ISO27000认证：数字证书认证系统功能描述，ISO27001信息安全体系认证办理

证书认证系统：对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。

1、证书认证系统概述
证书认证系统是对生命周期内的数字证书进行全过程管理的安全系统。证书认证系统应采用双证书(用于数字签名的证书和用于数据加密的证书)机制,并建设双中心(证书认证中心和密钥管理中心)。证书认证系统在逻辑上可分为核心层、管理层和服务层,其中,核心层由密钥管理中心、证书/CRL生成与签发系统、证书/CRL存储发布系统构成;管理层由证书管理系统和安全管理系统构成;服务层由证书注册管理系统(包括远程用户注册管理系统)和证书状态查询系统构成。证书认证系统的逻辑结构宜如图1所示。

2、证书认证系统功能描述
2.1概述
证书认证系统提供了对生命周期内的数字证书进行全过程管理的功能,包括用户注册管理、证书/证书撤销列表的生成与签发、证书/证书撤销列表的存储与发布、证书状态的查询、证书管理及安全管理等。
2.2用户注册管理系统
2.2.1概述
用户注册管理系统负责用户的证书申请、身份审核和证书下载,可分为本地注册管理系统和远程注册管理系统。
2.2.2证书申请
证书申请可采用在线或离线两种方式：
a) 在线方式：用户通过互联网等登录到用户注册管理系统申请证书;
b）离线方式：用户到指定的注册机构申请证书。
2.2.3身份审核
审核人员通过用户注册管理系统,对证书申请者进行身份审核。
2.2.4证书下载
证书下载可采用在线或离线两种方式：
a)在线方式：用户通过 互联网等登录到用户注册管理系统下载证书;
b)离线方式：用户到指定的注册机构下载证书。
2.3证书/证书撤销列表生成与签发系统
2.3.1功能
证书/证书撤销列表生成与签发系统负责生成、签发数字证书和证书撒销列表。
2.3.2证书类型
按主体对象,证书分为人员证书、设备证书和机构证书三种类型。
按功能,证书分为加密证书和签名证书两种类型。
2.3.3 证书机制
证书认证系统采用双证书机制。每个用户拥有两张数字证书,一张用于数字签名,另一张用于数据加密。用于数字签名的密钥对可以由用户利用具有密码运算功能的证书载体产生;用于数据加密的密钥对由密钥管理中心产生并负责安全管理。签名证书和加密证书一起保存在用户的证书载体中。
2.3.4 证书生成/签发
用户的数字证书由该系统的CA签发,根CA的数字证书由根CA自己签发，下级CA的数字证书由上级CA签发。
2.3.5 证书撤销列表
证书撤销列表是在证书有效期之内,CA签发的终止使用证书的信息，分为用户证书撤销列表(CRL)和CA证书撤销列表(ARL)两类。在证书的使用过程中,应用系统通过检查CRL/ARL,获取有关证书的状态。
2.4 证书/证书撤销列表存储与发布系统
证书/证书撤销列表存储与发布系统负责数字证书、证书撤销列表的存储和发布。
根据应用环境的不同,证书/证书撤销列表存储与发布系统应采用数据库或目录服务方式,实现数字证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务。
使用目录服务方式,应采用主、从目录服务器结构以保证主目录服务器的安全,同时从目录服务器可以采用分布式的方式进行设置,以提高系统的效率。用户只能访问从目录服务器。
2.5 证书状态查询系统
证书状态查询系统应为用户和应用系统提供证书状态查询服务,包括：
a) CRL查询：用户或应用系统利用数字证书中标识的CRL地址，下载CRL,并检验证书有效性;
b) 在线证书状态查询：用户或应用系统按照在RFC 6960中规定的方法，实时在线查询证书的状态。在实际应用中,可以根据具体情况采用上述两种查询方式之一或全部。
2.6 证书管理系统
证书管理系统是证书认证系统中实现对证书/证书撤销列表的申请、审核、生成、签发、存储、发布、注销、归档等功能的管理控制系统。
2.7 安全管理系统
安全管理系统主要包括安全审计系统和安全防护系统。
安全审计系统提供事件级审计功能,对涉及系统安全的行为、人员、时间等记录进行跟踪、统计和分析。
安全防护系统提供访问控制、人侵检测(人侵防御)、漏洞扫描、病毒防治等网络安全功能。

• 上一篇：信息系统等级保护安全技术设计框架(图),ISO27001信息
• 下一篇：ISO/IEC 27001:2022新版标准预计2022年1