GA T 1769-2021 移动警务 PKI系统总体技术要求.pdf

《GA T 1769-2021 移动警务 PKI系统总体技术要求.pdf》由会员分享，可在线阅读，更多相关《GA T 1769-2021 移动警务 PKI系统总体技术要求.pdf（12页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 35.240.99 A 90 （ 报批稿 ） (本稿 完成 于 2020 年 10 月 20 日 ) GA xxxx-xx-xx 实施 xxxx-xx-xx 发布 移动警务 PKI 系统 总体技术 要求 中华人民共和国公安部 发布 Mobile police General technical requirements for PKI system 中华人民共和国公安部 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX XXXX 代替 GA/T XXXX XXXX I 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义

2、、缩略语 . 1 4 总体架构 . 2 5 通用 技术 要求 . 3 6 接口要求 . 4 7 安全要求 . 5 8 管理要求 . 5 附录 A （规范性附录） 发证流程 . 6 GA/T XXXX XXXX II 前 言 本 文件 按照 GB/T 1.1-2020标准化工作导则 第 1 部分：标准化文件的结构和起草规则 的规 定 起草。 本 文件 由公安部科技信息化局提出。 本 文件 由公安部计算机与信息处理标准化技术委员会归口。 本 文件 起草单位：公安部科技信息化局 、 河南省公安厅 、公安部第一研究所、公安部第三研究所、 格尔软件股份有限公司、 郑州信大捷安信息技术股份有限公司、 长春

3、吉大正元信息技术股份有限公司 。 本 文件 主要起草人： 袁艺芳、 李伟强、王毅、陈巧慧、张端涛、王卓 、 陈骁、陈昌前、陈家明、 梁 松涛 、 韩秀德 、 刘兴兴 、邓勇 。 GA/T XXXX XXXX 1 移动警务 PKI 系统 总体 技术 要求 1 范围 本 文件 规定了移动警务 PKI 系统 的 总体 架构、 通用 技术 要求、 接口要求、 安全 要求和管理要求 。 本 文件 适用于移动警务 PKI 系统 的 规划、设计、建 设、验收和管理等 。 2 规范性引用文件 下列文件 中的内容通过文中的规范性引用而构成 本文件 必不可少的 条款。其中， 注日期的引用文件， 仅 该 日期 对应

4、的版本适用于本文件； 不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 19771 信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范 GB/T 25056 信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T 25069 信息安全技术 术语 GA/T 1561 移动警务系统 总体技术要求 GA/T 1720 移动警务 数字证书 格式要求 GM/Z 0001 密码术语 GM/T 0018 密码设备应 用接口规范 GM/T 0034 基于 SM2密码算法的证书系统密码及其相关安全技术规范 RFC 5280 Internet X.509 Public K

5、ey Infrastructure Certificate and Certificate Revocation List (CRL) Profile 3 术语 和 定义 GB/T 25069、 GA/T 1561 和 GM/Z 0001 界定的以及 下列 术语和定义适用于本文 件 。 3.1 移动警务数字证书 digital certificate for mobile police information system 标识移动警务系统 用户、机构、设备 和 应用真 实身份的数字证书。 3.2 空中发证 autonomous certificate issuance based on wi

6、reless mode 依托无线 传输链路 申请 和 签发 数字证书 的方式 。 4 缩略语 下列缩略语适用于本文件。 CA： 证书认证机构 （ Certificate Authority） GA/T XXXX XXXX 2 CRL： 证书吊销列表 （ Certificate Revocation List） KMC：密钥管理中心（ Key Management Center） LDAP： 轻量级目录访问协议 （ Lightweight Directory Access Protocol） LRA： 本地证书注册机构 （ Local Registration Authority） PKI： 公

7、钥基础设施 （ Public Key Infrastructure） RA： 证书注册机构 （ Registration Authority） 5 总体架构 5.1 系统架构 移动警 务 PKI 系统包括中央系统和下级系统，中央系统 为 唯一 根节点， 包括 LDAP 和 CA， 下级系统 包括 LDAP、 CA、 RA、 LRA 和 KMC。系统架构 示意图见图 1。 移动警务 P K I 中央系统 移动警务 P K I 下级系统 CA K M CRA L R AL R A . L D A P CAL D A P 图 1 移动警务 PKI 系统架构 示意 图 其中： a) LDAP 实现移动

8、警务证书和 CRL 的存储与发布，中央系统 LDAP 存储所有下级系统的移动警务证 书和 CRL，并提供所有下级系统 LDAP 的地址服务； b) CA 实现 移动警务数字证书 的签发，中央系统 CA 签发下级系统 CA 证书 ， 下级系统 CA 实现移动 警务 数字证书的签发、更新、延期、注销以及 CRL 生成等； c) RA 实现移动警务数字证书的注册、申请、 审核和发放等； d) LRA 基于 RA 实现本地移动警务数字证书的注册、申请和发放等，可按需部署； e) KMC 为移动警务数字证书提供加密证书密钥对的生成及管理功能。 GA/T XXXX XXXX 3 5.2 系统部署 移动 警

9、务 PKI 系统部署 与图 2 相符合 。 服务区 管理区 安全区 密钥管理区 从 LDAP RA 主 LDAP CA KMC 服务区从 LDAP 公安信息网 LRA LRA . 移动警务 PKI 下级系统 移动警务 PKI 中央系统 服务区从 LDAP 安全区CA 公安移动信息网 主 LDAP 图 2 移动警务 PKI 系统 部署 图 其中： a) 移动警务 PKI 中央系统部署在公安信息网中，其 LDAP 进行主从部署，从 LDAP 部署在服务区， 主 LDAP 和 CA 部署在安全区； b) 移动警务 PKI 下级系统部署在公安信息网和公安移动信息网中，其 LDAP 进行主从部署， 从

10、LDAP 在公安信息网和公安移动信息网的服务区同时部署， RA 和 LRA 部署在公安信息网的管理区， 主 LDAP 和 CA 部署在公安信息网的安全区， KMC 部署在公安信息网的 密钥管理区 。 6 通用 技术 要求 6.1 目录服务要求 目录服务 应满足下列要求： a) 主 LDAP 将移动警务数字证书及 CRL 同步到从 LDAP； b) 部署在公安信息网的下级系统从 LDAP 与公安移动信息网的从 LDAP 建 立同步机制； c) 下级系统 LDAP 上报本级所有移动警务数字证书及 CRL； GA/T XXXX XXXX 4 d) 中央 系统 LDAP 提供 所有下级系统 LDAP

11、地址 及 目录服务。 6.2 证书发放要求 证书发放 需 满足下列要求： a) 类 系统 的 数字证书格式宜符合 RFC 5280 的规定，数字证书的申请和发放流程应符合 GB/T 25056 的规定； b) 类系统移动警务数字证书应由 移动警务 PKI 系统签发，证书格式应符合 GA/T 1720 的规定， 介质应使用通过国家密码产品管理部门检测的硬件或软件密码模块，接口调用宜符合 GM/T 0018 的要求 ； c) 类系统移动警务数字 证书应由移动警务 PKI 系统签发，证书格式应符合 GA/T 1720 的规定， 介质应使用通过国家密码产品管理部门检测的硬件密码模块，接口调用应符合 G

12、M/T 0018 的要 求； d) 移动警务 数字证书 的 申请和 发放流程应符合附录 A 的要求； e) 支持批量证书申请和用户管理 。 6.3 证书中心要求 证书中心 应满足下列要求： a) 支持 同时 签发 加密证书和签名证书 ； b) 采用国产商用密码算法； c) 支持签发用户证书、机构证书、设备证书和应用证书； d) 支持空中发证 、 有线发证和离线发证 。 6.4 密钥管理 要求 密钥管理 应 满足下列要求： a) 支持加密证书密钥对的全生命周期管理， 包括 生成、注册、分发、安装、存储、使用、更新、 废除、归档、撤销、注销、销毁、备份和恢复 等； b) 基于通过国家密码产品管理部

13、门检 测 的 硬件密码设备，实现密钥的生成及管理 。 7 接口 要求 7.1 接口功能 应 为 第三方提供 移动警务数字 证书 的 签发、撤销、更新等接口服务 。 7.2 接口协议 接口协议 应满足下列要求： a) 移动警务 PKI 系统采用 HTTP 或 HTTPS 协议 为第三方提供接口服务 ， 请求 报文 头中 “ ContentT ype” 值 为 “application/x -www-form-urlencoded” ，请求 报文 体采用 URLEncode 编码 ； b) 请求 报文 体 中 采用 UniqueUserKey 标识 用户信息 ； c) 对外提供服务的 URL 地址

14、 应 为 :“http|htt ps:/HOST:PORT/servlet/*JsonRpcServlet” ，其中： 1) HOST 为服务端地址； 2) PORT 为服务端口， 宜 为 8080/8443/8043； GA/T XXXX XXXX 5 3) “*”为移动警务 PKI 系统服务标识。 8 安全要求 安全要求 应满足下列要求： a) 移动警 务 PKI 系统自身安全符合 GA/T 1561 的 规定 ； b) CA 和 RA 符合 GB/T 19771 的规定， KMC 符合 GM/T 0034 的 规定 ； c) 服务区、管理区、安全区、密钥管理区之间，以及与外部信息网络之间

15、的安全防护措施包括但 不限于边界防护、访问控制、入侵防御 。 9 管理要求 9.1 系统管理 系统管理 需 满足下列要求： a) 宜对 用户、机构、设备和应用等 移动警务 数字证书对象的 基础信息进行管理； b) 应对系统进行分级 管理 ； c) 应对系统按系统管理员、安全管理员和审计管理员进行 权限 管理； d) 应对系统登录进行 基于数字证书的 双因子 或多因子 认证 ，包含且不限于口令、生物标识、物理 标识 等 ； e) 系统 软硬件环境、 配置 参数 或 安全 策略 等 的改变 ，应经主管部门批准后再实施。 9.2 审计管理 审计管理 应 满 足下列要求： a) 对 移动警务数字证书的

16、 申请、审批、签发、更新、撤销、备份和恢复等行为进行审计； b) 审计 记录包括时间、对象、操作类型、操作是否成功等信息； c) 对审计记录进行保护、备份； d) 对审计过程进行保护。 GA/T XXXX XXXX 6 附录 A （规范性附录） 发证流程 A.1 概述 证书发放方式流程 包括 出空中发证、有线发证和离线发证三种。 A.2 空中发证流程 空中 发证基于移动警务 PKI 系统，通过空中发证客户端、密码模块、空中发证服务端、身份认证服 务实现 。空中发证流程 示意图见图 A.1。 b . 采集发证 对象信息 c . 生成证 书申请 d . 建立安全连接 ， 发送证书申请 e . 鉴别

17、身份 f . 申请证书 h . 返回响应消息 空中发证 客户端 空中发证 服务端 身份认证 服务 移动警务 P K I 系统 密码模块 c - 1 . 生成 签名密钥对 c - 2 . 签名 i . 返回响应消息 j . 导入证书 、 密钥 a - 1 . 导入发证对象信息 a - 2 . 审批 设置证书 申请权限 发证 对象 g . 审核 / 审批 图 A.1 空中发证流程 示意 图 具体步骤为： a) 预先录入 发证 对象信息，并导入身份认证服务和移动警 务 PKI 系统，审批设置证书申请权限； b) 空中发证客户端采集 发证 对象 信息； c) 空中发证客户端调用密码模块生成密钥对，私钥

18、不可导出，空中发证客户端生成证书申请，调 用密码模块对申请进行签名； d) 空中发证客户端与空中发证服务端建立安全连接，发送证书申请消息； e) 空中发证服务端调用身份认证服务，对收到的对象特征信息进行鉴别； f) 空中发证服务端提交证书申请至移动警务 PKI 系统； g) 移动警务 PKI 系统对证书申请操作进行审核、审批； h) 移动警务 PKI 系统生成加密密钥对、加密证书、签名证书，返回响应消息至空中发证服务端； i) 空中发证服务 端 将 响应消息发送至空中发证客户端； j) 空中发证客户端解析、验证响应消息，取出加密私钥、加密证书和签名证书，导入密码模块。 GA/T XXXX XX

19、XX 7 A.3 有线发证流程 有线 发证基于移动警务 PKI 系统，通过密码模块和发证系统管 理端实现 。有线发证流程 示意图见 图 A.2。 f . 提交证书申请 密码模块 移动警务 P K I 系统 发证系统管理端 a. 信息注册 b . 审核审批 c. 提交发证对象信息 d. 证书申请 g . 返回响应消息 e . 生成密钥对 h . 证书安装 发证 对象 图 A.2 有线发证流程 示意 图 具体步骤为： a) 在 发证 系统 管理端注册发证对象信息； b) 在发证 系统 管理端进行审核、审批； c) 发证系统管理端向移动警务 PKI 系统提交发证对象信息 ； d) 在发证系统管理端为

20、发证对象申请证书 ； e) 发证 系统管理端调用密码模块，生成密钥对； f) 发证系统管理端向移动警务 PKI 系统提交证书申请 ； g) 移动警务 PKI 系统 向发证系统管理端返回响应消息； h) 发证系统管理端解析、验证响应消息，取出加密私钥、加密证书和签名证书，导入密码 模块。 GA/T XXXX XXXX 8 A.4 离线发证流程 离线发证 基于 移动警务 PKI 系统，通过密码模块和发证系统 管理端实现， 离线发证流程示意图见图 A.3。 d. 返回响应消息 密码模块 移动警务 P K I 系统 发证系统管理端 b . 导入证书请求 c. 提交证书申请 e . 导出证书信息 a. 产生证书请求 f . 安装证书 发证 对象 图 A.3 离线发证流程 示意 图 具体步 骤为： a) 调用密码模块产生证书请求； b) 证书请求导入发证系统管理端； c) 发证系统管 理端向移动警务 PKI 系统提交证书申请 ； d) 移动警务 PKI 系统向发证系统管理端返回响应消息； e) 发证系统管理端解析、验证响应消息，取出加密私钥、加密证书和签名证书，并导出证书信息； f) 导出的证书信息 安装至密码模块 。