YD/T 3499-2019 互联网码号资源公钥基础设施(RPKI)安全运行技术要求 证书策略与认证业务框架.pdf

  • YD/T 3499-2019  互联网码号资源公钥基础设施(RPKI)安全运行技术要求 证书策略与认证业务框架.pdf为pdf格式
  • 文件大小:15.3 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-04-06
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • 订户是CA为其分配INR过程中为其签发相应证书的持有者,可为个人或者组织机构。订 多处获取INR。

    RP是使用RPKI中资源证书、签名对象和BGPsec路由器证书等数据对象的实体。RP可为订 其他类型实体,

    每一个INR持有者对应一个发布点,负责存放证书、签名对象和CRL等数据对象,所有INR持有 者的发布点共同组成RPKI资料库。CA可拥有发布点管理权,也可外包发布点管理权,运营资料库的 实体属于其的他与者范畴

    在RPKI体系下签发的证书用于授权INR医药标准,以支持INR持有者对INR持有的可验证性。与上 目标一致的其他用途证书在本标准范围内允许使用,例如支持RPKI资料库系统的完整性和提供 制的证书。

    4.4.1策略文档管理机构

    YD/T34992019

    证书、CRL和签名对象均应上载到RPKI资料库中供全球范围内的RP下载,以执行后续验证操作, 资料库的结构应符合IETFRFC6481《RPKI资料库结构规范》。CA必须维护一个公开可供访问的在线 资料库并满足相关标准的规范内容,并将所有RPKI数据对象发布到该资料库中,CA也可将资料库 理权外包给第三方。CA必须详细说明在线资料库的访问地址和访问方式。所有CA维护/外包的资料库 共同构成RPKI分布式资料库系统。

    CA应该将其签名的证书、CRL和签名对象发布到维 证业务框架发布到相同的资料库中。 获取更新内容

    5.3发布的时间或频率

    #信息仓 含以下两点内容: 1)CA签名证书后,发布到资料库的等待时间范围; 2)CA撤销证书后,包含该撤销条目的CRL发布到资料库的等待时间范围。 过期的或者撤销的证书需要从RPKI资料库系统中移除,CA必须在CRL的nextUpdate字段表示的 到期时间之前预先签发一个新的CRL

    CA或者资料库运营商必须实现访向控制机制,防正非授权人员的恶意操作,包括增加、删除和修 改资料库中的数据对象。CA或者资料库运营商不能限制对于资料库中数据对象和证书策略与认证业务 框架的阅读权限。 CA需要详细说明资料库的访问权限控制,以及为避免拒绝式服务攻击所采用的控制方法。如果组 织机构为其订户提供资料库服务,应该附有该组织机构为其订户发布数据对象的协议说明。

    CA签发的证书的主体名为X.501甄别名(DistinguishedName,DN),由一个通用名(CommonName, CN)属性构成,属性值由证书签发者生成。序列号(serialName)属性可选,用来标识CA为同一订户 产生的一系列的证书实例。

    YD/T34992019

    6.1.2对命名有意义的要求

    .1.3订户的匿名或伪名

    RPKI体系不支持订户的匿名或伪名

    PKI体系不支持订户的匿名或伪名。

    6.1.4解释不同命名的规则

    6.1.5命名的唯一性

    CA签发的证书主体名必须保证在其签发的所有证书中唯 且应该尽量保证RPKI体系中两个证 书的主体名的唯一性。但是,RPKI体系并不绝对保证一个证书的主体名的全局唯一性。

    6.1.6 商标的识别、鉴别角色

    证书的主体名不要求具有意义,组织机构不要求提供商标的的识别和鉴别服务。 初始自份确训

    2.1证书拥有私钥的方

    订户在证书签发之前需要向CA提供其公钥对应的私钥拥有证明。CA需要详细说明,在证书签发 之前,订户证明持有与证书中公钥对应私钥的方法

    6.2.2组织机构身份的

    RPKI体系中的证书并不反映订户的组织机构身份信息,而是反映该组织机构的INR持有记录。 CA必须详细说明组织机构身份鉴别程序,确保签发的每一个证书精确地反应出订户数据库中的 INR分配授权记录。CA需要鉴别订户的身份,可利用BPKI证书验证证书请求。证书请求需要匹配订 户数据库中的相应条目,仅当订户请求的INR为订户数据库相应条目中INR的子集时CA签发证书。

    6.2.3个人身份的鉴别

    RPKI体系中的证书并不反映订户的个人身份信息,而是反映该组织机构的INR持有记录。 CA必须详细说明个人身份鉴别程序,该程序用来标识至少一个个体以作为订户的代表。CA维护 每一个订户的联系信息,以支持订户所持有证书的签发、更新和撤销操作。

    6.2.4没有验证的订户信息

    略与认证业务框架下,除了SIA字段,未被验证的订户信息不能被包含在证书中。

    在本证书策略与认证业务框架下,除了SIA字段,未被验证的订户信息不能被包含在证书中

    6.3密钥更替请求的识别与鉴别

    YD/T34992019

    在进行7.7小节所述的证书密钥更替操作过程中,需要对更替的密钥进行鉴别以确保密钥更替 自于原证书密钥持有者。

    6.3.2常规的密钥更替的识别和鉴别

    CA需要确定发起密钥更替请求的组织机构为包含被更替密钥的证书和INR的合法持有者,并持有 新密钥对中的私钥部分。常规的密钥更替的识别和鉴别程序包含以下方面: 1)确定密钥更替请求发起者是否为包含被更替密钥证书和INR的合法持有者的方法; 2)验证新密钥对的私钥持有证明的方法; 3)是否与订户签订合同建立周期性常规密钥更替; 4)如果CA运行BPKI,说明BPKI执行密钥更替请求的识别和鉴别过程的程序。

    6.3.3撤销之后的密钥更替的识别和鉴别

    CA需要确定撤销之后发起密钥更替请求的组织机构为被撤销证书和INR的合法持有者,并持有新 密钥对中的私钥部分。常规的密钥更替的识别和鉴别程序包含以下方面: 1)确定密钥更替请求发起者是否为被撤销证书和INR的合法持有者的方法: 2)验证新公钥对应的私钥持有证明的方法: 3)如果CA允许BPKI,说明BPKI执行密钥更替请求的识别和鉴别过程的程序: 4)针对两种不同的情形,即该撤销证书持有者持有证书对应的私钥和丢失私钥两种情形,可以制 定不同的密钥更替的识别和鉴别程序。

    6.4撤销请求的识别与鉴别

    CA必须详细说明R订户的撤销请求的识别与鉴别程序。CA也需要采取一定程序验证证书撤销请 求发起者的身份,包含以下几个方面: 1)发起证书撤销请求的组织机构为被撤销证书的合法持有者; 2)被撤销证书中的INR准确反应CA关于发起证书撤销请求的组织机构的INR分配授权记录; 3)一个个体代表组织机构提交证书撤销请求,该个体必须经过组织机构的授权; 4)针对两种不同的情形,即该撤销证书持有者持有证书对应的私钥和丢失私钥两种情形,可以制 定不同的证书撤销请求的识别和鉴别程序。

    YD/T34992019

    7证书生命周期操作要求

    7.1.1证书电请实体

    任何持有该CA分配授权的INR的订户均可提交证书申请。订户如有从多个CA获取INR的需 该订户需要获取多个证书,则分别向不同CA提交证书申请

    7.1.2注册过程与责任

    CA必须详细说明证书注册程序。订户如有从多个CA获取INR的需求,则该订户需要获取多 且分别在不同CA进行注册操作。

    7.2.1执行识别和鉴别功能

    CA可使用当前已部署的策略对持有INR的组织机构或个人进行识别和鉴别。如6.2小节中所描述 的身份识别和鉴别技术要求。RPKI中的证书并不用于组织机构和个人的身份识别和鉴别,用于验证订 户与其持有的INR的绑定关系。

    .2.2证书申请批准和排

    CA必须根据其商业行为和INR分酉 绝证书申请。CA必须根据6.2.1小节中的 技术要求对订户进行私钥持有证明的验证 CA为订户签发的证书中的公钥相匹配

    2.3处理证书申请的日

    7.3.1证书签发中CA的行为

    当CA批准证书申请后,必须签名证书且发布于RPKI资料库。CA必须详细说明证书签发的具体 程序,

    7.3.2CA通知订户证书的签发

    当CA签发证书后,必须通知持有该证书的订户。CA必须详细说明通知订户证书签发的具体程序。

    7.4.1构成接受证书的行为

    书后,必须通知持有该证书的订户。CA必须详细说明通知订户证书签发的具体程序。

    根据7.2.3小节技术要求规定的时间范围,CA必须将证书发布于RPKI资料库且通知订户。该操作 可能并不会经过订户的审核和同意,CA必须详细说明订户接受证书的策略,

    7.4.2CA对证书的发布

    7.4.3CA通知其他实体证书的签发

    7.5密钥对和证书使用

    7.5.1订户私钥和证书的使用

    YD/T34992019

    订户可主动发起证书请求,持有INR的组织机构可为订户分配授权INR,且为该订户签发相应的 资源证书。如果持有INR的组织结构并不分配授权INR,该组织机构可为自身签发EE证书一一用以签 发RPKI签名对象和BGPsec路由器证书一一用以验证BGPsec更新报文的AS路径信息。

    7.5.2依赖方公钥和证书使用

    RPKI体系中的RP使用EE证书验证签名对象。RP在依赖任何证书前必须独立地执行以下操作: 1)根据相关标准验证满足本证书策略与认证业务框架的技术要求的待验证证书; 2)评估待验证证书的状态以及证书路径上的所有证书; 如果证书路径上的任何一个证书处于撤销状态或者过期状态,RP自行评估风险并决定是否信任待 检证证书。

    证书更新是一个签发新证书以 发生在原有证书有效期到期前 证书中有效期和序列号两个字段发生改

    7.6.2证书更新的情形

    每个证书具有一个有效期,订户发起一个证书更新请求或者临近证书的有效期时,CA必须进行证 书更新操作。订户负责其持有证书到期前进行证书更新操作,以保持证书的持续可用性。如果CA基于 证书的过期日期初始化证书更新过程,该CA必须提前通知持有该证书订户。新证书的有效期应该与原 有证书的有效期部分重叠,以保证证书的持续可用性。建议在证书的过期日期的一个星期前执行证书更 新操作。 一般情况下,新证书中的公钥应该与原有证书中的公钥一样。如果原有证书中公钥对应的私钥泄露: 新证书中的公钥可与原有证书中的公钥不一样,且该过程同7.7节的技术要求一致。

    7.6.3证书更新实体

    证书持有者和签发该证书的CA 正书持有者可以早于证书的过期日 证书更新请求,CA可以根据证书的过期日期初始化一个证书更新操作。当证书更新实体为订 A需要详细说明证书更新实体的验证程序一用于验证订户是否为需要更新的证书和INR的合法

    YD/T 34992019

    者,以及私钥持有证明方法,当私钥钥满足两种情况下的任何一种均被视为验证通过,即与新证书的原 公钥匹配或者与新证书的新公钥匹配。当CA运营BPKI时,需要详细说明BPKI验证证书更新请求的 程序。

    7.6.4处理证书更新请求

    CA必须详细说明处理证书更新请求的程序,以确保证书更新请求发起者为合法的订户或者经 的授权,并且,证书更新请求发起者合法拥有新证书中所包含的INR。证书更新过程必须验证需 的证书不处于撤销状态。

    7.6.5通知订户新证书的签发

    同7.3.2小节技术要求一

    7.6.6构成接受更新证书的行为

    同7.4.1小节技术要求一至

    同7.4.1小节技术要求一致。

    7.6.7CA对更新证书的发布

    周7.4.2小节技术要求一至

    7.6.8CA通知其他实体证书的签发

    同7.4.3小节技术要求一致。

    证书更新是一个签发新证书以取代原有证书的过程,与证书更新不一样,新证书与原有证书的密钥 对不一样。

    7.7.2证书密钥更替的情形

    当CA收到证书密钥更替请求时,证书密钥更替操作才予以执行: 1)确认或者怀疑证书中公钥对应的私钥泄露: 2)证书中的密钥对过期。 如果一个证书由于需要修改互联网码号资源扩展项而被撤销时,新证书必须使用与原有证书一样的 公钥。如果怀疑证书中公钥对应的私钥泄露,则原有证书必须撤销,且重新生成包含新密钥对的证书。

    7.7.3要求新公钥认证的实体

    证书持有者可以发起证书密钥更替请求。另外,CA可通过验证私钥泄露报告后,初始化证书密钥 更替操作。当要求新公钥认证的实体为订户时,CA必须详细说明订户的身份认证和鉴别程序。当证书 更替操作由CA初始化目私钥泄露报告的来源不是订户时,CA必须详细说明私钥泄露报告的验证程序。

    7.7.4处理证书密钥更替请求

    7.2.2小节技术要求一致

    7.7.5通知订户新证书的签发

    7.7.8CA通知其他实体证书的签发

    7.8.1证书修改的情形

    YD/T34992019

    证书的修改针对互联网码号资源扩展项字段的INR修改和SIA字段的发布点位置信息修改。当订 古的INR持有发生变化或者订户的发布点位置发生变化,订户可尚CA发起证书修改请求。如果订户 的INR在现有基础上有所增加且该订户并不要求为新增INR发布一个新证书,则需要通过证书修改操 作为订户重新签发一个证书,表明订户当前持有的INR。新发布的证书必须与原有证书具有相同的公钥 和过期日期,互联网码号资源扩展项字段内容为订户当前持有的INR。如果订户的部分sINR被收回, CA必须撤销相应的证书并且为订户重新签发一个新证书,以反映订户当前持有的INR。

    7.8.2要求证书修改的实体

    证书持有者或者签发该证书的CA可以初始化证书修改操作。当要求证书修改的实体为订户 A必须详细说明订户的身份认证和鉴别程序。

    7.8.3处理证书修改请求

    CA必须详细说明证书修改请求的验证程序和新证书签发程序。该过程应该同7.2小节 技术要求一致。

    7.8.4通知订户修改证书的签发

    7.3.2小节技术要求一致

    7.8.5构成接受修改证书的行为

    同7.4.1小节技术要求一致。

    YD/T34992019 7.8.6CA对修改证书的发布 同7.4.2小节技术要求一致。 7.8.7CA通知其他实体证书的发布 同7.4.3小节技术要求一致。

    7.9.1证书撤销的情形

    满足以下几种情形时,CA或者订户必须撤销证书: 1)CA或者订户不再具有合同关系; 2)订户不再持有证书中的INR的部分或者全部: 3)CA或者订户有理由相信或者强烈地怀疑证书中公钥对应的私钥泄露; 4)为了使得证书签发的签名对象无效。 如果还有其他情形需要撤销订户证书,CA需要详细说明。

    7.9.2请求证书撤销的实体

    订户或者签发该证书的CA可以发起证书撤销请求。当请求证书撤销的实体为订户时,CA 说明订户的身份认证和鉴别程序

    7.9.3撤销请求的程序

    CA必须详细说明处理证书撤销请求的程序,应该包含以下内容: 1)订户发起证书撤销请求的程序:

    7.9.4撤销请求宽限期

    当订户发现出现7.9.1小节中情形时,应该尽快提出证书撤销请求,CA应该根据自身业务情 相应的宽限期

    7.9.5CA处理撤销请求的时限

    CA从接到证书撤销请求到完成处理请求需要一定的时间,CA应该根据自身业务情况制定证 请求处理时间

    7.9.6依赖方检查证书撤销的要求

    钢筋工程7.9.7CRL发布频率

    CA必须明确规定CRL的发布频率。每一个CRL均包含一个nextUpdate字段,表明该CRL 时间,新CRL必须在该字段值标识的时间或之前发布。CA在发布一个CRL的同时必须设置该 nextUpdate字段,表示下一个CRL的预期发布时间

    7.9.8CRL发布的最大滞后时间

    8设施、管理和操作控制

    CA必须详细说明物理控制安全策略,包括以下内容: 1)场地位置与建筑; 2)物理访问控制; 3)电子与空调; 4)水惠防治; 5)火灾防护; 6)介质存放; 7)废物处理; 8)异地备份。

    每一个CA必须在CPS里详细说明程序控制安全策略粮油标准,包括以下内容: 1)可信角色; 2)每项任务需要的人数; 3)每个角色的识别与鉴别; 4)需要职责分割的角色。

    YD/T34992019

    ....
  • 认证标准
  • 相关专题: 互联网  

相关下载

常用软件