LD∕T 02.2-2022 (代替 LD∕T 30.2-2009)人力资源社会保障电子认证体系规范 第2部分:电子认证系统技术规范.pdf
《LD∕T 02.2-2022 (代替 LD∕T 30.2-2009)人力资源社会保障电子认证体系规范 第2部分:电子认证系统技术规范.pdf》由会员分享,可在线阅读,更多相关《LD∕T 02.2-2022 (代替 LD∕T 30.2-2009)人力资源社会保障电子认证体系规范 第2部分:电子认证系统技术规范.pdf(29页珍藏版)》请在咨信网上搜索。
1、LD2022-06-22 发布2022-07-01 实施LD/T 02.2-2022代替 LD/T 30.22009中华人民共和国劳动和劳动安全行业标准人力资源社会保障电子认证体系规范第 2 部分:电子认证系统技术规范Specifications for human resources and social security electronicauthentication systemPart 2:Technology specification for electronic authentication system中华人民共和国人力资源和社会保障部发布ICS 35.040CCS L 80
2、学兔兔 标准下载LD/T 02.2-2022I目次前言.III引言.IV1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25 电子认证体系结构.26 证书认证设施.36.1 证书签发管理系统.36.2 证书注册管理系统.56.3 证书查验服务系统.66.4 网络划分.86.5 数据备份.86.6 可靠性.86.7 物理安全.96.8 运行管理要求.97 密钥管理设施.97.1 系统描述.97.2 系统结构.97.3 系统功能.117.4 数据备份.117.5 可靠性. 117.6 物理安全.117.7 运行管理要求.118 密码算法、密码设备及接口.128.1 密码算法.128
3、.2 密码设备.128.3 密码服务接口.139 基础安全防护设施.139.1 防病毒系统.139.2 防火墙.139.3 漏洞扫描.139.4 入侵检测.1310 业务流程与协议.13学兔兔 标准下载LD/T 02.2-2022II10.1 证书管理流程.1310.2 证书验证.21附录 A (资料性) 省级电子认证系统(模式一)网络结构示意图.22附录 B (资料性) 省级电子认证系统(模式二)网络结构示意图.23学兔兔 标准下载LD/T 02.2-2022III前言本文件按照 GB/T 1.1-2020标准化工作导则 第 1 部分:标准化文件的结构和起草规则的规定起草。LD/T 02人力
4、资源社会保障电子认证体系系列规范,已经发布了以下五个部分:-第1部分:框架规范-第2部分:电子认证系统技术规范-第3部分:数字证书格式规范-第4部分:数字证书应用接口规范-第5部分:数字证书载体规范本文件为LD/T 02的第2部分。本文件代替 LD/T 30.22009人力资源社会保障电子认证体系 第 2 部分: 电子认证系统技术规范,与 LD/T 30.22009相比,除结构调整和编辑性改动外,主要技术变化如下:a)增加了部分规范性引用文件(见第2章,2009版第2章);b)删除了部分不必要的术语定义,同时增加了关于国产密码算法的术语和定义(见第3章,2009版第3章);c)删除了电子认证体
5、系的总体布局以及电子认证体系建设内容(见第5章,2009版5.1);d)更改了电子认证系统的构成,按照GB/T 25056-2018,修订密钥管理设施组成,将“密码服务系统”调整为密钥管理系统的密码服务模块。(见第5章,2009版5.2);e)更改了证书认证设施系统描述,并明确其运行管理要求(见第6章,2009版第6章);f)更改了密钥管理设施组成,并明确其运行管理要求(见第7章,2009版第7章);g)增加了第8章,描述系统中密码算法、密码设备及接口要求(见第8章);h)更改了证书业务管理流程(见10.1,2009版9.1);i)更改了证书状态查询内容描述,在原有查询方式后,新增OCSP查询
6、方式(见10.2.2,2009版9.2.2);j)更改了省级电子认证系统网络结构示意图,并在示意图后增加对电子认证系统中与关键业务相关的服务器、密码设备等设备进行双机部署的说明(见附录A、附录B,2009版附录A、附录B)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中华人民共和国人力资源社会保障部信息中心提出并归口。本文件起草单位:中华人民共和国人力资源和社会保障部信息中心、普华诚信信息技术有限公司、北京数字认证股份有限公司。本文件主要起草人:马丹蕾、张嵩、王岩、耿建军、唐淑静、韩晓颖、成勇、王祥宇、李娜、王智飞、郭丽芳、高五星、李述胜。本文件所代替
7、的历次版本发布情况为:-LD/T 30.22009人力资源社会保障电子认证体系 第 2 部分:电子认证系统技术规范;-本次为第一次修订。学兔兔 标准下载LD/T 02.2-2022IV引言为适应人力资源社会保障信息化发展要求,满足人力资源社会保障网络信任体系建设和管理的需要,人力资源社会保障部组织并制定了人力资源社会保障电子认证体系系列规范。随着我国商用密码技术的发展、国产密码算法的标准发布,以及人力资源社会保障行业的业务发展,需要对行业标准LD/T 302009人力资源社会保障电子认证体系规范进行修改和完善。本次修订,是在充分借鉴原标准的框架和结构的基础上,根据人力资源社会保障行业特点和电子
8、认证业务发展需求,对电子认证体系总体结构和电子认证系统整体建设规划进行扩充完善,以符合国家及国家密码主管部门相关标准规范要求,满足人力资源社会保障业务和管理需求,推进 SM2 算法在人社信息系统中的应用,另一方面,也可有效配合中华人民共和国密码法 、 中华人民共和国网络安全法 、密码管理及密码应用安全测评工作、等级保护工作的落实与实施。LD/T 02描述了人力资源社会保障电子认证体系总体结构和电子认证系统整体建设规划,规定了各级人力资源社会保障部门电子认证系统建设和应用要求,由以下五个部分构成。-第1部分:框架规范-第2部分:电子认证系统技术规范-第3部分:数字证书格式规范-第4部分:数字证书
9、应用接口规范-第5部分:数字证书载体规范LD/T 02的第1部分,是人力资源社会保障电子认证体系系列规范的总纲,规定了电子认证体系规范的总体框架。LD/T 02的第2部分第5部分分别从电子认证系统技术、数字证书格式、数字证书应用接口、数字证书载体四个方面提出具体规范要求。本部分描述了人力资源社会保障电子认证系统的体系架构、系统构成和系统功能等,重点引用了GB/T 25056-2018,并在此基础上,扩展了证书管理流程、省级系统建设拓扑图等相关内容,从满足人力资源社会保障业务需求的角度,对建设本行业的电子认证系统提出规范和要求。学兔兔 标准下载LD/T 02.2-20221人力资源社会保障电子认
10、证体系规范第 2部分:电子认证系统技术规范1范围本文件给出了人力资源社会保障电子认证系统的系统构成,规定了电子认证系统各单元的结构和基本功能、密码算法、密码设备及接口、基础安全防护措施、业务流程及相关协议。本文件适用于各级人力资源社会保障部门建设基于 PKI 技术的电子认证系统。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 19771-2005信息技术 安全技术 公钥基础设施PKI组件最小互操作规范GB/T 25056-2018信息安
11、全技术 证书认证系统密码及其相关安全技术规范GB/T 37092-2018 信息安全技术 密码模块安全要求GM/Z 0001-2013 密码术语GM/T 0014-2012数字证书认证系统密码协议规范LD/T 03-2022人力资源社会保障 电子认证服务管理规范3术语和定义GB/T 25056、GB/T 19771、GM/Z 0001界定的以及下列术语和定义适用于本文件。3.1私有密钥private key私钥非对称密码算法中只能由拥有者使用的不公开密钥。来源:GB/T 25056-2018,3.103.2证书认证路径certification path在目录信息树(DIT)中对象证书的有序序
12、列。通过处理该有序序列及其起始对象的公钥可以获得该路径的末端对象的公钥。来源:GB/T 19771-2005,3.9学兔兔 标准下载LD/T 02.2-202223.3SM1 算法SM1 algorithm一种分组加密算法,分组长度为 128 比特,密钥长度为 128 比特。来源:GM/Z 0001-2013,2.1173.4SM3 算法SM3 algorithm由 GB/T 32905 定义的算法。来源:GB/T 25056-2018,3.153.5SM4 算法SM4 algorithm一种分组密码算法,分组长度为 128 比特,密钥长度为 128 比特。来源:GM/Z 0001-2013,
13、2.1204缩略语下列缩略语适用于本文件:CA:证书认证机构(Certification Authority)CRL:证书撤销列表(Certificate Revocation List)HTTP:超文本传输协议(Hypertext Transfer Protocol)KMC:密钥管理中心(Key Management Center)RA:证书注册机构(Registration Authority)LDAP:轻量级目录访问协议(Lightweight Directory Access Protocol)OCSP:在线证书状态查询协议(Online Certificate Status Prot
14、ocol)5电子认证体系结构人力资源社会保障电子认证系统主要包括证书认证设施和密钥管理设施,以及相配套的基础安全防护设施。其中,证书认证设施包括证书签发管理系统、证书注册管理系统和证书查验服务系统;密钥管理设施主要指密钥管理系统;基础安全防护设施包括防病毒、漏洞扫描、防火墙、入侵检测等系统。电子认证系统的构成如图 1 所示。学兔兔 标准下载LD/T 02.2-20223防病毒漏洞扫描防火墙入侵检测基础安全基础安全防护设施防护设施人力资源社会保障应用系统人力资源社会保障应用系统证书注册管理系统证书签发管理系统证书查验服务系统密钥管理系统证书认证设施证书认证设施密钥管理设施密钥管理设施图1 电子认
15、证系统构成6证书认证设施6.1证书签发管理系统6.1.1系统描述证书签发管理系统是对生命周期内的数字证书进行全过程管理的安全系统,采用双证书(签名证书和加密证书)机制,使用SM2算法签发各类数字证书。证书签发管理系统提供数字证书生成、发布、撤销和存档等服务,接收来自证书注册管理系统的证书请求,向密钥管理系统请求加密密钥对,为用户签发数字证书和证书撤销列表,并将证书/证书撤销列表发布到证书查验服务系统。6.1.2系统结构证书签发管理系统由证书业务服务、证书管理服务、证书签发服务、密码服务等模块组成。证书签发管理系统结构如图 2 所示。学兔兔 标准下载LD/T 02.2-20224图 2 证书签发
16、管理系统结构a)证书业务服务模块证书业务服务模块提供处理证书请求、证书更新、证书撤销、密钥恢复等功能。在处理完相关请求后,证书业务服务模块将证书或 CRL 的签发工作转交给证书签发服务模块处理。b)证书签发服务模块证书签发服务模块根据证书业务服务模块的签发请求,向密钥管理系统申请密钥,获取密钥后,调用密码服务模块签发数字证书。对于 CRL 签发请求,直接由签发服务模块调用密码服务模块签发 CRL。证书或 CRL 签发完成后,签发服务模块将证书和 CRL 发布到证书查验服务系统中。c)证书管理服务模块证书管理服务模块提供证书模板管理、证书归档、证书查询、证书统计等功能。d)密码服务模块密码服务模
17、块负责为证书签发管理系统的各模块提供密码支持,以及负责与其他系统通信过程中的密码运算,主要完成签名和验证工作,签名密钥保存在密码设备中。在进行上述工作中,必须保证所使用的密钥不能以明文形式被读出密码设备。6.1.3系统功能证书签发管理系统是电子认证系统的核心,不仅为整个电子认证系统提供签发证书/证书撤销列表的服务,还承担整个电子认证系统中主要的安全管理工作。证书签发管理系统的主要功能如下:a)证书生成与签发:从数据库中读取用户信息,根据拟签发的证书类型向密钥管理系统申请加密密钥对,生成用户的签名证书和加密证书,将签发完成的证书发布到证书查验服务系统和数据库中。根据系统的配置和管理策略,不同种类
18、或用途的证书可以采用不同的签名密钥;b)证书更新:系统应提供 CA 证书及用户证书的更新功能;c)证书撤销列表生成与签发:接收撤销信息,签发证书撤销列表,将签发后的撤销列表发布到证书查验服务系统和数据库中;d)安全审计:负责对证书签发管理系统的管理人员、操作人员的操作日志进行查询、统计以及学兔兔 标准下载LD/T 02.2-20225报表生成等;e)安全管理:对证书签发管理系统的登录进行安全访问控制,对数据库进行管理和备份;设置管理员、操作员、审计员,并为这些人员申请和下载数字证书;配置不同的证书模板,支持证书模板灵活定制;f)证书/证书撤销列表的存储;g)证书签发管理系统应具有并行处理的能力
19、。6.2证书注册管理系统6.2.1系统描述证书注册管理系统负责用户的证书申请、身份审核和证书下载。在数字证书申请过程中,证书注册管理系统的核心职责是将证书请求安全可信的提交到证书签发管理系统,等待其签发证书,签发完成后,将证书下载到证书载体中。6.2.2系统结构证书注册管理由用户信息注册、业务处理、数据管理服务、操作员管理、密码服务等模块组成。证书注册管理系统结构如图3所示。图3 证书注册管理系统结构a)用户信息注册模块用户信息注册模块提供用户注册和用户审核等功能。b)业务处理模块业务处理模块是证书注册管理系统的核心服务模块,提供证书请求、证书下载和证书模板管理等功能。证书请求是将经过身份审核
20、的证书业务请求通过安全通道传输给证书签发管理系统。证书下载是将证书签发管理系统签发完成的证书通过安全通道下载到证书注册管理系统,并将证书下载到证书载体中;证书模板管理是定制证书类型和证书格式的管理工具。c)数据管理服务模块数据管理服务模块提供完善的数据库管理服务,用于保存和管理用户信息、证书信息、操作员信息等。d)操作员管理模块操作员管理模块负责证书注册管理系统的操作员注册及其权限设置等管理工作。学兔兔 标准下载LD/T 02.2-20226e)密码服务模块密码服务模块负责为证书注册管理系统的各模块提供密码支持,以及负责与其他系统通信过程中的密码运算,主要完成签名和验证工作,签名密钥保存在密码
21、设备中。在进行上述工作中,必须保证所使用的密钥不能以明文形式被读出密码设备。6.2.3系统功能证书注册管理系统负责用户证书/证书撤销列表的申请、审核以及证书的制作,其主要功能如下:a)用户信息的录入:录入用户的申请信息,用户申请信息包括签发证书所需要的信息,还包括用于验证用户身份的信息,这些信息存放在证书注册管理系统的数据库中。证书注册管理系统应能够批量接收从外部系统生成的、以电子文档方式存储的用户信息;b)用户信息的审核:提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书签发所需要的信息提交给证书签发管理系统;c)用户证书下载:证书注册管理系统提供证书下载功能,当证书签发管理系统为
22、用户签发证书后,证书注册管理系统能够下载用户证书,并将用户证书写入指定的证书载体中,然后分发给用户;d)安全审计:负责对证书注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及报表生成等;e)安全管理:对证书注册管理系统的登录进行安全访问控制,并对用户信息数据库进行管理和备份;f)多级审核:证书注册管理系统可根据需要由不同级别的管理员进行审核,能够根据需求支持多级审核模式;g)证书注册管理系统应具有并行处理的能力。6.3证书查验服务系统6.3.1目录服务系统6.3.1.1系统描述目录服务系统负责数字证书证书撤销列表的存储和发布,为用户和应用系统提供证书状态查询服务,用户或应用系统利用数
23、字证书中标识的 CRL 地址下载 CRL 文件,从而检验证书的状态。6.3.1.2系统结构目录服务系统包括主目录服务器和从目录服务器,应采用主从目录结构以保证证书查验服务系统的安全。证书签发管理系统签发完成的数据直接写入主目录服务器,然后由目录服务器的主从映射功能自动映射到从目录服务器中,从目录服务器可以采用分布式的方式进行设置,以提高系统的效率。主、从目录服务器通常配置在不同等级的安全区域。用户只能访问从目录服务器。目录服务系统结构如图 4 所示。学兔兔 标准下载LD/T 02.2-20227图4 目录服务系统结构6.3.1.3系统功能目录服务系统面向用户和应用系统提供证书下载及 CRL 下
24、载功能。a)证书存储;b)证书撤销列表存储;c)证书和 CRL 发布;d)CRL 下载:用户或应用系统使用数字证书中签发的 CRL 地址,根据需要到目录服务器下载CRL 列表,查询证书状态,验证证书有效性;e)目录访问控制:目录服务系统需要对目录的访问进行控制,用户和应用系统可根据证书中签发的目录服务器地址及 DN 访问从目录服务器,可下载对应的数字证书和 CRL。6.3.2证书状态查询系统6.3.2.1系统描述证书状态查询系统主要负责为用户和应用系统提供证书状态查询服务,除提供基于 HTTP 协议的CRL 查询、下载服务外,还提供基于 OCSP 协议的证书状态实时在线查询。6.3.2.2系统
25、结构证书状态查询系统由证书状态数据库/OCSP 服务器、安全管理模块、安全审计模块、数据管理模块以及密码设备组成。证书状态查询系统结构如图 5 所示。图 5 证书状态查询系统结构学兔兔 标准下载LD/T 02.2-20228a)证书状态数据库/OCSP 服务器接受用户及应用系统的证书状态查询请求,根据请求信息中的证书序列号,从证书状态数据库中查询证书的状态,查询结果返回给请求者。b)密码设备验证请求信息中的签名,并对查询结果进行签名。c)安全管理主要包括:1)OCSP 服务器的配置,定义可接受的访问控制信息以及查询的证书状态数据库的地址;2)启动/停止查询服务配置,可接受的用户请求数量等。d)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- LDT 02.2-2022 代替 30.2-2009人力资源社会保障电子认证体系规范 第2部分:电子认证系统技术规范 LD 02.2 2022 代替 30.2 2009 人力资源 社会保障 电子
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【pa****e】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【pa****e】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/150495.html