息、公開密鑰、簽發(fā)者信息、有效期以及一些擴展信息的數(shù)字文件。3.8輕量目錄訪問協(xié)議lightweightdirectoryaccessprotocol一種簡便的目錄查詢協(xié)議，通過網(wǎng)絡到目錄服務器查詢系統(tǒng)中的證書或證書撤銷列表。3.9在線證書狀態(tài)協(xié)議onlinecertificatestatusprotocol一種實時查詢證書狀態(tài)的協(xié)議，通過網(wǎng)絡到OCS服務器實時查詢系統(tǒng)中證書的當前有效/無效狀態(tài)。3.10私鑰privatekey在公鑰密碼體制中，用戶的密鑰對中只有用戶本身才能持有的密鑰。3.11特定

11、權限privilege由屬性權威機構分配給用戶實體的對某種資源所具有的訪問權利。3.12特定權限管理基礎設施privilegemanagementinfrastructure支持對用戶進行授權服務的特定權限管理基礎設施，它與公鑰基礎設施（PKI）有密切的聯(lián)系，依靠公鑰基礎設施對用戶的身份進行認證。3.13公開密鑰，公鑰publickey在公鑰密碼體制中，用戶密鑰對中公布給公眾的密鑰。3.14公鑰基礎設施publickeyinfrastructure一個能夠?qū)借€對進行管理，支持身份驗證、保密性、完整性以及不可否認性服務的信息安全基礎設施。3.15注冊機構registrationauthori

12、ty為用戶辦理證書申請、身份審核、證書下載、證書更新、證書注銷以及密鑰恢復等實際業(yè)務的辦事機構或業(yè)務受理點。也叫證書審核注冊中心。3.16角色role在應用系統(tǒng)中，對資源進行訪問的實體的一種權限屬性，實體通常可以具有不同的權限，對于具有某種特定權限的實體類，我們稱它們屬于同一種角色。3.17角色分配屬性證書roleassignmentattributecertificate由某個受信任的A順發(fā)的屬性證書，封裝了用戶所擁有的角色列表。3.18安全策略securityploicy由安全權威機構發(fā)布的用于約束安全服務以及設施的使用和提供方式的規(guī)則集合。3.19源機構sourceofauthority

13、一個屬性權威，它是特定資源的權限管理者。它驗證用戶實體的權限，并作為最終認證中心為用戶實體分配相應的權限。3.20托管證書認證機構trustedcertificateauthority一種證書認證服務機構，該機構接受其他某個安全域的證書認證系統(tǒng)的委托，為該系統(tǒng)代理簽發(fā)與保存其根證書，并用此根證書為該系統(tǒng)代理簽發(fā)用戶證書。4縮略語AttributeAuthorityAccessDecisiveFunctionAccessExecutiveFunctionAttributeRegistrationAuthorityAbstractSyntaxNotation.1BridgeCertificateA

14、uthorityCertificationAuthorityCertificationAuthorityRevocationListCertificateRevocationListLocalAgencyLightweightDirectoryAccessProtocolOnlineCertificateStatusProtocolPublicKeyCryptographicStandardsPublicKeyInfrastructurePrivilegeManagementInfrastructureRegistrationAuthorityRootCertificationAuthorit

15、ySub-CASourceofAuthoritySimpleOnlineCertificateStatusProtocolAA屬性授權機構ADF訪問決策功能模塊AEF訪問執(zhí)行功能模塊ARA屬性證書注冊機構ASN.1抽象語法記法一BCA橋證書認證機構CA證書認證機構CARL證書認證機構撤銷列表CRL證書撤銷列表LA本地證書代理點LDAP輕量目錄訪問協(xié)議OCSP在線證書狀態(tài)協(xié)議PKCS公鑰密碼標準PKI公鑰基礎設施PMI特定特定權限管理基礎設施RA注冊機構RCA根認證機構SCA子認證機構CASOA源機構SOCSP簡明在線證書狀態(tài)協(xié)議TrustedCertificationAuthority5概述安

16、全支撐平臺同安全應用體系的關聯(lián)安全支撐平臺是公鑰密碼基礎設施應用技術體系的一部分，也是國家網(wǎng)絡信任體系的重要組成部分。安全支撐平臺為公鑰密碼基礎設施應用技術體系提供基礎性安全技術支持，它與安全應用體系的關系見附錄Ao安全支撐平臺結構安全支撐平臺基于公鑰基礎設施（PKI）、為網(wǎng)絡信息系統(tǒng)和應用體系提供統(tǒng)一可信的信息安全保障服務。該平臺主要包括：證書認證服務、密鑰管理、密碼服務、權限管理、時間戳服務、安全審計/責任認定、故障恢復及容災備份、基本安全防護等系統(tǒng)。圖1為安全支撐平臺的體系架構。圖1安全支撐平臺體系架構安全支撐平臺功能安全支撐平臺的主要功能是為網(wǎng)絡信息系統(tǒng)提供可靠的安全服務，包括：a）提

17、供基于數(shù)字證書的信任服務，進行證書管理，包括證書的簽發(fā)、撤銷、發(fā)布、存儲等服務;b）提供基于統(tǒng)一安全管理的密鑰服務，進行非對稱密鑰和（或）對稱密鑰的服務管理；c）提供基于國家政策和統(tǒng)一安全管理的密碼服務；d）提供基于授權管理系統(tǒng)的權限管理服務和資源訪問控制服務；e）提供基于國家權威時間源和公鑰技術的可信時間戳服務；f）提供數(shù)字證書、證書撤銷列表的目錄查詢服務，進行證書、證書撤銷列表的目錄管理，以及證書狀態(tài)在線查詢服務；g）提供網(wǎng)絡安全防護服務；h）提供對系統(tǒng)的安全審計與證據(jù)管理服務；提供系統(tǒng)的責任認定服務；提供系統(tǒng)故障恢復及容災備份服務;k）提供對系統(tǒng)的安全管理服務。TCA托管認證機構基本安全

18、防護系統(tǒng)應用系統(tǒng)故障恢復和容災備份系統(tǒng)6證書認證系統(tǒng)認證體系一個完整的證書認證系統(tǒng)一般采用RCVCA-SCA-RA-L感層次結構，根據(jù)系統(tǒng)的實際需求可靈活設計為RCA-CA-RA-LA?4層結本或RCA-CA-RARCA-CA-LA等3層結構。根據(jù)需要也可設置BCA-CA或TCA-LRA吉構。其中，RC朋根認證機構。CM證書認證服務系統(tǒng)的主體機構，包含行業(yè)C喇品牌CASCM子CA包括下級CAF地區(qū)CAR朋用戶證書申請注冊機構，分為遠程注冊機構與本地注冊機卞J。LA為接受用戶申請證書的受理點，直接面向客戶服務。BC朋橋證書認證服務系統(tǒng)。BC朋一個獨立的、有權威的可信CATCM托管證書認證服務系統(tǒng)。邏輯結構證書認證服務系統(tǒng)在邏輯上分為核心層、管理層、服務層和基礎層，參見附錄Aoa）核心層：由證書/證書撤銷列表簽發(fā)系統(tǒng)、證書/證書撤銷列表數(shù)據(jù)庫服務器系統(tǒng)、證書/證書撤銷列表主發(fā)布服務器系統(tǒng)，主LDAP系統(tǒng)和主OCSP（統(tǒng)以及相關密碼設備和管理終端組成；b）管理層：由證書管理系統(tǒng)、安全管理系統(tǒng)、審計與責任認定系統(tǒng)以及相關密碼設備和管理終端組成；c）服務層：由用戶注冊系統(tǒng)、基于LDAP的證書/證書撤銷列表發(fā)布系統(tǒng)、基于OCSP的證書狀態(tài)實時查詢系統(tǒng)、錄入終端、審核終端、制卡終端，以及相關密碼設備和/或可信時間戳服務系統(tǒng)、接入服務系統(tǒng)組成；d）公共層：由遠程注冊系統(tǒng)