DB14-T 2987-2024 山西電子政務(wù)外網(wǎng)電子認(rèn)證系統(tǒng)總體架構(gòu)

35.080CCS

L

7314 DB14/T

2987—2024山西電子政務(wù)外網(wǎng)電子認(rèn)證系統(tǒng)總體架構(gòu)山西省市場(chǎng)監(jiān)督管理局 發(fā)

布DB14/T

2987—2024 前言

.................................................................................

II1

...............................................................................

12 規(guī)范性引用文件

.....................................................................

13 術(shù)語(yǔ)和定義

.........................................................................

14 縮略語(yǔ)

.............................................................................

25 電子認(rèn)證體系

.......................................................................

26 電子認(rèn)證系統(tǒng)架構(gòu)

...................................................................

37 注冊(cè)系統(tǒng)

...........................................................................

38 移動(dòng)證書管理系統(tǒng)

...................................................................

49 證書自助服務(wù)系統(tǒng)

...................................................................

410 從目錄服務(wù)系統(tǒng)

....................................................................

511 數(shù)據(jù)庫(kù)系統(tǒng)

........................................................................

512 身份認(rèn)證系統(tǒng)

......................................................................

513 安全保障體系

......................................................................

614 標(biāo)準(zhǔn)規(guī)范體系

......................................................................

6DB14/T

2987—2024 本文件按照GB/T

—《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由山西省政務(wù)信息管理局提出、組織實(shí)施和監(jiān)督檢查。本文件由山西省市場(chǎng)監(jiān)督管理局對(duì)標(biāo)準(zhǔn)的組織實(shí)施情況進(jìn)行監(jiān)督檢查。本文件由山西省電子政務(wù)信息標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本文件起草單位：山西省數(shù)字政府服務(wù)中心、太原理工大學(xué)。本文件主要起草人：張一梅、馬志紅、趙栓駒、李燈熬、王晶、宇昕、郝戍峰、鄭超。IIDB14/T

2987—20241 范圍規(guī)范體系等。本文件適用于山西電子政務(wù)外網(wǎng)電子認(rèn)證系統(tǒng)建設(shè)。2 規(guī)范性引用文件文件。GB/T

37092

信息安全技術(shù)

密碼模塊安全要求3 術(shù)語(yǔ)和定義3.1

GB/T

37092

界定的以及下列術(shù)語(yǔ)和定義適用于本文件。政務(wù)

CA理和服務(wù)窗口，政務(wù)CA是專業(yè)化的電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)，設(shè)有獨(dú)立密鑰管理中心。3.2山西政務(wù)

RACA西電子政務(wù)外網(wǎng)電子認(rèn)證服務(wù)業(yè)務(wù)的相關(guān)管理和服務(wù)工作的注冊(cè)服務(wù)中心。3.3山西政務(wù)

山西政務(wù)LRA是經(jīng)山西政務(wù)RA許可，在山西各市電子政務(wù)外網(wǎng)內(nèi)開(kāi)展電子認(rèn)證服務(wù)業(yè)務(wù)的注冊(cè)服務(wù)分中心。3.4電子認(rèn)證采用電子技術(shù)檢驗(yàn)用戶真實(shí)性的操作，是以技術(shù)為基礎(chǔ)，通過(guò)政務(wù)簽發(fā)的數(shù)字證書對(duì)電子政3.5數(shù)字證書一些擴(kuò)展信息的數(shù)字文件。3.6電子認(rèn)證系統(tǒng)DB14/T

2987—2024的系統(tǒng)。3.7電子政務(wù)用戶等用戶。3.8密碼模塊實(shí)現(xiàn)了安全功能的硬件、軟件和/或固件的集合，并且被包含在密碼邊界內(nèi)。注：密碼模塊根據(jù)其組成，可分為軟件密碼模塊、硬件密碼模塊、固件密碼模塊、組合密碼模塊。4 縮略語(yǔ)下列符號(hào)適用于本文件。CA Certification

Authority

認(rèn)證機(jī)構(gòu)RA Registration

注冊(cè)機(jī)構(gòu)LRA Local

Registration

Authority

PKI

公鑰基礎(chǔ)設(shè)施USB

Universal

Bus

Key

接口的證書存儲(chǔ)介質(zhì)CRLCertification

Revocation

List

證書撤銷列表OCSP Online

Status

Protocol

在線證書狀態(tài)協(xié)議LDAP Lightweight

Directory

Protocol

輕量級(jí)目錄訪問(wèn)協(xié)議5 電子認(rèn)證體系CA心(RA)、市電子認(rèn)證注冊(cè)服務(wù)分中心(構(gòu)成，形成“國(guó)家-省-市”三級(jí)體系架構(gòu)，見(jiàn)圖1。圖1電子認(rèn)證體系架構(gòu)圖DB14/T

2987—20246 電子認(rèn)證系統(tǒng)架構(gòu)政務(wù)應(yīng)用中提供基于數(shù)字證書的身份認(rèn)證、數(shù)字簽名、信息加密等服務(wù)。山西政務(wù)、山西政務(wù)電子認(rèn)證系統(tǒng)按照政務(wù)CA運(yùn)行，標(biāo)準(zhǔn)規(guī)范體系規(guī)范系統(tǒng)建設(shè)。電子認(rèn)證系統(tǒng)架構(gòu)見(jiàn)圖2。圖2電子認(rèn)證系統(tǒng)架構(gòu)圖7 注冊(cè)系統(tǒng)7.1 山西政務(wù)

注冊(cè)系統(tǒng)山西政務(wù)RA注冊(cè)系統(tǒng)（簡(jiǎn)稱RA系統(tǒng)）功能包括但不限于：a)

證書申請(qǐng)者的信息錄入、審核，證書制作、更新、撤銷、凍結(jié)、解凍、歸檔等；b)

與政務(wù)

CA

系統(tǒng)連通，將審核通過(guò)后的申請(qǐng)信息發(fā)送給

CA

系統(tǒng)，證書制作或更新，CA

發(fā)證書并返回給

RA

系統(tǒng)，其他申請(qǐng)

系統(tǒng)返回操作結(jié)果；c)

d)

證書模板配置，不同的證書類別由不同的證書模板確定，證書模板內(nèi)容包括相應(yīng)類別證書的機(jī)構(gòu)單證書模板、設(shè)備證書模板、代碼簽名證書模板等；e)

USB

類型配置；f)

證書有效期設(shè)置；g)

證書查詢、統(tǒng)計(jì)；h)

管理員權(quán)限管理，包括系統(tǒng)管理員、審計(jì)管理員、安全管理員、錄入員、審核員、制證員、LRA

管理員等權(quán)限管理；i)

LRA

機(jī)構(gòu)管理；j)

對(duì)外提供服務(wù)接口，供第三方進(jìn)行應(yīng)用開(kāi)發(fā)。DB14/T

2987—20247.2 山西政務(wù)

注冊(cè)系統(tǒng)山西政務(wù)LRA系統(tǒng)）功能包括但不限于：a)

證書申請(qǐng)者的信息錄入、審核，證書制作、更新、撤銷、凍結(jié)、解凍等；b)

與

RA

RA

c)

d)

證書有效期設(shè)置；e)

證書查詢、統(tǒng)計(jì)；f)

管理員權(quán)限管理，包括系統(tǒng)管理員、審計(jì)管理員、安全管理員、錄入員、審核員、制證員等權(quán)限管理；g)

對(duì)外提供服務(wù)接口，供第三方進(jìn)行應(yīng)用開(kāi)發(fā)。7.3 服務(wù)器密碼機(jī)RA系統(tǒng)、RA系統(tǒng)和LRA系統(tǒng)與政務(wù)CA系統(tǒng)的通訊提供簽名驗(yàn)簽服務(wù)及信息傳輸密碼技術(shù)保護(hù)服務(wù)，功能包括但不限于：a)

隨機(jī)數(shù)生成；b)

對(duì)稱密鑰、非對(duì)稱密鑰的產(chǎn)生；c)

對(duì)稱密鑰密碼算法的加解密運(yùn)算、非對(duì)稱密鑰密碼算法的加解密運(yùn)算；d)

數(shù)據(jù)摘要運(yùn)算；e)

密鑰的存儲(chǔ)、安全備份和導(dǎo)入導(dǎo)出；f)

支持國(guó)產(chǎn)密碼算法，包括

SM2、

等。8移動(dòng)證書管理系統(tǒng)移動(dòng)證書管理系統(tǒng)功能包括但不限于：a)

移動(dòng)智能終端應(yīng)用

APP

集成移動(dòng)證書管理系統(tǒng)的客戶端，通過(guò)移動(dòng)證書管理系統(tǒng)在線申請(qǐng)證書制作、更新、撤銷、凍結(jié)、解凍等；b)

政務(wù)

RA

系統(tǒng)連通，將申請(qǐng)信息提交

RA

系統(tǒng)，證書簽發(fā)成功或申請(qǐng)?zhí)幚硗瓿珊?/p>

系統(tǒng)將結(jié)果返回給政務(wù)

LRA

移動(dòng)證書管理系統(tǒng)與

RA系統(tǒng)連通，將申請(qǐng)信息提交

,

證書簽發(fā)成功或申請(qǐng)?zhí)幚硗瓿珊?/p>

系統(tǒng)將結(jié)果返回給政務(wù)

移動(dòng)證書管理系統(tǒng)；c)

證書下載，支持下載至移動(dòng)智能終端的軟件密碼模塊、SIM

卡等，軟件密碼模塊應(yīng)達(dá)到

37092

規(guī)定的安全二級(jí)及以上要求；d)

證書有效期設(shè)置。9 證書自助服務(wù)系統(tǒng)證書自助服務(wù)系統(tǒng)功能包括但不限于：a)

政務(wù)

RA

系統(tǒng)連通，將證書持有者的請(qǐng)求信息提交

RA

系統(tǒng)，證書請(qǐng)求處理完成后返回給政務(wù)

RA

證書自助服務(wù)系統(tǒng)；政務(wù)

LRA

證書自助服務(wù)系統(tǒng)與

將證書持有者的請(qǐng)求信息提交

LRA

證書自助服務(wù)系統(tǒng)；b)

配置證書自助更新操作的時(shí)間范圍，默認(rèn)設(shè)置為證書有效期終止日期前

30

DB14/T

2987—2024c)

配置證書自助更新的有效期，默認(rèn)設(shè)置為延長(zhǎng)有效期

1

d)

配置證書自助更新策略，默認(rèn)設(shè)置為證書主題不變、密鑰更新；e)

下載證書，證書持有者按照系統(tǒng)提示輸入需下載證書的憑證碼，將證書下載至存儲(chǔ)介質(zhì)或保存為文件；f)

更新證書，證書持有者按照系統(tǒng)提示輸入

碼更新證書，不在自助更新時(shí)間范圍內(nèi)的證書不能進(jìn)行自助更新操作。10 從目錄服務(wù)系統(tǒng)從目錄（LDAP）服務(wù)系統(tǒng)功能包括但不限于：a)

政務(wù)

RA

從目錄服務(wù)系統(tǒng)與國(guó)家政務(wù)

CA

主目錄服務(wù)系統(tǒng)連通；政務(wù)

務(wù)

RA

從目錄服務(wù)系統(tǒng)連通，政務(wù)

如不建設(shè)從目錄服務(wù)系統(tǒng)或系統(tǒng)出現(xiàn)故障，可使用政務(wù)RA

從目錄服務(wù)系統(tǒng)；b)

政務(wù)

RA

從目錄服務(wù)系統(tǒng)從政務(wù)

CA

主目錄服務(wù)系統(tǒng)獲取山西的證書數(shù)據(jù)，政務(wù)

LRA

務(wù)系統(tǒng)從政務(wù)

RA

c)

政務(wù)

RA

從目錄服務(wù)系統(tǒng)從政務(wù)

CA

主目錄服務(wù)系統(tǒng)獲取證書撤銷列表（）數(shù)據(jù)，政務(wù)

從目錄服務(wù)系統(tǒng)從政務(wù)

從目錄服務(wù)系統(tǒng)獲取證書撤銷列表（）數(shù)據(jù)，存儲(chǔ)于目錄數(shù)據(jù)庫(kù)中，為身份認(rèn)證系統(tǒng)提供查詢下載服務(wù)。政務(wù)

CA

發(fā)布

，發(fā)布頻率不超過(guò)

24

山西政務(wù)

、山西政務(wù)

的

更新頻率不超過(guò)

小時(shí)一次；d)

支持一主多從模式，子樹、級(jí)聯(lián)方式。11 數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)功能包括但不限于：a)

存儲(chǔ)證書申請(qǐng)者信息。證書申請(qǐng)者信息包括個(gè)人姓名、身份證件信息、機(jī)構(gòu)名稱、統(tǒng)一社會(huì)信用代碼、機(jī)構(gòu)法人信息、設(shè)備

IP

地址、經(jīng)辦人信息等；b)

存儲(chǔ)證書信息。證書信息包括公鑰證書擁有者信息、公鑰證書、證書生效時(shí)間、證書失效時(shí)間、證書狀態(tài)、證書簽發(fā)機(jī)構(gòu)等；c)

數(shù)據(jù)冗余，具備容錯(cuò)和備份能力；d)

政務(wù)

不建設(shè)數(shù)據(jù)庫(kù)系統(tǒng)，數(shù)據(jù)存儲(chǔ)在政務(wù)

RA

的數(shù)據(jù)庫(kù)系統(tǒng)。12 身份認(rèn)證系統(tǒng)身份認(rèn)證系統(tǒng)功能包括但不限于：a)

政務(wù)

身份認(rèn)證系統(tǒng)與本級(jí)從目錄服務(wù)系統(tǒng)連通，政務(wù)

如未建設(shè)從目錄服務(wù)系統(tǒng)或系統(tǒng)出現(xiàn)故障，與政務(wù)

從目錄服務(wù)系統(tǒng)連通；b)

配置

、CRL，在線獲取證書狀態(tài)，定期獲取

數(shù)據(jù)；c)

為電子政務(wù)外網(wǎng)應(yīng)用系統(tǒng)提供簽名驗(yàn)簽和證書有效性驗(yàn)證功能，證書有效性驗(yàn)證包括驗(yàn)證證書有效期、是否政務(wù)

CA

簽發(fā)、證書狀態(tài)等；d)