满满干货!公钥密码标准应用指南
为了让密码标准使用者更好理解当前已发布的密码国家标准和行业标准,并在开发数字证书认证系统中有效应用,信安世纪梳理了使用已发布密码标准构建的各类PKI密码产品示例,以飨读者。总体架构
数字证书下载与使用过程中密码标准使用示意图客户端以浏览器使用智能密码钥匙下载数字证书为例智能密码钥匙01算法支持SM2、SM3、SM4算法标准02协议支持GM/T 0017、GB/T 32591(GM/T 0016)03产品支持GM/T 0027、GM/T 002804检测支持GM/T 0056、GM/T 0063、GM/T 0039操作系统基于具体的应用架构设计供基础通用的密码功能01基本算法OID、通用加密工作模式OID等依据GB/T 33560(GM/T 0006)、GB/T 1796402基础算法使用依据GB/T 35276(GM/T 0009)03基础加密签名消息语法依据GB/T 35275(GM/T 001004基础的数字证书能力依据GB/T 20518(GM/T 0015)05通用密码功能接口依据GM/T 001906综合的证书应用接口依据GM/T 002007安全通信能力依据GB/T 38636、GM/T 0024浏览器/APP01浏览器与智能密码钥匙进行交互的标准有:GM/T 0017、GB/T 32591(GM/T 0016)、GM/T 0056、GM/T 006302浏览器保存有数字证书和协同签名分量时,支持数字证书和协同签名分量导入/导出以GM/T 0091、GM/T 0093为标准03浏览器内部支持JavaScript接口使用密码算法时以GM/T 0087为标准04浏览器支持证书下载时,以GM/T 0092为标准请求生产数字证书05浏览器支持安全通信时,常使用GB/T 38636(TLCP)或 GM/T 002406浏览器支持数字证书身份认证时,常用的密码标准有:GB/T 20518(GM/T 0015)、GM/T 0019、GM/T 0020、GM/T 0092基础设施01
概述公钥基础设施在构建数字证书认证系统、证书认证密钥管理系统、RA系统、OCSP服务、LRA等时,常基于符合GM/T 0030、GM/T 0059的服务器密码机等密码设备,采用GB/T 36322(GM/T 0018)等接口进行开发,开发过程中需要遵循GB/T 33560(GM/T 0006)、GB/T 35276(GM/T 0009)、GB/T 35275(GM/T 0010)等OID定义和相关数据格式规范,数字证书遵循GB/T 20518(GM/T 0015)格式要求,为上层应用提供GM/T 0019或GM/T 0020等接口。02
数字证书认证系统数字证书认证系统负责数字证书的全生命周期管理,以GB/T 25056(GM/T 0034)标准为核心进行开发,同时数字证书格式符合GB/T 20518(GM/T 0015),组件之间通信报文支持GM/T 0014,组件之间通信支持GB/T 38636或GM/T 0024。依据GM/T0037进行检测,同时满足GM/T 0043的互操作要求。03
证书认证密钥管理系统证书认证密钥管理系统是证书认证系统的核心部件,系统需要遵循GB/T 25056(GM/T 0034),同时支持GM/T 0014的数据格式,并依据GM/T 0038进行检测。04
RA系统RA系统作为证书认证系统的一部分,遵循GB/T 25056(GM/T 0034)标准,同时支持GB/T 20518(GM/T 0015)、GB/T 35275(GM/T 0010)、GM/T 0092的证书申请。05
LRA系统LRA含注册员、审核员、制证员等角色,当设备连接到LRA制证时,建议支持GM/T 0089标准;LRA与RA进行通信符合GB/T 38636或GM/T 0024是好的选择。06
OCSP系统OCSP系统遵循GM/T 0014协议与CA、RA和应用端进行通信。07
设备大规模设备申请证书采用基于GM/T 0089协议,其中设备注册须遵循GB/T 25056(GM/T 0034)的标准。服务端服务端密码应用常以服务器密码机或签名验签服务器等密码设备为基础构建密码应用,这些密码设备符合GM/T 0030、GM/T 0059、GM/T 0029、GM/T 0060等标准,以GB/T 36322(GM/T 0018)等接口为应用系统提供服务,同时遵循GB/T 33560(GM/T 0006)、GB/T 35276(GM/T 0009)、GB/T 35275(GM/T 0010)等格式规范,业务系统也可以使用更加符合业务需求的上层接口,如GM/T 0019、GM/T 0020,但都应遵循GB/T 20518(GM/T 0015)证书格式,实现身份鉴别时还可采用GM/T 0067、GM/T 0068和GM/T 0069等协议。通信安全客户端与基础设施、客户端与服务端进行通信时需保证其通信安全。通信安全常采用GB/T 38636或GM/T 0024标准,部分系统采用基于GB/T 35275(GM/T 0010)的数字信封方式标准实现。附件相关标准列表(按照密码行业标准顺序排列)向下滑动查看更多
数观天下 为网络安全工作者提供产品研究、技术讨论、场景化安全等干货文章,同时成为商用密码行业最具影响力的公众交流平台。63篇原创内容公众号