商用密码产品认证-数字证书认证系统
數字證書認證系統產品
- 1、產品概述
- 2、相關標準規范
- (1)基礎設施類標準
- (2)應用支撐類標準
- (3)密碼檢測類標準
- 3、標準和產品應用要點
- 1)證書認證系統的檢測類別有產品和項目之分,不同的類別對應的檢測內容也不同
- 2)采用雙證書機制,并建設雙中心
- 3)應使用商用密碼算法進行密碼運算
- 4)應遵循相關標準以滿足密碼服務接口的要求
- 5)應對CA和KM的管理員進行分權管理
- 6)應為證書認證系統進行物理區域劃分,并進一步對KM物理區域進行劃分
- 7)應配置安全策略保障網絡安全
- 8)應采取多種安全措施對CA中所使用密鑰的整個生命周期進行防護
- 9)應有數據備份和恢復策略,能夠實現對系統的數據備份與恢復
- 10)應保障系統各組件間的通信安全
1、產品概述
數字證書認證系統(也簡稱為證書認證系統)是對生命周期內的數字證書進行安全過程管理的安全系統。數字證書認證系統必須采用雙證書(用于數字簽名的證書和用于數據加密的證書)機制,并按照要求建設雙中心(證書認證中心和密鑰管理中心)。數字證書認證系統在邏輯上可分為核心層、管理層和服務層,其中核心層由密鑰管理中心、證書/CRL生成和簽發系統、證書/CRL存儲發布系統構成;管理層由證書管理系統和安全管理系統構成;服務層由證書注冊管理系統(包括遠程用戶注冊管理系統)和證書查詢系統構成。一般的數字證書認證系統的邏輯結構如下圖所示。
在數字證書認證系統中,CA提供的服務功能主要包括:提供數字證書在其生命周期中的管理服務;提供RA的多種建設方式,RA可以全部托管在CA,也可以部分托管在CA,部分建設在遠端;提供人工審核或自動審核兩種審核模式;支持多級CA認證;提供證書簽發、證書查詢、證書狀態查詢、證書撤銷列表下載、目錄服務等功能。
RA負責用戶的證書申請、身份審核和證書下載,可分為本地注冊管理系統和遠程注冊管理系統。證書申請和下載均采用在線和離線兩種方式。RA主要功能包括用戶信息的錄入、審核、用戶證書下載、安全審計、安全管理及多級審核。
KM為系統內其他實體提的功能包括:生成非對稱密鑰對、對稱密鑰、用于簽名過程的隨機數;接收、審核CA的密鑰申請;調用備用密鑰庫中的密鑰對;向CA發送密鑰對;對調用的備用密鑰庫中的密鑰進行處理,并將其轉移到在用密鑰庫;對歷史密鑰庫中的密鑰進行處理,將超過規定保留期的密鑰轉移到規定載體;接收與審查關于恢復密鑰的申請,依據安全策略進行處理;對進入本系統的有關操作進行人員的身份和權限認證。
在雙證書(簽名證書和加密證書)體系下,用戶持有兩對不同的公私鑰對。KM提供了對生命周期內的加密證書密鑰對進行全過程管理的功能,包括密鑰生成、密鑰存儲、密鑰分發、密鑰備份、密鑰更細膩、密鑰撤銷、密鑰歸檔和密鑰恢復等,具體如下。
①密鑰生成:根據CA的請求為用戶生成非對稱密鑰對,該密鑰對由密鑰管理中心的硬件密碼設備生成。
②密鑰存儲:密鑰管理中心生成的非對稱密鑰對,經硬件密碼設備加密后存儲在數據庫中。
③密鑰分發:密鑰管理中心生成的非對稱密鑰對,通過證書認證系統分發到用戶證書載體中。
④密鑰備份:密鑰管理中心采用熱備份、冷備份和異地備份等措施實現密鑰備份。
⑤密鑰更新:當證書到期或用戶需要時,密鑰管理中心根據CA請求為用戶生成新的非對稱密鑰對。
⑥密鑰撤銷:當證書到期、用戶需要或管理機構依據合同規定認為必要時,密鑰管理中心根據CA請求撤銷用戶當前使用的密鑰。
⑦密鑰歸檔:密鑰管理中心為到期的或撤銷的密鑰提供安全長期的存儲。
⑧密鑰恢復:密鑰管理中心可為用戶提供密鑰恢復服務,可為司法取證提供特定密鑰恢復。密鑰恢復需依據相關法規并按管理策略進行審批,一般用戶只限于恢復自身密鑰。
作為一種普適性的安全基礎設施,數字證書認證系統應用非常廣泛,能夠在保密性、數據完整性、數據起源鑒別、身份鑒別和不可否認服務等方面為各種不同的應用系統提供安全服務。數字證書認證系統簽發的證書可以用于標明設備、用戶、機構身份。
電子商務是數字證書認證系統的典型應用場景之一,如下圖所示。電子商務應用中主要有五個交易參與方:買家、商戶、銀行、第三方支付機構和認證機構(建設用數字證書認證系統)。交易各方通過認證機構獲取各自的數字證書。交易產生之前要對交易各方進行身份鑒別,通過認證機構頒發的數字證書(加密證書和簽名證書)以及數字簽名技術完成網上交易雙方的身份鑒別,并實現交易過程中對傳輸數據的保密性、完整性和行為的不可否認性。
商用密碼產品認證中遇到問題可站內聯系或15011462285.
2、相關標準規范
我國制定了一系列標準,以規范數字證書認證系統管理和證書使用,具體內容包括以下標準:
(1)基礎設施類標準
GM/T 0014-2012《數字證書認證系統密碼協議規范》,該標準描述了證書認證和數字簽名中通用的安全協議流程、數據格式和密碼函數接口等內容。
GM/T 0015-2012《基于SM2密碼算法的數字證書格式規范》,該標準規定了數字證書和證書撤銷列表的基本機構,對數字證書和證書撤銷列表中的各項數據內容進行描述。
GM/T 0034-2014《基于SM2密碼算法的證書認證系統密碼及其相關安全技術規范》改標準規定了為公眾服務的數字證書認證系統的設計、建設、檢測、運行和管理規范。
(2)應用支撐類標準
GM/T 0020-2012《證書應用綜合服務接口規范》,該標準主要為上層的證書應用系統提供簡介、易用的調用接口。
(3)密碼檢測類標準
GM/T 0037-2014《證書認證系統檢測規范》,該標準規定了證書認證密鑰管理系統的檢測內容與檢測方法。
GM/T 0038-2014《證書認證密鑰管理系統檢測規范》改標準規定了證書認證密鑰管理系統的檢測內容和檢測方法。
GM/T 0043-2015《數字證書互操作檢測規范》,改標準對數字證書格式和互操作檢測進行規范。
3、標準和產品應用要點
第三方電子認證服務機構的數字證書認證系統的建設、檢測和使用應滿足GM/T 0034-2014《基于SM2密碼算法的證書認證系統密碼及其相關安全技術規范》、GM/T 0037-2014《證書認證系統檢測規范》、GM/T 0038-2014《證書認證密鑰管理系統檢測規范》標準的相關要求,非第三方電子認證服務機構(如自建CA)的數字證書認證系統的建設、檢測、運行和管理,可參照以上標準。下面將根據上述標準給出應用要點。
1)證書認證系統的檢測類別有產品和項目之分,不同的類別對應的檢測內容也不同
GM/T 0037-2014《證書認證系統檢測規范》標準中將檢測對象分為產品和項目兩類。產品指由CA服務器、RA服務器、OCSP服務器、LDAP服務器、密碼機、證書與私鑰存儲介質及相關軟件等組成的證書認證系統。項目指采用證書認證系統產品,按照GM/T 0034-2014《基于SM2密碼算法的證書認證系統及其相關安全技術規范》要求建設的證書認證服務運營系統。其中,物理區域、安全管理、多層結構支持、數據備份和恢復、第三方安全產品等項測試內容只適用于項目檢測,不適用于產品檢測;系統初始化、CA證書更新等測試內容只適用于產品檢測,不適用于項目檢測。
類似地,GM/T 0038標準也將檢測對象分為產品和項目兩類。產品主要由密鑰管理服務器、密鑰管理數據庫服務器、密碼機、KM管理終端、KM審計終端以及相關軟件等組成。項目指采用證書認證密鑰管理產品,按照GM/T 0034中第9章要求建設的證書認證密鑰管理系統。其中物理區域、安全管理、數據備份和恢復、第三方安全產品等項測試內容只適用與項目檢測,不適用于產品檢測;系統初始化、支持多個CA等測試內容只適用于產品檢測,不適用于項目檢測。
2)采用雙證書機制,并建設雙中心
系統采用雙證書機制,每個用戶擁有兩張數字證書,一張用于數字簽名,另一張用于數據加密。用于數字簽名的密鑰對可以由用戶利用具有密碼運算功能的證書載體產生;用于數據加密的密鑰對由密鑰管理中心產生,并負責安全管理。簽名證書和加密證書一起保存在用戶的證書載體中,用戶可通過查看證書中Key Usage擴展字段的內容(用于加密或用于簽名),區分簽名證書和加密證書。而且,系統應建設雙中心,即同時具有證書認證中心和密鑰管理中心。
3)應使用商用密碼算法進行密碼運算
數字證書認證系統使用對稱密碼算法、公鑰密碼算法和密碼雜湊算法三類算法,實現有關密碼服務的各項功能。其中,對稱密碼算法用于實現數據加解密及消息認證,公鑰密碼算法用于實現簽名/驗簽以及密鑰交換,密碼雜湊算法用于實現待簽名消息摘要運算。公鑰密碼算法使用SM2,對稱密碼算法使用SM4,密碼雜湊算法使用SM3。
4)應遵循相關標準以滿足密碼服務接口的要求
密碼設備應遵循GM/T 0018,智能密碼鑰匙應遵循GM/T 0016,密碼協議應遵循GM/T 0014、密碼服務的接口應遵循GM/T 0019和0020。
5)應對CA和KM的管理員進行分權管理
CA和KM均應設置超級管理員、審計管理員、審計員、業務員管理員、和業務操作員。
各類人員使用證書進行登錄,其中超級管理員和審計管理員的證書應在CA和KM進行初始化時同時產生。KM工作人員的證書應由KM自建的獨立內部CA簽發,自建的獨立CA的根證書必須由國家級認證機構的根CA簽發。
6)應為證書認證系統進行物理區域劃分,并進一步對KM物理區域進行劃分
證書認證系統的物理區域應劃分為公共區、服務區、管理區、核心區。
KM的物理區域應劃分為密鑰服務區和密鑰管理區。
7)應配置安全策略保障網絡安全
如果KM與CA處于同一局域網內,應通過防火墻與CA連接。如果它們不處于同一局域網內,應通過網絡密碼機與CA連接。網絡密碼機應是經過國家密碼部門審批或具備資格的機構檢測認證合格的產品。
系統內各相鄰網段之間采用不同的防火墻進行隔離,防火墻工作模式設置為路由模式,應關閉所有系統不需要的端口,對防火墻發現的安全事件應有相應的響應策略。
應在服務區交換機上部署入侵檢測探測設備,保證對外來所有信息包的檢測。入侵檢測管理控制臺與入侵檢測探測設備采取直連方式,保證其獨立的管理及檢測。入侵檢測對信息包的檢測與分析設置為高警戒級別。對入侵檢測設備發現的安全事件應用相應的響應策略。最后,入侵檢測的特征庫應及時更新。
應定期對關鍵的服務器設備、網絡設備及網絡安全設備進行漏洞掃描,對掃描發現的發現的漏洞應有相應的響應策略,并及時更新漏洞庫。關鍵的服務器及操作、管理終端應部署防病毒產品,對防病毒產品發現的安全事件應有相應的響應策略,應及時更新病毒庫。
8)應采取多種安全措施對CA中所使用密鑰的整個生命周期進行防護
密鑰安全的基本操作是,密鑰的生成和使用必須在硬件密碼設備中完成,且必須由安全可靠的管理機制;存在于硬件密碼設備之外的所有密鑰必須加密;密鑰必須有安全可靠的備份恢復機制;對密碼設備操作必須由多個操作員實施。
9)應有數據備份和恢復策略,能夠實現對系統的數據備份與恢復
系統應選擇適當的存儲備份系統對重要數據進行備份。不同的應用環境可以有不同的備份方案,但應滿足以下基本要求:備份要在不中斷數據庫使用的前提下實施,備份方案應符合國家有關信息數據備份的標準要求,應提供人工和自動備份功能,實時和定期備份功能,還應增加備份功能、日志記錄功能、歸檔檢索與恢復功能。
10)應保障系統各組件間的通信安全
應采取通信加密、安全通信協議等安全措施保障CA各子系統之間、CA與KM之間、CA與RA之間的安全通信。
總結
以上是生活随笔為你收集整理的商用密码产品认证-数字证书认证系统的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 前端学习(689):for循环执行相同代
- 下一篇: 前端学习(1147):ES6学习目标