DB14-T 2987-2024 山西电子政务外网电子认证系统总体架构

35.080CCS

L

7314 DB14/T

2987—2024山西电子政务外网电子认证系统总体架构山西省市场监督管理局 发

布DB14/T

2987—2024 前言

.................................................................................

II1

...............................................................................

12 规范性引用文件

.....................................................................

13 术语和定义

.........................................................................

14 缩略语

.............................................................................

25 电子认证体系

.......................................................................

26 电子认证系统架构

...................................................................

37 注册系统

...........................................................................

38 移动证书管理系统

...................................................................

49 证书自助服务系统

...................................................................

410 从目录服务系统

....................................................................

511 数据库系统

........................................................................

512 身份认证系统

......................................................................

513 安全保障体系

......................................................................

614 标准规范体系

......................................................................

6DB14/T

2987—2024 本文件按照GB/T

—《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。本文件由山西省政务信息管理局提出、组织实施和监督检查。本文件由山西省市场监督管理局对标准的组织实施情况进行监督检查。本文件由山西省电子政务信息标准化技术委员会归口。本文件起草单位：山西省数字政府服务中心、太原理工大学。本文件主要起草人：张一梅、马志红、赵栓驹、李灯熬、王晶、宇昕、郝戍峰、郑超。IIDB14/T

2987—20241 范围规范体系等。本文件适用于山西电子政务外网电子认证系统建设。2 规范性引用文件文件。GB/T

37092

信息安全技术

密码模块安全要求3 术语和定义3.1

GB/T

37092

界定的以及下列术语和定义适用于本文件。政务

CA理和服务窗口，政务CA是专业化的电子政务电子认证服务机构，设有独立密钥管理中心。3.2山西政务

RACA西电子政务外网电子认证服务业务的相关管理和服务工作的注册服务中心。3.3山西政务

山西政务LRA是经山西政务RA许可，在山西各市电子政务外网内开展电子认证服务业务的注册服务分中心。3.4电子认证采用电子技术检验用户真实性的操作，是以技术为基础，通过政务签发的数字证书对电子政3.5数字证书一些扩展信息的数字文件。3.6电子认证系统DB14/T

2987—2024的系统。3.7电子政务用户等用户。3.8密码模块实现了安全功能的硬件、软件和/或固件的集合，并且被包含在密码边界内。注：密码模块根据其组成，可分为软件密码模块、硬件密码模块、固件密码模块、组合密码模块。4 缩略语下列符号适用于本文件。CA Certification

Authority

认证机构RA Registration

注册机构LRA Local

Registration

Authority

PKI

公钥基础设施USB

Universal

Bus

Key

接口的证书存储介质CRLCertification

Revocation

List

证书撤销列表OCSP Online

Status

Protocol

在线证书状态协议LDAP Lightweight

Directory

Protocol

轻量级目录访问协议5 电子认证体系CA心(RA)、市电子认证注册服务分中心(构成，形成“国家-省-市”三级体系架构，见图1。图1电子认证体系架构图DB14/T

2987—20246 电子认证系统架构政务应用中提供基于数字证书的身份认证、数字签名、信息加密等服务。山西政务、山西政务电子认证系统按照政务CA运行，标准规范体系规范系统建设。电子认证系统架构见图2。图2电子认证系统架构图7 注册系统7.1 山西政务

注册系统山西政务RA注册系统（简称RA系统）功能包括但不限于：a)

证书申请者的信息录入、审核，证书制作、更新、撤销、冻结、解冻、归档等；b)

与政务

CA

系统连通，将审核通过后的申请信息发送给

CA

系统，证书制作或更新，CA

发证书并返回给

RA

系统，其他申请

系统返回操作结果；c)

d)

证书模板配置，不同的证书类别由不同的证书模板确定，证书模板内容包括相应类别证书的机构单证书模板、设备证书模板、代码签名证书模板等；e)

USB

类型配置；f)

证书有效期设置；g)

证书查询、统计；h)

管理员权限管理，包括系统管理员、审计管理员、安全管理员、录入员、审核员、制证员、LRA

管理员等权限管理；i)

LRA

机构管理；j)

对外提供服务接口，供第三方进行应用开发。DB14/T

2987—20247.2 山西政务

注册系统山西政务LRA系统）功能包括但不限于：a)

证书申请者的信息录入、审核，证书制作、更新、撤销、冻结、解冻等；b)

与

RA

RA

c)

d)

证书有效期设置；e)

证书查询、统计；f)

管理员权限管理，包括系统管理员、审计管理员、安全管理员、录入员、审核员、制证员等权限管理；g)

对外提供服务接口，供第三方进行应用开发。7.3 服务器密码机RA系统、RA系统和LRA系统与政务CA系统的通讯提供签名验签服务及信息传输密码技术保护服务，功能包括但不限于：a)

随机数生成；b)

对称密钥、非对称密钥的产生；c)

对称密钥密码算法的加解密运算、非对称密钥密码算法的加解密运算；d)

数据摘要运算；e)

密钥的存储、安全备份和导入导出；f)

支持国产密码算法，包括

SM2、

等。8移动证书管理系统移动证书管理系统功能包括但不限于：a)

移动智能终端应用

APP

集成移动证书管理系统的客户端，通过移动证书管理系统在线申请证书制作、更新、撤销、冻结、解冻等；b)

政务

RA

系统连通，将申请信息提交

RA

系统，证书签发成功或申请处理完成后

系统将结果返回给政务

LRA

移动证书管理系统与

RA系统连通，将申请信息提交

,

证书签发成功或申请处理完成后

系统将结果返回给政务

移动证书管理系统；c)

证书下载，支持下载至移动智能终端的软件密码模块、SIM

卡等，软件密码模块应达到

37092

规定的安全二级及以上要求；d)

证书有效期设置。9 证书自助服务系统证书自助服务系统功能包括但不限于：a)

政务

RA

系统连通，将证书持有者的请求信息提交

RA

系统，证书请求处理完成后返回给政务

RA

证书自助服务系统；政务

LRA

证书自助服务系统与

将证书持有者的请求信息提交

LRA

证书自助服务系统；b)

配置证书自助更新操作的时间范围，默认设置为证书有效期终止日期前

30

DB14/T

2987—2024c)

配置证书自助更新的有效期，默认设置为延长有效期

1

d)

配置证书自助更新策略，默认设置为证书主题不变、密钥更新；e)

下载证书，证书持有者按照系统提示输入需下载证书的凭证码，将证书下载至存储介质或保存为文件；f)

更新证书，证书持有者按照系统提示输入

码更新证书，不在自助更新时间范围内的证书不能进行自助更新操作。10 从目录服务系统从目录（LDAP）服务系统功能包括但不限于：a)

政务

RA

从目录服务系统与国家政务

CA

主目录服务系统连通；政务

务

RA

从目录服务系统连通，政务

如不建设从目录服务系统或系统出现故障，可使用政务RA

从目录服务系统；b)

政务

RA

从目录服务系统从政务

CA

主目录服务系统获取山西的证书数据，政务

LRA

务系统从政务

RA

c)

政务

RA

从目录服务系统从政务

CA

主目录服务系统获取证书撤销列表（）数据，政务

从目录服务系统从政务

从目录服务系统获取证书撤销列表（）数据，存储于目录数据库中，为身份认证系统提供查询下载服务。政务

CA

发布

，发布频率不超过

24

山西政务

、山西政务

的

更新频率不超过

小时一次；d)

支持一主多从模式，子树、级联方式。11 数据库系统数据库系统功能包括但不限于：a)

存储证书申请者信息。证书申请者信息包括个人姓名、身份证件信息、机构名称、统一社会信用代码、机构法人信息、设备

IP

地址、经办人信息等；b)

存储证书信息。证书信息包括公钥证书拥有者信息、公钥证书、证书生效时间、证书失效时间、证书状态、证书签发机构等；c)

数据冗余，具备容错和备份能力；d)

政务

不建设数据库系统，数据存储在政务

RA

的数据库系统。12 身份认证系统身份认证系统功能包括但不限于：a)

政务

身份认证系统与本级从目录服务系统连通，政务

如未建设从目录服务系统或系统出现故障，与政务

从目录服务系统连通；b)

配置

、CRL，在线获取证书状态，定期获取

数据；c)

为电子政务外网应用系统提供签名验签和证书有效性验证功能，证书有效性验证包括验证证书有效期、是否政务

CA

签发、证书状态等；d)